GlobalSign Blog

03 Aug 2018

Was ist der Unterschied zwischen Privatsphäre und Sicherheit?

Privatsphäre versus Sicherheit: Öffentlich oder geheim - und was war zuerst da?

Ich weiß, was Sie denken: "Nicht schon wieder! Ein weiterer uninformierter Text zum Thema Privatsphäre im Vergleich zu Sicherheit." Hier soll es aber nicht um eine förmliche Stellungnahme gehen, sondern um eine Reihe von Fakten, Facetten und Meinungen zu einem der interessantesten Themen, über die wir in den letzten 50 bis 100 Jahren debattiert haben.

Der Comedian Ron White nutzt eine bestimmte Geschichte bei seinen Stand-up-Auftritten. Darin erzählt er, dass er eines Abends in einer Bar sitzt, um sich zu betrinken. Er macht sein Vorhaben wahr und lässt sich ziemlich volllaufen. In der Privatsphäre der besagten Bar. Die Bedienung meint, dass er genug gehabt hat, und schmeißt ihn raus. Noch bevor es draußen zu einer Straßenschlägerei kommt, taucht die Polizei auf und verhaftet Ron White sofort, weil er in der Öffentlichkeit betrunken angetroffen wurde. Rons simple Unschuldsbeteuerung (oder Schuldübertragung) gegenüber dem Beamten: „Ich war nicht 'in der Öffentlichkeit' betrunken, bis die mich rausgeworfen haben. Also verhaften Sie die!"

Jedenfalls lichtet Ron White hier quasi nebenbei den Nebel einer Debatte des digitalen Zeitalters. Privatsphäre versus Sicherheit respektive öffentliche Sicherheit. Was ist wichtiger? Wie wirkt sich die eine auf die andere aus? Und was können wir als Länder, Bürger / Verbraucher oder Unternehmen und Branchen tun, um uns vor der Vereinnahmung der Privatsphäre zu schützen?

Was ist Privatsphäre?

Ein einfaches Recht? Einfach eher nicht. Versuchen wir es als Einstieg mit einigen grundlegenden Definitionen. Bei Secureworks findet man etwa:

Privatsphäre wird oft definiert als die Fähigkeit, sensible Informationen zu persönlich identifizierbaren Informationen zu schützen, während der Schutz selbst eine Sicherheitskomponente ist. Andere definieren es als das Recht, in Ruhe gelassen zu werden.”

Es wird auf die fünf Konzepte der Privatsphäre verwiesen, die sich auf die Sicherheitsindustrie beziehen:

  • Welche Daten sollten überhaupt erhoben werden?
  • Welche Verwendung ist zulässig?
  • Mit wem dürfen diese Daten geteilt werden?
  • Wie lange dürfen die Daten aufbewahrt werden?
  • Welches detaillierte Modell für die Zugriffskontrolle ist geeignet?

Das klingt einigermaßen eindeutig, bis man sich die Analogie und Definitionen aus einem CSOOnline Artikel ansieht:

Stellen Sie sich ein Fenster in Ihrem Haus vor. Es bietet Ihnen verschiedene Funktionen. Sie können durch das Fenster nach draußen sehen. Es lässt Sonnenlicht in Ihr Haus. Ein Fenster hält das Wetter draußen. Sie können ein Fenster öffnen, um frische Luft hereinzulassen. Im Notfall können Sie ein Fenster als Ausgang verwenden.

Ein Fenster ist aber auch anfällig. So wie Sie es als Ausgang benutzen können, können andere es als Eingang benutzen. Um sich vor unerwünschten Besuchern zu schützen, können Sie Streben oder Gitter vor das Fenster setzen. Dadurch behalten Sie weiterhin alle gewünschten Funktionen, die das Fenster bietet. Dies ist Sicherheit.

Genauso wie Sie aus einem Fenster sehen können, können andere hineinschauen. Um ungebetene Blicke abzuhalten, können Sie ein Tuch, einen Vorhang oder eine Jalousie vor das Fenster hängen. Das ist Privatsphäre. Den Einblick in Ihr Haus zu verdecken, bietet aber auch ein wenig Sicherheit, da Eindringlinge möglicherweise nicht erkennen, wann Sie zu Hause sind oder welche Dinge genau Sie besitzen."

