Hadmut Danisch

Ansichten eines Informatikers

Frauenförderung und der Tod der IT-Sicherheit

Hadmut
25.9.2021 20:55

Ich glaub’, ich werd Gärtner.

Der Feminismus hat den Bereich der IT-Sicherheit erfasst. Als eine der letzten Männerdomänen.

Um ehrlich zu sein, habe ich mich in den letzten zwei, drei Jahren da schon sehr geschüttelt, als ich in der Industrie feststellte, dass Frauenförderpolitik aus der IT-Sicherheit machte. Lustige Ratespiele veranstalteten sie, so knapp über Grundschulniveau. Nicht irgendwie so Krypto der Netzwerksicherheit, starke Authentifikation oder sowas, was wir halt alles so im Werkzeugkasten rumfliegen haben, sondern: Gesellschaftstänze. Alberne Spielchen. Quotenfrauen auf Projektposten, die andere von oben herab abkanzeln und falsche Anweisungen geben, weil sie nicht einmal die Grundlagen, nicht mal ihre Diensthandbücher verstanden haben. Die Frauenförderung in der IT-Sicherheit führt, wie schon vor 20 Jahren an den Universitäten, über eine Infantilisierung, über einen völligen Niveauverlust. Es wird alles zum Sozialakt runtergestuft. Früher verwendete man Verschlüsselung, heute Wachsmalkreiden.

Und das mit den Wachsmalkreiden meine ich wörtlich. Ich war – unfreiwillig, jeder musste – bei einer allgemein Unternehmensschulung (nicht spezifisch IT-Sicherheit), bei der alle zusammen mit Wachsmalstiften naive Malerei betreiben sollten, damit man die Pappkärtchen nachher zu einem großen Bild zusammensetzen kann. Und andere Spiele mit Anfassen und rumturnen, von denen ich jetzt nicht behaupten könnte, dass ich sowas nie machen würde. Ich habe solche Spiele schon gemacht und kann mich gut dran erinnern – meine Kindergeburtstage, so mit 7 und 8 Jahren, so die Kategorie Topfschlagen und Blinde Kuh.

Wenn aber ein Unternehmen jemanden mit 30 Jahren Berufserfahrung in sowas zur Zugehörigkeitsschulung schickt, weil man Frauen fördert und reinquotet, und die sich dann eben aufführen wie die Kindergartenmutti, dann fühle ich mich verarscht.

Und ich meine das nicht nur auf der Ebene des sich Veralbert-Fühlens: Ich habe richtig ernsthafte Sicherheits- und Datenschutzprobleme gesehen, die entstanden, weil man partout leitende Stellen mit Frauen besetzte, und dann halt welche ohne Sachkunde nahm, weil man keine mit Sachkunde fand. Wo es überhaupt nicht mehr um IT-Sicherheit oder Datenschutz geht, sondern um „Teilhabe“, „Diversität“ und entsprechende Quotenbesetzung aller Gehaltsstufen.

Eine Schweizer Webseite namens switch (irgendwas mit deren Netzwerk oder dem der Universitäten) hat einen Artikel A woman’s dream job: IT security specialist, schreibt aber dazu, dass er zunächst auf deutsch erschienen sei, #Security: Traum­beruf IT-Security-Expertin

Traumberuf?

Sagen wir es so: Ich habe die Schnauze inzwischen gestrichen voll davon. Man kämpft endlos gegen Windmühlen, wird oft nur als der Spielverderber angesehen, der, zu dem man sich in die Schulung setzen muss, oder wie man in derselben Publikationengruppe schrieb: “Sicherheit ist ein unerträglich langweiliges Hindernis” Alle schreien sie, dass die Bedrohung immer höher steige, kritische Infrastrukturen und sowas, und gleichzeitig bewegt sich die Firmenmentalität oft in Richtung „Scheiß drauf!“. Weil man immer mehr Schwätzer und Windbeutel in den Führungsetagen hat, und weil der Wettbewerb und Zeit- und Kostendruck immer härter wird, und IT-Sicherheit als ungeliebte Pflicht, nicht als Umsatzbringer aufgefasst wird.

Ich kann mich noch erinnern, an eines der ersten Papers, mit denen ich mich damals befasst hatte: „With Microscope and Tweezers: An Analysis of the Internet Virus of November 1988.“. 1988. Das war vor 33 Jahren. Und immer noch haben wir dieselben Probleme, immer noch kommen solche Angriffe wie Pufferüberläufe und so weiter vor.

