So arbeiten die Überwacher – ein Interview
Achtung: E-Mails sind so leicht einsehbar wie Postkarten, und Handys werden immer öfter von böser Software ausspioniert.Markus Kammerstetter von der TU Wien erklärt, wie es um unsere Datensicherheit steht. Die Antwort lautet: nicht so toll.
Falter: Der Whistleblower Edward Snowden hält es für einen Wahnsinn, dass viele Journalisten mit ihren Informanten unverschlüsselt per E-Mail kommunizieren. Ist das wirklich so schlimm?
Markus Kammerstetter: Ja, das ist eine absolute Sicherheitslücke. Vertrauliche Informationen sollte man nie unverschlüsselt übers Netz schicken. Egal ob per E-Mail, Instant Messenger oder sonstwie. Jede Nachricht geht über eine Vielzahl von Knoten, sogenannten Routern, technisch ist es ein Kinderspiel, diese Nachrichten abzuhören, wenn man Zugriff auf diese Infrastruktur hat.
Wieso ist das denn so leicht?
Kammerstetter: Weil E-Mails eher Postkarten als verschlossene Briefe sind. Sie sind nicht verschlüsselt, sondern werden im Klartext versendet. Wenn diese Nachrichten über einen Knotenpunkt wandern, auf den etwa die Geheimdienste Zugriff haben, können sie alles mitlesen. Das Kernproblem ist, dass E-Mails ein unsicheres und leicht einsehbares Kommunikationstool sind.
Sollte also jeder Mensch seine E-Mails verschlüsseln?
Kammerstetter: Das wäre schön. Genauso schön wäre es, wenn jeder zu Hause eine Sicherheitstüre und zumindest ein ordentliches Türschloss hätte. Praktisch sieht es leider anders aus. Für diesen Mehraufwand sind sich viele zu bequem.
Kein Wunder. E-Mail-Verschlüsselung ist doch ziemlich umständlich.
Kammerstetter: Ganz so schlimm ist es nicht, es gibt relativ praktische Verschlüsselungssoftware wie PGP, kurz für Pretty Good Privacy. Das größere Hindernis ist aber, dass man nur mit Menschen verschlüsselt kommunizieren kann, die ebenfalls diese Verschlüsselungssoftware verwenden.
Genau das ist das Problem: Viele Menschen haben keine Verschlüsselungssoftware installiert. Wie handhaben Sie das selbst? Versenden Sie alle E-Mails verschlüsselt?
Kammerstetter: Ehrlich gesagt, nein. Aber wenn es um vertrauliche Information, um Zugangsdaten oder sogar um Firmengeheimnisse geht, tue ich das schon.
Viele Menschen hat überrascht, wie viel die Geheimdienste einsehen können. Hatten Sie das bereits erwartet?
Kammerstetter: Teilweise schon. Aus praktischer Erfahrung weiß ich, wie leicht man die unterschiedlichsten Kanäle abhören kann. Sobald etwas technisch möglich ist, passiert es auch, auch wenn das nicht ethisch korrekt sein mag. Das Ausmaß der Überwachung hat mich allerdings schon überrascht. Und wir wissen ja auch nicht, ob Edward Snowden noch weitere Enthüllungen in petto hat.
Derzeit fühlen sich viele Menschen irgendwie beobachtet. Ist das eine berechtigte Angst? Die NSA wird sich wohl kaum für Urlaubsfotos auf Facebook interessieren.
Kammerstetter: Sind Sie da sicher? Vielleicht sind solche Urlaubsfotos durchaus interessant. Man muss bedenken: Der Geheimdienst kombiniert die Masse der abgefangenen Informationen und wertet sie automatisiert mit Hochleistungsrechnern aus. Wo Sie Urlaub machten, wen sie dort trafen, wird womöglich mit anderen Daten kombiniert. Das ist eine Art automatisierte Rasterfahndung. Waren Sie zum falschen Zeitpunkt am falschen Ort, könnten Sie vielleicht bei der nächsten Einreise in die USA am Flughafen verhört werden. Zumindest liest man von so etwas immer wieder.
