#Cyberclown: Hype-Mechanismen im öffentlichen OT-Security-Diskurs [German version]

Und warum es unser Job ist, sie zu benennen

Cybersecurity, ja gar Security für kritische Infrastrukturen, war im Fernsehen! Und zwar nicht irgendwo, sondern bei Jan Böhmermann. Das ZDF Magazin Royale vom 07.10.22 widmet sich ab Minute 9 der IT-Sicherheit, Hashtag #cyberclown — und als Resultat ist Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik, seinen Job los.
Die Cyberclown-Geschichte ist aber eigentlich gar keine Security-Geschichte, auch wenn sie so aussieht. Stattdessen ist es eine Geschichte über Medien, die auf dünner Recherchebasis Skandale herbeischreiben und Politiker, die Skandale für die öffentliche Begründung nicht-öffentlich getroffener Entscheidungen nutzen.
Das interessiert Sie nicht, Sie sind nur für die OT-Security hier?

Leider muss es uns in unserer OT-Security-Nische trotzdem interessieren. Denn als “Security kritischer Infrastrukturen” mausert sich OT-Security gerade vom Nischenthema zum politischen Kampfbegriff. Unsere Themen werden politischer, als wir es gewöhnt waren. Wie kommt das? Durch immer wiederkehrende Hype-Mechanismen, die den öffentlichen Diskurs um die Security kritischer Infrastrukturen emotional aufladen und unsachlich machen. Um diese Mechanismen soll es hier gehen — denn es braucht uns, die OT-Security-Nischenbewohner, um sie zu benennen und erhitzte Gemüter wieder auf den Teppich zu bringen.

Aber beginnen wir vorne.

Kontext: #Cyberclown

Die Cyberclown-Geschichte ist schnell erzählt: Mit dem #Cyberclown meint Jan Böhmermann den BSI-Präsidenten Arne Schönbohm. Zitatauswahl: “Das größte Sicherheitsrisiko sind Menschen, die auf Posten sitzen.” / “Es gibt ein Sicherheitsrisiko mit Glatze.” / “Ein bislang unbekanntes, riesengroßes, blubberndes Leck in der deutschen Kompetenzpipeline in Sachen IT”.

Das Ziel der Böhmermann-Sendung war recht klar: Schönbohm als Präsidenten des Bundesamts für Sicherheit in der Informationstechnik absägen. Und das Ziel wurde nur elf Tage nach Ausstrahlung der Sendung erreicht, als Bundesinnenministerin Nancy Faeser Schönbohm abberief. Vorerst — denn Arne Schönbohm klagt gegen seine Freistellung.

Der Böhmermann-Plot, der zu all dem führte, baut auf vier Elementen auf:

Arne Schönbohm ist unter Security-Experten nicht besonders beliebt, ihm werden mangelnde technische Expertise und zu intensive Lobbybeziehungen nachgesagt. Alles bereits seit seiner Amtsübernahme 2016. Daher kommt übrigens auch die Bezeichnung “Cyberclown” — aus einem ZEIT ONLINE-Artikel von 2016.
Old News.
Cyber-Sicherheitsrat Deutschland e.V.: Arne Schönbohm hat den “Cyber-Sicherheitsrat Deutschland e.V.” mitgegründet, einen dubiosen Verein, der so tut, als sei er eine offzielle deutsche Behörde. Der jetzige “Präsident” des Vereins, Hans-Wilhelm Dünn, steht gemäß Berichten von 2019 Russland bzw. russischen Geheimdiensten nah. Doof bis dubios, aber Arne Schönbohm hat sich und das BSI sogar schon öffentlich von dem Verein distanziert.
Old News.
Protelion: Eine der Mitgliedsfirmen im “Cyber-Sicherheitsrat Deutschland e.V.” ist Protelion, deutscher Ableger einer russischen IT-Security-Firma, die von einem Ex-KGB-Mann gegründet wurde. Die Firma erscheint ebenso windig wie der Verein. Empfehlen würde man deren Software wohl niemanden, kritische Infrastruktur hin oder her.
Was fehlt: Das “so what”. Welche Vorteile die dubiose Firma von der Mitgliedschaft im dubiosen Verein hat und ob die Software überhaupt irgendwo in deutschen kritischen Infrastrukturen oder der Bundesregierung eingesetzt wird — weiß man nicht. Das wirft spannende Fragen auf, denen man nachgehen könnte, aber Stand jetzt sind das nichts als:
Unbelegte Vermutungen.
Arne Schönbohm hat jüngst zum 10jährigen Bestehen seines dubiosen Vereins dort eine Rede gehalten, obwohl er sich von dem Laden doch eigentlich distanziert hatte. Das sind die einzigen wirklichen News an der Sache. Den Auftritt kann man mit Recht kritisieren, mindestens ist er politisch instinktlos. Aber hätte das ohne den Pomp drumherum gereicht, damit ein Präsident einer Bundesbehörde jetzt innerhalb von elf Tagen sein Amt niederlegen muss?

