Sie müssen Ihre Haustür nur abschließen, wenn Sie ein Dieb sind.

Es ist in jeder relevanten Hinsicht dieselbe Idee.

Jede Person muss angemessene Maßnahmen ergreifen, um sich und sein Eigentum vor denjenigen zu schützen, die ihm oder seinem Eigentum Schaden zufügen würden, und zwar nach bestem Wissen über die Risiken.

Sie kaufen ein Schloss und schließen Ihre Haustür ab, wenn Sie leben in einer Stadt, in unmittelbarer Nähe zu Hunderttausenden anderen. Dafür gibt es einen Grund. Und es ist der gleiche Grund, warum Sie Ihre Internet-Haustür abschließen.

Mein erster Gedanke ist zu fragen: "Haben Sie etwas Wertvolles, das niemand anderes haben soll?"

Wenn die Antwort "Ja" lautet, setzen Sie sich mit uns in Verbindung mit "Tun Sie etwas, um es zu schützen?"

Von dort aus können Sie Möglichkeiten vorschlagen, um das Wertvolle zu schützen (Bedrohungsmodellierung, Angriffsmodellierung usw.).

Wie die Miranda-Rechte sagen: "Alles, was Sie sagen, kann und wird vor Gericht gegen Sie verwendet werden." Unmittelbar nachdem die Polizei Ihnen die Miranda-Rechte erteilt hat, sagen sie: "Aber wenn Sie unschuldig sind, warum sprechen Sie nicht mit uns?". Dies führt dazu, dass viele Menschen wegen Verbrechen verurteilt werden, weil es tatsächlich vor Gericht gegen sie eingesetzt wird. Dies ist ein großartiges Video auf YouTube, das ausführlich erklärt, warum Sie niemals mit Polizisten sprechen sollten, insbesondere wenn Sie unschuldig sind: http://www.youtube.com/watch?v=6wXkI4t7nuc

Eines der häufigsten Verbrechen in Amerika ist "Verschwörung". Hacker werden häufig nicht wegen der tatsächlichen Hacking-Aktivität verurteilt, sondern wegen Verschwörung. Das liegt daran, dass die Polizei Chat-Protokolle von ihnen hat, in denen die Angriffe besprochen werden. Selbst wenn Sie nicht wirklich involviert sind, nicht die Absicht haben, an dem Hacking-Angriff teilzunehmen, und sogar versucht haben, Ihre Freunde davon abzuhalten, können Sie wegen "Verschwörung" verurteilt werden.

In verschiedenen Ländern werden Sie wahrscheinlich mit einer Geldstrafe belegt oder aus dem Geschäft genommen, wenn Sie Ihre Systeme nicht sichern. Spezifische Beispiele:

• Persönliche Kundendaten speichern. Wenn Sie diese Daten in Großbritannien nicht angemessen schützen, können Sie mit einer Geldstrafe belegt werden.
• Wenn Sie mit Kreditkartendaten umgehen und keine angemessene Sicherheit implementieren, können Sie möglicherweise feststellen, dass VISA / Mastercard Ihnen die Verwendung untersagt ihre Dienste.
• Wenn Sie ein SEC-Registrant sind und die Sarbanes-Oxley-Richtlinien nicht befolgen, können Sie mit einer Geldstrafe oder einer schlechteren Geldstrafe belegt werden.
• usw. usw.

Wert Lesen Sie die Frage von @ Tate vom November 2010 zu Themen, um Gespräche über Sicherheit anzustoßen.

Einfache Beispiele:

1. kommerzielle vertrauliche Daten. Es ist nicht illegal (oder wenn ja, sollten Sie einen anderen Job bekommen), könnte aber Wettbewerbern einen Vorteil auf dem Markt verschaffen, wenn die Vertraulichkeit beeinträchtigt wird. Wenn das noch zu abstrakt ist, sollten Sie die persönlichen Auswirkungen einer Entlassung als Person betrachten, die die Geschäftsgeheimnisse preisgegeben hat.

2. Identitätsdiebstahl. Sie tun möglicherweise nichts Illegales, aber kann dies jemand anderes in Ihrem Namen tun?

ol>

Bei Sicherheit geht es nicht darum, etwas Illegales zu tun, sondern darum, dass jemand anderes etwas Illegales tut (was sich auf Sie auswirkt).

