Gedanken zu NSA, Prism, GCQH und anderen Schlapphüten

Haben Sie wirklich daran gezweifelt, dass ihre Daten sicher sind?. Das Problem an der elektronischen Datenverarbeitung ist, dass die Daten eben auch elektronisch fremd verarbeitet werden können. Suchen und zueinander in Bezug setzen ist deutlich einfacher und mit "Big-Data"-Techniken auch für größere Datenmengen möglich. Überraschen sollte uns das alles daher nicht.

Viel erschreckender ist der umgang mit der Information, dass die Überwachung wohl etwas umfangreicher war, als die im treuen Glauben angenommen haben. Da engagiert ein ganz geheimer Überwachungsdienst (NSA ?) eine externe Beraterfirma (Booz Allen Hamilton) die dann eine Einzelperson (Edward Snowden) anheuert und nach kurzer Zeit mit Top Secret Dingen beschäftigt. Ich hätte erwartet, dass die Personen an solchen Schaltstellen zumindest eine PolizeiAusbildung o.ä. Qualifikation absolvieren müssten. Ein Stück weit sind das ha "hoheitliche Aufgaben". Da besteht sicher noch Optimierungspotential hinsichtlich der Geheimhaltung der Daten, die bei einer Überwachung anfallen.

Auf der anderen Seite hat Edward Snowden natürlich einen Einblick in die technischen Möglichkeiten und der Anwendung gegeben, wie weitreichend Überwachungstechniken heute schon gehen. Da ist Orwells 1984 ( https://de.wikipedia.org/wiki/1984_(Roman))nur ein fahler Comic dagegen. Dass abgehört und überwacht wird, gehört zu den Grundbedürfnissen eines Staates. Mein Arzt kennt auch meine Gesundheitsgeschichte und die Dame im Finanzamt kennt auch mein finanzielle Situation. Und auch ich habe Kenntnisse, die ich aber auch ohne Gesetz nicht weiter gebe.

Meine Eltern haben mich "Anstand" gelehrt und dass man einige Dinge einfach nicht "tut" auch wenn diese nicht explizit verboten sind. Würden Sie einen Gegenstand entwenden, wen sie 100% sicher wären nicht erwischt zu werden? Nicht alles was technisch möglich ist, sollte entsprechend umgesetzt werden oder wenn, dann nur in klaren rechtlichen Grenzen. Solange aber die Gesetze und die Beschlüsse selbst geheim sind und Provider per "Maulkorb" lügen müssen, sind meiner Ansicht nach Grenzen überschritten.

Ob Edward Snowden also nun "Böse" oder "Held" ist, will ich gar nicht beurteilen. In Bezug auf die abgehörten Daten hat er nach meinem Kenntnisstand ja wohl noch nichts verraten. Ich wüsste zumindest nicht, dass er E-Mails des Präsidenten oder Einzelverbindungsnachweise von Telefonaten veröffentlicht hat. Er hat aber wohl aufgezeigt, wie weitgehend eine Überwachung sein kann und dass dies vielleicht nicht mit der Gesetzgebung vereinbar ist. Dann muss er ja sogar handelt. (§138 StGB Nichtanzeige geplanter Straftaten und §258 Strafvereitelung). Er hat Belege dafür geliefert, was wir alle nur vermutet oder nur verdrängt und vielleicht einige Politiker sogar bewusst verschwiegen haben. Das ist sicher etwas, was ich im Sinne einer "Gleicheit vor dem Gesetz" als wichtigen Beitrag ansehe. Dass nun alle "Haltet den Dieb" rufen und sich die große USA auf einen kleinen Bürger stürzt finde ich genauso befremdlich wie die eine Einrichtung wie Guantanamo. Ein Rechtsstaat sollte seine eigenen Grundregeln hoch halten, sonst kann er nicht erwarten, dass seine Bürger gleiches tun oder gar Notwehr geltend machen. So steht in Paragraf 32 des Strafgesetzbuchs und in Paragraf 227 des Bürgerlichen Gesetzbuchs

".. die erforderlich ist, um einen gegenwärtigen rechtswidrigen Angriff von sich oder einem anderen abzuwenden.  ""

Aber was lernen wir nun praktisch daraus ?

