Verantwortung, Vertrauen und Vulnerabilität in IT-Sicherheitsdiskursen
Die Rolle von Expertise und die fortlaufende Defizitkonstruktion
In der folgenden Vignette erörtern wir eine Beobachtung, die wir während unserer Feldforschung auf der Defcon-Tagung gemacht haben, die eindringlich zeigt, wie IT-Sicherheitsexpert*innen ihre SH-Expertise konstituieren und performativ umsetzen:
Am zweiten Tag der Defcon stehe ich an der Circle Bar im berühmten Caesar’s Palace Hotel in Las Vegas. Der Andrang an der Bar ist nach den Vorträgen groß. Die meist männlichen Konferenzteilnehmer, die sich hier versammeln tragen alle möglichen – z.T. ironisch gemeinten – Hacker-Insignien, angefangen von Abzeichen aus früheren Konferenzen bis zu Hüten aus Alufolie »zum Schutz subversiver Gedanken«. Plötzlich kommen zwei Männer auf eine Gruppe von etwa zehn Personen zu, einer von ihnen hält eine kleine silberne Dose in der Hand, die schnell die Aufmerksamkeit der Gruppe erregt. Auf die Frage, was da drin sei, antwortet er: »Pfeffer. Sehr scharfer Pfeffer, der euch zum Weinen bringen wird wie ein Baby. Wollt ihr ihn probieren?« Jemand aus der Gruppe nimmt die Dose, streut etwas von dem roten Pulver auf seinen Handrücken und leckt ihn ab. Die Menge jubelt, während er zu husten beginnt, flucht und würgt. Der Mann, der die Dose anbot – nennen wir ihn Lukas – lächelt und übergibt sie dem Freiwilligen feierlich zusammen mit einem T-Shirt – jetzt ist es an ihm, jemanden außerhalb seiner Gruppe für diese Herausforderung zu gewinnen. Was wie ein Initiationsritus wirkt, wird mehrmals fortgesetzt, und fast alle, die den Pfeffer nehmen, bleiben im Anschluss bei der Gruppe.
Es stellt sich heraus, dass Lukas nicht nur zum Spaß Fremden Pfeffer anbot. Er ist der Inhaber einer sehr erfolgreichen »Penetrationstest«-Firma, die diese Methode nutzt, um Menschen in unbequeme Situationen zu locken, die diese als aufregend und verbindend erleben, um dadurch neue Geschäftskontakte zu knüpfen. Lukas Kunden – meist Wirtschaftsunternehmen, aber auch Regierungsbehörden – beauftragen ihn, das Risikobewusstsein ihrer Mitarbeiter zu testen und sie im Zuge dessen wissentlich oder unwissentlich unter enormen Stress zu setzen. Anschließend meldet seine Firma diese »menschlichen Sicherheitsverletzungen« an die Führungskräfte und bietet Schulungen an, die zeigen sollen, wie diese »Fehler« in Zukunft verhindert werden können. Laut Lukas könnte jeder auf diese Angriffe hereinfallen, und je schwieriger es ist, Social Hacking erfolgreich durchzuführen, desto mehr spornt das ihn und seine Kollegen an.
Diese Feldnotiz enthält bereits einige der Schlüsselelemente für die Konstituierung eines SH-Expertisebereiches, einer entsprechenden Community und der für sie zentralen Prämissen, durch die der bzw. die »defizitäre Nutzer*in« konstruiert wird. Erstens verdeutlicht sie, dass SH-Expert*innen in den meisten Fällen nicht nur technische Expert*innen sind, sondern die für SH-Angriffe erforderlichen sozialen Kompetenzen mit ihrer technischen Expertise kombinieren. Sofern sie nicht in anderen Bereichen der IT-Sicherheit tätig sind, leitet sich ihre epistemische Autorität daher nicht primär aus ihren technischen Fähigkeiten ab. Auch der zuvor erwähnte Hacker Kevin Mitnick hat seinen Ruf nicht seinen besonderen Programmierfähigkeiten zu verdanken. Vielmehr ergibt sich die Rolle derartiger SH-Expert*innen aus der Tatsache, dass sie beide »Sprachen« sprechen können – (technischen) »Code« und »Social« – eine Verbindung, welche häufig von Konferenzteilnehmer*innen verwendet wurde. Wie in vielen professionalisierten Bereichen wird auch in der IT-Sicherheit vor allem technisches Know-how als Expertenwissen dargestellt, welches qua Definition der breiten Öffentlichkeit unzugänglich bleibt, sodass es ausgewiesener Expert*innen bedarf, um Probleme und Fragestellungen adäquat zu adressieren. Im Falle von SH wird diese Wissensasymmetrie noch in eine weitere Richtung ausgedehnt: Das unterstellte Kompetenzdefizit bezieht sich hier nicht nur auf das technische Fachwissen, sondern auch auf die soziale Kompetenz.