Auch der Partner von Glenn Greenwald, dem Journalisten, der die Abhöraffäre mit Snowdens Hilfe aufdeckte, wurde neulich am Londoner Flughafen festgehalten. Diese Enthüllungen scheinen den Geheimdiensten sehr unangenehm zu sein, aber ist der Konsument daran auch mitschuldig? Immerhin digitalisieren wir freiwillig große Teile unseres Lebens. Sogar Autos und Herzschrittmacher sind mittlerweile digital, überwachbar und hackbar.
Kammerstetter: Na ja, in erster Linie profitieren Sie ja von diesen Technologien. Im Notfall drücken Sie heute im Auto auf einen Knopf und werden mit dem Callcenter verbunden. Dann kommt sofort Hilfe. Aber natürlich bringen diese neuen Technologien auch eine größere Verwundbarkeit gegenüber Cyberangriffen. Mit einem alten VW Käfer haben sie diese Probleme nicht, aber es gibt auch keinen Knopf, um sofort Hilfe zu rufen. Das Grundproblem ist eher, dass Hersteller aufgrund des Marktdrucks zu wenig Geld in Sicherheit investieren und unsichere Produkte in Umlauf bringen.
Welche Produkte werden in den kommenden Jahren häufiger attackiert werden?
Kammerstetter: Zum Beispiel Smartphones. Unsere Forschungsergebnisse zeigen, dass es immer mehr Angriffe auf Smartphones mit Malware, also Viren, Würmern und Spyware, gibt. Bösartige Apps sammeln etwa heimlich private Daten und ihre Betreiber verkaufen sie dann weiter.
Auch am iPhone? Es heißt ja immer, Apple wählt sehr streng aus, welche Apps darauf laufen dürfen.
Kammerstetter: Sowohl Apple wie auch Google prüfen die Apps, bevor sie in ihre Stores gelangen. Diese Prüfung ist jedoch automatisiert und lückenhaft. Dadurch gelingt es Angreifern immer wieder mal, bedenkliche Apps in die Stores zu bekommen. Etwa schleusten Forscher ein derartiges Programm bei Apple ein und wiesen damit auf eine schwere Sicherheitslücke hin.
Abseits der Geheimdienste: Welche anderen Akteure spähen uns eigentlich ohne unser Wissen aus?
Kammerstetter: Vor allem die Werbe- und Marketingindustrie. Sie zahlt viel Geld, um möglichst viel über den Kunden zu wissen. Das harmloseste Beispiel sind noch die Kundenkarten. Der Händler weiß, welche Produkte Sie gerne haben, wann Sie einkaufen, oder wie viel Geld Sie ausgeben.
Aber diese Kundenkarten legt man sich freiwillig zu. Gibt es auch Methoden der Werbeindustrie, die ohne unsere Einwilligung passieren?
Kammerstetter: Nehmen wir den Adresshandel. Hier werden Informationen über Personen gesammelt und miteinander kombiniert. Das fängt beim Telefonbuch an und reicht bis zum illegalen Kauf von gehackten Daten, die etwa aus fremden Kundendatenbanken gestohlen wurden.
Wie? Normale Firmen kaufen gehackte Daten?
Kammerstetter: Mitunter ja. Bei diesen Datensätzen verschwimmt die Grenze, was aus legalen und was aus weniger legalen Quellen stammt. Übrigens ist ganz interessant, dass auch ehemalige Geheimdiensttechnologien heute für Werbezwecke eingesetzt werden.
Was zum Beispiel?
Kammerstetter: Etwa diese ausgeklügelten Algorithmen, die personenbezogene Informationen miteinander vernetzen und auswerten. Betrachtet man, wer wem wie oft Nachrichten schickt, kann man ein detailliertes Personennetzwerk erstellen. Diese Informationen wiederum lassen sich mit Geodaten, also Ortsangaben, verknüpfen und daraus Bewegungsmuster entwickeln. All diese Informationen sammeln Firmen wie Facebook. Geht man davon aus, dass wir alle Gewohnheitstiere sind, lässt sich bis zu einem gewissen Grad sogar vorhersagen, an welchen Orten Sie sich in der Zukunft aufhalten werden.
