X

So arbeiten die Überwacher – ein Interview

Achtung: E-Mails sind so leicht einsehbar wie Postkarten, und Handys werden immer öfter von böser Software ausspioniert.Markus Kammerstetter von der TU Wien erklärt, wie es um unsere Datensicherheit steht. Die Antwort lautet: nicht so toll.

Falter: Der Whistleblower Edward Snowden hält es für einen Wahnsinn, dass viele Journalisten mit ihren Informanten unverschlüsselt per E-Mail kommunizieren. Ist das wirklich so schlimm?

Markus Kammerstetter: Ja, das ist eine absolute Sicherheitslücke. Vertrauliche Informationen sollte man nie unverschlüsselt übers Netz schicken. Egal ob per E-Mail, Instant Messenger oder sonstwie. Jede Nachricht geht über eine Vielzahl von Knoten, sogenannten Routern, technisch ist es ein Kinderspiel, diese Nachrichten abzuhören, wenn man Zugriff auf diese Infrastruktur hat.

Wieso ist das denn so leicht?

Kammerstetter: Weil E-Mails eher Postkarten als verschlossene Briefe sind. Sie sind nicht verschlüsselt, sondern werden im Klartext versendet. Wenn diese Nachrichten über einen Knotenpunkt wandern, auf den etwa die Geheimdienste Zugriff haben, können sie alles mitlesen. Das Kernproblem ist, dass E-Mails ein unsicheres und leicht einsehbares Kommunikationstool sind.

Sollte also jeder Mensch seine E-Mails verschlüsseln?

Kammerstetter: Das wäre schön. Genauso schön wäre es, wenn jeder zu Hause eine Sicherheitstüre und zumindest ein ordentliches Türschloss hätte. Praktisch sieht es leider anders aus. Für diesen Mehraufwand sind sich viele zu bequem.

Kein Wunder. E-Mail-Verschlüsselung ist doch ziemlich umständlich.

Kammerstetter: Ganz so schlimm ist es nicht, es gibt relativ praktische Verschlüsselungssoftware wie PGP, kurz für Pretty Good Privacy. Das größere Hindernis ist aber, dass man nur mit Menschen verschlüsselt kommunizieren kann, die ebenfalls diese Verschlüsselungssoftware verwenden.

Genau das ist das Problem: Viele Menschen haben keine Verschlüsselungssoftware installiert. Wie handhaben Sie das selbst? Versenden Sie alle E-Mails verschlüsselt?

Kammerstetter: Ehrlich gesagt, nein. Aber wenn es um vertrauliche Information, um Zugangsdaten oder sogar um Firmengeheimnisse geht, tue ich das schon.

Viele Menschen hat überrascht, wie viel die Geheimdienste einsehen können. Hatten Sie das bereits erwartet?

Kammerstetter: Teilweise schon. Aus praktischer Erfahrung weiß ich, wie leicht man die unterschiedlichsten Kanäle abhören kann. Sobald etwas technisch möglich ist, passiert es auch, auch wenn das nicht ethisch korrekt sein mag. Das Ausmaß der Überwachung hat mich allerdings schon überrascht. Und wir wissen ja auch nicht, ob Edward Snowden noch weitere Enthüllungen in petto hat.

Derzeit fühlen sich viele Menschen irgendwie beobachtet. Ist das eine berechtigte Angst? Die NSA wird sich wohl kaum für Urlaubsfotos auf Facebook interessieren.

Kammerstetter: Sind Sie da sicher? Vielleicht sind solche Urlaubsfotos durchaus interessant. Man muss bedenken: Der Geheimdienst kombiniert die Masse der abgefangenen Informationen und wertet sie automatisiert mit Hochleistungsrechnern aus. Wo Sie Urlaub machten, wen sie dort trafen, wird womöglich mit anderen Daten kombiniert. Das ist eine Art automatisierte Rasterfahndung. Waren Sie zum falschen Zeitpunkt am falschen Ort, könnten Sie vielleicht bei der nächsten Einreise in die USA am Flughafen verhört werden. Zumindest liest man von so etwas immer wieder.

Auch der Partner von Glenn Greenwald, dem Journalisten, der die Abhöraffäre mit Snowdens Hilfe aufdeckte, wurde neulich am Londoner Flughafen festgehalten. Diese Enthüllungen scheinen den Geheimdiensten sehr unangenehm zu sein, aber ist der Konsument daran auch mitschuldig? Immerhin digitalisieren wir freiwillig große Teile unseres Lebens. Sogar Autos und Herzschrittmacher sind mittlerweile digital, überwachbar und hackbar.

