X

So arbeiten die Überwacher – ein Interview

Achtung: E-Mails sind so leicht einsehbar wie Postkarten, und Handys werden immer öfter von böser Software ausspioniert.Markus Kammerstetter von der TU Wien erklärt, wie es um unsere Datensicherheit steht. Die Antwort lautet: nicht so toll.

Falter: Der Whistleblower Edward Snowden hält es für einen Wahnsinn, dass viele Journalisten mit ihren Informanten unverschlüsselt per E-Mail kommunizieren. Ist das wirklich so schlimm?

Markus Kammerstetter: Ja, das ist eine absolute Sicherheitslücke. Vertrauliche Informationen sollte man nie unverschlüsselt übers Netz schicken. Egal ob per E-Mail, Instant Messenger oder sonstwie. Jede Nachricht geht über eine Vielzahl von Knoten, sogenannten Routern, technisch ist es ein Kinderspiel, diese Nachrichten abzuhören, wenn man Zugriff auf diese Infrastruktur hat.

Wieso ist das denn so leicht?

Kammerstetter: Weil E-Mails eher Postkarten als verschlossene Briefe sind. Sie sind nicht verschlüsselt, sondern werden im Klartext versendet. Wenn diese Nachrichten über einen Knotenpunkt wandern, auf den etwa die Geheimdienste Zugriff haben, können sie alles mitlesen. Das Kernproblem ist, dass E-Mails ein unsicheres und leicht einsehbares Kommunikationstool sind.

Sollte also jeder Mensch seine E-Mails verschlüsseln?

Kammerstetter: Das wäre schön. Genauso schön wäre es, wenn jeder zu Hause eine Sicherheitstüre und zumindest ein ordentliches Türschloss hätte. Praktisch sieht es leider anders aus. Für diesen Mehraufwand sind sich viele zu bequem.

Kein Wunder. E-Mail-Verschlüsselung ist doch ziemlich umständlich.

Kammerstetter: Ganz so schlimm ist es nicht, es gibt relativ praktische Verschlüsselungssoftware wie PGP, kurz für Pretty Good Privacy. Das größere Hindernis ist aber, dass man nur mit Menschen verschlüsselt kommunizieren kann, die ebenfalls diese Verschlüsselungssoftware verwenden.

Genau das ist das Problem: Viele Menschen haben keine Verschlüsselungssoftware installiert. Wie handhaben Sie das selbst? Versenden Sie alle E-Mails verschlüsselt?

Kammerstetter: Ehrlich gesagt, nein. Aber wenn es um vertrauliche Information, um Zugangsdaten oder sogar um Firmengeheimnisse geht, tue ich das schon.

Viele Menschen hat überrascht, wie viel die Geheimdienste einsehen können. Hatten Sie das bereits erwartet?

Kammerstetter: Teilweise schon. Aus praktischer Erfahrung weiß ich, wie leicht man die unterschiedlichsten Kanäle abhören kann. Sobald etwas technisch möglich ist, passiert es auch, auch wenn das nicht ethisch korrekt sein mag. Das Ausmaß der Überwachung hat mich allerdings schon überrascht. Und wir wissen ja auch nicht, ob Edward Snowden noch weitere Enthüllungen in petto hat.

Derzeit fühlen sich viele Menschen irgendwie beobachtet. Ist das eine berechtigte Angst? Die NSA wird sich wohl kaum für Urlaubsfotos auf Facebook interessieren.

Kammerstetter: Sind Sie da sicher? Vielleicht sind solche Urlaubsfotos durchaus interessant. Man muss bedenken: Der Geheimdienst kombiniert die Masse der abgefangenen Informationen und wertet sie automatisiert mit Hochleistungsrechnern aus. Wo Sie Urlaub machten, wen sie dort trafen, wird womöglich mit anderen Daten kombiniert. Das ist eine Art automatisierte Rasterfahndung. Waren Sie zum falschen Zeitpunkt am falschen Ort, könnten Sie vielleicht bei der nächsten Einreise in die USA am Flughafen verhört werden. Zumindest liest man von so etwas immer wieder.

Auch der Partner von Glenn Greenwald, dem Journalisten, der die Abhöraffäre mit Snowdens Hilfe aufdeckte, wurde neulich am Londoner Flughafen festgehalten. Diese Enthüllungen scheinen den Geheimdiensten sehr unangenehm zu sein, aber ist der Konsument daran auch mitschuldig? Immerhin digitalisieren wir freiwillig große Teile unseres Lebens. Sogar Autos und Herzschrittmacher sind mittlerweile digital, überwachbar und hackbar.

