Gutes Storytelling verbessert die Cybersicherheit

Forensic Readiness hilft Organisationen dabei, relevante Daten rechtzeitig sichtbar zu machen, um bei einem Sicherheitsvorfall gute Entscheide zu fällen. Um ihre Bedeutung zu vermitteln, ist gutes Storytelling zwingend.

Text: Darja-Anna Yurovsky, publiziert am 15. Mai 2024

Digital traces depicted on a giant screen.
Adobe Stock | Shutter2U #748156112

Ich betrachte mein Spiegelbild an diesem Morgen in Santa Cruz, Teneriffa. Nach einer unruhigen Nacht übe ich den Text für mein Referat an diesem Tag.

Es geht um mein Herzensthema:

Vor einer bereits mit Informationen überladenen Zuhörerschaft soll mein Thema Anklang finden. Forensic Readiness, also die proaktive Vorbereitung auf mögliche IT-Sicherheitsvorfälle. Es ist noch früh am Morgen, und nach dem zweiten Tee gelingt mir die Präsentation vor dem Spiegel immer besser. Ich spüre, wie die Nervosität langsam nachlässt.

Die Herausforderung

Die eigentliche Herausforderung an diesem Nachmittag besteht nicht darin, vor 150 Menschen zu sprechen, sondern ihr Interesse für mein Thema zu wecken und sie idealerweise zum Weiterdenken und Handeln zu inspirieren.

Sie alle kennen die Situation: Sie brennen für Ihr Thema, überfluten Ihr Publikum mit Powerpoint-Folien, denn Ihr Thema ist schliesslich komplex und superspannend – und spätestens bei der dritten Folie fummelt die erste Person an ihrem Smartphone herum oder holt gleich den Laptop aus der Tasche. Es soll der Anschein gewahrt werden, dass fleissig mitgeschrieben wird. Doch Sie und alle im Raum wissen genau, dass das energische Tippen nichts mit Ihrem Thema, sondern mehr mit dem Posteingang zu tun hat.

Kurze Exkursion in die Theorie der Forensic Readiness: Sie beschreibt das Bestreben einer Organisation, digitale Spuren so effektiv wie möglich zu sammeln und diese für das eigene Lagebild zu nutzen und gleichzeitig die Kosten so gering wie möglich zu halten.

Was sich in der Theorie in einem Satz zusammenfassen lässt, ist in der Praxis ein komplexes Zusammenspiel von Prozessen, Weisungen, Massnahmen und Technologien. Es geht darum, in der eigenen Organisation die relevanten Daten rechtzeitig sichtbar zu machen, um in einer Phase eines IT-Sicherheitsvorfalls fundierte Entscheidungen zu fällen. Und genau das präsentiere ich heute in Santa Cruz.

Der Konflikt

Kurz darauf ist Showtime. Mit schwitzigen Händen stehe ich vor dem Fachpublikum, bemerke kaum abgelenkte Teilnehmende, die Aufmerksamkeit ist mir sicher! Ich beginne mit dem Verhalten im Falle eines Security Incidents, gehe über zur Bedeutung des Lagebildes als Basis für eine fundierte Entscheidungsfindung, zeige auf, wie die Effektivität der Massnahmen verbessert werden könnte, um letztlich den IT-Sicherheitsvorfall zu bewältigen.

Folie drei ist kaum vorbei, da passiert es: Ein Laptop geht auf! Es folgt ein zweiter, ein dritter und dann noch ein Smartphone. Ich bin kurz abgelenkt, brauche einen Moment, um mich wieder zu sammeln, das Krönchen meiner inneren Stimme zu richten und weiter durch das Thema zu führen. Doch so sehr mich die volle Aufmerksamkeit der ersten vier Reihen freut, kann ich nicht ignorieren, dass auch heute wieder viele E-Mails statt wertvoller Einsichten diesen Saal verlassen werden.

Bei Frust trinke ich gerne. Am liebsten Kamillentee. Auch wenn ein Martini mit James-Bond-Olive auf der pompösen Hotelterrasse die passendere Wahl gewesen wäre. Aber auch der Tee hilft an diesem Abend nur oberflächlich, die Falten auf meiner Stirn zu glätten. Weshalb konnte ich das Publikum nicht über Folie drei hinaus mitreissen?

