Foto: Dica Technologies

Datenschutz

Stillstand im Jahr zwei nach Snowden

Im Sommer ist es zwei Jahre her, dass Whistleblower Edward Snowden streng geheime Informationen der US-amerikanischen Geheimdienste CIA, NSA und DIA veröffentlichte. Die vorgelegten Papiere liefern detaillierte Einblicke in Methoden und Herangehensweisen der geheimdienstlichen Abhörpraxis.

Und auch die Breite der Decodierungs-möglichkeiten von verschlüsselten digitalen Daten wurden bekannt. Doch was hat sich nun, zwei Jahre später, in Sachen Verschlüsselung und sicherer digitaler Kommunikation getan? Eines steht fest: Der moderne Internutzer von heute kann ständig überwacht werden – und wird es auch. Über bewusst eingebaute Sicherheitslücken bei weltweit agierenden Onlinediensten, sogenannte Backdoors, ist es den Geheimdiensten möglich, die Daten der Internetnutzer auszuspähen. Möglich macht dies unter anderem die mangelnde politische Kontrolle. Das Ergebnis: Alle mit Standardverfahren verschlüsselten Daten können mit den Methoden der Geheimdienste decodiert werden. In der Sache geht es dabei um das Abfangen der jeweils benutzten Schlüssel, indem die Schwächen des Key Managements ausgenutzt werden.

Die Gefahr liegt in den Massenanwendungen

Doch wie ist es möglich, dass die international tätigen Geheimdienste selbst den härtesten Code knacken können? Für die NSA arbeiten nicht etwa die besten Hacker der Welt, sondern die Mitarbeiter der Geheimdienste sind bereits an der Erarbeitung der Sicherheitsstandards beteiligt. Noch während des Entwicklungsprozesses bauen NSA und Co. gezielt Schwachstellen in die Sicherheitssysteme von Kommunikationsdiensten für die Massenanwendung ein, um später diese Details für den Zugriff auf die Daten der User nutzen zu können.

Ein weiteres Sicherheitsrisiko besteht darin, dass sich Massenanwendungen auf dritte Stellen stützen – so beispielsweise bei der Verschlüsselung von E-Mails. Hier sind externe Dienstleister für die Bereitstellung und den Verkauf der benötigten Zertifikate zuständig. Zudem werden zentrale Serverlösungen zur Ausbildung der jeweiligen Infrastruktur eingesetzt. Die hier gespeicherten Informationen liegen in den Händen der Provider, deren Zusammenarbeit mit den Geheimdiensten oft nachgewiesen wurde.

Die Politik bleibt tatenlos

Auch wenn in Deutschland der Datenschutz rechtlich verankert ist, kann die Sicherheit der eigenen Daten durch die Politik nicht garantiert werden. Zum einen liegt dies in der Unwissenheit der Verantwortlichen begründet – man erinnere sich an die legendären Worte von Bundeskanzlerin Merkel während einer Pressekonferenz: „Das Internet ist für uns alle Neuland.“

Andere empfinden den mangelnden Datenschutz im Internet sogar als Segen. So spricht sich Innenminister de Maizière dafür aus, dass gerade staatliche Stellen unsere Mails mitlesen können sollten. Und auch Wirtschaftsminister Gabriel ist sich sicher, dass die Vorratsdatenspeicherung zur Terrorbekämpfung unbedingt nötig ist.

Und was macht der private Internutzer? Trotz der bedenklichen Entwicklungen in Sachen Datenschutz und dem mangelnden Einsatz der Politiker ist er nicht gewillt, das Ausmaß der Abhörmaßnahmen ernst zu nehmen. Im Gegenteil: Ganz nach der Devise „Ich habe nichts zu verbergen“ geht er arglos mit vertraulichen Dokumenten oder intimen Fotos um. Allerdings nur, bis es zu spät ist und Jugendsünden aus sozialen Netzwerken oder gar wertvolle Geschäftsgeheimnisse publik werden. Da solche Fälle jedoch weiterhin vereinzelt auftreten, geht die Masse davon aus, selbst nie Opfer von Überwachung, Hackerangriffen und anderen cyberkriminellen Aktivitäten zu werden.

Selbst ist der User

Nicht nur beim Schutz digitaler Daten, sondern auch im Fall Snowden scheinen den deutschen Politikern die Hände gebunden: In Deutschland fand keine Anhörung des Whisleblowers statt und ein Asylantrag seitens Snowdens würde garantiert abgelehnt. Vermutlich wird das gesamte Thema auf Druck der US-amerikanischen Regierung weichgespült behandelt.

Der Nutzer ist somit gefragt. Nur er selbst kann sich schützen und entscheiden, wie er mit vertraulichen Daten umgeht. jeden Computer-Nutzers. Ein gezielter Schutz für den Austausch von Informationen wird dagegen als überflüssig erachtet. Stattdessen werden neue Formen des direkten Austausches, wie etwa der Messenger- Dienst Whatsapp, begierig angenommen und für die eigene Kommunikation eingesetzt, ohne das Sicherheitsrisiko zu hinterfragen.