Wenn Sie Ihre Telefonanrufe nicht verschlüsseln, kann jemand wissen, was all Ihre Verkäufer tun Wenn Sie Ihre Dokumente nicht vernichten, könnte jemand all diese Informationen verwenden, um einen Social-Engineering-Angriff gegen Ihr Unternehmen zu starten, R&D-Daten, Prototypen, Designs zu stehlen ...

Wann immer jemand diese Aussage bringt, antworte ich immer mit: "Sie können nicht darauf vertrauen, dass alle Menschen auf der Welt Gesetze befolgen."

In der Tat, wenn jeder auf der Welt ein gesetzestreuer Bürger ist Sie können Ihre Haustür offen lassen, aber wie wir wissen, gibt es Kriminelle und viele andere Menschen, die mit verschiedenen Motiven in Ihre Vorder- / Hintertür eintreten können - wer weiß, welchen Schaden sie anrichten können.

Warum brauchen gesetzestreue Bürger starke Sicherheit?

Einzelpersonen müssen ihre Informationen schützen, um die Kontrolle über ihr eigenes Leben zu behalten.

Obwohl diese Aussage extrem klingt, kann sie meiner Meinung nach anhand einiger einfacher Beispiele veranschaulicht werden.

Beispiel 1:

Hintergrund: Sie sind ein ehemaliger Alkoholiker. Obwohl Sie keinen Alkohol mehr trinken, neigen Sie dazu, im Rausch großzügig zu sein. In der Regel haben Sie auch eine erhebliche Menge Bargeld bei sich.

Mallory weiß: Sie sind ein ehemaliger Alkoholiker, Sie sind großzügig, wenn Sie betrunken sind, und Sie haben normalerweise eine beträchtliche Menge Bargeld bei sich. Mallory vermutet auch, dass es nur zwei oder drei Getränke braucht, um dich betrunken zu machen.

Szenario: Sie treffen einige Freunde Alice und Bob sowie Bobs Freund Mallory in einem Restaurant, das auch Alkohol serviert. Während Ihres Meetings bekommt Mallory Soda für den Tisch und fügt Ihrem Soda heimlich eine nicht nachweisbare Menge Alkohol hinzu. Alice und Bob gehen. Mallory erzählt weiterhin eine traurige Geschichte über ihren Bedarf an Bargeld. Sie geben Mallory das Geld und sehen oder hören nie wieder von ihr.

Beispiel 2:

Hintergrund: Sie sind Beamter. Das Büro, in dem Sie arbeiten, hat eine strikte Richtlinie gegen Mitarbeiter, die negative öffentliche Erklärungen gegen geltende Gesetze abgeben. Sie haben ein 12 Jahre altes Kind.

Szenario: Eine beliebte Website für soziale Netzwerke sieht vor, dass Kinder unter 13 Jahren keinen eigenen Account haben dürfen. Sie beschließen, Ihr soziales Netzwerkkonto mit Ihrem Kind zu teilen, indem Sie ihm Ihr Passwort geben. Ihr Kind verwendet Ihr soziales Netzwerkkonto, um negative Kommentare zu einem bestimmten Gesetz öffentlich zu veröffentlichen. Die lokalen Medien entdecken die Veröffentlichung und erfahren Ihren richtigen Namen und wo Sie beschäftigt sind. Aufgrund der Berichterstattung in den Medien hält es Ihr Vorgesetzter für erforderlich, Ihr Arbeitsverhältnis zu beenden.

Beispiel 3:

Hintergrund: Ihre kranke Großmutter lebt alleine und hat sehr wenig Einkommen. Um ihr Kosten zu sparen, ersetzen Sie ihren herkömmlichen Telefondienst durch einen günstigeren VoIP-Dienst. Ihre Großmutter hat keinen Computer und erledigt alle ihre Bankgeschäfte per Telefon.

Szenario: Ein Gegner überwacht VoIP-Anrufe vom Dienstanbieter Ihrer Großmutter und zielt auf Anrufe ab, die für Bank-Telefonnummern bestimmt sind. Ihre Großmutter führt eine routinemäßige Überweisung von ihrem Sparkonto auf ihr Girokonto durch und gibt dem Bankagenten ihre Kontonummern und ihren Sicherheitscode. Die Gegnerin zeichnet den unverschlüsselten Anruf Ihrer Großmutter auf und erhält ihre Bankkontonummern und ihren Sicherheitscode. Wenn Ihre Großmutter das nächste Mal den Status ihrer Konten überprüft, haben sie kein Guthaben und eine Kreditkarte mit einem großen Guthaben wurde in ihrem Namen geöffnet.

