Datenschutztag – zurück zu den Wurzeln
Sicherheit, Privatsphäre und Informationssicherheit – der Schutz von personenbezogenen Informationen im Jahr 2022
Informationssicherheit, (Cyber-)Sicherheit und Privatsphäre sind derartig eng miteinander verwobene Konzepte, dass man sie schnell durcheinanderbringen kann. Ein Versprecher (oder Vertippen auf der Tastatur) kommt häufig vor – und obwohl wir in dieser Branche tätig sind, bildet auch unser Büro hier keine Ausnahme. Lassen Sie uns also versuchen, die Begriffe zu klären. Lesen Sie weiter, wenn Sie die Einzelheiten aufgeschlüsselt bekommen möchten.
Das Problem mit Analogien
Analogien eignen sich hervorragend dafür, technische Konzepte besser verständlich zu machen. Das Übertragen von Gewohnheiten in der digitalen Welt auf parallele Szenarien im echten Leben kann zudem hervorheben, wie wirklich absurd die Dinge sind, die wir online machen. Wir alle haben schon einmal den klassischen Vergleich gehört: „Das Posten auf Social Media ist so, als würde man Fremden auf der Straße seine Ideen ins Gesicht schreien.“ Aber die Wahrheit ist, dass es schon immer Menschen gegeben hat, die Ideen mitten auf der Straße herausschreien. An einigen Orten ist dies sogar zur Tradition geworden… ja, wir reden von dir, Speakers’ Corner.
Das Problem mit Analogien ist, dass sie im Allgemeinen nur eine Seite komplexer Phänomene beleuchten. So vergisst das obige Beispiel anzusprechen, dass die sozialen Medien eine Plattform sowohl für den Kampf gegen autoritäre Regimes als auch zum Verbreiten von falschen Informationen und zur Destabilisierung von Ländern bieten können – ganz zu schweigen von den Problemen rund um allgegenwärtige zielgerichtete Werbung.
Da wir jetzt klar gemacht haben, dass nicht alle Analogien den Nagel auf den Kopf treffen, können wir nun in eine Analogie eintauchen, die wir uns bei Tresorit ausgedacht haben. (Ja, wir sind uns der Ironie durchaus bewusst…) Wir hoffen, dass diese Ihnen dabei helfen wird, die fundamentalen Unterschiede zwischen einigen zentralen Konzepten zu verstehen: Privatsphäre, Sicherheit und Informationssicherheit.Bedenken Sie jedoch, dass Analogien stets nur bestimmte Aspekte dieser komplexen Ideen hervorheben. Deshalb sollten Sie sicherstellen, dass Sie weitere Quellen hinzuziehen, um zusätzliche Informationen zu erhalten.
Mein Computer ist mein Zuhause
Genauso wie wir in physischen Häusern leben, sind unsere Computer, Tablets und Smartphones das Zuhause unseres digitalen Selbst. Daher ist es eine großartige Idee, die Konzepte auf den Rahmen eines physischen Hauses zu übertragen, um die Unterschiede zu erklären. Lassen Sie uns also loslegen.
Privatsphäre ist ein Recht. Im Grunde genommen ist es Ihr Recht, ein Haus zu haben und nach Hause gehen zu können. Wenn Sie zuhause sind, haben Sie das Recht, nicht überwacht, gestört oder beobachtet zu werden. Sie haben das Recht zu entscheiden, wer wann Ihr Haus betreten darf und wann die Person das Haus wieder verlassen muss und somit für die Öffentlichkeit sichtbar wird. Die Art und Weise, wie Sie in Ihrem Haus leben, hängt außerdem von Ihren persönlichen Vorlieben und kulturellen Traditionen ab. Sie haben das Recht zu entscheiden, wieviel von Ihrem Haus für die Gesellschaft sichtbar ist: Sie können einen Zaun errichten, hohe Bäume pflanzen oder die Gardinen in den Fenstern zuziehen. Manche Menschen benötigen mehr Privatsphäre, andere geben sich mit weniger zufrieden. Im Idealfall ist der Schutz Ihrer Privatsphäre eine individuelle und bewusste Entscheidung, die von mehreren Faktoren abhängt. Die Gesellschaft kann diese nur in einzelnen und gezielten Fällen mittels eines Gerichtsbeschlusses durchdringen. (Dies unterscheidet Datenanfragen durch Strafverfolgungsbehörden – z. B. digitale Durchsuchungsbefehle – von durch Regierungsbehörden ausgeführter undifferenzierter Massenüberwachung.)
Es ist außerdem Ihr Recht, sich von anderen Personen, die mit Ihnen in Ihrem Haus leben, abzugrenzen, wenn Ihnen danach ist. Aus diesem Grund sind einige Bereiche in Ihrem Haus privater als andere. Zum Beispiel schließen Sie möglicherweise die Badezimmertür und ziehen einen Duschvorhang zu, wenn Sie duschen.
