[TdW 82] IT-Sicherheit - auch eine Aufgabe des Staates?

Tarantoga

Moderator
Auf Anregung von SchwarzeBeere beschäftigt sich das TdW diesmal mit der Frage, ob der Staat auch eine Verpflichtung bezüglich der IT-Sicherheit gegenüber seinen Bürgern hat.
Im Zuge der Snowden-Enthüllungen hat man ja eher das Gefühl die Bürger müssten Ihre Daten gerade vor dem Staat und dessen Institutionen schützen, doch eigentlich ist es ja eine zentrale Aufgabe eines Staates die Sicherheit & Unversehrtheit seiner Bürger und ihres Besitzes zu gewährleisten. Zu diesem Zweck verfügt ein Staat z. B. über das Gewaltmonopol, mit dessen Hilfe der Staat die Ordnung innerhalb seiner Grenzen aufrecht erhält und auch für sichere Straßen & Handelswege sorgt.
Vor diesem Hintergrund kann man sich schon fragen, ob im Zeitalter digitaler Kommunikation - wo Daten auch Geld bedeuten und das Internet im Grunde gleichzeitig Handelsweg und Marktplatz ist - der Schutz von Kommunikation und kritischer Infrastruktur nicht ebenfalls eine Aufgabe des Staates ist.
Zusammen mit dem Vorschlag reichte SchwarzeBeere auch diesen Link ein: IT-Sicherheit ist Thema in Wahlprogrammen der Parteien, aber mit unterschiedlichen Schwerpunkten*-*TeleTrusT

Der verlinkte Text ist recht kurz, doch für die ganz lesefaulen hier eine extreme Kurzfassung:
Die CDU weist den stärksten Bezug zum Thema IT-Schutz von Wirtschaftsunternehmen und kritischen Infrastrukturen auf. Die Union hebt dabei auch die wirtschaftliche Bedeutung von IT-Sicherheit als Standortfaktor hervor und betont die Bedeutung von Gefahrenabwehr und Strafverfolgung.
[...]
Während die CDU IT-Sicherheit vorrangig als staatliche Aufgabe begreift, liegt für SPD und FDP die Verantwortung primär bei den Unternehmen. [...] Die SPD will, dass Unternehmen Cyberangriffe melden. Die FDP sieht eine nationale Sicherheitsstrategie als Beitrag zu einer EU-Sicherheitsstrategie.
[...]
Die Piraten warnen vor den Gefahren eines softwaregestützten Cyber-Krieges. Grüne, Linke und Piraten lehnen den Export von Überwachungssoftware in Krisenstaaten ab, die FDP fordert eine stärkere Kontrolle.
[...]
FDP, Grüne, Linke und Piraten lehnen heimliche Online-Durchsuchungen ab. Als einzige Partei fordern die Piraten verschlüsselte E-Mail-Kommunikation für Bürger.
[...]
Das Wahlprogramm der Alternative für Deutschland (AfD) enthält keinen Bezug zu IT-Sicherheitsthemen.
Vor diesem Hintergrund: Ist die IT-Sicherheit auch eine Aufgabe des Staates? Oder Aufgabe der Unternehmen? Welche Eigenverantwortung und welche Möglichkeiten zum Selbstschutz haben Bürger überhaupt?
 

bitmuncher

Senior-Nerd
An dem Tag, an dem der Artikel veröffentlicht wurde, hat auch die AfD dazu Stellung bezogen: AfD stellt Plan für ein digitales Deutschland vor | heise online

Zum Thema: Ich denke, dass im Eröffnungseintrag bereits ein ganz wichtiges Stichwort fiel: Der Staat ist für die Sicherheit _innerhalb seiner eigenen Grenzen_ zuständig. Dass er das in Sachen der IT-Sicherheit schon aufgrund der Besatzer-Rechte der USA (ja, wir sind noch immer eine Besatzungszone) und der technischen Gegebenheiten nicht kann, sei mal dahingestellt. Die NSA darf hier in Deutschland nunmal völlig legal spitzeln und diverse Protokolle wie SMTP verwenden nunmal keine Verschlüsselung. Der Staat kann also nichts dagegen unternehmen, dass der NSA die Emails mitliest, selbst wenn diese nur zwischen deutschen Servern ohne Umwege über's Ausland verschickt würden. Er ist diesbezüglich handlungsunfähig und daher ist der Bürger gefragt sich vor diesen Übergriffen mittels Verschlüsselung der Emails selbst zu schützen.

Tatsache ist aber auch, dass die Bürger selbst oft ihre Daten in's Ausland schicken und dann erwarten, dass dort deutsche Datenschutzbestimmungen Anwendung finden. Das ist einfach nur naiv. Da fehlt jede Menge Medienkompetenz und Politik-Wissen bei den Bürgern und daran krankt die IT-Sicherheit in erster Linie. Der Staat kann nichts schützen, was seinem Zugriff entzogen wird. Das ist als wenn ich mich jetzt in Kairo auf die Strasse stelle "Laudetur Jesus Christus" brülle und dann erwarte, dass mich die deutsche Polizei vor Übergriffen schützt. Macht doch auch keiner, oder?
 

~ihja

Stammuser
Tatsache ist aber auch, dass die Bürger selbst oft ihre Daten in's Ausland schicken und dann erwarten, dass dort deutsche Datenschutzbestimmungen Anwendung finden. Das ist einfach nur naiv. Da fehlt jede Menge Medienkompetenz und Politik-Wissen bei den Bürgern und daran krankt die IT-Sicherheit in erster Linie. Der Staat kann nichts schützen, was seinem Zugriff entzogen wird. Das ist als wenn ich mich jetzt in Kairo auf die Strasse stelle "Laudetur Jesus Christus" brülle und dann erwarte, dass mich die deutsche Polizei vor Übergriffen schützt. Macht doch auch keiner, oder?
Da gebe ich dir Recht. Die Naivität, die viele Menschen beim Thema IT-Sicherheit an den Tag legen, ist oft verstörend. Aber meiner Meinung nach ist das Groh der Bürger mit dieser Aufgabe auch einfach überfordert und das nach den neusten Enthüllungen auch zu Recht. Ich finde es nicht zu viel verlangt eine Webseite gesichert aufzurufen oder vielleicht beim E-Mail Anbieter in den Einstellungen die Verschlüsselung zu aktivieren, aber was soll man sonst von einem durchschnittlichen Bürger verlangen? Ich will gar nicht sagen, das dieser Faul ist, aber die meisten Menschen haben weit präsenter Probleme und sind im Umgang mit dem Computer ungeübt. Und wenn dann noch in den Medien kolpotiert wird, dass alle meine Sicherheitsvorkehrungen sowieso für die Katz sind. Wofür dann noch den Aufwand betreiben?

