#Security: Gutes Storytelling verbessert die Cybersicherheit

8. Mai 2024 um 09:37
  • kolumne
  • switch
  • cybersecurity
  • #security
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

Forensic Readiness hilft Organisationen dabei, relevante Daten rechtzeitig sichtbar zu machen, um bei einem Sicherheitsvorfall gute Entscheide zu fällen. Zur Vermittlung ist gutes Storytelling zwingend, schreibt Kolumnistin Darja-Anna Yurovsky von Switch.

Ich betrachte mein Spiegelbild an diesem Morgen in Santa Cruz, Teneriffa. Nach einer unruhigen Nacht übe ich den Text für mein Referat an diesem Tag.
Es geht um mein Herzensthema:
Vor einer bereits mit Informationen überladenen Zuhörerschaft soll mein Thema Anklang finden. Forensic Readiness, also die proaktive Vorbereitung auf mögliche IT-Sicherheitsvorfälle. Es ist noch früh am Morgen, und nach dem zweiten Tee gelingt mir die Präsentation vor dem Spiegel immer besser. Ich spüre, wie die Nervosität langsam nachlässt.

Die Herausforderung

Die eigentliche Herausforderung an diesem Nachmittag besteht nicht darin, vor 150 Menschen zu sprechen, sondern ihr Interesse für mein Thema zu wecken und sie idealerweise zum Weiterdenken und Handeln zu inspirieren.
Sie alle kennen die Situation: Sie brennen für Ihr Thema, überfluten Ihr Publikum mit Powerpoint-Folien, denn Ihr Thema ist schliesslich komplex und superspannend – und spätestens bei der dritten Folie fummelt die erste Person an ihrem Smartphone herum oder holt gleich den Laptop aus der Tasche. Es soll der Anschein gewahrt werden, dass fleissig mitgeschrieben wird. Doch Sie und alle im Raum wissen genau, dass das energische Tippen nichts mit Ihrem Thema, sondern mehr mit dem Posteingang zu tun hat.
Kurze Exkursion in die Theorie der Forensic Readiness: Sie beschreibt das Bestreben einer Organisation, digitale Spuren so effektiv wie möglich zu sammeln und diese für das eigene Lagebild zu nutzen und gleichzeitig die Kosten so gering wie möglich zu halten.
Was sich in der Theorie in einem Satz zusammenfassen lässt, ist in der Praxis ein komplexes Zusammenspiel von Prozessen, Weisungen, Massnahmen und Technologien. Es geht darum, in der eigenen Organisation die relevanten Daten rechtzeitig sichtbar zu machen, um in einer Phase eines IT-Sicherheitsvorfalls fundierte Entscheidungen zu fällen. Und genau das präsentiere ich heute in Santa Cruz.

Der Konflikt

Kurz darauf ist Showtime. Mit schwitzigen Händen stehe ich vor dem Fachpublikum, bemerke kaum abgelenkte Teilnehmende, die Aufmerksamkeit ist mir sicher! Ich beginne mit dem Verhalten im Falle eines Security Incidents, gehe über zur Bedeutung des Lagebildes als Basis für eine fundierte Entscheidungsfindung, zeige auf, wie die Effektivität der Massnahmen verbessert werden könnte, um letztlich den IT-Sicherheitsvorfall zu bewältigen.
Folie drei ist kaum vorbei, da passiert es: Ein Laptop geht auf! Es folgt ein zweiter, ein dritter und dann noch ein Smartphone. Ich bin kurz abgelenkt, brauche einen Moment, um mich wieder zu sammeln, das Krönchen meiner inneren Stimme zu richten und weiter durch das Thema zu führen. Doch so sehr mich die volle Aufmerksamkeit der ersten vier Reihen freut, kann ich nicht ignorieren, dass auch heute wieder viele E-Mails statt wertvoller Einsichten diesen Saal verlassen werden.
Bei Frust trinke ich gerne. Am liebsten Kamillentee. Auch wenn ein Martini mit James-Bond-Olive auf der pompösen Hotelterrasse die passendere Wahl gewesen wäre. Aber auch der Tee hilft an diesem Abend nur oberflächlich, die Falten auf meiner Stirn zu glätten. Weshalb konnte ich das Publikum nicht über Folie drei hinaus mitreissen?