Die Politik legt den – von mir schon so oft beschriebenen – Schweinezyklus hin, in dem sich die Fragestellungen alle 10 Jahre und im Großen nochmal alle 20 Jahre wiederholen. Man kann den Leuten erklären, so viel man will, kapieren werden sie es sowieso nicht, aber irgendwann halten sie die Klappe, wenn sie merken, dass sie da kein politisches oder pekuniäres Kapital draus schlagen können, aber kaum ist die nächste Generation von Politikern da, geht der ganze Schwachsinn von vorne los. Die informieren sich nicht, was schon gelaufen ist. Man bekommt ständig frische Idioten und Schwätzer.

Dazu kommt, dass die IT-Sicherheit primär schon lange nichts mehr mit dem Abwehren von Angreifern zu tun hat, sondern zum drögen Sachbearbeiter-Job geworden ist. Man schreibt endlose Dokus, die nie jemand liest außer den Auditoren, muss ständig irgendwelche Frameworks, Normen, Grundschutzhandbuch erfüllen, Audits und Zertifizierungen über sich ergehene lassen und rennt in einer riesigen Bürokratiemaschine im Kreis, in der unzählige Unternehmensberatungen, Behörden, Sesselfurzer, Beamte, Ministerialmonster ihr Auskommen gefunden haben und sich gegenseitig mit unglaublichen Mengen von Papierkram (meist digital) zuwerfen, es aber längst keine Bedeutung in Bezug auf IT-Sicherheit mehr hat. Kann schon sein, dass man dem Auditor für die Zertifizierung mal eine 1000-seitige Doku übergibt, weil die Software für die Dokumentation so viel Blubber erzeugt. Muss ja jede Türklinke erfasst werden, und jeder Zugang dokumentiert. Während die Presse jodelt, dass die Russen und Chinesen alles angreifen, manipulieren, ausspionieren.

IT-Sicherheit dient schon lange nicht mehr der Abwehr von Angreifern, sondern fast nur noch dafür, dem Vorstand den Rücken freizuhalten – wenn etwas anbrennt, muss der vorweisen können, dass alle bestehenden Kataloge mit grünen Häkchen abgehakt sind und ihm nichts anzulasten ist.

Faktisch steht die IT-Sicherheit auf verlorenem Posten, der nicht mehr zu halten ist.

Einmal, weil man kaum noch qualifiziertes IT-Personal bekommt. IT ist heute ein Sammelbecken für Luftikusse, Schwätzer, Tunnelblicker jeder Art, denen es auch um gar nichts anderes mehr geht, als fristgerecht irgendwas abzuliefern – und abzurechnen. Die Sachkunde geht immer weiter runter. Ich habe in den letzten 10 Jahren eine rapide Zunahme der Leute in der IT-Branche bemerkt, denen ich erklären musse, was eine ssh ist. Ich hatte über Jahre hinweg in den Schulungen eine Verständnis-Falle drin. Ich habe gesagt, dass man sich System A auf System B per ssh einloggt, und aus Sicherheits- und Datenschutzgründen dazwischen im Netz ein System C hängt, das alle Befehle mitprotokolliert, damit man nachvollziehen kann, was man getan hat, weil die Zertifizierung das braucht. Nicht nur die Zahl der Leute, die da (sollten sie ja als Aufmerksamkeitstest, C hatte in dem Fall Kopien der Schlüssel und spielte MITM, was ich als Aha-Effekt eingebaut hatte) protestierten, weil das doch gar nicht gehen könne, ist doch verschlüsselt, nahm rapide ab. Ich habe auch immer öfter erlebt, dass die Leute die Pointe nicht mal mehr begriffen, wenn ich das erklärt habe. Leute, die einen nur noch verständnislos anglotzen und bei denen gar nichts mehr Klick macht, wenn man ihnen sagt, dass das doch so eigentlich nicht gehen kann, dass C die Kommunikation zwischen A und B protokolliert (wenn man noch nicht gesagt hat, dass C Schlüsselkopien hat), weil es doch verschlüsselt ist. Die Leute kapieren nicht mehr, dass „verschlüsselt“ bedeutet, dass ein Dritter nicht mitlesen kann.

Und dann kapieren die auch andere grundlegende Dinge nicht mehr – von denen man eigentlich erwarten müsste, dass sie sie schon wissen und man sie ihnen nicht erst noch erklären müsste.

Gleichzeitig verlieren wir immer mehr die Kontrolle über unsere Software, weil der Stand der Softwaretechnik ist, sich einfach irgendwelche Libraries und Tools von irgendwo aus dem Internet runterzuladen und zusammenzunageln, ohne noch zu wissen, woher sie kommen und wer die geschrieben hat. Die dann noch dazu ihre Dependencies haben und iterativ, rekursiv ihrerseits noch allen möglichen Krempel von irgendwo runterladen. Einen Haufen Mist unbekannter Herkunft nagelt man zusammen, nennt das dann „Softwaretechnik“ und wundert sich, wenn es Sicherheitslöcher hat.

