Die Reaktionen fallen stets interessant aus, wenn ich im Rahmen von Apéros oder anderen Zusammenkommen in beruflichem Kontext das Wort Facebook erwähne. Durch ein Involvement im Informationssicherheitsbereich scheint die Nutzung von sozialen Netzwerken zu einem unmittelbaren und nur schwer zu rechtfertigenden Fauxpas zu werden.

Fragt man die Kritiker von Onlinediensten wie Facebook nach ihren Gründen, so hört man oft die selben Sprüche. Wenn du nicht dafür bezahlst, bist du nicht der Kunde, sondern die Ware!” ist einer der momentanen Favoriten.

Es ist ja nun nicht so, dass ich behaupten würde, dass diese Äusserung falsch ist. Ich würde aber soweit gehen zu sagen, dass sie naiv ist. Nicht nur impliziert sie, dass bezahlte Dienste somit als unproblematisch zu betrachten sind, sondern auch, dass die Nicht-Partizipation an sozialen Netzwerken automatisch zu einer massiven Verbesserung der persönlichen Sicherheit führt.

Ich wage nun zu behaupten, dass diese Äusserung im Zentraleuropa des 21. Jahrhunderts grundsätzlich als falsch zu betrachten ist. Gerade im Hinblick auf das vieldiskutierte Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF), aber auch viel trivialere Dinge, wie Coop Superpunkte oder Cumuluskarten der Migros, erscheint es etwas dramatisch und gleichzeitig inkonsistent, sich punktuell zum Thema Datenschutz zu äussern.

Konsequent die Integrität und den Schutz der eigenen Daten aufrechtzuerhalten, ist unglaublich komplex geworden und ist für die meisten Bürger nicht vereinbar mit dem Alltag. E-Mail Verschlüsselung ist seit über einer Dekade mittels PGP problemlos möglich und benötigt, einmal installiert, exakt einen einzigen Klick. Und die Erfahrung aus diesen mehr als zehn Jahren hat uns eines gezeigt: Das ist ein Klick zu viel.

Die Beispiele gehen aber weiter: Die Nutzerzahlen, die die Messaging-App WhatsApp verzeichnet, sind astronomisch hoch. Threema, der als sicher geltende Konkurrent kann trotz ähnlich hohen Zuwachszahlen nur von vergleichbaren Werten träumen. Die Reaktionen der breiten Nutzerschaft, die auch nach dem Erwerb von WhatsApp durch Facebook an Bord blieben, zeigen: Bewährt ist beliebter als sicher.

Es ist eine bittere Pille für viele Neuankömmlinge in der Branche der Informationssicherheit, dass Sicherheit nicht immer erste Priorität geniesst. In Tat und Wahrheit wird sie oftmals einer langen Liste von anderen Bedürfnissen untergeordnet. Sicherheit ist, speziell im Consumer-Markt, kein Verkaufsargument, sondern eine stillschweigende Erwartung an ein professionelles Produkt, die bestenfalls im Falle eines späteren Zwischenfalls als Grund zur Entrüstung dient.

Die Frage, die sich aufdrängt, ist: Wie hoch ist der Sicherheits- und Datenschutzbedarf eines durchschnittlichen Bürgers? Und, wenn die Antwort impliziert, dass grundsätzlich auch nur ein geringer Bedarf vorhanden ist: Wie sehr sollte die Stillung dieses Bedarfs in der Verantwortung des einzelnen liegen?

Klar ist, dass durch die Geschehnisse der jüngeren Vergangenheit, allem voran der NSA-Affäre, ein höherer Schutzbedarf empfunden wird. Das Argument “Ich habe ja nichts zu verbergen” wurde plötzlich – zu Recht – in Frage gestellt durch den implizierten Generalverdacht breitflächiger Überwachung regulärer Bürger ohne spezifischen Verdachtsmoment.

So liegt es nahe zu vermuten, dass die Antwort so oder so nicht absolut ist. Ich glaube nicht, dass Trivialkommunikation, wie sie jeden Tag in unvorstellbarem Volumen anfällt, verschlüsselt und authentisiert stattfinden muss. Das heisst allerdings nicht, dass Lösungen, die von Haus aus derartige Sicherheitsmassnahmen implementieren, nicht einen Schritt in die richtige Richtung darstellen.

Es liegt auch auf der Hand, dass wir trotz aller Technologie ein essentielles Problem nicht lösen werden, wenn man es denn als Problem betrachten will: Bis zu einem gewissen Mass ist die Exponierung gegenüber Aussen in den meisten Fällen gewollt. Wer Daten auf Facebook preisgibt, weiss – oder sollte wissen – dass diese mehr oder minder öffentlich einsehbar sind. Die meisten Cumulus-Karteninhaber wissen vermutlich, dass die Migros mit ihren Karten nicht nur Kundenbindung verfolgt, sondern wichtige Marktforschungsinformationen erfasst. Und wer eine Postkarte verschickt, der weiss auch, dass der Postbote unter Umständen sehen kann, dass das Croissant unter dem Eiffelturm horrend teuer, das Wetter aber prächtig war.

So bleibt zu hoffen, dass all die Verunsicherung, die wir als Sachverständige aus der Tagespresse und aus Gesprächen mit Freunden und Verwandten spüren, uns letzten Endes in eine Zeit führt, in der Sicherheit zwar immer noch kein Verkaufsargument, aber eine Grundanforderung darstellt.

Dieser Prozess wird aber noch viel Zeit in Anspruch nehmen und ist nicht damit erledigt, sämtlichen Kollegen Threema und PGP aufzudrängen. Wie der Volksmund sagt: Gut Ding will Weile haben.

Über den Autor

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard (PTES) und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.

Links

• http://www.admin.ch/opc/de/classified-compilation/20002162/
• http://www.whatsapp.com
• https://threema.ch