Gestern fand der mittlerweile 14. Europäische Datenschutztag statt. Wie immer seit seiner Einführung im Jahr 2007 am 28. Januar. Man kommt also nicht umhin, einmal mehr über Sicherheit, oder genauer gesagt, über den Mangel daran, nachzudenken. [...]
Sicherheit ist ein interessantes Thema, das uns von unserer Geburt bis zu unserem Tod begleitet. Unser ganzes Leben besteht aus Sicherheit, Unsicherheit und einem falschen Gefühl von Sicherheit. Einem Gefühl also, das Sicherheit und mangelnde Sicherheit verwechselt. Meine Schwester ist beispielsweise hochschwanger und die Sicherheit meiner zukünftigen Nichte ist eines der wichtigsten Themen. Sind Lauflernhilfen eigentlich noch sicher, ist der Kindersitz für das Auto abgelaufen (ja, Kindersitze haben tatsächlich ein „Verfallsdatum“) und wie baut man ihn richtig ein, und so weiter und so weiter.
Ich erinnere mich: als ich ein kleines Kind war, hatte ich eine Lieblingsdecke, die ich praktisch überall dabei hatte. Als ich als Erwachsener (!) erfahren habe, dass meine Mutter die wenigen zerlumpten Teile, die davon noch übrig waren, weggeworfen hatte, war ich verärgert. Diese Decke hatte mich vor Monstern im Schrank und Schreckgespenstern unter dem Bett beschützt. Und das war vermutlich meine erste Erfahrung mit einem falschen Gefühl der Sicherheit, aber es war definitiv nicht die letzte.
Ich kann mich erinnern, dass die Tür vor dem Schlafengehen verriegelt und die Kette vorgelegt werden musste, aber die Fenster standen wegen der Hitze weit offen. Ich erinnere mich an einen Job während der Highschool-Zeit, bei dem ich in einem Theater für die Einstellung der Beleuchtung für die Laufstege verantwortlich war. Der Supervisor sagte: „Es gibt einen Sicherheitsgurt, allerdings passt er nur für meine Größe und wird für keinen von euch funktionieren.“
Wie viele Menschen haben schon die Geschichte gehört, dass die Scheiben der hinteren Autotüren aus Gründen der Kindersicherheit nur teilweise herunterzulassen sind? Tatsächlich ist es so, dass in der Tür einfach nicht genug Platz ist, um das Fenster weiter zu öffnen. Ich wette, es gibt ausreichend viele Menschen, die sich bei der Vorstellung, dass die Autobauer an die Sicherheit ihrer Kinder gedacht haben, besser fühlen. Es ist dieses falsche Gefühl der Sicherheit, das so viel Einfluss auf unser Leben nimmt.
Falsche Sicherheit versus falsche Unsicherheit
Neben meiner täglichen Arbeit, der IT-Sicherheitsforschung, verbringe ich meine Abende damit, mir Filme anzusehen und zu rezensieren. Haben Sie sich jemals gefragt, warum uns Horrorfilme Angst machen? Manchmal sind es die Momente, in denen wir vor Angst überrascht zusammenzucken – wir erwarten einfach nicht, in diesem Moment erschreckt zu werden. Aber oft liegt es an psychologischen Faktoren und übernatürlichem Horror, dass wir uns unsicher fühlen. Statt eines falschen Gefühls der Sicherheit haben wir hier ein falsches Gefühl der Unsicherheit. Darum klammern wir uns gerne an die Person, die gerade neben uns sitzt, darum überprüfen wir die Türschlösser doppelt und dreifach, und darum verstecken wir uns gerne auch noch im Erwachsenenalter nach einem Gruselfilm vorsichtshalber unter der Bettdecke. Keine dieser Aktivitäten sorgt für mehr Sicherheit, aber sie wirken dem falschen Gefühl der Unsicherheit entgegen, das wir empfinden.
Was hat das nun alles mit dem Europäischen Datenschutztag oder Data Privacy Day 2020 zu tun? Es ist wichtig, dass man sich an die Zeiten in seinem Leben erinnert, in denen man sowohl sicher als auch unsicher war, um sich daran zu erinnern, dass und wann man ein falsches Gefühl von Sicherheit oder Unsicherheit empfunden hat.
Ob man nun sicher ist oder ein falsches Gefühl der Sicherheit hat – man fühlt sich besser, man fühlt sich sicherer. Ebenso, wie man sich durch reale Unsicherheit und Ungewissheit genauso schlecht fühlt wie durch dieses falsche Gefühl der Unsicherheit. Deshalb ist es wichtig, den Standpunkt anderer zu berücksichtigen, um zu verstehen, warum man bestimmte Gefühle hat. Was Sie als Sicherheit wahrnehmen, kann in Wirklichkeit ein falsches Gefühl von Sicherheit sein und was Sie als falsches Gefühl von Unsicherheit sehen, kann tatsächliche Unsicherheit sein. Es passiert überall um uns herum und betrifft jeden Aspekt des Lebens, aber befassen wir uns mit ein paar relevanteren Beispielen.
