Me, the Bug – Warum Anwender die übelste Datenschutzlücke sind

.

Es hilft einfach nichts. Wir sind zu unsensibel, zu gleichgültig, zu dumm! Wie in anderen Lebensbereichen, erschaffen wir Dinge, ohne uns über allen Konsequenzen bewusst zu werden. Es ist vergleichbar damit, dass wir soweit sind, um auf den Planeten Mars Sonden schicken zu können, zur gleichen Zeit wir uns jedoch auf der Erde in aktuellen Kriegen zerfleischen.

Im Sinne unserer IT Technologie, stelle ich eine Analogie fest: Konzerne schaffen Technologien, die sie breit streuen, ohne den Menschen es bewusst zu machen, dass Sie sich damit auch schaden können. Wir geben ihnen Dinge in die Hand, welche zugleich soviel Technik besitzen, um die Mars-Sonde durch den Weltall bis zum Mars zu steuern, doch womit der Mensch sich zugleich in seiner Naivität selbst in Gefahr bringen kann, weil er es nicht versteht, oder nicht in der Lage ist, es zu verstehen. Es ist mir klar, dass es die Konzerne einen Dreck kümmert, ob ihre Käufer durch ihre Technologien sich selbst gefährden könnten, oder ausreichend aufgeklärt sind und mit einer gesunden Sensibilität die Technik zum fliegen bringen. Wir Menschen sind zum grössten Teil nicht so weit, um zu verstehen, was ein Datendiebstahl, eine Schutzlücke ihnen in der Konsequenz für einen Schaden anrichten könnte. Es ist schwer Menschen ein Übel beizubringen, was ihnen physisch nicht weh tut, selbst wenn man es dramatisiert.

Ein durchschnittlicher Mensch benötigt zwischen 25 und 30 Fahrstunden, um eine erfolgreiche Fahrprüfung absolvieren und den Führerschein erlangen zu können. Erst dann darf er, wenn wer die Theorie beherrscht und die erforderliche Minimalpraxis durch eine Prüfung nachgewiesen hat, im Strassenverkehr legal mitmischen.

Ganz anders gehen wir heute mit unserem Wissen, Daten und Informationen um. Praktisch jeder könnte heute in den Besitz eines Computers, Notebooks, Tablets oder Smartphones kommen und mit diesen Geräten anstellen, was diese in der Lage sind herzugeben: Emails, Dokumente, Bilder Videos etc. Dabei sind diese Geräte nicht etwa dauerhaft in der Garage eingeparkt, sie bewegen sich auf den Wegen, Strassen, Autobahnen der modernen Vernetzung, des Internets. Die Möglichkeiten sind dabei sicher noch nicht ausgeschöpft.

Im Gegensatz zum Führerschein im Strassenverkehr, wird das Fahren mit diesen Geräten jedoch von Anwender zu Anwender beigebracht, oder durch die Experimentierfreudigkeit eines halbwegs technikbegeisterten Anwenders. Jugentliche bringen die Bedienung ihren Eltern bei, Eltern ihren Eltern, oder man man lernt den Umgang durch Fragen von Freunden oder Artikel im Netz. Jetzt stelle ich mir doch gerade vor, diese Art von „Fahren lernen“ würde auf dem Strassenverkehr angewendet werden! Lieber nicht, der Gedanke ist beängstigend.

Vertrauen! Der Anfang allen Übels

Der „normale“ Benutzer geht oft davon aus, dass das, was er gerade wie einsetzt, schon seine Richtigkeit haben wird. Dabei beschäftigt er sich zu wenig mit dem Gedanken, dass der falsche Umgang, das Unwissen darüber, wie er denn die Technologie zum Einsatz bringt, grössere Gefahren für ihn und seine sensiblen Daten erzeugen können. So kann es beispielsweise der Fall sein (und es kommt leider nicht gering vor), dass ein Benutzer bei einer ungewollten Konfiguration all seine Bilder, Videos, Kontakte, Aufnahmen jeglicher Art mit den Servern von Google oder anderen App-Anbietern synchronisiert. So landen dann auch etwa aufgenommene Bilder auf den entfernten Systemen dieser Anbieter, obwohl eine Person, die auf solchen Bildern belichtet wurde, evtl. garnicht will, dass sein Bild bei Google landet. Wenn man Google+ benutzt, dann ist bei einem Andriod Phone das automatische Archivieren ohnehin von Werk aus eingeschaltet. Somit landen alle Daten, die Synchronisiert werden sollen regelmässig bei Google.