Ist Verschlüsselung ein Schutz ?

In dem Bereich Signieren und Verschlüsseln habe ich sehr umfangreich über Verschlüsseln und Signieren geschrieben. Aber ist dies denn ein Schutz gegen solche Abhörmaßnahmen? Ein klares Jein ist wohl die treffendste Antwort, denn natürlich können Daten auf dem Übertragungsweg verschlüsselt werden, so dass ein Abhören sehr schwer oder noch unmöglich ist. Aber sind Sie sicher dass wirklich ihre Daten selbst das alleinige Ziel sind?

  • Metadaten
    Jede Übertragung von Daten wird durch Steuerinformationen begleitet, die meist nicht verschlüsselt sind. Wer eine Mail verschlüsselt sendet, sollte wissen dass der Envelope und Header einer Mail nie verschlüsselt ist. Wer die Kommunikation abhören kann, wird also immer den Absender, den Empfänger, das Datum und auch den Betreff der Mail mitlesen können. Selbst wenn auch das verschlüsselt ist, sind die Endstellen bekannt und können angezapft werden. Zudem kann man aus dem Header den Weg der Mail bis zum urheber nachverfolgen. Es ist also sehr einfach "Kommunikationsbeziehungen" und Standorte zu ermitteln und das wird sicher nicht morgen aufhören. Diese Informationen sind zu interessant und vermutlich sogar mehr wert als die Gespräche und Inhalte selbst.
  • Die andere Seite
    Es ist ja schön, dass Sie verschlüsselt mit ihrem Kommunikationspartner kommunizieren. Damit wird die Mail vermutlich nicht auf dem Web zur anderen Seite abgehört. Aber es liegt in der Natur der Sache, dass eine Mail erst im Postfach liegt und gelesen wird. Der Empfänger muss dazu auf seinem PC mit seinem privaten Schlüssel die Mail entschlüsseln. Sie können nicht sicherstellen, dass dem Empfänger dabei niemand über die Schulter guckt, sei es vor Ort in Form eines Ermittlungsbeamten mit Druckmittel oder einer Software, die die Ausgaben als "Sicherheitskopie" auslagert. Sie können ja nicht einmal sicher sein, dass die Person wirklich "vertrauenswürdig" ist oder die Mail nicht unverschlüsselt weiter leitet

Verschlüsselung ist also nur dann eine Option, wenn beide Seiten den Schutz der Daten gleich hoch halten.

Etwas anders sieht es aus wenn Sie als "Besitzer" einer Information diese so verschlüsseln, dass der Empfänger sich bei ihnen immer wieder den Schlüssel dazu abholen muss. Wenn die Softwareplattform entsprechend sicher ist, wovon sie aber besser nicht ausgehen sollten, dann können Sie jemandem auch nachträglich den Zugriff wieder entziehen. Stichwort Rights Management Server.

Insofern ist Verschlüsselung eine Hürde aber nur dann ein Schutz, wenn alle Teilnehmer den Schutz aufrechterhalten. Wie lange könnten Sie dem Waterboarding (http://de.wikipedia.org/wiki/Waterboarding) widerstehen?

Zugriff auf die Provider und Anbieter

Aber selbst wenn Sie den Übertragungswege mit einer Ende2Ende-Verschllüsselung absichern, landen die Daten in einem Postfach, einem Webserver oder einer Datenbank. Wenn die Information dort nicht weiter verschlüsselt sind, dann muss jemand gar nicht das Kabel selbst abhören. Solange der Provider "leider" eine Niederlassung im eigenen oder in einem kooperativen Land hat, sind Durchgriffe auf Server in anderen Ländern sogar erlaubt! Wenn z.B. einige Office 365 Server in Europa stehen und Facebook in Finnland Server baut, so gehören sie doch alle einem amerikanischen unternehmen. Wir sollten davon ausgehen, dass natürlich eine amerikanische Behörde über das WAN auf die Server der gleiche Firma in anderen Ländern zugreifen darf. (http://www.heise.de/ix/meldung/US-Behoerden-duerfen-auf-europaeische-Cloud-Daten-zugreifen-1270455.html)