Unter Sicherheit versteht man die diversen Tools und Mittel, die Sie verwenden können, um diese Rechte zu schützen und sicherzustellen, dass keine unbefugten Personen Ihr Haus betreten können. Sicherheit kann viele Formen annehmen und auf vielen Ebenen stattfinden. Das Zuziehen der Vorhänge in einem geöffneten Fenster wird z. B. andere Personen den Blick in Ihr Zuhause versperren, sie jedoch nicht daran hindern, durch das Fenster zu klettern. Die Haustür zu schließen ist etwas anderes, als sie mit Riegeln und Schlössern abzusperren.
Einige Bereiche werden erneut mehr Sicherheit als andere benötigen: die Badezimmertür, der Duschvorhang oder ein in die Wand eingebauter Safe. Jede einzelne Sicherheitsmaßnahme schützt vor anderen Bedrohungen und – was von besonderer Wichtigkeit ist – keine Sicherheitsmaßnahme wird Sie vor allen Bedrohungen schützen. Genau wie im richtigen Leben spielen Sie bei der Gefahrenabwehr eine zentrale Rolle: Wenn Sie eine Person in Ihr Haus lassen, ist es viel schwieriger, sich gegen eine von dieser Person ausgehende Gefahr zu verteidigen.
Informationssicherheitsrichtlinien definieren und umreißen, wie Sie sich auf verschiedenen Ebenen mit unterschiedlichen speziell für diesen Zweck entwickelten Tools gegen Bedrohungen verteidigen. So verwahren Sie vielleicht einige Wertgegenstände in einem versteckten Safe, der in eine Schrankrückwand in Ihrem Arbeitszimmer eingebaut wurde. Da in dem eigentlichen Zimmer bereits vertrauliche Informationen aufbewahrt werden, schließen Sie die Tür zu ihm ab. Zusätzlich schließen und verschließen Sie die Türen und Fenster Ihres Hauses und schalten die Alarmanlage ein, bevor Sie das Haus verlassen.
Richtlinien legen auch fest, welche Art von Wertgegenständen Sie an unterschiedlichen Orten verwahren. So ist Ihre Mikrowelle beispielsweise einfach zu ersetzen, wenn sie gestohlen wird, und stellt somit keine langfristige Sicherheitsbedrohung dar. Also können Sie sie unbesorgt auf der Küchenablage stehenlassen, so lange Sie die Haustür abschließen. Ihre Kontoauszüge sollten Sie jedoch lieber in Ihrem verschlossenen Arbeitszimmer aufbewahren, da sie personenbezogene Informationen enthalten. Und zu guter Letzt ist der Safe der beste Platz für den Diamantverlobungsring Ihrer Großmutter und Gegenstände von ähnlichem materiellen und emotionalen Wert.
Wie fügt sich Datenschutz in dieses Bild ein?
Datenschutz verbindet alle der oben aufgeführten Konzepte miteinander. In der digitalen Welt sind Ihre personenbezogenen Daten Ihr wertvollstes Gut. Datenschutz umfasst sowohl die Tools, die Ihnen zum Schutz Ihrer Daten zur Verfügung stehen, als auch die Art und Weise, wie Sie diese einsetzen können. Außerdem legt Datenschutz fest, wie andere Personen mit Ihren Sicherheitsmaßnahmen interagieren können. Zum Beispiel sollte es der Regierung nicht gestattet sein, einfach Ihre Alarmanlage auszuschalten, in Ihr Haus einzubrechen und Ihre Post zu lesen, wann immer ihr das in den Sinn kommt. Leider ist dies im Grunde genommen das, was die Regierung des Vereinigten Königreichs weiterhin zu tun erhofft, indem sie versucht, Ende-zu-Ende-Verschlüsselung zu blockieren.
Im gleichen Sinne: Wer möchte schon einen nicht abschaltbaren Teleschirm im Stile von Orwells 1984 in seinem Haus haben? Ein Unternehmen sollte nicht dazu in der Lage sein, eine Kamera in einer Ihrer Zimmerecken zu installieren oder ein nicht abschaltbares Mikrofon in Ihrem Wohnzimmer zu platzieren.
Oh, Moment mal… das ist doch genau das, was wir ihnen gestatten! In ihrer Standardeinstellung nehmen diese Mikrofone nur das auf, was im Anschluss an ihr jeweiliges Aktivierungswort (Siri, Alexa, Hello Google etc.) gesagt wird. Nichtsdestotrotz weiß jeder, der bereits einmal einen dieser sprachgesteuerten Assistenten verwendet hat, dass diese Tools oftmals Alltagsgespräche als Aktivierung missverstehen – ganz zu schweigen davon, dass böswillige Individuen diese Geräte hacken und so deren stets aktiviertes Mikrofon zu ihrem Vorteil missbrauchen könnten. Denken Sie daran, was dieser Artikel der ACLU wie folgt ausdrückt: „Insgesamt verursachen digitale Assistenten und andere IoT-Geräte eine dreifache Bedrohung für die Privatsphäre: durch Regierungen, Konzerne und Hacker.“
Wie fügt Verschlüsselung sich in dieses Bild ein? Handelt es sich bei ihr um ein Feature für Privatsphäre oder Sicherheit?
