Skip to main content

CoreSec

Wieso das Fehlen von gendergerechter Sprache ein IT-Security darstellt

Vorwort:

Wer hier einen Post erwartet nach dem Motto “Gendern ist Quatsch” den muss ich leider enttäuschen. Für alle anderen sei gesagt, dass ich dies ganz nüchtern betrachte und nur Probleme in unserer derzeitigen Sprache und deren Umgang aufzeigen möchte. Bei der Überschrift habe ich eine Weile gebraucht in bin immer noch nicht ganz zufrieden. Aber ich bin zum Glück kein Journalist, also vergebt es mir. Und es sein vorweggesagt es ist kein Weltuntergang was ich beschreibe. Es ist nur schwierig Nutzern mit nicht technischen Hintergrund Hinweise zu geben, was ein Security-Problem darstellt oder nicht. Stichwort “Social Engineering”.

Wie bin ich drauf Gekommen?

Ich musste jetzt ein Account bei der Bundesagentur für Arbeit erstellen, um deren eService zu nutzen. Bei der Registrierung konnte ich wie heute eigentlich üblich zwischen “Männlich”, “Weiblich”, “Divers” oder “keine Angabe” wählen. Daher erstmal gut gemacht das dies so geht, wieso sich das als Sicherheitsproblem darstellen kann, will ich hier erläutern, aber dazu muss ich zuerst etwas ausholen.

Anzeichen für Spam-Mail

In meinem ExJob war ich ja eine Art Admin für alles. Daher war auch die Beratung von Mitarbeitern und Kunden teil der täglichen Aufgaben. Fast jede Woche gab es eine E-Mail, die ich auf “Echtheit” prüfen sollte, dabei bin ich im ersten Schritt nach dem üblichen Schema vorgegangen.

  • Absender Mail-Adresse
  • Rechtschreibfehler
  • Sinnhaftigkeit des Inhaltes
  • Persönliche Indikatoren wie Name, Firmenname oder richtige Anrede

Wenn einer oder mehrere dieser Punkte nicht stimmt, sollte jeder skeptisch werden.

Absender Mail-Adresse

Nun, die Absender Adresse lässt sich “verschleiern” und für den normalen Nutzer ist dies je nach Mail Programm nicht zu erkennen. Die einfachste Möglichkeit ist die “returnTo” Adresse es gibt Mailprogramme, die diese ohne weitere Hinweise als “Von:” anzeigen. Beispiel ich sende von virus@hackdomain.def im returnTo steht aber vertrauenvolle.person@nicefirma.abc die letztere bekomme ich dann angezeigt.

Rechtschreibfehler

Rechtschreibfehler sind dank besser werdenden Übersetzungs-Programmen oder KI Tools auch nicht mehr so einfach zu erkennen. Da fällt es mir wesentlich schwerer, in diesem Artikel alles richtig zu schreiben.

Sinnhaftigkeit des Inhaltes

Der Inhalt kann nach dem Grundsatz “ein blindes Huhn findet auch ein Korn” auch richtig wirken. Da gehen Tausende Mails, von der hier Bankname einfügen an ahnungslose Opfer. Da werden schon genug echte Kunden dabei sein. Oder der Chef schickt eine Mail mit einem Auftrag Geld zu überweisen. Diese Informationen stehen fast auf jeder Webseite.

Persönliche Indikatoren

Bleibt das Persönliche, in jeder Mail steht wenigstens der eigene Name oder ein anderer Indikator der mich oder meine Firma im Speziellen anspricht. Das kann zwar bei einem Leak auch mit in die Hände der Spammer gelangen, aber meiner Erfahrung nach ist das meistens eine anonyme Mail ohne solch einen Hinweis. Bei den Mengen an Spam ist es einfacher einmal eine Mail Fehlerfrei zu schreiben und einfach Anonym zu versenden als Noch eine passende Anrede einzubauen. Diese Informationen sind meist auch nicht verfügbar, da diese in z.b. in Foren, Chats oder Social Media nicht nötig sind und bei einem Datenverlust nicht mit abgegriffen werden. Ach, wenn diese Informationen in einer Mail vorhanden sind, ist unsere Sprache mit dem “Du” und dem “Sie” da oft eine Herausforderung für entsprechende Spammer.

