SPOC-Web Icon, semantic Knowledge Management

How to... get Things done

Was ist Security und warum ist sie wichtig?

Viele, insbesondere junge Menschen sehen weder einen Anlass, sich um Sicherheit Gedanken zu machen, noch verspüren sie das Bedürfnis für Privatsphäre.  Der Wunsch zur Selbstdarstellung wird in sozialen Medien ausgenutzt, überschreitet viele Grenzen und kann unwiderruflichen Schaden verursachen.

In Unternehmen, die in der Öffentlichkeit agieren und schärferen Kriterien unterliegen, gibt es speziell in diesen Themen ausgebildete Mitarbeiter.

Das Thema sollte aber ebenso Privatpersonen angehen, wenn sie auch seltener Ziele für professionelle Hacker sind. Medienkompetenz ist heutzutage von Jedem gefordert, nicht mehr nur als Konsument, sondern auch als Produzent von Inhalten.

Angriffsziele

Es gibt auch bei Privatpersonen eine Reihe von lohnenswerten Zielen, die von Hackern angegriffen werden:

  • Privatsphäre, auch wenn diese ohnehin oft weitgehend aufgegeben wird. Anonymität bietet sehr viel Sicherheit und sollte nicht leichtfertig aufgegeben werden. 
  • vertrauliche Daten, z.B. Passworte oder Fakten, mit denen Erpressung betrieben werden kann
  • Hardware: Computer oder Handys
  • Online-Identität, d.h. Benutzernamen und Passworte mit denen Geschäftstransaktionen ausgeführt werden können.

 

Online-Identität und Privatsphäre

Das Internet vergisst nicht.

 

Dessen sollte man sich stets bewusst sein, wenn man Daten veröffentlicht. Die Sammelwut nimmt in Zeiten von "Big Data" bei  immer mehr Firmen zu. Und die günstigen Speicherpreise machen es nicht nur für Google, Facebook etc. attraktiv, jede Online-Aktivität aufzuzeichnen, für den Fall, dass man sie verwenden könnte.

Diese Vorratsdatenspeicherung ist in der europäischen Union verboten, aber das schert in den USA oder Großbritannien kaum jemanden. Die Veröffentlichung von Fotos im Internet kann nicht wieder rückgängig gemacht werden. Jedermann kann private Kopien davon erstellen und speichern.

Wir haben Nichts zu verbergen

Viele Optimisten nehmen diesen Standpunkt ein, wenn man über den Schutz der Privatsphäre spricht; und an sich ist daran auch nichts auszusetzen. Aber in einem gespannten sozialen Umfeld kann jede Aktion Anlass für Repressalien werden. In diesem Zusammenhang sollte man sich nochmals daran erinnern, dass das Internet Nichts vergisst. Selbst wenn Webseiten gelöscht oder umgeschrieben werden, gibt es meist Backups, Log-Dateien und nicht zuletzt das Internet Archive, auf dem man beliebige Stände vieler Webseiten abrufen kann.

Was heute noch unverfänglich ist, kann in Jahrzehnten kompromittierend sein, wenn sich das soziale Klima wandelt. Dies mussten zum Beispiel die Juden in Europa erfahren, als ihre Massenvernichtung durch die systematische Erfassung ihrer Glaubensgenossen in den Jahrzehnten zuvor wesentlich erleichtert wurde.

Aber selbst in weniger schrecklichen Szenarien ermuntern und erleichtern öffentliche Auftritte die Verfolgung durch Stalker und Verleumder. Menschen werden durch Hasskampagnen und 'Shitstorms' sozial und psychisch, oft auch wirtschaftlich stark verletzt.

Anonymität ist sowohl für Dissidenten als auch für Privatpersonen ein hohes Gut und als Menschenrecht in allen Demokratien verankert.

Was haben wir schon zu verlieren?

Diese rethorische Frage wird angebracht, wenn die Bedeutung der Datensicherheit heruntergespielt werden soll. In diesem Fall machen sich die Betroffenen oft nicht bewusst, dass ihre Daten einen Wert haben, auch wenn die Datenbanken von Firmen und Staaten für Hacker wesentlich interessanter sind.
Die Financial Times hat einen Rechner eingerichtet, mit dem man einen Preis für seine Daten ermitteln kann. Je nach persönlichen Umständen kann man bis zu einem Dollar erreichen, allerdings kaum mehr, da es bereits ein Überangebot an Daten gibt. Die Sammlung von individuellen Vorlieben und Such-Aufträgen durch bekannte Suchmaschienen wie Google oder Bing können einen großen Teil der Privatspäre aufdecken, vom Wohnort über Gewohnheiten, Arbeit etc. 

Zudem findet immer mehr Kommunikation auf elektronischem Weg statt: über eMail, SMS oder WhatsApp. Dies alles erhöht den Umfang der möglichen Überwachung.

