Verantwortung, Vertrauen und Vulnerabilität in IT-Sicherheitsdiskursen
Einleitung: Das «Hacking menschlicher Schwächen»
Während wir diesen Artikel geschrieben haben, sind wir beide mehrfach Ziele von Social Hacking-Angriffen geworden – so wie täglich Millionen Menschen, die von falschen Absender*innen per Email gebeten werden, auf einen Link zu klicken oder eine Datei zu öffnen. In einem unserer Fälle kam die E-Mail von einem Account, der jenem der IT-Abteilung der Universität Wien täuschend ähnlich sah. Die Nachricht enthielt die dringende Aufforderung, das Passwort für den Universitätszugang an den Absender zu schicken, damit dieser ein technisches Problem mit dem Zugang lösen könne. In einer anderen fingierten E-Mail wurde jemand von uns gebeten, einen vermeintlichen Bericht einer Regierungsorganisation zu kommentieren – zum Thema international cybersecurity. Anbieter*innen von Sicherheitsdienstleistungen schätzen, dass 90 Prozent aller Hackerangriffe Gebrauch von manipulativem Social Hacking machen.
Social Hacking (SH) im Kontext der IT-Sicherheit bezeichnet eine Angriffsart, bei der Hacker*innen sowohl auf die technischen als auch die soziale Komponenten eines IT-Sicherheitssystems abzielen. Das Ziel von Hacker*innen ist dabei, Benutzer*innen so zu manipulieren, dass sie vertrauliche Informationen preisgeben, mittels derer sich Hacker*innen dann Zugang zu Daten und Netzwerken verschaffen. Im Bereich der IT-Sicherheit hat sich mit der verbreiteten Nutzung des Internets Anfang der 1990er Jahre die Bezeichnung SH bzw. Social Engineering für diese Art der Manipulation etabliert.
Mit der zunehmenden kommerziellen Relevanz des Internets und der Digitalisierung der meisten Lebens- und Wirtschaftsbereiche hielt der Begriff dann Einzug in IT-Sicherheitsdiskurse und mittlerweile auch in die Nachrichtenberichterstattung. Wie die Anschuldigungen über das angebliche Hacking des Demokratischen Nationalkomitees während der Kampagne der Demokratischen Partei für die US-Präsidentschaft 2017 oder der Twitter Bitcoin Betrug gezeigt haben, rufen SH-Angriffe nicht nur ein großes mediales Echo hervor, sondern können auch politische Implikationen nach sich ziehen.
Als besonders gefährlich und problematisch gilt SH im Kontext der IT-Sicherheit von Unternehmen, die besonders lukrative Ziele für Angriffe darstellen. Selbst kleine Unternehmen verfügen in der Regel über eine Dateninfrastruktur, auf der sämtliche internen und externen unternehmerischen Aktivitäten basieren. Die Kompromittierung solcher Netzwerke kann dazu führen, dass sensible Daten ausgespäht, manipuliert oder gelöscht werden. Derartige Einbrüche können massive wirtschaftliche Schäden mit sich bringen – für das Unternehmen selbst, aber auch für Kund*innen und Zulieferer, zum Beispiel durch den Zugang zu sensiblen Daten oder Betriebsgeheimnissen. IT-Verantwortliche in Unternehmen – aber auch in anderen Organisationen – sehen sich vor diesem Hintergrund vor der Herausforderung, kontinuierlich wirksame Gegenmaßnahmen zu entwickeln, die sowohl auf technischer als auch sozialer Ebene greifen müssen, da SH grundlegende menschliche Eigenschaften wie Unaufmerksamkeit, Neugier, Angst oder Gier als Einfallstor in die vermeintlich nach rein technischer Logik operierenden IT-Systeme ausnutzt.
