Es gibt ein paar grundsätzliche Kleinigkeiten zum Thema „Sicherheit“, die in der öffentlichen Debatte immer wieder untergehen – aber ohne die jede Sicherheitsdiskussion ins Leere läuft. (Das gilt übrigens unter Anwendung des gesunden Menschenverstandes auch für viele andere Sicherheitsthemen, nicht nur für IT.)
Hier ist Teil 2: Über das Verhältnis zwischen Sicherheit und Vertrauen…
Verstehe, was „Vertrauen“ ist
Um mit irgendeiner Sicherheitstechnologie sinnvoll umgehen zu können, muss man ein paar Punkte über Vertrauen verstehen. Dieses Szenario illustriert den Hintergrund: Alice schickt ein Geheimnis an Bob. Jede Geheimhaltungsmaßnahme ist umsonst, wenn Bob das Geheimnis einfach weitergibt.
Dazu betrachten wir vier verschiedene Facetten von Vertrauen:
- Vertrauen in die Beziehung
- Vertrauen in Wissen und Können
- Vertrauen in die Möglichkeiten
- Vertrauen in die Selbstdisziplin
… und diese vier Facetten vergegenwärtigen wir uns jetzt, eine nach der anderen. Das ist notwendigerweise ein wenig abstrakt, und Vertrauen bleibt dabei das „Ganze“. Eine Diskussion darüber ob irgendein konkretes Thema eher unter „Vertrauen in Wissen und Können“ oder unter „Vertrauen in die Möglichkeiten“ kategorisiert werden sollte, ist kontraproduktiv. Stattdessen ist in der konkreten Situation die interessantere Frage: Wie können Sie jetzt das Vertrauen stärken? Dazu können Sie sich einen Aspekt aussuchen, oder auch beide auf einmal anpacken.
Vertrauen in die Beziehung
Hier geht es um das gemeinsame Verständnis davon, was vertraulich ist und was nicht, bzw. darum, dass man sich auf die gute Absicht der Mitmenschen verlassen kann. Das Beispiel zwischen Alice und Bob ist ein Beispiel für falsch eingeschätztes Vertrauen in die Beziehung: Alice hat eine gewisse Erwartung an Bob. Einerseits dass Bob versteht, dass die Angelegenheit aus Alice‘ Blickwinkel vertraulich ist, und andererseits dass er sich auch daran hält.
Vertrauen in Wissen und Können
Sehr viele belastete Vertrauensbeziehungen gehen auf dieses Themenfeld zurück. Wenn Frank beispielsweise zusagt, dass er Elisabeths Auto bis Montag repariert und Frank trotz aller Mühe erst am Mittwoch fertig wird, dann hat das mit der Beziehung zwischen den beiden nichts zu tun – Frank hat sich schlichtweg selbst überschätzt. Ähnlich ist es bei IT-Sicherheit.
Ein von mir durchaus hoch geschätzter Journalist hat vor einigen Tagen bei Google+ nachgefragt, ob sein Verständnis von Verschlüsselung korrekt ist. Um es kurz zu machen: Nein, war es nicht. Glücklicherweise ist die Netzgemeinde in dieser Hinsicht hilfreich und hat in vielen konstruktiven Postings seine Irrtümer korrigiert. Wenn er nach diesen Methoden „verschlüsselt“ kommuniziert hätte, hätte die Welt mitlesen können. Ein eventueller Informant hätte sich möglicherweise trotz beiderseitiger bester Absicht in große Schwierigkeiten gebracht.
Vertrauen in die Möglichkeiten
Im Zusammenhang mit den Skandalen rund um Prism und Tempora haben Firmen wie Google, Microsoft und Facebook viel „Vertrauen“ verloren. Doch selbstverständlich hat eine Firma keine Möglichkeit, gegen Recht und Gesetz zu verstoßen. Wenn „der Staat“ vor der Türe steht und Zugriff auf die Daten fordert, kann man ihn nicht wieder wegschicken. Nach allem was bekannt wurde, agierten diese Programme im rechtlich korrekten Rahmen (auch wenn die Gesetze selbst eher nicht die gereinigte Essenz der Menschenrechte sind). Eine Firma, die beispielsweise trotz eines korrekten Durchsuchungsbeschlusses Kundendaten nicht herausgibt, hat sie nichts zu gewinnen und alles zu verlieren. Menschen, Individuen können zivilen Ungehorsam leisten – Firmen und ihre Vertreter nicht.
In Krimis taucht „Vertrauen in die Möglichkeiten“ immer wieder im Kontext von Erpressung auf: Auch wenn der Bankdirektor die Safe-Kombination nicht verraten will gibt es immer wieder Drohungen, die stärker sind als die Beziehung.
Vertrauen in die Selbstdisziplin
„Bringst Du bitte eine Flasche Wein aus dem Keller mit?“ – „Ja, klar…“
Kurz darauf: Ich wollte Dir die Weinflasche mitbringen, aber da saß eine so dicke Spinne drauf, und Du weisst doch, meine Spinnenphobie…
Es gibt immer wieder gute Vorsätze, die wir brechen, immer wieder Pläne, die wir nicht umsetzen. Auch das kann eine Quelle für Vertrauens-Schwierigkeiten sein: Menschen, die alles haben, was sie brauchen. Auch die gute Absicht, auch den festen Plan – und dann kommen sie trotzdem nicht in die Gänge.
„Installierst Du heute noch den neuen Virenscanner?“ – „Ja, klar…“
Man könnte das unter „Wissen und Können“ einordnen, doch diese Gedanken sind so wichtig und so häufig, dass sie ihren eigenen Platz in dieser Liste verdienen.
Abschließende Gedanken
Um im Gebiet der Computersicherheit sattelfest zu werden, muss man sich auch im klaren darüber sein, auf wen man sich verlassen kann, und wo dieses „sich-auf-jemanden-verlassen-können“ seine Grenzen hat. Für die Sicherheit spielt es keine Rolle, ob ein Kandidat nicht will, nicht weiß wie’s geht, die Mittel nicht hat oder die Disziplin fehlt. Bei Sicherheitsthemen gilt: Das schwächste Glied bricht die Kette. Um Sicherheitsthemen anständig zu lösen, sollte man also alle Glieder kennen – insbesondere die menschlichen.