Die Branche der Informationssicherheit ist eine seltsame Sache: Aus der frühen Hackerkultur erwachsen, hat sie ihre Wurzeln in Teenagerzimmern, ausgerüstet mit Akkustikkopplern, die einigermassen heimlich an Telefonleitungen unwissender Eltern angeschlossen wurden. Es ist leicht zu vergessen, dass dieses ganze Forschungsfeld in Tat und Wahrheit nicht allzu alt ist und über die letzten Jahre ein unverhältnismässig grosses und beschleunigtes Wachstum erfahren hat. Nur um einen Eindruck zu vermitteln: 2600: The Hacker Quarterly wurde in 1984 gegründet, der deutsche CCC in 1981. Natürlich ist das Konzept des Hackings älter als beide dieser kulturellen Institutionen: Phreaking war ein grosses Phänomen in den 60er Jahren und man mag argumentieren, dass der Versuch zu verstehen, wie etwas funktioniert und wie man es dazu bringen kann, etwas anderes zu tun – also eigentlich die Essenz des Konzepts Hackings – sogar vermutlich um Jahrzehnte oder Jahrhunderte älter ist.

Und hier sind wir nun, in einer Welt wo Technologie allgegenwärtig ist und unseren Alltag augmentiert. Spass am Gerät, das Motto des CCCs, ist nicht mehr länger nur Spass. Wir sind heute quasi an jeder Ecke mit Sicherheitsfragen konfrontiert und das Geschäftsfeld, das aus den lockeren Anfängen der Hackerkultur gewachsen ist, ist heute in den meisten Nationen eine Multi-Milliarden Industrie. Wir als Industriebereich stehen nun im Rampenlicht – aber nicht weil wir als solcher dermassen attraktiv wären, sondern weil wir dort dringend gebraucht werden.

Ich hatte das grosse Privileg, die Mehrheit meiner Teenagerjahre und mehr oder minder mein ganzes Erwachsenenleben in der Hackercommunity und der Securityindustrie zu verbringen. Ich bin zutiefst dankbar für all die Dinge, die mir Individuen mit ungleich mehr Erfahrung und Wissen als ich über die Jahre hinweg gezeigt und beigebracht haben. Heute bin ich selber in einer Position, wo ich eine Art Mentor-Funktion für Neuankömmlinge in unseren Reihen wahrnehme. Für diese Leute und für alle anderen, die bereit sind weiterzulesen, möchte ich drei Dinge adressieren, von denen ich überzeugt bin, dass sie in vielerlei Hinsicht technische Tipps und Tricks in ihrer Wichtigkeit übertreffen.

1. Es gibt keine Notwendigkeit, allem zynisch und negativ gegenüberzustehen

Bei der Zusammenarbeit mit Security Professionals gehört dieses Verhalten mitunter zu den mühsamsten Verhaltensmustern überhaupt. Die Entwickler nutzen X um Y zu erreichen, was offensichtlich eine dumme Idee ist. Ist es das? Wirklich? Wird wirklich verstanden, welches Resultat hier erreicht werden soll? Was die Anforderungen sind? Gibt es denn eine bessere Lösung, die beigesteuert werden kann? Es ist einfach, Zynismus als Schutzmechanismus und Deckmantel für die eigenen Unsicherheiten zu nutzen und so zu tun, als ob Sicherheit das einzige valide Kriterium wäre. Dem ist nicht so.

Vielleicht sieht sich manch einer heute in einer Position, in der er von den Seitenlinien kritisieren und polemisieren kann, ohne selber Lösungen anbieten zu müssen. Aber diese Zeit geht langsam aber sicher zu Ende. In naher Zukunft werden Individuen sich durchsetzen, die nicht nur kritisieren, sondern Ideen mit ihrer eigenen Security-Expertise adaptieren und das Gesamtprodukt dadurch verbessern. Die Zeit, in der wir als überwachende Instanz dafür gesorgt haben, dass sich andere an Regeln halten, ist vorbei. Die Frage, die wir uns heute stellen müssen ist nicht mehr Ist es sicher, X zu nutzen, sondern Wie kann ich X sicher nutzen,

2. Kultur ist wichtig

Die Diskussion über Political Correctness ist komplex und übersteigt den Fokus dieses Artikels. Aber basierend auf der teils rauen Geschichte unseres Segments, hat die Information Security Industrie ihren Anteil an ungünstigen Angewohnheiten. Die ungesunde Glorifikation von Alkoholkonsum an Konferenzen ist eine davon, das teils inakzeptable Verhalten von Individuen gegenüber Minderheiten, historisch gesehen vor allem Frauen innerhalb der Community, ist ein weiteres Beispiel. Über die vergangenen Jahre haben hier eine Vielzahl von Akteuren dazu beigetragen, ein sichereres und professionelleres Umfeld zu schaffen, in dem gearbeitet und kollaboriert werden kann. Zum Beispiel gehört heute ein Code of Conduct zur guten Form bei der Organisation von Konferenz und im Hinblick auf die Anzahl qualifizierter Fachkräfte in unserem Segment wird Diversität heute als Stärke gesehen, nicht als Quote.

Das ist nicht nur wichtig, weil ich der Meinung bin, dass es der richtige Weg ist, anderen freundlich gegenüber zu stehen. Es ist wichtig, weil wir uns in der Mitte einer massiven technologischen Revolution befinden und heute jede Person mit dem Willen und dem Talent brauchen, um hier einen Unterschied zu machen. Der persönliche Hintergrund und Faktoren wie Geschlecht, Religion oder Ethnie sollten dabei keine Rolle spielen. Es ist von höchster Wichtigkeit, dass wir eine Umgebung in unserer Industrie und Community schaffen, die das Teilen von Wissen und Kollaboration im Allgemeinen erlaubt und fördert.

3. Über Risiken reden, statt über Schwachstellen

Ich meine nicht, dass ganze Risk-Methodologien wie FAIR konstantes Thema sein müssen. Ich meine, dass das simple Berücksichtigen von Eintrittswahrscheinlichkeit und Auswirkung beim Einschätzen von möglichen Sicherheitsproblemen von Nutzen sind. Es ist unglaublich faszinierend für mich, wie oft dieser einfache Prozess komplett ignoriert wird und wie stattdessen mit blindem und fehlgeleitetem technischen Fundamentalismus und einem Mangel an pragmatischem Denken an Themen herangegangen wird.

Nichts ist gänzlich sicher. Alles hat Schwächen. Jedes System kann und wird letzten Endes kompromittiert werden. Die Frage ist nicht ob, sondern wann und mit welchen Auswirkungen. Schwachstellen realistisch auf deren Risiken einzuschätzen und diese dann korrekt zu priorisieren, sollte eine absolute Selbstverständlichkeit darstellen.

Fazit

Über die letzten sechs Monate habe ich diese drei Punkte immer wieder erklärt, in Meetings, Vorträgen und in 1:1 Mentor Sessions. Ich denke, dass es wichtig ist, sie an dieser Stelle schriftlich zu wiederholen. Informationssicherheit ist heute kein exklusiver Club mehr. Wir haben uns in eine massive Industrie entwickelt, die nicht nur sich selbst gegenüber eine Verantwortung trägt, sondern auch der umgebenden Gesellschaft. Ich schlage vor, wir versuchen, sie wahrzunehmen.

Über den Autor

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard (PTES) und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.