Viese Menschen speichern im Zuge der Digitalisierung immer mehr und wichtigere Dokumente elektronisch: angefangen mit (vertraulichen) EMails bis hin zu Tagebüchern und Ablagen für PINs und Passworte. Letztere können zum Diebstahl der Identität genutzt werden, was noch folgenschwerer ist als der reine Datenklau.

Mit einer gestohlenen Identität kann großer Schaden angerichtet werden:

  • gefälschte öffentliche Aussagen können das soziale Image stark beschädigen.
  • Webseiten und andere öffentliche Auftritte werden zerstört oder verändert.
  • Bank-Konten werden leergeräumt
  • Kreditkarten überzogen

 

Vertrauen und der "Patriot Act"

Wenn man die zahlreichen Angriffsmöglichkeiten betrachtet, kommt man zu dem Schluss, dass man letztendlich den Herstellern von Hardware und Software weitgehend vertrauen muss. Das gilt sogar für ausgesprochene Computer-Experten, denn auch sie können nicht allein die nötige Bandbreite abdecken, um sich zu schützen. Gerade diese Software-Hersteller arbeiten aber zumeist in den USA, einem Land, in dem jeglicher Versuch des Datenschutzes durch den Patriot Act zum Hochverrat erklärt werden kann. Die Spionage-Aktivitäten der USA nach dem zweiten Weltkrieg sind in ihren Dimensionen unglaublich und nicht nur auf die ehemals kommunistischen Ostblock-Staaten beschränkt. Jedes Land wird überwacht, insbesondere Deutschland, das diesem Druck nach der Kapitulation nichts entgegenzusetzen hatte. In ihrem Konkurrenzkampf überbieten sich CIA, Secret Service, NSA (Echelon und Prism) und FBI gegenseitig in ihrer Sammelwut und Rücksichtslosigkeit. Hinzu kommen die privaten Unternehmen Google, Facebook etc., die jederzeit zur Herausgabe ihrer Benutzerdaten gezwungen werden können.

In einem außergewöhnlichen Akt hat 2016 Apple ein Gerichtsurteil angefochten, um das Ersuchen des FBI abzuschmettern, Hintertüren in ihre Verschlüsselung einzubauen. Der Ausgang dieses Kräftemessens ist allerdings unklar, da sich das FBI überraschend zurückgezogen hat. Sie hatten eine andere Methode gefunden, um an Daten von Terrorverdächtigen zu kommen.Wie der Apple Transparency Report zeigt, hat sich Apple 2015 trotzdem in mehr als 80% der 4000 offiziellen Anfragen der US Gerichte gefügt (nicht gezählt werden natürlich die vertraulichen Anfragen der US Regierung!).

In ähnlicher Weise wurden Microsoft und Google ersucht, Daten aus ihren Cloud-Speichern freizugeben. Während Microsoft dies abschmettern konnte, unter Hinweis auf die notwendige Zustimmung Irlands, wo die Daten gespeichert waren, hat Google bereits einen Präzedenzfall geschaffen, indem es EMails zur Verfügung gestellt hat, die außerhalb der USA gespeichert waren.

Email nicht zu ernst nehmen

EMail ist für viele Menschen schwer einzuschätzen. Einerseits wird sie von fast allen Firmen für Benachrichtigungen, Newsletter, sogar temporäre Passworte verwendet. Manche Firmen wickeln Endkunden-Geschäfte über EMails ab. Damit erhält EMail einen vertrags-artigen Charakter. 

Andererseits sind EMails praktisch kostenlos (ca. 1 Cent für mehr als 20 eMails) und werden in unglaublichen Massen von Betrugsfirmen versendet, um Leichtgläubige zu ködern.

Eine kompromittierte EMail-Adresse zieht ohne weiteres täglich mehrere tausend solcher Spam-Mails an, von denen der Großteil meist aber bereits vom eigenen Mail-Provider gefiltert wird. Nur ein kleiner Teil davon erreicht auch den Benutzer, der von diesen Dimensionen oft gar nichts ahnt.

EMails erscheinen als persönliche Nachrichten, was ihnen erhöhte Aufmerksamkeit garantiert. Aber aufgrund ihres inflationären Preises können sie wie Webseiten für Werbezwecke genutzt  oder zum 'Abchecken' eingesetzt werden.

 

Grundsätzlich sei bemerkt, dass EMails nicht als rechtliche Dokumente gelten, und man muss oder sollte auch nicht auf jede EMail reagieren. Um vertraglich relevant zu sein muss ein Vertrag unterschrieben oder elektronisch signiert werden.

Dies sollte man beim Scannen seiner EMails stets im Hinterkopf behalten.

Versender sind übrigens verpflichtet, einen Link zum Abmelden von Newslettern vorzusehen, sofern die Mail keine Kunden-Transaktionen als Thema hat. Fehlt dieser, sollte man den Provider des Spammers oder seinen eigenen darauf aufmerksam machen. Im Zweifelsfall können diese den Spammer verklagen oder gar abschalten.