Der Irrtum "nichts zu verbergen"

Die Sicherheit besteht aus drei anerkannten Komponenten: Vertraulichkeit (Geheimhaltung), Integrität (wurde nicht beschädigt, geändert oder manipuliert) und Verfügbarkeit (Sie können das Objekt erhalten, wenn Sie es möchten).

Das Argument "Nichts zu verbergen" wirkt nur der Vertraulichkeit entgegen. Es gibt offensichtliche Fälle, in denen eine Person möchte, dass eine Information geheim ist und für niemanden, der sie möchte, leicht verfügbar ist. Das einfachste Beispiel wäre eine Bankkarten-PIN-Nummer. Jeder, der Ihre Bankkarte besitzt und Ihre PIN kennt, kann Ihr Geld stehlen.

Ein weiteres offensichtliches Beispiel sind herkömmliche Sicherheitselemente wie Alarmcodes, Überprüfen von Kontonummern und Kombinationen mit Schlössern oder Safes. Das Argument „nichts zu verbergen“ zielt also wirklich auf die Informationen in Aktivitäten ab, die keinen offensichtlichen inneren Wert für sich selbst haben.

Nehmen wir das Beispiel eines Mobiltelefongesprächs.

Die Überraschungsparty

Alice hat einen Freund Bob, der Überraschungs-Geburtstagsfeiern mag. Bobs andere Freunde sind Carl und Evan. Carl belauscht gerne Handygespräche. Alice ruft Evan an, um eine Überraschungs-Geburtstagsfeier für Bob zu planen, und Carl hört dem Gespräch zu. Vor dem Tag der Party erzählt Carl Bob von den Plänen für die Party. Der Genusswert, den Bob gehabt hätte, wenn Carl die Party geheim gehalten hätte, ist jetzt verloren. Die Enthüllung des Geheimnisses zwischen Alice und Evan durch Carl hat eine negative Konsequenz für Bob, der nicht an dem Geheimnis beteiligt war.

Typische Argumente, die nichts zu verbergen haben, implizieren normalerweise, dass ein Geheimnis etwas Schlechtes verbirgt (illegal, unmoralisch oder peinlich) und dass die Offenlegung des Geheimnisses negative Konsequenzen für mindestens einen der Bewahrer des Geheimnisses hat . Einige Argumente, die nichts zu verbergen haben, argumentieren, dass die Enthüllung eines Geheimnisses niemanden verletzt. Das vorstehende Beispiel zeigt, dass dies nicht immer der Fall ist.

Schauen wir uns nun ein Beispiel für Anonymität an.

Anonymität

Alice ist eine wohlhabende Person, die im Beirat einer Universität sitzt. Die Universität befindet sich in finanziellen Schwierigkeiten und darf private Spenden annehmen. Alice möchte eine anonyme Spende an die Universität machen. Alice bespricht diskret die Möglichkeit einer anonymen Spende mit Bob, der Staatskasse. Carol ist ein weiteres Mitglied des Universitätsrates, das böswillig versucht, Alices Einfluss auf den Vorstand zu verringern. Bob gibt Carols Diskussion bekannt. Carol teilt den anderen Vorstandsmitgliedern mit Ausnahme von Alice mit, dass Alice versucht, ohne Wissen des Vorstands durch eine große anonyme Spende Gunst bei der Staatskasse zu erlangen. Infolgedessen leistet Alice einen viel geringeren öffentlichen Beitrag.

Das Argument „nichts zu verbergen“ gegen die Anonymität impliziert, dass die Person, die anonym bleiben möchte, dies tun muss, da die Aktion, die sie unternimmt, wenn sie anonym ist, eine schlechte Aktion ist (illegal, unmoralisch oder peinlich). Die anonyme Geldspende an eine bedürftige Universität ist schwer als schlecht zu bezeichnen. Die Offenlegung des Geheimnisses in diesem Fall verletzte die Universität und möglicherweise Alice. Dieses Beispiel zeigt auch einen Teil des Problems mit übermäßiger Offenheit, dem Potenzial für Dritte, Informationen oder Handlungen falsch zu interpretieren.

