„Der sicherste Computer der Welt hat keine Netzwerkzugänge, keine User und liegt in einer Kiste vergraben.“ Diese pointierte Aussage kursiert seit Langem in der IT-Sicherheit. Sie verdeutlicht ein zentrales Dilemma: Maximale Sicherheit lässt sich theoretisch erreichen, macht das System praktisch aber unbrauchbar. In der realen Welt müssen Organisationen einen Mittelweg finden zwischen strengster Absicherung und nötiger Nutzbarkeit. Allzu dogmatische Sicherheitsvorgaben scheitern oft an der Wirklichkeit – sei es, weil sie die Arbeitsfähigkeit behindern oder weil Menschen Wege finden, sie zu umgehen. Gefragt ist daher Pragmatismus: Handeln vor Ideologie. Bereits William James betonte, dass Ideen an ihren praktischen Konsequenzen gemessen werden müssen[1] (Vgl. insbesondere https://en.wikisource.org/wiki/Pragmatism:_A_New_Name_for_Some_Old_Ways_of_Thinking) . John Dewey propagierte einen „Experimentalismus“, also das ständige Ausprobieren und Anpassen, da es keine garantierten Patentlösungen gibt[2]. Übertragen auf Cyber Defense bedeutet das: Entscheidungen sollten danach bewertet werden, was effektiv funktioniert – nicht ob sie einer reinen Lehre entsprechen (Vgl. John Dewey: Die Suche nach Gewißheit: Eine Untersuchung des Verhältnisses von Erkenntnis und Handeln (suhrkamp taschenbuch wissenschaft),1929). Im Folgenden wird beleuchtet, wie ein pragmatischer Ansatz in der IT-Sicherheit aussieht, warum er angesichts moderner Herausforderungen unerlässlich ist und wie das Abwägen zwischen Sicherheit und z.B. Benutzerfreundlichkeit zu besseren Ergebnissen führt.

Pragmatismus: Wenn Wahrheit das ist, was funktioniert

Pragmatismus ist eine philosophische Strömung, die Handeln und Erfahrung in den Vordergrund stellt. Anstatt nach absoluten Wahrheiten zu suchen, fragt der Pragmatismus: Was bewährt sich in der Praxis? William James formulierte es so: Das „Wahre“ ist nur das Zweckmäßige in unserem Denken, so wie das „Richtige“ nur das Zweckmäßige in unserem Handeln ist[1]. Mit anderen Worten, eine Idee oder Regel ist so gut, wie sie funktioniert. Wahrheit und Wert bemessen sich an ihrem praktischen Nutzen und ihren Auswirkungen[1].

John Dewey, ein weiterer bedeutender Pragmatist, ging noch einen Schritt weiter. Für Dewey gleicht das Denken einem kontinuierlichen Experimentieren. Er sprach davon, die Philosophie vom „Absolutismus zum Experimentalismus“ zu führen[2]. Dewey betonte, dass es keine endgültigen, unumstößlichen Lösungen für die Probleme gibt, denen wir uns stellen – weder in der Philosophie noch im Alltag. „Es gibt keine Garantie, die richtigen oder alleingültigen Antworten auf die drängenden Probleme der Gegenwart zu finden“, schrieb Dewey, „Das Ergebnis liegt nicht bei uns, selbst wenn wir uns noch so viel Mühe geben.“[2]. Diese ergebnisoffene Haltung bedeutet: Man muss bereit sein, Annahmen immer wieder an der Realität zu prüfen, aus Fehlern zu lernen und Kurskorrekturen vorzunehmen.

Auf die IT-Sicherheit übertragen, liefern James und Dewey einen wichtigen Kompass: Sicherheitskonzepte sollten nicht nach ihrer theoretischen Eleganz, sondern nach ihrer praktischen Wirksamkeit beurteilt werden. Und da die Bedrohungslage sich ständig ändert, muss auch die Sicherheitsstrategie fortlaufend angepasst werden – ein starres Festhalten an „heiligen Kühen“ kann gefährlich werden. Pragmatismus in Cyber Defense heißt, flexibel zu bleiben, den Fokus auf konkrete Resultate zu legen und dogmatische Ansätze zu vermeiden. Oder zugespitzt: Lieber kleine Schritte, die nachweislich die Sicherheit erhöhen, als große Entwürfe, die nur auf dem Papier glänzen.

