Hi Andreas,

Ich habe auch schon mit dem Gedanken gespielt, zu diesem Thema zu einem Themenchat aufzurufen. Für mich käme im Falle eines Falles allerdings terminlich erst Herbst-Spätherbst in Betracht, ein entsprechendes Posting werde ich noch formulieren.

Cool, ich werde auf alle Fälle die Augen offenhalten, denn wenn es so weit ist, bin ich mit dabei :-))

Grob betrachtet gibt es ja mindestens 2 Ebenen von Sicherheit. Zum einen will ich, daß z.B. emails oder andere Daten mit vertraulichem Inhalt, die ich abgeschickt habe, dort ankommen, wo ich es beabsichtigt habe und von niemand anders gelesen werden können...

Also Kontrolle über den Transportweg und den Zugriff auf die Informationen. Aber gerade bei dem Transportweg, der ja i.A. bezahlt werden muß, ist es doch nötig, meinem Provider die für die Rechnung benötigten Daten zukommen zu lassen. Derzeit sieht es doch so aus, daß keiner weiß wie und wann diese Daten von den ISPs erhoben werden und vor allem, welche Daten es genau sind...

... das wäre die zweite Ebene, also daß nur diejenigen Informationen verschickt werden, die ich selbst dafür bestimmt habe. Gerade das ist z.B. ein ziemlich heikler Punkt, wie die Vergangenheit gezeigt hat (z.B. das nicht nachvollziehbare Verbreiten der GUID-Netzkartennummer von einer uns allen bekannten Office Software)

Tja, die Sache mit der Nachvollziehbarkeit ist, zumindest was Soft- und Hardware betreffen, mittlerweile imho aussichtslos. Wesentlich aussichtsreicher dürfte die Entwicklung nachvollziehbarer logischer Prozesse sein, zumindest was den Transport von Informationen und den Umgang mit ihnen betrifft.

Gerade wenn man auf Selbstkontrolle großen Wert legt, ist eine tiefergehende Auseinandersetzung mit dem System imho unumgänglich.

Sind Bildungslücken Bring- oder Holschulden? In welchem Maße ist der Konsument für seine Sicherheit in die Verantwortung zu nehmen und inwieweit der Anbieter von Soft- oder Hardware? Denn letztendlich verläßt sich doch jeder auf die sichere Funktionalität bestimmter Komponenten und Partner innerhalb der Kommunikation, wie tief hat sich dann der "unbedarfte" Konsument und Nicht-Fachmann mit der Materie auseinanderzusetzen? In ein Auto steige ich auch, obwohl ich kaum mehr als den Umgang (beschleunigen, lenken, bremsen, etc.) beherrsche oder zumindest der Meinung bin. <g>

Die potentiellen Opfer sind diejenigen, die sich nur auf Mausklicks und bunte GUI's verlassen (und vor allem diejenigen, die unbekannte email-Attachments einfach öffnen und ausführen lassen...)

Und sind die jetzt selber schuld daran? Ich kann bei der gegebenen Qualität der Berichterstattung in populären (Print)Medien denjenigen die sich auf die Maus und das GUI verlassen wahrlich nicht die alleinige Schuld an ihrer Opferrolle geben. Sicher erzürnt mich oft die Gedankenlosigkeit und Naivität mit der sehr viele einfach auf den "OK"-Button klicken und sich hinterher erst wundern um dann auf die Technik, den Computer, die Software und das Internet im Allgemeinen sowie Microsoft im ganz besonderen zu schimpfen anstatt zu hinterfargen, wie und warum das passieren konnte. Aber werden sie nicht auch und gerade durch die passende Berichterstattung zu derartigem Verhalten angeleitet?

Beste Grüße vom Rhein
Daniel

Hallo Leonhardt!

Zum Thema Sicherheit/Sicherheitsbedürfnis zu empfehlen:

Franz Kafka: Der Bau

Bis danndann

PAF( patrickausfrankfurt)

Hallo Leonhard,

sorry, daß ich erst jetzt von mir lesen lasse, aber ich hatte gestern keinen Zugang zum Netz mehr... :-(

Ich habe mich beruflich mit dem Thema "Sicherheit" beschäftigt, als ich in einem Projekt mitgearbeitet habe (das leider(?) noch nicht verwirklicht worden ist) in dem es darum ging Arztpraxen über das Internet miteinander zu vernetzen. Da dort auch sensible Krankheitsdaten von Patienten  ausgetauscht werden sollten war die Frage der Datensicherheit bei der Übertragung natürlich die meistgestellte.