Vielleicht denken Sie , dass Sie nichts zu verbergen haben, und vielleicht haben Sie tatsächlich nichts getan, was illegal, unmoralisch oder peinlich ist (danke an @thisjosh für die Kategorien "etwas zu verbergen") - gute Erklärung dort). Dies ist jedoch Ihre Meinung . Die Meinungen anderer stimmen möglicherweise nicht überein. Diese anderen sind möglicherweise in der Lage, Ihren Mangel an Sicherheit auszunutzen, um Informationen zu erhalten und Menschen derselben Meinung davon zu überzeugen, dass Sie etwas Verwerfliches getan haben. Dies kann sich, unabhängig davon, ob Sie mit ihrer Haltung einverstanden sind oder nicht, nachteilig auf Ihr Leben auswirken, was von geringfügigen Unannehmlichkeiten bis hin zu extremen Tragödien reichen kann.

Auch wenn alle Menschen auf der Welt derzeit damit einverstanden sind Ihre Haltung zu rechtlichen, moralischen und erfreulichen Meinungen ändert sich - ebenso wie Gesetze und in einigen Fällen sogar allgemein anerkannte ethische Kodizes. Was Sie jetzt tun, was gerecht, fair und vollständig in Ihren Rechten zu sein scheint, kann später als Straftat oder Beleidigung für andere angesehen werden. Und diese anderen können in solchen Autoritätspositionen sein, um Gesetze gegen diese Dinge zu schreiben oder die öffentliche Meinung zu beeinflussen, um sich ihnen zu widersetzen. Dann könnte die Enthüllung Ihrer früheren Handlungen (oder laufender Handlungen, wenn Sie unter Ihren eigenen persönlichen Überzeugungen fortfahren) tatsächlich zu Verlegenheit oder sogar zu Inhaftierung oder Schlimmerem führen.

Das Endergebnis ist dies. Wenn Sie beim Schutz Ihrer Privatsphäre und Anonymität keine gute Sicherheit praktizieren, vertrauen Sie effektiv darauf, dass alle Menschen auf der ganzen Welt (Freunde, Familie, Regierungen und die breite Öffentlichkeit - egal welche könnte tatsächlich darauf aus sein, Sie zu erreichen) wird, wie es jetzt und in Zukunft existiert , Ihre persönlichen Informationen und Identitätsdaten auf eine Weise behandeln, die Ihren Interessen entspricht . Vertraust du der Welt, dass sie das jetzt tut? Vertrauen Sie darauf, dass die Welt in 20 Jahren dieselbe ist?

Viele Antworten darauf, warum Sicherheit für Dienstanbieter gilt - dies gilt jedoch für alle am Internet beteiligten Parteien.

Sollten Sie schuldlos sein, wenn unzureichende Sicherheit auf Ihrem PC, ist es rootkited und in eine Zombie-Armee rekrutiert? Was ist, wenn jemand Ihren WLAN-Router verwendet, um betrügerische Transaktionen auf einem Online-Bankkonto durchzuführen? AFAICS, es scheint, dass Sie in den meisten Gerichtsbarkeiten sind.

Seltsamerweise würden die meisten Gerichtsbarkeiten eine trübe Ansicht davon haben, dass Sie eine geladene Waffe um Ihr Haus herum und nicht in einem verschlossenen Schrank zurücklassen.

Wenn Sie eine Website betreiben, auf der keine vom Kunden bereitgestellten Daten verarbeitet werden, und diese Website kompromittiert ist, kann sie für Zwecke verwendet werden, die Sie nie beabsichtigt haben.

Und das ist, bevor Sie das Martha Stewart-Szenario betrachten.

Dies zeigt ein grundlegendes Missverständnis in Bezug auf die Sicherheit.

Ich erwarte, dass die Sicherheit (jeglicher Art) meine "Sachen" vor allem schützt, was außerhalb der definierten Grenze liegt (Firewall, Zaun, Tür). Zu sagen, dass es nur verwendet wird, um illegale Aktivitäten im Inneren zu halten, ist fritzl-eqsue.

Polemische Reaktion - Gegner in die Defensive führen ...

"Wollen Sie damit sagen, dass wir auch alle unsere Identitäts- und Finanzinformationen ins Internet stellen sollten?"

Eine weichere Antwort (wenn Sie die persönliche / berufliche Beziehung nicht beschädigen möchten) wäre, einen Witz daraus zu machen (sozusagen den Stoß zu mildern) ...

"Sie sind der beste Freund eines Identitätsdiebs!"

Oder wenn Sie den Gedanken formeller ausdrücken und mit minimalem Risiko einer Beleidigung (z. B. an Ihren Chef) ...

"Wir können uns einer erheblichen Haftung aussetzen, wenn unsere Daten nicht umfassend mit starken, aber kostengünstigen Verschlüsselungslösungen gesichert werden."