Das klingt beunruhigend. Kann man mittlerweile vom “gehackten“ Menschen sprechen?
Kammerstetter: Nein, so weit würde ich nicht gehen. Vielen Menschen wird allerdings erst jetzt bewusst, dass man mit Technologie kreativ umgehen und vieles hacken oder Daten miteinander kombinieren kann. Das sickert langsam in ihre Köpfe ein.
Hat die Abhöraffäre zumindest einen positiven Nebeneffekt: dass vielen Menschen da jetzt langsam mulmig wird?
Kammerstetter: Auf jeden Fall. Nur wie lange hält dieser Effekt? Da bin ich skeptisch. Bei der Vorratsdatenspeicherung, die pauschal Verbindungsdaten aller Bürger aufzeichnet, haben auch alle aufgeschrien. Jetzt hört man kaum noch davon.
Können wir dann überhaupt etwas tun? Gibt es eine Möglichkeit, langfristig Datensicherheit herzustellen?
Kammerstetter: Wie schon gesagt: Ich bin davon überzeugt, was technisch möglich ist, passiert auch. Egal wie unethisch das sein mag. Deswegen wären langfristig die Technologiehersteller und die Kunden gefragt. Die Hersteller müssten in ihren Produkten von vornherein mehr in Sicherheit, Verschlüsselung und Datenschutz investieren. Und ja, die Kunden müssten das dann auch annehmen.
Markus Kammerstetter (30) hat auf der TU Wien Computer- und Netzwerksicherheit studiert und forscht im Rahmen seines Doktorats an der Sicherheit von zukünftigen Energienetzen. Zudem ist er Geschäftsführer des IT Sicherheitsunternehmens “Trustworks“, welches Firmen Dienstleistungen wie Sicherheitsanalysen anbietet
Welche Tools empfiehlt der Experte?
“Grundsätzlich würde ich jedem zumindest eine Firewall und einen guten Virenschutz ans Herz legen. Wer seine Nachrichten verschlüsseln möchte, dem würde ich PGP für E-Mails und OTR für Instant Messenger empfehlen“
—————————————————–
Dieses Interview und die Illustration erschienen in Falter 34/13. Illu: Oliver Hofmann, hier das ganze Bild. Foto: Iseclab.
View Comments
Mich würde interessieren, wie es dir in und nach den 2 Wochen gegangen ist.
Aus dem Falter wissen ja alle, dass du dein Handy mit ins Bett nimmst ...
Gute Frage! Grundsätzlich war es angenehm, ich habe auf meinem iPhone den Mail-Account gelöscht, hatte gar nicht das Bedürfnis, all die eintreffenden Mails zu lesen. Doch dann habe ich selbst gegen mein Sabbatical verstoßen: Während der Feiertage hat sich bei mir etwas Privates ereignet und ich wollte meine Kollegen diesbezüglich verständigen. Nur was tun? Jeden einzelnen anrufen? An alle ein SMS? Mir schien E-Mail die beste Kommunikationsform und schließlich habe ich dann gemailt. So ganz habe ich mein Sabbatical also nicht eingehalten, aber trotzdem zwei Dinge gelernt: 1.) Es ist eine gute Idee, den Mail-Empfang am iPhone während des Urlaubs zu deaktivieren - das werde ich weiterhin machen. 2.) Ganz auf E-Mail zu verzichten, ist aber gar nicht so leicht, vor allem wenn man selbst einen großen Mitteilungsdrang hat. Mir ging eher das Mail-Versenden als das Mail-Empfangen ab...
OK. Das heißt ja wohl, dass du nur auf die Mails verzichtet hast. ;-)
Musste den Artikel noch mal lesen, um das zu verstehen. Dass heißt, du hast dich nur auf das "normale" Urlaubslevel runtergesetzt. Ich dachte, du willst es OHNE Internet schaffen. Sprich: OHNE Mail, OHNE Surfen, OHNE Online-Spiele - OHNE Internet eben.