Der Verfasser fasst zusammen: Privatsphäre stellt sicher, dass personenbezogene Daten (und manchmal auch vertrauliche Unternehmensdaten) legal und angemessen erhoben, verarbeitet (verwendet), geschützt und vernichtet werden.

Er weist darauf hin, dass "genau wie die Vorhänge an einem Fenster als Sicherheitsmaßnahme betrachtet werden, die auch die Privatsphäre schützen, bietet Informationssicherheit Kontrollen zum Schutz personenbezogener Daten. Sie beschränken den Zugriff auf personenbezogene Daten und schützen vor unbefugter Nutzung und Aneignung. Es ist unmöglich, ein erfolgreiches Programm zum Schutz der Privatsphäre ohne ein unterstützendes Sicherheitsprogramm zu implementieren."

Man kann davon ausgehen, dass dies nicht das Ende der Debatte ist.

Jetzt wird's beängstigend

Let's get scary

Der ehemalige US-Heimatschutzminister, Michael Chertoff, war kürzlich in einer Nachrichtensendung zum Thema Cybersicherheit zu vernehmen und stellte bei der Gelegenheit sein neues Buch "Exploding Data" vor. Seine einigermaßen beängstigende These: Die meisten unserer personenbezogenen Daten und Unternehmensdaten sind bereits öffentlich. Nur wissen wir nicht, wer sie schon hat und was die Betreffenden damit vorhaben. Und das ist durchaus Teil des Werkzeugkastens zur Kriegsführung.

Ist also das Stehlen von Daten oder Cyberspionage schon Krieg? Chertoff sagt nein, "aber wenn Sie dadurch Dinge zerstören und Menschen töten, ist es Krieg." Erwähnenswert ist für Chertoff auch, wie bereitwillig Verbraucher und Unternehmen in den sozialen Medien wahre Datengeschenke machen. Ähnliches gilt für Handydaten oder Treuekarten im Einzelhandel, Kreditkarten, iWallets, Fahrdienste und dergleichen mehr. Bequemlichkeit und Konsumverhalten scheinen jedenfalls weit mehr Einfluss auf unseren Umgang mit Daten zu haben, als Sicherheitsbedenken.

Öffentlich oder geheim

in the public or private

Aber wo hört das eine auf und fängt das andere an? Jon Evans schreibt in seinem kürzlich erschienenen TechCrunch-Artikel "Personal privacy vs. public security: fight!"  "die ständigen Forderungen nach Hintertüren mit "goldenem Schlüssel", damit Behörden auf verschlüsselte Telefone zugreifen können, die "ausgeschaltet sind“ zu bedenken. Die Gegner konzentrieren sich auf die Tatsache, dass ein solches System unweigerlich für Hacker, Stalker, "Evil Maids" - anfällig sein wird. Nur wenige wagen zu behaupten, dass, selbst wenn es einen perfekten magischen goldenen Schlüssel ohne Schwachstellen gäbe, der nur von Staatsbediensteten innerhalb ihres offiziellen Zuständigkeitsbereichs verwendet werden würde. Und es bleibt die Frage, ob die Umsetzung immer noch moralisch komplex wäre."

Für Evans ist "diese Akkumulation von Daten an und für sich kein Problem der ‚persönlichen Privatsphäre‘, sondern ein massives Problem der öffentlichen Sicherheit." Tatsächlich sind es sogar drei Probleme:

1. Der Verlust von "privaten Räumen" hemmt Wachstum, Forschung und technologischen / kulturellen Fortschritt:

Private Räume sind experimentelle Petrischalen für Gesellschaften. Wenn Sie wissen, dass jede Ihrer Bewegungen beobachtet und Ihre gesamte Kommunikation überwacht werden kann, sodass private Räume effektiv nicht existieren, ist die Wahrscheinlichkeit viel geringer, dass Sie mit etwas Exzentrischem oder Kontroversem experimentieren. Und im Zeitalter von allgegenwärtigen Kameras, Gesichtserkennung, Gangerkennung, Kennzeichen-Lesegeräten, Drohnen etc., kann jede Ihrer Bewegungen beobachtet werden."

