Oft steht in der IT die Frage im Raum, ob eine bestimmte Anwendung oder Hardware „sicher“ sei. Die kompetente Antwort enthält dabei fast immer das Stichwort „Threat Modelling“ und den Zusatz „es kommt darauf an“. Aber worauf eigentlich genau?
Die kurze Antwort lautet, Sicherheit basiert immer auf Vertrauen. Denn eine noch so gute Anwendung bringt nichts, wenn die Angreifer die darunterliegenden Systeme kompromittiert haben. Insbesondere erfordert dies ein grundlegendes Vertrauen gegenüber den Herstellern und Lieferanten, dass diese nicht selbst die eigentliche Bedrohung darstellen. Seriöse Hersteller heben sich dadurch ab, dass sie klare Sicherheitsgarantien aussprechen. Sie definieren transparent, unter welchen Bedingungen und Annahmen ihre Schutzversprechen gelten. Eine eigene Überprüfung ist bei proprietären Anwendungen meist schwierig. Aber auch die Verfügbarkeit von Quellcode ist noch lange kein Garant für seine Prüfung. Und selbst wenn: Wer garantiert uns am Ende, dass die ausführbare Datei wirklich exakt aus diesem Code kompiliert wurde?
Mit diesem Hintergrund lesen sich die derzeitigen Diskussionen über Altersverifikation im Netz mit einem deutlich differenzierten Blick. Um hochsensible Daten wie den eigenen Personalausweis hochzuladen, muss das Vertrauen in eine Plattform enorm groß sein. Wie das in der Praxis bei LinkedIn abläuft, veranschaulicht der Privacy-Blogger Rogi in seinem Blog: Dahinter steht ein externes Datenverarbeitungsunternehmen mit undurchsichtigen rechtlichen Dokumenten und enormen sensiblen Datenmengen. Besonders die erfasste Verhaltensbiometrie ist dabei ein hochspannendes Thema!
Wie im analogen Leben weist auch hier die altbekannte Weisheit „Vertrauen ist gut, Kontrolle ist besser“ einen schönen Lösungsweg: Trauen Sie sich zu hinterfragen, ob ein Dienst oder eine Webseite wirklich die angefragten Daten benötigt, und zu welchen Zwecken diese Daten möglicherweise sonst noch verwendet werden.
https://thelocalstack.eu/posts/linkedin-identity-verification-privacy