Mitarbeiter*innen von Unternehmen und anderen Organisationen wiederum stehen mittlerweile im Zentrum eines Wettrüstens zwischen externen Angreifer*innen und den Sicherheitsabteilungen ihrer Organisation. Der Schutz von Firmen vor Cyberangriffen, externer Einmischung und Spionage ist alles andere als neu, jedoch hat die massive Verbreitung von Informations- und Kommunikationstechnologien (IKT) im beruflichen wie privaten Umfeld, die Sicherheitsproblematik in den letzten Jahrzehnten zusätzlich verstärkt. Aus Unternehmenssicht können daher praktisch alle Beschäftigten unfreiwillig zu einem Sicherheitsrisiko werden, weshalb die Investitionen in IT-Sicherheitsschulungen und -trainings für Mitarbeitende seit Jahren massiv steigen.
In diesem Bereich hat sich in den letzten Jahren eine eigene Branche etabliert, die Beratung, Trainings und Bewertungsinstrumente anbietet, um mit derartigen Risiken umzugehen. Besonders wird hier die Konvergenz von technischer und sozialpsychologisch inspirierter Expertise betont, die zum Schutz vor SH-Angriffen zentral sei und eine spezifische Expertengemeinschaft hervorgebracht hat. Allerdings: Die meisten der angebotenen Trainings und Sicherheitslösungen zeigen nicht die erwünschte Wirkung, wie unsere Interviewpartner*innen immer wieder festgestellt haben. Denn mehr noch als herkömmliche Hacking-Methoden, die auf Schwachstellen in fehlerhafter Software abzielen, ermöglicht es SH den Angreifern, auch in vorbildlich gewartete und abgesicherte IT-Systeme einzudringen. Diese kontinuierliche Bedrohung und die scheinbare Unmöglichkeit eines flächendeckenden Schutzes vor SH-Angriffen hat das Wachstum dieser Branche der Sicherheitsindustrie eher zusätzlich gefördert als gehemmt.
Dieser Beitrag untersucht, wie Hacker*innen und Sicherheitsexpert*innen diskursiv die Figur der, wie wir sie bezeichnen, defizitären Benutzer*in konstruieren und den Menschen als das schwächste Glied in der Sicherheitsarchitektur darstellen. Unsere Analyse baut auf den Science and Technology Studies (STS) auf, welche die wechselseitigen Einflüsse von technischer Rationalität und gesellschaftlichen Wertvorstellungen in den Blick nehmen.
Anhand von qualitativen Expert*innen-Interviews untersuchen wir das Zusammenspiel zwischen Nutzer*innen, IT-Sicherheitsabteilungen und dem weiter gefassten SH-Expertendiskurs in Bezug auf die IT-Sicherheit in Unternehmen. Hier zeigt sich eine Verschiebung in der Art und Weise, wie individuelle Defizite vis-à-vis einer kollektiven Sicherheit konstruiert werden: Während viele Unternehmen weitgehend von der sogenannten digitalen Revolution profitiert haben, wurden damit einhergehende sicherheitsbezogene Risiken zunehmend auf die einzelnen Mitarbeitenden ausgelagert.
Unsere Analyse basiert auf insgesamt 13 Expert*innen-Interviews sowie teil-nehmender Beobachtung und Hintergrundgesprächen während der beiden wichtigsten Computersicherheits- und Hacking-Konferenzen Black Hat und Defcon im Juli 2017 in Las Vegas. Zum Abgleich unserer induktiv generierten Interpretationen mit europäischen Debatten haben wir an der Vienna Cyber Security Week im Januar 2018 teilgenommen und weitere Personen aus Unternehmen mit umfassender IT-Sicherheitsinfrastruktur in Finanz- und Gesundheitswesen interviewt. Zudem haben wir eine Dokumentenanalyse durchgeführt, für die wir systematisch Medienberichte und Blogs zum Thema IT-Sicherheit sowie Websites von SH-Expert*innen-Netzwerken ausgewertet haben.