Kammerstetter: Na ja, in erster Linie profitieren Sie ja von diesen Technologien. Im Notfall drücken Sie heute im Auto auf einen Knopf und werden mit dem Callcenter verbunden. Dann kommt sofort Hilfe. Aber natürlich bringen diese neuen Technologien auch eine größere Verwundbarkeit gegenüber Cyberangriffen. Mit einem alten VW Käfer haben sie diese Probleme nicht, aber es gibt auch keinen Knopf, um sofort Hilfe zu rufen. Das Grundproblem ist eher, dass Hersteller aufgrund des Marktdrucks zu wenig Geld in Sicherheit investieren und unsichere Produkte in Umlauf bringen.

Welche Produkte werden in den kommenden Jahren häufiger attackiert werden?

Kammerstetter: Zum Beispiel Smartphones. Unsere Forschungsergebnisse zeigen, dass es immer mehr Angriffe auf Smartphones mit Malware, also Viren, Würmern und Spyware, gibt. Bösartige Apps sammeln etwa heimlich private Daten und ihre Betreiber verkaufen sie dann weiter.

Auch am iPhone? Es heißt ja immer, Apple wählt sehr streng aus, welche Apps darauf laufen dürfen.

Kammerstetter: Sowohl Apple wie auch Google prüfen die Apps, bevor sie in ihre Stores gelangen. Diese Prüfung ist jedoch automatisiert und lückenhaft. Dadurch gelingt es Angreifern immer wieder mal, bedenkliche Apps in die Stores zu bekommen. Etwa schleusten Forscher ein derartiges Programm bei Apple ein und wiesen damit auf eine schwere Sicherheitslücke hin.

Abseits der Geheimdienste: Welche anderen Akteure spähen uns eigentlich ohne unser Wissen aus?

Kammerstetter: Vor allem die Werbe- und Marketingindustrie. Sie zahlt viel Geld, um möglichst viel über den Kunden zu wissen. Das harmloseste Beispiel sind noch die Kundenkarten. Der Händler weiß, welche Produkte Sie gerne haben, wann Sie einkaufen, oder wie viel Geld Sie ausgeben.

Aber diese Kundenkarten legt man sich freiwillig zu. Gibt es auch Methoden der Werbeindustrie, die ohne unsere Einwilligung passieren?

Kammerstetter: Nehmen wir den Adresshandel. Hier werden Informationen über Personen gesammelt und miteinander kombiniert. Das fängt beim Telefonbuch an und reicht bis zum illegalen Kauf von gehackten Daten, die etwa aus fremden Kundendatenbanken gestohlen wurden.

Wie? Normale Firmen kaufen gehackte Daten?

Kammerstetter: Mitunter ja. Bei diesen Datensätzen verschwimmt die Grenze, was aus legalen und was aus weniger legalen Quellen stammt. Übrigens ist ganz interessant, dass auch ehemalige Geheimdiensttechnologien heute für Werbezwecke eingesetzt werden.

Was zum Beispiel?

Kammerstetter: Etwa diese ausgeklügelten Algorithmen, die personenbezogene Informationen miteinander vernetzen und auswerten. Betrachtet man, wer wem wie oft Nachrichten schickt, kann man ein detailliertes Personennetzwerk erstellen. Diese Informationen wiederum lassen sich mit Geodaten, also Ortsangaben, verknüpfen und daraus Bewegungsmuster entwickeln. All diese Informationen sammeln Firmen wie Facebook. Geht man davon aus, dass wir alle Gewohnheitstiere sind, lässt sich bis zu einem gewissen Grad sogar vorhersagen, an welchen Orten Sie sich in der Zukunft aufhalten werden.

Das klingt beunruhigend. Kann man mittlerweile vom “gehackten“ Menschen sprechen?

Kammerstetter: Nein, so weit würde ich nicht gehen. Vielen Menschen wird allerdings erst jetzt bewusst, dass man mit Technologie kreativ umgehen und vieles hacken oder Daten miteinander kombinieren kann. Das sickert langsam in ihre Köpfe ein.

Hat die Abhöraffäre zumindest einen positiven Nebeneffekt: dass vielen Menschen da jetzt langsam mulmig wird?

Kammerstetter: Auf jeden Fall. Nur wie lange hält dieser Effekt? Da bin ich skeptisch. Bei der Vorratsdatenspeicherung, die pauschal Verbindungsdaten aller Bürger aufzeichnet, haben auch alle aufgeschrien. Jetzt hört man kaum noch davon.

Können wir dann überhaupt etwas tun? Gibt es eine Möglichkeit, langfristig Datensicherheit herzustellen?