Sichere Lösungen für Unternehmen

Dabei gibt es durchaus Lösungen für eine sichere Kommunikation: Für die einfache Kommunikation zwischen zwei Kommunikationspartnern etwa weiterentwickelte PGP-Verschlüsselungsverfahren wie Scryptguard. Wichtigstes Merkmal ist bei dieser Lösung die Dezentralisierung der Schlüsselverwaltung. Es gibt keine zentralen Komponenten, die in die Schlüsselverwaltung einbezogen sind. Alleine der jeweilige Adressat ist für seine Schlüssel verantwortlich.

Standardlösungen zur Verschlüsselung leben von mathematischen Algorithmen und verschiedenen Methoden des Schlüsseltausches. Bei Kenntnis des Algorithmus kann also jeder mögliche Schlüssel probiert werden (Brute Force Methode), um die Klarschrift zu erhalten. Diese Möglichkeit kann eliminiert werden, wenn zum Beispiel das One Time Pad (OTP) Verfahren eingesetzt wird. Dabei werden Einmalschlüssel in der Länge der Klarschrift mit dieser über das exklusive Oder (XOR) verknüpft. Unter der Voraussetzung, dass der als Schlüssel verwendete Zufallstext die entsprechende Güte hat, ist dieses Verfahren von niemandem zu decodieren. Wie auch bei allen anderen Verfahren, liegt die Kunst darin, den Schlüssel zum Dechiffrieren der Nachricht sicher zum Empfänger zu bringen. Bei international tätigen Konzernen sollte das machbar sein und als Weg verstanden werden, sich von den immer noch angewendeten Standardlösungen zu verabschieden. Für kleinere Unternehmen und den privaten Gebrauch wäre dagegen bereits die Anwendung einer Software wie Scryptguard ein riesiger Fortschritt.

Risiken erkennen und handeln

In der breiten Masse spielt der Schutz von Informationen, die über das Internet ausgetauscht werden, immer noch eine eher untergeordnete Rolle. Zwar ist man bereit, die neuesten Möglichkeiten zum Informationsaustausch zu nutzen – die möglichen Sicherheitslücken werden dagegen meist ignoriert. Ein Bewusstsein für den Schutz der Privatsphäre gibt es kaum.

Diese Haltung ist das Resultat eines verwirrenden Zusammenspiels von Großkonzernen mit unterschiedlichen Zielen, demokratischen Verpflichtungen des Staates und den Ansprüchen der Geheim- und Nachrichtendienste. Zugleich versprechen E-Mail-Anbieter, Messenger-Dienste oder auch Unternehmen wie Apple und Microsoft, dass mit ihren Lösungen sicher kommuniziert werden kann, obwohl die Inhalte zum eigenen Nutzen analysiert werden und den Geheimdiensten der Zugang zur Infrastruktur gewährt wird.

Das Angebot einer einfachen, sicheren, dezentralen und vor allem unabhängigen Möglichkeit der E-Mail-Übertragung wird zwar von Geheimdiensten, einem Großteil der Großkonzerne und einigen Politikern nicht befürwortet. Dennoch ist mit Softwarelösungen wie Scryptguard eine selbstbestimmte Kommunikation unter Wahrung der demokratischen Grundrechte möglich. Damit die User von solchen Angeboten Gebrauch machen, bedarf es aber noch viel Aufklärungsarbeit. Die Zeit ist reif, denn auch zwei Jahre nach Snowdens Enthüllungen hat sich nahezu nichts in Sachen Datensicherheit getan. Jetzt ist das Handeln jedes Einzelnen gefragt.

Foto: USIS

Überwachung durch die NSA

Die totale Erfassung

Viele altbekannte Tatsachen und nur einige neue Fakten, das ist der Kern des wochenlangen Medienrummels um die NSA-Abhöraffäre. Die Offenbarungen des Edward Snowden sind eher eine Bestätigung bereits vorhandenen Wissens als eine wirkliche Überraschung.

Foto: Bernd Wachtmeister/Pixelio

Verschlüsselung

Ja, nein, jein

Ein Blick auf die aktuelle Diskussion zum Thema Verschlüsselung zeigt ein wirres, wenn nicht verwirrendes Bild. Die Protagonisten: das Bundesministerium des Inneren, das Bundesamt für Sicherheit in der Informationstechnik, Datenschutzbeauftragte und Geheimdienste.

Foto: Rainer Sturm/Pixelio

Antispameurope

Verschlüsselte E-Mails sind abhörsicher

Nicht nur die amerikanische NSA liest mit, auch der britische Geheimdienst GCHQ soll massenhaft E-Mails gesammelt und ausgewertet haben. Wirksam verhindern können Unternehmen solche Spitzelversuche durch Verschlüsselung. Bisher wird allerdings nur ein verschwindend kleiner Teil von E-Mails verschlüsselt.

Foto: Pixaby

IT-Sicherheit

IT-Sicherheit 2018: Paukenschläge und Trommelwirbel

Was haben Totenscheine, Diplomatie und Wahlkampf mit IT-Sicherheit zu tun? Bernd Schöne gibt im exklusiven IT-Jahresrückblick für Sicherheit.info Antworten.

Special Zutrittskontrolle: Informieren Sie sich rund um den Themenbereich der Zutrittskontrolle

×