Zunächst zeigen wir in unserer Analyse, wie Nutzer*innen einerseits als grundsätzlich unberechenbare Gefahrenquelle, zugleich jedoch auch als einzig wirksamer Ansatzpunkt für eine Gegenstrategie konstruiert werden. Diese Herstellung eines Defizitverständnisses, betrifft nicht nur einzelne Sicherheitspraktiken, sondern erstreckt sich über weite Bereiche von Organisationen und Institutionen in Politik und Wirtschaft, Wissenschaft und Medien. Abschließend diskutieren wir, wie eine Alternative zum Defizitdenken im Bereich der digitalen Sicherheit aussehen könnte, und zwar in der Form einer »Kultur der Vulnerabilität« und der aktiven Auseinandersetzung mit einem im Entstehen begriffenen sozio-technischen Regime digitaler Organisationssicherheit, das auf geteilter statt auf individueller Verantwortung basiert.
Konzeptioneller Zugang
Von einer Politik der Defizitkonstruktion …
In Bezug auf SH-Angriffe werden die Mitarbeiter*innen oft als das »schwächste Glied« in der Sicherheitsinfrastruktur bezeichnet. In unserer empirischen Auswertung wurde deutlich, dass viele IT-Spezialist*innen von unwissenden und leichtgläubigen Benutzer*innen ausgehen, die in ihrer Arbeitsroutine zwar leicht zu manipulieren seien, deren Verhalten in Bezug auf die Sicherheitspraxis des Unternehmens zugleich jedoch schwer vorhersehbar sei.
Diese Muster der Problematisierung ähneln dem Defizitmodell in Teilen der konventionellen Wissenschaftskommunikation (public understanding of science), welches in den STS umfassend kritisiert worden ist. Die Kritik richtet sich vor allem auf ein reduktionistisches Verständnis von gesellschaftlichen Kontroversen, die regelmäßig um neue wissenschaftliche Einsichten und Technologien entbrennen, wie beispielsweise Gentechnik oder Atomenergie. Obwohl gesellschaftliche Konflikte um Wissenschaft und Technik niemals rein epistemisch motiviert sind, sondern vielmehr grundlegende politische und soziale Wertfragen adressieren, sehen Vertreter*innen des Defizitmodells das Heilmittel gegen Dissens darin, die wissenschaftliche Kompetenz (literacy) der Bevölkerung zu fördern. Diese, so die Annahme, führe dann automatisch zur Akzeptanz umstrittener wissenschaftlich-technischer Entwicklungen. Während diese Perspektive eine breite institutionelle Unterstützung fand, wurde die implizite Charakterisierung von Bürger*innen als irrational und aufklärungsbedürftig jedoch auch normativ hinterfragt und empirisch widerlegt. So zeigte Brian Wynne in einer vielzitierten Studie zum Umgang mit radioaktiv kontaminierten Ländereien in England nach dem Tschernobyl-Reaktorunglück, wie vorkonfigurierte Machtasymmetrien eine Dominanz von wissenschaftlichem Expertenwissen sicherstellen. Widersprechende Positionen wurde in dem untersuchten Fall frühzeitig als Wissenschaftsfeindlichkeit gedeutet, obwohl die Farmer*innen über relevantes Erfahrungswissen verfügten und als unmittelbar Betroffene ein besonderes Interesse an der Mitdeutung der Problemlage hatten – anders als die Forschenden.
Forschung in den STS verweist häufig darauf, dass institutionell getragene Initiativen, die von Kompetenzdefizits ausgehen, nicht die erwünschten Ergebnisse erbracht haben – nämlich Kontroversen um Expertise zu befrieden. Darüber hinaus haben STS-Studien untersucht, wie Machtasymmetrien durch die Professionalisierung und Institutionalisierung von Expertise zu einer Schließung von Diskursen führen, wodurch nicht-wissenschaftliche, aber potenziell betroffene Akteur*innen nicht auf Augenhöhe mitwirken können. Aus Sicht des Defizitmodells gelten Personen und Gruppen, die nicht durch ihre institutionelle Position als Wissensträger*innen legitimiert sind lediglich als Rezipient*innen von Wissen. Diese Gruppen bedürfen einer angemessenen Aufklärung und Bildung oder müssen sich – falls sie diese ablehnen – den Vorwurf mutwilliger Ignoranz gefallen lassen.