Die Unterscheidung fällt schwer
Wenn ein Unternehmen gehackt wird und es zu einem Ransomware-Angriff kommt, passiert das vielleicht Organisationen, die bisher davon ausgegangen sind sicher zu sein. Vielleicht haben sie sämtliche Prüfpunkte eines Sicherheitsstandards erfüllt. Vielleicht haben sie sich auf eine Teilmenge von Risiken konzentriert, ohne das Gesamtbild zu berücksichtigen. Nicht selten fokussieren Unternehmen sich auf Probleme, die sie gar nicht beheben, Dinge, die sie nicht ändern können, und übersehen dabei Angriffsvektoren, gegen die sich sehr wohl etwas unternehmen lässt. Hier schließt sich der Kreis: Es fällt den Betroffenen schwer, tatsächliche Sicherheit und ein falsches Gefühl von Sicherheit zu unterscheiden.
Auf einer Games-Konferenz wurde ich gefragt, wie ich die Leute, mit denen ich spiele, überprüfe und wie ich sichergehen kann, dass sie mich im Spiel nicht betrügen. Die Frager sind jedes Mal schockiert, wenn ich ihnen sage, dass ich genau das nicht tue. Sie hingegen verfügen über komplexe Prüfmechanismen, welche die Kommunikation und die Vorgeschichte der Mitspieler analysieren, um festzustellen, ob man ihnen vertrauen kann.
Es hat sich inzwischen aber bewahrheitet, dass diese Kontrollen nur ein falsches Gefühl der Sicherheit erzeugen. Man hat also nicht viel davon, sie anzuwenden. Im Übrigen eine Schlussfolgerung, die sich gut auf die reale Welt übertragen lässt. Ein Freund erzählte mir vor kurzem, dass seine Frau beinahe auf eine Betrugsmasche mit Autowerbung hereingefallen wäre. Davon hatte ich noch nichts gehört, also habe ich nachgeforscht und herausgefunden, dass die Betrüger auf Jobsuche-Websites mit dem ultimativen „leicht verdientes Geld“-Schema werben. Man meldet sich an und wird dafür bezahlt, dass man sein Auto mit einer Werbefolie bekleben lässt. Man bekommt einen Scheck mit der Post, löst ihn ein und bezahlt die Werbefolie. Man zahlt für die Werbefolie, indem man eine Vorauszahlung an die Firma leistet, die diese anbringen soll (anstatt die Werbefolie zu bezahlen, wenn sie tatsächlich auf dem Auto klebt). Später findet man dann heraus, dass der Scheck eine Fälschung und ungültig ist. Aber dann hat man bereits die Firma bezahlt, die die Werbefolie angebracht hat, und man ist sein Geld los. Der Scheck ist auf den Namen eines großen Unternehmens ausgestellt, mit dem man bereits in Kontakt war. Das funktioniert bestens um ein falsches Gefühl von Sicherheit zu erzeugen.
Wir hören ständig solche Geschichten. Man hört von Leuten, die ihr Auto privat verkaufen. Jemand kommt vorbei, um es sich anzusehen und bittet darum, eine Probefahrt machen zu dürfen. Der Mensch kommt nur leider nicht zurück und man realisiert langsam, dass man seine Autoschlüssel offensichtlich einem Dieb in die Hand gedrückt hat. Viele mögen jetzt denken: „Ja gut, mir würde das nie passieren“. Stimmt das? Wie gut können Sie ein falsches Gefühl von Sicherheit als solches erkennen?
Gefühlte Sicherheit/Unsicherheit
Fragen Sie sich anlässlich des diesjährigen Europäischen Datenschutztages einmal, ob Sie erkennen, wann Sie wirklich sicher sind. Denken Sie an die Aspekte in Ihrem Leben, bei denen Sie sich sicher oder unsicher, geborgen oder unbehaglich fühlen. Haben Sie geprüft, was davon real ist und was nicht? Es ist kein Denkprozess, den wir ständig durchlaufen, aber er ist eine kritische Denkübung, die uns Einfühlungsvermögen und Verständnis vermittelt.
Der erste Schritt, um zu verhindern, als Einzelperson betrogen oder als Unternehmen gehackt zu werden, ist es, Prozesse zu erkennen, die Ihnen ein falsches Gefühl der Sicherheit vermitteln. Sobald Sie diese identifiziert haben, können Sie auch etwas dagegen tun. Dann kommt es vielleicht gar nicht erst soweit, dass Sie Hackern Lösegeld zahlen, um Ihr System von Ransomware freizukaufen.
Tyler Reguly ist Manager of Security Research und Software Development bei Tripwire.
Be the first to comment