Lassen Sie uns IT-Sicherheit so langweilig wie möglich machen

Möchten Sie an einem kleinen Experiment teilnehmen? Hier geht es schon los:

Die Variante der Ransomware Erebus, die im Februar die südkoreanische Firma Nayana infiziert hat, kann 433 verschiedene Dateitypen verschlüsseln. Darunter sind die Formate von Microsoft Word, Excel und Powerpoint, SQL-Datenbanken und ZIP-Archive, Videos, HTML-Dateien und viele mehr. Die infizierte Webseite von Nayana lief auf dem alten Linux-Kernel 2.6.24.2, der 2008 kompiliert worden war. Erebus breitete sich auf 153 Server aus, auf denen die Webseiten von 3400 Kunden lagen. Als die Wiederherstellung wiederholt nicht gelang, entschied Nayana sich, ein Lösegeld von 397,6 BTC an die Erpresser zu zahlen. Das entspricht etwa einer Million USD.

Und? Sind Sie schon eingeschlafen? (Wenn nicht, dann lesen Sie diesen Text noch mal kurz nach der Mittagspause.) Wie viele verschiedene Dateiformate werden noch mal von Erebus infiziert? Die Firma hat also Lösegeld gezahlt, na gut…

Sleep
Erhöht auch die Aufmerksamkeit: Katzenbilder.

Die westliche Zivilisation leidet ohnehin an chronischem Schlafmangel.

Worauf sollten Sie also achten, um Ihre Mitarbeiter, Leser oder Zuhörer möglichst sanft entschlummern zu lassen?

1. Zahlen. Mehr Zahlen. Noch mehr Zahlen.
In Hunderttausenden von Jahren der Evolution sind Menschen in ihrem Schlaf häufig von hungrigen Tigern, brennenden Nachbarhäusern oder missgelaunten Inquisitoren in ihrem Nachtschlaf gestört worden – jedoch selten von einer gepflegten Statistik. Die beste Statistik ist die irrelevante. Wenn eine solche nicht zur Hand ist, könnten Sie stattdessen eine beliebige Statistik auch so lang und breit zitieren, bis der relevante Inhalt im Meer der Informationen nicht mehr heraussticht.

2. Ein Fremdwort ist ein gutes Wort.
Niemand kann dem säuselnden Klang eines Wortes wie „Zwei-Faktor-Authentifizierung“ widerstehen. Zerstören Sie seinen Zauber nicht, indem Sie es erklären.

3. Pausen und Absätze vermeiden.
In einem Schlaflied sind ja auch keine Kaffeepausen vorgesehen.

4. Bilder irritieren nur.
Je interessanter das Bild, desto eher hält es Menschen davon ab, die Augen zu schließen. In diesem Fall: unerwünscht.

5. Nicht über Menschen reden. (Und über Katzen auch nicht.)
Was wäre, wenn ich am Anfang dieses Artikels nicht über 153 Server gesprochen hätte, sondern über You Kyung (Name geändert), frische Absolventin der Uni von Seoul, die ihren ersten Job bei einem der Kunden von Nayana ergattert hat? Der Kunde ist eine kleines Startup, das mit Katzenaccessoires handelt, und You Kyung betreut dort die Webseite und sitzt außerdem donnerstags und freitags an der Kundenhotline – eigene Kundendienst-Mitarbeiter kann das Startup sich noch nicht leisten. Nachdem die Webseite zehn Tage down war, ist das Startup kurz vor der Pleite – und wenn es pleite geht, muss You Kyung zurück zu ihren Eltern ziehen, in ein Dorf nahe der nordkoreanischen Grenze. Ihre Eltern – und der aufdringliche Schulkollege, der auf der Nachbarfarm wohnt – haben immer schon gesagt, dass es zu nichts Gutem führen würde, wenn You Kyung nach Seoul geht. Das hat sie jetzt davon.

Jetzt machen Sie sich ein bisschen Sorgen um You Kyung, oder? Sehen Sie. Das ist dem Schlaf nicht förderlich.

2 Comments

  1. Hallo Christina,

    das Stichwort „Storytelling“ kommt hoffentlich in Eurem Buch auch vor. Finde ich als Technik extrem **extrem** wichtig. Es ist aber eine Balancefrage. Kurze Notizen dazu:

    * Man kann aus allem eine Story rausquetschen oder in jeden Text eine reinquetschen, die dann noch aus dem Zusammenhang gerissen oder bei den Haaren herbeigezogen ist. Das findest Du dann bei Dale Carnegie oder im Buch „Rework“ und in ganz vielen englischsprachigen Medien zuhauf. Für die Aufmerksamkeit ist das gut, wenn man sich aber nur darauf stützt, wird der Inhalt leider platt.
    * Manche IT-Bücher bestehen nur aus einer Story – der eigenen. Mein Lieblingsbeispiel dafür ist Jono Bacons „Art of Community“. Das ist nicht schlecht, wirkt auf mich aber unvollständig, weil auf 500 Seiten auf zu wenig Fremdmaterial Bezug genommen wird. Als Aufhänger ist es aber super.
    * Im „Scrum Field Guide“ schreiben die Autoren am Anfang jedes Kapitels eine kurze (fiktive) Story rein, die das Problem illustriert. Genau dazu taugen die, das ist perfekt!
    * Im „Data Analysis with Python“ schreibt Wes McKinney zwar keine Storys, aber er läßt Daten sprechen. Und die sind interessant: US-Wahlkampfspenden, Erdbeben auf Haiti, Nahrunsmittelzusätze, beliebe Babynamen usw. Statt das 1000000. hello-world oder foobar oder ein anderes fake-Beispiel zu verwenden, kommen laufend relevante Inhalte. Ein Meisterstück!

    Noch was anderes: Hast Du Kontakt zu Ola & Ola von der Djangogirls-Bewegung aufgenommen? Die wollten mal ein ganz anderes Python-Buch schreiben. ist glaube ich noch nicht fertig, aber die kennen gute Gründe, aus denen die vorhandenen Bücher nicht für alle Zielgruppen taugen.

    Super Artikel!

    Kristian

    • Hallo Kristian,
      danke für Deine Ideen dazu! Ich hoffe, dass wir es in unserem Buch wie im „Scrum Field Guide“ hinkriegen. 🙂
      Zu Ola & Ola habe ich keinen Kontakt, könnten aber interessante Gesprächspartner sein! Werde ich mal googeln.
      Viele Grüße,
      Christina

2 Trackbacks / Pingbacks

  1. Storytelling in der IT-Sicherheit: Welche Geschichten erzählen? – Serapion | Technisches Marketing
  2. Infosec-Analogie: Eine Frage des Vertrauens – Serapion | Technisches Marketing

Comments are closed.