Ruhr-Uni-Bochum

Eindeutige Normen für Informationssicherheit

SecHuman I-PhD Steffen Hessler und Praxispartner Sebastian Klipper (CycleSEC) haben sich mit Normen beschäftigt

Copyright: Steffen Hessler

Missverständnisse und Mehrdeutigkeiten in Normen zu vermeiden könnte allen Beteiligten viel Frust ersparen. Forscher machen einen Vorschlag.

ISO-Normen geben vor, was ein Unternehmen alles tun muss, um zertifiziert zu werden – im Fall der ISO-Norm 27001 geht es dabei um Informationssicherheit. Doch vielfach bieten Formulierungen in der Norm Raum für Missverständnisse. Die Folge: Das Unternehmen meint, alles richtig gemacht zu haben, der Auditor oder die Auditorin aber nicht. Um das zu vermeiden, haben sich Steffen Hessler, Sprachwissenschaftler der RUB, und Sebastian Klipper als Fellows am Center for Advanced Internet Studies CAIS NRW die Norm vorgeknöpft und schlagen einfachere und eindeutigere Formulierungen vor. Das Ergebnis ihrer Arbeit ist in der Zeitschrift <kes> von Februar 2021 veröffentlicht.

Viele Experten und die Übersetzung

Normen sollen möglichst exakte Vorgaben machen – etwa, dass ein DIN-A4-Blatt exakt die Maße 297 Millimeter mal 210 Millimeter hat. Die Quellen für Missverständnisse sind in Normen jedoch vielfältig. Zum einen wirken jeweils viele Expertinnen und Experten an der Entstehung einer Norm mit und müssen sich auf Formulierungen einigen, zum anderen entstehen Normen auf internationaler Ebene meistens in englischer Sprache und werden dann wiederum von Expertinnen und Experten eines nationalen Gremiums in andere Sprachen übersetzt. So passiert es nicht selten, dass verschiedene Leser unterschiedlich verstehen, was die Norm verlangt.

Da gibt es Sätze, die so aussehen, als enthielten sie nur eine Aussage, in denen sich aber mehrere verbergen. „Verknüpfungen mit ‚oder‘ sind dabei zum Beispiel tückisch“, so Klipper. „Da fragt man sich bei der Implementierung, ob beide Forderungen gleichrangig sind oder nur eine davon zu erfüllen ist. Und Auditor*innen fragen sich, wie sie gewichten sollen, wenn eine Teilforderung erfüllt ist, die andere aber nicht.“

Mit der Übersetzung geht es weiter. „Da wird ‚Policy‘ zum Beispiel durch ‚Politik‘ übersetzt, das ist in unseren Augen nicht korrekt“, gibt Steffen Hessler ein Beispiel. In anderen Fällen ist es noch weniger eindeutig. So kann das Wort „Access“ je nach Zusammenhang dediziert „Zugang“, „Zutritt“ oder „Zugriff“ bedeuten oder alle deutschen Begriffe umfassen.

Einfache Sprache, nur eine Aussage pro Satz

Die beiden Autoren haben Methoden entwickelt, den Text der Norm so zu überarbeiten, dass er eindeutiger wird. Dazu gehört es, die Sprache zu vereinfachen und nur eine Aussage pro Satz zu nennen. Eine weitere Strategie: Wenn es verschiedene Verben gibt, die in der Praxis dieselbe Bedeutung haben, sollte immer dasselbe Verb für diese Bedeutung genutzt werden. „Wir orientieren uns dabei am Konzept der einfachen Sprache, das auch von Behörden eingesetzt wird und dazu dient, dass Texte auch für Menschen verständlich sind, die zum Beispiel eine andere Muttersprache haben“, erklärt Steffen Hessler. „Der Text, der dabei herauskommt, ist vielleicht nicht schön in einem literarischen Sinn. Aber er ist funktional und eindeutig“, sagt Sebastian Klipper.

Die beiden Autoren sehen ihre Arbeit als einen Vorschlag für die Erarbeitung neuer Normen oder neuer Abschnitte von Normen. „Wegen des großen Aufwands zur Erstellung einer Norm wäre es sehr aufwändig, bestehende Texte zu ändern“, meint Sebastian Klipper. Normen werden jedoch spätestens alle fünf Jahre überarbeitet und es gibt auch Vorgaben, wie Normen erstellt werden. „Darin könnte man unsere Empfehlungen verankern.“

Die Autoren

Steffen Hessler ist Sprachwissenschaftler an der RUB und hat seine Dissertation am dortigen NRW-Forschungskolleg SecHuman erarbeitet. Seit November 2020 ist er Fellow am Center for Advanced Internet Studies CAIS NRW.

Sebastian Klipper ist Gründer der Firma CycleSEC, Hamburg, und Autor mehrerer Bücher zur Informationssicherheit. Er wirkt selbst an der Entwicklung von Normen mit. Seit November 2020 ist er Fellow am CAIS NRW.

 

23.02.2021 Erstellt von Maike Drießen