[gadi14] Wie sichtbar soll Sicherheit sein?
Letzte Woche schrieb ich über Snowdens Talk auf der TED2014 Konferenz. Einen von ihm (und vielen anderen) besprochenen Punkt habe ich jedoch noch nicht erwähnt: Seine Forderung nach benutzerfreundlichen Tools zur sicheren Kommunikation.
(Crosspost meines vierten Artikels aus dem Lehrveranstaltungs-Blog von Gesellschaftliche Aspekte der Informationstechnologie.)
Sicherheit überall?
Wir alle nutzen mittlerweile das Internet. Nicht nur auf unserem Laptop oder PC, sondern immer häufiger auch am Smartphone. Ein großer Teil der digitalen Kommunikation erfolgt mittlerweile über mehr oder weniger sichere Kanäle. Meist ist jedoch nur die Verbindung vom Gerät zum Server verschlüsselt (TLS/SSL/HTTPS), und das ist oft auch ausreichend. Die dadurch entstehende Sicherheit ist für User üblicherweise unsichtbar, und das ist wohl gut so.
User bei Bewusstsein?
Man denke jedoch an die Panik, die auftritt, wenn ein Browser einmal ein ungültiges HTTPS-Zertifikat meldet. Woher der Fehler kommt, was er bedeutet, und das er oft durch das Einstellen der richtigen Systemzeit leicht behoben werden könnte, ist den meisten Usern nicht bewusst. Genauso wenig wissen die wenigsten überhaupt etwas von der Existenz der “Transport Layer Security”, geschweige denn, was dieser Begriff eigentlich bedeutet. Das Problem beginnt wohl schon bei der Tatsache, dass die wenigsten wissen, wie Netzwerke überhaupt funktionieren. So kommt es, dass es sich noch immer nicht wirklich herumgesprochen hat, wer eigentlich alles die Mail lesen könnte, die man da gerade aus dem Zug an seineN FreundIn schickt.
Aufklärung hilft, aber …
Aufkommendes Bewusstsein der Medien und Veranstaltungen wie die CryptoParty (findet übrigens diesen Freitag auf den Grazer Linuxtagen wieder statt) schaffen hier zwar vereinzelt Abhilfe, können aber bisher nicht die nötige Masse erreichen.
Neben dem fehlenden grundlegenden Verständnis von digitaler Kommunikation und dem schwachen Sicherheitsbewusstsein mangelt es aber vor allem auch an einem: An benutzbaren Tools.
Im Gegensatz zu den meisten am Transport Layer arbeitenden Verschlüsselungen braucht man für viele Tools, insbesondere jenen, die eine Ende-zu-Ende Verschlüsselung sicherstellen, nämlich sowohl Kenntnis dieser Tools, als auch die Fähigkeit, sie zu benutzen.
Und so ist es an der “Crypto-Community”, nicht nur neue, sichere Systeme zu schaffen, und Verschlüsselung endlich zum alternativlosen Standard zu erklären, sondern auch benutzbare Systeme.
Zwar haben die Aufdeckungen von Edward Snowden in der Community und auf den Konferenzen für ein wenig Bewegung gesorgt, es ist jedoch immer noch viel zu tun.
Transparent Security?
Um abschließend auf den Titel dieses Posts zurückzukommen: ich glaube, dass die Implementierung von digitaler Sicherheit so unsichtbar wie möglich sein soll, User aber dennoch die grundlegenden Prinzipien verstehen müssen. Insbesondere jene Bereiche, die (soziale) Interaktion erfordern, wie beispielsweise das Web of Trust.
So liegt es an uns TechnikerInnen, Tools zu bauen, die auch von jenen verwendbar sind, die keinen Abschluss in Informatik haben. Jabber-Clients mit eingebautem OTR und sichere Webmail-Systeme können nicht alles gewesen sein.
Oder was meint ihr?