Sicherheit als ständiger Kompromiss

In der Praxis erweist sich IT-Sicherheit immer als Abwägung zwischen verschiedenen Interessen. Der amerikanische Sicherheitsexperte Bruce Schneier bringt es auf den Punkt: „Security is a trade-off“ – Sicherheit ist stets ein Kompromiss[3]. Jedes Plus an Schutz kostet Ressourcen, Zeit, Komfort oder Freiheit[3]. Eine dogmatische „Maximal-Sicherheit um jeden Preis“ scheitert oft an diesem Trade-off. So wäre ein Unternehmen, das alle USB-Ports versiegelt, alle Cloud-Dienste verbietet und jede E-Mail-Kommunikation strikt reglementiert, vielleicht theoretisch sehr sicher – praktisch würde es aber die Arbeitsfähigkeit massiv einschränken und die Mitarbeitenden demotivieren. Im schlimmsten Fall führt überzogener Sicherheitsdogmatismus dazu, dass Sicherheitsregeln umgangen werden: Mitarbeiter nutzen dann privat organisierte Tools (Schatten-IT) oder finden Schlupflöcher, um ihre Arbeit erledigen zu können. Dieses Verhalten konterkariert die ursprünglich beabsichtigte Sicherheit.

Ein klassisches Beispiel für solch einen Zielkonflikt ist das Verhältnis von Sicherheit vs. Benutzerfreundlichkeit. Ein altes Sprichwort der Branche haben wir eingangs zitiert: Der absolut sichere Rechner ist unbrauchbar. Umgekehrt ist ein völlig ungehemmtes, nutzerfreundliches System oft unsicher. Pragmatismus bedeutet hier, den optimalen Punkt zwischen beiden Polen zu finden. Ein treffender Leitsatz lautet: „So viel Security wie nötig, so wenig wie möglich„. Anstatt Sicherheit um der Sicherheit willen zu maximieren, fragt man: Welches Schutzniveau ist angesichts der Risiken tatsächlich erforderlich, und wo würde zusätzlicher Schutz keinen ausreichenden Mehrwert bringen? Risikobasiertes Abwägen tritt an die Stelle von pauschalen Regeln. So mag beispielsweise ein Konzern entscheiden, dass für normale interne Mails keine Verschlüsselung nötig ist (um die Bedienung einfach zu halten), wohl aber für den Versand von vertraulichen Dokumenten an externe Empfänger. Oder man akzeptiert, dass Entwickler auf ihren Testsystemen Administratorrechte haben (um effizient arbeiten zu können), während auf Produktionssystemen strikt getrennte Rechte gelten. Solche differenzierten Entscheidungen folgen keinem starren Regelwerk, sondern dem Kriterium der Zweckmäßigkeit.

Ein weiteres Feld, in dem sich Pragmatismus vs. Ideologie zeigt, sind Sicherheitsrichtlinien und -standards. Branchennormen wie ISO-Zertifizierungen, NIST-Guidelines oder interne Policys bieten wertvolle Orientierung – doch ein pragmatischer Sicherheitschef wird sie an die Realität der eigenen Organisation anpassen, statt sklavisch jeden Punkt umzusetzen, „egal was es kostet“. Beispielsweise empfahlen alte Passwortrichtlinien jahrelang, Kennwörter alle 30 Tage zu ändern und mit Sonderzeichen und Zahlen maximal zu verkomplizieren. Viele Firmen folgten dogmatisch diesen Vorgaben. Das Resultat: Die Mitarbeiter wurden kreativ im negativen Sinne – genervt von ständigen Änderungen wählten sie Passwörter nach Schema (Sommer2023!, Sommer2024! …) oder schrieben sie gleich auf Zettel[4]. Das hat die Sicherheit nicht erhöht, im Gegenteil. Ein NIST-Mitarbeiter entschuldigte sich später sogar für diese überstrengen Regeln von 2003[4]. Mittlerweile hat ein Umdenken eingesetzt: Neue Leitlinien favorisieren benutzerfreundlichere Passwörter, die man sich merken kann (z.B. Passphrasen), längere maximale Längen und kein erzwungenes Ändern ohne Anlass[4]. Anstelle ständig komplexe Passwörter aufzubürden, setzt man stärker auf Mehrfaktor-Authentifizierung und serverseitige Sicherheitsmaßnahmen[4]. Dieser Wandel ist Pragmatismus pur – er reagiert auf die Einsicht, dass Menschen es sich „so einfach wie möglich machen“[5], und gestaltet Sicherheitsvorgaben so, dass sie umsetzbar sind und tatsächlich mehr Schutz bewirken statt nur auf dem Papier.

