IT-Sicherheit für Privatanwender: Grundsätze
Grundsätze
BearbeitenWenn es um IT-Sicherheit geht, sind verschiedene Dinge wichtig. Nicht nur die verwendete Technik, sondern auch Prozesse und Wissen machen einen Unterschied. Perfekte Sicherheit gibt es nicht und wird es nie geben. Deswegen muss man immer Kompromisse eingehen. Das Wichtigste ist, ein eigenes Bedrohungsmodell zu definieren (Threat-Model). Darin trifft man Annahmen über die Fähigkeiten des Angreifenden (ressourcen wie Zeit, Geld, Manpower). Es ist auch wichtig, die Motivation des Angreifenden zu erfassen.
Der nächste Schritt, ist, sich konkrete Schritte zu überlegen, wie man sich begrenzt gegen bestimmte Angriffe schützen kann. Dabei ist es wichtig, es einfach und übersichtlich zu halten (KISS = Keep it short and simple) und selbst einen guten Überblick über die getroffenen Sicherheitsmaßnahmen zu haben.
Insbesondere in Foren oder Chatrooms findet man Zeitgenossen, die bestimmte, sehr komplizierte und "sichere" Sicherheitsmaßnahmen getroffen haben. Wenn man diese nach ihrem Threat-Model fragt, sagen sie z.B., dass sie grundsätzlich vom Höchsten ausgehen. Die Frage, die sich dann stellt, ist, warum sich diese Personen dann überhaupt in Foren oder Chatrooms aufhalten. Wenn IT-Sicherheit das Allerwichtigste im Leben wäre, sollte man am besten keine IT benutzen. Man kann sich fragen, ob diese Maßnahmen effektiv sind oder eher zu kompliziert und unpraktikabel sind, um ein höheres Maß an Sicherheit zu erreichen. Sicherheit ist auch immer ein "Teamsport", insbesondere, was Kommunikation angeht. Wenn man sich beispielsweise einen unbekannten, schwer zu bedienenden Messenger für die Kommunikation aussucht, kann es sein, dass die Kommunikationspartner nicht damit zurecht kommen, ihn unsicher benutzen oder am Ende entnervt aufgeben und SMS nutzen.
Bevor man sich für einen Dienst registriert, sollte man dessen Datenschutzerklärung lesen[1]. Auf dieser Grundlage kann man für sich beurteilen, ob man willens ist, diese Daten an den Provider weiter zu geben. Wenn diese Daten weitergegeben wurden, ist nicht nur man selbst für die Informationssicherheit verantwortlich, sondern auch der Provider.
Es ist ein weit verbreiteter Irrtum, dass man einen datenschutzunfreundlichen Dienst mit einer Fake-Email-Adresse und einem Pseudonym datenschutzfreundlich nutzen kann. Wichtig sind die Verhaltensdaten.[2]