Bei der Einf\u00fchrung neuer Technologien ist die Frage nach deren Sicherheit immer von herausragender Bedeutung. Insbesondere in der heutigen Zeit der Vernetzung unserer Welt, die in immer weitere Lebensbereiche einzieht, ist es wichtig, dass die Benutzer die Kontrolle behalten und Schutz davor besteht, dass andere ohne unseren Willen in unsere Privatsph\u00e4re eindringen bzw. im Namen unserer Identit\u00e4t (i.d.R. zu unserem Schaden) agieren.<\/p>\n
Regelm\u00e4\u00dfig erf\u00e4hrt man dabei aus den Medien, wie schlecht es doch um diese Sicherheit bestellt ist. Mit teils rei\u00dferischen Artikeln und TV-Reportagen werden neue Technologien zerpfl\u00fcckt und die Leser bzw. Zuschauer verunsichert. Gerade bei den tendenziell besorgten Deutschen f\u00fchrt dies dann h\u00e4ufig zu einer ablehnenden Haltung.<\/p>\n
Ohne Zweifel haben viele der Darstellungen ihre Berechtigung und in Punkto IT-Sicherheit besteht an etlichen Stellen ein erhebliches Verbesserungspotenzial. Dies gilt beispielsweise f\u00fcr viele der sog. IoT-Ger\u00e4te (Internet of Things) mit denen man sein Heim vernetzen und die man von au\u00dfen \u00fcber das Internet steuern kann. Die Ursachen f\u00fcr die teils eklatanten Sicherheitsl\u00fccken sind oft der Zeitdruck, der auf den Entwicklern lastet, um die Time to Market so kurz wie m\u00f6glich zu halten, sowie fehlendes Wissen hinsichtlich der Sicherheitstechnologien, was dann zu Produkten mit sicherheitskritischen Schwachstellen f\u00fchrt. Dies tritt vor allem dort auf, wo kryptographische Technologien, wie Verschl\u00fcsselungen oder Signaturen verwendet werden.<\/p>\n
Auch im Smartphone-Bereich existieren etliche Berichte, in denen z.B. Fingerabdruck- oder Iris-Scanner \u00fcberlistet werden. Hier bestehen im Prinzip die gleichen Gr\u00fcnde wie oben, zus\u00e4tzlich werden aber oft auch aus Kostengr\u00fcnden vom Hersteller Komponenten verbaut, die nicht das notwendige Sicherheitsniveau aufweisen, z.B. wenn der Fingerabdruck-Scanner zu grob arbeitet. Auch im Online- und Mobile-Banking werden immer wieder Verfahren ausgehebelt. Die Liste der Beispiele k\u00f6nnte beliebig verl\u00e4ngert werden.<\/p>\n
Leider ist es dabei h\u00e4ufig der Fall, dass die Aufbereitung der Berichte in den Medien so erfolgt, dass der unbedarfte Benutzer die Informationen nicht richtig einsch\u00e4tzen kann und entsprechend zu \u00dcberbewertungen neigt. Zudem entsteht mitunter der Eindruck, dass die Produzenten der Informationen nicht richtig verstanden haben, wor\u00fcber sie berichten. So findet z.B. auch selten Erw\u00e4hnung, wenn die dargestellten Sicherheitsl\u00fccken nur unter sehr spezifischen Umst\u00e4nden ausgenutzt werden, die f\u00fcr die \u00fcberwiegende Mehrzahl der Benutzer nicht relevant sind.<\/p>\n
Im Mittelpunkt der Berichte stehen in der Regel die Technologien, deren Gef\u00e4hrlichkeit mit Beispielen und Expertenbeitr\u00e4gen plakativ dargestellt wird. Am Ende hat man dann als Leser\/Zuschauer zumeist die Erkenntnis, dass die jeweilige Technologie nicht sicher ist. Dabei wird jedoch ein entscheidender Hinweis in der \u00fcberwiegenden Mehrzahl der F\u00e4lle verschwiegen: \u201eTechnik kann nie zu 100% sicher sein!<\/em>\u201c.<\/p>\n Selbst, wenn sie es zu einem bestimmten Zeitpunkt w\u00e4re, kann dies zu einem sp\u00e4teren Zeitpunkt schon wieder anders sein, z.B. weil eine neue Technologie oder Methode entwickelt wurde, welche die bestehenden Sicherheitsmechanismen aushebeln kann. Ein Beispiel hierf\u00fcr sind die Zunahme der Rechenleistung sowie die Entwicklung der Quantencomputer im Zusammenhang mit der Kryptographie.