Achte die Privatsphäre des anderen wie Deine auch
Marc Ruef | 22.01.2007

Vor rund 10 Jahren steckte, ganz besonders in der Schweiz, der Bereich technisches Security Auditing in den Kinderschuhen. Durch verschiedene Irrglauben, die leider auch heute teilweise noch als Relikte bestehen, gestalteten sich solche Projekte manchmal sehr ineffizient. Vor allem der unverrückbare Fokus auf die Angreifer aus dem Internet erscheint heute bei vielen Firmen als überholt. Durch die mittlerweile sehr soliden Perimeter, diese werden durch umfassende Firewall-Komponenten geschützt, hat sich das als akute Bedrohung empfundene Angreiferprofil etwas verschoben.

Heute werden endlich auch Teilnehmer, denen man sonst ein gewisses Mass an Vertrauen entgegenbringt, als potentielle Gefahr deklariert. Externe Mitarbeiter dürfen bei sicherheitsbewussten Umgebungen schon lange nicht mehr einfachso mit einem eigenen Laptop ins interne Netz. Und selbst der Remote-Zugriff wird nur noch durch gebündelte und überprüfbare Kanäle - Stichwort VPN - gewährleistet. Eine Entwicklung, die durchaus als evolutionäre Richtigkeit bezeichnet werden kann.

Die Folge davon für meinen Berufszweig ist, dass nicht mehr nur Angriffe über das Internet umgesetzt werden. Zunehmends werden auch Projekte angestrebt, bei denen die konkrete Gefahr, wie sie von einem internen Mitarbeit ausgeht, angegangen wird. Der Besuch des Kunden und die Nutzung eines bereitgestellten Arbeitsplatzsrechners sind dabei erforderlich.

Vor einiger Zeit habe ich mich in einem solchen Projekt wiedergefunden. Eine Zugsreise nach Bern machte es erforderlich. Ich sollte bei einer der vielen Aussenstellen nachweisen können, ob und wie man Angriffe auf die Hauptverwaltung anstreben kann. Bei der Aussenstelle angekommen wurde ich sofort zu einem Pult geführt. Dieses fand sich normal eingerichtet, mit Telefon (Voice-over-IP) und Computer.

Zu meinem Erstaunen wurde mir mitgeteilt, dass ich sehr gerne mit dem User der abwesenden Mitarbeiterin arbeiten könne. Den Benutzernamen und das Passwort hatte man mir schon notiert, so dass ich gleich loslegen konnte. Obschon ich mich darüber gefreut habe, dass mir der Zugriff durch umfassende Vorbereitungen per sofort bereitgestellt werden konnte, war dies nicht optimal.

Und zwar störte ich mich daran, so habe ich mich auch geäussert, dass ich hier auf dem Konto eines abwesenden Mitarbeiterin arbeiten solle. Dies, so schien es mir, war als Eingriff in deren Privatsphäre anzusehen. Mit wenigen Mausklicks hätte ich schliesslich ihre liebsten Webseiten, die gespeicherten Emails und die letzten geöffneten Dokumente einsehen können. Schon nur, dass mir diese Möglichkeit gewährt wurde, bereitete mir Unbehagen.

Es erstaunt immerwieder, wie sehr der Mensch das Recht (der anderen) auf Privatsphäre unterschätzt. Gern genutztes Argument ist immerwieder, dass wenn niemand etwas zu verheimlichen hätte, er auch keine Privatsphäre bräuchte. Ja, diese These stimmt. Aber solange sich gewisse Leute der legitimen Privatsphäre bedienen und darüber hinaus auch noch öffentichkeitsrelevante Daten zurückhalten, darf man auch niemandem die ihm zustehende Privatsphäre vorenthalten.

Jemandem seine Privatsphäre einzuräumen ist keine tugendhafte Geste, sondern eine kategorische Pflicht. Ich will gar nicht in Versuchung kommen, dieser Aufgabe nicht umfassend nachzukommen. Gibt beispielsweise jemand sein Passwort ein, schaue ich demonstrativ weg. Okay, ich könnte es mir eh nicht merken - Ich vergesse ja selbst meine eigenen Passwörter immerwieder. Die meisten Leute sagen dann aber, dass ich ihr Passwort ruhig wissen könne. Sie hätten nichts zu verbergen. Es gibt halt aber einfach Dinge, die sollte man für sich selbst behalten...