Gerade diese Verknüpfung gilt als Alleinstellungsmerkmal, das SH-Expert*innen sowohl von z.B. Personalmanager*innen als auch von den vermeintlich rein Technik fokussierten Hacker*innen unterscheidet.
Zweitens wurde nicht nur in der oben beschriebenen Situation, sondern in zahlreichen Gesprächen und Interviews deutlich, dass SH-Expert*innen nicht nur Antworten auf Sicherheitsproblematiken präsentieren, sondern zugleich auch selbst bestimmte Betriebsabläufe als Sicherheitsprobleme konstruieren. Um ihr Geschäftsmodell aufrechtzuerhalten, perpetuieren sie ein Narrativ von ständiger Bedrohung und sprechen sowohl diffuse Ängste bei Mitarbeiter*innen an, die nicht für die Gefährdung des gesamten Unternehmens verantwortlich sein wollen, als auch die schwer nachvollziehbare Fehleranfälligkeit der Technik selbst. Hierbei ist die Art, wie suggeriert wird »nobody is safe, everybody could become a victim, even experts« von grundlegender Bedeutung, um erfolgreich Beratungsleistungen und Weiterbildungen anzubieten bzw. für diese Leistungen zahlende Kund*innen zu finden. Daraus ergibt sich, drittens, eine wechselseitige Abhängigkeit zwischen Expert*innen und Laien bei der Konstruktion von SH-Expertise: Da sich das Fachgebiet der Expert*innen letztlich aus den Folgen menschlicher Verhaltensmuster ergibt, erwartet kaum jemand aus diesem Bereich, dass die adressierten Probleme jemals endgültig gelöst werden. In diesem Sinn leben SH-Expert*innen von der fortwährenden Defizitkonstruktion. Diese Dynamik spiegelt sich, wie im Folgenden gezeigt wird, auch in der Konstruktion möglicher Maßnahmen und Erfolgsbeurteilungen wider.
Vertrauenswürdigkeit testen: Präventionsmaßnahmen und ihre Erfolgsmessung
In Anbetracht von SH als häufigstem Angriffsmodus im Bereich der Cyberkriminalität sowie der diskursiv verstärkten Risikowahrnehmung, diskutieren wir im letzten Teil dieses Beitrags, wie sich SH-Expert*innen Sicherheitsmaßnahmen vorstellen, wer diese durchführen soll und woran sich ihr Erfolg messen lässt. In den meisten Gesprächen, Interviews und Dokumenten wurde die wiederholte Schulung und Ausbildung der Mitarbeiter*innen als die vielversprechendste Lösung des SH-Problems genannt. In seinem Vortrag zu »Why most cyber security trainings fail« auf der Black Hat Conference argumentierte Arun Vishwanath jedoch, dass die meisten benutzerorientierten IT-Sicherheitsbewusstseinsschulungen bei weitem nicht den gewünschten Effekt hätten. Der Grund dafür sei, so Vishwanath, dass die finanziellen Ausgaben für die Schulungen (z.B. durch hohe Honorare für die eingeladenen SH-Experten und den Dienstausfall der Mitarbeiter*innen) die finanziellen Verluste durch Angriffe oft überwiegen. Gleichzeitig würden auch selbst nach wiederholten Schulungen Mitarbeiter*innen fehlerhafte Links öffnen oder sensible Informationen unbedacht preisgeben. Obwohl diese Beobachtung in SH-Kreisen weit verbreitet ist, würden Unternehmen und Regierungen weiterhin große Summen für Sicherheitsfirmen ausgeben, die ihren Mitarbeiter*innen zumindest theoretisch beibringen, wie sie sich vor SH-Angriffen schützen können.