Kurzum: Sicherheitsarbeit ist immer ein Spagat. Ein pragmatischer Ansatz hilft, diesen Spagat erfolgreich zu meistern, weil er flexibel Lösungen sucht, die im konkreten Kontext funktionieren, statt an starren Prinzipien festzuhalten. Er anerkennt, dass jede Maßnahme Vor- und Nachteile hat, und optimiert das Gesamtpaket nach Wirksamkeit. Theorien und Modelle (ob “Zero Trust”, “Defense in Depth” oder andere) sind dabei hilfreiche Werkzeuge – aber der Pragmatismus stellt sicher, dass man sie mit Augenmaß anwendet und bei Bedarf auch kombiniert oder modifiziert. Wie James fordern würde: Entscheidend ist nicht, ob eine Sicherheitsidee „theoretisch gut klingt“, sondern ob sie sich bewährt, ob sie einen praktischen Unterschied macht[1].

Pragmatismus in der Praxis: Beispiele aus dem Sicherheitsalltag

Wie sieht nun ein pragmatischer Cyber-Defense-Ansatz konkret aus? Im folgenden Abschnitt betrachten wir einige praxisbewährte Strategien, die zeigen, wie Durchdachtheit statt Dogmatismus zu effektiverer Sicherheit führt. Insbesondere geht es darum, Sicherheit so zu implementieren, dass sie wirksam ist, ohne die Menschen übermäßig zu belasten – denn Sicherheitsmaßnahmen greifen nur, wenn sie auch gelebt werden.

Es können folgende Paradigmen betrachtet werden:

• Unsichtbare Sicherheit: Ein häufiger Fehler in der IT-Security ist es, Nutzer mit Sicherheitsmechanismen zu überfrachten – jedes Pop-up, jeder Captcha-Test, jede Wartezeit nervt und lenkt von der eigentlichen Aufgabe ab. Wo immer möglich, sollte Sicherheit im Hintergrund ablaufen. Ein pragmatisches IT-Team plant z.B. Software-Patches zeitlich geschickt ein: Sicherheitsupdates werden nachts oder am Wochenende installiert, sodass niemand mitten im Arbeitsprozess vom Neustart überrascht wird. Ebenso lassen sich viele Prüfungen automatisiert durchführen. Das genannte reCAPTCHA-System von Google identifiziert echte Menschen inzwischen anhand ihres Verhaltens (Mausbewegungen, Reaktionszeiten) und erspart ihnen das lästige Anklicken von Bilderrätseln. Das Motto lautet: Maximale Wirkung mit minimaler Störung. Die Benutzer sollen idealerweise gar nicht merken, wie viel Sicherheit im Hintergrund abläuft – sie können unbeschwert arbeiten, während die Schutzmechanismen still ihren Dienst tun.
• Risikobasierte Authentifizierung: Früher galt oft ein Pauschalprinzip: „Für alles immer höchste Sicherheit!“ – was dazu führte, dass man sich vielleicht bei jeder kleinen Aktion neu anmelden oder ein komplexes Captcha lösen musste. Ein pragmatischer Ansatz differenziert hier. Nicht jeder Zugriff ist gleich kritisch. Daher setzt man Sicherheitsbarrieren gestaffelt ein. Beispielsweise kann ein Mitarbeiter, der auf allgemeine Intranet-Daten zugreift, dies mit einfacher Anmeldung tun. Will er jedoch auf die Finanzbuchhaltung zugreifen oder Systeme administrieren, greift eine strenge Mehr-Faktor-Authentisierung mit Hardware-Token. So spürt der Großteil der Nutzer im Alltag nur wenig „Security-Reibung“, während an neuralgischen Punkten die volle Kontrolle herrscht. Diese Risikobasiertheit stellt sicher, dass Sicherheitsressourcen dort konzentriert werden, wo sie am meisten gebraucht werden, und die User nicht ohne Not mit ständigen Checks zermürbt werden. Das Ergebnis: Weniger Widerstand der Anwender und dennoch hohe Sicherheit, wo es zählt. Entsprechend dem pragmatischen Leitsatz wird genau so viel Schutz wie nötig und so wenig Ballast wie möglich implementiert.
• Benutzer als Mitstreiter: Ein Dogma in manchen Sicherheitskreisen ist, alle Probleme mit Technik lösen zu wollen, während man die Anwender als unbehebbares „Risiko“ betrachtet. Pragmatiker wissen hingegen, dass Sicherheitskultur ein Schlüsselfaktor ist. Aufgeklärte und eingebundene Mitarbeiter sind keine Gegner, sondern Verbündete der Security-Abteilung. Daher investieren erfolgreiche Unternehmen in regelmäßige Schulungen, Phishing-Tests und bewusstseinsbildende Maßnahmen. Wenn Mitarbeiter verstehen, warum bestimmte Regeln existieren, halten sie sich eher daran – oder melden sogar von sich aus verdächtige Vorgänge. Genauso wichtig ist das Feedback der Nutzer: Ein pragmatisches Security-Team holt bei der Einführung neuer Tools oder Policies frühzeitig Rückmeldungen ein. Finden Pilotnutzer eine Maßnahme zu umständlich, wird sie angepasst, bevor sie für alle ausgerollt wird. So zeigt man Wertschätzung für die Perspektive der Anwender und verhindert, dass gut gemeinte Sicherheitsmaßnahmen in der Praxis scheitern. Letztlich arbeiten alle im Unternehmen am selben Ziel – dem Unternehmenserhalt – und wenn IT-Sicherheit als gemeinsames Anliegen verstanden wird, steigt die Compliance enorm. Ein schöner Nebeneffekt: Die Akzeptanz für notwendige, aber unbequeme Schritte (wie z.B. gelegentliche Passwortwechsel oder MFA beim Login von außerhalb) ist viel höher, wenn die Belegschaft insgesamt hinter der Sicherheitsstrategie steht. Hand in Hand arbeitet es sich eben besser und sicherer.

