X

So arbeiten die Überwacher – ein Interview

Achtung: E-Mails sind so leicht einsehbar wie Postkarten, und Handys werden immer öfter von böser Software ausspioniert.Markus Kammerstetter von der TU Wien erklärt, wie es um unsere Datensicherheit steht. Die Antwort lautet: nicht so toll.

Falter: Der Whistleblower Edward Snowden hält es für einen Wahnsinn, dass viele Journalisten mit ihren Informanten unverschlüsselt per E-Mail kommunizieren. Ist das wirklich so schlimm?

Markus Kammerstetter: Ja, das ist eine absolute Sicherheitslücke. Vertrauliche Informationen sollte man nie unverschlüsselt übers Netz schicken. Egal ob per E-Mail, Instant Messenger oder sonstwie. Jede Nachricht geht über eine Vielzahl von Knoten, sogenannten Routern, technisch ist es ein Kinderspiel, diese Nachrichten abzuhören, wenn man Zugriff auf diese Infrastruktur hat.

Wieso ist das denn so leicht?

Kammerstetter: Weil E-Mails eher Postkarten als verschlossene Briefe sind. Sie sind nicht verschlüsselt, sondern werden im Klartext versendet. Wenn diese Nachrichten über einen Knotenpunkt wandern, auf den etwa die Geheimdienste Zugriff haben, können sie alles mitlesen. Das Kernproblem ist, dass E-Mails ein unsicheres und leicht einsehbares Kommunikationstool sind.

Sollte also jeder Mensch seine E-Mails verschlüsseln?

Kammerstetter: Das wäre schön. Genauso schön wäre es, wenn jeder zu Hause eine Sicherheitstüre und zumindest ein ordentliches Türschloss hätte. Praktisch sieht es leider anders aus. Für diesen Mehraufwand sind sich viele zu bequem.

Kein Wunder. E-Mail-Verschlüsselung ist doch ziemlich umständlich.

Kammerstetter: Ganz so schlimm ist es nicht, es gibt relativ praktische Verschlüsselungssoftware wie PGP, kurz für Pretty Good Privacy. Das größere Hindernis ist aber, dass man nur mit Menschen verschlüsselt kommunizieren kann, die ebenfalls diese Verschlüsselungssoftware verwenden.

Genau das ist das Problem: Viele Menschen haben keine Verschlüsselungssoftware installiert. Wie handhaben Sie das selbst? Versenden Sie alle E-Mails verschlüsselt?

Kammerstetter: Ehrlich gesagt, nein. Aber wenn es um vertrauliche Information, um Zugangsdaten oder sogar um Firmengeheimnisse geht, tue ich das schon.

Viele Menschen hat überrascht, wie viel die Geheimdienste einsehen können. Hatten Sie das bereits erwartet?

Kammerstetter: Teilweise schon. Aus praktischer Erfahrung weiß ich, wie leicht man die unterschiedlichsten Kanäle abhören kann. Sobald etwas technisch möglich ist, passiert es auch, auch wenn das nicht ethisch korrekt sein mag. Das Ausmaß der Überwachung hat mich allerdings schon überrascht. Und wir wissen ja auch nicht, ob Edward Snowden noch weitere Enthüllungen in petto hat.

Derzeit fühlen sich viele Menschen irgendwie beobachtet. Ist das eine berechtigte Angst? Die NSA wird sich wohl kaum für Urlaubsfotos auf Facebook interessieren.

Kammerstetter: Sind Sie da sicher? Vielleicht sind solche Urlaubsfotos durchaus interessant. Man muss bedenken: Der Geheimdienst kombiniert die Masse der abgefangenen Informationen und wertet sie automatisiert mit Hochleistungsrechnern aus. Wo Sie Urlaub machten, wen sie dort trafen, wird womöglich mit anderen Daten kombiniert. Das ist eine Art automatisierte Rasterfahndung. Waren Sie zum falschen Zeitpunkt am falschen Ort, könnten Sie vielleicht bei der nächsten Einreise in die USA am Flughafen verhört werden. Zumindest liest man von so etwas immer wieder.

Auch der Partner von Glenn Greenwald, dem Journalisten, der die Abhöraffäre mit Snowdens Hilfe aufdeckte, wurde neulich am Londoner Flughafen festgehalten. Diese Enthüllungen scheinen den Geheimdiensten sehr unangenehm zu sein, aber ist der Konsument daran auch mitschuldig? Immerhin digitalisieren wir freiwillig große Teile unseres Lebens. Sogar Autos und Herzschrittmacher sind mittlerweile digital, überwachbar und hackbar.

