Es wird Zeit, dass der Sheriff den weißen Hut aufsetzt (Teil 1)
Die IT-Sicherheit hat sich vom Western die Metapher vom weißen, vom schwarzen und vom grauen Hut ausgeliehen. Doch während das Publikum im Western meistens ziemlich genau weiß, wer die Guten sind und wer die Bösen, herrscht in der IT oft Unsicherheit. Den Preis bezahlen wir alle – und er wird immer höher.
Im Western ist die Welt oft übersichtlich. Es gibt die Guten und es gibt die Bösen. Ob einer zu den Guten gehört, erkennen die Zuschauer im klassischen Western oft schon daran, wie er aussieht. Trägt er einen weißen Hut auf dem Kopf? Dann ist er wahrscheinlich ein Guter. Hat er jedoch einen schwarzen Hut auf, gehört er wahrscheinlich zu den Bösen – und liegt am Ende wohl tot im Staub.
Das echte Leben ist grundsätzlich komplexer als Kino und so eindeutig wie im Western ist das mit den Guten und Bösen in der Geschichte der Menschheit nur selten. Aber über die Sache mit den weißen und den schwarzen Hüten lohnt es sich trotzdem nachzudenken. Schon allein deshalb, weil die Hut-Metapher in der IT-Sicherheit für Ordnung und Übersichtlichkeit sorgt.
Oder besser gesagt: sorgen könnte.
Einer gängigen Kategorisierung zufolge gibt es drei verschiedene Arten von Hackern. Unterscheidbar werden sie durch ihre Hüte. Black Hat Hacker sind die Bösen; die fügen anderen aus niederen Motiven und zur eigenen Bereicherung Schaden zu. White Hat Hacker sind die Guten; die spüren Sicherheitslücken auf, damit sie geschlossen werden. Dann gibt es noch Grey Hat Hacker; die sind ihrem höheren Gut dergestalt verpflichtet, dass sie als Mittel zum Zweck die Gesetzeslage großzügig interpretieren oder bei Bedarf auch einfach ignorieren.
Drei Hüte – einer für jeden Anlass?
Drei Hüte stehen also zur Auswahl. Aber wissen wir, ob unter dem jeweiligen Hut auch wirklich der zugehörige Typ steckt? Das wissen wir nicht. Wie könnten wir auch? Wer sagt es uns? Und wie könnten wir uns darauf verlassen, dass das, was man uns sagt, auch stimmt?
Sicherheit, das Internet und ganz besonders Sicherheit im Internet haben viel mit vorgetäuschten Identitäten zu tun. Mit Maskerade. Schadprogramme so aussehen lassen, als versprächen sie einen Gewinn. Menschen bei ihrer Angst packen, bei ihrer Gier oder einfach ausnutzen, dass sie abgelenkt sind und nicht genau hinschauen, ob Hut und Rolle zusammenpassen.
Das Grundrezept der kleinen Tricksereien und Betrugsversuche, auf die doch immer wieder genügend Leute hereinfallen, ist oft das gleiche wie das der ganz großen Attacken, bei denen Industrieanlagen betriebsunfähig gemacht, Börsenkurse oder große Mengen von Individuen manipuliert werden sollen. Oft besteht der entscheidende Trick darin, einer Instanz – sei es Mensch oder Maschine – Legitimität vorzuspielen, Kontrollen zu umgehen oder Vertrauen auszunutzen.
Wir wollen wissen, ob wir dem Sheriff vertrauen können
Täuschung. Böses vorhaben und dazu als Tarnung einen weißen Hut aufsetzen. Viel von dem, was im Internet falsch läuft, geht darauf zurück – und viele der Initiativen, die sich für ein sicheres Internet und eine gute digitale Zukunft engagieren, leisten bereits gute Arbeit darin, Täuschungsversuche aufzudecken. Aufzuklären. Hilfsmittel an die Hand zu geben, damit unlautere Absichten erkannt, eingedämmt und gestoppt werden können.
Aber das sind oft kleine Akteure, nur Experten und engagierten Digital Citizens bekannt. Oft fehlt es ihnen an Reichweite, an den Mitteln zur Durchsetzung und an Bekanntheit. Im Moment ist es leider so: Je größer ein Name im digitalen Ökosystem, desto größer auch das Misstrauen. Große Namen, die rundherum Vertrauen genießen, sind die Ausnahme, ganz egal, ob wir uns unter Unternehmen umsehen. Oder unter Staaten.
Der Sheriff, der unter dem strahlend weißen Hut die Hauptstraße hinabreitet und für kompromisslose Sicherheit steht? Von dem jeder weiß, dass er ihm vertrauen kann? Ist bislang noch nicht in Erscheinung getreten.
Ich finde: Langsam wird es Zeit.
Foto © Photitos2016 | istockphoto.com