Sicherheit!

… in der Zeit nach den Snowden-Enthüllungen …

Es gibt ein paar grundsätzliche Kleinigkeiten zum Thema „Sicherheit“, die in der öffentlichen Debatte immer wieder untergehen – aber ohne die jede Sicherheitsdiskussion ins Leere läuft. (Das gilt übrigens unter Anwendung des gesunden Menschenverstandes auch für viele andere Sicherheitsthemen, nicht nur für IT.)
Hier ist Teil 1: Was ist eigentlich Sicherheit? Und was ist Sicherheit nicht?

Was ist eigentlich „Sicherheit“?
Und was ist Sicherheit nicht?

Ein großer Teil der Lausch- und Sicherheitsdiskussion tut so, als ob es „absolute“ Sicherheit gäbe.

Die Wahrheit ist: Es gibt keine absolute Sicherheit.

Das muss mir nicht gefallen. Das ist für viele keine angenehme Wahrheit. Nur: Es ist die Wahrheit. Was bedeutet das nun?

Wenn man die Sache umformuliert zu „jedes Sicherheitssystem kann überwunden werden“ stellt sich sofort die Frage: „Nur… wie???“. Jeder erfolgreiche Angriff auf ein Sicherheitssystem kostet Zeit und (im weitesten Sinne) Geld.

Damit bekommen wir zwei Maßstäbe, um die Sicherheit von Systemen zu beurteilen:

  • Wie lange braucht ein Angreifer, um ins System einzudringen – verglichen mit der Zeit, die ich als Betreiber brauche, um den Einbruch zu bemerken und zu unterbinden?
  • Wie viel kostet einen Angreifer ein erfolgreicher Angriff – verglichen mit dem Wert des Angriffsziels?

Damit lohnt sich eine kurze Zusammenfassung:

Es gibt keine absolute Sicherheit. Um die Sicherheit eines Systems zu beurteilen, betrachten wir den zu sichernden Wert (aus der Sicht eines potenziellen Angreifers), die Zeit, die für einen erfolgreichen Angriff nötig wäre, und die dabei einzusetzenden Kosten.

Gute Sicherheitsmaßnahmen sind also solche, die die Kosten oder die Dauer eines Einbruchsversuches stark erhöhen und gleichzeitig für uns als Betreiber möglichst wenig Kosten verursachen. Das ist die entscheidende Eigenschaft von Verschlüsselungssystemen: Sie sind relativ einfach anzuwenden, aber – wenn sie richtig eingesetzt werden – sehr teuer zu knacken.

… mehr in einem nächsten Post …


Mehr zum Thema:

Was denkst Du darüber?