ODER

"Wir verstoßen möglicherweise gegen ausstehende Gesetze, die die Verwendung von Verschlüsselungstechnologien zum Schutz sensibler Kundendaten vorschreiben."

Ich würde sagen, "Sie machen den Rest von uns weniger sicher, indem Sie ein Idiot sind", und anschließend auf das LastPass-Fiasko verweisen, bei dem es einen kleinen Verstoß gab, der nicht einem Hügel von Bohnen gleichgekommen wäre, wenn alle dies getan hätten ein ziemlich starkes Passwort. Aber weil ein paar Bozos Wörter aus dem Wörterbuch hatten, waren wir alle einem (leichten) Risiko ausgesetzt.

Wenn also Bösewichte die Datenbank haben und Benutzer schwache Master-Passwörter hatten, besteht die Möglichkeit dazu über einen längeren Zeitraum ein Brute-Force-Angriff. Und so sagten die LastPass-Leute auf Nummer sicher, okay, ändern Sie einfach Ihr Master-Passwort. Es tut uns leid, Sie durch die Unannehmlichkeiten zu bringen. Sie müssen keines Ihrer anderen Site-Passwörter ändern, sondern nur das eine Master-Passwort. Auf diese Weise wäre nichts, was genommen worden wäre, wenn etwas gewesen wäre, und wir wissen nicht, dass etwas genommen worden wäre, nichts, was genommen worden wäre, selbst für einen Brute-Force-Angriff noch anfällig.

Von: https://www.grc.com/sn/sn-301.htm

Wenn Sie interessiert sind, fügen Sie nicht das gesamte Transkript hier ein Sie können mehr davon lesen oder den Podcast anhören.

Die Idee, die ich aus der Diskussion mitgenommen habe, war, dass wenn jeder ein starkes Hauptkennwort hätte, der Brute-Force-Angriff nicht durchführbar wäre . Aus kryptografischer Sicht kann ich nicht erklären, warum das so ist, aber wenn Sie den Link überprüfen, sind diese Informationen möglicherweise vorhanden.

Sie könnten fragen: "Warum haben Sie einen PIN-Code, wenn Sie Ihr Bankkonto verwenden, wenn es ausreicht, nur Ihren Namen und Ihre Kontonummer zu sagen?"

Ich würde antworten, dass es die gleiche (trügerische) Argumentation ist wie:

"Sie haben nichts zu verbergen, oder?"

, das von der Polizei verwendet wird, um Ihnen Ihre eigene Zustimmung zu illegalen Aktionen der Polizei gegen Sie vorzuenthalten.

Sehen Sie sich zum Beispiel Folgendes an: So lehnen Sie eine polizeiliche Suche ab

Wie Edward Snowden sagte ( Video): "Das Argument, dass Ihnen das Recht auf Privatsphäre egal ist, weil Sie nichts zu verbergen haben, ist nicht anders als zu sagen, dass es Ihnen egal ist über Redefreiheit, weil Sie nichts zu sagen haben ".

Als gesetzestreuer Bürger treffen Sie normalerweise Vereinbarungen mit anderen Personen, in denen Sie versprechen, die Geheimnisse anderer Personen zu bewahren.

Die meisten Mitarbeiter lassen ihre Mitarbeiter Formulare unterschreiben, in denen der Mitarbeiter die Verantwortung trägt, bestimmte Geheimnisse vor seinem Arbeitgeber zu schützen. Wenn der Arbeitnehmer diese Verantwortung dann nicht erfüllt, indem er unsicher mit Informationen über seine Arbeitgeber umgeht, ist er kein gesetzestreuer Bürger .

In Europa verlangt die DSGVO, dass viele Menschen Informationen anderer Personen schützen, zu denen sie Zugang haben. Es könnte unmöglich sein, ein gesetzestreuer Bürger in Europa zu sein, ohne sich um die Sicherheit zu kümmern, da Bestimmungen der DSGVO leicht zu verletzen sind. Für viele Fachleute in den USA gibt es auch Gesetze, die sie zum Schutz von Informationen verpflichten

Zusätzlich zu den gesetzlichen Geheimhaltungspflichten gibt es auch soziale Verpflichtungen zum Schutz der Geheimnisse Ihrer Freunde und Familie. Wenn Sie die Geheimnisse Ihrer Freunde und Familie verletzen, verstoßen Sie möglicherweise nicht gegen das Gesetz, aber Sie verstoßen gegen ethische Normen.