1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Bitkom: Offizielle Bürger-E-Mail der…

Re: Sicherheit und Behörden

Danke an alle Helfer!
Wir läuten hier mit den Freitag ein und bitten ins entsprechende Forum!
  1. Beitrag
  1. Thema

Re: Sicherheit und Behörden

Autor: wand 18.11.08 - 12:37

> Deine subjektive Interpration meiner Aussage ist sowas von daneben... lass mich bitte klarstellen, dass Deine Wahrnehmung nichts mit der Allgemeinheit zu tun hat. Du solltest ein paar Wissenslücken auffüllen und Dir klarmachen, worum es bei diesem Gesamtthema geht... Amtspersonen geniessen nunmal das höchste Vertrauen, da werden Deine Bedenken nichts dran ändern.

Wenn ich deine Aussage falsch interpretiert haben sollte, bedaure ich das. Allerdings muß ich dich dann auffordern, deine Aussagen präziser zu formulieren.

Nein, Amtspersonen genießen kein "höchstes Vertrauen [der Bevölkerung]". Wie kommst du darauf? Das würde letztendlich bedeuten, daß die Menschen grundsätzlich sehr einverstanden sind, mit all dem, was in diesem Land passiert. Das ist aber nicht der Fall.

> Vertrauen hilft hier nicht wirklich weiter... Mit ein wenig Hintergrundwissen könntest auch Du Dich von Deinen "Ängsten vor Unbekannten" lösen.

*lol* Zufällig konzipiere ich solche Systeme, wie sie unser Staat hier etablieren will.

> Was zum Henker willst Du denn da kontrollieren?

Ist diese Frage wirklich ernst gemeint? Warum gehst du zur Bank, wenn du 1000 Euro abheben willst und schickst nicht den Nachbarsjungen? Warum erscheinst du persönlich bei wichtigen Meetings und schickt nicht einfach den Praktikanten? Wenn du etwas verschlüsselst oder signierst machst du das nicht aus Jux und Tollerei, sondern weil du die Sicherheit brauchst, daß die EMail eben von dir stammt und nicht von jemand anderem. Ich brauche dazu keine Ängste oder sonstwas bemühen um das zu verstehen: Nur wenn du den gesamten Prozeß kontrollieren kannst (also selbst erledigst mit Algorithmen, die geprüft sind und auf die du dich verlassen kannst), dann hast du Sicherheit. Und zwar nicht ein sicheres Gefühl, was unser Staat hier vermitteln will, sondern Sicherheit als logische Konsequenz.

> Traust Du etwa auch nicht Deinem Postboten und bringst die Post eigenhändig zu den Empfängern?

Warum sendest du ein Einschreiben, wenn du wichtige Briefe versenden willst? Die Post bietet sowas an! Warum wohl? Deinen Worten nach wäre das ja nicht erforderlich. Trotzdem gibt es das - aus gutem Grund. Dir ist noch nie eine Sendung abhanden gekommen? Du hast noch nie einen falschen Brief zugestellt bekommen? Tja. Anderen Leuten ist das passiert.

Noch mal: Sicherheit gewinnst du nur, wenn alle Glieder deiner Kette vernünftig und korrekt sind. Kannst du in jedem Buch nachlesen, das sich mit Sicherheitsthemen in der Informatik befaßt. Wenn du auch nur bei einem einzigen Glied deiner Kette darauf vertrauen mußt, daß andere sicherheitstechnisch entscheidende Dinge korrekt für dich erledigen, bricht deine ganze Sicherheitsinfrastruktur zusammen wie ein Kartenhaus.

> Natürlich muss ich in einem sozialen Geflecht, meinen direkten Nachbarn ETWAS Vertrauen entgegenbringen, wie soll das sonst funktionieren?

Nein. Wenn du eine Technik etablierst, die Sicherheit bieten soll, gelingt das ausschließlich dann, wenn diese Technik nicht mißbraucht werden kann, du also in Punkto Sicherheit nicht ein Vertrauen in eine Technik haben mußt, sondern über deren Sicherheit Bescheid weißt. Es bringt dir nichts, zu glauben, daß etwas sicher ist. Allein ist entscheidend ob du WEISST, daß etwas sicher ist, weil es logisch deduzierbar ist. Dein Beispiel hinkt, weil du nicht zu deinem Nachbarn gehst und ihm sensible Daten anvertraust, sondern Menschen, die du überhaupt nicht kennst, die du nicht mal identifizieren kannst, noch deren Integrität feststellen kannst. Die Skandale der letzten Monate, insbesondere was die Telekom angeht, sollte dich eigentlich gelehrt haben, daß Vertrauen in ein Unternehmen nicht das ist, was einer technischen Lösung Sicherheit bescheinigt. Sicherheit gibts ausschließlich beim Einsatz einer sicheren Verfahrensweise. Und darin hat das Vertrauen in irgendwelche Unternehmen, die für dich signieren oder verschlüsseln m.E. überhaupt keinen Platz. Allerhöchstens dann wäre diese Sache sinnvoll, wenn du selbst die Signierung und/oder Verschlüsselung durchführen würdest. Alles andere ist sicherheitstechnisch ein Desaster. Es mag ausreichend sicher sein, wenn du deiner Liebsten eine EMail zum Hochzeitstag schreibst, aber es reicht nicht aus, wenn du sensible Daten, z.B. Verträge oder Produktinternas von A nach B versendest.