Kammerstetter: Na ja, in erster Linie profitieren Sie ja von diesen Technologien. Im Notfall drücken Sie heute im Auto auf einen Knopf und werden mit dem Callcenter verbunden. Dann kommt sofort Hilfe. Aber natürlich bringen diese neuen Technologien auch eine größere Verwundbarkeit gegenüber Cyberangriffen. Mit einem alten VW Käfer haben sie diese Probleme nicht, aber es gibt auch keinen Knopf, um sofort Hilfe zu rufen. Das Grundproblem ist eher, dass Hersteller aufgrund des Marktdrucks zu wenig Geld in Sicherheit investieren und unsichere Produkte in Umlauf bringen.

Welche Produkte werden in den kommenden Jahren häufiger attackiert werden?

Kammerstetter: Zum Beispiel Smartphones. Unsere Forschungsergebnisse zeigen, dass es immer mehr Angriffe auf Smartphones mit Malware, also Viren, Würmern und Spyware, gibt. Bösartige Apps sammeln etwa heimlich private Daten und ihre Betreiber verkaufen sie dann weiter.

Auch am iPhone? Es heißt ja immer, Apple wählt sehr streng aus, welche Apps darauf laufen dürfen.

Kammerstetter: Sowohl Apple wie auch Google prüfen die Apps, bevor sie in ihre Stores gelangen. Diese Prüfung ist jedoch automatisiert und lückenhaft. Dadurch gelingt es Angreifern immer wieder mal, bedenkliche Apps in die Stores zu bekommen. Etwa schleusten Forscher ein derartiges Programm bei Apple ein und wiesen damit auf eine schwere Sicherheitslücke hin.

Abseits der Geheimdienste: Welche anderen Akteure spähen uns eigentlich ohne unser Wissen aus?

Kammerstetter: Vor allem die Werbe- und Marketingindustrie. Sie zahlt viel Geld, um möglichst viel über den Kunden zu wissen. Das harmloseste Beispiel sind noch die Kundenkarten. Der Händler weiß, welche Produkte Sie gerne haben, wann Sie einkaufen, oder wie viel Geld Sie ausgeben.

Aber diese Kundenkarten legt man sich freiwillig zu. Gibt es auch Methoden der Werbeindustrie, die ohne unsere Einwilligung passieren?

Kammerstetter: Nehmen wir den Adresshandel. Hier werden Informationen über Personen gesammelt und miteinander kombiniert. Das fängt beim Telefonbuch an und reicht bis zum illegalen Kauf von gehackten Daten, die etwa aus fremden Kundendatenbanken gestohlen wurden.

Wie? Normale Firmen kaufen gehackte Daten?

Kammerstetter: Mitunter ja. Bei diesen Datensätzen verschwimmt die Grenze, was aus legalen und was aus weniger legalen Quellen stammt. Übrigens ist ganz interessant, dass auch ehemalige Geheimdiensttechnologien heute für Werbezwecke eingesetzt werden.

Was zum Beispiel?

Kammerstetter: Etwa diese ausgeklügelten Algorithmen, die personenbezogene Informationen miteinander vernetzen und auswerten. Betrachtet man, wer wem wie oft Nachrichten schickt, kann man ein detailliertes Personennetzwerk erstellen. Diese Informationen wiederum lassen sich mit Geodaten, also Ortsangaben, verknüpfen und daraus Bewegungsmuster entwickeln. All diese Informationen sammeln Firmen wie Facebook. Geht man davon aus, dass wir alle Gewohnheitstiere sind, lässt sich bis zu einem gewissen Grad sogar vorhersagen, an welchen Orten Sie sich in der Zukunft aufhalten werden.

Das klingt beunruhigend. Kann man mittlerweile vom “gehackten“ Menschen sprechen?

Kammerstetter: Nein, so weit würde ich nicht gehen. Vielen Menschen wird allerdings erst jetzt bewusst, dass man mit Technologie kreativ umgehen und vieles hacken oder Daten miteinander kombinieren kann. Das sickert langsam in ihre Köpfe ein.

Hat die Abhöraffäre zumindest einen positiven Nebeneffekt: dass vielen Menschen da jetzt langsam mulmig wird?

Kammerstetter: Auf jeden Fall. Nur wie lange hält dieser Effekt? Da bin ich skeptisch. Bei der Vorratsdatenspeicherung, die pauschal Verbindungsdaten aller Bürger aufzeichnet, haben auch alle aufgeschrien. Jetzt hört man kaum noch davon.

