Letzte Änderung am 8. Februar 2020 by Christoph Jüngling
Hast du schon mal einen Schlüssel verloren, weil in deiner Hosentasche eine Naht aufgegangen ist? Das kann schon mal passieren, schließlich hält nichts eine Ewigkeit lang. Aber es wäre doch einigermaßen komisch, wenn das Loch schon beim Kauf darin wäre, und das sogar mit voller Absicht.
Neulich hatte ich ein Gespräch mit einem neuen Kunden. Nach dem ersten Handschlag, aber noch bevor irgendein Gesprächspartner sich vorstellte, musste ich ein “NDA” unterschreiben, also eine Vereinbarung, unter keinen Umständen etwas über dieses Gespräch mit Außenstehenden zu teilen. Ich musste mein Handy und mein Notebook vor dem Besprechungsraum in eine Metallkiste legen. Dann folgte ein hochgeheimes Gespräch über … sorry, ich darf nicht darüber sprechen. Etwas später im Laufe des Tages erhielt ich dann noch eine eMail mit dem Protokoll der Besprechung. Unverschlüsselt. WTF???
Natürlich ist diese Geschichte frei erfunden – dieses Gespräch hat niemals stattgefunden. Ich wollte nur, dass du dich in die Situation hinein versetzt und begreifst, wie sinnlos manche Vorgehensweisen sind. All die schönen Sicherheitsmaßnahmen erweisen sich als völlig überflüssiger Aufwand, wenn danach eine unverschlüsselte Mail mit den besprochenen Inhalten durch das Internet wandert.
So kam es mir gerade bei Pocket (ehemals “read-it-later-list”) vor. Das Konzept ist für mich sehr nützlich und schnell erklärt: Es gibt ein Browser-Addin, mit dem ich mit einem einzigen Mausklick die aktuell geöffnete Seite in meiner “Ablage” speichern kann. Dorthin wird dann die URL übermittelt und ein Dienst auf dem Server lädt die Website und speichert sie für mich. Über eine Website mit Anmeldung oder eine App auf dem Smartphone kann ich dann die Inhalte lesen – auch dann noch, wenn die ursprüngliche Website längst geändert oder gelöscht wurde.
Ich unterstelle mal, dass das alles schön mit SSL/TLS-Verschlüsselung abläuft, habe es aber abgesehen von der Website selbst nicht überprüft. Und jetzt kommt ein offenbar ziemlich neuer Service ins Spiel: Per Mail erhielt ich gestern erstmals die völlig unnötige Bestätigung, was ich die Woche über getan habe. Und natürlich war diese Mail unverschlüsselt. Das Prinzip ähnelt übrigens dem in meinem Brief an einen fiktiven Steuerberater geschilderten.
Dabei wäre es nicht weiter schwierig, Mails auf Wunsch des Kunden zu verschlüsseln. Wenn man im eigenen Profil bei Bedarf einen PGP-Key hinterlegen würde, dann könnte dieser (nach einem kurzen Check ähnlich wie das Opt-in bei Mailinglisten) benutzt werden. Ist er nicht hinterlegt, wird die Mail halt nicht verschlüsselt. So hätte der User die Wahl. Das ist übrigens gar nicht so phantastisch, wie es sich vielleicht anhört: Bitcoin.de und – natürlich – der Chaos Computer Club machen es nämlich genau so.
In den Optionen von Pocket fand ich Gottseidank eine Möglichkeit, diese Vorgehensweise (dort “Save Digest Emails” genannt) zu deaktivieren. Denn wozu sollte ich eine eMail mit Dingen erhalten, die ich selbst nur wenige Tage bis Stunden zuvor getan habe? So vergesslich bin ich dann aber doch nicht :-)
Bedauerlich ist nur, dass wieder einmal ein US-amerikanischer Anbieter die unsicherste Einstellung von Anfang an aktiviert hat. Vielleicht sollte man sie mal auf die neue DSGVO hinweisen, die dieses interessante Prinzip Privacy by Design und Privacy by Default beinhaltet.
Although we use industry standard practices to protect your privacy, we do not promise, and you should not expect, that your personal information or private communications will always remain free from security issues.
Man hätte diese “industry standard practices” aus den eigenen Richtlinien auch etwas sorgfältiger evaluieren können. Oder ist “Industriestandard” nur eine verbreitete Metapher für “das haben wir schon immer so gemacht”?
Neueste Kommentare