Die Verbreitung und Wirkmächtigkeit des Defizitmodells kann auch in anderen gesellschaftlichen Kontexten beobachtet werden. So konstatieren Pfotenhauer et al. den Trend, die Zukunftsfähigkeit von institutionellen Akteuren aller Art – angefangen bei Unternehmen bis hin zu ganzen Nationalstaaten – in Kategorien eines »Innovationsdefizits« zu betrachten. Akteur*innen, denen ein Innovationsdefizit diagnostiziert wird, werden dadurch unter Rechtfertigungsdruck gesetzt. Von ihnen wird erwartet, das Defizit mittels externer Expertise zu schließen. Die Autoren argumentieren, dass solche Defizitdiagnosen eine bestimmte politische Problemlage performativ erzeugen, statt diese – wie oft behauptet – objektiv zu beschreiben. Pfotenhauer und Jasanoff beobachten hier eine »Wende in der Innovationspraxis« der letzten Jahre: Indem wirtschaftliche, politische und wissenschaftliche Akteur*innen sich zunehmend an globalen Vorbildern für erfolgreiche Innovation wie dem Silicon Valley oder MIT orientieren, werden lokales Wissen, regionale Erfahrungen und Interessen Betroffener häufig marginalisiert. Dieser Dynamik liegt die Annahme zu Grunde, dass Akteur*innen, die nicht dem dominanten Innovationsregime folgen, unweigerlich ins Hintertreffen geraten würden, so Pfotenhauer und Jasanoff.
Analog zu diesem Defizitmodell der Innovation, gehen auch Führungskräfte von Unternehmen und IT-Abteilungen häufig davon aus, dass ihre Belegschaft durch fehlende Kompetenz im Umgang mit potenziellen SH-Angriffen hinter die Sicherheitsstandards des Unternehmens zurückfällt. Dieses Framing zeigte sich deutlich in den von uns ausgewerteten Sicherheitsstrategien der Firmen, Berichten in Branchennachrichten und in den Diskussionen auf den von uns besuchten Security-Tagungen. Auch in diesem Fall erheben technische Expert*innen den Anspruch auf alleinige Definitionsmacht darüber, was als geeignetes Wissen im Umgang mit (Sicherheits-)Problemen gelten soll. Die von uns recherchierten SH-Schulungen für Mitarbeitende gehen dem entsprechend davon aus, dass die Teilnehmenden selbst ein Sicherheitsrisiko innerhalb des Unternehmens darstellen. Ziel sei es dieses Risiko auf der Individualebene zu identifizieren, zu »diagnostizieren« und somit die Daten- und Kommunikationssysteme der Firmen widerstandsfähiger gegenüber SH-Angriffen zu machen.
Pfotenhauer et al. haben in diesem Kontext eine Forschungsperspektive entwickelt, welche die Aufmerksamkeit auf die verschiedenen Ebenen der Defizitkonstruktion lenkt: Etwas als defizitär zu konstruieren – sei es die Benutzer*innen eines Computers oder eine ganze Volkswirtschaft – beginnt mit der Diagnose eines Problems, das es zu lösen gilt. Expert*innen versprechen in diesem Sinne nicht nur potentielle Lösungsansätze, sondern beanspruchen zugleich auch die Deutungshoheit über die Problemdefinition selbst und stützen sich dabei auf vermeintlich objektiv feststellbare Methoden und Maßstäbe. Arbeiten aus den STS zu diesem Spannungsfeld haben gezeigt, dass solche Problematisierungen und vorgeschlagenen Lösungsansätze immer auch Annahmen über eine wünschenswerte soziale, politische und wirtschaftliche Ordnung implizieren.
