Es ist schon einige Zeit ins Land gezogen, seit ich etwas für die Labs geschrieben habe. Daher gibt es eine Menge Dinge, über die reden könnte oder möchte und somit war die Wahl für dieses Kapitel eine schwere.

Da meine Kollegen von der scip AG mit ihren technisch orientierten Kapiteln bisher grossartige Arbeit geleistet haben, habe ich mich entschieden, über etwas zu schreiben, das mir schon seit Jahren auf der Zunge liegt. Und erst kürzlich ist mir diese Tatsache wieder bewusst geworden, da ich in letzter Zeit viele junge Leute treffe, die in den InfoSec-Sektor wechseln.

Es ist eigentlich ganz einfach: Du bist nicht in einem verdammten Film. Ich habe die letzte Dekade in diesem Sektor gearbeitet. Ich behaupte nicht, alles zu wissen, aber lass mich dir etwas erklären. Information Security im Generellen , und nicht nur wenn es um offensive Services wie das Penetration Testing geht, haben einen sehr romantisierten Ruf. Das Bild in deinem Kopf ist sehr wahrscheinlich eine Mischung aus dem Bild, das dir grosse Medien vermitteln wollen und den Klischees, die dir in Filmen, Fernsehserien und Büchern gezeigt werden.

Wenn du irgendetwas schreibst, dann sind Klischees eine grossartige Sache. Sie sind Werkzeuge auf die du dich verlassen kannst. Du weisst, dass dein Publikum sie verstehen wird. Sie treffen die Erwartungen deiner Leser und lassen etwas plausibel erscheinen, das nicht zwingend der Wahrheit entsprechen muss.

Ein gutes Beispiel hierfür ist das Klischee, das im Englischen als Kick the Dog bekannt ist. Das geht so: Der Autor lässt eine seiner Figuren gelassen böse und grausam erschienen. Das Publikum weiss dann, dass es in Ordnung ist diese Figur nicht zu mögen. Der Bösewicht stiehlt einem Obdachlosen das Kleingeld aus dem Hut. Er missbraucht seine Macht um jemanden unglücklich zu machen oder – daher der Name – einen hilflosen Hund treten. Mit diesen Gräueltaten etabliert der Autor die Erwartung, dass diese Person, die gemein zu anderen Menschen und/ oder Tieren ist, ganz klar der Bösewicht in der Geschichte ist.

Ein anderes Klischee besagt «Everything is better with Explosions» (deutsch: Alles ist besser mit Explosionen). Wie viele Autos sind auf deinem Weg zur Arbeit heute Morgen explodiert? Wenn die Antwort auf diese Frage grösser als Null ist, dann hoffe ich, dass du unverletzt bist und möchte dir für dein spannendes Leben gratulieren. Und wenn die Antwort, genau wie für mich, «Null» ist: Na ja, dann bist du hier. Mit uns allen. In der Realität. Warum explodiert aber alles in Hollywood-Filmen? Weil Menschen Explosionen mögen.

Das bringt uns zu einem ganz wichtigen Punkt. Klischees sind nicht gleich Klischees. Sie sind nicht zwingend schlecht. Es gibt nichts Neues unter der Sonne ist eine Redewendung, die sicherlich auf das Geschichtenerzählen zutrifft. Klischees bieten uns funktionierende, einfach zugängliche Storyelemente, die in den Köpfen des Publikums Sinn ergeben. Wenn ich von dir verlangen würde, innerhalb der nächsten zehn Minuten eine Geschichte zu schreiben, dann würdest du sicher mindestens ein Klischee verwenden.

Ich glaube, dass Klischees nicht nur im Geschichtenerzählen zu Hause sind. Ich glaube sogar daran, dass Klischees, diese Annahmen und emotionalen Verbindungen, die diese erfundenen Geschichten erst funktionieren lassen, wichtig für unsere Zusammenarbeit und unsere Kommunikation im Alltag unabdingbar sind. Und ich glaube, Information Security bildet da keine Ausnahme.

