Kleben Sie die Kamera Ihres Computers zu, bevor sie ihn unbeaufsichtigt und ungesperrt in einer öffentlichen Bibliothek stehen lassen. So können alle Anwesenden sehen, dass Sie sich mit Datenschutz und Sicherheit auskennen.
Schlagwort-Archive: Bedrohungsmodell
Rezeptdatenhandel
Wer Gesundheitsdaten missbraucht, will bestimmt Patientenprofile anlegen und damit irgend etwas böses tun. Das scheint plausibel, wenngleich irgend etwas böses selten klar definiert wird, und spielt im Bedrohungsmodell der mühsam im Inkubator am Leben gehaltenen Gesundheitskarte eine zentrale Rolle. Nur halten sich Angreifer nicht an Angreifermodelle:
»Mit den Rezeptdateien, die nicht anonymisiert worden waren, konnten die Unternehmen eventuell nachvollziehen, welche Medikamente von bestimmten Arztpraxen verschrieben wurden. Derartige Informationen würden es ermöglichen, die Arbeit von Außendienstmitarbeitern zu kontrollieren. So könnte man demnach überprüfen, ob Ärzte nach den Besuchen von Vertretern der Pharmaindustrie häufiger bestimmte Medikamente verschreiben.«
(Heise Online: Bericht: Illegaler Handel mit Rezeptdaten)
Warum das verboten ist, spielt keine so große Rolle. Interessanter finde ich die Frage, ob man solche Angriffe im Entwurf unserer Gesundheits-IT berücksichtigt hat. Mehrseitige Sicherheit ist ja kein völlig neues Konzept.
Cyber-Krieg, nüchtern betrachtet
Die Süddeutsche hat James A. Lewis (vermutlich den hier) zum Thema Cyberwar interviewt. Herausgekommen ist eine Reihe vernünftiger Ansichten wie diese:
»Ein Staat würde für den Einsatz von Cyberwaffen die gleiche Art militärischer Entscheidungen vornehmen wie für jede andere Art von Waffen. Welchen Vorteil bringt es, die Stromversorgung zu kappen? Und was sind die Risiken dabei? Wenn die USA und China im südchinesischen Meer kämpfen, ist das ein begrenzter Konflikt. Wenn China zivile Ziele auf dem Gebiet der USA attackiert, ist das eine ungeheure Eskalation, die das Risiko birgt, dass die USA auf chinesischem Boden zurückschlagen. Streitkräfte werden gründlich darüber nachdenken, bevor sie einen solchen Angriff wagen. Dazu kommt, dass solche Attacken schwierig sind, und wir dazu neigen, den Schaden zu überschätzen, den sie anrichten. Ich kann mir nicht vorstellen, warum jemand sich die Mühe machen sollte, die Wasserversorgung anzugreifen.«
(sueddeutsche.de: „Wir müssen unsere Verteidigung stärken“)
Lewis betrachtet das Thema nicht im Hollywood- oder Scriptkiddie-Modus, sondern konsequent aus einer militärischen Perspektive. Militärs handeln rational, sie verfolgen taktische und strategische Ziele mit verfügbaren Mitteln und gegen die Handlungen eines Gegeners. Daraus ergibt sich auch das Angreifermodell, das der Verteidigung zugrunde liegt, wie oben im Zitat illustriert. Cyber-Krieg, so Lewis‘ Paradigma, ist keine neue Form des Krieges, die andere verdrängt, sondern eine neue Waffengattung, die den Krieg nicht grundlegend reformiert.
Juristen sind Pragmatiker
Wenn Security- beziehungsweise Kryptographie-Nerds über die Welt reden, benutzen sie gerne Begriffe wie Beweisbarkeit und Nichtabstreitbarkeit. Diese Begriffe haben eine spezifische technische Bedeutung, sie werden aber auch von anderen verwendet, etwa von Juristen – in anderer Bedeutung. Vermischt man die Bedeutungen in verschiedenen Kontexten, so kommt man leicht auf die Idee, dass elektronische Signaturen oder elektronische Personalausweise eine unheimlich wichtige Sache seien. Nur durch die Hinterlegung landläufiger oder juristischer Begriffe mit gleich benannten, aber inhaltlich verschiedenen technischen Begriffen könne man IT-gestützte Dienste und Abläufe so gestalten, dass sie technisch und rechtlich sicher seien.
Juristen sehen das alles viel entspannter. Wie das Lawblog berichtet, hat das Oberlandesgericht Hamm eine Vereinssatzung für rechtmäßig erklärt, die Mitgliederversammlungen in einem Chatraum vorsieht. Dem Security-Nerd ist das ein Graus: Was da alles passieren könnte! Die Juristen hingegen gehen pragmatisch an die Sache heran. Wenn es keine offensichtlichen, konkreten Probleme gibt, lasst die Leute doch erst mal machen. Wenn’s dann doch Streit geben sollte, kann man sich immer noch vor Gericht treffen und über konkrete Vorwürfe reden.
Damit liegen die Juristen richtig, denn sie bedienen sich intuitiv eines statistischen Bedrohungsmodells. Theoretische Möglichkeiten interessieren den Juristen nicht so sehr, solange sie sich nicht in seiner Lebenserfahrung oder in konkreten Beweisen widerspiegeln. Damit werden theoretische Möglichkeiten, die in der Realität selten vorkommen, geringer gewichtet als erfahrungsgemäß tatsächlich auftretende Sachverhalte. Das so gebildete Modell kann in den zugrundeligenden Annahmen oder in seiner Anwendung auf einen Einzelfall falsch sein; dann haben wir was zu meckern. Aber es ist, gerade wenn es um Voraussagen über Risiken geht, angemessen. Was erfahrungsgemäß vorkommt, wird ernst genommen, weil genügend dokumentierte Fälle vorliegen. Bloße Möglichkeiten dagegen bleiben unberücksichtigt.