… zu einem neuen Verständnis von sozio-technischer Vulnerabilität
Um die Bedeutung von SH für Sicherheitsdiskurse zu verstehen, schlagen wir eine Perspektive vor, die die Belegschaft nicht prinzipiell pathologisiert, sondern von technifizierten Lebenswelten ausgeht, die aus dem Wechselspiel technischer Rationalität und sozialer Normen hervorgehen. Aufbauend auf STS-Arbeiten zu »technological culture« und »socio-technical vulneraility« schlagen wir in diesem Beitrag den Begriff Kultur der Vulnerabilität vor, um dem eher technokratischen Risikovokabular eine reflexive Sicht hinzuzufügen. Die Figur der Vulnerabilität wurde in den STS als Antwort auf den Risikobegriff im Sinne von Ulrich Becks Risikogesellschaft entwickelt. Vulnerabilität ist in der STS-Konzeption weder objektivierbar noch kann sie als inhärentes Merkmal bestimmter als risikohaft beschriebener gesellschaftlicher Bereiche verstanden werden. Auf normativer Ebene kann die Berücksichtigung von Vulnerabilität den Deutungsraum einer Gesellschaft über das vorherrschende Risikoverständnisses hinaus ausweiten, was besonders dringlich erscheint, wenn sich im Zuge der zunehmenden Digitalisierung vieler Lebensbereiche Fragen von Verantwortung und Vertrauen neu stellen.
Methodischer Ansatz und Feldforschung
Unsere Analyse stützt sich auf ethnographische Feldforschung sowie Experteninterviews, welche im Rahmen von drei internationalen Konferenzen zu IT-Sicherheit und Hacking durchgeführt wurden. Wir haben dafür an der Vienna Cyber Security Week im Januar 2018 sowie den internationalen Konferenzen Black Hat und Defcon teilgenommen, die im Juli 2017 in Las Vegas, USA stattfanden. Insbesondere die beiden letztgenannten Konferenzen sind die führenden Veranstaltungen in diesem Bereich und ziehen jedes Jahr rund 20.000 Interessierte an. Black Hat richtet sich v.a. an Unternehmen und Regierungsbehörden in verschiedenen Bereichen, wie Justiz, Wirtschaft und Gesundheit sowie Energie und Verteidigung. Die Defcon wiederum gilt als die informellere und kreativere Konferenz mit einem gemischten Publikum, welches aus Hacker*innen und IT-Fachleuten sowie Journalist*innen, Nichtregierungsorganisationen im Bereich des Datenschutzes, Aktivist*innen und Forschenden besteht. Während der letzten Jahre wurden auf beiden Konferenzen vermehrt Vorträge über menschliche Faktoren in der IT-Sicherheit gehalten sowie ein Social Engineering Village eingerichtet – vergleichbar mit einer Sektion bei akademischen Konferenzen.
Konferenzen und Großveranstaltungen wie diese können als ›Seismographen‹ der Debatten, Schlüsselthemen und sozialen Interaktionen ihrer jeweiligen Bereiche verstanden werden und sind zentral für anthropologische Untersuchungen. Darüber hinaus verstehen wir diese Großveranstaltungen, von Keynote Talks, Lunch Talks, Podiumsdiskussionen und Arbeitsgruppen bis hin zu After-Partys, als aktive gesellschaftspolitische Räume, in denen wir die Prozesse untersuchen können, durch die Wissen und Expertise präsentiert, generiert, erprobt oder stabilisiert werden.
Die Teilnahme an den jeweiligen Konferenzen ermöglichte es uns, zu verstehen, in welcher Form »contextualized interactions produce social realities like understandings of particular problems and the power relations brought into being in addressing those problems«. Darüber hinaus, und aufgrund des oft sensiblen Charakters von IT-Sicherheitsthemen, haben wir während der Veranstaltungen informelle Interviews und Diskussionen mit den Teilnehmenden durchgeführt, oft in Form von unstrukturierten Gesprächen während der Pausen oder in der Warteschlange für einen Vortrag.
