Warum IT Sicherheit und Kryptographie?

Warum IT SecurityDie Serie „IT Sicherheit“, die hiermit offiziell ihren ersten Teil erhält, habe ich aus unterschiedlichen Gründen gestartet. Zum Einen natürlich, weil mich das Thema beruflich wie auch privat verfolgt, aber auch interessiert. Der Grund, warum ich das hier in eine Blogserie packe ist aber natürlich eher, dass ich Menschen das Thema näher bringen möchte (No shit, sherlock).

Viele Menschen machen sich Sorgen um ihre Daten (für euch finden sich gegen Ende der Serie handfeste Schritt-Für-Schritt-Anleitungen), aber zum größten Teil sehe ich in meinem Umfeld die Haltung, dass das ja alles halb so wild sei. Sätze wie „Warum sollten die mich überwachen wollen?“ oder „Ich habe nichts zu verheimlichen.“ hört man häufig, eine Frage die man leicht beantworten kann und eine Aussage die glatt gelogen ist. Jeder von uns kann überwacht werden, jeder von uns wird überwacht und von jedem von uns werden Daten gesammelt, die Regierung versucht sogar immer wieder die Überwachung und die Datensammelei zu erweitern. Zu verheimlichen hat jeder etwas, stell dir einfach vor, jemand öffnet alle deine Briefe und liest mit. Jemand installiert eine Kamera in deinem Wohnzimmer, neben deinem Bett, an deiner Toilette,… Ich denke es ist klar, was ich meine.

„Aber muss bei der Überwachung nicht der Staat einschreiten?“

Wie ich schon in meinem Artikel „Warum Kryptographie“ schrieb, vertreten Politiker und Journalisten zum Teil den Standpunkt, dass Kryptographie als „Digitale Selbstverteidigung“ nur eine Notlösung sei, die man eben ergreifen muss, weil der Staat uns nicht richtig schützt. Das stimmt zum Teil, aber ist nicht gänzlich korrekt.

Natürlich ist es Aufgabe des Staates die gesetzliche Grundlage zu schaffen, die das Abhören von Bürgern illegal macht. Der Staat hat dafür zu sorgen, dass staatliche Stellen mich nicht abhören dürfen. Die digitale Kommunikation hat den gleichen Status zu erhalten wie die Kommunikation per Schneckenpost, doch der Vergleich zwischen E-Mail und Schneckenpost hinkt leider aus diversen Gründen. Bei einem Papierbrief habe ich ein Couvert, dieses Couvert schützt vielleicht nicht zu 100% davor, dass jemand den Brief öffnet, aber es lässt mich erkennen, wenn er geöffnet wurde. Außerdem hat die Post die Aufgabe das zu verhindern und hat auch die Möglichkeiten, die Briefe vertraulich zu behandeln. Ein entsprechendes Vertrauen in die Post ist natürlich die Voraussetzung.

Bei der digitalen Zustellung von Briefen kann man das so nicht voraussetzen. Es gibt keine zentrale Post, es gibt ein verteiltes System von Servern, diese Server kommunizieren miteinander, jeder davon kann eine Schwachstelle in der Sicherheit sein, die Briefe werden auf dem Übertragungsweg nicht bewacht und können abgefangen, gelesen, kopiert, verändert und umgeleitet werden ohne, dass Absender oder Empfänger dies bemerken. Die E-Mail-Technik stammt aus den Urzeiten des Internet und ist nicht darauf ausgelegt, empfindliche Daten über die halbe Welt zu übermitteln.

Stellen wir uns eine E-Mail wie eine Postkarte vor, die mit Bleistift geschrieben wurde. Jeder virtuelle Postbote kann sie lesen, jeder der zufällig daneben steht wenn die Postkarten umverpackt werden kann einen Blick erhaschen und wenn jemand es möchte, kann er sie kurz weg nehmen vom Stapel, etwas ausradieren oder dazu schreiben und die Karte wieder auf den Stapel legen. Würde jemand von euch wirklich einen privaten Brief mit intimen Details so versenden? Oder wichtige Firmendaten? Kontodaten? Ich denke nicht.

Nicht nur staatliche Stellen überwachen uns. Auch kriminelle könnten einen Nutzen aus der Überwachung haben. Und außerdem, wieso sollten wir den Geheimdiensten überhaupt vertrauen? Nur weil jemand sagt, es gibt keine Überwachung mehr, heißt das nicht, dass das die Wahrheit ist. Und wir reden auch nicht von einem einzelnen Geheimdienst, wir reden über eine Liste von Geheimdiensten diverser Staaten die alle ein Interesse an uns haben. Da wird aus der Notwehr leider ein Standardverfahren.

IT Security verbloggt

Sicherheit im Umgang mit persönlichen Daten darf nicht nur für Fachleute zur Verfügung stehen und das tut sie auch nicht. Es gibt Werkzeuge, die jeder benutzen kann, doch diese Werkzeuge muss man erst einmal kennen und bedienen lernen.

Dieses Blog wird in Zukunft prinzipiell mehr Inhalte zum Thema Sicherheit erhalten, jedoch ist es ein wichtiger Start erst einmal zu klären, warum das alles überhaupt wichtig ist und wie man sich grundlegend schützt. Am Ende dieser Serie hat jeder Leser das Handwerkszeug um seine Daten sicher zu übertragen und sicher zu speichern, da eventuell nicht jeder direkt aus dem schlau wird aus dem was ich schreibe, ist die Kommentarsektion euer aller Freund, wenn es Fragen gibt. Ich werde die Fragen beantworten soweit ich das kann und werde versuchen die Artikel auch nach zu bearbeiten, wenn es unglücklich dargestellte Punkte gibt.

Schulungsangebot

Zum einen wird es wie schon erwähnt am 22.02.2014 eine Kryptoparty der Piratenfraktion des Landtages Saarland geben. Außerdem ein klein wenig Werbung: Der Caspari Computerservice bietet für Unternehmen Sicherheits- und Backuplösungen, sowie entsprechende Mitarbeiterschulungen an. Ebenfalls sind Schulungen für privat Interessierte möglich, doch da die Piratenkryptoparty kostenlos ist, lege ich euch die natürlich erst einmal besonders ans Herz.

 

Dieser Beitrag ist ein Teil der Reihe IT Sicherheit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.