Im Kontext von NAS-Systemen habe ich mich vor ein paar Tagen massiv gegen den verbreiteten Sicherheitsnihilismus gewandt (siehe: Kommentar: Externer Zugriff auf das NAS – Nicht auf Nihilisten hören). Das zu Grunde liegende Problem ist eine massiv unterschiedliche Beurteilung des gegenwärtigen Niveaus der Zielgruppe.
Die Grundlage ist ein Sicherheitsnihilismus, der darin besteht, dass vor allem IT-Experten wahlweise gerne Probleme (in der Sicherheit) nicht angehen, weil sie nicht alle damit zusammen hängenden Probleme lösen können oder ihre Lösungsvorschläge so kompliziert sind, dass niemand sie in der Realität verwenden mag. Anstelle eine Lösung zu suchen, bewundert man also das Problem. Ein relativ simples Beispiel ist, wenn man pauschal verschlüsselte Kommunikation ablehnt, bei der man nicht die Schlüssel der Kommunikationspartner persönlich verifiziert hat. Jede Sicherheitsmaßnahme ist daher wahlweise nichtig oder sinnlos, weil man den Prozess nicht bis ins letzte Detail absichern kann.
Sicherheitsnihilisten haben in der Sache nicht unbedingt unrecht, schwächen aber in der Praxis die Sicherheit bzw. die Bestrebungen zu mehr allgemeiner Sicherheit.
Das liegt vor allem an einer grundsätzlich unterschiedlichen Wahrnehmung der Realität.
Die allgemeine Realität, die ich wahrnehme und von der ich behaupte, dass sie die Mehrheit repräsentiert, ist eine weit verbreitete Absenz von Datenschutz und Sicherheit im digitalen Leben.
- Die meisten Anwender nutzen ausweislich aller Statistiken Betriebssysteme wie Windows 10 oder Android und damit Systeme, die entweder sehr unsicher sind (Android) oder gezielt und massenhaft Nutzerdaten abgreifen (Windows 10). Verschlüsselung von Daten ist für die meisten Benutzer dieser Systeme kein Thema – auf dem Desktop noch weniger als mobil – sofern die Systeme das nicht im Hintergrund durch z. B. eine Bildschirmsperre erledigen.
- Immer weniger Anwender nutzen dabei auf ihren Systemen einen sicheren und datenschutzfreundlichen Browser wie Firefox, sondern greifen zu Produkten wie Google Chrome, die sich – wenn überhaupt – nur mit viel Aufwand absichern lassen, was wiederum ebenfalls kaum jemand macht.
- Die meisten Anwender verwenden einen kommerziellen Cloud-Dienstleister wie z. B. Dropbox, Google Drive oder OneDrive. Also einen Dienst, U.S.-amerikanischer Provinienz ohne clientseitige Verschlüsselung mit einem entsprechend geringen Schutzniveau für die Inhalte der Daten und all den Implikationen im Bereich staatlicher Überwachung.
- Die meisten Anwender kommunizieren per E-Mail über kostenlose Dienstanbieter. Seien es Google Mail oder die in Deutschland verbreiteten Anbieter von United Internet. Durch die kostenlose Bereitstellung der Dienstleistung steht natürlich bei all diesen Anbietern der Verdacht im Raum, dass sie die Kundendaten anders monetarisieren. Sei es durch Werbung, verbunden mit dem ganzen Komplex Tracking und Profilbildung, oder andere Formen der Datenauswertung. Eine Inhalte- oder gar Metadatenverschlüsselung erfolgt nicht. Mobil führen die zu Facebook gehörenden Messenger und sozialen Netzwerke mit großen Abstand zu allen sichereren und unsichereren Konkurrenten. Lediglich im Bereich der Videotelefonie kann sich das – ebenfalls nicht unproblematische – Skype behaupten.
- Die meisten Anwender haben zwar abstrakt Angst vor dubiosen Dienstanbietern im Internet, gehen aber in ihrem konkreten Lebensalltag viel zu sorglos mit ihren Daten um. Beispielsweise um irgendwelche Gutscheine zu bekommen oder vermeintliche Schnäppchen zu machen.
- Sehr viele Anwender laden ihre Fotos und Videos automatisiert in die Cloud, gelockt von billigen Datentarifen und vorinstallierten Apps, wodurch sie bei der heutigen Fotodichte geradezu ein Profil ihres Lebens erstellen.
- Sehr viele Anwender greifen – gelockt von billigen Angeboten vornehmlich von Amazon – zu Smart Home Produkten und hier vor allem Smarten Lautsprechern. Mikrofone in Gegenständen im Wohnbereich sind nicht neu, bei diesen Geräten sind diese Mikrofone aber funktionsbedingt immer angeschaltet und horchen in den Raum. Mit einer entsprechenden Fehlerwahrscheinlich, wie die Skandale der letzten Monate zeigen.
- Viel zu wenige Anwender fertigen Backups ihrer Daten an. Noch viel weniger Menschen machen diese professionell mit dafür geeigneten Programmen oder denken gar an Offsite Backups.
Diese Liste ließe sich endlos fortführen.
Ausgehend von diesem Nutzungsszenario sind es bereits die kleinen Änderungen, die große Wirkung entfalten können: Ein besserer Maildienstleister, eine einfache Datenverschlüsselung, ein NAS von der Stange oder ein vertrauenswürdigerer Clouddienstleister. Kommt man diesen Anwendern mit Linux, pi-hole, einem Homeserver, PGP, Signaturprüfung und VPN-Tunneln – sie werden überfordert und frustriert zu ihren bisherigen Gewohnheiten zurückkehren. Datenschutz und -sicherheit ist dann nur noch etwas für Profis.
Daher mein Plädoyer für weniger realitätsfernen Sicherheitsnihilismus. Er mag in der Theorie korrekt sein, in der Praxis bewirkt man das Gegenteil.
Bilder:
Einleitungsbild und Beitragsbild von von geralt via pixabay