Das empirische Material wurde nach Hajers Ansatz der argumentativen Diskursanalyse ausgewertet. Dieser sieht Diskurs »als ein Ensemble von Ideen, Konzepten und Kategorien [.], durch das ein Phänomen mit Bedeutung versehen wird, und welches durch ein bestimmtes, identifizierbares Set von Praktiken produziert und reproduziert wird«. Dieser Ansatz ermöglicht es zu verstehen, wie und unter welchen Bedingungen ein spezifischer Diskurs dominant wird. Besonders relevant für unseren Beitrag ist dabei der Begriff der Storylines, der verdichtende, zentrale Elemente eines breiteren SH-Diskurs bezeichnet.
Empirische Analyse
SH gilt heute als zentrale Komponente nahezu aller Cyberangriffe und basiert auf einer Kombination aus technischen und sozialen Angriffen, wie die folgende Anekdote exemplarisch illustriert: Kevin Mitnick, einer der Protagonist*innen des sozialpsychologisch interessierten Teils der Hackerszene, legte 2010 die inhärente Vulnerabilität maschinenlesbarer Dienstausweise und Zugangskontrollen in gesicherten Gebäuden offen. Im Auftrag eines Kunden, der die Sicherheitsinfrastruktur seines Unternehmens testen wollte, kam Mitnick in der Raucherecke vor dem Gebäude ins Gespräch mit Mitarbeitenden, die ihn für einen Kollegen hielten. Währenddessen gelang es Mitnick unbemerkt über einen versteckten RFID-Scanner in seiner Tasche, die Zugangskarten der Mitarbeitenden auszulesen, die Kartendaten zu kopieren und sich so Zugang zu verschaffen. Im Gebäude selbst war Mitnick mittels einer in seiner Brille installierten Mini-Webcam in der Lage, die Mitarbeitenden bei der Eingabe ihrer Passwörter zu filmen und sich so auch Zugang zur digitalen Infrastruktur zu verschaffen. Dieses Beispiel verweist auf den kritischen Problemfokus des SH-Expertendiskurses, welchen wir in der folgenden empirischen Analyse systematisch dekonstruieren.
Die Suche nach den Verantwortlichen: Die »dummen Mitarbeitenden« als Sicherheitsrisiko?
In den letzten Jahren sind im Bereich der IT-Sicherheit zahlreiche Fachbücher publiziert worden, die sowohl Methoden und Techniken zur Manipulation menschlichen Verhaltens als auch Präventionsstrategien gegen solche Angriffe thematisieren. Professionelle Anbieter*innen werben im Internet für ihre Beratungsleistungen und führen dabei häufig spektakuläre Hackerangriffe wie das oben erwähnte Beispiel als Beleg für die Dringlichkeit des Problems an. Dabei wird häufig eine permanente Bedrohungslage konstruiert, in der katastrophale Angriffe jederzeit eintreten können oder bereits eingetreten, jedoch vom Unternehmen unbemerkt geblieben sind. Ein Artikel im Tech-Magazin Wired mit dem Titel »Social Engineering Always Wins: An Epic Hack Revisited« bringt dieses Gefühl der permanenten Bedrohung auf den Punkt: »In short, all of this has happened before, and all of it will happen again«.
Während sich Ingenieur*innen und Programmierer*innen vormals hauptsächlich mit Schwachstellen in Soft- und Hardware beschäftigten, wird in den zunehmend nutzerzentrierten Sicherheitsdiskursen die menschliche Fehleranfälligkeit als das Hauptproblem dargestellt. In unseren Interviews und während der Konferenzen wurde deutlich, dass die meisten befragten Expert*innen den Menschen als das »schwächste Glied« in der Sicherheitsinfrastruktur sehen, was in Aussagen wie dieser deutlich wird: »users are the problem, not the system«. Bemerkenswert an diesem Zitat ist, dass der bzw. die Benutzer*in nicht als Teil des Systems verstanden wird, sondern als ein externer Faktor, der entweder richtig oder falsch handelt. In Interviews und in Vorträgen wurde häufig die Figur der »stupid people« angeführt, die auf die vermeintliche Unfähigkeit der Benutzer*innen, sich den immer komplexeren sozio-technischen Herausforderungen der IKT anzupassen, rekurriert – unabhängig davon »how much education and training is thrown upon them«. Dieses Zitat deutet bereits an, dass die Benutzer*innen als unfähig angesehen werden, selbst die einfachsten Vorsichtsmaßnahmen zu treffen, wie beispielsweise adäquate Passwörter zu erstellen oder die Identität eines*r vermeintlichen Mitarbeitenden zu prüfen, die/der sich Zugang zu sensiblen Information verschaffen möchte.
