Security-Buzzword-Bingo

10 Schlagwörter zum Abgewöhnen

Diese Security-Buzzwords sind überholt, führen in die Irre oder wirken schädlich. Höchste Zeit, sie endlich über Bord zu werfen!
Von  und
CSO | 19. November 2021 05:00 Uhr
Schweigen ist Gold - ganz besonders, wenn es um diese zehn Security-Buzzwords geht.
Schweigen ist Gold - ganz besonders, wenn es um diese zehn Security-Buzzwords geht.
Foto: Alessandro D'Esposito - shutterstock.com

Buzzwords (und Buzz-Phrasen) gibt es - speziell im Bereich Cybersecurity - so häufig wie kriminelle Services im Darknet. Sie werden ausgesprochen, um komplexe Zusammenhänge zu vereinfachen - oder, um Sales- und Marketingkampagnen anzukurbeln. Zwar sind Buzzwords in innovativen und schnelllebigen Branchen wohl nicht gänzlich auszurotten. Dennoch sollten wenigstens die Schlagworte aus den Mündern verbannt werden, die weder hilfreich noch treffend oder sogar schädlich sind.

1. "Ransomware"

Ransomware ist einer der Begriffe, die im Rahmen von Cyberangriffen am häufigsten verwendet werden. Dabei handelt es sich nach Meinung von Charl van der Walt, Head of Security Research bei Orange Cyberdefense, um eine aus technischer Perspektive unzureichende Definition, die nicht mehr zweckmäßig ist: "Der Begriff Ransomware wird vor allem von den Medien inflationär gebraucht. Zwar reicht er auch, um das übergreifende Thema zu beschreiben - wird aber dem komplexen, andauernden Problem nicht gerecht."

Ransomware werde inzwischen verwendet, um eine breite Palette von Cyberangriffen zu beschreiben, wodurch die ursprüngliche Bedeutung (Malware, die die Daten auf einem Rechner zur "Geisel" nimmt) verwässert werde: "Das führt dazu, dass alles in einen Topf geschmissen wird: die Malware, die die Verschlüsselung durchführt, die allgemeine Malware, die die Cyberkriminellen benutzen, um Fuss zu fassen, sowie die Ransomware-Akteure selbst. Bei Ransomware geht es jedoch im Kern um den Akt der Erpressung."

Angesichts der fortlaufenden und sich weiterentwickelnden Bedrohung durch Erpressungstrojaner empfiehlt van der Walt, künftig auf den Begriff "Cyber Extortion" (oder Cybererpressung) zu setzen: "Dieser Begriff wird der Historie, den aktuellen Ausformungen und der potenziellen Entwicklung von Ransomware besser gerecht und sorgt für eine Unterscheidung zwischen dem Akt der Erpressung und Ransomware als dem Werkzeug, das hierzu benutzt wird."

2. "Zero Trust"

Zero Trust beschreibt einen Ansatz, um Benutzer und Geräte abzusichern. Dabei gilt per se nichts als vertrauenswürdig. Im Laufe der letzten Jahre hat sich Zero Trust zu einem inflationär gebrauchten Buzzword entwickelt. Besonderen Auftrieb gab dabei die massenhafte Remote-Work-Umstellung durch die Corona-Pandemie und der daraus resultierende Bedarf an Fernzugriffsmöglichkeiten.

In den Augen von Quentyn Taylor, Director of Information Security bei Canon Europe, ist der Begriff Zero Trust dabei jedoch zu unscharf: "Es ist unmöglich zu wissen, ob man Zero Trust tatsächlich erreicht hat. Ich glaube auch nicht, dass irgendjemand es bereits erreicht hat oder jemals erreichen könnte. Was mich am Zero-Trust-Konzept stört: Viele Leute so tun, als sei es etwas völlig neues, obwohl wir schon seit Jahren über Deperimeterisierung sprechen. Zero Trust ist in meinen Augen alter Wein in einem neuen Buzzword-Schlauch."

Paul Baird, CTSO UK bei Qualys, sieht das ganz ähnlich und ergänzt: "An Zero Trust als Konzept gibt es nichts auszusetzen, aber als Schlagwort wird es überstrapaziert und ständig aus dem Zusammenhang gerissen verwendet. Bei denjenigen, die für die Umsetzung verantwortlich sind, stiftet das vor allem Verwirrung. Zero Trust umfasst Menschen, Prozesse und Technologien und ist kein Produkt, das man von der Stange kaufen kann."