Besonders perfide ist dabei die Rechtlage, die dem Provider unter Strafe sogar verbietet, über solche Zugriffe Auskunft zu geben (National Security Letter http://en.wikipedia.org/wiki/National_security_letter). Dass der Beschuldigte/Verdächtige vorher nicht informiert wird, könnte ich noch aus ermittlungstaktischen Gründen verstehen aber auch dann muss es eine Zeitbeschränkung geben. Spätestens wenn es zu einem Gerichtsverfahren kommt oder die Ermittlungen eingestellt werden, muss eine Information nicht nur möglich sondern zwangsweise erfolgen. Es muss auch einer Ermittlungsbehörde klar sein, dass Sie nicht im rechtsfreien Raum agiert und Transparenz kann bezüglich Missbrauch oder ausufernde Maßnahmen zumindest abschreckend wirken und eine Revision im Nachhinein erlauben.

De-Mail ist übrigens nicht zwingend eine Ende2Ende-Verschlüsselung. Die Anwender "können" natürlich per S/MIME auch die Daten verschlüsseln aber erwarten Sie dazu keine Unterstützung oder klaren Hinweis. Denn mit einer echten Ende-zu-Ende-Verschlüsselung wäre der Zugriff auf die Mails beim DE-Mail Provider nicht mehr einfach möglich. Ein Malware allerdings auch nicht.

Sind die Schlüssel sicher ?

Verschlüsselung hat was mit "Schlüssel" zu tun, mit denen die Daten geschützt werden. Neben der einfachen symmetrischen Verschlüsselung hat sich die asymmetrische Verschlüsselung mit öffentlichen und privaten Schlüsseln de facto als  Standard durchgesetzt. Ein Sonderfall einer symmetrischen Verschlüsselung sind Schlüssel, die in Hardware hinterlegt sind, z.B. in einem TPM-Chip der von Bitlocker genutzt wird. Die Erwartung an ein Zertifikat mit dem darin enthaltenen öffentlichen Schlüssel ist natürlich, dass es auch wirklich "mein" Zertifikat ist und nur ich ein solches Zertifikat besitzen kann.

  • Schlüssellänge
    Je kürzer der Schlüssel, desto leichter kann er durch probieren erraten werden. 768bit-Schlüssel waren früher üblich aber werden heute problemlos geknackt. 2048 oder mehr Bit gelten aktuell als sicher.
  • Backups
    Wenn ich den Code nicht knacken kann, kann ich ja mal schauen, wie ich an den Codeschlüssel selbst komme. Wenn ihr private Schlüssel zur Entschlüsselung nur an einem Ort (z.B. Smartcard) ist und diese geht kaputt, dann kommen Sie nicht mal an ihre Daten ran. Daher werden sie vermutlich den Schlüssel an einer anderen Stelle sichern (z.B. als PFX Datei) und auch die Sicherung ihrer Daten selbst auf ein Band oder Backupmedium ist vielleicht nicht gesichert.
    Wenn die Haustür gesichert ist, nimmt man halt den Hintereingang.
  • Man in the Middle
    Zertifikate sind von einer "CA" ausgestellt. Viele dieser Zertifizierungsstellen, denen ihr PC vertraut (wie auch Windows als Betriebssystem) sind fest in der Hand amerikanischer Firmen, die ebenfalls einem staatlichen Zugriff unterliegen. Wer sichert denn, dass es hier keine Hintertür in der Software gibt oder die Ermittlungsbehörden sich ein Zertifikat für eine Adresse geben lassen und ihre Zugriffe auf diesen Proxyserver umleiten. Sie würden davon nicht mal was merken. Technisch ist das gar nicht schwer, wenn sie ein Nachrichtendient sind.
    Dies könnten sie nur erschweren, wenn Sie sich das Zertifikat merken und ein "neues" Zertifikat gemeldet würde. Das würde die meisten Anwender überfordern.