Unabhängig davon, wie gesichert die IT-Infrastruktur eines Unternehmens auch sein mag, wie der IT-Sicherheitsexperte Hulme in einem Onlinebeitrag betont, »there’s always going to be employees who hand over the keys to the kingdom – or at least raise the drawbridge when asked nicely, or with authority.« Besonders auffällig war, dass in den meisten Interviews und auf allen von uns besuchten Konferenzen die Angreifer*innen als ein unvermeidliches Übel gesehen wurden. Dies zeigte sich u.a. in der häufigen Darstellung des Hackers und der Hackerin als jemand, der bzw. die in der Lage sei, alles zu tun, was er oder sie will – nicht aufgrund außergewöhnlicher technischer Fähigkeiten, sondern aufgrund der vermeintlichen Unfähigkeit der Nutzer*innen. Während also Hacker*innen oft mit Bewunderung für ihre elaborierten Angriffe beschrieben wurden, sind es die unachtsamen Mitarbeiter*innen, die ihre Daten versehentlich an diese preisgeben würden und somit diskursiv als die eigentliche Gefahrenquelle konstruiert werden. Doch warum rekurrieren so viele Expert*innen in erster Linie auf menschliche »Dummheit« und worauf gründet sich diese ihrer Ansicht nach?
Unseren Interviewpartner*innen zufolge und in Übereinstimmung mit der (eher technischen) Literatur zu SH ist seitens der Expert*innen die wichtigste Erklärung für den Erfolg von SH-Angriffen, dass diese Manipulationen auf Emotionen wie Angst, Neugier, Aufregung oder Gier nach ökonomischen Gewinnen abzielen. Zudem öffnet oftmals auch Vertrauen den Angreifenden die Tür, wie ein weiteres Zitat aus dem oben genannten Onlinebeitrag zeigt:
»Humans are fairly dumb; we are easily led; trust readily and we have this natural tendency (for the most part) to think other folk have our best interests in mind. It’s this naivety that attackers will take advantage of when attacking your system. SE is taking advantage of a human’s natural desire to trust and reciprocate kindness.«
Dabei wird in der Regel wenig berücksichtigt, dass Vertrauen eine Grundvoraussetzung der Zusammenarbeit in einem Unternehmen, aber auch für unternehmensübergreifende Kooperationen ist. Wenn selbstverständliche Vertrauensbeziehungen in Frage gestellt werden, kann dies für die individuellen Mitarbeiter*innen im Arbeitskontext zu Spannungen zwischen widersprüchlichen Erwartungen führen. Zwei unserer Interviewpartner*innen aus dem mittleren Management im Bank- bzw. Gesundheitswesen berichteten von dieser Gratwanderung zwischen pragmatischem Vertrauen und kodifiziertem Misstrauen, insbesondere in Interaktionen mit den jeweiligen Kund*innen.
