Martins key.matiq-Blog
>> Zurück zum Artikelverzeichnis >>
Vertrauen – der Fixpunkt der Sicherheit
Geschrieben: 2016
Letzte Überarbeitung: 22.04.2021
Stichwörter: Grundsätze
Vertrauen ist nötig ...
Machen wir uns nichts vor: Es ist schlicht unmöglich eine Sicherheitsstruktur für Webanwendungen aufzubauen, die gänzlich ohne Vertrauen auskommt. Bereits wenn Sie das Kennwort für Ihr Online-Banking eingeben, haben Sie Vertrauen, bewusst oder unbewusst, nämlich zu den Programmierer*innen Ihres Browsers. Mit etwas Energie wären diese durchaus in der Lage, Ihr Kennwort über das Internet an eine x-beliebige Adresse zu senden. Aber sie tun es natürlich nicht. Warum glauben wir das?
Wir glauben es, weil an jedem Browser mehrere Entwickler*innen arbeiten und derartige kriminelle Machenschaften ziemlich riskant wären: Sie könnten das gesamte Produkt, die Firma oder Organisation in Verruf bringen, würden aber sicherlich der Verursacher*in den Rausschmiss und Verlust des guten Rufs einbringen, wenn sie aufkämen. Und es ist gar nicht unwahrscheinlich, dass sie irgendwann aufkommen. Schließlich sind die Kolleg*innen des Übeltäters ja auch nicht blöd und irgendwann bemerken Sie z. B. bei der Fehlersuche, dass da so merkwürdige Datenpakete übers Netz gehen ...
Vertrauen ist aber nicht nur ohnehin vorhanden und oft auch durchaus gerechtfertigt, sondern auch nötig: Würden wir allem und jedem misstrauen, würden wir uns selbst lähmen. Es ginge uns wie einer Bergsteiger*in, die sich ständig Gedanken darüber macht, ob vielleicht ihr Seil reißen könnte und deshalb viel zu langsam vorankommt und in die Nacht oder in Lawinen gerät. Der Bergsteiger*in kann man nur raten, sich ein gutes Seil auszusuchen, es vor jeder Tour auf Schäden hin zu überprüfen und darauf Acht zu geben, sich während der Kletterei aber unbedingt auf dieses Seil zu verlassen, da Zauderei nun weitaus riskanter wäre als die Gefahr des Seilrisses.
Wenn man die Parabel mit der Kletter*in genau liest, wird man verstehen, dass wir keineswegs dem blinden Vertrauen das Wort reden. Natürlich kann auch Vertrauen missbraucht werden, man kann auch fälschlich jemand vertrauen, und wo Kontrolle möglich ist, sollte man diese auch ausüben. Aber Vertrauen ist eben bei jeder Sicherheitsarchitektur letztlich der Fixpunkt auf dem alles beruht, so wie die Mathematiker*in ihre Axiome nicht zu beweisen vermag, sondern schlicht voraussetzt.
... und das heißt konkret ...
Es ist sicherer die Kennwörter an einem sicheren Ort zu speichern, als zu versuchen, diese im Kopf zu behalten. Was passiert denn, wenn wir sie im Kopf zu behalten versuchen? Ist es Ihnen schon mal passiert, dass Sie jemand zum Essen eingeladen haben und beim Bezahlen nicht mehr die PIN Ihrer EC-Karte wussten? Also das kann ziemlich peinlich werden. Was, wenn Sie jetzt daran gehen, ihre PIN auf einen Zettel zu schreiben und ins Portemonnaie zu tun? Nun denken Sie an den gar nicht so seltenen Fall, dass Betrügerbanden mit manipulierten Geräten an PINs herankommen und EC-Karten duplizieren. Wenn Sie Ihr Geld von der Bank wiedersehen wollen, ist es ziemlich wahrscheinlich, dass Sie dafür vor Gericht aussagen müssten, dass Sie genau das, was Sie gerade gemacht haben, niemals gemacht haben. Und da Sie ja in Falschaussagen vor Gericht nicht gerade geübt sind, dürfte man Ihnen den Stress dabei in der Farbe Ihres Gesichts ansehen ...
Es ist sicherer, die Sicherung der Kennwörter einem Profi zu überlassen, als zu versuchen, dies selbst zu tun. Verstecken Sie noch Ihr Geld in der Zuckerdose oder zwischen den Bettlaken? Sie haben ein besseres Versteck? Die Profi-Diebe kennen die häufigen Verstecke und es ist eben viel wahrscheinlicher, dass Sie ein häufiges Versteck wählen (auch wenn Sie es selbst für noch so ausgefallen halten) als ein seltenes. Auch wenn heute unser Geld auf den Banken nicht mehr besonders sicher erscheint, so ist es doch dort viel sicherer als zu den Zeiten, in denen die Menschen den Schmuck im Garten vergraben haben.
Für die Sicherung von Kennwörtern heißt dies: Sie sollten mit den jeweils besten Algorithmen verschlüsselt sein. Sie sollten so aufbewahrt werden, dass sie nicht verloren gehen. Und so, dass außer Ihnen niemand an sie herankommt. So wie es bei key.matiq der Fall ist.