Archiv für September, 2014

Grundprobleme – Niemand will mehr mit mir reden!

Uns kommen in letzter Zeit leider unangenehm häufig Geschichten unter, in denen sicherheitsbewusste Anwender von diversen sozialen Prozessen ausgeschlossen werden, weil sie ihr Sicherheitsbewusstsein nicht irgendwelchen sozialen Zwängen opfern.

Ein paar Beispiele: Man ist nicht in der facebookgruppe X und bekommt außerhalb diverse Informationen nicht. Man benutzt doodle nicht und wird von einer entsprechenden Abstimmung ausgeschlossen. Man möchte seine E-Mails verschlüsseln oder whatsapp nicht benutzen und wird deswegen von der entsprechenden Kommunikation ausgeschlossen.

Die sind leider in unserem Umfeld nicht mehr nur Einzelfälle. Solche Problemstellungen entwickeln sich zur Regel. Daher wollen wir ein paar Wege aufzeigen, wie man damit umgehen kann, ohne in die Extreme zu rutschen.

Klar ist zwar, dass man immer die Möglichkeit hat sich dem sozialen Druck zu beugen und die diversen unsicheren Technologien nach Bedarf zu benutzen und ebenso kann man sich dem sozialen druck chronisch verweigern.
Die erste Variante ist unserer Erfahrung nach sogar so einfach, dass sie oft gefährlich ist, für die Sicherheitsbewussten.
Die zweite Variante ist auch nicht für jeden, da man hierzu persönlich und tatsächlich in der Lage sein muss.
Daher versuchen wir uns nun auf all das, was dazwischen liegt zu konzentrieren.

Wenn eine Anwendung oder einen Service genutzt werden soll, der unsicher ist, ist oft eine sehr gute Lösung, den Leuten sichere(re) Alternativen vorzuschlagen – als Kompromiss.
Diese Lösung ist ganz oft ein sehr guter Weg, für alle beteiligten einen Gewinn darzustellen und niemandem in dem Gefühl zu hinterlassen, er habe hier „den Streit verloren“.
Für die Sicherheitsbewussten, gibt es mehr Sicherheit, ohne Verzicht auf soziale Teilhabe. Für all die anderen gibt es ein hinreichendes Maß an Bequemlichkeit (und natürlich die gestiegene Sicherheit).
Diese Lösung klingt gut, funktioniert aber unserer Erfahrung nach leider nur in Ausnahmefällen – selbst wenn man die Alternative vollständig erklären kann und so jedem Neuling den Einstieg einfach macht. Denn die meisten Leute wollen keinerlei Bequemlichkeitsverlust hinnehmen für einen Sicherheitsgewinn. Auch wenn bessere Anwendungen leicht zu bedienen sind, so sind sie doch oft anders zu bedienen, was für viele eine zu große Hürde ist.
Trotzdem sollte man sich nicht davon abhalten lassen, es zumindest vorzuschlagen. Manchmal klappt es und führt zu einer Verbesserung.

Wenn es keine solche Alternative gibt bleibt noch die Möglichkeit einen anderen Service oder eine andere Anwendung zu benutzen, deren Funktionen einen Ersatz darstellen können. Das ist allerdings in den seltensten Fällen eine gute Vorgehensweise. Dies setzt nämlich nicht nur voraus, dass man selbst überhaupt das Know-How hat, die Alternativanwendung für diesen Zweck zu gebrauchten, sondern dieses Wissen muss auch an all die anderen weitergegeben werden.
Hier ist also die soziale Hürde noch höher als im obigen Beispiel, gerade wenn es den Leuten primär darum geht, eine einfache Anwendung zu haben.
Unserer Erfahrung nach funktioniert das nur in extremen Ausnahmefällen und unter erheblichem Aufwand.

Aus einer sozialen Perspektive ist auch interessant danach zu unterscheiden, ob man in einer Position ist, in der man selbst der gewollte Kommunikationspartner ist oder eher mit dem/den anderen kommunizieren will.
Je eher man selbst der gewünschte Kommunikationspartner ist, je erfolgreicher wird man dabei sein, Überzeugungsarbeit in Sachen sicherer Anwendungen zu leisten und eine eigene Lösung auch durchzusetzen.
Je eher man nur Teil einer Gruppe oder gar ‚Bittsteller‘ ist, desto mehr muss man sich darauf einstellen, dass man sich mit der jeweiligen Gruppendynamik auseinandersetzen müssen wird. In den meisten Fällen ist die leider durch ein extremes Maß an Trägheit gekennzeichnet, das man oft nur unter hohem Aufwand überwinden kann.

Insgesamt ist dies leider keine schöne Ausgangssituation.
Daher ist die Aufklärungsarbeit in Sachen sicherer Anwendungen und Kommunikation das wichtigste Instrument. Je mehr Anwender über die Hintergründe und Problematiken aufgeklärt sind, je weniger werden wir mit Gruppen konfrontiert, für die Anwendungs- und Kommunikationssicherheit kein Anliegen sind!

17 Kommentare

Whatsapp und die Privatsphäre der anderen

Auf Bitte hier eine Stellungnahme zu Whatsapp aus der Perspektive des Datenschutzes:

Kurz zur Ausgangslage oder tl;dr: Whatsapp wurde von Facebook gekauft. Genau so sieht es mit der Privatsphäre da (schon immer) aus. Whatsapp ist nicht nur für den Benutzer selbst gefährlich, sondern auch für jeden, der im Adressbuch des Benutzers steht.

Wir fassen mal zunächst zusammen, was Whatsapp getan hat, damit man sich ein Bild machen kann:
1) Whatsapp hat zu Beginn bis 08/2012 wirklich alles unverschlüsselt durch die Netze geschickt.
2) Whatsapp schickt nicht nur das was man erwartet durch die Gegend, sondern auch das gesamte Adressbuch des jeweiligen Benutzers. Das wird dann auf deren Servern gespeichert (natürlich nur gehasht, ohne salt).
3) Zwischenzeitlich haben die Whatsapp-Leute gesagt, ‚jetzt sind die Daten sicher‘. Sie haben natürlich nicht gesagt, wie sie das gemacht haben und dann sahen sich das Leute an und stellten (völlig überraschend) fest, dass die implementierte Crypto irgendwie den Session-Key unverschlüsselt tauscht und für den Schlüssel auch noch die IMEI Nummer verwendet wurden.
4) Eine Anwendung geschaffen, die so erschreckend einfach zu bedienen ist, dass Facebook Angst hatte ihnen laufen die Nutzer davon und das Ding für 19 Mrd. Dollar gekauft hat
5) Die vier Dinge da oben erschienen uns am wichtigsten und sind sicher nicht abschließend.

Eine kurze Zusammenfassung von dem was Whatsapp nicht getan hat:
1) Datenschutz
2) Selbstverständliches bei der Implementierung von Cryptographie beachtet
3) Mit offenen Karten gespielt

141 Kommentare