Kammerstetter: Wie schon gesagt: Ich bin davon überzeugt, was technisch möglich ist, passiert auch. Egal wie unethisch das sein mag. Deswegen wären langfristig die Technologiehersteller und die Kunden gefragt. Die Hersteller müssten in ihren Produkten von vornherein mehr in Sicherheit, Verschlüsselung und Datenschutz investieren. Und ja, die Kunden müssten das dann auch annehmen.

—————————————————–
Zur Person

Markus Kammerstetter (30) hat auf der TU Wien Computer- und Netzwerksicherheit studiert und forscht im Rahmen seines Doktorats an der Sicherheit von zukünftigen Energienetzen. Zudem ist er Geschäftsführer des IT Sicherheitsunternehmens “Trustworks“, welches Firmen Dienstleistungen wie Sicherheitsanalysen anbietet

Welche Tools empfiehlt der Experte?

“Grundsätzlich würde ich jedem zumindest eine Firewall und einen guten Virenschutz ans Herz legen. Wer seine Nachrichten verschlüsseln möchte, dem würde ich PGP für E-Mails und OTR für Instant Messenger empfehlen“

—————————————————–

Dieses Interview und die Illustration erschienen in Falter 34/13. Illu: Oliver Hofmann, hier das ganze Bild. Foto: Iseclab.

View Comments

  • Ich finde an den drei Beispielkomentaren nichts verwerfliches.

    Für freie Meinung und gegen Neusprech!!!

  • Ich verstehe das Problem mit den Beispiel-Kommentaren leider auch nicht. Das Problem ist anscheinend doch eher der Inhalt, nicht die Form. Wären im Kommentar #1 böse Polizisten gemeint gewesen, wäre wahrscheinlich alles in Ordnung.

    Spannender finde ich folgende Frage: Welcher der folgenden Kommentare ist denn nun ein Hass-Kommentar?

    a) Asylanten sollten sofort, ohne wenn und aber, wieder abgeschoben werden!

    b) Dem Polizisten, der mit Pfefferspray auf die Demonstranten losgegangen ist, sollte man selbst mal eine ordentliche Ladung ins Gesicht verpassen.

    c) All cops are bastards!

  • Ich denke, dass das Einstellen eines einzelnen Community-Managers, der nach seinen eigenen bzw. nach redaktionell vorgegebenen Moralvorstellungen die Nutzerkommentare zensiert, nicht der richtige Weg sein kann. Zu empfehlen wäre da eher, auf eine andere Technologie zurückzugreifen, die eine Regulierung durch die Community selbst ermöglicht - quasi durch Mehrheitsentscheid. Ein gutes Beispiel hierfür liefert momentan das Portal YouTube, in dem die Möglichkeit besteht, jeden einzelnen Kommentar als positiv oder negativ zu bewerten. Ab einer gewissen Anzahl negativer Bewertungen wird ein Kommentar standardmäßig ausgeblendet (und nicht gelöscht!) - man muss ihn explizit wieder einblenden, falls man neugierig darauf sein sollte, warum er geschmäht wurde. Nach meiner Beobachtung funktioniert dieses System recht gut und wird von der YT-Nutzergemeinde durchaus gerne in Anspruch genommen. Außerdem stellt es einen Kompromiss zwischen Zensurbefürwortern und -gegnern dar.

  • Bei vielem im Artikel möchte ich zustimmen, aber eine Befürchtung bleibt: Zu viel Kontrolle. Zum Beispiel Foren mit einer Vorab-Moderation finde ich persönlich unbenutzbar. Auch zu strenge Nettiquette, wie Spiegel-Online-Foren, wo wohl das siezen gefordert wird (Leute, wirklich?) sind ein Hinderungsgrund. Und eine Zwangsregistrierung erst Recht. Dafür muss man die Seite schon sehr oft besuchen, dass sich das lohnt. Um gelegentlich mal einen interessanten Blogartikel durch einen Tipp zu ergänzen werde ich mir bestimmt keinen Account anlegen.

  • Hi, mich beschleicht oft das Gefühl Internetforen werden zum Abreagieren verwendet. In der "offline" Welt leiden viele Menschen an Harmoniesucht. Man möchte Freunde nicht verunsichern oder gar verärgern. Also spielt man eitle Wonne, geht nach Hause und lässt Dampf ab beim Beschimpfen von Fremden.
    Andererseitsss sind Regeln wie: „Dont feed the Troll“ schon recht alt, werden aber nicht immer befolgt. Hier müssen die Nutzer noch erwachsen werden. Youtube bietet dafür mit dem Ausblenden von stark negativ bewerteten Kommentaren eine Hilfe an. Bei einigen Themen wie Sexismus, Ausländerhass etc. ist ignorieren nicht ausreichend. Hier müssen die Nutzer die nötigen Werkzeuge erhalten um solch einen Hassposter zu melden, auszublenden. An einer Moderation kommt man dann natürlich nicht mehr vorbei. Moderatoren lassen sich aus der Community rekrutieren.

