Schon seit dem Mittelalter versuchen Geschichtenerzähler, ihren Lesern eine Kultur der Cybersicherheit zu vermitteln. Das Grundprinzip ist einfach: Man verwendet die „Vorfälle“ aus den Volksmärchen, um echte Berichte zu erstellen. Die Berichte unterscheiden sich natürlich im Detail, aber eine sorgfältige Lektüre offenbart einen grundlegenden Unterschied in der Darstellungsweise der einzelnen Autoren.
Die Gebrüder Grimm und Charles Perrault mögen ihre Märchen um Cybervorfälle herum konstruiert haben, aber Hans Christian Andersen schenkte den Schutztechnologien besondere Aufmerksamkeit. Es scheint, dass die Grimms und Perrault von Unternehmen finanziert wurden, die auf die Untersuchung von Zwischenfällen spezialisiert sind, während Andersen für einen Anbieter von Sicherheitslösungen arbeitete. Betrachten wir einige Beispiele aus seiner Feder.
Die wilden Schwäne
Die Einleitung zu diesem Märchen ist ziemlich standardmäßig: Ein kürzlich verwitweter König heiratet eine böse Königin, die sich als Hexe entpuppt – ein in Märchen üblicher Euphemismus für eine Bedrohung durch Insider. Sie verachtet die jungen Prinzen und verschlüsselt sie (macht sie zu Vögeln). Seltsamerweise enthüllt Andersen, dass der Verschlüsselungsalgorithmus fehlerhaft ist – die böse Stiefmutter versucht, die Vögel im Format big_birds_without_voice zu verschlüsseln, erhält aber am Ende .swans.
Im weiteren Verlauf des Märchens werden die Torturen der Prinzessin und einige Versuche beschrieben, Kontakt zu Kryptographie-Beratern von Dritten aufzunehmen, aber ein großer Teil der Geschichte handelt davon, wie die Prinzessin 11 Entschlüsselungsprogramme manuell schreibt – eines für jeden ihrer Brüder.
Die Geschichte erzählt, wie sie den Entschlüsselungscode aus Nesseln geflochten hat, die sie auf einem Kirchenfriedhof geerntet hat. Die Erwähnung des Friedhofs scheint eine Anspielung auf die Programmiersprache C++ zu sein (die beiden Pluszeichen stehen für Kreuze), die nicht zufällig von Andersens Landsmann Bjarne Stroustrup entwickelt wurde. Das heißt, die Prinzessin hat die Entschlüsselungsprogramme in C++ geschrieben.
Aber Andersen bleibt unparteiisch; das sehen wir beim letzten Entschlüsselungsprogramm, das einen Fehler enthält, sodass einige Dateien des letzten Bruders verschlüsselt bleiben.
Die Prinzessin auf der Erbse
Das Märchen „Die Prinzessin auf der Erbse“ wirkt ein wenig wie ein Bericht über die Implementierung einer mittelalterlichen Sandbox-basierten Verhaltensanalyse-Engine. Vielleicht hat Andersen es für eine Fachzeitschrift oder als Whitepaper über eine Erfolgsgeschichte geschrieben.
Kurz gesagt, die Geschichte handelt von einem Prinzen, der beweisen muss, dass die Frau, die er heiraten will, eine echte Prinzessin ist. Zu diesem Zweck bereitet seine Mutter einen isolierten, kontrollierten Raum (mit anderen Worten: eine Sandbox) vor, der das Schlafzimmer der Prinzessin simuliert. Sie versteckt einen Auslöser im Bett, um normales Prinzessinnenverhalten zu provozieren, und verschleiert den Auslöser mit 20 dicken Matratzen und Federbetten. Nach der Hypothese der Mutter würde eine echte Prinzessin auch unter solchen Bedingungen auf den Auslöser reagieren, während eine falsche Prinzessin ihn nicht bemerken würde.
Die Versuchsperson, die im Schlafzimmer platziert wurde, reagierte dann entsprechend auf den Auslöser, sodass die Mutter des Prinzen das Urteil fällte: Prinzessin.
Heutzutage verwenden wir Technologien zur Verhaltenserkennung, um bösartiges Verhalten zu erkennen, und nicht mehr das Verhalten von Prinzessinnen. Das Grundprinzip bleibt jedoch dasselbe. Die Kaspersky Research Sandbox zum Beispiel analysiert den normalen Betrieb eines Computers in einem Unternehmensnetzwerk und emuliert ihn in einem isolierten Bereich, um dann das Verhalten potenzieller Bedrohungen zu überwachen.