Zugriffsicherheit im Sinne von Unbeobachtbarkeit und Zuggriffkontrolle ist sicherlich eines der Grundbedürfnisse eines sicheren IT-Systems, das sehe ich auch so und daran denken wahrscheinlich viele zuerst. Aber das berücksichtigt doch primär die Interessen des Informationsverursachers, in Deinem Beispiel die des Patienten (der Arzt ist ja quasi nur Verwalter). Was aber ist, wenn ich als Abnehmer einer Dienstleistung, z.B. als Kunde eines ISP, es eben diesem Dienstleister ermöglichen muss, die in Anspruch genommenen Leistungen auch entsprechend zu verrechnen?

Insofern würde ich eine Defintion des Begriffs Sicherheit so formulieren:
Sicherheit ist das *Gefühl*, das ich die Risiken genau abschätzen kann.

Dummerweise möchten unsere Controller wissen, welchen Geldwert "Gefühl" einnimt ;-)

Anderes Beispiel: Wenn ich etwas auf Papier "schwarz auf weiss" habe, kann ich das Risiko, das jemand anderes dies liest (Einbruch?) oder die Daten verloren gehen (Brand?) abschätzen bzw. minimieren -der Verlust von Daten auf der Festplatte ist dagegen (gefühlsmäßig!) nicht so leicht abschätzbar (Viren, Festplattencrash etc.)

Gut, das zielt in Richtung von Datenintegrität. Als Bedürfnis betrachtet bedeutet das, die von mir erzeugten oder gespeicherten Informationen sollen nicht unbemerkt verändert oder zerstört werden. Gegen die Zerstörung kann ich mich ja noch relativ unkompliziert wappnen (Backups, Redundanzen, Virenscanner, etc...), ein Restrisiko verbleibt natürlich weiterhin. Dieses Restrisiko kann in der Papierform auch die umgekppte Kaffeetasse (voll) darstellen <g>

Für die allermeisten PC-Nutzer ist ein Computer immer noch oder immer wieder ein schwarzes Loch, wo er eigentlich nicht weiss, was mit seinen dort eingegebenen/abgespeicherten Daten passiert. - Das macht ein Gefühl der Unsicherheit.

Das denke ich, ist wirklich einer der Kernpunkte. Letztendlich vertrauen - gerade in der EDV - alle auf Maschinen und Mechanismen die von Menschen entworfen wurden. Andere Menschen wiederum nutzten diese Maschinen und Mechanismen für den Entwurf weiterer Maschinen und Mechanismen, usw. Fehler die sich irgendwann in dieser Kette eingeschlichen haben wachsen doch gerade durch diese Verfahrensweise exponential wodurch eine echte Kontrolle über die Prozesse der Informationsbe- und -verarbeitung allein schon auf logische Ebene nicht mehr möglich ist.
Für mich bedeutet diese Auffasung, daß es an der Zeit wäre, nicht immer neue "Sicherheitssoftware" zu entwickeln, sondern klare und nachvollziehbare (logische) Verfahren für die Be- und Verarbeitung der von mir erzeugten Informationen zu gestalten damit eine echte Entscheidungsgrundlage für den Umgang mit den von mir erzeugten Informationen geschaffen wird. Am Beispiel Telefon kann man das noch recht klar erkennen: Die Sprache, meine Informationen, wird über Drähte und Vermittlungsstellen bis zu meinem Gesprächspartner übermittelt. Die Schwachstellen sind recht klar erkennbar und auch einzugrenzen: Telefonapparat, Draht und Vermittlungsstelle. Dort können beispielsweise Wanzen angebracht werden. In der EDV fällt das viel schwerer. Betrachte doch mal eine nicht ans Netz angebundene Arbeitsstation. Welche Wege nemen dann die Informationen eines Textdokumentes? Keine Ahnung. Da ist die Tatstatur, der Arbeitsspeicher, der Prozessor, die Festplatte, der Bildschirm und alles stellt eine potentielle Schwachstelle dar. Soft- und Hardwarelösungen zum Ausspionieren gibt es doch reichlich auf dem Markt, es sind ja noch nicht einmal die durch die Physik gesetzten Grenzen erreicht...

