hikaru hat geschrieben: 14.08.2018 10:40:55
Aber ich fragte ja nach ottonormaltauglichen Methoden, also etwas das ich mehr oder weniger fertig bei $Onlinehändler kaufen kann
Ich denke, wenn es eine fertige Lösung zu kaufen gibt, wird es auch jemanden geben, der die fertige Lösung zum Umgehen der fertigen Lösung in der Kramkiste hat. Schließlich kann er sich genau die Lösung kaufen und solange tüfteln, bis er sie überwunden hat. Man muss schon etwas bringen, womit derjenige nicht rechnet und worauf er sich nicht vorbereiten kann. In irgend’nem Buch habe ich mal eine Aussage gelesen, die das treffend auf den Punkt brachte (sinngemäß wiedergegeben): „Das Alarmsystem war für die Wenigsten ein Problem. Ein großer Teil schaffte es auch, den Faden wieder zwischen die Tür zu klemmen. Aber den zertretenen Kekskrümel unter Fußmatte, den hat noch keiner ersetzt …“. Ich glaube, das war sogar von Pratchett.
hikaru hat geschrieben: 14.08.2018 10:40:55
Die Frage ist dann, wie groß seine Motivation ist, dieses Ziel zu erreichen, und nach dieser Motivation richtet sich sein Ehrgeiz, nicht nach seinen technischen Fähigkeiten. […] Genau aus dieser Betrachtung kommt meine Trennung in einfache technische Angriffe, die ich meine als Privatmensch abwehren zu können, und komplexe persönliche Angriffe, die ich meine nicht abwehren zu können, denn jemand mit genug Ehrgeiz wird immer die Mittel aufbringen können, meine Verteidigung zu überwinden.
Und ich sehe da eben keine Trennung, sondern fließende Übergänge. Auch Böslinge müssen wirtschaftlich agieren, die eingesetzten Mittel sollten niedriger sein, als das, was man rausbekommen könnte. Und selbst staatliche Böslinge haben keine unbegrenzten Mittel.
hikaru hat geschrieben: 14.08.2018 10:40:55
Erinnerst du dich noch, wo unsere Diskussion herkam? Aus dem xkcd-Comic mit dem Schraubenschlüssel. D.h., wir reden hier über ein Szenario, in dem der Angreifer bereit und in der Lage ist, dem Opfer bleibenden körperlichen Schaden zuzufügen, möglicherweise bis zum Tod. Ich halte es in diesem Szenario für nebensächlich, wie schwer es für den Täter ist, an die Daten zu kommen, denn je schwerer es ihm das Opfer macht, umso größer wird der Schaden sein, den der Täter dem Opfer zufügt.
Es ist recht schwierig, das zu beurteilen. In einem Land, in dem jemand zur Erhaltung seiner Macht ein Menschenleben opfern kann, und keiner genauer nachfragt, mag das ein Szenario sein, das man in Betracht ziehen müsste. Da ich allerdings nicht in einem solchen Land lebe (hoffe ich mal einfach), kann ich da auch nur hypothetische Überlegungen anstellen. Eine wichtige Frage wäre dann: was will derjenige? Will er tatsächlich an die Daten, weil er sie unbedingt braucht? Dann wird er mich wohl kaum umlegen, wenn ich seine einzige Chance bin, an die Daten zu kommen. Oder will er nur sicherstellen, dass die Daten nicht veröffentlicht werden? Auch da lassen sich Sachen bauen, die sicherstellen, dass genau das passiert, wenn er mich umlegt. Und man müsste auch andere Aspekte betrachten: was passiert, wenn ich die Daten preisgebe? Wäre ich dann überflüssig, und wahrscheinlich sowieso tot? Oder würde ich dann von der Gegenseite gejagt, was auf das Gleiche hinausliefe? Dann kann ich genausogut jede Möglichkeit unterbinden, an die Daten zu gelangen. Für mich wäre das Ergebnis das Gleiche, aber immerhin hat derjenige nicht das bekommen, was er wollte. Weitere Fragen könnten sein: Geraten dadurch Dritte in Lebensgefahr? Bin ich bereit, mein Leben über ihres zu stellen? Erleide ich durch die Preisgabe der „nur“ (materielle) Verluste, die sich überwinden lassen? […] – derlei Fragen (und viele mehr) müsste man sich
vorher stellen und seine Schutzstrategie entsprechend ausarbeiten.
hikaru hat geschrieben: 14.08.2018 10:40:55
Aber du hast am Ende nichts davon, wenn deine Datensicherung so sicher war, dass der Angreifer nicht rankam, du aber dafür tot bist.
Je nach Sichtweise. Zumindest aus Sicht eines Dritten habe ich da immer noch mehr von gehabt, als wenn ich tot wäre und der Angreifer die Daten hätte. Ich gehe mal nicht davon aus, dass mich jemand verschleppt, mich bedroht, foltert, etc., ich ihm dann die Daten gebe, und er mich dann losbindet und mit ’nem herzlichen Händedruck zur Tür hinausführt, sich für meine Kooperation bedankend …
Wenn es aber nur die Abwägung zwischen „Verlust persönlicher Freiheit“ und „Totalverlust der Daten“ wäre (hierzulande wohl wahrscheinlicher als Verlust der körperlichen Unversehrtheit), liegt zumindest für mich die Antwort auf der Hand.