> Würde jeder von uns mit solchen Ängsten herumlaufen, sässen wir vermutlich noch in Höhlen und würden Jagen und Beeren sammeln!

Unsinn. Kein König oder Kaiser hat den nächst besten Straßenjungen als Boten engagiert, um sensible Nachrichten zu versenden, die wirklich von Bedeutung waren. Bei 6 Mrd Menschen auf dieser Welt hinkt dein Vergleich. Heute mußt du nun mal berücksichtigen, daß deine Kommunikation durch x beliebige, nicht vertrauenswürdige Hände geht. Was glaubst du denn, warum Unternehmen VPNs einrichten? Aus Jux und Tollerei?

> Ein Vertrauen ohne Zertifizierungsstelle funktioniert nicht!

Darum geht es nicht. Abgesehen davon, daß dies sachlich falsch ist: Es lassen sich durchaus Verfahrensweisen entwickeln, die sogar gar keine Zertifizierungsstelle benötigen. Und selbst wenn du eine nutzt, führst du typischerweise Maßnahmen ein, um sicherzustellen, daß du eben jener Zertifizierungsstelle vertrauen kannst: Zum Beispiel, in dem du die korrekte Arbeitsweise der Zertifizierungsstelle durch andere Prüfstellen sicherstellst.

> Es bringt mir die Sicherheit, dass meine geschützten Mails NICHT ohne erheblichen Aufwand mitgelesen werden können.

Wie gering dieser "erhebliche Aufwand" ist, solltest du Anhand der letzten Pressemeldungen zum Telekomskandal eigentlich erkennen können. Mein junger Freund: Es kostet einen Admin gerade mal 5 Minuten, eine entsprechende Software zu installieren, welche deinen EMail-Verkehr mitschneidet.

Wenn du deinem Nachbarn die Schlüssel deines Autos anvertraust, dann hast du EINE Gegenstelle, der du vertrauen mußt.

Wenn du eine Nachricht per De-Mail an eine Behörde senden willst, mußt du folgenden Personen vertrauen:
- dem Empfänger (Beamten) deiner EMail, daß er deine Daten nicht mißbraucht
- deinem Provider, also allen Leuten in der Technik, im technischen Management und im Vorstand
- dem Provider des Empfängers, also allen Leuten dort in der Technik, im technischen Management und im Vorstand
- dem gesamten BKA, daß sie deine Daten nicht fälschen
- dem BND, daß er deine Daten nicht mißbraucht

Das sind eine ganze Menge Menschen. Und eine ganze Menge Zwischenstationen über die du keinerlei Kontrolle hast. Du kannst deren Sicherheitsqualität nicht im geringsten nachprüfen.

Für mich ist das ein bischen viel an Vertrauen, das man da Zwischenstationen entgegenbringen muß. Denn man signiert oder verschlüsselt ja DESWEGEN, damit man KEIN Vertrauen irgendwelchen Zwischenstationen entgegenbringen muß. Ich wiederhole: Wenn ich tausenden oder gar zehntausenden von Leuten vertrauen muß, um Sicherheit zu erlangen, stimmt was vom Konzept her nicht.

>> Nein. Es sind noch nicht mal die Gesetze durch. Deswegen
>> gibts auch noch keine Technik.

> Wie soll ein Gesetz ohne Basis verabschiedet werden? An
> dem Tag, an dem das Gesetz verabschiedet wird, muss die
> Technik funkionieren. Dies bedeutet Vorarbeit, die
> momentan geschieht.

Die Vorarbeit ist irrelevant: Es gibt noch keine De-Mail-Technik, die du ganz persönlch JETZT HIER UND HEUTE nutzen kannst. Hingegen kannst du seit ca. 10 Jahren bestehende PK-Infrakstrukturen nutzen.

> Naja, Zeitung lese ich regelmässig und ich denke, dass ich
> als Informatiker genug Hintergrundwissen für diesen
> Themenbereich mitbringe.

Dann bedaure ich sehr es sagen zu müssen: Deine Fragen und die damit verbundene Unkenntnnis über die Prolematik von Sicherheitskonzepten verleitet mich zu dem Schluß, daß du deine IT-Kenntnisse offenbar mindestens ein kleines bischen überschätzt.

