Die halbe Wahrheit

Langsam spricht sich herum, dass mikoskopische Sicherheitsbetrachtungen zwar nicht unnütz sind, für sich genommen jedoch wenig aussagen. Ob Daten verschlüsselt sind oder nicht, ob ein System Standardmechanismen einsetzt oder sich auf andere Constraints stützt, oder wie ein einzelnes Exemplar aus einem Ökosystem auf eine spezifische Angriffstechnik reagiert – wie sicher oder unsicher wir am Ende sind, werden wir aus diesen Informationen alleine nicht ableiten können. Die WIrkung von Sicherheitsmaßnahmen ist relativ zum Anwendungs- und Bedrohungskontext; wer ernsthaft über Sicherheit diskutieren möchte, muss diesen Kontext behandeln.

Zwei lesenswerte Blogbeiträge zu aktuellen Nachrichten illustrieren dies:

  • Hanno Zulla skizziert in Wahl, Ausweispflicht und Wahlfälschung, wieso es völlig normal und kein größeres Problem ist, ohne Ausweiskontrolle wählen zu dürfen. Wer das Gesamtsystem betrachtet, wird seiner Argumentation folgen können.
  • Volker Weber nimmt die Meldungen über erfolgreich angegriffene Fingerabdrucksensoren im iPhone aufs Korn und findet eine hübsche Analogie: Sensation: Glas ist nicht sicher.

Beiden Fällen liegt eine Checklisten-Mentalität zugrunde: Sicher sei nur, was die Mechanismen X, Y und Z mit den Eigenschaften A, B und C enthalte. Eigentlich sollten wir es besser wissen, spätestens seit sich Datensätze auf Plastikkarten gegenüber vielerlei “sicheren” Verfahren zum Bezahlen im Internet durchgesetzt haben.

P.S.: Eine differenzierte Betrachtung über angreifbare Fingerabdrucksensoren.

P.P.S.: Das Wertvollste an einem iPhone dürfte für die meisten Paarungen von Zielinstanz und Angreifer das iPhone sein und nicht die Daten darauf.