Deplatziertes Vertrauen: Über den TeleMessage-Skandal
Der Messenger-Skandal der US-Regierung ist eine unfreiwillige Fortsetzungsgeschichte darüber, wie man Informationssicherheit nicht erreicht.
"Sicherheit ist ein Prozess, kein Produkt", schrieb Security-Papst Bruce Schneier schon vor Jahrzehnten. Man kann Sicherheit deshalb auch nicht einfach kaufen, wie die US-Regierung in einem mittlerweile sehr facettenreichen Skandal um ihre interne Kommunikation demonstriert. Nach lauter Kritik über ihre unsachgemäße Verwendung des Messengers Signal, wurde bekannt, dass zumindest manche Regierungsmitglieder einen alternativen Client der Firma TeleMessage nutzten – und das machte alles noch viel schlimmer.
Informationssicherheit, also die Aufrechterhaltung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit, ist immer auch eine Frage des Vertrauens und danach, wer dieses Vertrauen verdient. Allen zweifelhaften Wortschöpfungen von "zero trust" bis "trustless system" zum Trotz: Wer wahrlich niemandem vertraut, kommt nicht weit. Sichere und verlässliche Systeme erhält stattdessen, wer weiß, wem er vertrauen kann, und durch geschicktes Vorgehen auch nur diesen Stellen vertrauen muss.
Technische Ansätze wie Verschlüsselung, Signaturen und quelloffene Software helfen dabei. Aber nicht, weil sie Vertrauen eliminieren, sondern weil sie es teilweise verlagern: wenn man es richtig macht, von Stellen, denen man weniger vertraut, hin zu Instanzen, denen man mehr vertraut.
Das war die Leseprobe unseres heise-Plus-Artikels "Deplatziertes Vertrauen: Über den TeleMessage-Skandal". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