> Ich habe letztes Jahr noch ein Referat über "eGovernment in
> der BRD" gehalten und mich intensiv mit diesem speziellen
> Thema beschäftigt. Leider geschieht im Hintergrund sehr viel,
> von dem die Medien letztendlich nur ein Bruchteil berichten.

Aha. Vielleicht überrascht es dich, aber ich habe sogar an einem Lehrstuhl gearbeitet, der sich mit diesen Dingen befaßt hat. War selbst etwas involviert in diese eGovernment-Geschichten. Wahrscheinlich sogar zu Zeiten, als du noch nicht mal dein Studium begonnen hast. Und ich befasse mich seit dieser Zeit mit Sicherheitskonzepten. Und etliche Stunden täglich mit dem politischen Geschehen in diesem Land soweit es den IT-Sektor berührt.

Du hast schon Recht: Es geht nicht ohne Vertrauen. Das ist ja die Krux an der Sache: Wir müssen einen Scheiß-Aufwand treiben, WEIL wir niemanden mehr vertrauen können. Insbesondere deswegen auch, weil Vertrauen in gerade die Institutionen, die das Vertrauen für sich gepachtet haben, sich durch die Bank als nicht vertrauenswürdig erwiesen haben. Vertrauen wird systematisch von Wirtschaft und Politik zerstört. De-Mail ist ein vom Konzept her zum Scheitern verurteilter Versuch, das Vertrauen wieder etwas aufzubauen. Und zwar deswegen, weil die Vorbedingung für den Aufbau des Vertrauens das Vertrauen in diejenigen ist, welchen den Aufbau des Vertrauens durchführen wollen, in die wir aber kein Vertrauen haben können.


Neues Thema Ansicht wechseln


Thema
 

Sicherheit und Behörden

wand | 18.11.08 - 09:36
 

Re: Sicherheit und Behörden

John Wayne | 18.11.08 - 09:39
 

Re: Sicherheit und Behörden

wand | 18.11.08 - 09:44
 

Re: Sicherheit und Behörden

John Wayne | 18.11.08 - 10:34
 

Re: Sicherheit und Behörden

wand | 18.11.08 - 11:14
 

Re: Sicherheit und Behörden

John Wayne | 18.11.08 - 11:48
 

Re: Sicherheit und Behörden

wand | 18.11.08 - 12:37
 

Nachtrag

wand | 18.11.08 - 09:41
 

Re: Sicherheit und Behörden

Milano | 18.11.08 - 20:38

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. medavis GmbH, Karlsruhe
  2. OSRAM Opto Semiconductors Gesellschaft mit beschränkter Haftung, Regensburg
  3. über duerenhoff GmbH, Raum Mannheim
  4. Stadt Kehl, Kehl

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. Heute um 18 Uhr Release der RTX 3060
  2. Heute um 18 Uhr Release der RTX 3060


Haben wir etwas übersehen?

E-Mail an news@golem.de


The Legend of Zelda: Das Vorbild für alle Action-Adventures
The Legend of Zelda
Das Vorbild für alle Action-Adventures

The Legend of Zelda von 1986 hat das Genre geprägt. Wir haben den 8-Bit-Klassiker erneut gespielt - und waren hin- und hergerissen.
Von Benedikt Plass-Fleßenkämper


    MCST Elbrus: Die Zukunft von Russlands eigenen Prozessoren
    MCST Elbrus
    Die Zukunft von Russlands eigenen Prozessoren

    32 Kerne für Server-CPUs, eine Videobeschleunigung für Notebooks und sogar SSDs: In Moskau wird die Elbrus-Plattform vorangetrieben.
    Ein Bericht von Marc Sauter

    1. Anzeige Verkauf von AMDs Ryzen-5000-Serie startet
    2. Alder Lake S Intel bestätigt x86-Hybrid-Kerne für Desktop-CPUs
    3. Core i5-L16G7 (Lakefield) im Test Intels x86-Hybrid-CPU analysiert

    AfD und Elektroautos: Herr, lass Hirn vom Himmel regnen!
    AfD und Elektroautos
    "Herr, lass Hirn vom Himmel regnen!"

    Der AfD-Abgeordnete Marc Bernhard hat im Bundestag gegen die Elektromobilität gewettert. In seiner Rede war kein einziger Satz richtig.
    Eine Analyse von Friedhelm Greis

    1. Nach Börsengang Lucid plant Konkurrenz für Teslas Model 3
    2. Econelo M1 Netto verkauft Elektro-Kabinenroller für 5.800 Euro
    3. Laden von E-Autos Spitzentreffen zu möglichen Engpässen im Stromnetz