Das Feuerzeug
In der Geschichte „Das Feuerzeug“ schreibt Andersen über einen Hacker. Unser Hacker, der einfach Soldat genannt wird, benutzt eine Art Kommunikator namens Feuerzeug, um mit einer kriminellen Gruppe monströser Hunde Kontakt aufzunehmen. Die Hunde versorgen ihn mit Münzen und einem Kommunikationskanal zur Prinzessin, wobei sie die Beschränkungen der Regierung umgehen. Darüber hinaus verbergen sie seine kriminellen Aktivitäten in der realen Welt, indem sie unerwünschte Personen physisch eliminieren. Mit anderen Worten, es handelt sich um ein Dark-Web Tool, und der Name Feuerzeug ist eindeutig eine Anspielung auf Tor.
„Das Feuerzeug“ ist in mancher Hinsicht untypisch, vor allem in der Wahl des Protagonisten. Die Helden von Märchen sind in der Regel positive Charaktere, oder sie rufen zumindest Gefühle der Empathie hervor. Hier ist die Hauptfigur weit davon entfernt, ein Held zu sein, und ist durch und durch unmoralisch.
Im Laufe seiner extrem kurzen Geschichte betrügt, raubt und tötet der Soldat eine alte Frau, die ihm sagte, wo er Geld bekommen kann, entführt wiederholt eine Prinzessin, beseitigt ihre Eltern sowie die Richter und den königlichen Rat und ergreift schließlich die Macht. Andersen wollte den Mann eindeutig als Verbrecher darstellen.
Um auf das Prisma der Informationssicherheit zurückzukommen, sind wir nicht am Feuerzeug an sich interessiert, sondern an den Maßnahmen, die die Verteidiger des Palastes ergriffen haben, um festzustellen, wo und wie der Soldat mit der Prinzessin in Kontakt kommt. Die Königin (wohlgemerkt, wie in „Die Prinzessin auf der Erbse“ ist es die Frau der Familie, die für die Informationssicherheit im Palast verantwortlich ist – so zeigt Andersen, wie wichtig die Rolle des CISO im Mittelalter war) unternimmt mehrere Versuche, den Hacker ausfindig zu machen.
Zunächst beauftragt sie die hauseigene (palastinterne) Cyberbedrohungsanalystin – eine Hofdame – die Adresse des Eindringlings manuell zu ermitteln. Die Dame in spe identifiziert das Subnetz, das der Soldat benutzt, aber das komplexe System der Adressverschleierung hindert sie daran, den genauen Rechner ausfindig zu machen. Um sie auf die falsche Fährte zu locken, markiert einer der Hunde die umliegenden Gateways mit demselben Kreidekreuz wie das Gateway des Soldaten.
Der zweite Versuch ist raffinierter und erfolgreicher. Die Königin pflanzt ein Implantat in die Client-App der Prinzessin ein – eine Tüte mit Buchweizengrütze. Während der nächsten Kommunikationssitzung markiert das Buchweizenimplantat die Zwischenknoten, über die der cyberversierte Hund das Signal zum „Fenster des Soldaten“ umleitet – also direkt zu seinem Windows-Computer. Daraufhin wird der Soldat aufgespürt, verhaftet und zum Tode verurteilt.
Anders als bei „Die Prinzessin auf der Erbse“ handelt es sich hier jedoch um ein abschreckendes Beispiel, nicht um eine Erfolgsgeschichte. Ein Passant wird bestochen, um den Kommunikator an den Verurteilten zu übergeben, der die Hilfe der gesamten kriminellen Hundegruppe in Anspruch nimmt; letztendlich waren die Bemühungen der Königin vergeblich.
Des Kaisers neue Kleider
Abgerundet wird unsere Auswahl an Andersen-Märchen über Informationssicherheitstechnologien durch ein weiteres berühmtes Märchen: „Des Kaisers neue Kleider„. Das Originalmärchen ist ganz klar ein satirisch-kritischer Artikel über Cyberscharlatane – in diesem Fall Anbieter, die ihre eigene Blockchain- oder KI-basierte Cybersicherheit der nächsten Generation in den Himmel loben.
In „Des Kaisers neue Kleider“ gibt der König Geld für die Entwicklung eines vollwertigen Cybersicherheitssystems aus, aber die Auftragnehmer präsentieren nur ein paar schicke Präsentationen zum Thema Blockchain und kassieren ab. Die Berater des Königs, die nichts über die Technologie wissen und Angst haben, dumm dazustehen, bestätigen deren großartige Potenziale. Später stellt ein junger, aber scheinbar erfahrener Pen-Tester fest, dass das königliche Schutzsystem nicht nur voller Löcher ist, sondern überhaupt nicht existiert.
Seit Andersens Zeiten hat sich in der Cybersicherheitsbranche einiges getan. Moderne Unternehmen, die sich für Sicherheitslösungen entscheiden, sollten sich weniger von Werbeslogans als vielmehr von den Ergebnissen unabhängiger Tests leiten lassen.