Laut Vishwanath sei erfolgreiches SH demnach nicht das Ergebnis des sprichwörtlichen »people problem«, sondern ein Problem von »our understanding of people«. Für ihn liegt die Hauptherausforderung in den Unternehmen darin, ihre Mitarbeiter*innen richtig zu diagnostizieren und Antworten auf die Fragen zu finden »Who is at risk from spear phishing? Why are they at risk? And how much of a risk are they?« Um diejenigen Mitarbeiter*innen zu selektieren, die am ehesten Opfer eines SH-Angriff werden könnten und dadurch das gesamte Unternehmen gefährden, entwickelten Vishwanath und seine Kolleg*innen den Cyber Risk Index (CRI). Der CRI ist eine Metrik zur Identifizierung von Risiko-Mitarbeiter*innen, in welcher individuelles Verhalten am Arbeitsplatz und darüber hinaus systematisch erfasst und nach festgelegten Kriterien bewertet wird. Als Selbsttest konzipiert umfasst der CRI 40 Fragen zu individuellen Gewohnheiten und Arbeitsroutinen (z.B. SMS schreiben während des Autofahren und damit zusammenhängende Unaufmerksamkeit gegenüber möglichen betrügerischen Nachrichten), heuristischem Denken (z.B. ob ein fehlenden Buchstaben wie das »s« auf einer gefälschten Starbucks-Website bemerkt wird), persönlichen Einstellungen zu Cyber-Risiken (z.B. die Annahme, Microsoft Word sei sicherer als PDF) sowie die nicht näher spezifizierte Kategorie »Persönlichkeit«. Obwohl man erwarten könnte, dass Geschlecht, Alter, kultureller Hintergrund oder der Status in der internen Hierarchie der Institution bei dieser Risikobewertung eine Rolle spielen, sind diese sozialen Kategorien laut Vishwanath sowie den meisten unserer Interviewpartner*innen irrelevant. Im Gegenteil, viele bewerten diese sozialen Kategorien als unerheblich für die Wahrscheinlichkeit, ein Opfer von SH zu werden.
Nach dem Ausfüllen des Formulars werden die Mitarbeitenden anhand ihrer individuellen Antworten bewertet, wobei ihre Punktzahl die Entscheidungs-grundlage dafür bildet, ob sie weiterhin Zugang zu den sicherheitsrelevanten Netzwerken des Unternehmens erhalten. Die Grundidee des CRI besteht darin, Unternehmen die Möglichkeit zu geben, vermeintlich risikoreiche Mitarbeiter*innen zu identifizieren und ggf. nicht mit sicherheitsrelevanten Aufgaben zu betrauen und ihren Zugang zu sensiblen Daten einzuschränken und so Präventionsmaßnahmen treffen zu können. Um die Auseinandersetzung von Mitarbeiter*innen mit dem Thema SH und seinen Risiken zu erhöhen, empfehlen Vishwanath schlechte CRI- Ergebnisse firmenintern zu veröffentlichen und einzelne Mitarbeiter*innen als »Sicherheitsrisiko« bloßzustellen. Diese – durchaus zweifelhafte – Praxis deckt sich größtenteils mit den vorherrschenden Ansichten, die uns während der Black Hat-Konferenz mitgeteilt wurden, nämlich »the need to identify the weak links in the organization«, »to track and improve individual readiness and cyber-attack resilience«, oder sogar der Aufruf, »stupid people should be embarrassed and eventually fired«.
