Kosten und Nutzen

“Jede Sicherheitsmaßnahme lässt sich umgehen.” – Jochim Selzer argumentiert auf G+, dies sei keine gute Begründung für den  Verzicht auf Sicherheitsmaßnahmen. Damit hat er Recht, aber dies ist umgekehrt keine ausreichende Begründung für beliebige Sicherheitsmaßnahmen. Seiner Betrachtung fehlt ein Faktor: das Kosten-Nutzen-Verhältnis. Mehr Sicherheit oder auch überhaupt Sicherheit wird zum Verlustgeschäft, wenn dem Aufwand keine adäquate Risikoreduktion gegenübersteht. Das klingt trivial, macht die Sache in Wirklichkeit jedoch ziemlich kompliziert.

Die Kosten einer Sicherheitsmaßnahme sind nicht nur die Anschaffungs-, sondern auch die Betriebskosten. Nicht alle Kosten manifestieren sich in finanziellen Transaktionen, sondern zum Beispiel in Zeit- und Arbeitsaufwand. Auch sehr kleine Aufwände können zu erheblichen Kosten führen, wenn sie in Alltagssituationen immer wieder anfallen. Auch das Ändern von Gewohnheiten ist teuer. Ein häufig verwendetes Passwort zu ändern, kostet mich zum Beispiel jedesmal einige Tage voller Fehlversuche mit dem alten Passwort, bis ich mich an die Änderung gewöhnt habe — und eine andere Empfehlung legt mir nahe, meinen Rechner beim Verlassen immer zu sperren.

Der Nutzen einer Sicherheitsmaßnahme ergibt sich nicht aus ihrer lokal messbaren Wirkung, sondern aus ihrem Einfluss auf das gesamte Risikoprofil. Sicherheitsmaßnahmen können irrelevant sein, wenn das Risiko – bezogen auf die Konsequenzen – insgesamt sehr klein ist und von anderen Risiken dominiert wird. Wenn ich zum Beispiel ein Smartphone oder einen Laptop mit mir herumtrage und darauf keine ungewöhnlich wertvollen Daten gespeichert sind, dann liegt das dominante Risiko im Verlust der Hardware. Ob ich meine Daten verschlüsselt habe oder nicht, ist dann relativ belanglos. Ebenso brauche ich mich als Individuum, zumal im Mitteleuropa der Gegenwart, nicht vor der NSA zu fürchten, wenn ich bedenkenlos auf Haushaltsleitern steige und am Straßenverkehr teilnehme. Ich werde höchstwahrscheinlich an einem Unfall, an einer Krankheit oder an Altersschwäche sterben und nicht an einem Drohnenangriff wegen eines algorithmisch hergeleiteten Terrorverdachts.

Hinzu kommt, dass Sicherheitsmaßnahmen nicht notwendig Risiken verringern, sondern sie oft nur verlagern oder transformieren. Einbrecher durchwühlen die unverschlossene Gartenlaube und nehmen tragbare Wertsachen sowie Alkoholvorräte mit. Einbrecher durchwühlen die verschlossene Gartenlaube und nehmen tragbare Wertachen und Alkoholvorräte mit, nachdem sie die Tür oder das Fenster demoliert haben. Was habe ich nun vom guten Schloss? Die Einbrecher müssen ein Brecheisen mitbringen und werden vielleicht (aber unwahrscheinlich) gehört – und ich habe höhere Kosten pro Vorfall, selbst wenn nichts gestohlen wird. Ich fahre besser, wenn ich die Tür offen lasse und kein potenzielles Diebesgut lagere.  Das Problem der Risikoverlagerung und -transformation ist typisch für Security, wo wir es mit adaptiven Angreiferkollektiven zu tun haben. In geringerem Maße kann es aber auch bei Safety-Maßnahmen auftreten, wenn diese Maßnahmen unerwünschte Nebenwirkungen haben und man also eine Risikoausprägung gegen eine andere eintauscht. Im Klettergerüst getragen kann ein Fahrradhelm Kinder strangulieren.

Ökonomisch betrachtet sind deswegen viele Sicherheitsratschläge für die Katz. Kosten und Nutzen haben außerdem eine subjektive Komponente. Ökonomische Rationalität beschreibt ein (angenommenes) Optimierungsverhalten unter Berücksichtigung persönlicher Präferenzen. Jeder ist frei darin festzulegen, wie viel ihm ein bestimmter, quantifizierter Nutzen im Vergleich zu anderen Angeboten mit denselben Kosten wert ist oder wie sehr ihn eine bestimmte Unannehmlichkeit im Vergleich zu einer anderen belastet. Auch ein Selbstmörder, der sich vor seiner Rettung schützt, kann ökonomisch rational handeln, wenn ihm sein eigener Tod nur wichtiger ist als alles andere. In diesem Sinne ist nichts daran auszusetzen, dass sich jemand etwa gegen den Sicherheitsgurt, gegen den Fahrradhelm, gegen ein kompliziertes Password oder gegen die E-Mail-Verschlüsselung entscheidet. Präskriptive Overrides sind nur dort angebracht, wo aus solchen Präferenzen erhebliche gesellschaftliche Probleme resultieren.