An keinem Punkt der Vergangenheit hat Onlinesicherheit mehr Beachtung in den traditionellen Newskanälen erhalten als heute. Cyberspace, die sogenannte Fifth Domain ist mittlerweile derart wichtig geworden, dass grosse Einbrüche wie der Yahoo Hack Millionen über Millionen von Benutzern betreffen. Erstaunliche Zahlen, bei denen einem durchaus schwindlig werden kann, wenn man bedenkt, dass Informationssicherheit ursprünglich eine Nische der Informatikwelt dargestellt hat.

Befragt man praktizierende Experten zu Ihrer Motivation in diesem Feld zu arbeiten, nennen viele eine inhärente Neugier und den Nervenkitzel bei der Jagd nach neuen Schwachstellen. Am Ende des Tages geht es in Sicherheitsfragen aber nicht nur um den Angriff: Die defensive Seite ist mindestens genauso wichtig. Wir müssen Lösungen bauen und die breite Bevölkerung über die Risiken aufklären, denen jeder Bürger gegenübersteht. Es ist unsere Aufgabe, verschiedenen Demographien die Werkzeuge aufzuzeigen, die zur Verfügung stehen, um diesen Risiken zu trotzen.

Als Hillary Clinton’s Kampagnenmanager John Podesta vor kurzem Opfer eines Phishing-Angriffs wurde, dauerte es nicht lange, bis Kommentatoren die Schuld bei Podesta suchten. Aber die Wahrheit ist: Jeder, sogar erfahrene Informatikspezialisten, hätten ein Opfer einer solid aufgebauten Angriffskampagne werden können. Es ist unglaublich wichtig, dass wir verstehen und zur Kenntnis nehmen, dass Sicherheit nicht allein in der Verantwortung des Benutzers liegen kann oder soll. Um die alte, aber durchaus passende Auto-Metapher anzustrengen: Wenn ein Auto verkauft wird, steht der Sicherheitsgurt nicht zur Diskussion. Es besteht keine Auswahlmöglichkeit, zu deren Konstruktion oder Material. Er ist einfach da und erfüllt den angedachten Zweck und mitigierten die entsprechenden Risiken. Diesen Grad an implizierter Sicherheit müssen wir in allgemein zugänglicher Technologie erreichen, wenn wir Sicherheit wirklich mit der Signifikanz behandeln wollen, die das Thema verdient.

Dennoch: Teile der Informationssicherheits-Community halten an einer technokratischen, elitären sowie teils schlicht und einfach unfreundlichen Einstellung gegenüber Individuen ausserhalb ihres inneren Zirkels – und teilweise innerhalb des Selbigen – fest. In der Vergangenheit habe ich mich wiederholt gegen dieses selbstgefällige Gefühl der Überlegenheit ausgesprochen, das wir als Gemeinschaft oftmals zeigen. Wir bezeichnen Benutzer als dumm, weil sie auf Dinge klicken, die ihnen schaden und realisieren dabei nicht, dass der Weg dieses Problem zu lösen darin liegen sicherzustellen würde, dass Security Controls bösartige Inhalte erkennen und mitigieren, bevor ein Klick überhaupt ein potenzielles Risiko darstellen könnte. Und dort hört die Problematik nicht auf. Ich könnte diesen Blog Post mit Beispielen unkonstruktiven, herablassenden Verhaltens füllen – ich habe mich jedoch bewusst entschieden darauf zu verzichten, um nicht ein Teil des selben Problems zu werden, das ich an dieser Stelle kritisiere.

Wir, die Informationssicherheits-Community, sehen uns heute mit harten und herausfordernden Zeiten konfrontiert. Das beinhaltet, dass wir uns mit dem militärischen Konzept von Acceptable Losses anfreunden müssen, zumal wir nicht am Konzept von (Un-)Sicherheit als absolutes Schwarz/Weiss Modell festhalten können. Während unsere Industrie Tag für Tag relevanter wird, müssen wir uns dieser Herausforderung stellen und die Adoleszenz unserer jungen Industrie hinter uns lassen. Wir können nicht verantworten, dass sich Cybercrime-Syndikate rapide professionalisieren, während unsere Branche von Sicherheitsexperten damit beschäftigt ist, sich gegenseitig anzugreifen und Hersteller-Parties an der BlackHat zu besuchen.

In den vergangenen Monaten haben wir uns wiederholt und unermüdlich dafür eingesetzt, einfache Tools einer breiten Masse zugänglich zu machen, um mehr Sicherheit für alle zu schaffen. Zwei-Faktor Authentisierung und Passwortmanager sind dabei nur zwei Aspekte. Ich beschäftige mich derzeit auch aktiv mit Secure Development Modellen und Prozessen, um Sicherheit als inhärenten Bestandteil in Software zu etablieren. Beide diese Dinge sind schwierig, aber unglaublich befriedigend. Denn klar ist: Wenn wir sichere Technologie eine Realität machen wollen, gibt es keinen anderen Weg als eigene, neue Lösungen zu erarbeiten, statt andere für unsere Probleme verantwortlich zu machen.

Über den Autor

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard (PTES) und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.