Und dann soll man da als der IT-Sicherheitsheini sitzen, das alles irgendwie sicher machen und dran schuld sein, wenn’s nicht dicht ist.

Ich weiß nicht (mehr), was da schon unabhängig von der Achse Mann-Frau noch „Traumberuf“ sein soll.

Es war sowieso noch nie ein „Traumberuf“, aber es war mal ein hoch interessanter, wichtiger und elitärer Beruf, der nur von wenigen überhaupt ausgeübt werden konnte. Heute ist alles Geschwätz, weil man das Gefühl hat, dass es nur noch vier Berufe gibt: Supermarktverkäuferin, Kita-Tante, Krankenschwester und „irgendwas mit IT“.

Und die wollen nun die IT-Sicherheit noch für Frauen kapern.

Laut einer Studie liegt der Frauenanteil unter IT-Security-Expertinnen und Experten bei 25%. Das ist zu wenig, um dem drohenden Fachkräftemangel und der immer komplexeren Bedrohungslage mit der nötigen Diversität entgegenzuwirken.

Ja.

Frauenförderung heißt, einen Fachkräftemangel auszunutzen, indem man die Gelegenheit nutzt, Unqualifizierte unterzubringen.

Aber wie wird man IT-Security-Expertin? Darja-Anna Yurovsky, Babara Flaad und Katja Dörlemann arbeiten im Computer Emergency Response Team von Switch (SWITCH-CERT) und sind Expertinnen für Incident Responding sowie IT-Security Awareness. Sie erzählen uns, wie sie zum Berufsfeld IT-Security gekommen sind und was sie dort hält.

Jo. Als ob die Telefonzentrale der Feuerwehr erklärt, wie Chirurgie funktioniert.

Darja: Ursprünglich habe ich Politikwissenschaften studiert und mich auf internatnale Beziehungen spezialisiert. Da ich mehrere Fremdsprachen spreche, schien das naheliegend. Nach meiner Zeit im Militär habe ich jedoch festgestellt, dass mir der Umgang mit IT noch mehr Freude macht. Zurück an der Universität, entdeckte ich zusätzlich die Begeisterung für Datenanalysen, Statistik und die interessanten Erkenntnisse, die so gewonnen werden. So landete ich nach dem Studium als Datenanalystin bei der Polizei und entwickelte mich dort weiter zur IT-Ermittlerin. Nun bin ich als Incident Responderin bei Switch und mache nebenberuflich ein Zweitstudium in der digitalen Forensik.

Von der Politikwissenschaft in ein Beruf gewechselt, in dem man Gehalt bekommt. Hat nur eben nicht viel mit IT-Sicherheit zu tun.

Typische Frauenförderkarriere: Ausbildung und berufliche Tätigkeit kommen nicht oder kaum vor, aber hochtrabende Job-Beschreibungen. Nicht „Ich kann, ich habe gelernt“, sondern „Ich bin Incident Responderin“. (Wenn man schon deutsche Endungen an englische Bezeichnungen wie bei Speakerin hängt, ist das für mich immer ein untrügliches Indiz, dass sowieso nur Geschwätz kommt.) Das ist das, was ich schon oft beschrieben habe: Frauen agieren nicht nach Wissen und Können, sondern nach sozialer Stellung. Die wollen und müssen das nicht können, sondern die Bezeichnung haben. Professorin. Responderin. Und sowas.

Katja: Bei mir lief es auch eher ungeplant. Für ein Projekt zum Thema IT-Security-Awareness suchte das Horst-Görtz-Institut der Ruhr-Universität Bochum nach Studierenden mit Kommunikationsexpertise. Das Thema hat mich sofort begeistert! IT-Security Awareness bedeutet Brücken bauen zwischen zwei Welten – als Übersetzerin, Vermittlerin und Trainerin zu gleichen Teilen. Es geht wie in den Literaturwissenschaften um Kommunikation, Interpretation und Übersetzung. Ich musste und muss viel Neues lernen, aber von da an hat mich das Thema nicht mehr losgelassen und so bin ich nach einigen Jahren als Consultant bei Switch gelandet.

Genau das, was ich eingangs beschrieben habe. Eigentlich keine Ahnung, aber Workshops mit Wachsmalkreiden und alberne Ratespiele abhalten.

Barbara: Nach einem Informatik-Studium arbeitete ich an einer Fachhochschule in der zentralen IT als Teamleiterin. Als 2012 die Rolle der IT-Sicherheitsbeauftragten besetzt werden musste, fiel die Wahl auf mich. In einigen Weiterbildungen konnte ich mich in diesem Fachgebiet vertiefen und erkannte bald die spannenden und vielfältigen Aufgaben, die mich bis heute faszinieren.