Meiner Meinung nach ist der Staat, wie auch immer, in der Pflicht seinen Bürger eine sichere Internetnutzung zu garantieren und das mit dem oben beschrieben persönlichen Aufwand. Gut, die ausländischen Server sind dabei natürlich ein Problem, aber was spricht z.B. gegen einen sicheren E-Mail Service vom Staat?

Sogar ich persönlich, eigentlich ein computerversierter Mensch, fühle mich anlässlich der Snowden Dokumente extrem verunsichert und alles andere als sicher. Zur Zeit lebe ich mit der Annahme, dass meine komplette Aktivität im Internet irgendwie überwacht wird und das fühlt sich verdammt komisch an. Für mich eigentlich ein Indiz, dass der Staat handeln muss.
 

bitmuncher

Senior-Nerd
Gut, die ausländischen Server sind dabei natürlich ein Problem, aber was spricht z.B. gegen einen sicheren E-Mail Service vom Staat?

Dagegen spricht, dass der Staat und alle seine Instanzen zur Zusammenarbeit mit den Besatzungsmächten verpflichtet sind. Er ist daher nicht in der Lage einen sicheren Email-Service anzubieten.
 

~ihja

Stammuser
Dagegen spricht, dass der Staat und alle seine Instanzen zur Zusammenarbeit mit den Besatzungsmächten verpflichtet sind. Er ist daher nicht in der Lage einen sicheren Email-Service anzubieten.

Das hast du natürlich Recht. Ich war so frei/naiv von einem hypothetischen freien und gutwilligen Staat auszugehen. Die Realität macht einem da natürlich wieder einen Strich durch die Rechnung.

Hat schon mal jemand darüber nachgedacht diese Verpflichtung gegenüber den Besatzungsmächten zu kündigen? Tut mit Leid, weiß zu dem Thema nicht viel, aber werde mal was drüber lesen.
 

bluez

Member of Honour
Selbstverständlich ist IT-Sicherheit auch Aufgabe des Staates. Und der Staat kümmert sich sogar um vieles, nur erscheint es in unseren Augen kümmerlich und langsam, aber immerhin leben wir in einer schwerfälligen indirekten Demokratie und das Internet im Endnutzerbereich ist jünger als viele der Mitglieder hier. Es dauert eben eine Weile bis die halbverwesten Politker in der Mitte ihrer sechsten bis siebten Lebensjahrzehnte das Internet das bekanntlich "für uns alle Neuland" ist erschließen.

Immerhin ist das Internet ein unglaublich wichtiger Teil der Infrastruktur und auch ein sehr wichtiger Standordfaktor. Ämter, Banken, Ministerien, Militär, Medien, Nachrichtendienste alle nutzen sie das Internet. Jedes Unternehmen das über den Klempnermeister um die Ecke hinausgeht nutzt es fürs Geschäft.

Die Frage ist nicht OB man sich als Staat darum kümmern sollte, sondern lediglich in welchem Ausmaß. Ein mehr an Sicherheit bedeutet, wie in jedem anderen Bereich auch, Abstriche bei Privatsphäre und/oder höhere Kosten.

Meiner Meinung nach genügt es bereits, wenn der Staat ordentliche Lehrer ab der Sekundarstufe I einstellt, die in geringem Umfang den sicheren Umgang mit diesem Medium unterrichten. Im Kindergarten hatte ich Verkehrssicherheitsunterricht, in der Grundschule Fahrradsicherheitsunterricht. Warum also nicht auch IT-Sicherheit ab Jahrgangsstufe 5? (Mal abgesehen davon, dass die Fachkräfte fehlen natürlich)
 

Mechanius

Member
Für mich ist das Internet teil der deutschen Infrastruktur und somit die Sicherung Aufgabe des Staates bzw. seiner Exekutiven. Mir sind zwar die Vereinbarungen der deutschen Stellen mit den Amerikaner aus der Presse bekannt, doch finde ich es persönlich ungeheuerlich, dass dieser offensichtliche Rechtsbruch so einfach hingenommen wird. Werden Daten innerhalb Deutschlands abgegriffen wird so fern nicht entsprechend genehmigt eindeutig in unsere Rechte eingegriffen und muss daher vom Staat entsprechend geächtet werden. Sollte dies im Ausland geschehen gebe ich meinen Vorredner recht ist Deutschland für Verfolgung nicht zuständig aber Firmen die dies unterstützen oder dulden sollte die Betriebserlaubnis innerhalb des Einflussbereiches Deutschlands verwehrt werden.
 

bitmuncher

Senior-Nerd
Die deutsche Regierung begeht aber keinen Rechtsbruch, wenn sie die NSA hier spitzeln lässt. Ganz im Gegenteil. Sie hält sich an das Recht der Besatzer, auch wenn uns das als Bürger ungerecht erscheinen mag, weil es gegen unser hochgelobtes Grundgesetz verstösst. Vielleicht versteht ihr ja jetzt langsam, warum es so viele Leute gibt, die eine echte Verfassung für Deutschland fordern. Jetzt zeigt sich nämlich, dass Deutschland gar nicht souverän genug ist um die Grundrechte seiner Bürger zu schützen. Wir sind im Endeffekt noch immer der Spielball zwischen USA und Russland, auch wenn man es uns nicht mehr direkt spüren lässt. Und solange wir keine eigene Verfassung bekommen, sind wir auch kein souveräner Staat.

