IT-Security - immerhin besser als Fußpilz (eBook)

2 IT-SICHERHEIT – BRAUCHE ICH DAS?

Diese Frage höre ich sehr regelmäßig in verschiedensten Situationen. Ich bin grundsätzlich kein Fan davon, solche Fragen mit einem knappen »ja« zu beantworten, denn ich bin der Meinung, es ist viel sinnvoller, wenn sich das jeder selbst beantwortet. Niemand schreibt einem auch schließlich vor, dass er zur Vorsorgeuntersuchung gehen muss oder gar zum Zahnarzt. Nun werden Sie aber vermutlich mit Recht sagen: »Wenn ich es wissen würde, hätte ich nicht gefragt.« Stimmt! Also schauen wir uns die Sachlage einmal an, vielleicht hilft Ihnen das dabei, die Frage für sich zu beantworten.

2.1 Was ist Sicherheit eigentlich?

Zunächst einmal sollten wir uns im Klaren sein, was Sicherheit überhaupt ist. Wikipedia sagt dazu Folgendes:

Sicherheit bezeichnet allgemein den Zustand, der für Individuen, Gemeinschaften sowie andere Lebewesen, Objekte und Systeme frei von unvertretbaren Risiken ist oder als gefahrenfrei angesehen wird.

Für Individuen und Gemeinschaften bezeichnet Sicherheit den Zustand des Nicht-bedroht-Seins der Freiheit ihrer ungestörten Eigenentwicklung in zweierlei Hinsicht:

• im Sinne des tatsächlichen (objektiven) Nichtvorhandenseins von Gefährdung – als Sicherheit im objektiven Sinne, sowie
• im Sinne der Abwesenheit von (subjektiver) Furcht vor Gefährdung – als Sicherheit im subjektiven Sinne.

Das klingt ja einigermaßen verständlich. Es gibt aber einen Unterschied zwischen objektiver Sicherheit und subjektiver, das können wir herauslesen. Und genau diese Unterscheidung ist bei der Beurteilung der Sicherheit auch ganz wichtig. Betrachten wir das an zwei Beispielen:

Stellen Sie sich vor, Sie schwimmen im Meer an der australischen Westküste, verkleidet als Robbe. Würden Sie sich sicher fühlen? Nein? Ich auch nicht sonderlich. Ich tippe darauf, dass Ihnen der vage Gedanke, die Vorspeise eines Hais zu werden, unter Umständen im Hinterkopf kreisen könnte. Warum ist das so? Weil Sie wissen, dass es in dieser Umgebung Haie gibt oder es sie dort zumindest geben könnte und diese auch ganz gerne mal eine Robbe zu sich nehmen. Nehmen wir nun an, Sie wüssten nicht, dass dort Haie leben oder nicht einmal, dass Haie existieren, dann wäre Ihr Sicherheitsgefühl um einiges höher, ggf. würden Sie sogar völlig sorgenfrei vor sich hin paddeln.

Beziehen wir das einmal auf unsere Kenntnis über Sicherheit, so können wir wohl sagen, Sie hätten weder ein subjektives Gefühl von Sicherheit aufgrund Ihres Vorwissens, noch wären Sie rein objektiv betrachtet wahnsinnig sicher. Ein Haiangriff wird zwar nicht zwangsläufig stattfinden, aber auch ohne wissenschaftliche Analyse können wir behaupten, so denke ich, Sie können Ihren Friseurtermin für die Woche darauf zunächst einmal jemand anderem überlassen.

Schauen wir uns ein zweites Beispiel an, oder besser gesagt, zwei Beispiele in einem: Kennen Sie das? Sie mussten als Kind vielleicht auch schon einmal am Abend in den Keller, irgendetwas für die Eltern holen? Nun steht man da als kleines Kind, schaut in den Keller, das Licht ist auch nicht mehr das, was es vielleicht einmal war, und muss dort hinuntergehen. Spätestens unten, wenn der Heizungskessel anspringt, das Licht ausfällt oder einfach auch schon beim Weg nach unten verspürt man Angst, also irgendwie auch wenig bis gar keine Sicherheit. Ist das ein rationales Verhalten? Eher nicht, denn die Chance, dass man als Kind im Keller des Elternhauses ermordet, gerissen oder verschleppt wird, einem Geist begegnet oder gar nie wieder ans Tageslicht zurückfindet, ist unglaublich gering, vielleicht sogar gar nicht vorhanden.

Das Gegenteil davon konnte man in Thailand verfolgen. Dort ist es tatsächlich passiert, dass die Tigerdame »Sai Mai« drei Ferkel kurzzeitig adoptiert hatte. Ihre Mutter war gestorben und so übernahm die Tigerin die Aufzucht der Ferkel und säugte sie sogar. Das Konzept mag merkwürdig erscheinen und ehrlicherweise weiß ich auch nicht, wie es ausgegangen ist, das spielt dabei aber auch nur eine untergeordnete Rolle. Wichtig dabei ist, dass das subjektive Gefühl von Sicherheit bei den Ferkeln stark ausgeprägt war. Sie kannten die Gefahr, die von einem Tiger ausgeht, schlicht nicht. Auch wenn es sich in diesem Fall vielleicht um eine ganz besondere Tigermama handelte, können wir zumindest objektiv sagen, dass es sicherlich Ferkel gibt, die sich in größerer Sicherheit nach ihrer Geburt befunden haben. Den Kleinen war das aber schlichtweg nicht bewusst.

