Am 12.12.17 um 10:25 schrieb MartinC:
> Zunächst einmal gibt es allgemein und für jedes Problem gerne nur
> noch Maximalszenarien, hier ist es zum Beispiel
>
> Sichtweise 1) Hierzuland ist das Fernmeldegeheimnis geschützt und
> alle Firmen, alle ihre Mitarbeiter, die Behörden, die Polizei und die
> gesamte Regierung hält sich ausnahmslos an Recht und Gesetz. Daher
> sind alle privaten Mails grundsätzlich geschützt.
>
> Sichtweise 2) Die Geheimdienste, alle Firmen und alle Hacker
> speichern grundsätzlich alle Mails, alle Downloads, letztlich alle
> Eingaben jedes Bürgers, grundsätzlich dauerhaft ab, und zwar auch
> alle Inhalte, über einen beliebigen Zeitraum und ohne jede Ausnahme.
> Daher sind alle privaten Mails grundsätzlich offen.
Das Fernmeldegesetz, jö ist das herzig … ein Gesetz ist immer nur so
gut, als es a) passt und b) durchsetzbar ist. Beides ist nicht gegeben.
Email existiert für den Gesetzgeber erst mal nicht (Emails sind nicht
gerichtfest und allenfalls als Indiz wertbar), und exekutieren … ein
Staat, der ernshaft einen Bundestrojaner für vernünftig hält?
Sichtweise alle sind böse: Niemand hält sich ausnahmslos an Recht und
Gesetz, das ist das erste, das sie Dir auf der Uni beibringen. Und:
Niemand weiß _genau_, was die NSA wirklich speichert. Der Rest ist purer
Spekulatius. Die Gefahr liegt eher bei false positives.
> Zwischen diesen beiden Sichtweisen verläuft dann auch die meiste
> Zeit der Schützengraben zwischen den IMAP und POP3 Armeen, und Fälle,
> die zwischen diesen beiden Sichtweisen liegen (also z.B. am 27.5. des
> Jahres so-und-so kopiert sich ein frisch gekündigter Mitarbeiter
> alle Nutzerdaten, die zu diesem Zeitpunkt auf dem Server liegen, um
> dann in aller Ruhe zu schauen, ob da irgendwas dabei/drin ist, womit
> man Geld verdienen kann) werden von beiden Seiten verworfen.
So lange die Leute auf allen Geräten überall WLAN und Bluetooth offen
lassen, 30% aller Passwörter 1234567 oder Passwort (samt passenden
Iterationen) sind und keine Sau _wirklich_ weiß, wer wann wo und wie
überwacht, Daten sammelt, lokalisiert, traced und was man sonst noch so
treiben kann, digital & heutzutage, isses doch völlig latte, wer wessen
Metadaten abgreift. Und ob Pop3 oder IMAP. So gesehen ist _diese_
Diskussion wie das Nutznetz: Überholt.
(Btw: Wenn der frisch gekündigte Mitarbeiter noch $irgendwas im
Unternehmensnetz machen kann/darf, hast Du ganz andere Probleme. Aber
wenn man <
https://en.wikipedia.org/wiki/Have_I_Been_Pwned%3F> liest,
fragt man sich.)
Egal: Die Diskussion ist auch deshalb überholt, weil heute niemand mehr
ernsthaft in Frage stellt, dass Mail konzeptionell broken ist. Entweder
man baut sich so'n Setup wie von Joerg geschildert, was dann nur mehr
wenig mit Mail as we used to know it zu tun hat, oder man geht völlig
neue Wege, so wie Wickr oder Signal. Da sind dann auch alle Metadaten
verschlüsselt, und auf den Servern liegt, wenn's sauber gemacht ist,
überhaupt nix mehr.
Für Tante Emma und so ist Email fein. Und für den Vorstandsdirektor, der
sich die Mails ausdrucken & abheften lässt. Mit denen wird es auch
aussterben. Kein Kid, das ich kenne, nutzt mail. Und ich halte Vorträge
zu diesem (und anderen digitalen) Thema in Schulen. Trust me.
Dafür haben die Behörden Email entdeckt, lasset uns jubeln. Na,
wenigstens muss ich da nicht mehr hingehen oder kindlich eine Briefmarke
und ein Kuvert belecken. Und securitymässig sind Behörden doch sowieso
eine einzige Baustelle … wie gesagt, mail is dead. Es wissen halt noch
nicht alle.
> Diesem Prinzip quasi angeschlossen ist eine weitere neue Denkweise.
> Früher glaubte man, daß eine potentielle Gefahr größer wird, je
> länger sie besteht. Heute glaubt man das nicht mehr.
Ach ja? Wie kommst Du auf dieses schmale Brett?
> Wenn z.B. jemand seine Haustür einmal im Monat für 5 Minuten offen
> läßt, während er in den Garten geht, dann wird erklärt, daß er dann
> genausogut die Haustür das gesamte Jahr und rund um die Uhr offen
> lassen kann - denn in beiden Fällen *kann* ein Einbrecher eindringen,
> und wenn dies geschieht, ist der Schaden der Gleiche.
Ich habe den Eindruck, weder Du, noch die Leute, auf die Du dich
berufst, haben Stochastik wirklich begriffen.
> Also einfach gesagt, wir glauben heute nicht mehr, dass eine Gefahr
> quantifizierbar ist.
Ganz im Gegenteil. Wir können heute mehr quantifizieren als je zuvor.
Die Frage ist vielmehr, wie interpretieren wir die Resultate.
> Sobald sie überhaupt besteht, ist es egal, wie
> oft und wie intensiv man sich ihr aussetzt, also muß man sie
> entweder radikalstmöglich ausmerzen oder man kann sie gelassen
> ignorieren.
Weder, noch. Moderne Algorithmen können da Aussagen treffen, die
präziser sind als alles bisher. AI in China kann heute schon ganz
grausliche Sachen.
Egal. Insofern hast Du recht, als dass wir heute mit Bedrohungsszenarien
anders umgehen müssen. Früher war alles besser, und keiner wusste was
genaues. Gott, waren die Zeiten friedlich. Heute wissen wir so viel, wie
wir nie wissen wollten, und wenn wir alles so ernst nähmen, wie wir
solche Dinge früher nahmen, dürften wir nicht mehr auf die Strasse
gehen. Aber, wie man in Ösiland sagt, zu Tode gefürchtet ist auch
gestorben. Also haben wir gelernt, mit einzelnen Bedrohungsszenarien
spezifischer umzugehen. Dank moderner Algorithmen, so komplett mit
Heuristik und Bayesschen Formeln und wasweißichwas geht das ja auch viel
exakter.
Und am Ende bleibt alles gleich, nur der Stresslevel steigt.
</offtopic>