Vom Dinge beim Namen nennen : Was Klartext und „diplomatische Umschreibungen“ für die Sicherheit bedeuten

Von Ralph Dombach, Mauth

Verbreitet man in der Kommunikation zu IT-Sicherheit und besonders zu Sicherheits-Vorfällen harte Fakten oder doch lieber weichgespülte Floskeln? Sicherlich spielt dabei eine Rolle, wann man was an wen kommuniziert – doch in allen Fällen hat das „wie“ eine deutliche Auswirkung darauf, in welchem Licht die Informations-Sicherheit und die geschilderten Sachverhalte erscheinen.

Wie verschieden das wirken kann, mögen die folgenden Beispiele einer internen Information belegen, die sich auf denselben Vorfall beziehen:

• Variante A: Vergangene Woche wurde unsere IT wahrscheinlich von einem Script-Kiddie angegriffen. Die Mehrzahl der Attacken ging ins Leere – lediglich einem Prozess gelang es vermutlich, einen eingeschränkten Zugriff auf unsere Daten zu erhalten. Ursache war ein Fehler in einer zugekauften Anwendung. Soweit wir feststellen konnten, kam es zu keinen Schäden oder Datenverlusten. Unsere IT-Abteilung geht von der Aktion eines einzelnen Hackers aus, der nach Opfern sucht, da noch andere deutsche Unternehmen über vergleichbare Vorfälle berichtet haben.
• Variante B: Letzten Dienstag gelang es ab 22:17 Uhr Cyberkriminellen, erfolgreich unser Unternehmen zu attackieren. Sie nutzten dazu eine Schwachstelle in einer zugekauften Anwendung (inzwischen geschlossen). Welche Daten entwendet wurden, ließ sich nicht umfassend feststellen, da Zugriffsprotokolle durch den/die Angreifer gelöscht wurden. Die Geschäftsleitung hat wegen des Ausspähens von Daten Strafanzeige nach § 202a StGB gestellt. Wir vermuten eine gemeinsame Aktion mehrerer Angreifer, da auch weitere Branchenunternehmen betroffen sind. Unsere IT hat inzwischen ihre Überwachungs- und Abwehrmaßnahmen optimiert, sodass ein eventueller Wiederholungs-Angriff scheitern müsste.

Um der Informations-Sicherheit den Stellenwert beizumessen, der ihr gebührt, plädiert unser Autor dafür, nicht zu vorsichtig zu kommunizieren: Wenn „alles nicht so schlimm“ erscheint, rechtfertigt das dann den Einsatz erheblicher Mittel? Und motiviert es Mitarbeiter, besser aufzupassen? Der vorliegende Beitrag erörtert, wo und wie die Security Dinge beim Namen nennen sollte.

Gemeinsame Anstrengungen

Wer ist für die Kommunikation in Sachen Sicherheit verantwortlich? Wer erledigt sie in der Praxis? Man sollte nicht vergessen, das vielen Beteiligten außerhalb der IT/IT-Security hier das benötigte Fachwissen fehlt. Mancher schreibt vielleicht (mit leichten Anpassungen) einfach ab, was schon früher bei einem ähnlichen Vorfall kommuniziert wurde. Frei nach dem Motto: Was damals gut war, passt heute auch noch! Lässt man solche „Beinahe-Experten“ allein und ohne qualitätssichernde Unterstützung, muss man sich über das Ergebnis nicht wundern. Denn eine Security-Expertise, die komplizierte Sachverhalte in einfache und dennoch richtige Worte fassen kann, erwirbt man nicht an einem Nachmittag. Auf der anderen Seite sollte man aber auch die Erfahrung der Presse- und Öffentlichkeitsarbeit wertschätzen und nutzen, um vorab einzuschätzen, wie „die Wahrheit“ bei (möglicherweise fachlich unbedarften) Externen ankommen könnte.

Ob und wie ein Cybervorfall kommuniziert wird, hängt von der Unternehmenskultur und den eigenen Vorgaben (oder auch gesetzlichen Erfordernissen) ab – Gleiches sollte auch für das zu verwendende Wording gelten. Bei einer öffentlichen Kommunikation muss man davon ausgehen, dass Shareholder, Konkurrenten und Investoren diese mit Argusaugen verfolgen: Wer zu viel preisgibt, schadet sich gegebenenfalls selbst – wer nur Allgemeinplätze zitiert, wirkt womöglich ahnungslos oder verharmlosend.