Auch in diesem Kontext zeigt sich wieder die medizinische Rhetorik des Diskurses: Vishwanath vergleicht SH mit einer sich ausbreitenden Epidemie. Dabei konstruiert er die Nutzer*innen als Patient*innen, welche schlichtweg einer genaueren Diagnose bedürfen, um sie selbst und ihre Umgebung vor möglichen Bedrohungen schützen zu können und deren Symptomatik die Unfähigkeit sei, verantwortungs- und risikobewusst zu agieren. Der hier verwendete Vergleich mit Patient*innen steht stellvertretend für einen prominenten Teil des SH-Diskurses (und einer damit verbundenen Schulungs- und Softwareindustrie), der verstärkt das Prinzip der »Cyberhygiene« propagiert. »Cyberhygiene« soll, analog der Krankheitsprävention in medizinischen Bereichen, dazu beitragen, Hacker*innen und deren Computerviren aus den IT-Systemen fernhalten. In dieser Rhetorik werden Unternehmen dazu angehalten, solch prophylaktische Maßnahmen zu ergreifen und zu forcieren. Diese medizinische Metaphorik untermauert das fortlaufende Narrativ von Individuen als primäres Sicherheitsrisiko in »gefährlichen« digitalen Räumen, in denen »cyber insecurities« generiert werden »by individuals who behave irresponsibly thus compromising the health of the whole«.
Maßnahmen der Cyber-Hygiene wurden auch in den Interviews mit Mitarbeiter*innen im Banken- und Gesundheitswesen angesprochen, die beide regelmäßig ähnliche Tests wie den CRI machen müssen. Dabei zeigte sich ein auf verschiedenen Ebenen problematisches Bild der standardisierten und vermeintlich objektiven Werkzeuge der SH-Prävention. Zum einen fühlten sich die Mitarbeiter*innen trotz ausgeprägter IT-Kompetenz von ihren Unternehmen auf die jährlich stattfindenden Tests schlecht vorbereitet: Ein Mitarbeiter schilderte, dass die Tests »eher so in Eigenregie« konzipiert wurden, es wurde demnach »vorher nicht erwähnt oder erprobt, was richtig wäre. Wir wussten nichts über den Aufwand, hatten keine Vorbereitung. Aber es musste halt irgendwie bestanden werden, das auf jeden Fall.« Der Aufwand der Maßnahmen wurde zudem als sehr hoch eingestuft: »Das hat schon lange gedauert, die ganzen Fragen […] da hat man dann einfach oft geraten«. »Manche Szenarien waren so kompliziert […] das war eine Kette, da konnte ich nicht drüber nachdenken, da hatte ich gar keine Zeit für und dann war meine Antwort falsch«.
Auch wenn solche SH-Tests in Unternehmen sehr unterschiedlich gehandhabt werden, bergen die Ergebnisse in den meisten Fällen Konfliktpotential für Unternehmensführung und Mitarbeiter*innen während gleichzeitig eine genaue Umsetzung aller verordneten Sicherheitspraktiken durch die Mitarbeitenden unmöglich scheint. Bei einem der befragten Mitarbeiter wurde das Testergebnis an die Führungskraft gemeldet: Das »war schon ein bisschen peinlich […] wenn man das nicht geschafft hat. Aber das war so viel, man hatte keine Zeit dafür oder irgendeine Diskussion davor«. Selbst, wenn sämtliche erforderlichen Verhaltensweisen bekannt sind, können Mitarbeitende diese in ihrem Unternehmen unter Umständen nicht umsetzen. Dies wurde ebenfalls in einem unserer Mitarbeiter-Interviews am Beispiel der Verarbeitung sensibler Daten deutlich. Mit Blick auf die Frage, wie solche Daten ohne den potentiellen Einblick Dritter verarbeitet werden können, zeigten sich unter anderem Schwierigkeiten in Bezug auf die Arbeitsplatz-Situation: »Bei uns geht das ganz einfach [, dass jemand Zugang bekommt], der Raum ist klein, wir sitzen zu eng zusammen. Eine Führungskraft schaut sicher dreimal die Stunde auf deinen Screen, trotz Schonern [Blickwinkelschutz], die werden einfach hintergangen«.
Unsere empirischen Erkenntnisse verdeutlichen wie im Rahmen von SH-Expertendiskursen das Bild des bzw. der »defizitären Nutzer*in« als primäres Risiko für die IT-Sicherheit gezeichnet wird, welchem durch einen etablierten Wissensbestand zu Diagnose- und Abhilfemaßnahmen begegnet werden soll. Im folgenden Abschnitt diskutieren wir, wie eine alternative Konzeptualisierung aussehen könnte.