Liebe Grüße vom Rhein,
Daniel

Hallo,

Bislang lese ich - mit Verlaub - nur Geschwätz und Allgemeinplätze. Gut, das Du jetzt Deine Sicht schreibst:

Bezieht sich das jetzt auf das Forum oder auf andere Quellen?

Hast Du das mal auf Deine alltäglich Kommunikation übertragen ? Wie soll das gehen? Schon Deine Körperhaltung ist für andere eine "Information".

Das mag ja alles stimmen, aber den Sicherheitsbegriff im Netz kann man glücklicherweise viel enger einschränken, als das im Alltag möglich wäre. Einen Unternehmer interessiert z.B. lediglich, wie er verhindern kann, daß vertrauliche Daten auf seinem Server ausspioniert werden können. Inwieweit ich hierbei bei Servern ein Analogon zu einer "Körperhaltung" finden soll, ist mir nicht ganz klar...

Mich selbst interessiert z.B. bei manchen emails (nicht bei allen), daß sie möglichst nur von den dafür vorgesehenen Leuten gelesen werden sollen. Insbesondere dann, wenn z.B. wissenschaftliche Ergebnisse, Quelltexte usw. per email ausgetauscht werden, finde ich das ein durchaus berechtigtes Anliegen.

Information ist erstmal ein wertfreier Begriff.

Auch das mag für den Alltag gelten, digitale "Informationen" auf einer Festplatte sind dagegen unter Umständen Unsummen wert (und sogar manchmal bezifferbar).

Meiner Meinung nach hinkt ein derartiger Vergleich mit der alltäglichen Welt gewaltig.

Viele Grüße

Andreas

Hallo Swen,

überheb Dich nicht

Sorry, hättich mich klarer ausgedrückt, wäre es nicht zu diesem Mißverständnis gekommen, denn ich bezog das auf die thematischen Grenzen. So wie ich diese Forum verstehe beihnhaltet es ja hauptsächlich Themen des Webs, und so wie ich meine Frage stellte bezog ich mich ja nicht ausschließlich auf den Bereich Internet sondern bezog die gesamte Thematik (elektronischer) Kommunikation ein.

Sicherheit bedeutet für mich auch, konsequent die kontrolle über die Verbreitung aller von mir erzeugten Informationen zu haben.

Hast Du das mal auf Deine alltäglich Kommunikation übertragen ? Wie soll das gehen? Schon Deine Körperhaltung ist für andere eine "Information". Die von Dir eingeforderte Kontrolle hat es noch nie gegeben und wird es wohl auch nie geben. Warum soll das im web anders sein ?

Vielleicht weil es gerade in der elektronischen Kommunikation längst nicht komplex "einhergeht" wie in der "von Angesicht zu Angesicht"? Aufgrund der Reduktion der Darstellungsformen von Information ist es imho nicht unbedingt abwegig diese Kontrolle einzufordern. Ich sehe wohl auch, daß diese Kontrolle, betrachtet man die einzelnen zu treffenden Entscheidungen, sich als nicht gerade praktikabel darstellt. Aber ich könnte mir genausogut vorstellen, daß durch entsprechende Prozesse und/oder Mechanismen dem Benutzer elektronischer Kommunikationsmedien die Entscheidungsfindung durch vorhalten einer fundierten Entscheidungshilfe (Regeln, Bedingungen, o.ä.) durch diese Prozesse und/oder Mechanismen in einem Maße erleichtert wird, daß sie als handhabbar einzustufen sein könnte.

Frei nach Rosa Luxemburg: Das Recht auf informelle Selbstbestimmung findet seine Grenze beim Recht des anderen auf Wahrhaftigkeit.

Ein interessanter Aspekt, der durchaus im Web an Bedeutung zunimmt. Was ist den z.B. mit all' diesen netten Logfiles? Hat mich jemals jemand gefragt, ob ich mit der Protokollierung meiner Hits etc. einverstanden bin? Es wird dem Benutzer ja nicht die geringste Chance zur "informellen Selbstbestimmung" eingeräumt... :-((

Sicherheit bedeutet für mich, Informationen einem Urheber zuordnen zu können, sei es direkt zu einer Person

Mach mal einen Tag lang eine Strichliste: Welche der Informationen, Die Du über die wesentlichen Entscheidungen innerhalb der BRD oder Deines Landes erhalten kannst, kannst Du direkt zuordnen ? Wohl null Striche: denn alles was Du hörst und liest kommt (mittelbar!)über die Medien oder andere Dritte zu Dir. Was macht es im übrigen "sicherer", die Information direkt zu bekommen. Ist ein Lüge "sicherer", nur weil ich sie (unbemerkt) direkt erhalte?