<\/p>\n Zur Veranschaulichung der Problematik hinsichtlich der Sicherheit durch Technik soll hier der Messenger Threema aufgef\u00fchrt werden, der bekannt f\u00fcr sein hohes Sicherheitsniveau ist. Die Kommunikationspartner werden dort in drei Sicherheitsstufen eingeordnet. Die sicherste Stufe wird nur erreicht, wenn beide Kommunikationspartner ihre Identit\u00e4ten \u00fcber einen pers\u00f6nlichen Schl\u00fcsseltausch best\u00e4tigt haben. Der Schl\u00fcssel wird von der Threema-App als QR-Code auf dem Display angezeigt und dann vom Kommunikationspartner mit seiner Threema-App eingescannt. Die physische Anwesenheit beider Kommunikationspartner stellt somit auch ein Sicherheitselement im Rahmen der Authentifizierung dar. Diese physische Anwesenheit wird aber auf der technischen Ebene nicht gepr\u00fcft. Beide k\u00f6nnten auch ihre QR-Codes abfotografieren und sich bspw. mittels E-Mail zusenden, womit dann Dritte in den Besitz der Informationen gelangen k\u00f6nnen.<\/p>\n Die Sicherheit bei Threema entsteht somit nicht durch die Technik alleine. Vielmehr gibt es einen vordefinierten Prozess, nach dem die gegenseitige Authentifizierung stattfinden soll. Diesen m\u00fcssen die beiden Kommunikationspartner kennen und sich auch daran halten. Im anderen Fall ist die Sicherheit nicht gew\u00e4hrleistet, obwohl sie von der App ausgewiesen wird.<\/p>\n Das Beispiel dokumentiert, dass Sicherheit nicht nur durch Technik allein entsteht. Es bedarf vielmehr zwei weiterer Komponenten, dem Menschen und der Organisation. Der Mensch muss mit seinem Wissen, seiner Einstellung und seinem daraus folgenden Verhalten wie im obigen Fall zu der Sicherheit bei der Techniknutzung beitragen. Wenn er nichts \u00fcber den Authentifizierungsprozess wei\u00df oder es ihm egal ist oder er sich (z.B. aus Bequemlichkeitsgr\u00fcnden) nicht daran h\u00e4lt, dann kann eine sichere Nutzung nicht stattfinden. Die Organisation definiert die Prozesse, in deren Rahmen die Technik (m\u00f6glichst) sicher genutzt werden kann und sollte dabei auch die entsprechenden Kontrollmechanismen bereitstellen. Nur durch das Zusammenspiel von Technik, Mensch und Organisation l\u00e4sst sich somit Sicherheit realisieren. Die Technik allein kann dazu nicht in der Lage sein.<\/p>\n Ein weiteres Beispiel sind die biometrischen Verfahren, die derzeit zunehmend Verbreitung finden. Es existieren etliche Beispiele, bei denen Fingerabdruckscanner, Gesichtserkennung, Irisscanner oder auch Handvenenscanner \u00fcberlistet werden. Die Ger\u00e4te sind dabei teils von hoher Qualit\u00e4t. Schaut man sich die (zumeist sehr aufwendigen) Angriffe jedoch n\u00e4her an, so f\u00e4llt auf, dass sie zumeist unter Umst\u00e4nden erfolgen, die sich verhindern lassen. Wenn beispielsweise der Fingerabdruckscanner und der Angreifer v\u00f6llig alleine sind und keine Zeitnot besteht, so hat dieser sehr viel mehr M\u00f6glichkeiten f\u00fcr einen erfolgreichen Angriff, als wenn der Prozess in einem \u00fcberwachten Raum stattfinden w\u00fcrde, wo irregul\u00e4res Verhalten unmittelbar zu einem Abbruch des Vorgangs f\u00fchren w\u00fcrde.<\/p>\n Es gilt somit, Prozesse f\u00fcr die Nutzung zu schaffen, die dem erforderlichen Sicherheitsniveau des jeweiligen Anwendungsbereichs entsprechen. F\u00fcr deren Einhaltung sollten zudem Kontrollm\u00f6glichkeiten geschaffen werden.