Der Weg zu einer Kultur der Vulnerabilität
In unserem Beitrag haben wir gezeigt, wie Expert*innen systematisches SH-Wissen samt entsprechender Gegenmaßnahmen entwickeln und Unternehmen als Dienstleistung anbieten. Als Kern dieses SH-Diskurses beobachten wir die Konstruktion eines bzw. einer »defizitären Nutzer*in«, welche*r aufgrund von Emotionen und erlernten Verhaltensmuster nicht in der Lage ist, den zunehmenden Anforderungen an die eigene IT-Sicherheitskompetenz gerecht zu werden. Schwachstellen, die jedem technologischen System inhärent sind, werden dabei zunehmend dem oder der Benutzer*in zugeschrieben, welche*r wiederum als das »schwächste Glied« in der Kette und potenziell größte Sicherheitsbedrohung dargestellt wird. Diese spezielle Form der Defizitkonstruktion ähnelt sehr stark dem, was die Sicherheitsforschung als Versicherheitlichung (securitization) be-zeichnet, d.h. dem Prozess, in dem etwas oder jemand kollektiv als Bedrohung konstruiert wird. Im Kontext des SH-Diskurses in der IT-Sicherheit wird das Individuum als unfreiwilliger Hauptrisikofaktor und gleichzeitig als Verantwortlicher für die kollektive Sicherheit dargestellt. Des Weiteren führt die Identifizierung bestimmter Defizite, ähnlich wie in der klassischen Wissenschaftskommunikation, zu simplifizierenden Forderungen
nach mehr Aufklärung für die Bürger*innen oder, wie in unserem Fall, nach mehr »Cyberhygiene« und Schulungen zu »Cyberselbstverteidigung« für Mitarbeitende.
Wir haben gezeigt, dass die in SH-Diskursen konstruierte Sicherheitsbedrohung die Benutzer*innen (und nicht die Angreifer*innen) als Gefahrenquelle identifiziert und zur Entstehung einer Branche von Beratungsfirmen geführt hat, welche ein starkes Eigeninteresse daran hat, dieses Narrativ aufrecht zu erhalten. Dabei wird primär auf das Individuum fokussiert und dessen als »falsches« oder »dummes« definiertes Verhalten. Wir verstehen dies als eine Form der doppelten Absicherung epistemischer Autorität: Erstens wird ein Defizit konstruiert (auf Seiten der Benutzer*innen), dem mittels Expert*innen und Schulungen abgeholfen werden soll – anstelle denkbarer Alternativen wie etwa der Neugestaltung von Arbeitsroutinen, die Mitarbeitenden beispielsweise mehr Zeit zur Prüfung der Vertrauenswürdigkeit eines Links oder Anrufs einräumen. Zweitens liegt dem SH-Diskurs das fortlaufend forcierte Narrativ einer immanenten und unvermeidbaren Bedrohung zugrunde. Dieses Narrativ suggeriert zwar, dass nicht alle Mitarbeiter*innen effektiv geschult werden können und zudem Angreifende in der Lage seien immer neue Wege zu entwickeln, um selbst die am besten geschulten Benutzer*innen zu täuschen. Da Risiken in diesem Defizitframing jedoch nur individuell konzipiert und daher auch nur individuell adressiert werden, bleibt das Mittel der Wahl dennoch als risikoreich verstandene Benutzer*innen zu identifizieren, analysieren und quantifizieren. SH-Schulungen suggerieren allen Beteiligten, dass Mitarbeitende mit dem richtigen Training zu verantwortlichen Hüter*innen der Unternehmenssicherheit ausgebildet werden können – obwohl diese paradoxerweise zeitgleich als unkontrollierbares Risiko dargestellt werden.