Neben diesen Beispielen gibt es zahllose weitere Bereiche, in denen Pragmatismus den Weg weist. Etwa in der Priorisierung von Sicherheitsprojekten – anstatt modischen Trends zu folgen, konzentriert man sich auf Maßnahmen, die gegenüber den größten Risiken den größten Nutzen bringen (zum Beispiel erst Backup- und Notfallpläne ausbauen, bevor man KI-gestützte Angriffserkennung einführt). Oder beim Umgang mit Sicherheitsvorfällen: pragmatisch orientierte Teams pflegen eine no blame-Kultur, die Transparenz fördert („Fehler dürfen passieren, Hauptsache wir lernen und verbessern uns“), statt eine Schuldzuweisungskultur, die nur Verheimlichung begünstigt. Alles zielt darauf ab, die reale Sicherheit Schritt für Schritt zu erhöhen, statt einer theoretischen Perfektion hinterherzujagen.

Fazit: Was zählt, ist der praktische Erfolg

In der IT-Sicherheit wird oft – im übertragenen Sinne – über Glaubensfragen diskutiert: Ist Ansatz X besser als Y? Sollte man strikt Regel A folgen? Der pragmatische Ansatz erlöst uns ein Stück weit von solchen ideologischen Debatten. Er fragt schlicht: Welche Lösung löst das Sicherheitsproblem am effektivsten, mit vertretbarem Aufwand und Akzeptanz? Damit rückt der Outcome in den Vordergrund: ein spürbarer Sicherheitsgewinn, messbar etwa in weniger Vorfällen, schnellerer Reaktionszeit, höherer Mitarbeiterbeteiligung oder geringerem Schaden bei Attacken.

