#Cyberclown: Hype-Mechanismen im öffentlichen OT-Security-Diskurs [German version]

Und warum es unser Job ist, sie zu benennen

Photo by Karsten Winegeart on Unsplash

Kontext: #Cyberclown

  1. Arne Schönbohm ist unter Security-Experten nicht besonders beliebt, ihm werden mangelnde technische Expertise und zu intensive Lobbybeziehungen nachgesagt. Alles bereits seit seiner Amtsübernahme 2016. Daher kommt übrigens auch die Bezeichnung “Cyberclown” — aus einem ZEIT ONLINE-Artikel von 2016.
    Old News.
  2. Cyber-Sicherheitsrat Deutschland e.V.: Arne Schönbohm hat den “Cyber-Sicherheitsrat Deutschland e.V.” mitgegründet, einen dubiosen Verein, der so tut, als sei er eine offzielle deutsche Behörde. Der jetzige “Präsident” des Vereins, Hans-Wilhelm Dünn, steht gemäß Berichten von 2019 Russland bzw. russischen Geheimdiensten nah. Doof bis dubios, aber Arne Schönbohm hat sich und das BSI sogar schon öffentlich von dem Verein distanziert.
    Old News.
  3. Protelion: Eine der Mitgliedsfirmen im “Cyber-Sicherheitsrat Deutschland e.V.” ist Protelion, deutscher Ableger einer russischen IT-Security-Firma, die von einem Ex-KGB-Mann gegründet wurde. Die Firma erscheint ebenso windig wie der Verein. Empfehlen würde man deren Software wohl niemanden, kritische Infrastruktur hin oder her.
    Was fehlt: Das “so what”. Welche Vorteile die dubiose Firma von der Mitgliedschaft im dubiosen Verein hat und ob die Software überhaupt irgendwo in deutschen kritischen Infrastrukturen oder der Bundesregierung eingesetzt wird — weiß man nicht. Das wirft spannende Fragen auf, denen man nachgehen könnte, aber Stand jetzt sind das nichts als:
    Unbelegte Vermutungen.
  4. Arne Schönbohm hat jüngst zum 10jährigen Bestehen seines dubiosen Vereins dort eine Rede gehalten, obwohl er sich von dem Laden doch eigentlich distanziert hatte. Das sind die einzigen wirklichen News an der Sache. Den Auftritt kann man mit Recht kritisieren, mindestens ist er politisch instinktlos. Aber hätte das ohne den Pomp drumherum gereicht, damit ein Präsident einer Bundesbehörde jetzt innerhalb von elf Tagen sein Amt niederlegen muss?

Öffentlich über trockene Themen sprechen: Der Relevanz-Rahmen

Vier Hype-Mechanismen in der Security-Berichterstattung

Hype-Mechanismus 1: KRITIS-Dropping

Hype-Mechanismus 2: FUD

  • Klar, VPN muss man erklären — wozu braucht man das eigentlich? Fernwartung von kritischen Infrastrukturen (s.o.), und da muss natürlich auch das einzige echte Beispiel herhalten, das wir für einen russischen Angriff (genauer: Kollateralschaden, aber das sind ja Details) auf deutsche kritische Infrastruktur (genauer: Windräder eines Herstellers, deren Betrieb nie gefährdet war, aber: Details) haben. Es geht um den Ausfall der Fernwartung für Enercon-Windräder aufgrund des Angriffs auf den Satellitenbetreiber Viasat, siehe Hardhats-Briefing aus den Mai 2022.
    Der Mechanismus ist gut bekannt als das Säen von “FUD” — Fear, Uncertainty and Doubt. Vorfälle eignen sich prima dafür. Deswegen werben auch so viele Security-Firmen mit Vorfällen. Hatten die überhaupt Auswirkungen? Hat der Verlauf inhaltlich überhaupt etwas mit dem zu tun, worüber wir gerade reden? Egal, könnte ja so sein. Das muss reichen.

Hype-Mechanismus 3: Gatekeeping

Hype-Mechanismus 4: Nicht widerlegbare Spekulationen

Raus aus dem Dark Mode!

Dieser Beitrag ist als Teil des monatlichen “Security-Briefing für Hard Hats” erschienen.

--

--

Friction generates heat — true for writing and engineering. Fluchsfriction generates writings on security engineering. Heated debates welcome! CTO@admeritia

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Sarah Fluchs

Friction generates heat — true for writing and engineering. Fluchsfriction generates writings on security engineering. Heated debates welcome! CTO@admeritia