Für zivilgesellschaftliche Gruppen wird es immer gefährlicher, die Mächtigen herauszufordern. Ob sie harte Vergeltungsmaßnahmen riskieren, hängt stark davon ab, wie Organisationen mit digitaler Sicherheit umgehen.
Ohne Sicherheitsvorkehrungen können ihre Widersacher ihre E-Mails, Chatnachrichten, Chroniken und Protokolldateien zur Überwachung und strafrechtlichen Belastung nutzen.
Zara Rahman und ihre Kollegen von The Engine Room haben dieses Jahr für einen Bericht für die Ford Foundation Nachforschungen zu einem Thema angestellt, das sie als „Ökosystem der Unterstützung“ in der digitalen Sicherheit bezeichnen. Sie haben 35 Personen aus mehreren Ländern interviewt, die Sicherheitsunterstützung entweder anbieten oder erhalten, um so ein Raster an Best Practices für Organisationen zusammenstellen zu können.
Wie kann sich eine Organisation gegen Sicherheitsbedrohungen im Netz wappnen?
Rahman: Leider gibt es darauf keine einfache Antwort. Es hängt stark vom Kontext ab, was man unter einer „digitalen Sicherheitsbedrohung“ verstehen muss, und der ist je nach Organisation unterschiedlich.
In unserem Bericht haben wir einen Vergleich hergestellt: Wenn man seine Organisation digital sichert, ist das etwas ganz Ähnliches, wie das eigene Büro vor einem Brand zu schützen. Die Metapher ist nicht perfekt, aber uns war es wichtig klarzustellen, dass digitale Sicherheit bei der Organisation anfängt und nicht beim Individuum.
Erstens: Man muss sich über digitale Infrastrukturen Gedanken machen. Dazu zählen Dinge wie der eigene E-Mail-Provider oder die Software für die Finanzverwaltung. Kann man diese „brandsicher“ machen, sodass eine Katastrophe von vornherein nicht passieren kann?
Zweitens: Sollte es tatsächlich eine Bedrohung geben, ist das Vorgehen je nach Situation unterschiedlich. Im Falle eines großflächigen Brandes muss man wohl die Feuerwehr rufen; wenn es sich nur um einen kleinen Brand handelt, greift man vielleicht eher selbst zum Feuerlöscher.
Übertragen auf digitale Sicherheit heißt das, dass man manchmal einen Malware-Experten zurate ziehen muss; manchmal reicht es aber auch, wenn man einfach selbst recherchiert, wie man seine Login-Daten und Passwörter gewiefter machen kann.
Ausschlaggebend ist nur, dass wir die Bildung in diesem Bereich kontinuierlich vorantreiben.
Wie haben sich die Schwerpunkte bei digitalen Sicherheitstrainings im Laufe der Zeit gewandelt?
Rahman: Die größte Veränderung, die wir bemerkt haben, ist, dass mehr Menschen als zuvor der Ansicht sind, dass es bei digitaler Sicherheit auf die Art der Bedrohung und den Kontext ankommt, der vor Ort gegeben ist.
Früher basierte das Training in digitaler Sicherheit auf westlichen Prioritäten und Annahmen. Wie bei einer Einheitsgröße war der Ansatz also, allgemeingültige Lösungen zu schaffen.
In der Praxis hat das dazu geführt, dass die Menschen gelegentlich dazu aufgefordert wurden, ihre E-Mails zu verschlüsseln – in Ländern wie Pakistan, wo genau das illegal ist. Oder dass Leute, die kein Englisch sprechen, Software empfohlen wurde, die es nur auf Englisch gibt.
Eine andere große Veränderung ist, dass viele Gruppen nicht mehr nur einzelne Trainingseinheiten anbieten. Stattdessen konzentrieren sie sich mehr auf langfristige Maßnahmen, die darauf abzielen, das Bewusstsein für Datenschutz zu stärken und die Kapazitäten einer Organisation mit der Zeit zu erweitern. Und das ist eine gute Sache.
Was würden Sie jemandem empfehlen, der plant, einen neuen Leitfaden für digitale Sicherheit zusammenzustellen?
Rahman: Zuerst würde ich fragen: „Für wen ist dieser Leitfaden gedacht?“ Wenn man nicht zur Zielgruppe gehört, sollte man ihn vielleicht nicht selbst schreiben. Zumindest sollte man sicher sein, dass man unmittelbar mit Menschen zusammenarbeitet, die mit dem lokalen Kontext vertraut sind.
Eines der größten Probleme ist, dass bereits existierende Leitfäden nur selten aktualisiert werden, obwohl sich die Technologie und die Bedrohungen rasend schnell weiterentwickeln. Eventuell ist es sinnvoller, einen Ratgeber, den es schon gibt, zu aktualisieren – vor allem dann, wenn er bereits genutzt wird.
Falls man sich doch dafür entscheidet, einen ganz neuen Leitfaden zu erstellen, sollte man beim Design darauf achten, dass er leicht aktualisiert werden kann (PDF-Dateien, die nur eine Person bearbeiten kann, sind ungeschickt). Außerdem sollte man nicht davon ausgehen, dass die Leute den Ratschlägen blindlings vertrauen werden, wenn sie den Verfasser nicht bereits kennen.
Wenn man bedenkt, wie viele Sicherheitsbedrohungen es gibt: Ist der Kampf für digitale Sicherheit nicht schon verloren?
Rahman: Nein! Im Kern geht es darum, unsere Verhaltensweisen und Gewohnheiten nach und nach zu verbessern und digitaler Sicherheit genau die gleiche Bedeutung beizumessen wie körperlicher Sicherheit. Wir sind alle durch digitale Technologien verbunden; was ich tue, hat nicht nur für mich Konsequenzen, sondern auch für meine Familie, Freunde, für meine ganze Community.
Wir hängen da alle gemeinsam mit drin.
Weitere Links
Strengthening the Digital Security Support Ecosystem (So können wir das Ökosystem der Unterstützung für digitale Sicherheit stärken), The Engine Room (2018)
Security Education Companion (Bildungsratgeber für digitale Sicherheit), Electronic Frontier Foundation (EFF)
Security Planner (Sicherheitsplaner), Citizen Lab
Net Alert, Open Effect, Citizen Lab<