Viele Jahre lang wurden Begriffe wie „Blacklist“ und „Whitelist“ in Cybersicherheits- und Infosec-Kreisen häufig verwendet, um einfach zu bestimmen, welche Person oder Anwendung Zugriff auf ein System oder Netzwerk hatte (und welche verweigert wurden).
Nach monatelangen, landesweiten Protesten gegen Themen wie Rassenungerechtigkeit und polizeiliches Fehlverhalten führen die Cybersecurity- und Infosec-Communities ihre eigene Debatte über Begriffe wie „schwarz“ und „weiß“ und was diese Konnotationen bedeuten. Ist es jetzt an der Zeit, die Terminologie der Sicherheit zu ändern, um die Branche viel gerechter und integrativer zu machen?
Einige dieser Probleme sind bereits an die Oberfläche gesprudelt.
Ende April, gerade als die Proteste in den USA und anderswo begannen, veröffentlichte das britische National Cyber Security Centre, das Teil des britischen Geheimdienstes GCHQ ist und das Incident-Response-Team dieser Nation leitet, eine Ankündigung, dass es nun die Begriffe „Allow List“ und „Deny List“ anstelle der traditionelleren Whitelist und Blacklist verwenden würde.
Im Juni kündigte Cisco Talos, der Bedrohungsforschungszweig der Sicherheitsabteilung von Cisco, eine ähnliche Maßnahme an.
„Obwohl wir anerkennen, dass es sich um eine kleine Änderung handelt, wird Cisco Talos die Verwendung der Begriffe „Blacklist“ und „Whitelist“ durch „Block List“ und „allow List“ ersetzen“, so das Cisco Talos-Team. „Obwohl diese Begriffe in der Sicherheitsbranche häufig verwendet werden, werden wir nicht beiläufig positive Konnotationen zu“Weiß“zuweisen, während wir negative Konnotationen zu“Schwarz“zuweisen.“
Es gibt sogar eine Debatte darüber, ob eine der bekanntesten Veranstaltungen der Cybersicherheit — BlackHat — ihren Namen ändern sollte, um die breitere Debatte widerzuspiegeln. Anfang Juli gab David Kleidermacher, Vice President of Engineering bei Google, der für die Android-Sicherheit und den Google Play Store verantwortlich ist, bekannt, dass er sich von einem geplanten Gespräch zurückziehen werde, um die Infosec-Community dazu zu bewegen, neutralere Begriffe zu verwenden.
„Während viele Menschen zu Recht behaupten werden, dass sie solche Begriffe nie bewusst mit Rassismus in Verbindung gebracht haben, ist die Realität, dass Worte wichtig sind, und diese Worte verewigen den Begriff“Weiß“als „gut“ und „schwarz“ als „schlecht““, sagte Michelle McLean, Vizepräsidentin für Produktmarketing bei der Sicherheitsfirma StackRox, gegenüber Dice. Ihre Firma hat auch begonnen, mehr Rasse zu verwenden- und geschlechtsneutrale Begriffe wie „Liste zulassen“ und „Liste ablehnen“.“
„Linguisten haben lange Zeit überzeugend argumentiert, dass Wörter unser Bewusstsein und unsere Realität direkt prägen, also müssen wir Schritte unternehmen, um solche rassistischen Begriffe aus unserem technischen Vokabular zu entfernen, als einen kleinen Teil einer viel größeren Anstrengung, um positive Umgebungen und Möglichkeiten für Schwarze und andere unterrepräsentierte Menschen in der Technik zu schaffen“, fügte McLean hinzu.
Laufende Debatte
Während es den Anschein hat, dass die IT-, Entwickler- und Sicherheitsgemeinschaften erst seit kurzem über Wortwahlen wie Whitelist und Blacklist sowie „Master“ und „Slave“ debattieren, sind Bedenken hinsichtlich der Verwendung dieser Begriffe und ihrer Bedeutung seit einiger Zeit Teil der Diskussion.
Im Jahr 2018 veröffentlichten beispielsweise zwei irische Wissenschaftler ein Forschungspapier über die „weit verbreitete Verwendung rassistischer Sprache in Diskussionen über räuberisches Publizieren“, einschließlich der Begriffe Blacklist und Whitelist.
Thomas Hatch, CTO und Mitbegründer der Sicherheitsfirma SaltStack, ist der Ansicht, dass modernere und rassenneutrale Begriffe nicht nur dazu beitragen, rassistische Sprache zu beseitigen, sondern auch klarere Definitionen dessen bieten, was Sicherheit für eine Organisation bedeuten sollte.
„In der Vergangenheit haben die meisten von uns die Konnotation innerhalb der Begriffe Whitelist und Blacklist nicht berücksichtigt. Wir haben sie nur als Standard-Computerbegriffe betrachtet „, sagte Hatch gegenüber Dice. „Die Abkehr von der Verwendung von Terminologie, die speziell aus solchen unmenschlichen Praktiken stammt, ist jedoch sowohl für die Sicherheitsbranche als auch für andere Branchen positiv. Es war erfrischend zu sehen, wie dieser Trend durch die Technik fegt.“
A More Perfect Future
Während die Debatte über Begriffe wie Blacklist und Whitelist erst begonnen hat und nicht jeder das Bedürfnis hat, diese zu ändern, glaubt Heather Paunet, Vice President of Product Management bei der Sicherheitsfirma Untangle, dass sich die Beseitigung bestimmter Terminologien jetzt auszahlen kann, indem Cybersecurity und Infosec integrativer und respektvoller gegenüber den Talenten werden, auf die sie zurückgreifen möchte.
„‚Blacklist‘ und ‚Whitelist‘ sind Begriffe, die von Neulingen in einer Sicherheitsfirma oder einem Sicherheitsprodukt gelernt werden mussten, da nicht klar ist, wann Sie zum ersten Mal auf sie stoßen, was sie bedeuten“, sagte Paunet. „Die Verwendung von Begriffen, bei denen es offensichtlich ist, was sie tun, erleichtert das Verständnis von Sicherheitslösungen und fördert eine Kultur, die nicht mit der Verwendung von Terminologie übereinstimmt, die positive oder negative Assoziationen mit den Farben“Schwarz“ und“Weiß“fördert.“
McLean von StackRox ist auch der Ansicht, dass die Aktualisierung der in der Branche verwendeten Wörter dazu beitragen kann, die Kultur zu verändern und Cybersicherheit für viele talentierte Menschen mit unterschiedlichem Hintergrund attraktiver zu machen.
„Die Sicherheitsbranche wird nur davon profitieren, einen größeren und vielfältigeren Talentpool nutzen zu können, wenn wir zusammenarbeiten, um kritische Anwendungen und Infrastrukturen zu schützen“, sagte McLean. „Ein breiteres Denken schafft bessere Lösungen, und die Sicherheitsbranche braucht dieses Talent-Tool mehr denn je.“