Abstrahiert man von den Details konkreter Abläufe, landet man damit genau bei der Definition einer Bedrohung. Eine Bedrohung setzt sich zusammen aus Interessen bzw. Zielen und Fähigkeiten. Beide Komponenten sind erforderlich: ohne Interesse sind die Fähigkeiten egal und ohne Fähigkeiten spielen die Ziele keine Rolle. Erst wenn beides zusammenkommt, wird ein Angriff daraus. Security-Nerds schauen nur auf die Fähigkeiten und ignorieren die Ziele.
DDoS
Welches Hackertool nimmt man, um einen Denial-of-Service-Angriff gegen eine kritische Infrastruktur ins Werk zu setzen? Genau, das Gesetzbuch:
»Schon gestern war der Tiergartentunnel ohne Vorwarnung gesperrt worde. Kurzzeitig war das zwar vorgesehen, aber der Grund für die Dauersperrung ist ein bizarres Datenschutzproblem: Nach Auskunft der Stadtentwicklungsverwaltung wurden die Bilder aus den Überwachungskameras aufgezeichnet, obwohl die Kameras nur der augenblicklichen Kontrolle des Verkehrs dienen sollen.«
(Tagesspiegel: Verkehr lahmgelegt: Stadtweites Chaos durch Nato-Gipfel und Tunnelproblem)
Wir haben viel zu wenig Phantasie. Hand aufs Herz, wem wäre Datenschutz-DoS als Bedrohung eingefallen?
Positiv denken
Grandios! Gideon Böss fordert auf der Achse des Guten den Friedensnobelpreis für Stuxnet:
»Wenn jemand es verdient hat, den (nächsten) Friedensnobelpreis zu bekommen, dann ja wohl Stuxnet! Dieser geniale Computervirus, der das iranische Atomprogramm mindestens empfindlich gestört, wenn nicht gar gestoppt hat. Die Anlagen, in denen die Mullahs ihre Bombe bauen wollten, sind aktuell kaum betriebsfähig. Im Grunde sind es Ruinen, ohne dass sie durch Bomben zerstört wurden. Kein Mensch wurde bei diesem vernichtenden Angriff getötet oder auch nur verletzt.«
Als Bedrohung für die IT-Sicherheit ist Stuxnet übrigens irrelevant. Wer keinen fähigen Geheimdienst zum Gegner hat, muss wenig befürchten. Und wessen Angreifermodell solche Geheimdienste umfasst, der hat mit dem gängigen Security-Spielkram sowieso keine Chance. Unser Business ist eine Farce.
P.S.: Neusprech.org und das Sprachlog beschäftigen sich gerade mit Cyberwar als Cyberwort.
Gezielte Verteidigung
Ein gutes Bedrohungsmodell erleichtert die Verteidigung, indem es gezielte Sicherheitsmaßnahmen ermöglicht. Das demonstrieren uns Ladeninhaber, die ihre Alarmanlagen mit Nebelmaschinen koppeln. Diese Idee ist vermutlich gut: Einbrecher kommen mit dem Ziel, schnell und einfach eine gewisse Menge Waren mitzunehmen, ohne dabei gefasst zu werden. Dichter Nebel stört dabei. Er verhindert zwar nichts, verlangsamt aber Vorgänge: das Auffinden der Beute, das Heraustragen und gegebenenfalls auch die Flucht, was das Risiko der Täter erhöht. Außerdem kostet Nebel nicht viel, gewiss weniger als eine strikt präventive Ausstattung des gesamten Gebäudes mit einbruchshemmenden Maßnahmen. Alle Schäden verhindert er nicht, aber zur Reduktion taugt er allemal.
Was macht ein Bedrohungsmodell brauchbar? Das ergibt sich daraus, wozu man dieses Modell braucht: man möchte im Modell die mutmaßliche Wirksamkeit und Eignung von Sicherheitsmaßnahmen diskutieren, einschätzen und vergleichen. Die so begründeten Entscheidungen sollen später mit hoher Wahrscheinlichkeit den Realitätstest überstehen.
Groteskes Bedrohungsmodell
Nerdcore gräbt ja immer wieder großartige Sachen aus. Diesmal: The Horribly Slow Murderer with the Extremely Inefficient Weapon, ein grotesker Kurzfilm basierend auf einem grotesken Bedrohungsmodell.
Hüten Sie sich vor dem Spießer von nebenan
In de.rec.fahrrad fand ich einen Hinweis auf einen Artikel der Frankfurter Rundschau, der dem einen oder anderen vielleicht bei der Justierung seines Bedrohungsmodells hilft:
»Die Tatsache, dass es sich bei Selbstmordattentätern meist um gesittete Bürger handelt, scheint auf den ersten Blick ein Widerspruch zu sein. Schließlich besteht die Mittelschicht zum größten Teil aus gebildeten, artigen Familienmenschen und nicht aus Schlägern und Kriminellen, die wir uns unter Terroristen vorstellen. Sie haben wenig Ähnlichkeit mit englischen Football-Hooligans oder anderen Krawallmachern.«
(weiter: Taktiker und Krieger aus der Mittelschicht)
Dort geht es nicht nur um Selbstmordattentäter, sondern um Gewalt überhaupt. Autor des Artikels ist der Soziologe Randall Collins, der darüber auch ein Buch geschrieben hat.
Achten Sie auf Ihren Nachbarn.
Sicher ist sicher? 