Das hast du dir zu einfach gemacht, finde ich. Und dann nicht mal ganz eingehalten.
Ingrid ich habe heute leider kein Foto für dich ...
Interessanter Einwand - aus meiner Sicht habe ich das weggelassen, was mich während des Urlaubs am meisten stört (eben, dass ich trotzdem ständig E-Mails checke). Aber wenn ich zwischendurch nach einem guten Lokal google oder online einen Routenplan suche, stört mich keine Sekunde lang. Im Gegenteil: Ich würde es als extreme Benachteiligung empfinden, wenn ich in meiner Freizeit darauf verzichten müsste.
Natürlich kann man's auch so sehen, dass das nur ein Schmalspur-Sabbatical war. Den echten Offline-Test haben schon andere gemacht, zum Beispiel Alex Rühle für sein Buch "Ohne Netz". http://www.falter.at/web/shop/detail.php?id=33075&SESSID= Aber schauen wir mal, vielleicht wage ich mich doch noch über eine echte Auszeit drüber. Bisher verspüre ich jedenfalls nicht den Drang, das Internet gänzlich abzudrehen...
Da kommt also ein Gerät heraus, welches kleiner und leichter ist, doppelt so viel Prozessorleistung bietet, eine 9x schnellere Grafik, ein verbessertes Display, einen FullHD-Ausgang für externe Präsentationen und die Nachrüstung der viel bemängelten Kameras. Und das ist dann keine Innovation. Alright.
Ja, das ist eine Verbesserung, aber noch keine Innovation. Etwas anderes zu behaupten, ist echt gewagt.
11. Gebot - Du sollst Apple nicht kritisieren.
neuer Link für Conan O'Brien
http://teamcoco.com/content/apple-employees-can%E2%80%99t-help-gloat-about-new-ipad
Falls dich die Details interessieren sollten:
http://imgur.com/BghEN
Interessant, Danke für den Link! Diese komischen Geräusche hatten also einen Grund...
Und genau da liegt das Problem fuer
Wenn sich Werbepreise fuer Online Ads den Offline Ads, also Zeitungsinseraten, annaehern wuerden, waere die ganze Geschichte auch ohne Paywall finanzierbar. Denn zieht man bei einer Zeitung die Druckkosten und die Lieferkosten ab, bleibt unterm Strich auch nichts mehr uebrig (oder noch weniger). Zwar wird von den Werbeagenturen immer mehr Geld vom offline ins online advertising verschoben, doch hat das in den letzten Jahren nicht den erhofften Preisanstieg gegeben. Aus eigener Erfahrung weiss ich, dass 15 Dollar pro User nur durch on page advertising praktisch nicht erreichbar sind. Selbst wenn die NYT pro 1000 aufgerufenen Seiten 10 Dollar bekommt (was derzeit eh nicht realistisch ist, eher 1/3 - 1/10 davon), muesste ein User 1500 Seiten pro Monat aufrufen um damit auf 15 Dollar zu kommen.
Andererseits stellt sich die Frage wie lange es dauern wird um den Aufwand, der die Implementierung und Wartung einer Paywall mit sich bringt, mit Abos zu finanzieren.
Ich bin auf jeden Fall gespannt wo das in den naechsten Monaten/Jahren hinfuehren wird :-)
Danke für den spannenden Einblick in die Zahlen! Was ich mich frage: Ist es realistisch, dass sich die Onlinewerbepreise irgendwann den Offlinepreisen angleichen? In den letzten Jahren ist das ja leider nicht passiert.
Im App-Store von Apple kommt übrigens ein neues Problem für die Zeitungshäuser hinzu: Da kassiert Apple 30 Prozent des Umsatzes ein, dazu gibt's auch wieder heftige Debatten (siehe zB http://www.tagesschau.de/wirtschaft/apple142.html).