Aber hey... vollständige Überwachung des Internets... Deutschland noch immer unter der Fuchtel der Besatzer... das ist doch alles nur Verschwörungstheorie. Das mit der Überwachung geht doch alles gar nicht wegen der riesigen Datenmengen und so. Und das Besatzungsrecht wurde doch mit dem Überleitungsvertrag aufgelöst. Ist also auch alles nur Spinnerei. Na, könnt ich euch an solche Argumentationen noch erinnern? Bis vor wenigen Monaten galten die noch als einzig politisch korrekt. Und wer das Gegenteil behauptete war ein paranoider Spinner, der keine Ahnung von Politik hat. :rolleyes:
 

end4win

Member of Honour
Ihr seid ein lustiges Völkchen. :D
Ihr wisst aber schon, dass hinter staatlicher Sicherheit immer auch die
staatliche Kontrolle steht.
Wie soll ich mir es vorstellen?
Muss ich halbjährlich meine Rechner/Server/Smartphones vom TÜV prüfen lassen?
Werden die ISP's verstaatlicht, um wenigstens ein Mindestmass an Netzneutralität
zu garantieren, nachdem die Eu diese eben abgeschafft hat?
Oder darf ich, gewerblich und privat, nur noch vom Staat zertifizierte Software
im Netz benutzen?
Wer haftet dann, wenn dort eine Lücke genutzt wird?
Vorallem aber wie soll eure Sicherheit international durchgesetzt werden?
Denn das grösste Problem bei der IT-Sicherheit sind immer noch fehlende internationale
Standards in der Strafverfolgung und im Datenschutz.
Ehrlich gesagt graut mir, angesichts der NSA-Affäre, vor einer internationalen
Einigung zur IT-Sicherheit.

Zur Aufklärung sage ich nur, es wird auch über die Gefahren von Rauchen und
Drogen aufgeklärt und unsere Kinder wissen durchaus inzwischen auch über die
Gefahren im Internet mehr als sie zugeben. Doch die coole App muss man haben
und auch auf diversen Seiten, angefangen bei Facebook bis zu P***, muss man
einen Account oder sie zumindest gesehen haben.

Gruss
 

bluez

Member of Honour
Also erstmal: beachte auch was ich dazu und auch zu dem was jetzt folgt was ich oben geschrieben habe ;)

Die Frage nach Sicherheit und Freiheit, war schon immer ein feines Abwägen zwischen Kontrolle und Nachlässigkeit. Niemand will seine Freiheit eingeschränkt sehen, aber es galt schon seit der Aufklärung der Grundsatz, dass die Freiheit eines Individuums nicht die Freiheit anderer Individuen einschränken sollte.
Es gibt aber eine Reihe wichtiger Fragen, bei denen abzuwägen ist, ob nicht eine Einschränkung eines Aspekts der kollektiven Freiheit, wohlgemerkt in einem Gewissen Maß, nicht sinnvoll ist um die Sicherheit und Freiheit der Masse zu verbessern.
Dazu gehören Dinge, die andere Menschen gefährden können: Autofahren, Bauen, das Führen von Waffen, usw.
Aber auch Dinge, die das Allgemeinwohl belasten: Versicherungs- und Steuerbetrug oder das Erschleichen von Sozialleistungen etwa.
All das sind Fragen bei denen die jeweiligen Aspekte der einzelnen Menschen, z.T. massiv eingeschränkt und Kontrollmechanismen eingeführt worden sind. Dennoch herrscht unter der absoluten Mehrheit des Volkes ein Konsens darüber, dass all das wichtig und richtig ist.
Parallel dazu tritt aber ein interessanter Effekt ein: Wenn ich im Auto geblitzt wurde oder wenn man mir den Führerschein wegnimmt, weil ich angetrunken gefahren bin, dann wettere ich gegen Totalüberwachung, Polizeistaat und sinnlose Ausbeutung der Bürger. Wenn mir aber ein betrunkener Autofahrer mit 80km/h in der 30er-Zone mein Kind überfährt, dann fordere ich einen Verkehrspolizisten an jeder Ecke und die Todesstrafe für Temposünder.
Genauso ist es auch in der IT-Sicherheit. Solange alles gut ging finde ich den doofen Virenscanner der ständig mein System durchsuchen will lästig. Solange nichts passiert ist surfe ich sorglos auf dubiosen Seiten mit einer veralteten Version meines Internetexplorers. Solange es mich nicht getroffen hat, betreibe ich sorglos Online-Banking und nutze meine Kreditkarte. Aber wenn dann Bot-Netze meinen Server lahmlegen oder meine Bank mir einen unhöflichen Brief schickt doch bitte die Schulden, die bei meiner letzten Überweisung nach Timbuktu entstanden sind, zu begleichen, dann ist das Geheule groß.
So unglaublich viele Dinge in der IT-Un-Sicherheit sind auf bloße Bedienungsfehler, Sorglosigkeit und Unwissenheit zurückzuführen. Und das Erschreckende daran ist, dass ausgerechnet die Industrie diese Probleme anpackt und nicht der einzelne Mensch und nicht die Regierung. Was für ein Segen ist über die Windowswelt hereingebrochen als das Betriebssystem anfing automatische Updates zu holen und über fehlenden Virenschutz zu meckern. Aber das reicht eben nicht.

Ob IT-Sicherheit eine Staatsaufgabe ist, darüber können die Meinungen auseinandergehen. Es ist aber traurige Tatsache, dass ein großer, gottseidank meist nur finanzieller, Schaden entsteht. Einerseits für die Menschen die auf eine Phishing-Seite reingefallen sind, andererseits aber auch für die Industrie, denen wertvoller Entwicklungsarbeit an einem neuen Produkt gestohlen wurde, aber auch der Allgemeinheit, wenn tausende Computer in Bot-Netze eingespannt werden.
Es kann aber auch ein großer persönlicher Schaden entstehen, wenn die Nacktfotos von Frau Müllers Rechner oder der Liebesbrief von Herrn Müller an seine Affäre vom Rechner gestohlen werden.

Die Idee eines Führerscheins war früher auch mal eine lächerliche Idee - bis die Zahlen der Opfer auf ein unterträgliches Maß anstiegen. Natürlich darf man nicht Äpfel mit Birnen vergleichen und eine maßlose Überregulierung, für ein Problem das in keiner Weise Leib und Leben gefährdet, anstreben. Man darf aber, wie ich finde, auch nicht zu Gunsten einer Freiheitsillusion, wie es jetzt der Fall ist, einer Unterregulierung anhängen.
Man darf, wenn die völlig legitime Frage ob IT-Sicherheit wichtig genug ist um Staatsaufgabe zu sein, gestellt wird, nicht hemmungslos überreagieren und in Orwell'scher Vision einen Kafkaesken Herren im Schwarzen Anzug an die Wand malen, der in jedem Wohnzimmer steht und dem Hausherren beim Pornos gucken über die Schulter sieht.