Ich denke dass die meisten Firmen und Privatpersonen vielleicht verschlüsseln, aber dies die Dienste nur bei der allgemeinen Überwachung behindert. Spätestens bei einer Hausdurchsuchung wäre der Schutz zumindest fraglich.

Folgen für Personen und Firmen

Wenn wir nun davon ausgehen, dass die Politiker der verschiedenen Länder weiterhin Gesetze erlassen, die anderen Personen und Diensten den Zugriff auf Daten der modernen Kommunikation gewähren und Sie als "Besitzer" der Daten nicht einmal darüber unterrichtet werden dürfen, dann sehe ich ein ganz andere Problem. Insbesondere da es ja gerade ein Gesetz dazu (Neuregelung zur Datenweitergabe an Ermittler tritt in Kraft, http://www.heise.de/newsticker/meldung/Neuregelung-zur-Datenweitergabe-an-Ermittler-tritt-in-Kraft-1908850.html) welches Ermittlern Zugriff auf die Kennworte gewährt.

Denken Sie mal an die folgenden Daten:

  • Zugangsdaten ihres DSL-Anschlusses
    Der Wert einer DSL-Zugangskennung beträgt ja nur ein "paar" Euro pro Monat und wenn jemand meine DSL-Zugangsdaten an einem anderen Anschluss verwendet, dann fliege ich eben raus. In der Nacht "merke" ich das nicht. Das Problem ist aber, dass nun die andere Person Dinge tun kann, die letztlich auf meinen Zugang zurück geführt werden.
  • SIM-Karte
    Ich bin davon ausgegangen, das die PIN nur auf der SIM-Karte steht und nicht beim Provider hinterlegt ist. Aber die braucht der Provider auch gar nicht. Er kann sich ja einfach eine "Zweitkarte" anfertigen lassen und damit sich "als ich" ausgeben.
  • Zugangsdaten zum Postfach
    Ganz perfide ist das natürlich in Verbindung mit De-Mail. Gibt es ein Gesetz, welches genau diesen Zugang "besonders" schützt oder wie wird gewährleistet, dass nicht eine Person mit Zugang zum System (z.B. Edward Snowden konnte das ja wohl auch) mein De-Mail Kennwort in Erfahrung bringt und jemand anderes dann so tut als wäre ich das? Welche Rechtskraft hat eine signierte De-Mail, wenn der Absender "übernommen" werden kann ?

Da stelle ich mir generell die Frage der Beweiskette, die für jeden Richter wichtig ist. Wie kann ich sicher sein, dass die Inhalte auf der mir zugeordneten Webseite auch wirklich "von mir sind? Wie kann er sich sicher sein, dass nicht jemand anderes in der Nacht meinen DSL-Anschluss stört und sich mit meinen Anmeldedaten anderswo anmeldet? Ich habe heute schon drei SIM-Karten (MultiSIM) die auch alle drei gleichzeitig ins Internet können. Wer stellt sicher, dass ein "Dienst" nicht einfach über meine Identität etwas tut und am Ende behauptet wird, ich wäre es gewesen?

Nein ich hoffe nicht, dass ich paranoid bin und ich glaube auch erst mal an das Gute im Menschen. Aber wenn mal glaubt zu wissen, was technisch möglich ist, dann kann es schon frösteln. In einem Rechtsstaat sollten alle drei Kräfte (Executive, Legislative und Judikative) alles daran setzen, hier nicht den geringsten Zweifel aufkommen zu lassen.
Wenn ich bei Kunden im Rahmen eines Sizings eine Analyse der Nutzung mache (also Messagetracking und Postfach-Quotas ermittle), dann achte ich penibel darauf, das die ermittelten Daten möglichst früh auf das Notwendigste (Anonymisierung und Summierung) reduziert werden und wenn Bezüge zu Personen erforderlich sind, auf jeden Fall das Einverständnis dazu eingeholt wird.