Fassen wir das einmal zusammen: Das subjektive Sicherheitsgefühl kann mit der objektiven Sicherheitssituation deckungsgleich sein, wie in unserem ersten Beispiel. Sie fühlen sich wenig sicher an der australischen Küste, Sie sind es auch nicht. Es kann aber auch völlig auseinandergehen wie in unseren anderen beiden Beispielen. Sie hatten als Kind fürchterliche Angst im dunklen Keller? Überraschung, das war gar nicht notwendig. Rein objektiv betrachtet, waren Sie da ziemlich sicher. Naja, ich kenne zugegebenermaßen Ihren Keller von damals nicht. Gehen wir deshalb sicherheitshalber von einem gewöhnlichen Keller aus. Und zu guter Letzt noch die Ferkel, die sich total wohl fühlten (Sie finden entsprechende Bilder im Internet), aber im Grunde, glauben wir den Naturgesetzen, vielleicht gar nicht so sicher waren.

In diesem Buch geht es aber weder um Haie und Ferkel noch um Keller und Tiger. Unsere Erkenntnisse können wir nun aber auch auf unser Thema beziehen, die IT-Security. Allerdings ist hier die Situation durch äußere Umstände recht klar festgelegt.

Beginnen wir mit dem subjektiven Gefühl. Fühlen Sie sich sicher in der Welt des Internets? Haben Sie das Gefühl, dass Ihre Daten, zunächst einmal egal, wo sie sich befinden, sicher sind? Das ist eine Frage, die sich natürlich jeder selbst beantworten darf. Das ist der Vorteil an subjektiven Einschätzungen. Für mich und für den Großteil der anderen Leser ist das vollkommen in Ordnung, dass Sie sich im Robbenkostüm schwimmend an der australischen Küste sicher fühlen. Ich lege noch einen drauf: Sie dürfen sogar unbeschwert dabei pfeifen. Objektiv betrachtet allerdings gibt es keinen Grund, dass Sie sich sicher fühlen. Im Grunde sind Sie sinnbildlich dauerhaft technischen Haibissen ausgesetzt. Glücklicherweise ist nicht jedes Schnappen ein Treffer. Dazu kommen wir aber später noch einmal genauer.

Nachdem wir nun geklärt haben, was Sicherheit eigentlich ist und Sie unter Umständen durch dezente Hinweise meinerseits auch schon vermuten, dass es um die objektive Sicherheit nicht so gut bestellt ist, sollten wir uns nun eine andere Frage stellen: Wer ist denn unser Hai?

2.2 Vor wem oder was muss ich mich denn fürchten?

Natürlich werden wir diese Frage noch deutlich genauer beantworten, doch sie ist ebenfalls kurz und knapp zu beantworten. Vor grundsätzlich erst einmal jedem! Sehen wir einmal ab von sehr nahestehenden Personen, Familienmitglieder etc., zu denen Sie (hoffentlich) ein enges Vertrauensverhältnis haben, kann es erst einmal grundsätzlich jeder auf Ihre Daten abgesehen haben. Warum? Nun, Daten sind Informationen jeglicher Art und diese können, je nach Typ, von großem Wert sein.

Lassen Sie uns einmal ein paar Beispiele betrachten, damit dieser Punkt vielleicht ein wenig klarer wird. Folgende Werte können Daten für eine dritte Person beispielsweise darstellen:

• Finanzieller Wert (z. B. Zugriff auf Ihr Bankkonto, Lösegeld)
• als Druckmittel (z. B. Verschlüsselung von Daten, nicht für die Öffentlichkeit bestimmte Daten/Bilder)
• Wissen/Know-how (z. B. patentierte Produkte, Ideen)
• Wettbewerbsvorteil (z. B. Angebote an Kunden)

Dies sind einige Beispiele, welchen Wert also Ihre Daten/Informationen für andere darstellen könnten. Sicherlich gibt es noch ein paar Ableger davon und manche Typen überschneiden sich auch. Beispielsweise kann die Verschlüsselung von Daten ein Typ finanzieller Art sein (das ist es meistens) oder aber auch ein Druckmittel. In diesen Beispielen würde ein Dritter also versuchen, an diese Informationen zu gelangen, sie also zu stehlen.

Nun haben wir zuvor festgehalten, dass Sie sich im Grunde vor jedem fürchten müssen, dem Sie nicht auf höchster Ebene vertrauen. Das klingt vielleicht in Ihren Ohren zunächst etwas dramatisch, doch wenn wir einmal ganz ehrlich sind, hätte ein jeder Mensch einen Vorteil davon, Ihre Bankdaten uneingeschränkt zu besitzen, oder? Ein Jeder könnte Sie auch mit Bildern, die unter keinen Umständen an die Öffentlichkeit geraten sollten, unter Druck setzen, korrekt? Sofern Sie welche besitzen. Und ebenfalls hätte jeder, der an ein geheimes Patent oder eine geheime wertvolle Idee von Ihnen gelangen würde, einen kleinen oder großen Schatz in den Händen, richtig?

Vielleicht werden Sie an dieser Stelle nun gedanklich wild gestikulieren und werden mir widersprechen und mir entgegnen, dass aber ja nicht jeder, der an den Zugriff...