Für die meisten ist InfoSec eine Sache der Verteidigung. Es geht darum, Risiken einzuschätzen und eine Firma vor Bedrohungen zu beschützen. Also, wer oder was bedroht denn ein Unternehmen? Das ist der Punkt an dem Threat Modelling ins Spiel kommt. Wenn du mit einem Unternehmen ein Threat Model erstellst, wirst du zwangsläufig mit Annahmen arbeiten, die Klischees gleichen. Die Unternehmen werden fast ausnahmslos ihre Konkurrenz als Bedrohung sehen. Und sehr wahrscheinlich werden sie auch Script Kiddies in die Liste der Bedrohungen aufnehmen. Doch ihnen wird kein grosses Gefahrenpotential und damit keine grosse Wichtigkeit zugestanden. Und ganze Nationen kommen auf die Liste, da sie ein «Advanced Persistent Threat» – eine stete, fortgeschrittene Bedrohung – darstellen. Alle diese Dinge werden Sinn ergeben, wenn du sie hörst. Aber das heisst nich, dass sie zwingend der Wahrheit entsprechen.

Die Konkurrenz hat eventuell kein Interesse, dem Unternehmen Schaden zuzufügen, da sie selbst eine gute Marktposition einnehmen und würden viel investieren müssen, nur um dem Unternehmen Schaden zuzufügen. Dies würde ihnen auch nur wenig bringen. Oder: Sie sind schlicht zu beschäftigt um daran zu denken, einem anderen Unternehmen zu schaden.

Der Begriff Script Kiddie wird seit Jahren als Beleidigung verwendet. Meiner Meinung nach ist ein Script Kiddie keine gute Beschreibung für eine Bedrohung. Wenn Leute den Begriff im Threat Modelling verwenden, dann stellen sie sich gelangweilte Teenager vor, die dbautopwn gegen das Netzwerk der Firma laufen lassen. Harmlose Teenies, halt. Untschätzen sollte man sie aber nicht. Ein paar hundert Pubertierende, die LOIC zwecks DDoS-Attacke laufen lassen benötigen sehr wenig Wissen und können sehr grossen Schaden anrichten. Ausser sie werden als Risiko ernst genommen.

Nationen. Mein Favorit. Ich werde versuchen, mich kurz zu halten und nicht gross abschweifen und rüffeln. Ja, Regierungen wissen, dass Computer existieren. Und sie werden das Potential der Maschinen nutzen, wenn sich die Möglichkeit bietet und das Ziel rechtfertigt immer den Weg. Aber wenn ich Von der Regierung subventioniertes Hacking aus China im Threat Model eines kleinen Unternehmens, das personalisiertes Verpackungsmaterial an lokale Firmen (die ihrerseits auch nicht grade Ziele von grossem Wert sind) verkauft, lese, dann scheint mir das ein wenig zu vage. Das ist irgendwie so, als ob du dir Sorgen machen würdest, dass du deine Wohnung nicht abgeschlossen hast weil du befürchtest, dass das US Marine Corps deinen 60-Zoll-Fernseher klauen kommt. Das ist zwar durchaus möglich, aber – seien wir mal ehrlich – sehr unwahrscheinlich.

Das sind so einige der Beispiele im Threat Modelling, denen ich immer wieder begegne. Und ich möchte das klarstellen: Es ist nichts Falsches daran, sich auf unwahrscheinliche Fälle vorzubereiten, so lange die echten, akuten Bedrohungen ganz oben auf der Prioritätenliste bleiben.

Ein Freund von mir aus den Niederlanden bereitet sich auf die Zombie-Apokalypse vor. Er erwartet – glaube ich jetzt mal – zwar nicht, dass sich die Toten erheben und unsere Gehirne fressen wollen, aber er dachte sich, dass es ein nettes Gedankenexperiment sei, herauszufinden, wie er sich und seine Familie beschützen könnte wenn denn alles vor die Hunde geht – mit oder ohne Zombies. Mit vielen seiner Massnahmen schützt er sich auch gegen allerlei anderes.

Bedrohungen, die real sind. Sich auf so eine Bedrohung vorzubereiten ist absolut okay, so lange du weisst, wie unwahrscheinlich diese Dinge sind und dir zudem Gedanken machst, wie du deine Massnahmen so universell nutzbar wie möglich machen kannst.