Ich meine, es ist schon etwas praktisches, wenn man mehrere Geräte im Einsatz hat und sich nicht ständig um die Synchronisation zwischen diesen Geräten wie Kontakte, Bilder etc. kümmern muss. Mit nur einem Konto stehen alle Daten auf allen Geräten aus der Google Cloud zur Verfügung. Aber will man das wirklich? Muss ich denn auf meinem Tablet wirklich alle Bilder zur Verfügung haben, die ich mit meinem Smartphone geschossen habe und die mir Google über Andriod automatisch abgreift, weil ich keine Ahnung davon hatte, dass es das tut?

Wieviel Grundeinstellung braucht ein Benutzer und wieso gibt man sich beim Einschalten eines neuen Smartphones damit zufrieden, dass man beispielsweise nur Sprach- und Regionseinstellungen vornimmt, das Konto einrichtet, WLAN Einstellungen vornimmt, und nur einpaar weitere wenige Einstellungen vornehmen muss, während das Phone automatisch darauf ausgerichtet ist, alles zu synchronisieren, was es in die Hände bekommt? Warum gibt es kein Wizzard, welches einen nicht versierten Benutzer entscheiden lässt, ob er überhaupt seine Daten synchronisieren möchte?

Die grösste Frage ist für mich: Warum muss ich überhaupt einen Google-Konto haben, um Apps installieren und aktualisieren zu müssen. Warum sind die meisten Smartphones, welche mit Android bestückt sind, so fest mit Google verdrahtet, so dass ich kein Google-freies Android von der Stange kaufen kann? Zweifelsohne hängt es damit zusammen, dass es überhaupt Google war, dass das Android System soweit gebracht hat. Natürlich gibt es mittlerweile andere Derivate des „freien“ Betriebssystems. Cyanogenmod ist eines dieser Beispiele. Aber die Community ist leider noch nicht so stark wie die Übermacht Google, um alle möglichen Hardware zu bedienen und so manche Treiber und Funktionen stecken noch in den Kinderschuhen. Ebenfalls sind alternative App-Stores für die meisten Benutzer eher unbekannt. SIe wissen nicht einmal, dass neben Googles Play Store noch weitere Marktplätze existieren, worüber sie ihre Apps beziehen könnten. Eines dieser alternativen Marktplätze ist bspw. 1Mobile oder Yandex Store.  Natürlich sind diese nicht unbedingt so umfangreich wie die Google Variente, welche mittlerweile mehr als 70.000 Apps zu allen möglichen Kategorien und Bedürfnissen anbietet, kostenlos und kostenpflichtig.

Man brauch nicht lange nachdenken, um zu verstehen, dass all dies nur ein Teil des gesamten Geschäftsmodells ist. Es ist nicht gewollt, dass der normale Benutzer zu sehr nachdenken soll, sich mit diesen Dingen wie „Was will ich preisgeben und was nicht“ beschäftigen soll. Das Android-Betriebssystem ist so ausgelegt, dass der Nutzer besonders viele Freiheiten genießt. Im Gegenzug soll er seine Daten und Infomationen preisgeben, die eigentliche Einnahme von Konzernen wie Google, Microsoft, Facebook & Co.

So landen dann nach und nach Gigabyte Weise Daten bei diesen Anbietern, ohne dass der Nutzer sich tatsächlich dessen bewusst ist, dass er durch den Einsatz seines Phones, welches er in der Standardkonfiguration oder in der leichtsinnigen Klickerei so eingesetzt hat, dass z.B. bei jeder WLAN Verbindung seine Daten dann automatisch im Hintergrund synchronisiert werden, und damit auch sensitive Informationen anderer, die es garnicht wollen, dass sie synchronisiert werden. Doch damit lassen sich Muster besser abbilden, Verhaltensmuster, Kaufgewohnheiten, Orte in denen man sich am meisten aufhält, Shops die man am meisten besucht, Webseiten die man oft aufruft etc… BIG DATA eben 😉

