Das kleine Handbuch der dummen Marketing-Sprüche Marc Ruef | 14.01.2008 Für viele Leute bin ich nach wie vor ein Freak. Jemand, der stundenlang vor einem Assembler-Programm hocken kann, ohne sich zu regen. Jemand, der dies gar dem Herumliegen am Strand vorzieht. (Okay, am Strand herumliegen und Assembler-Code anstarren wäre auch was feines!) Und ja, manchmal bin ich wirklich ein Freak. Auch wenn ich mich im Gegensatz zu vielen anderen Leuten in meinem Umfeld in der Hinsicht doch manchmal fast als "bieder" titulieren würde. Es gibt etwas, das einen Freak ganz besonders in Rage bringen kann: Marketing-Sprüche. Es gibt für mich wie auch für andere meiner Couleur nichts schlimmeres, weder ein Verkäufer, der sich durch das Herunterleiern von Marketing-Phrasen profilieren möchte. "Wir machen auch Security" ist ein Spruch, den viele IT-Dienstleister auf ihre Flaggen zu schreiben pflegen. Primärer Grund dazu ist, dass man damit seinen Umsatz aufbessern möchte. Da Sicherheit aber oftmals ein Vertrauensgeschäft ist und man nur selten eine Support-Firma mit derartigen Aufgaben betreut, ist es wenigstens ein guter Marketing-Slogan. Er sagt nämlich aus, dass man seine Hauptarbeit (der Verkauf, die Installation und Wartung von Systemen) ebenfalls aus Sicht der Sicherheit macht. IT-Security ist halt nach wie vor eine Königsdisziplin in der angewandten Informatik und damit der Spruch eine klare Aufwertung von Umständen, die vielleicht ganz anders sind. Die wenigsten IT-Dienstleister können es sich nebenher noch leisten, ein hochspezialisiertes Team aufzuziehen, das nur wenige Male zum Einsatz kommt. IT-Security ist - mehr dennje - ein Spezialistentum. Leute, die mich kennenlernen und herausfinden was ich arbeite sagen gerne: "Wir sind sicher, denn wir haben uns auch letztens testen lassen." Ich habe keine Ahnung, wieviele Penetration Tests und Security Audits ich in meinem Leben schon gemacht habe. Es waren aber doch genug um zu wissen, dass es sicher zwei Duzend verschiedene Herangehensweisen in diesem Bereich gibt, die sich komplett voneinander unterscheiden und die als "Test" bezeichnet werden können. Ein automatisierter Vulnerability Scan mittels Nessus vom Internet ist etwas komplett anderes weder ein Offline-Deadlisting der Firmware eines Handheld-Geräts. Ebenso gibt es da noch die organisatorischen und konzeptionellen Audits, bei denen Papierarbeit den Angriff an einer Konsole ersetzt. All dies sind Dinge, die als Security Test eine wichtige Rolle spielen können, um die Sicherheit einer Umgebung zu identifizieren und sie zu verbessern. Hinzu kommt, dass es halt eben gute und schlechte Auditoren gibt. Nur weil mal halt eben Firma X, die hauptsächlich Microsoft Exchange installiert, so tut, als seien sie "Ethical Hacker", macht noch lange keinen guten Test und damit eine sichere Umgebung aus. Wer im Bereich der IT-Security arbeitet und gefragt wird, welche Art von Kunden denn betreut werden würden, antwortet stets gleich: "Wir betreuen Banken und Versicherungen." Manchmal wird am Schluss auch noch "Behörden" angehängt. Das Ziel dieser Aussagen ist zu demonstrieren, dass man in der Königsklasse zugegen ist. Banken haben schliesslich von Gesetzeswegen (wenigstens in der Schweiz dank der Eidgenössischen Bankenkommission) ein verhältnismässig hohes Mass an Sicherheit einzuhalten. Doch ich kann dem Leser versichern, dass