Du regst dich über staatliche Bespitzelung durch die NSA auf. Aber das war doch, bitteschön, nun wirklich überhaupt nicht verwunderlich, dass deine Daten im Internet NICHT sicher sind. Gerade einen Eingeweihten, wie dich, hätte das überhaupt nicht überraschen dürfen. Gleichzeitig scheint es dich aber offenbar überhaupt nicht zu stören, dass immernoch viele Internetangebote, an die wir unsere Daten abgeben, mangelhafte Schutzmechanismen für selbige aufweisen. Scheint dich überhaupt nicht zu stören, dass es immernoch Leute gibt, die versuchen den Virenscanner abzustellen, wenn er ihnen auf die Nerven geht. Scheint es dich nicht zu stören, dass die Mehrheit der Bürger soviele Daten öffentlich ins Netz stellt wie sie nur können und dabei in der Regel dasselbe Passwort im Stile von Familienname als Passwort sowohl auf mein-email-provider.de als auch auf meine-bank.de als auch auf heiße-schlampen-ziehen-sich-für-deine-kreditkartendaten-aus.info verwenden.

Auch die Ausrede, man könne es ja nicht international überwachen, zieht überhaupt nicht. Auch ein gewisse Regulierung im Inland schafft schon ein höheres Maß an kollektiver Sicherheit. Du kannst auch nicht die Opiumfarmen in Tadschikistan reglementieren. Nichtmal die Einfuhr von Drogen ins Land kannst du völlig einschränken. Aber dennoch kannst du durch Gesetze, Strafen, Überwachung und Kontrollen die Ausbreitung eindämmen.
Zwar ist das im Internet nicht in gleicher Effektivität möglich, aber du kannst Kinder im sicheren Umgang mit dem Internet schulen und ihnen die Wichtigkeit deutlich machen. Du kannst alle Firmen die in Deutschland etwas vertreiben wollen zu gewissen Auflagen bezüglich der Datensicherheit oder Sicherheitsmechanismen, wie etwas E-Mail-Verschlüsselung verpflichten. Das vermindert den Fahrlässigen Umgang und dämmt die Ausbreitung von Bot-Netzen und die Effektivität von Phishing usw. deutlich ein.

Mein persönlicher Standpunkt dazu ist, wie bereits in meinem ersten Post erwähnt, dass ein wenig mehr Interesse des Staates an IT-Sicherheit nicht schaden kann.
 

bitmuncher

Senior-Nerd
Zur Aufklärung sage ich nur, es wird auch über die Gefahren von Rauchen und
Drogen aufgeklärt und unsere Kinder wissen durchaus inzwischen auch über die
Gefahren im Internet mehr als sie zugeben.

Schau dir unsere Planschbecken an und dann behaupte nochmal, dass die Kids die Gefahren des Netzes kennen. Die wissen ja noch nicht einmal was im Netz legal ist und was nicht und fragen wildfremde Leute nach Hilfe beim Begehen von Straftaten.
 

end4win

Member of Honour
Schau dir unsere Planschbecken an und dann behaupte nochmal, dass die Kids die Gefahren des Netzes kennen. Die wissen ja noch nicht einmal was im Netz legal ist und was nicht und fragen wildfremde Leute nach Hilfe beim Begehen von Straftaten.

Da haben wir aber auch jede Menge "Erwachsener" die um "Hilfe" bitten.
Ich denke schon, dass einem grossen Teil der Internetuser durchaus bewusst ist
was sie tun wenn sie "ihre" Bilder und Videos ins Netz stellen. Auch halte ich die
wenigsten für so dumm, dass sie mit einer Anerkennung rechnen, wenn sie die Einstellungen
der Firewall ihres Chef's oder Schulleiters umgehen. Sie sind sich vielleicht nicht bewusst
was auf sie zukommt, wenn der wirklich angepisst reagiert, aber dass dies nicht
legal sein kann wissen sie.
Und wenn jemanden die Anmeldung auf der Seite aufgrund seines Alters verweigert
wird, weiss er auch, dass er lügt wenn er beim nächsten Versuch sich älter macht.
Es gibt sogar eine Partei, welche jegliche Möglichkeit von Strafverfolgung im
Netz, mehr als weniger, ausschliessen will.

@bluez

Ich habe deinen Beitrag durchaus gelesen, wehalb ich meinen Beitrag auch in
fragender Form geschrieben und bewusst überspitzt formuliert habe. :wink:

Übrigens haben wir in Deutschland durchaus eines der besten wenn nicht das beste
Datenschutzrecht und ein leichtfertiger Umgang mit Kundendaten wird hier auch
durchaus hart bestraft. Wenn wir uns die grossen Datenklaus ansehen sind diese
auf deutschen Servern eher selten und dann von internen Mitarbeitern
begangen, bzw begünstigt, welche Sicherheitsrichtlinien missachtet haben.

Wie willst du überhaupt die User zwingen sich mit den Datenschutzerkläungen
zu beschäftigen, die praktisch jede relevante kommerzielle Seite hat?
Google und Facebook, als Bsp., verheimlichen nicht, dass sie die Daten der Nutzer
mehr oder weniger nach belieben nutzen. Selbst die Unmöglichkeit seine eigenen
Beiträge wirklich zu löschen schreckt die wenigsten ab.

Übrigens konnten mich die Enthüllungen über die NSA nicht wirklich überraschen
und Angst vor deren Profilern brauche ich nicht zu haben, da habe ich mehr
Angst vor den offiziellen Profilern in der Industrie und vor denen schütze ich mich auch
entsprechend.


Verantwortung für sein eigenes Leben kann man nicht staatlich verordnen, dies hast du
ja selbst erkannt. Wer diese nicht bereit ist zu übernehmen hat weder Sicherheit
noch Freiheit verdient.
Gegen mehr Aufklärung habe ich nichts einzuwenden, allerdings habe ich wenig
Hoffnung, dass diese so fruchtet wie ihr es hofft. Die Hauptverantwortung für
unsere Kinder tragen immer noch die Eltern und ich fürchte diese stehlen sich
um so mehr aus dieser Verantwortung, je mehr der Staat hier scheinbar Aufklärung
und Kontrolle übernimmt.

