Lüg mich nicht an! Marc Ruef | 04.06.2012 Unsere Familie ist sonderbar. In so manchem Fall kann diese Merkwürdigkeit in negativer Weise ausgelegt werden. Manche Eigenschaften tragen wir jedoch mit uns herum, welche sich in nützlicher Weise einsetzen lässt. So waren schon meine Eltern ausserordentlich begabt darin zu merken, wenn Leute die Unwahrheit sagen. Gestik, Mimik, Artikulation und Intonation sind bei einer Lüge schwer vermeidbaren Abweichungen unterworfen. Ich meine ein feines Gespür dafür zu haben, wenn Leute sich ungewollt einer solchen hingeben müssen. Diese Fähigkeit - sie ist generell als "Identifikator für Mustererkennung" zu verstehen - ist in meiner Arbeit besonders nützlich. Mitunter deshalb, weil meine Kunden bzw. die in einem Projekt involvierten Partner gerne mal flunkern. Manchmal, um ihr eigenes Unwissen oder die Schwachstelle eines Produkts zu kaschieren. Oftmals aber auch, um politische Spielchen zu treiben, um sich in irgendeiner Weise einen rücksichtslosen Vorteil zu verschaffen. Es gibts nichts, was ich mehr mag, weder wenn mich jemand anlügt und ich mir dessen bewusst bin. Im Rahmen einer Blackbox-Tests einer Proxy-Lösung habe ich zum Lead Developer halbwegs im Scherz gesagt, dass sie "ja hoffentlich keine hardcodierten Standardpasswörter verwenden" würden. An der Reaktion meines Gegenübers habe ich gemerkt, dass ich da in der Tat einen Nerv getroffen habe. Er hat vehement verneint, doch seine Körpersprache hat etwas anderes erzählt. Bei unseren Analysen habe ich mich dann auch darauf konzentriert herauszufinden, inwiefern die Authentisierungsmechanismen funktionieren. Und tatsächlich, so wurden sämtliche Geräte mit einem "geheimen" Standardpasswort ausgeliefert, dank dem ohne legitimes Konto unmittelbarer Zugriff erlangt werden konnte. In einem anderen Fall ging es darum eine Sicherheitsüberprüfung des Firewall-Regelwerks einer Astaro-Firewall durchzuführen. Der sich für die Administration der Geräte verantwortlich zeichnende externe Partner wehrte früh ab, dass eine Analyse nur vor Ort möglich wäre. Schliesslich könne man die Regeln nicht ohne weiteres exportieren und aus Sicherheitsgründen wolle man kein "komplettes Backup" der Firewall-Installation aushändigen. Nach einem leisen Räuspern wies ich höflich aber bestimmt darauf hin, dass es auf der Kommandozeile sehr wohl (http://www.scip.ch/?labs.20120607) Möglichkeiten gäbe, lediglich das Regelwerk zu exportieren. Reumütig wurde sodann schnell nachgeschoben, dass diese Möglichkeit durchaus da sei, man aber lediglich schauen wollte, ob ich mich mit Astaro auskenne. Eine unsinnige Antwort, die viel eher eine zweite Lüge war, denn wie es schien, kannte ich mich besser mit Astaro aus als der zuständige Partner. Es kommt also immerwieder vor, dass mir ungewollt oder mit Absicht ins Gesicht gelogen wird. In solchen Fällen muss man Geduld bewahren und sich erst mal im Klaren werden, wie man mit diesem Informationsvorsprung umgehen will. Das unmittelbare Widersprechen ist jenachdem nicht von Nutzen. Eine Lüge verfolgt nämlich oftmals ein weitreichenderes Ziel. Und in meinem Fall wird sie entweder angebracht, um meine Arbeit oder meine Glaubwürdigkeit zu sabotieren. Ist dies der Fall, nehme ich mir durchaus das Recht, die Lüge mit voller Wucht zu entlarven - Oftmals, indem ich gar noch weitere "gelogene" Aussagen herauszukitzeln probiere. Umso schmerzhafter ist es dann für den Baron Münchhausen, wenn er vorgeführt wird. Lügner lernen jedoch schnell und so ist es mir noch selten passiert, dass ich mich auch noch ein weiteres Mal diesbezüglich hätte ärgern müssen.