Martins key.matiq-Blog
>> Zurück zum Artikelverzeichnis >>
Vertrauen – der Fixpunkt der Sicherheit
Geschrieben: 2016
Letzte Überarbeitung: 10.09.2024
Stichwörter: Grundsätze
Vertrauen ist nötig ...
Machen wir uns nichts vor: Es ist schlicht unmöglich eine Sicherheitsstruktur für Webanwendungen aufzubauen, die gänzlich ohne Vertrauen auskommt. Bereits wenn Sie das Kennwort für Ihr Online-Banking eingeben, haben Sie Vertrauen, bewusst oder unbewusst, nämlich zu den Programmierer*innen Ihres Browsers. Mit etwas Energie wären diese durchaus in der Lage, Ihr Kennwort über das Internet an eine x-beliebige Adresse zu senden. Aber sie tun es natürlich nicht. Warum glauben wir das?
Wir glauben es, weil an jedem Browser mehrere Entwickler*innen arbeiten und derartige kriminelle Machenschaften ziemlich riskant wären: Sie könnten das gesamte Produkt, die Firma oder Organisation in Verruf bringen, würden aber sicherlich der Verursacher*in den Rausschmiss und Verlust des guten Rufs einbringen, wenn sie aufkämen. Und es ist gar nicht unwahrscheinlich, dass sie irgendwann aufkommen. Schließlich sind die Kolleg*innen des Übeltäters ja auch nicht blöd und irgendwann bemerken Sie z. B. bei der Fehlersuche, dass da so merkwürdige Datenpakete übers Netz gehen ...
Vertrauen ist aber nicht nur ohnehin vorhanden und oft auch durchaus gerechtfertigt, sondern auch nötig: Würden wir allem und jedem misstrauen, würden wir uns selbst lähmen. Es ginge uns wie einer Bergsteiger*in, die sich ständig Gedanken darüber macht, ob vielleicht ihr Seil reißen könnte und deshalb viel zu langsam vorankommt und in die Nacht oder in Lawinen gerät. Der Bergsteiger*in kann man nur raten, sich ein gutes Seil auszusuchen, es vor jeder Tour auf Schäden hin zu überprüfen und darauf Acht zu geben, sich während der Kletterei aber unbedingt auf dieses Seil zu verlassen, da Zauderei nun weitaus riskanter wäre als die Gefahr des Seilrisses.
Wenn man die Parabel mit der Kletter*in genau liest, wird man verstehen, dass wir keineswegs dem blinden Vertrauen das Wort reden. Natürlich kann auch Vertrauen missbraucht werden, man kann auch fälschlich jemand vertrauen, und wo Kontrolle möglich ist, sollte man diese auch ausüben. Aber Vertrauen ist eben bei jeder Sicherheitsarchitektur letztlich der Fixpunkt auf dem alles beruht, so wie die Mathematiker*in ihre Axiome nicht zu beweisen vermag, sondern schlicht voraussetzt.1
... und das heißt konkret ...
Es ist sicherer die Kennwörter an einem sicheren Ort zu speichern, als zu versuchen, diese im Kopf zu behalten. Was passiert denn, wenn wir sie im Kopf zu behalten versuchen? Ist es Ihnen schon mal passiert, dass Sie jemand zum Essen eingeladen haben und beim Bezahlen nicht mehr die PIN Ihrer EC-Karte wussten? Also das kann ziemlich peinlich werden. Was, wenn Sie jetzt daran gehen, ihre PIN auf einen Zettel zu schreiben und ins Portemonnaie zu tun? Nun denken Sie an den gar nicht so seltenen Fall, dass Betrügerbanden mit manipulierten Geräten an PINs herankommen und EC-Karten duplizieren. Wenn Sie Ihr Geld von der Bank wiedersehen wollen, ist es ziemlich wahrscheinlich, dass Sie dafür vor Gericht aussagen müssten, dass Sie genau das, was Sie gerade gemacht haben, niemals gemacht haben. Und da Sie ja in Falschaussagen vor Gericht nicht gerade geübt sind, dürfte man Ihnen den Stress dabei in der Farbe Ihres Gesichts ansehen ...
Es ist sicherer, die Sicherung der Kennwörter einem Profi zu überlassen, als zu versuchen, dies selbst zu tun. Verstecken Sie noch Ihr Geld in der Zuckerdose oder zwischen den Bettlaken? Sie haben ein besseres Versteck? Die Profi-Diebe kennen die häufigen Verstecke und es ist eben viel wahrscheinlicher, dass Sie ein häufiges Versteck wählen (auch wenn Sie es selbst für noch so ausgefallen halten) als ein seltenes. Auch wenn heute unser Geld auf den Banken nicht mehr besonders sicher erscheint, so ist es doch dort viel sicherer als zu den Zeiten, in denen die Menschen den Schmuck im Garten vergraben haben.
Für die Sicherung von Kennwörtern heißt dies: Sie sollten mit den jeweils besten Algorithmen verschlüsselt sein. Sie sollten so aufbewahrt werden, dass sie nicht verloren gehen. Und so, dass außer Ihnen niemand an sie herankommt. So wie es bei key.matiq der Fall ist.
1) Acht Jahre nach Erstellung dieses Artikels sehe ich, dass das Schlagwort "Zero Trust" die Runde macht . Siehe BSI "Zero Trust" und Wikipedia "Zero Trust Security".
Wie verhält sich die Zero-Trust-Architektur zu meinen Ausführungen von 2016? Auf den ersten Blick könnte man denken: "Das widerspricht sich doch!" Doch das ist gar nicht der Fall.
Ich habe deutlich gemacht, dass ich keineswegs dem blinden Vertrauen das Wort rede. Mir ging es einzig darum, dass man letztlich Risiken vergleichen und abschätzen muss, und nicht soweit selbst verrückt macht, dass man dadurch letztlich höhere Risiken eingeht.
Bei der Zero-Trust-Architektur geht es darum, trügerische Sicherheiten in größeren IT-Infrastrukturen (Zonensegmentierung ohne weitergehende Sicherheitsmaßnahmen) aufzuheben und nicht nur durch gegenseitige Absicherungen von Teilstrukturen sondern auch durch Nutzung externer Dienste (zur Erkennung von Schwachstellen und deren Ausnutzung) zu ersetzen.
Es geht hier also um völlig verschiedene Kontexte des Vertrauens. Bei meinem "Fixpunkt" geht es darum, als Mensch eine Entscheidung zu treffen (die durchaus auch wieder hinterfragbar ist und bei Hinweisen, dass sie fragwürdig ist evtl. auch wieder revidiert wird). Bei dem Konzept der Zero-Trust-Architektur geht es um IT-Infrastrukturen, die bisher nach dem Modell einer Burg aufgebaut wurden, aufzubrechen und sich gegenseitig kontrollieren zu lassen, weil keineswegs sicher ist, dass Bedrohungen nur von außen kommen, sondern eben auch von innen heraus, z. B. einem PC innerhalb des Unternehmens, kommen können.
Genau das macht ja professionelle Cybersecurity aus: Dass man eben nicht an einem Konzept kleben bleibt, sondern sich immer wieder die aktuelle Lage anschaut und entsprechend die Sicherheitskonzepte anpasst.
Und so ist die Kernaussage, dass man es als Internetnutzer*in auch mal wagen kann, (kritisch überprüfte) Dienste zur Verbesserung der eigenen IT-Sicherheit in Anspruch zu nehmen, bestätigt und nach wie vor gültig.