Als Alternative zu dieser Art von dramatisiertem Sicherheitsdenken und hartnäckiger Defizitkonstruktion bei der Risikoanalyse von IT-Systemen schlagen wir vor, den Zusammenhang zwischen technischen und menschlichen »Schwachstellen« von der Vorstellung »socio-technical vulnerability« ausgehend zu denken. Dieser Begriff wurde von STS-Forschenden als Antwort auf die anhaltende Debatte über die »Risikogesellschaft« eingeführt. Bijker et al. begreifen Vulnerabilität »as an emergent system’s property« [that] »should not be considered as given, intrinsic, and essential, nor as purely negative«. Stattdessen sei Vulnerabilität »natural, sociocultural, and technical,« [as it] »relates to the unit of analysis, as well as to its environment«. Eine konventionelle Risikobewertung betrachtet Daten und objektivierbare Zusammenhänge, statistische Korrelationen und daraus modellierbare Szenarien in einem vordefinierten System, beispielsweise der Gesamtheit aller IT-Sicherheitsvorkehrungen eines Unternehmens.
»Vulnerability, however, cannot be analyzed by looking only at the inside of a system. It also relates to that system’s environment. The same person, clad in many layers of wool, can be invulnerable up in the Himalayas but vulnerable in Hyderabad, India. A characterization of a system’s vulnerability thus requires attention to its environment, including the risks that it runs as well as the resources that it may draw upon.«
Drei Aspekte des Konzepts der socio-technical vulnerability sind für den Kontext der IT-Sicherheit im Allgemeinen und SH im Besonderen von Bedeutung: Erstens ist die sozio-technische Vulnerabilität zu einem allgegenwärtigen Merkmal der heutigen Welt geworden. Mit ihrer Durchdringung des Alltagslebens haben digitale Systeme Schnittstellen zwischen praktisch allen Bereichen sozialer Beziehungen und den jeweiligen kritischen Infrastrukturen geschaffen. Während Menschen auch zuvor auf das Funktionieren technischer Infrastrukturen wie Elektrizität angewiesen waren und diese ebenfalls verwundbar waren, konnten Störungen nur durch physische Eingriffe verursacht werden. Der Erfolg des Internets und zunehmend des »Internets der Dinge« hat über die rein physische Anfälligkeit hinaus jeden Teil dieses Netzwerks – Geräte, Menschen und Organisationen gleichermaßen – für potenzielle Störungen angreifbar gemacht. Zweitens sind diese Schwachstellen ambivalent: Eine Bank kann beispielsweise als besonders verwundbar angesehen werden, da sie ein hohes Volumen an finanziellen Vermögenswerten und Transaktionen verwaltet. Alternativ kann sie jedoch auch als besonders sicher verstanden werden, da Banken oftmals große IT-Sicherheitsabteilungen beschäftigen und so schneller als andere Unternehmen auf potenzielle Bedrohungen reagieren können. In jedem Fall ist das, was Vulnerabilität ausmacht, flexibel, kontextabhängig und interpretationsbedürftig. Drittens ist Vulnerabilität nicht generell negativ. Wie Bijker et al. argumentieren: »A certain degree of vulnerability is necessary to create space for learning and adaptation in a society. Vulnerability, in this sense, is equivalent to openness and flexibility. Once properly addressed, such vulnerability with accompanying coping mechanisms may yield a more flexible and resilient society than one that tries to avoid all vulnerabilities«.
Somit hilft Vulnerabilität als sensibilisierende Perspektive in ihrer praktischen Anwendung den artikulierten Defizitdiagnosen der Security-Expert*innen auf einer anderen Ebene zu begegnen. Es geht nicht mehr um die Optimierung von Systemen – zu denen eben auch Menschen gehören – durch die Mehrung und bessere Anwendung von instrumentellem Wissen. Stattdessen wird kollektive Sicherheit als lebensweltlich eingebettete Wertdimension verstanden – eine unter vielen. Mehr noch lässt sich hinterfragen, ob Sicherheit als Streben nach maximaler Kontrolle von Menschen und ihrer soziomateriellen Umwelt überhaupt als erstrebenswertem Zustand gelten kann, in welchen Fällen Sicherheit auf Kosten anderer Werte priorisiert werden darf und wer über diese Werteordnung entscheidet.