Können wir dann überhaupt etwas tun? Gibt es eine Möglichkeit, langfristig Datensicherheit herzustellen?

Kammerstetter: Wie schon gesagt: Ich bin davon überzeugt, was technisch möglich ist, passiert auch. Egal wie unethisch das sein mag. Deswegen wären langfristig die Technologiehersteller und die Kunden gefragt. Die Hersteller müssten in ihren Produkten von vornherein mehr in Sicherheit, Verschlüsselung und Datenschutz investieren. Und ja, die Kunden müssten das dann auch annehmen.

—————————————————–
Zur Person

Markus Kammerstetter (30) hat auf der TU Wien Computer- und Netzwerksicherheit studiert und forscht im Rahmen seines Doktorats an der Sicherheit von zukünftigen Energienetzen. Zudem ist er Geschäftsführer des IT Sicherheitsunternehmens “Trustworks“, welches Firmen Dienstleistungen wie Sicherheitsanalysen anbietet

Welche Tools empfiehlt der Experte?

“Grundsätzlich würde ich jedem zumindest eine Firewall und einen guten Virenschutz ans Herz legen. Wer seine Nachrichten verschlüsseln möchte, dem würde ich PGP für E-Mails und OTR für Instant Messenger empfehlen“

—————————————————–

Dieses Interview und die Illustration erschienen in Falter 34/13. Illu: Oliver Hofmann, hier das ganze Bild. Foto: Iseclab.

View Comments

  • Klarnamen sollten gerade in diesen Zeiten, in denen bekannt wurde wie sehr die Staaten den Bürger fürchten, absolut nicht in Frage kommen. Solange das Internet völlig abgeschöpft wird ist das nur demokratiefeindlich.

    Meine Theorie ist ja, dass die Kommentare sich nur dem Journalistenstandard im Jahre 2013 anpassen. In den meisten Artikeln geht es auch nur noch um Fertigmachen und Lügen verbreiten.
    Es sind auch nicht nur die Hasspostings, die meisten Kommentare kann man sowieso in die Tonne treten, weil sich nur irgendwer wichtig machen möchte. Lesen Sie mal einen paar Kommentare unter einem Artikel über eine Fernsehsendung, da stehen garantiert fünf "Ich habe ja keinen Fernseher mehr" Postings, die keinem weiterhelfen, außer dass der Poster sich jetzt für elitär hält.

  • Die Kommentarspalten der meisten größeren Onlinemedien, die ich so besuche, sind für mich mehr Freakshow als Diskussionsplattform, also etwas, was man sich anschaut, wenn man eine leicht masochistische Lust hat auf Realsatire hat.
    Sie werden regiert von Kreischern, Trollen und deren Strohmännern und sonstigen Scheinargumenten, bis hin zu offenem Hass. Natürlich gibt es auch den einen oder anderen sinnvollen oder konstruktiven Beitrag, diese gehen aber meist unter im Meer derer, die sich gegenseitg hochschaukeln.

    Ich kann auch nachvollziehen, dass viele Medien ihr Klickvieh nicht vergraulen wollen, und daher ganz bewusst lieber zu wenig also zu viel moderieren, oder 'zensieren', wie gerade die Lautschreiber nicht müde werden zu betonen. Es gibt genug Kommentare die auf "dieser Kommentar kommt eh nicht durch die Zensur" o.ä. enden, weil die Leute genau wissen, was das sie da für einen Stuss verzapft haben und präventiv die Zensur-Karte ausspielen.

    Spannend wäre einfach zu wissen, wie viele sich entnervt von der Schlammschlacht abwenden, weil es ihnen -so wie mir- einfach zu blöd ist.
    Man könnte einen "Ich hätte ja was zu sagen, aber..."-Button einführen...

    • Sehr schön formuliert! So ein Button wäre eine spannende Idee, glaube auch, dass man sich damit einige Menschen vergrault, denen das Niveau zu tief ist.

  • "Deswegen ist es falsch, den Status quo der Onlineforen zu verteidigen."

    Dafür müsste man den über einen Kamm geschorenen Internetforen einen gemeinsamen Status Quo unterstellen. Aber wie soll das denn gehen?

    Ich kann nicht einfach dahergehen und die Nachrichtenkommentare auf Yahoo.de, die ausschließlich für Werbezwecke (Klicks generieren durch einfache Kommentarfunktion) dort als Feature integriert sind mit inhaltlich hochwertigen und moderierten Sachforen vergleichen.

