Aber ZeroTrust ist dem Ottonormalverbraucher nicht zu erklären.
Das Prinzip schon. Man muss es ja nicht auf technischer Ebene erklären.
Gegenfrage: warum sollte der "Ottonormalverbraucher" ZeroTrust verstehen, bzw
was sollte er darunter verstehen?
Soviel ich wahrnehme, ist "ZeroTrust" ein neues Buzzword, etwas was man angeblich haben muss (so ähnlich wie "Agile" oder "DevOps" zuvor), vor allem seitens von Lieferanten (d.h. Beratungsfirmen) die da irgendwas verkaufen wollen - und adressiert an die Entscheider-Ebene, also an Leute, die gar nicht wissen [wollen] was ihre IT konkret tut.
Was mir viel mehr Sorgen macht, das ist, dass dieses Buzzword im grunde die Befindlichkeit unserer Gesellschaft reflektiert: man redet nicht mehr miteinander, man hilft einander nicht mehr, man löst Dinge nicht mehr gemeinsam. Wenn jemand unterwegs verunglückt, hält man nicht mehr an, wenn die Kinder schlechte Noten schreiben, geht man zum Anwalt und läßt ihn die Schule verklagen.
Mal davon ab, hat man bei der Verständlichmachung recht gute Karten. Dank diverser Filmproduktionen, in denen auch gerne mal unrealistische Hacking-Szenarien dargestellt werden, hält man die vernetzte Welt eh für gefährlich (gefährlicher als sie eigentlich ist). Das Problem ist nicht die Einsicht in die Gefährlichkeit, sondern eher die Denke: "Wer soll mich schon hacken wollen" wahlweise kombiniert mit "man kann eh nix machen".
Die Schlüsselfrage bei der ganzen Computersicherheit ist die nach dem Bedrohungsszenario, oder Attack-Vektor. Wenn ich das nicht weiss, dann klingt "ZeroTrust" natürlich ganz toll: damit kann irgendwas verkauft werden, bei dem dann eh niemand überprüfen wird ob es was nützt.
Exkurs - eigene Erfahrung: nachdem ich etliche Jahre lang die Deutsche Bank beraten hab, bin ich in der glücklichen Lage, zu wissen wie die es machen, und deren Fehler nicht wiederholen zu brauchen. Das klassische Sicherheitskonzept aus Perimeter und Intranet hab ich dann zu realisieren versucht, und festgestellt: das geht so nicht. Entweder man kann sich nicht mehr bewegen, oder das wird so löchrig wie ein Schweizer Käse.
Dann kanm IPv6 und damit die Möglichkeit, endlich wieder zurückzukommen in die alte Zeit, wo jeder Kaffeekocher auf dem Campus seine eigene Adresse hatte und weltweit erreichbar war. Und das macht viel mehr Spass.
Jetzt betreibe ich ein Sandwich-Modell: jeder meiner Nodes hat vier Schichten (IPv4 private, IPv4 public, IPv6 private, IPv6 public) und sorgt selber dafür, diese voneinander zu trennen. (Das ist zumindest bizarr genug, sodass keiner von der Gier+Angst Fraktion es je haben wollen wird.)
"Wer soll mich schon hacken wollen" und "da kann man eh nix machen" sind nur allzu berechtigte Konklusionen aus der gegenwärtigen Situation. Aber noch wichtiger und noch vor der Frage nach den Attack-Vektoren zu stellen ist diese:
was gibt es zu klauen?
Letztere führt dann weg von den technischen Konzepten, und hin zu der Überlegung, welche Daten man eigentlich wo rumliegen hat (und wieso) - was eigentlich viel relevanter ist.
Wenn ich eine Kreditkarte hab, und Mastercard entschließt sich, ihre Kundendatenbank im Darknet zu verteilen (das ist mir und vielen anderen Kunden konkret so widerfahren - die Kartennummer wurde dann zwar getauscht, aber EMail, Anschrift und ich glaub Geburtsdatum sind halt jetzt im Darknet, und Mastercard wurde daraufhin
nicht dichtgemacht, weil, kann ja mal passieren), dann schützt mich ZeroTrust davor nicht.
Wenn die Deutsche Telekom gezielt Daten sammelt, die einzig für den Enkeltrick zu gebrauchen sind (Beziehungs- und Verwandtschaftsverhältnisse) und Kunden, die solche Daten prinzipiell nicht preisgeben möchten, den Online-Zugang sperrt, dann liegen diese Daten fürderhin auf einem Rechner der DTAG, und den Weg von diesem Rechner zum Darknet kann mein ZeroTrust auch nicht überwachen.
Ja, man hält die vernetzte Welt für gefährlich - ob nun berechtigt oder nicht. Aber man lokalisiert vermeintlich diese Gefahr bei irgendwelchen unbekannten "Internet-Kriminellen" (oder bei den Russen), anstatt bei den Unternehmen wo man Kunde ist.
Ist ja sowieso unverständlich wie ein Gerät eine Zertifizierung bekommen kann, obwohl es nicht offen ist (zumindest die Software). Das wäre eine Grundvoraussetzung, die ich daran knüpfen würde. Das Dinge nachvollziehbar sind.
Aber daran kann man sehen, das diese ganzen Zertifizierungen letztlich wertlos sind.
Mal abgesehen davon, das das BSI dem Innenministerium untersteht. Also genau denjenigen, die zur Strafverfolgung in die Kommunikation reinschauen wollen. Das sind jetzt nicht die besten Voraussetzungen, um für sichere IT zu sorgen.
