Lasst mich mit einer kleinen Anekdote beginnen. Sie hat zwar nichts mit Information Security zu tun, aber sie dauert nur einen Absatz oder zwei.

Es ist kein Geheimnis, dass ich ein begeisterter Leser bin. Ich lese allerlei Bücher und habe Hobbies, die sich mit Büchern befassen. Vor einer Weile hatte ich daher das Vergnügen mit zwei Autorinnen zu sprechen, Elizabeth Wein und Sally Gardner. Beide sind dafür bekannt, Historical Fiction zu schreiben.

Eine kleine Übersicht: Sally Gardner hat vor kurzem ein Buch namens Maggot Moon verfasst, das die Carnegie Medal for Young Adult Fiction gewonnen hat. Im Buch geht es um die Effekte eines unterdrückenden Regimes. Elizabeth Wein hat Code Name: Verity geschrieben, das sich ebenfalls an junge Erwachsene richtet und die Geschichte von zwei jungen Britischen Frauen zur Zeit des Zweiten Weltkriegs erzählt. Eine von ihnen ist Pilotin, die andere Spionin.

Nachdem wir etwas über Bücher geredet hatten, kamen wir auf das Thema Recherche zu sprechen. Wenn du etwas schreibst, das sich in einem bestimmten Zeitrahmen der jüngeren Vergangenheit abspielt, dann spielt die Recherche eine sehr wichtige Rolle, wenn es darum geht, eine Story wahrheitsgetreu und kohärent zu erzählen. Daher hat mir Elizabeth Wein erzählt, wie weit sie mit ihrer Recherche gegangen ist. Das war faszinierend, dass jemand so weit gehen würde, die Grundmechanik eines frühen Kugelschreibers zu untersuchen, nur damit ihn eine der Protagonistinen in Code Name Verity benutzen kann. Während dieser Diskussion brachte sich Sally Gardner ein: Egal, wie viel Recherche du betreibst und egal, wie gerne du den Lesern jede noch so kleine Information weitergeben möchstest… du kannst das einfach nicht tun. Denn wenn du das tust, dann wirst du zum nervigen Familienmitglied, das dir drei Stunden lang Ferienfotos zeigt.

Dieser Punkt blieb bei mir als Profi im InfoSec-Bereich im Kopf haften. Weil, weist du, ich glaube dass das eine recht gute Analyse ist, wie Information weitergegeben werden sollte, egal, ob du nun ein Buch schreibst oder einen Report für den CISO oder sonst jemanden in deiner oder einer anderen Firma. Und mir ist auch klar geworden, dass ich dieser lächerliche Foto-Typ war, der allen Beteiligten jeden coolen Exploit während eines Penetration Tests zeigen wollte, und auch all die vertraulichen Dokumente, die wir gefunden haben. Aber jemandem, der eigentlich damit beschäftigt ist, ein Unternehmen zu führen, innerhalb einer Stunde alles über Information Security beizubringen geht einfache nicht. Schlicht und ergreifend: Funktioniert nicht.

Also dies sind hier meine Gedanken, und es steht euch frei, mir zu widersprechen: Die gesamte Recherche, alle gesammelten Informationen, all die tollen kleinen Details und das Wie und das Warum Sicherheit so funktioniert oder funktionieren sollten: Sie sind für dich. Und im Moment des Sammelns sind sie nur für dich. Denn sie sind nur die Basis auf der du aufbaust. Es ist dein Job, etwas auf diesem Fundament aufzubauen, das ansprechend und interessant für jemanden ist, der kein Interesse am Fundament hat oder das Fundament auch gar nicht kennen muss.

Und genau darum geht’s wenn du mit Geschäftsleuten redest und warum du im Normalfall scheiterst. Nur dein eigenes Wissen zusammenzufassen reicht nicht, du musst es neu verpacken. Du musst es zu deiner Botschaft werden lassen und deine Recherche ist dazu da, dass die Sache nicht zerfällt, faktisch richtig ist und um deine Geschichte zu stabilisieren, sie rechenschaftspflichtig zu machen.

In Elizabeth Weins Buch ist der Kugelschreiber wichtig, weil eine der Protagonistinnen ist in Gefangenschaft und braucht ein Gerät, damit sie weiterhin ihre Tagebücher schreiben kann. Sonst wäre das Buch nach etwa 20 Seiten zu Ende, was doch etwas langweilig wäre. Also war der Kugelschreiber eine Notwendigkeit. Aber was wäre nun, wenn jemand hinterfragen würde, ob es zur Zeit des zweiten Weltkriegs schon Kugelschreiber gegeben hat? Und wäre eine Pilotin der britischen Air Force überhaupt in der Position, einen Kugelschreiber zu besitzen? Die Autorin nahm sich all dieser Fragen an. Und, ja, die Pilotin kann einen Kugelschreiber haben. Und Elizabeth Wein kann dir sagen, wieso das so ist. Kannst du das selbe tun, wenn es um deine jüngsten Reports geht?

An der InfoSec-Konferenz Bsides in Las Vegas habe ich vor einigen Jahren über schlechtes Penetration Testing gesprochen, im Speziellen über schlechte Reports von diesen Tests. So zu sprechen, dass Unternehmer mich verstehen würden, war einer meiner Kernpunkte. Keine Businessperson interessieren deine Shells, deine Vorgehensweise oder wie du zu einem Schluss gekommen bist. In deren Meinung zählt weniger der Weg sondern mehr das Resultat: Was bedeutet es für ihr Business? Wie gross könnte der Schaden, bevorzugt konvertiert in die lokale Währung, sein? Das sind die Dinge, die du mitteilen musst. Und damit du das tun kannst, damit du all diese Informationen hast, musst du recherchieren. Jedes noch so kleine bisschen Recherche musst du auf dich nehmen. Aber du musst nicht allen alles zeigen. Alles, was am Ende zählt, ist das Endprodukt.

Über den Autor

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard (PTES) und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.