    Das ist ungefähr so, wie die Spiegel Leserbriefe mit dem schwarzen Brett an der Uni zu vergleichen (übrigens auch inhaltlich).

    Die Wurzel des Problems liegt m.E. ganz woanders, nämlich die frei zugängliche Kommentarfunktion zur Klickgenerierung auf verschiedensten Portalen. Diese senkt die Hemmschwelle, einen Kommentar SOFORT abzusenden, ohne ihn noch einmal gelesen und kokkrrigiiert zu haben.
    Aber darauf werden Portale nicht verzichten, denn Kommentare generieren Klicks und somit Geld.

    Ich persönlich nehme immer folgende Kategorisierung vor:
    Portale - Kommentare nicht ernst nehmen - mindestens 50% Trolls, kein Inhalt, nur Meinungen
    Foren - Mitgleiderzahl und Nutzstatistik der letzten Tage und Wochen ansehen und wenn dort dem Thema entsprechend viele Leute zu finden sind, kann man von einigermaßen Seriösität ausgehen.

    Außerdem bleibt einem ja immernoch das gute alte Ignorieren von Spackos.

  • Warum wurden nun ausgerechnet diese 3 Beispiele herrangezogen ? Warum nicht zBsp:

    "möglich, dass es keien abasicht vom bullen war. indem die bullen aber leute abschieben begehen sie ganz bewußt und mit voller absicht gewalttaten. Das ist das Schlimme. "

    oder
    " wäh...wie mich dieses land schon ankotzt...."
    (beide youtube)
    oder
    "Menschen die diese Freiheit bzw. die österr. Verfassung ablehnen, wie Sie, sind abzuschieben!"

    (die Presse.com)

    Richtig, "man sollte man dafür eintreten, dass dort mit Respekt und nicht mit Ressentiments argumentiert wird." Da wollen "WIR" mit gutem Beispiel vorran gehen!

  • was kommentare angeht habe ich schon festgestellt, das es in manchen foren wie zum beispiel beim spiegel üblich ist, das kommentare die sich kritisch zu beiträgen des spiegels äußern, nicht veröffentlicht werden..wenn man zum beispiel moniert das der spiegel in manchen artikeln der boulevard un yellow press konkurenz macht..und dadurch unnötige und überflüsse dinge produziert...wenn man dies tut bekommt man eine e-mail das der kommentar nicht freigeschaltet wird..und zwar ohne angabe von gründen...denn der kommentar war nicht beleidigend, nicht ausfallend und es wurde auch nicht gedroht oder beschimpft...es wurde sich lediglich kritisch mit dem beitrag auseinander gesetzt....soviel zu meinungsfreiheit im internet

  • Ich bin ja immer noch dafür, Kommentarspalten zu Leser-Hinweis-Orten zu machen.
    Will heießen: Schreibfehler, Kritik an Stil, Satzbau, Themensetzung, Diskussion über vereinfachende Begriffe, Hinweise auf inhaltliche Fehler, gute Blogs, andere Quellen. Aber auch: häßliche Fotos, schlimme Screenshots, Meckern an Symbolfotos ("Polizeiautotür in Großaufnahme" an jeder Verbrechensnachricht, "Springerstiefel" bei Naziaufmärschen, uswusf.), Reden über Phrasen, Floskeln, falsche Metaphern...

    Ich will Mehrwert, Lesespaß und Erkenntnis. Dazu gehört, dass Leser/Zuhörer/Zuschauer ernst genommen werden. Da bringt eine Diskussion über Quellenauswahl, tendenziöse Interviewpartner oder zusätzliche Fakten beiden Seiten mehr. Vor allem, wenn sich das in der nächste Nachricht widerspiegelt. Dann lernen beide Seiten was dazu.

    Diese ganze "Politik"-"Diskussion" kann man sowieso auf jeder Nachrichtenseite zur selben Nachricht fast gleichlautend lesen. Trolle, Polemiker, Spammer, Dudenverweigerer, Dudenfetischisten... alle vereint. Daneben noch drei bis dreißig halbwegs Argumentierende - das kann man auch ganz bleiben lassen (vor allem, da externe Links in Kommentaren eh oft gelöscht werden).