die durchschnittliche Sicherheit von Versicherungen zigfach schlechter ausfällt. Man könnte in vielen Fällen also grad sogut sagen: "Wir betreuen Banken und Kleinfirmen." Das Betreuen von Regierungsorganisationen und Behörden ist zudem eine unendlich trockene und träge Sache. Die Beamtenmentalität schlägt sich oftmals auch im Fortschritt in der IT-Abteilung nieder. Ein ultrakonservatives Vorgehen machen derlei Kunden im Vergeleich zu Banken sehr uninteressant. In eine ähnliche Richtung gehen Sprüche wie "Wir sind sicher, denn wir benutzen Produkt X". Wie Bruce Schneier so schön bemerkt hat, ist Sicherheit ein Prozess und kein Produkt. Nur weil halt eine Firewall in einen freien RJ45-Port eines Switches gesteckt wurde heisst dies noch lange nicht, dass die Umgebung nun sicher ist. Ein Firewall-Produkt steht und fällt mit der Entwicklung des Produkts, der Konzeption der Installation, der Umsetzung derer und der Betreuung dieser. Gleiches gilt auch für Antiviren-Lösungen, Intrusion Detection-Systeme, Verschlüsselungs-Mechanismen und Authentisierungs-Methoden. Wenn es wirklich so einfach wäre, mal eben schnell "sicher zu werden", weil man Produkt X einsetzt, warum setzen dann nicht alle Produkt X ein? Warum ist dann nicht schon lange Produkt Y verworfen worden und der Hersteller von Z als insolvent gemeldet? Im Übrigen sind Kunden, die den Produkt X-Spruch bringen meistens auch jene die sagen, dass man bei ihnen bei einem Test wohl keine Schwachstellen finden wird. Meine Erfahrung hat gezeigt, dass dies oftmals diejenigen sind, bei denen man die schönsten Löcher findet. Transparenz ist ein Wort, das im Bereich der Sicherheit eine unheimliche Wirkung hat. Ist ein Produkt transparent, kann es fast nicht schlecht sein. Schliesslich haben ja sämtliche Nutzer dessen die Möglichkeit, es zu verstehen und Mängel frühzeitig festzustellen. Vor allem im Bereich der Kryptographie ist das Grossschreiben von Transparenz ein wichtiges Stilmittel, um überhaupt Akzeptanz erfahren zu können. Viele Hersteller kryptologischer Produkte geben ihre Lösungen dennoch nicht frei. Methoden, Protokolle und Algorithmen werden - aus welchen Gründen auch immer - zurückgehalten. Als Kunde oder Berater eines solchen ist man dann geneigt zu fragen, woher dieser Umstand rührt. Als Antwort gibt der Hersteller dann meistens an, dass man als Kunde die Informationen schon einsehen können würde, falls man möchte. Beharrt man als Kunde dann auf diesem vermeintlich freizügigen Recht, zieht der Verkäufer dann plötzlich den Schwanz ein und meint, dass man das zu erst abklären müsse - Und man würde ja ihre komplexe Lösung sowieso nicht verstehen können. Ein beliebter Marketing-Spruch für jemanden, der seine Ziele nicht erreicht hat, ist der folgende: "Ich wende mich vom Thema ab, weil es mich nicht mehr interessiert." Dies ist kognitive Dissonanz par excellence. Der Proband postuliert einen freiwilligen und aktiven Rückzug aus der Situation, obschon er eigentlich aufgrund seines Versagens (nicht zwingend im negativen Sinn) dazu "gezwungen" wird. Beliebt ist dieser Spruch vor allem bei Firmen-Gründern. Aber auch Leute, die zuvor von Projekten geschwärmt haben und diese plötzlich nicht mehr weiterführen können, pflegen auf derlei Phrasen zurückzugreifen. Also, ich wende mich nun von diesem Blog-Eintrag ab, weil er mich nicht mehr interessiert.