Passworte

Aber auch wenn es um Dienste geht, die sie nicht direkt als "Besitzer" kennzeichnen, so konnten Sie früher vielleicht hoffen, dass ein Abhören der Kommunikation zwar möglich ist, aber der Personenkreis überschaubar oder zu den "Guten" gehört. Mit dem nun bekannt gewordenen Ausmaß an planmäßiger überwachen und mit dem wissen, dass selbst einfache Programme wie Cain und Abel (http://oxid.it) aus dem Kommunikationsstrom gezielt Authentifizierungspakete heraus filtern können, sollten Sie davon ausgehen dass jedes unverschlüsselt übertragene Kennwort auch mitgeschnitten und natürlich gespeichert wird. Und da sie gar nicht wissen können, welchen Weg die Pakete genau nehmen und wo die Server physikalisch stehen, können Sie sich auch nicht einmal sich auf das Land beschränken.

Überlegen Sie mal, an wie vielen Webseiten und Plattformen Sie sich anmelden?. Da gibt es Twitter, Facebook, Google, Microsoft. Jeder Dienst hat ein eigenes Kennwort und bei weitem nicht alle nutze HTTPS. Oft merken sie gar nicht einmal, dass dahinter ein "unsicheres" Protokoll zum Einsatz kommt. Viele Betreiber sparen erst mal am Zertifikat und der Rechenleistung für Verschlüsselung. Selbst wenn der Anbieter eine verschlüsselte Verbindung hat, kann der Weg dorthin ja blockiert sein und viele Programme fallen dann unbemerkt auf die unverschlüsselte Alternative zurück. Aus Datenschutzsicht ist das eine ungeeignete "Autokonfiguration" aber leider wohl Standard.

Der Anbieter muss bei sich ja auch das Kennwort speichern. Das sollte natürlich ebenso "gesichert" und nicht reversibel passieren aber kaum ein Anbieter beachtet das in der Gründungsphase und oft wird die Absicherung dann immer wieder vertragt. Es wird also immer wieder Firmen geben, denen diese Benutzerkontenlisten abhanden kommen und die Kennwort nicht oder nur schwach gesichert sind.

Besonders prekär ist so ein Kennwortklau, wenn es ein an vielen Webseiten verwendetes Konto betrifft. Immer mehr Dienste ersparen sich die eigene Verwaltung und nutzen einfach LiveID, OpenID, FacebookID, GoogleID oder andere "bekannte" Kennworte. Aber auch wenn Sie je Webseite ein eigenes Kennwort nutzen, sollten Sie nicht in ein Schema verfallen und z.B. ein Standardkennwort mit einen Teil der URL kombinieren. Wenn jemand eh schon mehrere ihrer Kennworte abgefangen hat, dann ist die Bildungsregel ziemlich einfach zu ermitteln.

Letztlich werden Sie sich daran gewöhnen müssen, für jede sensible Webseite ein eigenes Kennwort zu vergeben, welches nicht einfach ermittelbar ist. Die regelmäßige Änderung ist zwar eine gute Idee, aber eher gegen die Personen, die ihr Kennwort zufällig ausgespäht haben. Wenn strukturiert Datenverkehr analysiert wird, dann hilft das auch nicht weiter. 

Vertrauen

Eine technische Lösung wird man immer umgehen können. Umso mehr sollte auch unsere Politik nicht nur um Verständnis werben oder auf diplomatischen Wegen um Aufklärung bitten sondern aktiv das in Sie gesetzte Vertrauen erfüllen. Dass die Bewegungsdaten, also Verbindungsnachweise, Anmeldungen, Abmeldungen etc., für einen gewissen Zeitraum erfasst werden müssen, ist verständlich. Schließlich sind dies auch Belege für die Rechnungsstellung. Ob diese Bewegungsdaten aber wirklich für lange Zeit auch noch zusammengeführt werden müssen, wäre zumindest zu hinterfragen.

Was aber gar nicht geht, ist der stille Zugriff auf Daten, die "in der Cloud" gespeichert sind, seien es Mails, Webseiteninhalte, Kennworte o.ä. Hier sehe ich die Notwendigkeit, dass der Zugriff nur mit Gerichtsbeschluss möglich ist (vergleichbar einer Hausdurchsuchung) und es eine Pflicht des Providers gibt, entsprechende Zugriffe dem Besitzer zu melden. Und es darf kein andere Gesetz genau dies verbieten. Spätestens, wenn der Besitzer der Daten irgendwie mit einen Gericht zu tun hat, müssen alle Vorgänge auf den Tisch. Ansonsten wird jeder "Beweis" bezogen auf eine IP-Adresse wertlos.