Zuletzt bleibt dann die Frage, wieviel Kontrolle willst du zulassen und vorallem,
wie willst du die Sicherheitsspirale, welche ihr lostretet wieder bremsen.
Wie schwer dies ist zeigt bis heute der Ausbau der Überwachung im öffentlichen
und virtuellen Raum seit 9/11 und sie dreht sich immer noch.

Gruss

PS:
Orwell's Vision ist eher ein Ponyhof im Vergleich zu unserer Realität, wir haben
meiner Meinung nach die Pforte zu Huxleys schöner neuer Welt bereits durchschritten.
 

bitmuncher

Senior-Nerd
@end4win: Ich glaube die Rollen Staat vs. Eltern siehst du falsch. Die durchschnittliche Familie bekommt ihre Kinder nur noch zum Frühstück und zum Abendessen zu Gesicht und das wird durch den Staat auch extrem gefördert. Die Eltern sind kaum noch in der Lage echte Erziehungsarbeit zu leisten. Ihre Kinder sind in Ganztages-Kitas oder Ganztages-Schulen während sie selbst von morgens bis abends arbeiten um die Familie über die Runden zu bringen. Wie viel Erziehungsarbeit seitens der Eltern kann man da erwarten? Es hat kaum jemand in Deutschland das Glück, das z.B. meine Familie hat, dass die Frau nicht arbeiten muss, wenn sie sich lieber um die Kinder kümmern will. Der Preis dafür ist, dass ich meinen Sohn max. 2-3 Stunden am Tag sehe und selbst da habe ich nicht immer die Möglichkeit mich voll und ganz ihm zu widmen. Mir bleibt also nur das Wochenende um ihm Medienkompetenz und die ganzen anderen Dinge, die im Leben wichtig sind, beizubringen. Angesichts dieser Umstände ist es um so schlimmer, dass sich gerade staatliche Schulen nicht als Erzieher betrachten sondern ausschliesslich als Wissensvermittler. Werte-Vermittlung findet man in der Schule maximal noch bei der politischen Meinungsbildung, damit die späteren Wähler möglichst die üblichen Verdächtigen wählen und gewisse Vorgänge nicht hinterfragen. Medien-Kompetenz ist aber in erster Linie eine soziale Kompetenz, die man nicht als Wissen vermitteln kann. Die muss mit den Kids zusammen erlebt und aus Erfahrung gebildet werden. Darauf ist aber weder unser gesellschaftliches Werte-System noch unser Bildungssystem eingerichtet. Selbst der Personalschlüssel in den Kitas reicht nicht aus um auch nur annähernd eine ausreichende Erziehung für alle Kinder zu gewährleisten. Deswegen spricht man bei Kitas auch nicht von Erziehung sondern von Betreuung. Daraus folgt: Keine Erziehung in den Bildungseinrichtungen. Die Eltern haben keine Zeit für Erziehung. Ergibt also ... minimale Erziehung. Wo soll denn da die Medienkompetenz herkommen?

Und genau deswegen wage ich sehr ernsthaft zu bezweifeln, dass die heutige Jugend oder gar die Kinder wirklich wissen, was sie da im Internet tun. Wieso kommt es sonst ständig zu Fällen, wo Kinder aufgrund von Fotos, die sie selbst in's Netz gestellt haben, in den Schulen gemobbt werden? Wieso fallen massenweise Jugendliche auf Abo-Fallen rein, wenn sie wissen, was sie da tun? Es ist ja nun nicht so, dass es keine Hinweise auf Abo-Fallen gibt, wenn man sich entsprechende Seiten mal anschaut. Ganz einfach. Die Kids wissen eben nicht, was sie da tun. Sie klicken auf Buttons ohne zu lesen, was es bedeutet, wenn sie da draufklicken. Da werden AGB ungelesen bestätigt, wie man auch an unseren Foren-Regeln immer wieder sehr deutlich sehen kann.

Nein, die Kids wissen ganz gewiss nicht, was sie tun, wenn sie Fotos in's Netz stellen. Für sie ist das Fotos in's Netz stellen so alltäglich wie für es für uns früher das Einkleben von Fotos in ein Fotoalbum war. Und da ist das Kern-Problem. Das Internet wird bewusst und unbewusst immer wieder mit materiellen Gütern verglichen. Wenn ich einen Zettel, auf den ich ein Liebesgedicht geschrieben habe, verbrenne, dann ist der auch weg. Wenn ich es auf einen Blog stelle und dann lösche, weil es doch irgendwie doof ist, dann ist es noch lange nicht weg. Dieses (grossteils unbewusst stattfindende) Fehldenken (Materie vs. Cyberspace) ist leider gerade bei der Jugend sehr ausgeprägt. Für sie ist das Internet ein Werkzeug, über das sie dank ihrer Apps eine scheinbare Kontrolle haben. Dass sie die Kontrolle über ihre Privatsphäre verlieren, bemerken sie erst, wenn dies dazu führt, dass sich irgendwas gegen sie richtet.

Fehlendes Unrechtsbewusstsein ist übrigens, neben der fehlenden sozialen Kompetenz, auch nur eine weitere Begleiterscheinung unseres Erziehungssystems, das nicht mehr aus Erziehung sondern aus Betreuung besteht. Wenn mein Sohn in der Kita lernt, dass es ok ist, wenn er andere haut und die Erzieherinnen dazu nur sagen "Kinder hauen sich halt mal" und wenn sie zuschauen wie 5-Jährige die 3-Jährigen drangsalieren und unterdrücken, müssen wir uns nicht wundern, wenn sie sich dann in der Schule mit Messern und Schusswaffen an die Wäsche gehen.

Und daher reicht es nicht aus nur eine Aufklärung im Bereich der Medienkompetenz zu machen, an deren Wirksamkeit ich auch eher zweifle, weil es, wie bereits gesagt, eine Kompetenz ist, die sich aus Erfahrung bildet. Wir müssen das komplette Bildungs- und Erziehungssystem unserer Gesellschaft verändern, wenn wir irgendwann mal wieder eine selbstständig denkende Generation haben wollen, die sich bewusst über den Umgang mit Daten ist und nicht jedem Werbe-Slogan glaubt. Unser Bildungs- und Erziehungssystem ist auf die materielle Welt ausgerichtet und integriert das Internet noch lange nicht ausreichend genug um der Verflechtung des Netzes mit unserem Leben gerecht zu werden.
 

end4win

Member of Honour
Da gebe ich dir durchaus Recht, das derzeitige Bildungssystem ist Mist und wir
haben ein massives gesellschaftliches Problem in Bezug auf den Stellenwert
von Kindern und Familie, nur hat dies überhaupt nichts mit IT-Sicherheit zu tun.