Der Wendepunkt

Als die Wirkstoffe der Kamille meinen Hippocampus durchdringen, erinnere ich mich an einen Schlüsselmoment: Vor einigen Jahren wurde ich gebeten, dem Stiftungsrat von Switch zu erklären, wie unser Computer Emergency Response Team Switch CERT die Hochschulen bei einem Security Incident unterstützt. Es ist ein sehr spezifischer Zweig der Informatik und auch technisch versierte Personen können sich damit nicht auskennen.
Mit meinem Tablet in der Hand stand ich in unserem schönsten Meetingraum und wurde von der erwartungsvollen Gruppe gemustert. Ich sollte ihnen erklären und sie spüren lassen, was es bedeutet, bei IT-Sicherheitsvorfällen dabei zu sein. Technische Phrasen halfen bei dem gemischten Publikum nicht, also schnappte ich mir mein Tablet und begann energisch, den Ablauf eines Security Incidents mit Strichmännchen und Symbolen zu skizzieren.
image
Erste Version des Incident Response Ablaufs. Illustration: Darja-Anna Yurovsky, Switch
Seit meiner ersten Version hat sich meine Zeichenkunst erfreulicherweise verbessert, was auch meinem Publikum zugutekommen dürfte. Trotz der einfachen grafischen Darstellung wurden – im Gegensatz zu Teneriffa – die Laptops nicht auf-, sondern zugeklappt, und ich spürte die volle Aufmerksamkeit in der gesamten Runde. Es wurden von Hand geschriebene Notizen angefertigt und schockierte Blicke durch den Raum geworfen, als ich aufzeigte, was mein Publikum im Falle eines solchen IT-Sicherheitsvorfalls erwarten würde.
Ja, schockierte Blicke, denn die Frage ist nicht, ob man jemals angegriffen wird, sondern wie man auf einen Security Incident reagiert. Und Forensic Readiness kann hier einen wesentlichen Teil zur erfolgreichen Bewältigung leisten. Das wurde plötzlich auch unserem heterogen zusammengesetzten Stiftungsrat bewusst. Denn die Zeichnung zeigt keine technischen Details, sondern die Auswirkungen eines Security Incidents auf die Organisation, die Mitarbeitenden, das elektronische Türschloss, die Daten. Schlechte Vorbereitung kostet Geld, Mühe und vielleicht sogar die eigene Reputation. Das wurde allen im Raum unmissverständlich klar.
Und es wurde auch klar, dass mit entsprechender Vorbereitung ein solcher Vorfall sogar zum Katalysator für positive Veränderungen werden kann. Denn die
Vorbereitung der Forensic Readiness kann auch ohne einen Security Incident die Lücken in unseren Organisationen aufzeigen, deren Schliessung sich positiv auf die Sicherheit des Unternehmens auswirkt. Jedes Mal, wenn ich diese Geschichte erzähle, in welcher Konstellationen auch immer, erzielt sie die gleiche Wirkung. Diskussionen werden entfacht, alle spüren die Wichtigkeit und die Menschen sind inspiriert zu handeln.

Die Erleuchtung

Noch an diesem Abend auf der Hotelterrasse wird mir bewusst, was damals die Aufmerksamkeit für mein Thema über die Folie drei hinaus aufrechterhielt. Ich verpackte mein Thema instinktiv in eine Geschichte, ohne technischen Firlefanz. Mein Publikum erkannte sich in der Geschichte wieder, konnte sich in sie hineinversetzen und sich mit dem Thema identifizieren. Durch die Kombination von Sprache, Zeichnung und Imagination wurde es in die Geschichte eingebunden und konnte Empathie empfinden. Wie ein roter Faden wurde es durch alle Phasen der Geschichte begleitet. Der eingetretene IT-Sicherheitsvorfall beschrieb die Heldenreise, auf der jedes Mitglied als Heldin oder Held erfolgreich mit den anderen zusammenarbeitete und den Vorfall gekonnt überwand.

Das Happy End

Und so verlasse ich Teneriffa mit dem Willen, das Forensic Readiness Framework fortan auch vor einem technisch versierten Publikum als Geschichte zu verpacken – und mehr zu zeichnen. Damit sich mein Publikum künftig mit seiner Vorstellungskraft und nicht mit seinem Posteingang auseinandersetzt.

Über die Autorin

Wenn Darja-Anna nicht gerade den Hyperfokus packt und versucht, mit digitaler Forensik ein Rätsel zu lösen, spricht sie mit Menschen und versucht ihre Begeisterung für das Thema IT-Security weiterzugeben. Nebenbei managt sie Computer-Security-Incidents und freut sich über jedes neue Puzzelstück. Seit 2020 macht sie dies mit Leidenschaft für Switch-Cert.


Loading

Mehr erfahren

Mehr zum Thema

image

Aargau spart bei der Informations­sicherheit

Der Aargauer Regierungsrat will die Cybersicherheit im Kanton für mehrere Millionen verbessern. Einer bürgerlichen Mehrheit im Parlament kostet das aber zu viel.

publiziert am 2.7.2024
image

Vogt am Freitag: Julian, der Held

Julian Assange ist seit dieser Woche ein freier Mann. Das kam überraschend und ist hoffentlich Präjudiz für journalistische Arbeit weltweit. Denn: Es gibt einen vergleichbaren Fall in Russland.

publiziert am 28.6.2024
image

Soko Maier: Wer die Wahl hat, hat die Qual!

Elisabeth Maier schreibt in ihrer Kolumne, was es bei der Auswahl von KI-Dienstleistern zu beachten gilt und weshalb konkrete Use Cases dabei besonders wichtig sind.

publiziert am 27.6.2024
image

SATW-Serie "KI und Recht": Urheberrecht

Wem gehört ein Bild, das von einem Hund – oder eben von KI – "gemalt" worden ist? Der dritte Teil dieser Serie geht urheberrechtlichen Fragen nach.

publiziert am 25.6.2024