In diese Problematik sollte ja mal ein wenig Bewegung reinkommen, weiß aber nicht, was daraus geworden ist.
Ich weiss es auch nicht. Ich erinnere mich nur, vor langer, langer Zeit, als es noch die Idee von "Bürgernetzen" gab, war man sehr sensibel und aufmerksam bezüglich derartiger Dinge.
Aber es will mir scheinen (ich kann mich natürlich täuschen) dass mit dem Aufstieg von Facebook stattdessen die Mode aufgekommen ist, alles und jedes im Netz mit Firmen zu teilen, die durchaus nicht deine Freunde sind, auch wenn sie dich ungefragt duzen.
Jaja. Die DSGVO.
Bei der DSGVO bin ich zwiegespalten. Ja. Sie hat eine Verbesserung gebracht. Allerdings ist das alles noch sehr lückenhaft. Die ganzen Datenkraken gibt es ja immer noch und die dürfen im wesentlichen weiter machen wie bisher.
Ich kann mich natürlich täuschen, aber es will mir scheinen, dass die DSGVO und alles was aus dieser Ecke kommt, in einer Art konzertierter Aktion dazu dient, den Bürger gerade in die Hände der Datenkraken zu treiben.
Denn in erster Linie zielt das doch darauf, den Betrieb einer eigenen kleinen Webseite zu erschweren und verkomplizieren.
Ich meine, wenn dein eigenes kleines Softwareprojekt
auf das hinausläuft wie hier, dann gehst du halt
lieber zu Github. Und wenn dein kleines Diskussionsforum solchen Schikanen ausgesetzt ist, dann ist es einfacher auf Facebook oder Reddit realisiert. Mit dem zusätzlichen Vorteil, dass es dann zentral überwacht und zensiert werden kann - das machen die Betreiber ja schon von sich aus, und wehe einer (Musk) macht nicht mit...
In ganz vielen Fällen wirkt die DSGVO gar nicht. Das fängt schon bei simplen Dingen an wenn ich eine Webseite besuche. Was da dann an Cookies und Verbdinungen aufgebaut wird, bevor ich überhaupt ne Meldung kriege, ist teilweise nicht mehr feierlich.
Und Do-Not-Track wird auch weitestgehend ignoriert, obwohl das ja eine eindeutige Willensbekundung ist.
Sie scheitert aber auch an anderen Stellen. Um mal bei dem WhatsApp-Beispiel zu bleiben. Da werden ja auch Daten erhoben.
Genau, das ist es, was den Bürger bekümmern soll - dass er "getrackt" wird. Dass die Vielfalt der möglichen Web-Angebote derweil auf einige Großunternehmen konzentriert wird, das soll er dabei übersehen.
Aber welchen Nutzen hat "privacy", wenn du eh von den Großen fremdgesteuert wirst?
Das Grundproblem ist halt, das das alles kaum Beachtung findet und sich kaum jemand daran stört bis auf ein paar Datenschützer und Aktivisten. Und daher haben wir auch eine stetige Zunahme von Tracking etc. Und wenn man doch mal was sagt, ist man auch noch in der Position sich rechtfertigen zu müssen warum man denn so paranoid sei.
In so einem Klima haben es die Googles, Facebooks und Microsofts natürlich leicht.
Das ist doch ein Klassiker der PsyOps: gib den Aktivisten einen Strohmann, an dem sie sich abarbeiten und aufreiben können, und konzentriere derweil deine Kräfte.
Wenn du mal in Betracht ziehst, dass Privacy gar nicht das eigentlich relevante Thema sein könnte, dann fallen da noch mehr Sachen auf.
Ein Beispiel: meine Mama ist gehbehindert. Wenn sie zum Arzt muss um ihre Herzmedizin zu kriegen, braucht sie ein Taxi. 25 EUR. Danach geht sie in die Apotheke neben der Praxis, und dann zum Heimfahren wieder ein Taxi. 25 EUR. Neuerdings wird das Rezept auf die Plastikkarte gespeichert und ist dann am nächsten Tag für die Apotheke lesbar. Dadurch werden nochmal zweimal 25 EUR fällig.
Wir (das ist die Apotheke und ich) nennen das "Zwangsdigitalisierung", und das meint Digitalisierung, die nur für alle Parteien Nachteile bringt. Außer für die Betreiber der Digitalisierung.
Anderes Beispiel: im Supermarkt werde ich gefragt, ob ich eine "App" habe. Und interessante Angebote kriege ich auch oft nur, wenn ich diese "App" habe. Ich soll da also ein Stück Software auf meinem Device installieren, die ich nicht kenne, bei der ich nicht weiss (und auch gar nicht erfahren kann) was sie da eigentlich tut und rechnet - aber das was sie da rechnet, ist offenbar so wertvoll, dass man mir dafür zuweilen das Brot zum halben Preis (oder sagen wir, zum fairen Preis statt zum doppelt überteuerten) verkaufen kann.
Die Frage ist natürlich auch, ob das überhaupt
mein Device ist (auf das ich nichteinmal root-Zugriff habe) und nicht eher Google/Apple gehört - ein Sklavenhalsband, das mich als Eigentum (oder Ware) dieser Konzerne kennzeichnet.
Solche Fragen hätte man anfang der 90er Jahre noch auf dem ChaosCommunicationCongress stellen können, und sie wären diskutiert worden. Heute scheinen sie niemanden mehr zu bekümmern.
Jetzt sag mir, dass das alles eine "Verschwörungstheorie" ist. Denn wenn es das nicht ist, dann läuft hier etwas schief, und "tracking" ist noch einer der harmloseren Aspekte davon.