Information statt Angst

Stefan Friedli

IT-Sicherheit beschäftigt. In unserem Alltag werden wir zunehmend mit dem Schutz unserer eigenen Daten und Privatsphäre konfrontiert. Firmeninhaber sehen sich durch Industriespionage und dem Ausfall von Systemen durch Virenbefall bedroht. Politiker zucken zusammen, wenn der Kunstbegriff “Cyberterrorismus” die Runde macht.

Technologie ist ein komplexes Thema. Im Alltag unserer Gesellschaft erhöht sich diese Komplexität noch einmal massiv, weil Technologie sich mit politischen, wirtschaftlichen, ethischen und moralischen Faktoren untrennbar verkettet. Reden wir dann von der Sicherheit dieser Technologien, so reden wir auch vom Einfluss auf alle damit verwobenen gesellschaftlichen Verknüpfungen.

Virenangriffe wie Stuxnet sind ein exzellentes Beispiel: Natürlich ist der Angriffsmechanismus interessant. Ebenso die Schwachstellen, die ausgenutzt wurden. Doch was Stuxnet zu einem Thema der Massen machte, ist der Fakt, dass (angeblich) Atomkraftwerke angegriffen werden sollte. Dass Vermutungen im Raum stehen, dass es sich hier um digitale Kriegsführung handelt, einem realen Konflikt zwischen realen Staaten – mit den komplexen technologischen Grundlagen hat das aber nichts mehr zu tun.

Es ist heute weitgehend bekannt, dass Technologie Schwachstellen aufweist. Die Existenz von Hackern ist, so sehr sie auch sensationalisiert und verfälscht dargestellt wird, eine unumstrittene Tatsache. Einige Themen und Begriffe, wie zum Beispiel Computerviren und Trojaner sind dermassen oft schon in der Öffentlichtkeit aufgetaucht, dass sie Common Knowledge sind. Die Mainstream Medien arbeiten mit diesen Begriffen und, oftmals selbsternannte, “Experten” nutzen dieselbe Terminologie, um ihre Kredibilität zu unterstreichen und sich gegenüber den Medien und der Öffentlichkeit verständlich zu machen. IT-Sicherheit ist ein Thema, über das gesprochen wird.

Wir sprechen über Virenattacken, über Keylogger und Trojaner und wie wir uns davor schützen können. Das ist gut, aber es gibt eine schlechte Nachricht: Wir sprechen über 2% des Problems – und das ist eine optimistische Schätzung. Die restlichen 98% des Problems werden nicht angesprochen, weil sie nach dem Ermessen irgendwelcher Leute in eine der folgenden Kategorien fallen:

1. Der Inhalt ist technisch zu komplex für die breite Masse
2. Das Szenario des Problems ist für einen grossen Teil der Masse nicht nachvollziehbar
3. Niemand hat bislang eine Möglichkeit gefunden, damit Geld zu verdienen

Alle drei Kategorien sind kurzsichtig, unlogisch sowie, abhängig vom jeweiligen Fall aus journalistischem Blickwinkel falsch und unmoralisch.

Die wenigen Themen, die wir effektiv ansprechen, sind meistens trivial und veraltet. Wir erhalten zum Beispiel regelmässig Presseanfragen zum Thema Computerviren – erst vor kurzem wurde ich in einem Radiointerview nach Dingen gefragt, die seit 10 Jahren in Hunderten von Artikel geschrieben wurden: Was ist ein Virus? Kann man sich schützen? Wie gut sind AV Produkte?

Sind diese Fragen legitim? Ja. Gäbe es bessere Fragen: Definitiv.

Vor kurzem wurde ich von einem Journalisten gefragt, was ich von der Berichterstattung in unserem Sektor halte. Meine ehrliche Antwort war: Sehr wenig. Die meisten Artikel, die ihren Weg in die Schweizer Tagespresse finden sind entweder irrelevant, masslos übertrieben oder fachlich schlicht und einfach falsch. Mein Gesprächspartner war etwas pikiert, hakte aber nach und fragte nach Ursachen. Meines Erachtens liegen diese nicht bei den Journalisten. Niemand kann von einem Journalisten erwarten, ein hochkomplexes Feld wie unseres vollumfänglich zu verstehen. Das Problem liegt an der Quelle – in unserer eigenen Industrie:

1. Übermässige Vereinfachung von Sachverhalten (“dumbing down”)
2. Mangel an kompetenten, qualifizierten Quellen/selbsternannte “Experten”
3. Das Anbieten falscher oder unzureichender Lösungen

Diese Gründe können mehr oder minder beliebig miteinander kombiniert werden. Beliebte Beispiel sind:

  • Sicherheitsexperten reden von Bedrohungen, sprechen dabei aber nur von Viren, weil andere Angriffsvektoren erklärt werden müssten. Aus diesem Grund werden auch nur entsprechende Gegenmassnahmen (AV) empfohlen (1, 3)
  • “Experten” warnen vor unermesslichen Risiken epochalen Ausmasses und prophezeien den Untergang des Abendlandes (2, oft zu finden in Artikeln zu Stuxnet)
  • Marketing-Mitarbeiter von “Sicherheitsfirmen”, die Firewalls und AV-Produkte verkaufen, erklären wie man sich mit ihren Produkten gegen “Hackerangriffe” schützt (1, 2 und 3)

Es mag viele Motivationen geben, sich mit IT-Sicherheit zu beschäftigen. Einige profitieren sicherlich massiv von dieser Art von Berichterstattung. So mancher Hersteller einer “Sicherheitssoftware” hat sich mit geschickter Panikmache eine goldene Nase verdient. Fakt ist aber: Wir verlieren alle. Es existieren Risiken und Schwachstellen, über die wir informieren müssen und über die ein öffentlicher Dialog geführt werden muss – ohne Panikmache, sondern mit verständlichen und akkuraten Informationen zur Problematik.

Diesen Dialog zu starten, das ist die Aufgabe der professionellen IT-Security-Schaffenden. Wir müssen aufhören, still grollend zu akzeptieren, dass Probleme trivialisiert, inakkurat wiedergegeben oder mit falschen Empfehlungen versehen werden. Die, schweizerisch-sprichwörtliche “Faust im Sack” hilft niemanden weiter – aber der Dialog mit den Medienschaffenden und das Bereitstellen von akkuraten, verständlichen Informationen kann der erste Schritt dazu sein, das Thema IT-Sicherheit seriös und ernsthaft zu behandeln.

Tags

Artikel, Firewall, Hacker, Interview

Email Accounts

Stefan Friedli

Software Without Brakes

Stefan Friedli

HTTPS Bicycle Attack

Stefan Friedli

Not Only Terrorists Have Something to Hide

Stefan Friedli

You want more?

Further articles available here

Questions about this article?

Our experts will get in contact with you!