Auch Unterschriften lassen sich fälschen, dennoch wird eben diesem Akt der Signatur ein derart hoher Wertr an Wahrhaftigkeit beigemessen, daß diese nur noch durch sehr wenige Akte in ihrer Glaubwürdigkeit übertroffen wird. Die Zuordnung einer Information beschränkt sich in der elektronischen Kommunikation sicherlich auf die Zuordnung zu einem Zertifikat, einem Schlüssel o.ä. Aber wesentlich anders sieht es mit einem von einer Person unterschriebenen Brief ja auch nicht aus.

Was ist denn eigentlich "sicher" an einer Information? So wie Du schreibst beziehst Du Dich auf die Aussage einer Information die ich ohne Weiteres durch eine Änderung ihres Kontextes wesentlich verfälschen kann. daran ändert natürlich auch der gefahrloseste Übertragungsweg nichts.

Grüße
Daniel

Hallo Michael,

Mit mindestens dieser Einstellung würde ich auch an das Spezialthema "Computersicherheit" herangehen.

Was ist denn Sicherheit? Ist Sicherheit nur "Computersicherheit" oder muß auch der Mensch dazu gezählt werden?

Im Weiteren beziehst Du Dich auf die Verfügbarkeit der Informationen. Wer aber garantiert Dir, daß die Informationen auf dem Backup auch wirklich die sind von denen Du der Überzeugung bist, sie gesichert zu haben? Was passiert mit den Informationen auf ihrem Weg von der Festplatte auf das Band? Es ist doch bereits auf diesem sehr eng begrenzten Terrain äußerst schwer, zuverlässige Aussagen über die Integrität der Informationen zu treffen.

Es macht keinen Sinn, den Begriff "Sicherheit" zu pauschalisieren. Es gibt keinen "Sicherheitsmodul" - Sicherheit ist eine Frage der Gesamtsicht eines Problems, eines Betriebs etc.

Ich würde es _nie_ wagen, Sicherheit zu pauschalisieren. Selbstverständlich ist Sicherheit eine sehr komplexe Thematik und eben darum bin ich immer noch auf der Suche nach den Grundpfeilern der Sicherheit. Wie bereits gesagt gibt es sehr viele gute Bücher zu Spezialbereichen der übergreifenden Thematik "Sicherheit in der Kommunikation", aber das war es dann auch schon (fast). Mir ist leider kein Buch, keine URL o.ä. bekannt, wo das Thema Sicherheit auf einer abstrahierten Ebene besprochen wird.

Das einzige, was man lernen kann, ist die richtige Einstellung zum Thema - ansonsten geht es immer wieder um neue Anforderungen und deshalb um neue Einzellösungen.

Gibt es denn die eine Einstellung zu diesem Thema? Ist es nicht vieleicht so, daß Sicherheitsbewußtsein ein iterativer Prozeß ist der beständig den Veränderungen der Kommunikationsmedien und -techniken folgen sollte?

Wenn man überhaupt etwas pauschalisieren kann, dann - aus meiner Erfahrung - die folgende Aussage: "Das schwächste Glied im Sicherheitssystem ist der Mensch." Egal, ob als schlampiger Anwender oder als Programmierer von Verschlüsselungssoftware. Solange es keine "perfekten" Menschen gibt, gibt es keine "perfekte" Sicherheit.

Da möchte ich eine These entgegenstellen: Selbst wenn es irgendwann einmal den fehlerfreien Menschen geben sollte ist es für die Erschaffung einer perfekten Sicherheit viel zu spät, denn die von fehlerhaften Menschen erschaffenen Maschinen, Mechanismen und Prozesse mit deren Hilfe wiederum von fehlerhaften Menschen neue Maschinen, Mechanismen und Prozesse entworfen und hergestellt wurden (usw. das geht jetzt immer weiter so <g>) würden eine unbedingt vollständige Widerholung nicht nur der technologischen Evolution bedingen, um auch nur eine ansatzweise Chance für die Erschaffung der perfekten Sicherheit zu schaffen.

Soweit die rein technische Sicht, völlig unberücksichtigt bleibt dabei natürlich auch die ethisch-moralische Sichtweise (Wo fängt meine Sicherheit an, wo wird sie durch die Sicherheit dritter begrenzt und wo hört sie auf?)

Beste Grüße
Daniel