Die Betrachtung durch die pragmatische Brille führt zu mehreren Erkenntnissen:

• Flexibilität schlägt Starrheit: Weil die Cyber-Bedrohungen sich ständig ändern, muss auch unsere Antwort dynamisch bleiben. Ein pragmatischer Plan wird daher regelmäßig überprüft und justiert. Was heute funktioniert, kann morgen überholt sein – dann ist Anpassung kein Eingeständnis von Schwäche, sondern Ausdruck von Klugheit. Dogmatismus dagegen würde auf einem einmal gefassten Plan beharren, selbst wenn die Realität ihn längst widerlegt hat.
• Konzentration aufs Wesentliche: Pragmatismus hilft, Prioritäten zu setzen. In einer idealen Welt würde man alles absichern; in der Realität sind Ressourcen begrenzt. Also kümmert man sich zuerst um die größten Risiken und effektivsten Maßnahmen. Diese Fokussierung vermeidet, dass man sich in randständigen Details verliert, während die Scheunentore offenstehen. So werden z.B. lieber 100% der kritischen Sicherheitsupdates zeitnah installiert, als 100% der Geräte mit einem BIOS-Passwort versehen – letzteres mag dogmatisch konsequent wirken, bringt aber kaum zusätzliche Sicherheit.
• Mensch und Technik gemeinsam denken: Sicherheitskonzepte dürfen Menschen nicht ausblenden. Wie die Zahlen zeigen (95% der Vorfälle mit menschlichem Faktor[5], 66% der Nutzer mit riskantem Verhalten[6]), entscheidet letztlich das Zusammenwirken von Mensch und Technik über Erfolg oder Misserfolg. Pragmatismus heißt, Usability und Security nicht als Gegensätze, sondern als Partner zu begreifen. Gute Sicherheitslösungen integrieren sich in die Arbeitsabläufe, sind intuitiv bedienbar und gewinnen so die Unterstützung der Nutzer – anstatt sie zu frustrieren.
• Ergebnisorientierte Kultur: Wenn in einem Team pragmatisch gedacht wird, zählt weniger, wie etwas gemacht wird, sondern was es bringt. Das fördert eine Kultur, in der kreativ nach Verbesserungen gesucht wird. Mitarbeiter haben die Freiheit, unkonventionelle Vorschläge einzubringen („Können wir nicht statt regelmäßiger Passwortwechsel lieber einen Login-Warnhinweis bei neuen Geräten anzeigen?“), solange sie begründen können, dass es die Sicherheit praktisch erhöht. Solche Ideen hätten in einem ideologiegetriebenen Umfeld womöglich keinen Platz. Pragmatismus schafft also auch Raum für Innovation in der Sicherheitsarbeit, indem er das Bewertungskriterium klar macht: Wirksamkeit.

Abschließend lässt sich sagen: Ein pragmatischer Cyber-Defense-Ansatz stellt die Frage „Was funktioniert wirklich?“ über theoretische Überlegungen. Das heißt nicht, dass man Prinzipien über Bord wirft – Grundprinzipien wie „Vertraulichkeit, Integrität, Verfügbarkeit“ bleiben leitend. Aber man wendet sie mit gesundem Menschenverstand an und bleibt offen für neue Wege, wenn alte nicht (mehr) greifen. In Anlehnung an William James können wir behaupten: Eine Sicherheitsmaßnahme ist so lange „wahr“ (gültig), wie sie uns hilft, die digitale Welt sicherer zu machen. Sobald sie diesem Zweck nicht mehr dient, muss sie hinterfragt werden. So eine Haltung ist kein Zeichen von Beliebigkeit, sondern von Professionalität im besten Sinne.

In einer Zeit, in der kein Unternehmen sich Stillstand leisten kann, bietet Pragmatismus den vielleicht einzigen gangbaren Weg, der Flut an Cyberrisiken Herr zu werden. Handeln vor Ideologie – das bedeutet, lieber heute eine praktisches Schutznetz knüpfen, als ewig auf das perfektionistische Sicherheitskonzept von morgen zu warten. Denn am Ende zählt, dass die Daten sicher sind, die Angriffe abgewehrt werden und das Geschäft weiterlaufen kann. Und genau das erreicht man am ehesten, wenn man tut, was funktioniert.[3]

References

[1] Pragmatische Theorie der Wahrheit – Marjolein

[2] Philosophie als Experiment – Frankfurter Rundschau

[3] Schneier on Security – Carl Baatz

[4] Sind komplexe Passwörter von gestern? – G DATA

[5] 95 Prozent aller IT Probleme durch Menschen verursacht – BRANDMAUER

[6] Zwei von drei Nutzern nutzen unsichere Passwörter – dhz.net