Die Rolle Staat vs Eltern sehe ich durchaus ähnlich, doch erlebe ich leider auch bei
Eltern oft viel höhere Medieninkompetenz und vorallem den unkontrollierten Einsatz
von Medien, auch um sich selbst Freizeit von den eigenen Kindern zu verschaffen.

Die peinlichen Bilder laden sie übrigens meist nicht selbst hoch dafür gibt es
"Freunde" und in der Schule und privat ist die Herstellung und Verbreitung über die von den
Eltern bereitgestellten Smartphones oft effektiver als über das Netz.

Kinder waren und sind "grausam", nur die technischen Möglichkeiten haben sich
gewandelt. Diese Verantwortung kann der Staat den Eltern aber nicht ganz abnehmen,
nur sie können ansatzweise beurteilen und kontrollieren, ob ihre Kinder reif genug
und mit den Möglichkeiten der Technik nicht überfordert sind. Haben wir dafür
keine Zeit mehr sollten wir auch keine Kinder mehr haben und sind wieder einen
Schritt weiter in Huxleys Welt.

Gruss
 

SchwarzeBeere

Moderator
Mitarbeiter
Was mir in der öffentlichen Diskussion viel zu kurz kommt, ist die Rolle des Staats im Gesamtgefüge der IT-Sicherheit. Natürlich muss es Strafverfolgung geben, das will und muss denke ich auch niemand außerhalb des rechten und linken Rands hinterfragen. Wie diese Strafverfolgung realisiert wird, ist allerdings nur eine Teilfragestellung - ebenso wie die daraus resultierende Anerziehung von Medienkompetenz und Datenschutzsensibilität.
Vielmehr umfasst IT-Sicherheit aber auch den Schutz von kritischen Infrastrukturen, von Unternehmen und Privatpersonen. Soweit ich das hier überblicken kann stimmt die Mehrheit der Aussage, dass IT- und vordergründig die Internetsicherheit auch Aufgabe des Staats ist, zu, was mich in Anbetracht der Realität doch sehr schockiert. Um das Ergebnis kurz vorweg zu nehmen: Ich denke nicht, dass es nicht Aufgabe des Staates, oder besser der Staatsorgane, ist, IT-Sicherheit global zu implementieren. Die Staatsorgane sind und dürfen nur einen Stakeholder neben weiteren darstellen. Es müssen jedoch alle Stakeholder in die Prozesse einbezogen werden.

Und nun ausführlich:

In der Realität gibt es meiner Ansicht nach einen Begriff, der gerade im Bereich IT Sicherheit auf Staatsebene die öffentliche Diskussion beherrscht: Schuld. Es muss dem Staat möglich sein, "Schuld" zuzusprechen und diese Schuld zu verurteilen. Dies ist offline recht gut möglich, im Internet verschwimmt der Begriff der "Schuld" allerdings sehr schnell. Da wir jedoch um jeden Preis Schuldzuweisungen machen wollen, auch um Gefühle der Betroffenen zu befriedigen, werden Maßnahmen eben genau daran gemessen, ob eine Schuldaussage möglich ist oder nicht. Es geht uns nicht um den Schutz, sondern lediglich um die Frage, wer schuld dafür ist.

Wie sieht denn unser Modell überhaupt aus? Da wir hier der Frage nachgehen wollen, ob IT-Sicherheit als Aufgabe vom Staat angesehen werden soll, betrachte ich einen einfachen Staat als mein Modell: Ein Staat besteht aus 3 Teilen, welche aus ganz eigenen Interessen Sicherheit versuchen durchzusetzen, und die neben ihren Schnittpunkten auch ihren eigenen "Handlungsrahmen" besitzen:

1) Aus eigenen Staatsorganen, die Gesetze beschliessen, auf Basis dieser Gesetze Urteile fällen und die Urteile und Gesetze durchsetzen. Hier ist die Beantwortung der Frage trivial, denn hier ist es Aufgabe des Organs und damit letzten Endes des Staats, IT-Sicherheit (in welcher Form auch immer) durchzusetzen, um beispielsweise die Informationen von Staatsbürgern und Verwaltungsinformationen zu schützen. Anreize zum Schutz ergeben sich aus den eigenen beschlossenen Gesetzen und Urteilen. Für den Staat eigen ist beispielsweise die durchaus notwendige Geheimdienstarbeit. Hier ist es nicht sinnvoll, dass die anderen Stakeholder, vollständig transparent informiert werden.

2) Aus Unternehmen der Privatwirtschaft und Industrie. Innerhalb dieser Unternehmen unterliegt die IT Sicherheit per se dem Unternehmen selbst, das sich an die Gesetze und Urteile der in 1) genannten Organe halten muss. Weiterhin gibt es mehrere wirtschaftliche Aspekte, welche Anreize bieten, in IT Sicherheit zu investieren, beispielsweise Wirtschafts- und Industriespionage, Konkurrenzbeziehungen oder Interessen anderer Stakeholder. Wichtig ist hierbei, dass eben diese Informationen, welche dem Unternehmen Gewinne einbringen, vor allen anderen Stakeholdern geschützt werden.

3) Aus den Bürgern des Staats selbst. Hier besteht Sicherheitsbewusstsein nur soweit, wie dies von den anderen Stakeholdern nicht bereits abgedeckt wird. IT-Sicherheit an sich ist einem nicht technik-versierten Bürger jedoch fremd, sodass bei einem gefühlten Ungleichgewicht von gewünschter und vorhandener Sicherheit die Staatsorgane als "oberste Instanz" zur Durchsetzung weiterer Maßnahmen herangezogen werden. Gleichzeitig besteht das Sicherheitsbewusstsein darin, dass die Privatsphäre auf einem befriedigendem Level geschützt werden soll.

Nun gibt es aber noch einen weiteren Aspekt: Diese "Stakeholder" sind durch ein großes, internationales Netzwerk, dem Internet, miteinander verbunden, in dem die Daten nicht zwingend innerhalb der Grenzen eines souveränen Staates, als den ich Deutschland im übrigen auch sehe, bleiben müssen. Das Internet wird sowohl von Unternehmen aus der Privatwirtschaft und Industrie, als auch von öffentlichen Unternehmen und Privatpersonen betrieben, wodurch sich auch der bekannte Multi-Stakeholder-Ansatz im Bereich der Internet Governance entwickelt hat.