Die armen User

Wir halten also fest, es ist für den normalen User schon recht schwer eine gute Spam-Mail zu erkennen, aber meistens ist einer der genannten Faktoren ein Auslöser für ein begründetes Misstrauen. Danach kann der Admin den Header der Mail ansehen oder entsprechend Rücksprache gehalten werden, ob jemand mit der Mail einen passenden Prozess verbindet.

Das Problem

Kommen wir zu meiner Anmeldung bei dem Bundesamt für Arbeit. Ich habe bei der Anmeldung beim Arbeitsamt bewusst “Divers” angegeben, um zu sehen, wie damit umgegangen wird. Vieles hat mich überrascht und auch wieder nicht… aber zunächst habe ich folgende Mails erhalten.

Registrierung

Guten Tag,

Sie haben bei Ihrer Registrierung für die eServices der Bundesagentur für Arbeit folgende E-Mail-Adresse angegeben: MAX.MUSTERMAN@example.com

Bitte bestätigen Sie diese E-Mail-Adresse mit folgendem Link: https://www.example.com/e-mail-bestaetigen?id=1234567890

Gehen Sie dabei bitte wie folgt vor:

Mit freundlichen Grüßen Ihre Bundesagentur für Arbeit

2FA

Guten Tag,

wir senden Ihnen Ihren Bestätigungs-Link für die Einrichtung der Zwei-Faktor-Authentifizierung (TOTP) im Online-Portal der Bundesagentur für Arbeit zu, da Sie diesen angefordert haben:

https://www.example.com/verify?id=12345670

Gehen Sie bitte wie folgt vor:

Mit freundlichen Grüßen Ihre Bundesagentur für Arbeit

Password Vergessen

Guten Tag,

Sie haben Ihr Passwort vergessen und möchten Ihr Benutzerkonto im Portal der Bundesagentur für Arbeit wieder nutzen? Wir übersenden Ihnen den folgenden Link zur Vergabe eines neuen Passworts:

https://www.example.com/passwort-vergessen?id=1234567890

Gehen Sie bitte wie folgt vor:

Mit freundlichen Grüßen Ihre Bundesagentur für Arbeit

2FA

Erst einmal großes Lob für 2FA, das hat mich Positiv überrascht… hätte ich fast geschrieben. Der Prozess hat etwas länger gedauert als ich das geplant hatte. Daher musste ich mich von einem anderen Gerät in einem anderen Netz (nicht dass dies dabei eine Rolle spielen sollte) an dem Portal anmelden. Ja und nichts 2FA ich musste diesen nicht eingeben das hat mich dann wieder Traurig gemacht.

Die Anrede

Ich habe die Mails etwas gekürzt (die “…”), die Links und Mail-Adresse anonymisiert, der Rest ist Original. Nun, wenn wir meine Stichpunkte beachten fällt auf das die Mails eindeutig Anonym gehalten sind. Ich habe meinen Namen oder einen anderen Hinweis auf meine Person (abgesehen von meiner Mail-Adresse) nicht gelöscht, die sind nicht vorhanden.

Das ist jetzt nicht die Schuld des Amtes, die machen im Grunde nichts falsch, es ist ein Problem der deutschen Sprache, wo anscheinend noch keine “Master Lösung” gefunden wurde. Wenn ich divers angebe, gibt es keine passende förmliche Anrede “Herr Mustermann” oder “Frau Musterfrau” funktioniert dann nicht mehr, daher beleibt nur das Neutrale “Guten Tag”. Der persönliche Indikator bleibt so auf der Strecke. Ich habe jetzt nur 3 Mails als Beispiel, aber ich denke alle automatisch erstellten Mails werden dieses Problem haben.

Jetzt ist das zwar nur ein Problem von den Menschen die “Divers” oder “keine Angabe” angeben, aber dies macht das Problem nicht unbedeutend für mich. Einerseits wirkt das bis zu einem gewissen Grad de sensibilisierend, wenn anonyme Mail plötzlich “OK” sind. Andererseits fühle ich mich als Informatiker verpflichtet, das Risiko für nicht technische Nutzer so gering wie möglich zu halten, auch wenn es nur eine “blöde Anrede” ist, die Menschen ein Anzeichen geben, dass es eben Spam oder kein Spam ist.