Die Cyberclown-Geschichte ist also aber im Kern gar keine Security-Geschichte, auch wenn einer der Protagonisten zufällig der Chef der Bundesbehörde für IT-Sicherheit ist — oder besser: war. Stattdessen ist es eine Geschichte über Medien, die auf dünner Recherchebasis Skandale herbeischreiben und Politiker, die Skandale für die öffentliche Begründung nicht-öffentlich getroffener Entscheidungen nutzen.

Öffentlich über trockene Themen sprechen: Der Relevanz-Rahmen

Hier könnten wir nun einen Schlussstrich ziehen unter die Cause Böhmermann und #Cyberclown mit der Erkenntnis: Tangiert uns Schutzhelmträger eigentlich nicht so sehr.

Tut es aber leider doch.

Denn: Die Sache hat mit der Security kritischer Infrastrukturen eigentlich nichts zu tun. Sie ist aber von Jan Böhmermann sehr bewusst in diese Richtung geschoben worden, und das ist kein Einzelfall.

Als “Security kritischer Infrastrukturen” mausert sich OT-Security gerade vom Nischenthema zum politischen Kampfbegriff. Unsere Themen werden politischer, als wir es gewöhnt waren. Unser Standardrepertoire von Begriffen, Konzepten und Kritik, die wir bislang unbehelligt vom breiten öffentlichen Interesse sorglos und meist ohne politische Intentionen verwendeten, bekommen Konnotationen, mit denen man Stimmung machen kann.

Journalisten müssen ihren Lesern, Hörern und Zuschauern erklären, warum ein sperriges, Thema aktuell und relevant ist (und technische Themen sind immer sperrig).

Wenn einmal ein einleuchtender “Relevanz-Rahmen” gefunden ist, um die Adjektive “aktuell” und “relevant” an ein Technik-Thema zu kleben, dann wird es oft ein Selbstläufer, in Hunderten von Texten verwendet, bis man irgendwann nur noch ein Buzzword fallen lassen kann: Elektromotoren? Energiewende! Wärmepumpe? Gaskrise!
Auch das Vokabular unserer kleinen Bubble wird gerade zum Relevanz-Rahmen, zu Buzzwords, mit denen man das Partykiller-Themer Security irgendwie für Otto Normalverbraucher aktuell und relevant klingen lassen kann.
Security? Kritische Infrastruktur! Russland! Cyberwar!

Die Relevanz von Technik-Themen greifbar zu machen, ist natürlich kein Problem. Es wird erst eines, wenn die Buzzwords nicht fallengelassen werden, um eine Verbindung herzustellen, sondern um eine fehlenden Verbindung zu überdecken oder eine zu suggerieren, wo gar keine ist. Die Relevanz-Rahmen werden dann zu Hype-Mechanismen, die sich, gepaart mit Klamauk, prima als Kitt für die fehlenden logischen Verbindungen funktionieren. Fertig ist der Skandal ohne sauber recherchierte Grundlage.

Vier Hype-Mechanismen in der Security-Berichterstattung

Was das mit uns zu tun hat? Unser Job ist es, in der Security-Berichterstattung häufig vorkommende Hype-Mechanismen zu erkennen und zu benennen. Die Böhmermann-Show ist ein hervorragendes Lehrbeispiel für Security-Hype-Mechanismen. Ein paar Geschmacksproben:

Hype-Mechanismus 1: KRITIS-Dropping

Alles, was Security im Namen trägt, schützt bestimmt auch irgendwie kritische Infrastrukturen.

Die Protelion GmbH, so Böhmermann, “verkauft Software an deutsche Unternehmen, damit die kritische Infrastruktur sich und irgendwie auch dem ganzen Land vor Zugriffen schützen können”. Klingt vage? Ist es auch. In diese Kerbe haut Böhmermann aber noch ein paar Mal. Am Ende hat man den Eindruck, so abgefahrene Technologien wie VPN gibt es eigentlich nur von Protelion und kein deutsches Unternehmen — ALLES KRITISCHE INFRASTRUKTUREN! — käme ohne Russen-VPN aus.

Hype-Mechanismus 2: FUD

Es gab schon einen echten Vorfall mit echten Auswirkungen, also muss es eine realistische Gefährdung geben.

