Gefunden beim Wortjongleur, die tatsächliche Quelle will er erst noch verifizieren:
»Once is happenstance; twice is coincidence; three times is enemy action.«
Dieses Maß müsste man glatt mal gegen ein ausgewachsenes IDS oder so etwas antreten lassen.
Energieausweise für Gebäude liefern nicht nur keine nützliche Metrik, sie enthalten nicht einmal Informationen über den Energieverbrauch. Sondern Werte, die vor allem von der zur Berechnung verwendeten Software abhängen.
Wir IT-Akademiker forschen gerne an Fragen herum, die einen vagen Relitätsbezug haben, die man aber in der Praxis pragmatisch handhabt. Nach ein paar Jahren haben wir die Lösungen der Pragmatiker formal dokumentiert und wissenschaftlich nachgewiesen, was die Kollegen immer schon wussten, nämlich dass das so tatsächlich funktioniert.
Sicherheitsmetriken sind ein Beispiel dafür: als Forschungsthema sehr dankbar, weil man sich immer neue Varianten ausdenken und sie akribisch untersuchen kann. Dummerweise verliert der Wissenschaftler dabei oft die Anforderungen der Praxis aus dem Auge und misst deshalb irgend etwas, weil es gerade messbar ist und ihm ins Modell passt, statt von einem Entscheidungsbedarf auszugehen und nach geeigneten Grundlagen zu suchen. Der Pragmatiker macht es umgekehrt:
»Neben anderen Integritätstests hatte wir in diesen Scripten in der Regel auch eine Prüfung drin, die festgestellt hat, wie sehr sich die Anzahl der Datensätze im Vergleich zum vorhergehenden Run geändert hatte. Wenn die Fluktuation bei mehr als 10% lag, hat das Script die Datei NEBEN der alten Datei installiert, aber nicht live geschaltet, sondern eine Mail an die Admins geschickt, damit die sich das Ding mal ansehen und es manuell live nehmen. Das hat uns mehr als einmal den Hintern gerettet.«
(Die wunderbare Welt von Isotopp: DENIC erklärt sich)
Die zehn Prozent sind formal betrachtet völlig willkürlich gewählt, tatsächlich aber wohl ein Erfahrungswert, der sich aus informellen Beobachtungen typischer Vorgänge ergibt. So etwas würde ein Wissenschaftler nie zulassen.
Zwei Euro im Monat für ein gutes Gefühl, das ist das Kerngeschäft der Versicherungswirtschaft:
»Oft reichen einige Minuten Surfen im Internet – und schon sind Ihre Bankdaten in die Hände von Betrügern gelangt. Phishing-Angriffe, die gezielt Online-Banking Kunden im Visier haben, verursachen immer wieder hohe Schäden.
(…)
Anfang 2010 bietet CosmosDirekt die passende Lösung: Den Konto-Schutzbrief, der Sie ab 2€ im Monat gegen die Plünderung Ihres Kontos schützt*. Er sichert alle Schäden aus dem Missbrauch Ihrer EC- und Kreditkarte sowie Ihrer Kontodaten ab.«
Für ungefähr dieselbe Summe bekommt man übrigens schon eine kleine Haftpflichtversicherung. Der Preis taugt also noch nicht einmal als Risikometrik.
Energieausweise wie der unten abgebildete sind neuerdings Vorschrift, und jene für Nichtwohngebäude sind auszuhängen. Dieses Exemplar hängt in der Garderobe der Deutschen Nationalbibliothek in Leipzig:
Und was zum Teufel soll das? Eine angezeigte Metrik ist nützlich, wenn sie mir Entscheidungen oder die Steuerung von Vorgängen erleichtert. Deswegen haben Autos Tachometer, die die Geschwindigkeit relativ zum Boden anzeigen: diese Information hilft dabei, sich zwischen Gaspedal und Bremse zu entscheiden und den Parameter Geschwindigkeit zu steuern. Ändert sich das Steuerproblem, etwa weil wir das Auto gegen ein Flugzeug eintauschen, dann ändern sich auch die Anforderungen an die Metrik und ihre Bestimmung. Im Flugzeug interessiert vor allem die Geschwindigkeit relativ zur Luft, das Ergebnis ist ein völlig anders konstruiertes Messinstrument, das in seinem Einsatzgebiet aber ausgesprochen nützlich ist.
Aber was nur soll ich mit den Informationen aus dem Energieausweis anfangen? Die Bibliothek wechseln, wenn mir die Werte nicht gefallen? Handschuhe mitbringen, weil die Energieeinsparung vielleicht durch Absenkung der Temperatur in den Lesesälen erzielt wird? Öfter in die Bibliothek gehen und dafür energetisch schlechtere Gebäude meiden? Oder mich dumm stellen und nach demselben Prinzip – Hauptsache messbar – Sicherheitsmetriken entwerfen?
Ergänzung 2009-10-24: Die Leipziger Volkszeitung schlägt vor, anhand der Energieausweise Museen mit Kindergärten zu vergleichen. Immerhin hängen in beiden Bilder herum.
Der eine oder andere dürfte es mitbekommen haben. Tom DeMarco, dem wir die Manager-Faustregel: “You can’t control what you can’t measure.” verdanken, macht einen Rückzieher. An Software Engineering will er nicht mehr so recht glauben, und an Metriken auch nicht. In seinem Artikel Software Engineering: An Idea Whose Time Has Come and Gone? erläutert er seinen Sinneswandel unter anderem an diesem Beispiel:
»Imagine you’re trying to control a teenager’s upbringing. The very idea of controlling your child ought to make you at least a little bit queasy. Yet the stakes for control couldn’t be higher.
(…)
Now apply “You can’t control what you can’t measure” to the teenager. Most things that really matter—honor, dignity, discipline, personality, grace under pressure, values, ethics, resourcefulness, loyalty, humor, kindness—aren’t measurable.«
Von der Vorstellung, wir könnten ausgerechnet in der IT-Sicherheit Risiken anhand von Metriken steuern, sollten wird uns schnell verabschieden. Zusätzliche Unbekannte und Rückkopplungen vereinfachen das Problem sicher nicht.
Ach ja, und hört nicht auf Gurus.
Sicher ist sicher? 