Auch so eine Frauenkarriere. Immerhin mal ein Informatik-Studium, aber Teamleiterin und nicht technisch. Dann musste ein „Rolle besetzt“ werden und Frau wird ernannt. Nicht gelernt, nicht erarbeitet, sondern Stellung in der Rudel-Rangordnung erklommen. Und dann ein paar „Weiterbildungen“.

Was genau macht ihr im SWITCH-CERT?

Barbara: Ich bin Projektleiterin und Awareness-Spezialistin.

Wenn ich so einen Scheiß schon lese: Awareness-Spezialistin Auf deutsch: Labertante und Spezialistin für gar nichts. Wachsmalkreiden und sowas.

Hauptsächlich arbeite ich mit der Community und den Themen des Bereichs Registry und Internetsicherheit. Das beinhaltet die verschiedensten Tätigkeiten: von der Entwicklung von Webseiten über die Organisation von Veranstaltungen bis hin zur Begleitung der Umsetzung technischer Sicherheitsmassnahmen.

Ach, so IT-Sicherheit schon mal aus der Entfernung gesehen…

Katja: Obwohl Barbara und ich beide als Awareness-Spezialistinnen arbeiten, ist unser Aufgabenbereich doch nicht derselbe. Ich konzentriere mich auf die Community-Arbeit mit den Schweizer Hochschulen, unseren Game-Design-Ansatz und das Engagement in nationalen Initiativen zur Sensibilisierung der Schweizer Bevölkerung, wie zum Beispiel iBarry. Es gibt in der IT-Security-Awareness eben auch verschiedene Bereiche und Ansätze, die wiederum verschiedene Fähigkeiten benötigen.

Auch nur Blabla und Soziales.

Darja: Im SWITCH-CERT bin ich als Incident Responderin tätig und pflege die Beziehungen zu verschiedenen Behörden aus der IT-Security-Perspektive. […]

Beziehungspflege…

Darja: Der Faktor Mensch spielt eine immer grössere Rolle für IT-Security-Prozesse. IT-Security darf nicht mehr nur technologisch gedacht, sondern muss ganzheitlich angegangen werden. Schliesslich ist es so: Alle technischen Sicherheitsmassnahmen der Welt nützen nicht viel, wenn Nutzerinnen und Nutzer Passwörter wie “12345” wählen, um den Zugang zu ihren Daten zu schützen.

Ganzheitlich. Wie ganzheitliche Medizin.

Katja: Da kommt IT-Security Awareness ins Spiel. Die grösste Herausforderung hierbei ist, mit der fortschreitenden Digitalisierung Schritt zu halten. Das Sichern der eigenen Daten wird stetig komplexer – immer längere Passwörter, Multi-Faktor-Authentifizierung, unverständliche AGBs, Phishing-Mails erkennen etc. Es braucht in Zukunft mehr Aufklärung und mehr Informationen.

Wenn man das so liest, dann machen die Damen eigentlich gar nichts mit IT-Sicherheit selbst, sondern nur so Soziologenakrobatik rund um das Erleben der IT. Phishing-Mails erkennen. Nicht etwa, wie man Phishing technisch verhindert. Das Drama der immer längeren Passwörter.

Pathologischer Befund

Was wir hier sehen ist symptomatisch.

Es reduziert sich alles nur noch auf Geschwätzpraktiken und so eine Art Erlebensprozess der Digitalisierung. Eigentlich mehr so, wie man aus sozialer Sicht mit unsicheren Systemen umzugehen, anstatt Systeme sicher zu machen.

Die Infantilisierung und Zerschwätzung der IT geht Hand in Hand mit der frauenfördernen Fraueneinpumpung, weil sich das gegenseitig bedingt und hochschaukelt. Auf der einen Seite muss das Ding „frauengängig“ gemacht werden, und deshalb von der Technik zum Sozialevent umgebaut werden, in dem sich die Hauptsache darum dreht, mit Menschen zu interagieren. Auf der anderen Seite pumpt man der Quote, Diversität und Gleichstellung wegen jede Menge Frauen – Stichwort: „Quereinsteiger“ – ohne adäquate Ausbildung und Berufserfahrung in die IT-Sicherheit, die ihrerseits das dann alles wieder runterziehen und zu Blubberevent machen. Es geht eigentlich nicht mehr darum, irgendetwas sicher zu machen, sondern das Erleben unsicherer System zum sozialen Event zu machen – und Arien darüber zu schreiben, wen sie benachteiligen.

Die – öffentliche – IT-Sicherheit ist tot und die Frauenförderung einer ihrer größten Sargnägel.

Das war mir spätestens klar, als die Wachsmalstifte und die Ratespiele kamen.