<\/p>\n Auch der Mensch als m\u00fcndiger Nutzer muss hier Verantwortung f\u00fcr sein Tun und Handeln \u00fcbernehmen. Je wichtiger die Technologie im Leben des Einzelnen wird, desto mehr muss man auch erwarten k\u00f6nnen, dass eine entsprechende Kenntnis hinsichtlich des Umgangs mit ihr vorhanden ist. Ob darauf auch ein sicherheitsbewusstes Verhalten folgt, bleibt dem Individuum schlie\u00dflich selbst \u00fcberlassen, allerdings muss es dann gegebenenfalls auch die Konsequenzen f\u00fcr sein Handeln tragen.<\/p>\n Ein offenerer Umgang mit dem Thema Sicherheit h\u00e4tte hierbei Vorteile. So ist der Druck auf die Hersteller durch die Berichterstattung von Sicherheitsm\u00e4ngeln und -l\u00fccken zwar gut, da diese dadurch bewegt werden, mehr in die Produktsicherheit zu investieren. Andererseits kann eine Berichterstattung unter Vernachl\u00e4ssigung der Tatsache, dass Technik nicht alleine eine ausreichende Sicherheit bringen kann, aber auch schnell zu unerw\u00fcnschten Wirkungen f\u00fchren. So k\u00f6nnten potentielle Nutzer abgeschreckt werden und ein Klima des Misstrauens in Technik die Folge sein. Bei den Herstellern kann ein zu hoher Druck dazu f\u00fchren, dass sie als Reaktion ihre Produkte mit Sicherheitsfunktionalit\u00e4ten \u00fcberfrachten, so dass sie f\u00fcr die Benutzer unbequem und damit gef\u00fchlt unbrauchbar werden.<\/p>\n Insofern w\u00e4re es hilfreich, wenn sich die Berichterstattung nicht nur auf die, oft weit hergeholten, Sicherheitsprobleme konzentrieren w\u00fcrde, sondern auch eine notwendige Aufkl\u00e4rung hinsichtlich des Benutzerbeitrags zur Sicherheit leisten w\u00fcrde sowie Hilfestellungen f\u00fcr einen sicheren Umgang mit der Technologie g\u00e4be. Das Abschrecken der Benutzer ist hier die schlechteste Alternative.<\/p>","protected":false},"excerpt":{"rendered":" Bei der Einf\u00fchrung neuer Technologien ist die Frage nach deren Sicherheit immer von herausragender Bedeutung. Insbesondere in der heutigen Zeit der Vernetzung unserer Welt, die in immer weitere Lebensbereiche einzieht, ist es wichtig, dass die Benutzer die Kontrolle behalten und Schutz davor besteht, dass andere ohne unseren Willen in unsere Privatsph\u00e4re eindringen bzw. im Namen […]<\/p>\n","protected":false},"author":481,"featured_media":19428,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[33],"tags":[1166,91,187],"class_list":["post-19425","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-research-and-advisory","tag-it-sicherheit","tag-research-2","tag-technology"],"acf":[],"_links":{"self":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts\/19425","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/users\/481"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/comments?post=19425"}],"version-history":[{"count":9,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts\/19425\/revisions"}],"predecessor-version":[{"id":26277,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts\/19425\/revisions\/26277"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/media\/19428"}],"wp:attachment":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/media?parent=19425"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/categories?post=19425"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/tags?post=19425"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}