    Guter Artikel, alles Gute beim Buch!

  • Der Artikel spricht mir aus der Seele. Besonders gefällt mir, dass das Problem von Hasskommentaren mal thematisiert wird, ohne einer Klarnamenpflicht das Wort zu reden. Denn für ano- oder pseudonymes Posten gibt es diverse Gründe, viele davon völlig legitim. Außerdem löst eine Klarnamenpflicht, wie Sie das ja schon im vorangehenden Beitrag dargelegt haben, das Problem überhaupt nicht. Das ist in dem Zusammenhang einfach eine Scheindebatte.

    Sehr wertvoll fand ich auch den Hinweis darauf, dass es eine wichtige Rolle spielt, ob und wie die Autor_innen des kommentierten Artikels sich an der Diskussion beteiligen.

    In einem Punkt greift mir der Artikel aber etwas zu kurz, nämlich wenn das Problem auf die Form der Kommentare reduziert wird, unabhängig vom Inhalt. Die Form ist sicherlich ein großes Problem, und die meisten Meinungen kann man auch ohne hate speech vortragen. Es gibt aber auch Meinungen, die an sich hasserfüllt sind. Um ein besonders klares Beispiel zu nehmen: Wenn jemand der Meinung ist, alle Homosexuellen sollten getötet werden - dann kann er_sie das so sachlich und unaufgeregt formulieren wie nur möglich (also wie ich das in dem Beispiel grade getan habe), es bleibt eine zutiefst hasserfüllte Botschaft.

    Ich bin also der Meinung, dass Foren und Kommentarspalten keineswegs allen Meinungen Platz einräumen sollten, genausowenig wie allen Formulierungen. (Das bezieht sich natürlich auf Portale mit dem entsprechenden Anspruch; pi oder Krone haben halt das Publikum, das zum redaktionellen Inhalt passt.) Nicht alles, was generell gesagt werden darf - strafrechtlich sind der Meinungsfreiheit zum Glück nur seeehr weite Grenzen gesetzt - muss auch überall gesagt werden dürfen.

    Problematisch ist natürlich die Grenzziehung, wofür es sicher kein Patentrezept gibt. Da ist auch die Selbstdisziplin von Blogger_innen und Redaktionen gefragt; positive und kritische Kommentare sollten unbedingt nach den gleichen Kriterien behandelt werden. Auf jeden Fall bin ich für größtmögliche Transparenz, d.h. es sollte so gut wie möglich allgemein dargelegt werden, was akzeptabel in Kommentaren ist und was nicht. Im Sinne der Transparenz bin ich auch eher dafür, Hasskommentare nachträglich zu löschen, als Kommentare von vornherein erst nach Prüfung freizuschalten. Dann können User_innen nämlich ab und an sehen, was gelöscht wird und was nicht.

    Eine Halde für gelöschte Kommentare nach Vorbild von hatr.org fände ich auch gut. Dann kann man nämlich sehen, ob tatsächlich nur Hasskommentare gelöscht werden oder generell missliebige Meinungen und sanfte Polemiken. Außerdem bleibt so die Freakshow an einem sicheren Ort erhalten. Daraus lassen sich ja auch wichtige Erkenntnisse über die Verbreitung bestimmter Formen von Hass gewinnen.

  • I want to to thank you for this great read!! I definitely enjoyed every bit of it.
    I have you book marked to check out new things you post…

  • Schön auf den Punkte gebracht kann man da nur sagen, ich selbst arbeite in einer Werbeagentur in Klagenfurt und wir stellen zum Teil auch Printmedien her. Da finde ich diesen Artikel sehr treffend, da ich auch schon oft sowas zu hören bekommen habe.
    Dann werde ich mal etwas Feenstaub auf den Bildschirm werfen um etwas schönes zu zaubern. =)

  • You really make it seem so easy with your presentation
    but I find this topic to be really something which I think I would never
    understand. It seems too complicated and extremely broad for me.

    I'm looking forward for your next post, I will try to get the hang of it!

  • Ich glaube auch das ist Geschmackssache, da gibt es sicher einige Pros und Contras ;) Ich persönlich bevorzuge die guten alten Bücher, aber in der jüngeren Generation scheinen eBooks voll im Trend zu liegen, hier ein Beispiel. LG

  • 1 11 12 13 14 15 38