Quellen der Unsicherheit

Das Jahr 2017 umfasst nur noch knapp mehr als vier Monate, trotzdem erscheinen ständig dieselben Nachrichten: HBO gehackt, WannaCry schlägt zurück oder Thunderbird voller Sicherheitslücken. Während es viele Leute nicht interessiert, kommentieren andere Personen stets nach dem Motto „War doch alles klar!“, „Ich habe es doch immer gesagt!“, „Wie dumm sind die denn?“ oder in einer ähnlichen Weise, die zum Kopfschütteln anregt.

Man kann sich als Privatanwender die Frage stellen, weshalb eine Unsicherheit im doppelten Sinne herrscht: Einerseits bleibt es teils unklar, wie man sich aktuell gegen allgegenwärtige Bedrohungen mit wenig Aufwand möglichst gut schützt, andererseits sorgen diverse Quellen dafür, dass sich wenig sichere oder fragwürdige Ideen im Privatbereich durchsetzen. Werfen wir einen kurzen Blick auf diese „Quellen der Unsicherheit“.

InhaltsĂĽbersicht

  1. Die Medien
  2. Die Firmen
  3. Die Datenschutzpäpste
  4. Die GerĂĽchte
  5. Fazit

Immer auf aktuellem Stand bleiben?
Abonnier uns via RSS/Atom.

Die Medien

Sei es das PC-Magazin vom Kiosk, die Reportage im Fernsehen oder ein Blog im Internet: Überall finden sich mehr oder weniger „Tipps“, wie man eben schnell seine Geräte absichert. Hier eine App installiert, da den „praxisnahen Sicherheitstipp“ umgesetzt, eben schnell eine Checkliste abgearbeitet oder bequem ein sh-Skript ausgeführt.

Was ist die Folge? Man weiß nicht, gegen wen man sich eigentlich schützen will (Stichwort Angreifermodell), man weiß nicht, was man da gerade umgesetzt hat, und im schlimmsten Fall hat man etwas getan, was andere Maßnahmen rückgängig macht und so die Sicherheit insgesamt verringert.

Problematisch ist vor allem, dass diese „Tipps“ teilweise von fachfremden Personen zusammengeschrieben werden: Da ist dann von „Hash-Verschlüsselung“ in PC-Zeitschriften die Rede oder wieder die neueste Diskussion über das „beste Verfahren“ ein „sicheres“ Passwort zu generieren. Aber auch „Hinweise“, wie die angeblich nicht mehr notwendige Firewall unter Linux, die Immunität gegen Malware, sobald man Linux nutze, oder aber „https“ garantiere Sicherheit finden sich immer wieder.

Diese „Tipps“ sind teilweise veraltet (folglich heutzutage nicht mehr sicher), widersprüchlich (siehe die vielen unterschiedlichen Vorgaben für starke Passwörter im Internet), unvollständig (wie WLAN muss nur WPA2 aktiv haben), nicht individuell (Angreifer x ist nicht für jede Person relevant) oder schlichtweg falsch (wie im letzten Absatz genannt).

Zuletzt gibt es auch die Situation, dass nur Vorteile dargestellt werden (Nachteile entfallen vollständig), dass man sich auf bestimmte Produkte festlegt (und so eine Teilmenge von Anwender ausschließt) oder im Konkurrenzdenken untergeht, um seine eigene spezifische Lösung für ein Problem als die einzig richtige zu bewerben.

Wichtig und richtig wäre stattdessen die Vermittlung von aktuellen Grundlagen aus dem Bereich Informationssicherheit, die im besten Fall von Personen verbreitet werden, die didaktisch geschult wurden, und von Personen erstellt werden, die auch wirklich aus dem Bereich Informationssicherheit stammen und ihr Wissen nicht vom Hörensagen beziehen.

Die Firmen

Informationssicherheit hat in vielen Firmen nicht die höchste Priorität und dies ist völlig normal, denn ein Informationssicherheitsmanagementsystem stützt sich wesentlich auf die Betrachtung von Risiken im Rahmen eines etablierten Risikomanagements. Ein Risiko muss nicht unbedingt komplett beseitigt werden, sondern kann durch einzelne Maßnahmen in seiner finanziellen Auswirkung und/oder Eintrittswahrscheinlichkeit reduziert werden. Am Ende bleiben Restrisiken, die sich unter Umständen auf die Kunden dieser Firmen auswirken.

Dies ist bei uns Privatanwendern übrigens ebenfalls der Fall: Kaum jemand würde die sichersten Türzylinder kaufen, die stärkste Tür, das bruchfesteste Fensterglas und die beste Alarmanlage, um sein Haus abzusichern. Stattdessen begnügen wir uns mit einem gewissen Sicherheitsniveau und akzeptieren Restrisiken wie eben die Firmen.

Genau diese Risiken werden immer bestehen und eventuell auch eintreten. Daneben erfolgt auch manchmal keine ausreichend schnelle Reaktion auf neue Sicherheitsbedrohungen in Firmen oder SicherheitslĂĽcken werden nicht schnell geschlossen.

