Wie mich die Firma überwacht...

Es haben alle immer Angst vor “dem Staat” und spinnen dann herum, sie würden rund um die Uhr überwacht …
OK, da gibt es schon ein paar Kleinigkeiten … aber:

Gefährlicher wird es, wenn man in “private” Unternehmen hineinblickt.

Denn dort heißt es oft: Big boss is watching you.


Diese Woche war es notwendig einen Test auf einem “frischen” System zu machen. Das tat ich durch eine Neuinstallation von Windows in einer VM.

Und als das erledigt war und ich in dieser VM den Browser öffnete um noch 7Zip herunterzuladen, wurde dies verweigert.

Von google.com wurde ein ungültiges Zertifikat heruntergeladen.

… und da fiel es mir wieder ein: Ja, die Firma nutzt Proxy Dienste, die Zertifikate fälschen um den Datenverkehr mitlesen zu können.
Bei den firmeneigenen Systemen, die alle am Active Directory hängen werden diese Zertifikate als vertrauenswürdig deklariert … aber meine jungfräuliche Testinstallation wusste nicht, dass sie hier “ein Auge zudrücken” sollte.

Also so viel zum Thema “Zertifikate machen das Internet sicher”.
Nein! Sie machen es bestenfalls etwas sicherer, garantieren aber nichts.

Wem ich persönlich “vertrauen” kann und wem nicht, wir mir durch meine Erziehung in frühen Jahren vermittelt … oder später, wenn ich dann einfach irgend jemanden als “vertrauenswürdig” einschätze und einfach so drauf los vertraue.

Aber wenn meine Informationen zu diesem Zeitpunkt schon manipuliert werden, wie z.B. die Updates für meine Liste an vertrauten Zertifikaten, dann sehe ich die Welt schon durch jene Brille, die mir nur das zeigt, was andere wollen, das ich sehe.

Das Schlimme daran ist, dass ich als Administrator diese Schritte in den Firmen durchaus nachvollziehen kann.
Vielen Menschen machen Blödsinn und dann haftet erst einmal das Unternehmen, wenn sich jemand Kinderpornos auf seinen Rechner herunterlädt.

Früher war über HTTP ja ohnehin alles frei einschaubar womit zahlreiche Schurken enttarnt und zur Rede gestellt werden konnten. Doch mit der Einführung von HTTPS blieb der Datenaustausch etwas “geheimer”. Man sieht zwar, welche IP angesteuert wurde, doch in Zeiten von Cloud-Clustern, Load-Balancing und Content-Delivery-Networks weiß man als Admin nicht, welche Daten über die Leitungen fließen, weil alles vom gleichen IP-Bereich stammt.

Würde man Zertifikate einfach “dumm” selbst erstellen und als “Mittelsmann” (man in the middle) alles abhören, bekäme der User vom Browser eine Warnung, dass Zertifikat und Ziel nicht zusammenpassen.

Hat man aber die Zertifikatsverwaltung unter Kontrolle, denk man als User, alles wäre abhörsicher, und dennoch kann alles am Proxy oder Gateway dekodiert und inspiziert werden.

Nun, es stört mich nicht, wenn die Firma sieht, welche News ich zwischen den Kompiliervorgängen durchlese, aber wenn ich dann auf eine private E-Mail meines Arztes reagiere und hierfür im Webmail mein Passwort eintippe … ja dann wird es um so wichtiger, dass das Unternehmen “meine Daten” schützt.

Und in der Tat hatte ich vor 15 Jahren als Praktikant in einer IT Abteilung Zugriffsmöglichkeiten, die jeden Datenschutzbeauftragten hätten erzittern lassen müssen …
Wer garantiert mir also, dass nicht auch heute ein bevollmächtigter Praktikant im Serverraum sitzt und meine Passwörter abschreibt um am Abend dann PayPal und Bankverbindungen damit ausprobiert?

Fazit

In diesem Sinne sollte jeder, der nicht sein eigenes privates Internet nutzt, darüber nachdenken, welche Seiten er über fremde Netze und fremde Rechner aufruft. Die Werbeaussage “Mit HTTPS ist alles absolut sicher” ist gleichzusetzen mit einem “Das beste Produkt überhaupt” aus der Waschmittelwerbung.

Ich für meinen Teil bin absolut sicher, dass kein Staat so viele sensible Daten über mich gesammelt hat, wie die Firmen für die ich bisher gearbeitet habe.

Ob das gut oder schlecht ist, wage ich aber nicht zu beurteilen. Ich “vertraue” vorerst darauf, dass sie mir (bewusst) nichts Böses antun wollen.