Verlassen wir das Threat Modelling kurz. Da gibt es noch ein Gebiet, in dem wir Klischees sehen. Diese werden aber vor allem von der InfoSec-Industrie selbst gemacht. Nimm ein Produkt vom Regal, das an der RSA oder einer anderen InfoSec-Austellung angepriesen wird. Dann stell seine effektive Nützlichkeit der versprochenen Nützlichkeit gegenüber.

• Firewalls sind ein tolles Beispiel. Jeder mag Firewalls. Und jeder kauft Firewalls, am besten gleich mehrere aufs Mal. Als Sony im Jahr 2011 von einer massiven Hacker-Attacke getroffen wurde hielt der Konzern eine Pressekonferenz ab. Geschäftsführer Kazuo Hirai sagte, dass Sony daran arbeite, das Datenleck zu stopfen, das mehr als 770 Millionen Accounts betroffen hat. In einem Brief an die US-Gesetzgeber hielt Sony fest, dass sie mehr Firewalls installiert hätten. Das solle ihre Sicherheit verbessern. Menschen, die keine Ahnung haben, was eine Firewall eigentlich ist und was so eine Firewall denn eigentlich tut – deprimierenderweise ist das oft nur das Ausführen von NAT und das Forwarding der Ports 80 und 443 –, glauben, dass das Hinzufügen von Firewalls gleichbedeutend mit mehr Sicherheit ist.
• Antivirenprogramme (AV) stören mich schon seit langem. Das grosse Missverständnis der Programme gleicht dem der Firewalls. Sie werden als eine Art Universal-Allzweckwaffe gegen ein nicht genau definiertes Problem. Unzählige Administratoren sind gezwungen, Antivirenprogramme auf einem System zu installieren, das gar nicht in Kontakt mit bekannter Malware kommt. Das führt dazu, dass das System mit Schwachstellen, die in den Agents des AV versteckt sind, versehen wird. Das ist logischerweise der schlimmste anzunehmende Fall. Was öfter passiert ist, dass das AV Fehlalarme ausgibt und ohne irgendeinen ersichtlichen Grund Systemressourcen belegt. Aber versteht mich nicht falsch: AV sind okay, wenn sie bewusst und moderat eingesetzt werden.

Anders als die obigen Beispiele glaube ich, dass diese Mentalität zu Problemen und Verlusten führen kann. Softwarehersteller betonen eifrig, dass ihre Produkte mehr Sicherheit schaffen. CISOs werden so über längere Zeit hinweg mit der selben Botschaft konfrontiert: Sicherheit funktioniert mit einer Art Punktesystem. Du startest mit null punkten. Du fügst eine Firewall hinzu: Plus 10 Punkte. Du installierst AV auf jedem System: 50 Punkte. Du kaufst mehr Produkte: 200 Punkte. Das System wird kompromittiert. Game Over. Fange wieder bei null an.

Sicherheit ist kein Spiel mit Punkten. Es ist ein Spiel, bestehend aus Szenarien, vorausschauendem Denken und gutem Urteil. Und einfach Produkte (und damit auch Geld) an ein Problem zu werfen hilft in der Regel nicht, selbiges zu lösen. Alle diese Beispiele sollten dir eines zeigen: Nimm nichts an. Stelle Fragen. Stelle sie zuerst dir selbst, dann frage andere. Frage deine Mitarbeiter, deine Chefs, deine Partner. Hinterfrage jede Antwort, auch deine eigene. Versuche, die Fakten von der Spekulation zu trennen, Wissen von der Annahme.

Wir behandeln Probleme und Bedrohungen in unserem individuellen und eigenen Umfeld. Allgemeinwissen und den Rat von Leuten aus verwandten Berufsfeldern zu suchen, ergibt Sinn. Aber nachdem alles gesagt und getan worden ist, liegt die Entscheidung, wie wir all diese Information in eine gewisse Perspektive setzen, bei uns. Und während Hollywood uns mit Klischees wie Alles ist besser mit Zombies/Motorrädern/Dudelsäcken beeindruckt, sollte unser Berufsfeld bei den Basics bleiben: Alles ist besser mit gesundem Menschenverstand.

Über den Autor

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard (PTES) und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.