Zum Beispiel gelte im Außeneinsatz in den Büros der Kund*innen für alle Anwesenden die strikte Sicherheitsregel, den eigenen Laptop mit Schloss und Kabel zu sichern. Halte man sich nicht an diese Regel, werden unabgeschlossene Laptops konfisziert und erst nach dem Ende eines Meetings wieder ausgegeben. »Trotzdem schließt oft niemand seinen Laptop an«, erklärt uns einer der Interviewpartner. »Wenn die Kunden das selbst nicht machen, dann machst du das auch nicht als Externer, du möchtest nicht den Eindruck vermitteln, dass du misstrauisch bist. Man will ja keinen Zweifel an der anderen Person kommunizieren«. Diese symbolische Geste des Vertrauens, seinen Laptop nicht anzuschließen, wird von den Akteur*innen für wichtiger erachtet als die Einhaltung der IT-Sicherheitsvorgaben, was jedoch auch bedeutet, dass im Falle eines Datendiebstahls der oder die individuelle Mitarbeiter*in die Verantwortung und damit das Risiko trägt, wenn er oder sie im Sinne des eigenen Unternehmens einen vertrauensvollen Umgang mit den Kund*innen kultiviert. Dieses Risiko war unseren Interviewpartner*innen, die sich in ihrem Arbeitsalltag über eine Reihe von Regeln wissentlich hinwegsetzten, bewusst. Sie empfanden die Praxis aller Beteiligten, ihre Laptops nicht anzuschließen, als fahrlässig, weil die Büros »meistens so groß sind, dass einfach jemand einen Laptop mitnehmen könnte, ohne dass das auffällt«. Aber, so die Person, »dadurch, dass das oft keiner macht, würde man dann komisch auffallen«.
Auch aufseiten der IT-Sicherheitsabteilungen sind sich viele Verantwortliche der Tatsache bewusst, dass die Mitarbeiter*innen mit einer Situation konfrontiert sind, die sie selbst nicht aktiv herbeigeführt haben und die vor einigen Jahrzehnten noch unvorstellbar war. Einer unserer Gesprächspartner gab an, dass sich die Last, für die Sicherheit des eigenen Unternehmens zu sorgen, mit der Anzahl der Mitarbeiter*innen und den technischen Entwicklungen vervielfacht hat: »A while ago, you had a fence, a guard with a flashlight and a German shepherd at the gate, and your premises were basically secured«. Heute wiederum müssten fast alle Mitarbeiter*innen so vorsichtig und gut geschult sein wie der besagte Wachmann am Tor und verdächtige Aktivitäten von sich aus erkennen. »But of course, this is not the people’s primary job. They are office workers, accountants, technicians – how are they supposed to handle targeted phishing attacks deliberately designed for them, while going about their regular business?«.
Diese durchaus differenzierte Sichtweise steht jedoch in starkem Kontrast zu dem, was in vielen Vorträgen auf den besuchten Konferenzen diskutiert wurde. In Bezug auf Informationssicherheit wurden die Mitarbeiter*innen insbesondere auf SH-Events als ungebildet und unfähig dargestellt, sich selbst oder ihr Unternehmen zu schützen. Die beschriebene Verantwortungsverlagerung und -diffusion in Bezug auf die Unternehmenssicherheit wurde von den meisten SH-Expert*innen dabei jedoch nicht hinterfragt. Auch die Paradoxie, die sich aus dem Abzielen von SH-Angriffen auf menschliche Emotionen wie Vertrauen, die auch im Arbeitsumfeld eine entscheidende Rolle spielen, ergibt, wurde in diesem Kontext kaum kritisch reflektiert. Auffallend war vor allem, wie viele Redner*innen auf eine Arzt-Patienten-Metaphorik zurückgriffen, in der sie Beschäftigte als Patient*innen beschrieben, während sie sich selbst oder die Mitglieder der SH-Expertengemeinschaft wiederum mit Ärzt*innen gleichsetzten, also mit denjenigen, »who take care of the stupid people because they need us«. Wie im nächsten Abschnitt ausführlicher dargelegt wird, stützen sich die Expert*innen häufig auf Metaphern aus Medizin und Psychologie um die Pathologie des »dummen« Benutzers bzw. der »dummen« Benutzerin und die begrenzte Wirksamkeit von IT-Sicherheitsschulungen zu diagnostizieren.
Alexander Wentland und Nina Klimburg-Witjes in: In digitaler Gesellschaft; Walter de Gruyter, Berlin; 2021
https://www.degruyter.com/document/doi/10.1515/9783839454534-007/html
https://creativecommons.org/licenses/by-nc-nd/4.0/
Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.