3. "Whitelist/Blacklist"

Die Begriffe "Whitelist" und "Blacklist" werden seit Jahrzehnten (nicht nur) in der Cybersecurity-Branche verwendet. Der Umstand, "weiß" mit positiven und "schwarz" mit negativen Eigenschaften zu verknüpfen, ist in der heutigen Zeit nicht mehr angebracht. Dieser Meinung ist auch Cybersecurity-Berater Harman Singh und schlägt deshalb vor, die Begriffe Erlaubnis- und Verweigerungsliste zu nutzen, die denselben Zweck erfüllen, dabei aber keine potenziell schädlichen Konnotationen in Bezug auf ethnische Zugehörigkeit vermitteln: "Es ist eine kleine, aber bedeutende Änderung. Das NCSC (National Cyber Security Centre) hat diese Änderung im letzten Jahr ganz bewusst vorgenommen, um rassistische Untertöne zu eliminieren. Dennoch haben nur eine Handvoll Unternehmen in der Branche darüber nachgedacht, diesem Beispiel zu folgen."

In einem Blogbeitrag des NCSC ist dazu zu lesen: "Vielleicht erschließt sich Ihnen nicht, warum das wichtig ist. Wenn Sie selbst nicht von rassistischen Stereotypen betroffen sind, dann können Sie sich glücklich schätzen. Für einige Ihrer Kollegen (und potenziellen zukünftigen Kollegen) ist das eine wirklich positive Veränderung."

Eines der wenigen Unternehmen, das die Empfehlung des NCSC verinnerlicht hat, ist Microsoft. Der Konzern sieht nicht-integrative Sprache als Hindernis für die Diversity: "Ein kürzlich von UK Finance, EY und Microsoft veröffentlichter Bericht kommt zu dem Ergebnis, dass die Abschaffung nicht-integrativer Sprache im Bereich der Cybersicherheit und am Arbeitsplatz allgemein einen immensen Beitrag zur Förderung der Vielfalt leisten kann", sagt Sarah Armstrong-Smith, Chief Security Advisor bei Microsoft. Microsoft akzeptiere daher in technischen Foren die Begriffe Whitelist und Blacklist nicht mehr und verweise auch nicht mehr darauf. Stattdessen setze man auf Erlaubnis- und Sperrlisten.

4. "KI-gestützte Sicherheit"

Schon fast zehn Jahre herrscht um das Potenzial der Künstlichen Intelligenz ein Zustand, den man als Fieberwahn-ähnlich beschreiben könnte. Man findet kaum noch einen Sicherheitsverantwortlichen, dem die wachsende Bedeutung der Security-Automatisierung nicht bewusst ist.

Das Übermaß an Sales Pitches von Security-Anbietern, in denen die neuesten KI- oder ML-Errungenschaften mit großen Worten angepriesen werden, wirkt inzwischen jedoch meist ermüdend - findet auch Guillaume Ehny, CISO bei gohenry: "Heutzutage erwähnen die meisten Sicherheitsanbieter unabhängig von der Lösung direkt, wie intelligent ihr Produkt KI und Machine Learning integriert, um Entscheidungsprozesse zu unterstützen. Die Annahme ist scheinbar, dass die Kunden diese Sätze hören wollen. In der Realität wirkt es meist eher so, als würden die Anpreiser gar nicht wirklich verstehen, wie ihre Lösungen funktionieren. Auf die Frage nach weiteren Informationen folgt fast immer die Antwort: 'Es ist eine Blackbox, die eigenständig funktioniert - sie müssen sich um nichts kümmern'. Natürlich sollten KI- und ML-Features erwähnt werden, wenn sie Teil des Produkts sind - die Art und Weise, wie und vor allem in welchem Umfang das in vielen Fällen kommuniziert wird, ist jedoch nicht hilfreich."

5. "Digitale Transformation"

Digitale Transformation ist ein Buzzword der Cloud-Ära. Allerdings vertritt Matt Rider, Vice President of Security Engineering bei Exabeam, die Meinung, dass der Begriff lediglich beschreibt, was Unternehmen in den letzten 50 Jahren getan haben: "Tatsache ist: Transformation ist nichts Neues. Alles entwickelt sich ständig weiter und unterliegt einem kontinuierlichen Wandel. Der Begriff ist keine plötzliche Erleuchtung, die die Branche im Sturm erobert hat."

Um seinen Punkt zu verdeutlichen, zieht der Security-Experte einen Vergleich zur industriellen Revolution, als Henry Ford die Fließbandproduktion einführte: "Sein Wissen über neue Technologien und seine Führungsqualitäten inspirierten eine neue Art des Arbeitens. Es war ein technologischer Schritt, der einen monumentalen Einfluss hatte und die Arbeitswelt, wie man sie damals kannte, für immer verändert hat. Die erfolgreichen Unternehmen, die ich erlebt habe, haben die richtige Kultur - nicht nur die richtigen Werkzeuge. Wer jetzt noch nicht "digital transformiert" ist, ist raus aus dem Spiel. Ich bin deshalb dafür, dass wir alle schnellstmöglich vom Zug der digitalen Transformation abspringen."

6. "SIEM"

Security Information and Event Management (SIEM) bezeichnet Softwareprodukte und -services, die Security Information Management (SIM) und Security Event Management (SEM) miteinander kombinieren. Als Akronym und Produktangebot wird SIEM von scheinbar zahllosen Security-Anbietern offeriert.