Nicht nur Smartphones sind das Werkzeug des Übels

Es klingt so, als hätte ich es auf Google und die Android Phones abgesehen. Dem ich aber nicht so. Denn ich selbst bin irgendwann mal von EI-FON auf ANDRO umgestiegen. Ich fand die Möglichkeiten von Apple wiederum zu sehr eingeschränkt: Jailbreaks, die eingeschränkten Konfigurationsmöglichkeiten, die umständlichen Synchronisationen über iTunes etc. Doch egal was man benutzt, es hat irgendwie alles seine Vor- und Nachteile. So manchmal sehne ich mich schon zurück zu den Zeiten von Nokia 3310 o.ä. ))) Akku hält eine Woche, man telefoniert oder simst. Das war’s 🙂 Aber um ehrlich zu sein, die Möglichkeiten heute will man dann irgendwie doch nicht mehr missen, wenn man sie einmal kennengelernt hat.

Betrachten wir aber noch weitere Werkzeuge, die wir, das Übel, falsch nutzen und somit uns sowie andere mit unserer Unachtsamkeit, unserer Gleichgültigkeit und unserer Einstellung „Es wird schon nichts passieren“ ständig in neue Gefahrensituationen manövrieren. Dabei fällt mir eines von sehr vielen Beispielen ein.

Die Personalvermittler. Diese Sorte von Menschen sind in ihren beruflichen Aktivitäten eine ganz ganz üble Sorte und ständig eine Gefahr für den Datenschutz und der Informationssicherheit. Eigentlich müsste ich ständig irgendwelche Personalvermittler verklagen, die zugrundeliegenden Datenschutzgesetze anwendend. Haben sie schonmal mit einem Personalvermittler zu tun gehabt? Wenn sie dann noch fachlich im Bereich der Sicherheit arbeiten, wird es ihnen spätestens dann übel, wenn diese Vermittler mit Ihnen Daten austauschen wollen. Soviel Unbekümmertheit und Ignoranz gepaart mit Unwissen und der Gedanke am Bonus, den man über ihre Vermittlung bezieht, lässt diese Leute über Datenleichen gehen. Es klingt zugegebener Massen übertrieben, aber ich würde es nicht schreiben, wenn ich es nicht genau so erlebt hätte.

Hier einmal eine kurze Anekdote 🙂 skullmarotte

Ich hatte einmal auf eine Anzeige reagiert, von einem Personalvermittler, der Exklusivmandate bei renommierten Unternehmen als Vermittler hatte. Als es soweit war, meine Unterlagen auszuhändigen, fragte ich, ob es eine Möglichkeit gäbe meine Daten verschlüsselt zuzustellen, z.B. mithilfe von PGP oder eines Kundenportals über SSL. Zuletzt meinte ich, dass ich meine Daten ZIP Verschlüsselt übermitteln werde und das Passwort dazu per SMS zustellen werde. Der Vermittler schaffte es einfach nicht, ein einfaches ZIP File mit dem Passwort zu entpacken. Letztlich wurde er ungeduldig und fragte mich allen ernstes, ob ich die Dateien nicht einfach mal per E-Mail unverschlüsselt senden könnte. Ich meine, es ging um eine Stelle im Bereich der Information Security. Und es wäre das Mindeste, dass man von einem Personalvermittler erwarten darf, dass wenn dieser um solche Stellen wirbt, er sich wenigstens etwas sensibilisiert hat. Aber diesen Menschen geht es nicht um die Fächer oder Branchen in denen sie vermitteln, sondern um die Tantieme, die sie erhalten, wenn sie den Mann an den Kunden bringen. Es ist ein Armutszeugnis, denn zugleich mache ich mir Gedanken um das „Danach“. Sind meine Daten bei diesen Unternehmen sicher? Wie gehen diese mit meinen Daten und Informationen um? Sind deren IT Systeme überhaupt sicher? Kennen sie die Gesetze und halten sie sich auch daran (Mal abgesehen von den Risiken, denen sie andere mit ihrem unbekümmerten Handeln aussetzen)?