Darauf kann man natuerlich nicht pauschal mit ja oder nein antworten. Da erstens die Werbeformen sowohl offline als auch online zu verschieden sind. Wenn man online Werbung auf Zeitungsportalen mit Zeitungsanzeigen vergleicht, wuerde ich eher dazu tendieren und "nein" zu sagen. Unterm Strich wird wohl in den naechsten Jahren immer noch mehr mit Zeitungsanzeigen zu holen sein. Doch koennen gewisse Online Kampagnen natuerlich ueber den offline Preisen liegen. Wenn zB gezielt Werbung fuer eine gewisse Zielgruppe geschaltet wird ("nur die 25-35 jaehrigen, alleinstehenden Maenner mit Sportwagen") sind die Preise dementsprechend hoeher.
Ich moechte auch noch anmerken, dass die Zahlen, die ich oben geschrieben haben nicht die wirklichen Zahlen der NYT sind. Es sind lediglich Schaetzungen aufgrund meiner Erfahrungen (beschaeftige mich seit 2001 mit Online Werbung und die Preise sind seither stetig gesunken - Ende 90er Jahre waren die Preise am ehesten mit Offline Preisen zu vergleichen). Darueber hinaus bin ich mir ziemlich sicher, dass die NYT bessere Preise fuer Online Kampagnen erzielt als irgendein 08/15 Blog. Trotzdem sind die Preise im Keller, auch wenn die NYT einen 50-fach hoeheren Preis bekommt :-)
Zu apple: der von dir verlinkte Artikel ist leider etwas einseitig geschrieben. Kurz die Gegenseite: Das mit den 30% stimmt. Allerdings nur fuer "neue" Kunden, also Kunden, die ueber die App angeworben wurden. Es steht jedem Verlag frei, ausserhalb des App Stores Abos zu verkaufen (die dann natuerlich auch innerhalb der App genutzt werden koennen). Fuer solche Verkaeufe bekommen die Verlage dann 100%. So das Argument von Apple.
Natuerlich sitzt der Dollar lockerer wenn man in der App ist, die Zahlungsdaten hinterlegt sind und man nur noch auf "abonnieren" druecken muss. Das weiss Apple natuerlich auch ...
Warum ich es schrecklich und unverständlich finde, dass so viele Leute so viel Geld für Dreckjournale ohne Wert ausgeben, während niemand für echten Journalismus zahlen will:
http://karinkoller.wordpress.com/2011/03/26/dinge-die-wir-hassen-frauenzeitschriften/
Selbstredend gibt nichts dagegen zu sagen für die NYT zu zahlen. Vielleicht nur, dass wir in seltsamen medialen Zeiten leben, wenn eine Journalistin eine Art Rechtfertigung dafür postet. Es ist aber auch mehr als nur "für guten Journalismus" zahlen - es ist ein Commitment zur Marke, zum Medium und wahrscheinlich eine Art Freude über das implizite Bildungsversprechen einer Zeitung wie die New York Times. Und unterstreicht den Mangel an solchen Angeboten in Österreich. Was ein derartiges Commitment zu geben zur Zeit schwer macht, ist die schiere mediale Vielfalt am Bildschirm. Ein zunehmend diffuser gewordenes Angebot, die oft zitierte mediale Herausforderung. Tageszeitung lesen, Magazine rezipieren und sich dann um die Feeds kümmern. Welches Medium greife ich heraus, um es finanziell zu unterstützen? - NYT, SZ, NZZ, FAZ,...,....,....,....,.....,...,....,....,....,.....,,...,....,....,....,.....,,...,....,....,....,.....,,...,....,....,....,.....,,...,....,....,.Glückwunsch, wenn man hier klar sieht und für sich zu einer Entscheidung kommt. Unglücklich hingegen finde ich die Formulierung "guter Journalismus". Was das ist, ist stets persektiven-abhängig und kommt meist oberlehrerhaft herüber. Ob die Strasser-Aufdeckung etwa ein Beispiel für "guten Journalismus" ist, halte ich etwa für dikussionswürdig - Büros mieten, Politiker in Versuchung führen usw. Eine Top-Story allemal. Aber "guter Journalismus". Naja, für mich verwunderlich. Aber egal. Schönes Wochenende.