Was ich aktuell erlebe macht mich sehr nachdenklich, wie wohl ich mich noch fühlen darf. Ich vermisse ein gehöriges Maß an Transparenz, Information und den Willen wirklich aufzuklären. Vermutlich wird es bald wieder ein andere Thema geben, was als Aufreger herhalten muss und verdrängt das Thema Datenschutz. Viele wichtige Themen der Vergangenheit sind auch für die Medien einfach nicht mehr umsatzstark genug um diese im Vordergrund zu halten. Oh ich vergaß. Es sind ja so viele Dinge die die Regierungen der Welt noch nicht gelöst haben.

Metadaten sind NICHT unkritisch

Immer wieder höre ich die Argumentation, dass ja gar nicht das Gespräch oder die Mail selbst mitgeschnitten oder abgehört wird, sondern es nur die "Metadaten" sind, also der Einzelverbindungsnachweis. Wer nun glaubt, dass diese Daten weniger schützenswert sind, irrt. Warum z:B. dürfen Telefonprovider diesen Einzelverbindungsnachweis nur in Abstimmung mit dem Anschlussinhaber aufbewahren ? (Scheinbar ist das aber nicht relevant).

Dass eben diese Metadaten schon sehr viel Rückschlüsse zulassen, zeigen z.B. die beiden folgenden Artikel:

Nur dass hier die Metadaten aus sich der USA die "falsche" Seite erwischt haben dürfte. Aber verlassen Sie mal wieder die böse Welt der Spione, Atomkraftwerke, Militärs etc. Und kommen Sie auf den normalen Durchschnittsbürger oder den klassischen deutschen Mittelstand zurück, der durchaus wirtschaftlich schützenswerte Interessen hat. Wenn sehr viele Personen Zugang zu solchen Daten haben, dann ist es auch einfacher, diese Daten zu "erhalten". Und die Informationen hierzu sind sehr aussagekräftig, Man könnte z.B. ermitteln:

  • Anhand der GSM-Standortdaten
    • Die Kunden, bei denen ich wann und wie oft aktiv bin.
    • In welchen Hotels und Gaststätten ich absteige
    • Wann ich "nicht" zuhause bin, um z.B. einen geeigneten Einbruchstermin zu ermitteln
    • Meine "Mitfahrer" im gleichen Auto, um z.B. das Netzwerk weiter zu spannen
    • Bewegungs- und Geschwindigkeitsprofile
      Das wird heute ja schon für die Verkehrslenkung und Stauerkennung genutzt.
  • Anhand der Telefonpartner
    • Kundenbeziehungen und Anbahnungen
    • Gespräche mit einem "Rechtsanwalt" oder "Kummerlinien"
  • Mail-Metadaten
    • Kundenbeziehungen, hier sogar mit "Größe" und dem Betreff der Mail
    • Ermitteln von Interessen anhand der Mitgliedschaften in Mailinglisten und Newslettern
  • Surf Spuren"
    • Angesurfte Webseiten, Zeiträume, In Verbindung mit dem Zugriff auf den Server selbst auch die betrachteten Seiten
    • Uploads auf Webseiten wie Wikileaks etc.
    • Recherche nach Themen

Und das sind nur ein paar Beispiele. Es bedarf nicht zu viel Phantasie diese Bewegungsdaten durchaus als Quelle anzusehen, die den gleichen Stellenwert wert die eigentlichen Inhalte haben.

Wenn meiner Ansicht (insbesondere von Politikern) behauptet wird, dass Metadaten unkritisch sind, dann hat er die Zusammenhänge nicht verstanden oder verfolgt ganze eigene Interessen. Als "Schützer der Demokratie" sollte er sich nicht bezeichnen. Alles mit dem Totschlagargument "Terrorbekämpfung" abbügeln zu wollen, ist Dummheit. Auch ein Staat kann "terrorisieren".

Weitere Links