Kommunikation ist keine einfache Sache! Daher sollte man sie Kommunikations-Experten überlassen, aber Security-Spezialisten bereitstellen, um Sachverhalte zu erklären und bei Bedarf Fach-Jargon in verständliche Begriffe zu übersetzen.

Es ist schon erschreckend, dass viele Menschen bei Informations-Sicherheit und Cyberkriminalität immer noch an frühe Viren-Attacken denken – etwa das historische Ambulance-Car, das als pixelige Grafik über den Bildschirm fährt, um dann an den rechten Bildschirmrand zu krachen (Boom! Link), und die noch immer das eine oder andere Medium zur Visualisierung verwendet. Natürlich ist es schwierig, aktuelle Angriffe zu visualisieren; und auch Erklärungen sind für Menschen ohne IT-Hintergrund kaum nachvollziehbar und schnell langweilig. Aber (Computer-)Viren und Cyber-Attacken sind nicht niedlich! Das macht auch den berühmten Krankenwagen zu einem gefährlichen Weichspüler, der einen Vorfall mit einem spaßigen Bild visualisiert, optisch gut präsentiert, aber halt auch in die Schublade „Kavaliersdelikt“ schiebt.

Unterschwellige Botschaften

Innerhalb von Branchen, Fachbereichen, aber auch Organisationseinheiten gibt es oft eine eigene Sprache, bestehend aus Fachbegriffen rund um das Business und vielerlei Floskeln, um etwas zu sagen, ohne es direkt anzusprechen. Diese Floskeln findet man auch in der IT, wobei die Auswirkungen im Umfeld der Informations-Sicherheit gravierend sein können, da sie vielfach die Funktion von „Weichspülern“ haben.

Viele solcher Worte und Erzählungen verharmlosen Vorfälle oder Cyberdelikte und lassen Akteure oder Taten in einem freundlicheren Licht erscheinen – internen Mitarbeitern wird dadurch womöglich eine (Schein-)„Sicherheit“ vermittelt. Teilweise tragen Begriffe für verschiedene Gruppen von Menschen auch verschiedene Bedeutungen oder wecken abweichende Assoziationen:

Ein „Hacker“ ist beispielsweise für die Mitglieder des Chaos Computer Clubs etwas anderes als für „Otto Normalbürger“. Und selbst wenn Letzterer darin ein Synonym für einen Angreifer auf IT-Systeme sehen mag, so schwingt dabei vermutlich dennoch eine mehr oder weniger romantisierende Wirkung des „Robin Hoods der Daten“ oder eines pfiffigen Nachwuchs-ITlers mit, der die allzu Mächtigen an der Nase herumführt. Jedenfalls dürften die meisten Menschen einem „Hacker“ mehr Sympathie entgegenbringen als einem „Kriminellen“.

Ein anderes Beispiel ist der „Diebstahl“: Für die breite Masse ist ein Diebstahl meist nichts (im eigentlichen Sinn des Wortes) Tragisches – in der Regel ist der materielle Verlust nicht existenzbedrohend oder lässt sich sogar eher problemlos über eine Versicherung ausgleichen. Und beim „Datendiebstahl“ ist ja nicht einmal etwas weg – „nur“ auch in den falschen Händen. Dabei können unbefugt kopierte Daten unter Umständen eine Katastrophe für ein Unternehmen sein – vielleicht ist der „gestohlene“ Datenbestand elementar für Unternehmensbeziehungen oder Kernprodukt von Forschungen und neuen Entwicklungen?!

Ross und Reiter

Der wichtigste erste Schritt ist es, Täter und Opfer(systeme) sowie die Tat selbst klar zu beschreiben: Im eingangs benutzten Beispiel liegt eine Straftat vor, bei dem ein Krimineller in eine gesicherte Umgebung eingebrochen ist und unbefugten Zugriff auf Daten erlangt hat. Alles, was den Eindruck eines Kavaliersdelikts erwecken könnte, sollte man vermeiden: Schließlich hat der Täter ein besonders gesichertes Umfeld (Zugangsschutz, Security-Dienstleister, permanente Überwachung etc.) attackiert und ist kein „Gelegenheitsdieb“, der zufällig an einer „offenen Tür“ vorbeikam beziehungsweise offene Ports abklopft und prüft, ob er eine Schwachstelle findet. Vielmehr scheinen der oder die Kriminellen gezielt eine gewisse Branche anzugehen.