Jetzt stoßen wir jedoch schnell auf ein Problem: Das Internet ist aufgrund seiner Struktur und seiner Internationalität weder anlassbezogen überwachbar, noch auf ein Land begrenzt überwachbar, was unsere Politiker oft unterschlagen. Entweder man überwacht alles, oder garnichts. Um die oben angesprochenen Schuldzuweisungen machen zu können wird dieser Punkt jedoch gerne in Kauf genommen.

Die eigentliche Aufgabe - der Schutz aller Beteiligten - wird allerdings nur ungenügend wahrgenommen und verwirklicht. Hier sehe ich inzwischen ein anderes Aufgabenmodell als deutlich sinnvoller an: Der Staat als Manager der IT-Sicherheit. Ich schreibe hier bewusst "Staat" und nicht "Staatsorgan", da das Internet nicht per se den Staatsorganen zuzuordnen ist, sondern vom bekannten Multi-Stakeholder-Ansatz lebt. Dies bedeutet, dass

1) Die Staatsorgane ihre (lokale) IT-Sicherheit selbst regeln.
2) Die Unternehmen ihre (lokale) IT-Sicherheit selbst regeln.
3) Die Privatpersonen ihre (lokale) IT-Sicherheit - soweit nicht bereits abgedeckt - selbst regeln.
4) Der Staat als übergeordnete Instanz, welche mit dem Management der (globalen) IT-Sicherheit betraut wurde und zu deren Aufgaben z.B. der Austausch von Sicherheitsinformationen zwischen Stakeholdern, die Koordinationen von Maßnahmen oder die Bewertung von globalen Risiken anhand der Informationen aus staatlichen und privaten Quellen zählen könnten.

Das Internet ist hier kein rechtsfreier Raum, sondern ein minimal-reguliertes Gebilde, bei dem die Regularien durch alle Stakeholder entworfen werden und denen allgemein zugestimmt werden kann. Damit ist das Internet kein Teil des/eines Staates, sondern unterliegt lediglich dessen Regularien. Am Ende bleibt es jedoch international.

Das Internet sollte als das angesehen werden, was es ist: Ein Multi-Stakeholder-Organ, in dem jeder Stakeholder bestimmten Gesetzen und Urteilen unterliegt und das ebenfalls eine allgemein anerkannte Basis zur Aufklärung (Schuldzuweisung) besitzt, die allerdings gemeinsam entworfen wurde und die nicht durch einzelne Stakeholder vorgegeben wird. Nur so werden wir auch in Zukunft einen Überwachungsstaat aus Aufklärungsgründen verhindern können und uns mit dem eigentlichen Thema beschäftigen: Der Sicherheit unserer IT-Infrastrukturen.
 
Zuletzt bearbeitet:

bluez

Member of Honour
Wieder das Argument mit der Überwachbarkeit. Sicherheit resultiert nicht allein aus der Überwachung. Überwachung oder besser Kontrolle, ist nur ein Teilgebiet. Du brauchst keine Totalüberwachung um sicherzustellen, dass die Leute sich halbwegs an Tempolimits halten, es reichen Stichprobenartige Überwachungen um das Problem grob einzudämmen.
Und selbst wenn man gar nichts überwachen/kontrollieren könnte: Wir können auch nicht verhindern, dass die längst überfällige Jahrhundertflut nächstes Jahr wiederkommt, aber wir können eine Reihe an Schutzmechanismen dagegen erstellen.
Du plädierst für eine IT-Sicherheit, die auf Gemeinschaftsverträgen beruht und nicht auf Gesetzen. Das ist ein sehr unsicheres und gefährliches Gebiet: Ich möchte es am Beispiel der Gewerkschaften festmachen: Einerseits verhindern die Gewerkschaften, wenn sie ordentlich arbeiten eine regelrechte Ausbeutung durch den Arbeitgeber. Andererseits können sie, fast schon, zu einem Instrument des Terrors werden, wenn z.B. wichtige Teile der Infrastruktur oder Lebenswichtige Teile eines Unternehmens durch häufige Streiks eine Erpresserposition einnehmen. Die Folge sind rasante Lohn- und Preisanstiege, die zu Lasten aller gehen und überproportional zu der Effizienz sind. Andererseits können Gewerkschaften unterwandert werden. Z.B. sind ja Scheingewerkschaften nicht unbekannt: so kann man nach außen hin den Anschein wahren und nach innen eine mafiöse Struktur aufbauen.
Die selbe Gefahr droht überall, wo man zu viel der Regulierung abhängigen Parteien überlässt. Dabei kann man alle Parteien relativ leicht einbeziehen, in dem man sie z.B. in Schieds- und Mediationsstellen und Schöffengerichten beteiligt, wo sie aber auf einer gesetzlichen Grundlage stehen. Wir lassen doch unsere Polizeistruktur auch nicht von Bürgern, Unternehmen und Staat wählen, um einen Überwachungsstaat zu verhindern. Stattdessen unterstützen und kontrollieren wir das System über Gewählte Volksvertreter und Schöffen aus dem einfachen Volk.

Ich spreche ja überhaupt nicht für einen Überwachungsstaat und einem Bundestrojaner auf jedem Rechner. Sondern Normen und Standards, von Fachleuten erstellt. So wie DIN und TüV in Deutschland garantieren, dass der Mixer in der Küche nicht Feuer fängt und sicherstellt, dass man auch mit dem Fön baden kann, weil der FI seine Arbeit erledigt.
 

end4win

Member of Honour
@bluez

Also der Vergleich mit dem Strassenverkehr hinkt gewaltig.
Zum einen zeigt mir meine Erfahrungen, dass Tempolimits in der Regel
ca. 50m vor einem stationären Storchenkasten wirklich gut funktionieren,
also im Bereich einer Totalüberwachung.
Zum anderen sind Verkehrskontrollen eigentlich meist anlasslose
Kontrollen, das Pendant im Netz wäre, wir lassen uns von einem Zufallsgenerator
eine IP rausschmeissen und schauen mal was der im Netz so treibt.
Das geht ja mal gar nicht.