Laut Allie Mellen, Sicherheits- und Risikoanalystin bei Forrester, hat der Begriff jedoch eine lange Tradition im Bereich der Compliance und repräsentiert nicht unbedingt den heutigen Stand von Lösungen dieser Art: "SIEMs konzentrieren sich heute auf die Erkennung von Bedrohungen und die Reaktion darauf, indem sie Security User Behavior Analytics und Security Orchestrtation Automation and Response einbeziehen, um jeden Schritt im Lebenszyklus eines Cybervorfalls anzugehen. Bei Forrester bezeichnen wir diese Lösungen als Security-Analytics-Plattformen, um besser zu beschreiben, was sie tun: Sie analysieren Daten hinsichtlich ihrer Sicherheit und dienen auch als Plattformen, um Angebote von Drittanbietern einzubinden."

7. "Schwachstelle Mensch"

Nigel Phair ist Vorsitzender von CREST Australia und Direktor des Cyber Security Institute an der University of New South Wales - und der Ansicht, dass der Mensch nicht länger als schwächstes Glied in der Sicherheitskette dargestellt werden sollte.

"Der Mensch ist das stärkste Glied der Informationssicherheit und schützt sowohl Unternehmensnetzwerke als auch die dort befindlichen Daten. Davon abgesehen hat es noch nie funktioniert, Menschen an den Pranger zu stellen. Da es kein technisches Patentrezept zur Lösung von Cybercrime gibt, müssen die Mitarbeiter mitgenommen werden. Es gilt darüber aufzuklären, warum bestimmte Kontrollmaßnahmen bestehen und welche Rolle sie beim Schutz des Unternehmens einnehmen."

8. "Security Awareness"

Für viele CSOs steht die Optimierung der Security Awareness im gesamten Unternehmen weit oben auf der Agenda. Doch auch dieser Begriff wird missbraucht, wenn man Ravi Srinivasan, CEO von Votiro, Glauben schenkt: "Der Begriff Cybersecurity Awareness hat ein Narrativ geschaffen, das davon ausgeht, dass die Benutzer für Sicherheitsvorfälle verantwortlich sind und die Unternehmen dazu ermutigt, Sicherheitsstrategien zu entwickeln, die sich in erster Linie auf Weiterbildung und Schulung verlassen, um Cyberbedrohungen zu erkennen und letztendlich zu verhindern."

Die heutigen Cyberangriffe seien jedoch ausgeklügelt und entwickelten sich ständig weiter, so dass es selbst für sicherheitsbewusste Unternehmen schwierig sei, den Angreifern einen Schritt voraus zu sein. Stattdessen müssten Sicherheits- und IT-Führungskräfte nach Ansicht von Srinivasan ihre Sicherheitsstrategien für Unternehmen so anpassen, dass sie sich auf das Geschäft konzentrieren, das sie weltweit betreiben: "Anstelle von Security Awareness würde ich für den Begriff Security Vigilance plädieren. Um Cyberbedrohungen künftig besser abwehren zu können, müssen Arbeitgeber und -nehmer, Business- und IT-Verantwortliche sowie die Entitäten des öffentlichen und privaten Sektors besser zusammenarbeiten."

9. "Cyber Kill Chain"

Im Zusammenhang mit Cyberangriffen hat sich in den letzten Jahren ein Trend hin zu militärisch geprägter Sprache entwickelt - etwa in Form der Cyber Kill Chain. Dieser Begriff beschreibt die verschiedenen Stadien eines Cyberangriffs und wird häufig mit Advanced Persistent Threats (APTs) in Verbindung gebracht.

"Ich bin mir nicht sicher, ob das angemessen ist. Dieser Trend könnte dazu führen, das weitere, negativ aufgeladene und anderweitig schwierige Begriffe Einzug halten, um langweilige oder komplexe Themen interessanter zu machen", meint Leanne Salisbury, Senior Manager für Threat Intelligence bei EY.

10. "Hacker"

Laut Topher Tebow, Cybersecurity-Analyst bei Acronis, sollten Sie sich ernsthaft Gedanken darüber machen, wie Sie den Begriff Hacker heutzutage verwenden: "Der Begriff muss nicht abgeschafft werden, aber er sollte richtig benutzt werden. Ein Hacker ist einfach jemand, der einen Weg findet, die normalen Anwendungen eines bestimmten Gegenstands, Prozesses oder einer Software zu umgehen, um ein gewünschtes Ergebnis zu erzielen."

Das Problem mit dem Wort Hacker sei, dass es oft verwendet werde, um Cyberkriminelle zu beschreiben, obwohl es Tausende von Hackern gebe, die zum Wohle der Allgemeinheit arbeiten, so Tebow: "Wir sollten die Auswirkungen unserer Worte bedenken und stattdessen auf Begriffe wie Angreifer, Cyberkrimineller oder böswilliger Akteur verwenden, anstatt alle Hacker als Kriminelle zu diffamieren."

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Michael Hill schreibt für unsere US-Schwesterpublikation CSO Online.
Florian beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.