2. Der Verlust der Privatsphäre der breiten Masse und Bewahrung der Privatsphäre der "Reichen", hilft, aktuelle Gesetze / Standards / Verordnungen aufrecht zu erhalten, und ermutigt Schmarotzertum, Korruption und Vetternwirtschaft:

Kardinal Richelieu sagte bekanntlich: "Man gebe mir sechs Zeilen, geschrieben von dem redlichsten Menschen, und ich werde darin etwas finden, um ihn hängen zu lassen." Stellen Sie sich vor, wie viel einfacher es wird, wenn das Establishment Zugang zu allem hat, was ein Dissident jemals gesagt und getan hat, und gleichzeitig seine eigene Privatsphäre wahrt. Wie lange vor "Antiterrorismus" wird die Ausrottung von Privatsphäre zu "selektiver Durchsetzung ungerechter Gesetze" zu "de-facto Oppo Research", die jeden trifft, der den Status quo in Frage stellt?"

3. Fortschrittliche Technologie kann die Öffentlichkeit anhand privater Daten manipulieren.

Denken Sie, dass Anzeigen heutzutage schlecht sind? Dass dereinst KI damit beginnt, die Werbung zu optimieren? Verhalten? Daten-Feedbackschleife, Ihnen gefallen evtl. die Anzeigen gut, die Sie sehen, vielleicht auf primärer, limbischer Ebene. Befürworter argumentieren, dass dies offensichtlich besser ist, als sie nicht zu mögen. Aber was ist mit Propaganda? Datenschleife unterscheidet sich nicht von Werbung? Verhalten? Daten, und nicht weniger Gegenstand von "Optimierung"."

Evans verweist unter anderen auf den 538.com-Blog. Seine Prämisse lautet: "Sie können sich nicht dafür entscheiden, Ihre Daten nicht zu teilen, auch wenn Sie sich nicht dafür entschieden haben."

Kommen wir noch einmal auf Ron White zurück, der in einer Bar betrunken war und aus der Bar heraus und in die „Öffentlichkeit“ geworfen wurde. Egal ob Sie annehmen, dass Ihre Daten privat sind: Wenn sie diese Daten jemandem / etwas / einer Firma als Gegenleistung für etwas Anderes gegeben haben, besteht immer die Möglichkeit, dass die Daten aus „dem Privaten" in „die Öffentlichkeit" gelangen. Und, ja, wenn personenbezogene oder private Daten bereits gestohlen wurden, werden sie auch weiterverkauft.

Sicherheit ist der ultimativ erste Schritt zum Schutz der Privatsphäre. Wie der oben zitierte CSO-Artikel deutlich zum Ausdruck bringt müssen Verbraucher sich aktiv am Datenschutz beteiligen. Und zwar, indem sie die Datenschutzerklärungen lesen, bevor sie ihre personenbezogenen Daten weitergeben. Dazu kommen proaktive Sicherheitsmaßnahmen gegen Viren, Malware und Phishing. Unternehmen sollten am besten zuerst eine strenge Sicherheitsbewertung vornehmen und danach ihren Datenschutzplan entsprechend ergänzen.

Der Autor rät:

Es ist nicht Aufgabe eines Datenschutzprogramms, die Technologie oder Prozesse festzusetzen, die zum Schutz personenbezogener Daten verwendet werden sollen (...). Es ist Aufgabe der Sicherheitsspezialisten, diese Entscheidung zu treffen."

Und es gibt natürlich das Argument, dass Privatsphäre und Sicherheit gar nicht so unterschiedlich sind. Daniel Miessler betrachtet diese Seite des Arguments in seinem Artikel, in dem er sagt:

Das Wort Sicherheit kann man in "se" und "cura“ trennen, was lateinisch ist für "ohne Sorge".

„Ohne Sorge“ ist die prägnanteste Beschreibung des Ziels von Sicherheit, die ich jemals gehört habe, und das gilt gleichermaßen für Privatsphäre und Informationssicherheit. Damit können wir auch die Diskussion auf Grundprinzipien reduzieren."

Artikel teilen