Auch das Streikrecht ist durchaus streng reklemetiert und weder Gewerkschaft
noch Arbeitgeber können hier einfach machen was sie wollen. Scheingewerkschaften
sind illegal und alles andere als ein Kavaliersdelikt.

Gegen Normen und Standards habe ich überhaupt nichts einzuwenden und
gerade im Rahmen des Verbraucherschutzes hat sich hier ja auch schon einiges
National getan.
Auch die Überwachung der Netzinfrastruktur durch die Bundesnetzagentur
funktioniert ja recht brauchbar.
Was mir eigentlich noch fehlt ist die Pflicht einer vernünftigen Verifikation
vorallem in Bezug auf Alter, bei entsprechenden Angeboten. Hier gibt es aber auch
schon brauchbare Systeme, die eigentlich nur noch eingebunden werden
müssten und ausgebaut werden könnten, um zum Beispiel Lieferadressen zu
validieren. Im Prinzip ein Netzausweis in dem der Besitzer bestimmt wer welche
Daten lesen darf.

Dies kann man von mir aus alles International in Stein meiseln, aber für Kontrolle
und Überwachung muss es einen Verdacht auf eine Straftat bzw. eine Anzeige
vorliegen. Es ist also der mündige Bürger gefragt, der eben gegen zB Abofallen
vorgehen muss und nicht einfach aus Angst bezahlen.
Mit der Akzeptanz einer anlasslosen Überwachung, die nicht rein technisch, also
zum Erhalt der Funktion des Netzes, bedingt ist öffnest du über kurz oder lang
den Weg zur totalen Überwachung, den es wird sich immer ein guter Grund
finden diese auszubauen, aber keiner sie wieder einzuschränken.

Gruss
 

bluez

Member of Honour
Ich habe nicht behauptet, dass Tempolimits sklavisch eingehalten werden, sondern dass sie halbwegs ordentlich eingehalten werden. Nur ein paar wenige verrückte Spinner rasen mit 80 durch die Innenstadt und nur wenige unverantwortliche düsen mit 60 an der Schule vorbei. In der Regel fahren die meisten 50-60 in der Innenstadt 70-90 in der 80Zone an der Autobahnbaustelle usw.. Natürlich gibts auch Leute die da mit 120 durchrasen, aber es gibt in jedem Bereich Leute die unbelehrbar sind und Gesetze brechen oder gar Straftaten begehen. Der Großteil hält sich aber halbwegs an die Limits, bzw überschreitet sie nur geringfügig.
Und Verkehrskontrollen und Blitzer sind keineswegs Totalüberwachung sondern ein sehr weitmaschiges Netz an STICHPROBEN. Das mag dir anders vorkommen, wenn du zu jenen Benz-Fahrern gehörst, die regelmäßig mit 200km/h rechts überholen, es ist aber so.
Und genauso kann man doch auch problemlos Stichproben für bestimmte IP-Adressen durchführen. Warum nicht? Zieh eine IP raus und finde raus ob dieser seit der Vergabe Kinderpornoseiten aufgerufen hat. Genauso wie die Polizei Stichprobenartig kontrollieren kann ob du Drogen an dir trägst.
Persönlich bin ich eher gegen eine Stichprobenartige Kontrolle deutscher IP-Adressen, da zu viel Missbrauch getrieben werden kann und IP-Adressen nicht mit ordentlicher Sicherheit einer Person zugeordnet werden kann und Verschleierungsmaßnahmen zu einfach verfügbar sind. Aber es gibt doch wohl auch schlüssige Argumente dafür, die nicht gerade auf eine Totalüberwachung abzielen.

EDIT: Ah, und zum Streikrecht: deshalb hängen regelmäßig Leute am Flughafen fest oder Arztpraxen schließen, weil sich die Herren Doktoren unterbezahlt fühlen. Bis zu den unsäglichen Hartz-Gesetzen wurden in Deutschland sehr hohe Löhne gezahlt - und sie werden auch immernoch in vielen Bereichen sehr hoch gezahlt. Und das ist nur teilweise auf gute Ausbildung und Produktivität zurückzuführen, sondern eben zu gutem Teil auch, weil die Gewerkschaften eine enorme Macht haben und sie auch für Lohnkämpfe gut ausnutzen.
Ich bin übrigens nicht gegen Gewerkschaften, Streiks oder hohe Löhne für Arbeiter. Ich will nur aufzeigen, dass es auch mal gefährlich werden kann, wenn man Nicht-Regierungs-Organisationen zu viel Macht lässt.
 

end4win

Member of Honour
Und genauso kann man doch auch problemlos Stichproben für bestimmte IP-Adressen durchführen. Warum nicht?

Weil die Polizei bei einer Kontrolle nur meinen Führerschein,
meinen Fahrzeugschein, meine und die Fahrtüchtigkeit meines Fahrzeugs
prüfen darf und sich eben nicht in mein Fahrzeug setzen und mich durch
den Tag begleiten darf, weil ich eventuell heute etwas verbotenes tue. :wink:
Schon die Standardfrage, wo kommen sie her und wo wollen sie hin,
meist Feitag und Samstagsnacht gestellt, muss ich nicht beantworten.
Dies geht sie nämlich nichts an.
Du aber erlaubst ihnen im Internet nicht nur dies, sondern auch noch das
Abhören von jedem noch so privaten Gespräch.
So viele Rechte verlier ich nicht mal, wenn von einem Richter das Abhören meiner
Wohnung erlaubt wird. :rolleyes:
Ich denke auch das Verfassungsgericht wird keine Möglichkeit sehen ein solches
Überwachungsgesetz zuzulassen. Es hat schon bei der Vorratsdatenspeicherung
eine Prüfung gefordert, ob ein signifikanter Ermittlungserfolg gegeben ist
und sogar die Nutzung der Daten nur für schwerste Verbrechen zugelassen.
Beides ist bei deinen anlasslosen Internetkontrollen weder gewährleistet oder auch
nur zu erwarten.

Natürlich sind bei Streiks die Kunden betroffen, wie sonst soll den Druck auf
die Geschäftsleitung aufgebaut werden? Allerdings muss die Grundversorgung
durchaus gewährleistet sein und auch die Sicherheit muss gewährleistet sein.
Sonst wird so ein Streik ganz schnell verboten.

Gruss
 
Oben