Die Verbindung von Privatsphäre und Sicherheit
Warum ist das Teilen von personenbezogenen Daten online so problematisch? Um mit unserer Analogie fortzufahren: Wenn Sie Ihre personenbezogenen Daten online teilen, lässt sich dies damit vergleichen, dass Sie Ihren Reisepass in das Haus eines Fremden mitbringen und dort in einem Tresor einschließen, zu dem dieser Fremde einen Schlüssel hat. Das Problem liegt darin, dass Sie möglicherweise keine klare Vorstellung davon haben, welche Sicherheitsvorkehrungen diese fremde Person getroffen hat. Schließlich könnte es durchaus sein, dass sie den Schlüssel an einen Haken direkt neben den Tresor aufgehangen und nicht einmal die Haustür verschlossen hat.
Eine Datenschutzverletzung findet dann statt, wenn ein Unternehmen Opfer eines Angriffs geworden ist und böswillige Dritte sich Zugriff zu dem Tresor, der Ihren Reisepass beinhaltet, verschafft haben. Diese können nun Ihre Daten für ihre eigenen schändlichen Pläne nutzen oder sie an den Höchstbieter verscherbeln. Und das Schlimmste daran: Wenn es um digitale Daten geht, werden Sie vielleicht niemals erfahren, dass eine Datenschutzverletzung stattgefunden hat – es sei denn, sie wird offengelegt, weil digitale Dateien so einfach zu kopieren sind.
Eine andere Art von Verletzung der Privatsphäre liegt dann vor, wenn Unternehmen die ihnen anvertrauten Daten für unethische Zwecke einsetzen oder auf eine Weise verwenden, die für diese Daten nicht gestattet wurde. In unserer Analogie könnte dies darin bestehen, dass Sie Ihre finanziellen Unterlagen in dem oben genannten Tresor aufbewahren, der Hausbesitzer diese dann liest und Sie anschließend mit Kreditangeboten bombardiert (auf diese Weise funktionieren Google-Werbungen). Der Hausbesitzer könnte Ihre Unterlagen sogar an eine Bank verkaufen, im Gegenzug für Hilfe bei seinen eigenen finanziellen Angelegenheiten und Entscheidungen (erinnern Sie sich an Cambridge Analytica?).
Einige Verschlüsselungsgegner behaupten, dass Privatpersonen ihre Privatsphäre opfern müssen, um Sicherheit durch den Staat zu ermöglichen. Dies hat zu einer Debatte um Hintertüren in Verschlüsselung und Massenüberwachung geführt. Dabei handelt es sich um ein Thema, das wir bereits zuvor angesprochen haben: Stellen Sie die Uhr ein Jahr zurück, um mehr zu erfahren.
Aus diesem Grund sollte jeder sich über die Risiken im Klaren sein, die mit dem Teilen und Speichern personenbezogener Informationen online einhergehen. Und was sogar noch wichtiger ist: Unternehmen müssen lernen, was sie tun können, um die ihnen anvertrauten Daten zu schützen.
Um Unternehmen und Privatpersonen gleichermaßen zu helfen, haben wir uns dazu entschlossen, aus Anlass des Datenschutztags eine neue Blog-Reihe zu veröffentlichen, um die wichtigsten Bedrohungen für unsere Daten im Jahr 2022 zu diskutieren. Schauen Sie hier öfters in den nächsten fünf Wochen vorbei, um zu erfahren, wie:
- Social Engineering (Phishing, Smishing) stets ausgefeilter wird;
- Erpressersoftware ist auch im Jahr 2022 allgegenwärtig, aber ein Tunnelblick im Bereich Cybersicherheit kann ebenfalls zur Bedrohung werden
- Lieferkettenangriffe, Schwachstellen in der Software von Drittanbietern und Sideloading Unternehmen weltweit beeinträchtigen könnten;
- Man-in-the-Middle-Angriffe inzwischen TLS-Verschlüsselung in bestimmten Szenarien umgehen;
- und warum DDoS-Angriffe leicht ausführbar und extrem schädlich sind.
Wir werden die Technologien hinter den jeweiligen Bedrohungen und die Unternehmen und Privatpersonen zur Verfügung stehenden Schutzmaßnahmen gegen diese Gefahren untersuchen sowie erkunden, wie Ende-zu-Ende-Verschlüsselung helfen kann. Schauen Sie demnächst wieder vorbei!