Information statt Angst

Information statt Angst

Stefan Friedli
by Stefan Friedli
time to read: 4 minutes

IT-Sicherheit beschäftigt. In unserem Alltag werden wir zunehmend mit dem Schutz unserer eigenen Daten und Privatsphäre konfrontiert. Firmeninhaber sehen sich durch Industriespionage und dem Ausfall von Systemen durch Virenbefall bedroht. Politiker zucken zusammen, wenn der Kunstbegriff “Cyberterrorismus” die Runde macht.

Technologie ist ein komplexes Thema. Im Alltag unserer Gesellschaft erhöht sich diese Komplexität noch einmal massiv, weil Technologie sich mit politischen, wirtschaftlichen, ethischen und moralischen Faktoren untrennbar verkettet. Reden wir dann von der Sicherheit dieser Technologien, so reden wir auch vom Einfluss auf alle damit verwobenen gesellschaftlichen Verknüpfungen.

Virenangriffe wie Stuxnet sind ein exzellentes Beispiel: Natürlich ist der Angriffsmechanismus interessant. Ebenso die Schwachstellen, die ausgenutzt wurden. Doch was Stuxnet zu einem Thema der Massen machte, ist der Fakt, dass (angeblich) Atomkraftwerke angegriffen werden sollte. Dass Vermutungen im Raum stehen, dass es sich hier um digitale Kriegsführung handelt, einem realen Konflikt zwischen realen Staaten – mit den komplexen technologischen Grundlagen hat das aber nichts mehr zu tun.

Es ist heute weitgehend bekannt, dass Technologie Schwachstellen aufweist. Die Existenz von Hackern ist, so sehr sie auch sensationalisiert und verfälscht dargestellt wird, eine unumstrittene Tatsache. Einige Themen und Begriffe, wie zum Beispiel Computerviren und Trojaner sind dermassen oft schon in der Öffentlichtkeit aufgetaucht, dass sie Common Knowledge sind. Die Mainstream Medien arbeiten mit diesen Begriffen und, oftmals selbsternannte, “Experten” nutzen dieselbe Terminologie, um ihre Kredibilität zu unterstreichen und sich gegenüber den Medien und der Öffentlichkeit verständlich zu machen. IT-Sicherheit ist ein Thema, über das gesprochen wird.

Wir sprechen über Virenattacken, über Keylogger und Trojaner und wie wir uns davor schützen können. Das ist gut, aber es gibt eine schlechte Nachricht: Wir sprechen über 2% des Problems – und das ist eine optimistische Schätzung. Die restlichen 98% des Problems werden nicht angesprochen, weil sie nach dem Ermessen irgendwelcher Leute in eine der folgenden Kategorien fallen:

1. Der Inhalt ist technisch zu komplex für die breite Masse 2. Das Szenario des Problems ist für einen grossen Teil der Masse nicht nachvollziehbar 3. Niemand hat bislang eine Möglichkeit gefunden, damit Geld zu verdienen

Alle drei Kategorien sind kurzsichtig, unlogisch sowie, abhängig vom jeweiligen Fall aus journalistischem Blickwinkel falsch und unmoralisch.

Die wenigen Themen, die wir effektiv ansprechen, sind meistens trivial und veraltet. Wir erhalten zum Beispiel regelmässig Presseanfragen zum Thema Computerviren – erst vor kurzem wurde ich in einem Radiointerview nach Dingen gefragt, die seit 10 Jahren in Hunderten von Artikel geschrieben wurden: Was ist ein Virus? Kann man sich schützen? Wie gut sind AV Produkte?

Sind diese Fragen legitim? Ja. Gäbe es bessere Fragen: Definitiv.

Vor kurzem wurde ich von einem Journalisten gefragt, was ich von der Berichterstattung in unserem Sektor halte. Meine ehrliche Antwort war: Sehr wenig. Die meisten Artikel, die ihren Weg in die Schweizer Tagespresse finden sind entweder irrelevant, masslos übertrieben oder fachlich schlicht und einfach falsch. Mein Gesprächspartner war etwas pikiert, hakte aber nach und fragte nach Ursachen. Meines Erachtens liegen diese nicht bei den Journalisten. Niemand kann von einem Journalisten erwarten, ein hochkomplexes Feld wie unseres vollumfänglich zu verstehen. Das Problem liegt an der Quelle – in unserer eigenen Industrie:

1. Übermässige Vereinfachung von Sachverhalten (“dumbing down”) 2. Mangel an kompetenten, qualifizierten Quellen/selbsternannte “Experten” 3. Das Anbieten falscher oder unzureichender Lösungen

Diese Gründe können mehr oder minder beliebig miteinander kombiniert werden. Beliebte Beispiel sind:

Es mag viele Motivationen geben, sich mit IT-Sicherheit zu beschäftigen. Einige profitieren sicherlich massiv von dieser Art von Berichterstattung. So mancher Hersteller einer “Sicherheitssoftware” hat sich mit geschickter Panikmache eine goldene Nase verdient. Fakt ist aber: Wir verlieren alle. Es existieren Risiken und Schwachstellen, über die wir informieren müssen und über die ein öffentlicher Dialog geführt werden muss – ohne Panikmache, sondern mit verständlichen und akkuraten Informationen zur Problematik.

Diesen Dialog zu starten, das ist die Aufgabe der professionellen IT-Security-Schaffenden. Wir müssen aufhören, still grollend zu akzeptieren, dass Probleme trivialisiert, inakkurat wiedergegeben oder mit falschen Empfehlungen versehen werden. Die, schweizerisch-sprichwörtliche “Faust im Sack” hilft niemanden weiter – aber der Dialog mit den Medienschaffenden und das Bereitstellen von akkuraten, verständlichen Informationen kann der erste Schritt dazu sein, das Thema IT-Sicherheit seriös und ernsthaft zu behandeln.

About the Author

Stefan Friedli

Stefan Friedli is a well-known face among the Infosec Community. As a speaker at international conferences, co-founder of the Penetration Testing Execution Standard (PTES) as well as a board member of the Swiss DEFCON groups chapters, he still contributes to push the community and the industry forward.

You want to test the security of your firewall?

Our experts will get in contact with you!

×
Active Directory certificate services

Active Directory certificate services

Eric Maurer

Specific Criticism of CVSS4

Specific Criticism of CVSS4

Marc Ruef

The new NIST Cybersecurity Framework

The new NIST Cybersecurity Framework

Tomaso Vasella

Ways of attacking Generative AI

Ways of attacking Generative AI

Andrea Hauser

You want more?

Further articles available here

You need support in such a project?

Our experts will get in contact with you!

You want more?

Further articles available here