Und auch wenn man relevante Paragrafen in der internen oder externen Kommunikation nicht erwähnt, sollten diese doch zumindest gegenüber dem Management klar benannt werden, um den Ernst der Lage zu verdeutlichen. Die Unternehmensführung ist eine spezielle Gruppe, die vollen und verständlichen Zugang zu allen Informationen haben muss. Dabei sollte die Meldung neben rechtlichen Angaben auch eingesetzte Technik, missbrauchte oder beeinträchtigte Systeme und erlittene Datenverluste sowie eine Schätzung möglicher finanzieller Auswirkungen umfassen.

Man sollte auf der Leitungsebene unbedingt und in der internen und vertraulichen Kommunikation möglichst vermeiden, „Weichspüler-Floskeln“ zu verwenden, sondern Probleme und Risiken klar beim Namen nennen:

• Zählen Sie vermutete oder erkannte Gesetzesverstöße anhand der einschlägigen Paragrafen auf – etwa § 23 GeschGehG Verletzung von Geschäftsgeheimnissen, § 202a StGB Ausspähen von Daten, § 202b Abfangen von Daten, § 202c Vorbereiten des Ausspähens und Abfangens von Daten, § 253 StGB Erpressung, § 263 StGB Betrug / § 263a Computerbetrug, § 303a StGB Datenveränderung und § 303b Computersabotage.
• Machen Sie klar, dass es sich um eine gezielte Straftat handelt und nicht um ein Versehen.
• Cybertäter sind keine „Gentleman Thieves“, sondern Kriminelle, die teils in organisierten Strukturen, banden- und/oder gewerbsmäßig handeln.
• Auch „Hacker“, die ihr Wissen nutzen, um fremde System mit der Absicht zu penetrieren, sich Daten, Informationen oder letztlich Geld zu verschaffen, sind keine Helden, die Fehler oder Schwachstellen aufdecken, sondern in diesem Fall in der Regel auch „nur“ Kriminelle.
• Nutzen Sie keine lustigen Bilder, verharmlosende Cartoons et cetera zur Visualisierung von Vorfällen und Straftaten.
• Beziffern Sie den Wert betroffener Daten und Systeme und/oder die Folgen von Ausfällen und Reparaturen/Wartungsarbeiten.
• Sprechen Sie von Angriffen, Straftaten und (Cyber-)Kriminalität – nicht von „Hacking“, Jux, Zufallsfunden, Versehen, minder schweren Fällen oder einem „Proof of Concept“, sofern nicht einwandfrei erwiesen ist, dass tatsächlich keine kriminellen Absichten vorlagen.

Fazit

Eine Änderung in unserer Haltung und der Kommunikation von Cyberdelikten in den verschiedenen Bereichen wird nicht über Nacht erfolgen. Aber man muss anfangen, die Dinge – je nach Zielgruppe – beim richtigen Namen zu nennen, um ein richtiges Verständnis bei Management, Anwendern und sonstigen Beteiligten zu erreichen!

Auf „Weichspüler-Floskeln“ und Verharmlosung sollte man dabei verzichten. Selbst wo man in der externen Kommunikation vielleicht Vorsicht walten lässt, sollte man sich doch keinesfalls intern „in die Tasche lügen“, um sich keine Blöße zu geben. Denn all das schadet spätestens mittel- und langfristig nicht nur der vertrauensvollen und verständlichen Kommunikation, sondern auch den Zielen und Erfordernissen der Informations-Sicherheit.

Wem dies zu drastisch oder zu hart erscheint, der sollte überlegen, wie unsere Welt heute ohne IT (Verwaltung, Steuerung, automatisierte Dienste etc.) aussehen würde. Wir sind in Unternehmen, Behörden und Gesellschaft auf eine funktionierende IT angewiesen und müssen Schritte ergreifen, damit Kriminelle diese Basis möglichst wenig missbrauchen können. Und dazu gehört nun einmal auch, bei Vorfällen Klartext zu reden, damit alle deren Tragweite richtig einschätzen können.

Ralph Dombach ist freier Autor – neben seinem Blog www.secutach.de twittert er unter @secuteach mit einem Augenzwinkern über das, was IT-Sicherheit ist und ausmacht sowie über securityrelevante Dinge, die ihn in seinem Berufsleben „heimgesucht“ haben.