Tatsächlich ist es so, dass viele Menschen immer noch zu unbekümmert, zu unsensibel mit all der heutigen Technologie durch das Leben gehen. Während wir niemals vergessen unsere Haustüre abzuschliessen, den Menschen die wir nicht kennen, keinen Vertrauen zu schenken, denken wir immer noch, dass wir in der digitalen Welt all diese Präventivmassnahmen nicht bräuchten.

„Was soll denn schon jemand mit all meinen Bildern, meinen Dokumenten, meinen Kontakten anfangen? Sollen sie mich doch hacken, bei mir gibt es nichts zu holen.“

Diese oder ähnliche Aussagen bekomme ich immer, wenn ich mit Menschen rede, die ich zu den lebenden Bugs unserer Gesellschaft zuordne. Wenn es aber dann soweit ist, dass die Privatsphäre verletzt wird, Bilder oder Daten plötzlich an Stellen auftauchen, an denen man sie nie erwartet hätte, dann wechseln sich die Farben der Gesichter genau dieser Menschen.

Ich frage mich oft wann der Mensch beginnen wird etwas mehr nachzudenken. Wenn wir ein gebrauchtes Auto kaufen wollen, unterstellen wir dem Verkäufer bereits vor dem ersten Anruf, dass der Wagen evtl. eine Macke haben könnte, die der Verkäufer verschweigen könnte. Dass ist die natürliche Schutzhaltung eines jeden. Doch warum vertrauen wir zu sehr darauf, dass uns in der virtuellen Welt nichts passieren könnte? Weil wir es nicht verstehen? Oder weil wir noch keinen Schaden erlitten haben, der uns weh tun könnte? Schon interessant, dass wir heute so viele komplexe Dinge im Alltag beherrschen, unseren Beruf, den Verkehr, eine Waschmaschine )) Aber wenn ich versuche jemandem beizubringen, dass z.B. es von sehr grosser Bedeutung ist, sich ein Passwort anzulegen, welches nicht leicht zu erraten ist und eine Mindestlänge sowie Komplexität besitzen sollte, ist die Ablehnung immer wieder die Gleiche: Zu schwer zu merken, zu kompliziert. Es ist weder das eine, noch das andere. Der Mensch ist zu bequem, zu desinteressiert.

In all unserer technischen Entwicklung, bleiben wir also weiterhin das schwächste Glied in der Kette. Denn alles was wir erschaffen und einsetzen, ist so unvollkommen wir er selbst… Wundern wir uns also nicht, dass wir genau das tun, was manche möchten, dass wir es genau so tun.white-stupid-cute-cartoon-sheep-300px

Zu Zeiten des IoT Hypes, wo jeder Hersteller aufgrund des Konkurrenz- und Zeitdrucks ihre nun endlich vernetzten Toaster, Kühlschränke und Waschmaschinen etc. mit Sicherheitslöchern und für jeden DAU anwendbar möglichst einfach gehaltenen Standard-Setups nur so auf den Markt schleudern, brauchen wir uns über IoT-DDOS-Botnetze nicht wundern. Sicherheit ist weiterhin nur ein Kostenfaktor für viele Unternehmen, immer noch keine Notwendigkeit und auch keine Selbstverständlichkeit. Dabei hat doch die Sicherheitsindustrie mehr als nur davor gewarnt, dass die Risiken deutlich zu erkennen sind. Genützt hat es nichts. Profit geht immer vor Sicherheit. Et Voila 😉 Haben sie in den Medien gelesen, dass ein CEO eines dieser Unternehmen zurückgetreten ist? Sicher nicht.

Doch welcher Risk Manager all dieser profitgierigen Unternehmen hätte je gedacht, dass man aus ihren sicherheitstechnisch durchlöcherten Geräten je ein Bot-Netz hätte bauen können, welches das halbe Internet lahm legen könnte, ohne das halbe Internet selbst anzugreifen sondern durch die Erblindung der Namensauflösung? Unwissen ist das grösste Übel unserer Zeit, welches aus der Konsequenz heraus den Bug „Mensch“ erneut die Existenzberechtigung verschafft.

(red)

 

Diesen Beitrag teilen:

1 Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*