Schluss
In diesem Beitrag haben wir aufgezeigt, wie IT-Sicherheitsexpert*innen SH als ein schnell wachsendes und potenziell katastrophales Risiko für Unternehmen und andere Organisationen darstellen. Hierbei wurden die Mitarbeitenden diskursiv als »schwächstes Glied« in der Sicherheitsarchitektur von Unternehmen markiert. Derartige Defizitdiagnosen bilden den Grundstein für einen Expertendiskurs sowie eine daran anschließende Beratungsindustrie, die Abhilfe für das verspricht, was unsere Interviewpartner*innen bzw. SH-Expert*innen als die »unachtsamen« oder »dummen« Mitarbeitenden dargestellt haben. Als erfolgreiche Schutzmaßnahmen werden dabei eine verstärkte »Cyberhygiene« sowie Schulungen zur »Cyberselbstverteidigung« empfohlen. Wir wollen mit diesem Beitrag nicht in Abrede stellen, dass derartige Maßnahmen für die IT-Sicherheit eines Unternehmens gewinnbringend sein können. Wir möchten jedoch verdeutlichen, welche performativen Auswirkungen die damit einhergehenden Diskurse haben können, in welchen die Mitarbeitenden und nicht die Angreifer*innen als das primäre Problem konstruiert werden – nicht zuletzt auch als Anstoß für eine gesamtgesellschaftliche Betrachtung der Problematik jenseits von IT-Sicherheitsabteilungen und Managementkreisen.
In unserer Analyse haben wir die Verlagerung der Verantwortung für ein kollektives Problem auf die einzelnen Mitarbeiter*innen beobachtet. Diese Verschiebung spiegelt einen allgemeinen Trend zur Flexibilisierung von Arbeitsumgebungen wider, welche den Arbeitnehmer*innen mehr Autonomie, aber auch Verantwortung bei der Selbstverwaltung ihrer eigenen Produktivität einräumt. Aus dieser Perspektive haben Innovationen am Arbeitsplatz, wie z.B. das Home-Office oder Bring your own device-Reglungen, die Barriere zwischen dem sozio-technischen Rahmen des zu schützenden Unternehmens und dem oft anfälligeren privaten Umfeld seiner Mitarbeiter*innen zunehmend durchlässiger gemacht. SH-Schulungen problematisieren das Individuum als Risiko, thematisieren aber selten die Tatsache, dass einige Unternehmen bewusst die Grenzen zwischen Arbeit und Privatleben verwischen und damit einen wesentlichen Teil des Problemkontextes überhaupt erst schaffen.
Mit Verweis auf die Literatur in den STS zu Vulnerabilität in technologischen Kulturen haben wir argumentiert, dass die Lösungen für mehr IT-Sicherheit nicht in immer neuen Formen der ausgelagerten Risikobeherrschung liegen können, die das Individuum pathologisieren. Als Alternative zu dieser Sichtweise sollten Führungskräfte von Unternehmen, Regierungen und IT-Sicherheitsabteilungen stärker auf institutionelle Aspekte der IT-Sicherheit fokussieren und dabei auf die zunehmenden Unsicherheiten und unbeabsichtigten Konsequenzen achten, welche durch die Digitalisierung der Arbeitswelt entstehen. Auch wenn aus der Sicht von SH-Expert*innen der Mensch das »schwächste Glied« darstellt, wäre es nachhaltiger, eine Balance zu finden zwischen diskursiver Versicherheitlichung, und einer symmetrischen Betrachtung der sozio-technischen Vulnerabilität, die gesellschaftliche Werte und die potenzielle Produktivität von Risiken hervorhebt. Andernfalls laufen IT-Verantwortliche – und letztlich die Gesellschaft – Gefahr, die Verantwortung bei den Opfern statt bei den Täter*innen zu suchen. Wir hoffen daher, dass unsere Analyse nicht nur einen empirischen Beitrag in den Sozialwissenschaften leistet, sondern auch politische Diskurse stimuliert, indem er aufzeigt, wie Konfigurationen von Sicherheit und Arbeitswelt neuartige sozio-technische Defizite konstituieren und Fragen von Risiko und Sicherheit aus der Perspektive der sozio-technischen Vulnerabilität angegangen werden können.
Alexander Wentland und Nina Klimburg-Witjes in: In digitaler Gesellschaft; Walter de Gruyter, Berlin; 2021
https://www.degruyter.com/document/doi/10.1515/9783839454534-007/html
https://creativecommons.org/licenses/by-nc-nd/4.0/
Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.