Besser über IT-Sicherheit schreiben

Oder: Was wir alle von Steven Pinker lernen können.

Laut einer Statistik, die wir selbst gefälscht haben, nutzt mittlerweile jeder Deutsche über 6 Monaten (sowie jede dritte Hauskatze) das Internet, geschäftlich und privat. Aber nur eine Minderheit ist dabei, im übertragenen Sinne, angeschnallt. Während die meisten mündigen Bürger in anderen Lebensbereichen ganz selbstverständlich Sicherheitsvorkehrungen treffen (Haustür abschließen, Kinder impfen, EC-Karte nur in Fällen äußerster Zerstreutheit im Automaten steckenlassen) und man in Deutschland auch gerne mal eine Versicherung mehr abschließt (Infografik von Statista), stehen Unternehmen, die IT-Sicherheit anbieten, immer unter Rechtfertigungszwang.

Wieso, so fragen sich Firmen und Privatpersonen, sollen wir Geld ausgeben, wenn bisher nichts passiert ist? Wozu sollen wir uns Umstände machen? Wenn ich diesen verschlüsselten Cloudspeicher nutze, dann kann ich meine Bilder ja gar nicht mehr mit anderen teilen. Wenn ich einen passwortgeschützten Bildschirmschoner im Stationszimmer verwende, dann kostet mich das zusätzliche zehn Minuten am Tag! Und wie sollen diese Zertifikate bitte funktionieren? Wie hoch ist denn der ROI?

Vielleicht ist nächstes Jahr ein bisschen Budget für einen Pentest übrig…

Ein Blick auf die andere Seite: Hersteller und Entwickler sehen zwar ein, dass IT-Sicherheit nicht immer oben auf der Prioritätenliste der prospektiven Kunden steht – denken aber insgeheim, das ihre Produkte doch ein Selbstläufer sein müssten. Wenn man jeden Tag sieht, wieviele Angriffe dort draußen im Netz laufen, wie könnte man dann freiwillig auf sie verzichten?

Viele Anbieter hoffen, dass der Gesetzgeber ihnen beispringt. Und tatsächlich sieht man auch bei Versicherungen (hier noch mal die Infografik), dass diejenigen sich am besten verkaufen, die gesetzlich vorgeschrieben sind – ist ja klar. Aber wer auf Kunden setzt, die nur die gesetzlichen Vorgaben erfüllen wollen, der begibt sich in einen Preiswettbewerb. Besser lässt sich mit Kunden arbeiten, die die Prinzipien der IT-Sicherheit verstehen – und deswegen auch ihren Wert kennen. Diese Kunden sind nicht nur gut fürs Geschäft, sondern machen auch die Welt ein bisschen besser. Nicht erst seit Edward Snowden (hier ein Video-Interview von ihm zu diesen Thema).

Der Schlüssel zu mehr Verständnis und Bewusstsein – „Awareness“ – für IT-Sicherheit liegt im geschriebenen Wort.

In Ihrem Text „hört“ der Kunde die charakteristische Stimme Ihres Unternehmens, er kann ihn sich ausdrucken und als Referenz neben auf den Schreibtisch legen, kann für ihn neue Informationen auch zwei- oder dreimal lesen und wichtige Passagen markieren, und das auch in der U-Bahn oder dem langweiligen Meeting. Das ist die Grundlage, auf der andere Medien – Video, Infografik, Podcast – aufbauen können.

Allerdings: Das Internet ist voll von Text. Mehr „Content“, als man in seinem Leben lesen könnte (oder wollte). Möchte man da wirklich noch mehr produzieren – wo doch offenbar schon die vorhandenen Texte ihren Zweck nicht erfüllen? Wenn ich noch einen Blogartikel über meine Technologie schreibe – wer liest das denn?

Ghostwriting BytewordZugegeben: Sehr viel, was über IT-Sicherheit geschrieben wird, wird nur von sehr wenigen gelesen – und dann hauptsächlich von denen, die müssen. „Eine Inventarisierung der schutzbedürftigen Informationswerte und Assets ist unerlässlich, damit durch die Maßnahmen in Bezug auf die Informationssicherheit ein umfassender Schutz gewährleistet werden kann.“ (Textbeispiel mit Rücksicht auf den ursprünglichen Autor verfremdet. Dass man auch über die juristische Seite der IT-Sicherheit besser schreiben kann, sehen Sie beispielsweise hier.)

Hier kommt Steven Pinker ins Spiel, der Autor von „The Sense of Style: The Thinking Person’s Guide to Writing in the 21st Century“ (und anderen empfehlenswerten Sachbüchern). Pinker stellt die Frage: Schreiben Leute mit böser Absicht unverständlich – um sich etwa den Nimbus eines Experten zu verleihen – oder unabsichtlich? In seinem Artikel „The Source of Bad Writing“ beantwortet er seine eigene Frage so: „Ich greife dabei zuerst zu Hanlon’s Razor: Führe niemals etwas auf Boshaftigkeit zurück, das durch Dummheit ausreichend erklärt werden kann. Die Art Dummheit, an die ich hier denke, hat nichts mit Unwissen oder niedrigem IQ zu tun; vielmehr sind es die Klügsten und am besten Informierten, die an ihr leiden.“

Pinker gibt dieser speziellen Art von Dummheit einen anderen Namen, der ihr besser gerecht wird: „Curse of Knowledge“, also Wissensfluch. Dieser besagt, kurz gefasst, dass wir kaum in der Lage sind, uns in den Kopf von jemandem zu versetzen, der nicht weiß, was wir wissen. Das heißt: Sobald Sie gelernt haben, wie Public-Key-Kryptographie funktioniert, halten Sie es nicht mehr weiter für erwähnenswert, dass zum Entschlüsseln ein anderer Schlüssel verwendet wird als zum Verschlüsseln. Geschweige denn, was ein Schlüssel überhaupt ist. Wir machen Gedankensprünge und lassen im Text notwendige Schritte aus, die für uns – aber nicht für den Leser – selbstverständlich sind. Wir benutzen Fachausdrücke und Abkürzungen, die nicht jeder ohne Mühe aus dem Gedächtnis abrufen kann, und wir abstrahieren viel zu viel. Daher, wie Pinker sagt, ist

der Wissensfluch: „die wichtigste Erklärung dafür, dass gute Leute schlechte Texte schreiben“.

Wie können Sie dem Wissensfluch entkommen – und Texte schreiben, die die Sprache Ihrer Leser sprechen? Darüber wird es in den nächsten Artikeln dieser kleinen Reihe hier im Blog gehen.

Was denken Sie zur Theorie des Wissensfluchs? Haben Sie eigene Strategien, um Fachtexte allgemeinverständlich zu machen? Wir freuen uns auf Rückmeldung hier als Kommentar oder per Mail!