    • Finde das eine gute Idee, auch Fehler der Redaktion transparent zu machen oder auch kleine handwerkliche Schnitzer (Tippfehler, stilistische Schlampereien, falsche Links) schneller melden zu können. Übrigens hat die New York Times einen sehr guten Austausch mit ihrer Leserschaft, eine Art Leserbeauftragte ("Public Editor") recherchiert sogar nach, warum eine Geschichte erschien, wie sie erschien; oder warum eine Information fehlte. Siehe http://publiceditor.blogs.nytimes.com/author/margaret-sullivan/

  • Der Artikel leidet unter einem argumentativen Spagat. Einerseits wirbt er für seinen Haltung, damit, dass nicht hingenommen werden soll, dass "andere beleidig[t] oder sogar bedroh[t]" werden. Da kann man noch zutimmen. Dann soll das Ziel aber eine allgemein freundlichere Debatte sein. Es ist aber nicht klar, was mit hart geführten Debatten, die sachlichen Inhalt haben, geschehen soll.

    Wenn ich z.B. das erste Beispiel nehme, der das "Heimschicken aller" fordert, hilft das auch nicht weiter. Die Forderung entspricht sachlich offensichtlich der nach einer Abschaffung des Asylrechts. Das ist eine im Rahmen der Meinungsfreiheit gedeckte Meinungsäußerung. Ich kann auch nicht erkennen, wer dadurch beleidigt oder bedroht würde.

  • Feig? Wie “Jura Säufer” zb.?

    Man wird von der bewährten Methode des anonymen Postens nicht abgehen nur weil manche schwache User mit dieser Freiheit nicht umgehen können, die Konsequenzen dieses persönlichen Versagens aber nur zu gerne "den anderen" aufbürden wollen.

    Auf Ausflüchte wie "Mordaufrufe an Muslimen" will ich weiter nicht eingehen, es sieht ja eh jeder was da los ist...

  • Extreme Meinungen gehören zur Meinungsfreiheit dazu. Klar, kann man ausblenden, wäre sicher auch keine Zensur - aber letztlich würde man damit nur die Augen vor dem Problem verschließen, dass es da draußen eine Menge Menschen gibt, die eben eine andere Meinung haben und diese auch extrem formulieren.

    Es wäre besser, die Kommentarfunktion zu verbessern. Fast alle Publikationen haben einen einfachen Block, wo von oben bis unten alle Kommentare angezeigt werden. Dass da keine Diskussionen entstehen, sondern jeder nur seine Meinung ablädt und abhaut, ist kein Wunder.

    Bei Heise z.B. gibt es zu jedem Artikel Foren mit echten Threads. Während Widerspruch zu Extremmeinungen andernorts irgendwo in der Textwüste verschwindet, gibt es dort die Reaktion direkt im Kontext. Es entwickeln sich auch durchaus interessante Diskussionen, denen man leichter folgen kann als bei anderen Seiten.

    Vielleicht sollten sich Anbieter daran ein Beispiel nehmen, statt die Meinungsvielfalt unter dem Deckmantel der Harmonie einzuschränken. Viele Journalisten trauern wohl der guten, alten Zeit hinterher, in der sie die Hoheit hatten über die kleine Auswahl veröffentlichter Leserbriefe. Das zeigt sich zum Beispiel daran, dass die Kommentarfunktion bei manchen Artikeln schlicht gesperrt ist: Kein Widerspruch erlaubt.

    Sicher, das ist ihr "Hausrecht". Ich bin jedoch anderer Meinung.

    • Sie wollen ernsthaft ausgerechnet das Heise-Forum als positive Alternative herausstellen? Sowohl vom Inhalt als auch von der Struktur her ist das doch einer der finstersten Orte im deutschsprachigen Netz, darunter kommt höchstens noch Krautchan.

  • Guten Morgen,
    Entschuldigung, aber diese drei oben gezeigten Beispiele für negative Postings sind absolut harmlos.
    Ich habe 10 Jahre lang ein Diskussionsforum betrieben. Dort wurden z. B. Mordaufrufe veröffentlicht. Dort wurde über die Größe des Penis von Personen spekuliert, wurde mir mit analer Vergewaltigung, Schüssen mit Dum Dum Munition in den Schädel, der Vergewaltigung und Leichenschändung meiner Frau, der Folterung ihrer Mutter, der Ausbombung unserer Wohnung. OK, das ist übertrieben, das Geschlechtorgan war harmlos.
    Von den nächtlichen Terroranrufen ganz zu schweigen.
    Und dann liefern Sie so harmlose, süße Beispiele? Das ist alles? Das Wort "Tusse" ist harmlos, und es wurde nicht zur Ermordung einer Demonstrantin unter voller Nennung ihres Namens, ihrer Adresse und ihres Bildes aufgefordert.
    DAS sind Kommentare, über die man sich Gedanken machen muss.
    Mit besten Grüßen
    Thomas Berscheid

  • 1 10 11 12 13 14 37