Klar, VPN muss man erklären — wozu braucht man das eigentlich? Fernwartung von kritischen Infrastrukturen (s.o.), und da muss natürlich auch das einzige echte Beispiel herhalten, das wir für einen russischen Angriff (genauer: Kollateralschaden, aber das sind ja Details) auf deutsche kritische Infrastruktur (genauer: Windräder eines Herstellers, deren Betrieb nie gefährdet war, aber: Details) haben. Es geht um den Ausfall der Fernwartung für Enercon-Windräder aufgrund des Angriffs auf den Satellitenbetreiber Viasat, siehe Hardhats-Briefing aus den Mai 2022.
Der Mechanismus ist gut bekannt als das Säen von “FUD” — Fear, Uncertainty and Doubt. Vorfälle eignen sich prima dafür. Deswegen werben auch so viele Security-Firmen mit Vorfällen. Hatten die überhaupt Auswirkungen? Hat der Verlauf inhaltlich überhaupt etwas mit dem zu tun, worüber wir gerade reden? Egal, könnte ja so sein. Das muss reichen.

Hype-Mechanismus 3: Gatekeeping

Wenn du die Anspielung nicht verstehst, liegt es an dir, nicht an der Anspielung.

Irgendwelche Anhaltspunkte, dass kritische Infrastrukturen tatsächlich Software von Protelion verwenden, sucht man vergeblich. Einziger “Beleg”: Das BSI schreibt auf Anfrage, es wisse nicht, ob irgenwo in der Bundesregierung Protelion verwendet werde. Das ist wenig, aber es könnte ja theoretisch so sein, und über den aufkomenden Zweifel trägt einen ein guter Böhmermann-Scherz hinweg.
Lücken in der Logik werden mit Spökes und (teils berechtigter) Grundlagenkritik übertüncht. Klar, Deutschland und IT, ist ja alles Neuland, haha. Russland will eh allen nur Böses, die Belege sind zwar dünn, aber wer sich das nicht denken kann, hat halt keine Ahnung, #Cyberclown, haha.
Das ist nicht nur lustig, sondern auch gefährlich. Verbindungen muss man nämlich gar nicht belegen. Es reicht, wenn der Hörer sie “sich denkt”. Und wer sie nicht kapiert, ist halt “kein echter Hacker”. Wenn sich eine ganze Community für Anspielungen und Insider-Jokes feiert, trauen sich weniger Menschen, die Stichhaltigkeit der Anspielungen zu hinterfragen und bei den Witzen nicht mitzulachen. Das nennt man Gatekeeping, und die IT-Security-Bubble kann das außerordentlich gut.

Hype-Mechanismus 4: Nicht widerlegbare Spekulationen

Experten vermuten, …

Zu guter Letzt, wenn auch nicht Security-spezifisch: Natürlich kann man auch immer die Fakten ausblenden, die einem die Story verhageln würden — und stattdessen andere einfach selbst kreieren, indem man die richtigen Experten befragt.

Letztens war Arne Schönbohm noch in der Kritik, weil das BSI pauschal vor Kaspersky-Software warnte, weil Russland, Cyberwar, kritische Infrastrukturen — Sie wissen schon. Passt eigentlich gar nicht so gut mit übertriebener Russlandnähe zusammen, oder?

Also: Diese Information lieber weglassen und die Lücke so füllen, dass sich eine bessere Story ergibt. Und es ist immer eine bessere Story, wenn man einen Security-Vorfall, einen Angriff oder eine Schadsoftware jemandem zuordnen kann, der akzeptierterweise ein Bösewicht ist. Eine gute Story braucht Protagonisten und Antagonisten. Meist gibt es keine Belege für so eine Zuweisung (“Attribution”), weil das technisch sehr schwierig ist. Aber es findet sich eigentlich immer “ein Experte”, der sich zu einer mehr oder weniger gut begründetet Spekulation hinreißen lässt. Und diese Spekulation hat fast immer denselben Inhalt (Russland war’s), der in der Regel unhinterfragt hingenommen und dutzendfach zitiert wird. Risikofrei für den “Experten”, denn widerlegen kann man das ebenso schlecht wie belegen.

Raus aus dem Dark Mode!

Klar, wenn man sich tagein, tagaus mit Cybersecurity befasst, dann nerven solche Hype-Mechanismen. Man erkennt sie vielleicht auch schnell und ist geneigt, die Zeitung genervt zuzuklappen beziehungsweise in an der Nachricht vorbeizuscrollen.

Aber: Diese Security-Hype-Mechanismen erkennen und benennen kann nur, wer ausreichend tief im Thema steckt, Kontext und Historie kennt — und somit beurteilen kann, was viel Hype um nichts ist und was wirklich eine Neuigkeit, die man ernst nehmen muss.

Mit anderen Worten: Lieber Cybersecurity-Nischenbewohner, auch wenn du das nicht gewohnt bist: Steck den Kopf aus deinem Dark Mode und lass die Luft aus dem Hype. Mach die Hype-Mechanismen sichtbar, wann immer du sie antriffst, damit auch andere sie sehen können.

Es ist unsere Aufgabe, dass Security für kritische Infrastrukturen kein politischer Kampfbegriff wird.