Das nenne ich mal Selbstüberschätzung der höchsten Güte

Benutzer blumenwiese schrieb:

Also dieses Kommentar macht mich sprachlos.
Nach NSA und Co. liegen doch die Sachverhälte halbwegs klar auf dem Tisch.
Außerdem sollte man mal die deutsche IT-Wirtschaft fördern, anstatt hier groß eine Datenschutzbehörde zu hinterfragen.
Was will uns das Kommentar denn sagen?
Dass wir nicht zu viel Schaden erlitten, nachdem was uns diese Form von perfider Industriespionage und Diebstahl der Meinungsfreiheit eingebacht hat?

Benutzer hurius schrieb:

Richtig, alle Staaten schnüffeln ihre und die Bürger anderer Staaten aus. Aber wer wusste das nicht bereits vorher?


Wer ist denn "man"? Unternehmen müssen sich nach den Wünschen ihrer Kunden richten oder sie verschwinden vom Markt. Ganz simpel.


Genau, warum sollte man staatliche Behörden hinterfragen. Wie wollen doch bekanntlich alle nur unser Bestes, gell.


Wer hat die Meinungsfreiheit gestohlen? Also die NSA sicher nicht. Die stiehlt sicher viele Dinge (im Sinne von: greift Informationen ab). Aber was die Meinungsfreiheit betrifft, sind die USA Deutschland ja nun meilenweit voraus. Aber das ist ein anderes Thema.

Fazit bleibt: Sofern Daten nicht wirkungsvoll verschlüsselt sind, kann und muss man davon ausgehen, dass alle großen Geheimdienste - auch deutsche natürlich - mitlesen. Unternehmen werden bereits aus Eigenschutz sich Maßnahmen zum Schutz der Daten überlegen. Da geht es nicht nur um Industriespionage, sondern vor allem um schlechte PR und den damit verbundenen Kundenverlust.

Mein Beitrag sollte also deutlich machen, dass wir den Bock zum Gärtner machen, wenn wir uns tatsächlich vom Staat "Tipps" zum Umgang mit Daten geben lassen.

Benutzer blumenwiese schrieb:
Hier geht es vor allem auch darum, dass die NSA auch schon mal Dinge ausspäht, die für die jeweilige Konkurrenz von Bedeutung ist.

Große Konzerne wissen das bestimmt schon seit 20 Jahren, aber welcher Mittelständler hat sich klar gemacht, dass im Zweifelsfall alles, was er in einer amerikanischen Cloud lagert, bei der Konkurrenz landen kann? Wer wusste, dass als sicher geltende Verschlüsselungen kompromittiert oder gar vollständig geknackt sind?

Na ja, einige verschwinden auch vom Markt, weil mehrmals hintereinander die US-Konkurrenz ein paar Monate schneller waren - und wie beweist du, dass die von dir abgekupfert haben?

Also nicht nur mit RSA, AES, SSL etc. ... ja wie denn? Was wirkt gegen die NSA?

Nur sollten diese Überlegungen von dem ausgehen, was der Fall ist. Und da ist doch so Einiges rausgekommen, was sich der international auftretende Maschinenbauer mit 50 Beschäftigten nie träumen ließ ...

Das waren gute Tipps. der Tipp, statt der Cloud besser den eigene Rechner zu nutzen wirkt nicht nur gegen NSA, sondern auch gegen deutsche Dienste. Beispielsweise.

Und was "Selbstüberschätzung" mit "Bock zum Gärtner" zu tun hat, erschließt sich mir, offen gestanden nicht. War es Schutz gegen die NSA, den Zweck deines Beitrags im Betreff zu verschleiern? ;-)

Benutzer helmut-wk schrieb:

RSA nicht, nein. SSL ist sicher, sofern kein RSA verwendet wird und falls nicht die Zertifikatsstelle kompromittiert wurde und/oder eine Man-in-the-middle-Attacke erfolg.

AES mit entsprechender Schlüssellänge ist nach heutigem Stand aber sicher.


Vollkommen richtig. Wo sich aber eine rein lokale Nutzung nicht anbietet, sollte wenigstens die bestmögliche Verschlüsselung gewählt werden.


Die Selbstüberschätzung, auf die ich anspielte, habe ich bei der Behörde verortet, die Bürgern Tipps zum sicheren Umgang mit ihren Daten gibt. Genauso gut könnte auch die NSA die Bürger auffordern, doch die Verschlüsselung nicht zu vergessen. Kommt ja letztlich aufs selbe heraus.

Übrigens habe ich beruflich viel mit dem BSI und ihrer Zertifizierung zu tun. Das ist der Staat. Er schreibt in manchen Bereichen sogar eine BSI-Zertifizierung vor. Und da geht es um den sicheren Umgang mit Daten.

Nachdem ich eine solche Zertifizierung mitgemacht habe, weiß ich, was man davon zu halten hat. "Nichts" wäre noch eine Übertreibung.

Benutzer blumenwiese schrieb:
Wenn der Schlüssel vernünftig gewählt wurde (was i.d.R. auch vom benutzten Pseudozufallsgenerator abhängt), ist RSA (noch) sicher. Jedenfalls halte ich es für unwahrscheinlich, dass die NSA über einen funktionierenden großen Quantencomputer verfügt.

Dann erklär mir mal, warum beim Wettbewerb um den Nachfolger für DES der AES gewonnen hat. War erstens einen Überraschung, zumal schon bald die erste theoretische Schwachstelle bekannt wurde, und zweitens hatte dabei die NSA auch ein Wörtchen mitzureden. Na, was sollen wir davon halten?

Natürlich hab ich keinen Beweis, dass die NSA den AES knacken kann, also kannst du ihn weiter für sicher halten ... ich tus nicht.

... ist ein Firmennetzwerk bzw. "eigene Cloud" eine Alternative, natürlich nur wenn es im Betrieb jemanden gibt, der sich mit der Materie soweit auskennt, dass er ein vernünftiges Sicherheitskonzept erstellen kann.

Aber die Tipps waren doch nicht schlecht.

Geht ja aus dem Namen der Behörde deutlich genug hervor.

Na ja, "Zertifizierung" ist häufig ein Witz. Zertifizierung nach ISO 9001 bedeutet eigentlich nur, dass ein Betrieb festgehalten hat, was er unter "Qualität" versteht und das irgendwie überwacht.

Bedenklicher finde ich die Leistungen des BSI, wenn es ein Sicherheitsprojekt durchführt, wie etwa den Personalausweis.