Insgesamt muss hier aber beachtet werden, dass gerade international viele verschiedene Gesetze sowohl in Hinblick auf Informationssicherheit als auch Datenschutz für Firmen gelten. Nicht jede Firma muss sich an österreichische, deutsche oder europäische Standards halten.

Die Datenschutzpäpste

Wie in einem anderen Meinungsbeitrag erwähnt, gibt es „Datenschutzpäpste“. Diese Leute befinden sich auf einem Kreuzzug, der nur schwarz und weiß kennt. Entweder bekennt sich jemand zum „Datenschutz“ und folgt den Anforderungen der Päpste oder er gehört zu den Heiden. Besonders lächerlich ist hier zumeist, dass der Begriff Datenschutz während der gesamten Diskussion undefiniert bleibt und auch bei Nachfrage keine anerkannte oder verbreitete Definition geliefert werden kann.

Weiters wird teilweise durch falschverstandenen Datenschutz dafür gesorgt, dass man insgesamt Sicherheitsmaßnahmen aus Paranoia nicht umsetzt oder aus anderen Gründen ausblendet. Oftmals wird dann Privatsphäre, Tracking und Datenschutz dermaßen vermischt, dass am Ende nur noch Unklarheit herrscht.

Datenschutz und Informationssicherheit sind keine identischen Begriffe, sind anders in Unternehmen umgesetzt und werden durch andere Gesetze geformt.

Die GerĂĽchte

Als letzte große Quelle seien Gerüchte genannt, die scheinbar nicht verschwinden wollen, weil sie immer wieder befeuert werden. Darunter zählen Pauschalaussagen wie:

Wenn man den Leuten, die diese Gerüchte selbst verbreiten, mit Belegen nahebringen will, weshalb diese Argumentationen lückenhaft sind oder wichtige Einschränkungen unerwähnt bleiben (oder diese Aussagen einfach falsch sind), endet dies meist mit „Das habe ich doch gewusst.“ oder „Immer noch besser als nichts.“. Manchmal wird dabei auch über Richtlinien diskutiert und etwas verbreitet, was gar nicht Inhalt davon war. Ein nicht mehr so aktuelles Beispiel, welches vor Kurzem wieder Aufmerksamkeit erregte, war die NIST SP 800-63B, die gerne als Quelle für die Aussage genutzt wird, dass komplexe, häufig gewechselte Passwörter nicht für zusätzliche Sicherheit sorgen.

Die Folge: Es werden Entscheidungen getroffen, die teilweise nichts mit der Realität zu tun haben und sich im ungünstigen Fall negativ auf die Sicherheit auswirken. Dieses Problem wird natürlich dann verstärkt, wenn Personen diese Gerüchte unreflektiert weiterverbreiten.

Fazit

Immer wieder wird klar: Es gibt meistens nicht die „eine richtige Lösung“ oder die „eine korrekte Schutzmaßnahme“, die man implementiert und alles ist danach sicher. Obwohl diverse Quellen ständig betonen, wie wichtig doch individuelle Betrachtungen und Informationssicherheit als Prozess seien, vergessen sie dies beim nächsten „Sicherheitstipp“ wieder.

Wer sich als Privatanwender wirklich ernsthaft mit der Thematik Informationssicherheit auseinandersetzen will, hat dies nicht getan, wenn er schnell irgendwelche Checklisten abarbeitet oder sh-Skripte ausführt – egal, aus welcher Quelle diese stammen. Man hat auch als Privatanwender seine personenbezogenen Daten nicht besser geschützt, wenn man diese einem beliebigen anderen Anbieter anvertraut. Diese und andere Pauschalaussagen führen letztendlich zu weiterer Verunsicherung und einem ständigen Gefühl falscher Sicherheit.

Informationssicherheit im Privatbereich erfordert weiters das Aneignen einiger Grundlagen, das Feststellen eigener Risiken und Bedrohungen („Was für Angreifermodelle kommen für mich infrage?“ und „Wie kann ich mich genau dagegen gut schützen?“) und eine häufige Überprüfung und Anpassung von getroffenen technischen und organisatorischen Maßnahmen. Leider wird auch das scheinbar in gewissen Kreisen ausgeblendet.

Man sollte sich demnach bei der nächsten Auflistung „praxisnaher Sicherheitstipps“, der nächsten Checkliste oder dem nächsten sh-Skript einmal fragen, ob dies wirklich die individuelle Sicherheit erhöht oder ob es sich um eine Quelle der Unsicherheit handelt.

P. S.: Auch secitem.at ist nicht als einzige und 100 % korrekte Quelle zu verstehen, wenn man sich mit Informationssicherheit auseinandersetzt. Das gesamte Themengebiet ist hochdynamisch und nicht jede Neuentwicklung kann zeitnah im Blog abgebildet werden.

War der Beitrag verständlich?
Gibt es Fragen, Anmerkungen, Korrekturvorschläge?
Schreib uns.