Der Wendepunkt

Als die Wirkstoffe der Kamille meinen Hippocampus durchdringen, erinnere ich mich an einen Schlüsselmoment: Vor einigen Jahren wurde ich gebeten, dem Stiftungsrat von Switch zu erklären, wie unser Computer Emergency Response Team Switch CERT die Hochschulen bei einem Security Incident unterstützt. Es ist ein sehr spezifischer Zweig der Informatik und auch technisch versierte Personen können sich damit nicht auskennen.

Mit meinem Tablet in der Hand stand ich in unserem schönsten Meetingraum und wurde von der erwartungsvollen Gruppe gemustert. Ich sollte ihnen erklären und sie spüren lassen, was es bedeutet, bei IT-Sicherheitsvorfällen dabei zu sein. Technische Phrasen halfen bei dem gemischten Publikum nicht, also schnappte ich mir mein Tablet und begann energisch, den Ablauf eines Security Incidents mit Strichmännchen und Symbolen zu skizzieren.

Process of a security incident with stick figures and symbols.
Erste Version des Incident Response Ablaufs. Illustration: Darja-Anna Yurovsky, Switch

Seit meiner ersten Version hat sich meine Zeichenkunst erfreulicherweise verbessert, was auch meinem Publikum zugutekommen dürfte. Trotz der einfachen grafischen Darstellung wurden – im Gegensatz zu Teneriffa – die Laptops nicht auf-, sondern zugeklappt, und ich spürte die volle Aufmerksamkeit in der gesamten Runde. Es wurden von Hand geschriebene Notizen angefertigt und schockierte Blicke durch den Raum geworfen, als ich aufzeigte, was mein Publikum im Falle eines solchen IT-Sicherheitsvorfalls erwarten würde.

Ja, schockierte Blicke, denn die Frage ist nicht, ob man jemals angegriffen wird, sondern wie man auf einen Security Incident reagiert. Und Forensic Readiness kann hier einen wesentlichen Teil zur erfolgreichen Bewältigung leisten. Das wurde plötzlich auch unserem heterogen zusammengesetzten Stiftungsrat bewusst. Denn die Zeichnung zeigt keine technischen Details, sondern die Auswirkungen eines Security Incidents auf die Organisation, die Mitarbeitenden, das elektronische Türschloss, die Daten. Schlechte Vorbereitung kostet Geld, Mühe und vielleicht sogar die eigene Reputation. Das wurde allen im Raum unmissverständlich klar.

Und es wurde auch klar, dass mit entsprechender Vorbereitung ein solcher Vorfall sogar zum Katalysator für positive Veränderungen werden kann. Denn die Vorbereitung der Forensic Readiness kann auch ohne einen Security Incident die Lücken in unseren Organisationen aufzeigen, deren Schliessung sich positiv auf die Sicherheit des Unternehmens auswirkt. Jedes Mal, wenn ich diese Geschichte erzähle, in welcher Konstellationen auch immer, erzielt sie die gleiche Wirkung. Diskussionen werden entfacht, alle spüren die Wichtigkeit und die Menschen sind inspiriert zu handeln.

Die Erleuchtung

Noch an diesem Abend auf der Hotelterrasse wird mir bewusst, was damals die Aufmerksamkeit für mein Thema über die Folie drei hinaus aufrechterhielt. Ich verpackte mein Thema instinktiv in eine Geschichte, ohne technischen Firlefanz. Mein Publikum erkannte sich in der Geschichte wieder, konnte sich in sie hineinversetzen und sich mit dem Thema identifizieren. Durch die Kombination von Sprache, Zeichnung und Imagination wurde es in die Geschichte eingebunden und konnte Empathie empfinden. Wie ein roter Faden wurde es durch alle Phasen der Geschichte begleitet. Der eingetretene IT-Sicherheitsvorfall beschrieb die Heldenreise, auf der jedes Mitglied als Heldin oder Held erfolgreich mit den anderen zusammenarbeitete und den Vorfall gekonnt überwand.

Das Happy End

Und so verlasse ich Teneriffa mit dem Willen, das Forensic Readiness Framework fortan auch vor einem technisch versierten Publikum als Geschichte zu verpacken – und mehr zu zeichnen. Damit sich mein Publikum künftig mit seiner Vorstellungskraft und nicht mit seinem Posteingang auseinandersetzt.

Cyber Security

Darja-Anna Yurovsky

Security Incident Responder

Switch

Alle Beiträge ansehen