Die Lösung?

Da unsere Sprache zwar immer im Wandel ist, aber dies nie wirklich schnell geschieht, gibt es derzeit keine perfekte Lösung. Dennoch habe ich mir Gedanken gemacht, was man machen könnte.

Erstei mal kommt der Informatiker in mir dabei raus und der fragt sich natürlich, wie viel Programmieraufwand hinter einer entsprechenden Anpassung steckt. Es ist natürlich nicht so, dass ich ein Mail Template einfach mit dem Editor öffnen kann und schwups ist alles schön. Also gehen wir verschieden Möglichkeiten durch und raten ins baue wie viel aufwand das am Ende ist (ich habe keine Ahnung wie das beim Bundesamt für Arbeit tatsächlich programmiert ist daher ist das reine Spekulation).

Der zweite Faktor ist wie sehr das nun Genderfreundlich ist, da wir im Deutschen ja bei einer Konversation zwischen dem förmlichen “Sie” und dem Freundschaftlichen “Du” unterscheiden.

Nehmen wir erstmal das für mich einfachste:

Guten Tag Mustername,

Das ist zwar nicht das gute Deutsch wie wir es kennen und es kommt nicht sehr förmlich rüber, aber im Grunde ist das schon ganz gut. Programmiertechnisch ist es auch recht einfach umzusetzen. Es gibt schon eine Abfrage, die checkt, ob es “Divers” oder “Keine Angabe” ist. Ebenso gibt es schon, Bedingungen für setze “Herr” oder “Frau” ein.

Unförmliche Ansprache:

Hallo Yuki Mustername,

Das ist eigentlich eine gute Lösung, aber nicht für förmliche Anlässe, mich persönlich wurde das nicht stören, aber das ist wohl die Ausnahme. Auch aus programmiertechnischer Sicht ist das mehr Aufwand. Bisher hat der Vorname keine Rolle gespielt, daher muss sowohl die Datenbankabfrage erweitert werden und die Anredeformel neu programmiert werden.

Andere persönliche Indikatoren:

Es gibt auch andere persönliche Indikatoren, die rein technischer Natur sind z.b. Kundenummer, Vorgangsnummer oder die ich selbst gewählt habe wie den Nutzernamen. Diese kann man für alle Nutzer einführen. Diese Indikatoren sind im Grunde Gender neutral und müssten nur in der Mail angegeben werden. In normalen Briefverkehr ist dies schon lange normal und meistens oben rechts auf dem Brief:

Ihre Kundenummer 1234 Ihr Nutzername CoreSec

Natürlich ist das der meiste Aufwand und es muss genau gefiltert werden, welche Informationen preisgegeben werden.

Ich musste zusätzlich bei der Bundesagentur für Arbeit anrufen, um meinen Account zu verifizieren, dabei wurden verschiedene Daten abgefragt, die mich identifizieren sollten, wäre blöd, wenn die in der Mail enthalten sind.

Zusammenfassung

Ich sehe das wir in unserer Sprache noch keine Perfekte Lösung, aber “Don’t Let Perfect Be the Enemy of Good”. Wir und unsere Sprache werden das irgendwann ganz normal und natürlich unserem Wortschatz hinzufügen und bis dahin sollten wir und kurz Gedanken machen und eine andere Personen hineinversetzen oder diese einfach Fragen und dann wird das schon. Gerade wir Informatiker neigen dazu alles Perfekt machen zu wollen, aber hier trifft Technik auf Soziologie und manchmal ist da die einfache Lösung die beste.

Trivia

Wenn ihr euch fragen solltet, wie die Mitarbeiter von der Bundesagentur für Arbeit am Telefon reagieren, wenn sie “Divers” in eurem Profil entdecken? Dann ist das ganz einfach, sie fragen dich, wie sie dich ansprechen sollen. Hat mich kurz irritiert.

Ich habe “Mustermann” extra an die Situation angepasst, aber bei dem Vornamen musste ich Googeln welche da als neutral angesehen werden “Yuki” (japanisch “der Schnee”) hat mir schon immer Gefallen daher dieser.

In dem Sinne.

Hack it - Secure it - Make it

https://coresec.xyz/post/003_gender_itsecurity/ Ricke