Kammerstetter: Na ja, in erster Linie profitieren Sie ja von diesen Technologien. Im Notfall drücken Sie heute im Auto auf einen Knopf und werden mit dem Callcenter verbunden. Dann kommt sofort Hilfe. Aber natürlich bringen diese neuen Technologien auch eine größere Verwundbarkeit gegenüber Cyberangriffen. Mit einem alten VW Käfer haben sie diese Probleme nicht, aber es gibt auch keinen Knopf, um sofort Hilfe zu rufen. Das Grundproblem ist eher, dass Hersteller aufgrund des Marktdrucks zu wenig Geld in Sicherheit investieren und unsichere Produkte in Umlauf bringen.

Welche Produkte werden in den kommenden Jahren häufiger attackiert werden?

Kammerstetter: Zum Beispiel Smartphones. Unsere Forschungsergebnisse zeigen, dass es immer mehr Angriffe auf Smartphones mit Malware, also Viren, Würmern und Spyware, gibt. Bösartige Apps sammeln etwa heimlich private Daten und ihre Betreiber verkaufen sie dann weiter.

Auch am iPhone? Es heißt ja immer, Apple wählt sehr streng aus, welche Apps darauf laufen dürfen.

Kammerstetter: Sowohl Apple wie auch Google prüfen die Apps, bevor sie in ihre Stores gelangen. Diese Prüfung ist jedoch automatisiert und lückenhaft. Dadurch gelingt es Angreifern immer wieder mal, bedenkliche Apps in die Stores zu bekommen. Etwa schleusten Forscher ein derartiges Programm bei Apple ein und wiesen damit auf eine schwere Sicherheitslücke hin.

Abseits der Geheimdienste: Welche anderen Akteure spähen uns eigentlich ohne unser Wissen aus?

Kammerstetter: Vor allem die Werbe- und Marketingindustrie. Sie zahlt viel Geld, um möglichst viel über den Kunden zu wissen. Das harmloseste Beispiel sind noch die Kundenkarten. Der Händler weiß, welche Produkte Sie gerne haben, wann Sie einkaufen, oder wie viel Geld Sie ausgeben.

Aber diese Kundenkarten legt man sich freiwillig zu. Gibt es auch Methoden der Werbeindustrie, die ohne unsere Einwilligung passieren?

Kammerstetter: Nehmen wir den Adresshandel. Hier werden Informationen über Personen gesammelt und miteinander kombiniert. Das fängt beim Telefonbuch an und reicht bis zum illegalen Kauf von gehackten Daten, die etwa aus fremden Kundendatenbanken gestohlen wurden.

Wie? Normale Firmen kaufen gehackte Daten?

Kammerstetter: Mitunter ja. Bei diesen Datensätzen verschwimmt die Grenze, was aus legalen und was aus weniger legalen Quellen stammt. Übrigens ist ganz interessant, dass auch ehemalige Geheimdiensttechnologien heute für Werbezwecke eingesetzt werden.

Was zum Beispiel?

Kammerstetter: Etwa diese ausgeklügelten Algorithmen, die personenbezogene Informationen miteinander vernetzen und auswerten. Betrachtet man, wer wem wie oft Nachrichten schickt, kann man ein detailliertes Personennetzwerk erstellen. Diese Informationen wiederum lassen sich mit Geodaten, also Ortsangaben, verknüpfen und daraus Bewegungsmuster entwickeln. All diese Informationen sammeln Firmen wie Facebook. Geht man davon aus, dass wir alle Gewohnheitstiere sind, lässt sich bis zu einem gewissen Grad sogar vorhersagen, an welchen Orten Sie sich in der Zukunft aufhalten werden.

Das klingt beunruhigend. Kann man mittlerweile vom “gehackten“ Menschen sprechen?

Kammerstetter: Nein, so weit würde ich nicht gehen. Vielen Menschen wird allerdings erst jetzt bewusst, dass man mit Technologie kreativ umgehen und vieles hacken oder Daten miteinander kombinieren kann. Das sickert langsam in ihre Köpfe ein.

Hat die Abhöraffäre zumindest einen positiven Nebeneffekt: dass vielen Menschen da jetzt langsam mulmig wird?

Kammerstetter: Auf jeden Fall. Nur wie lange hält dieser Effekt? Da bin ich skeptisch. Bei der Vorratsdatenspeicherung, die pauschal Verbindungsdaten aller Bürger aufzeichnet, haben auch alle aufgeschrien. Jetzt hört man kaum noch davon.

Können wir dann überhaupt etwas tun? Gibt es eine Möglichkeit, langfristig Datensicherheit herzustellen?

Kammerstetter: Wie schon gesagt: Ich bin davon überzeugt, was technisch möglich ist, passiert auch. Egal wie unethisch das sein mag. Deswegen wären langfristig die Technologiehersteller und die Kunden gefragt. Die Hersteller müssten in ihren Produkten von vornherein mehr in Sicherheit, Verschlüsselung und Datenschutz investieren. Und ja, die Kunden müssten das dann auch annehmen.

—————————————————–
Zur Person

Markus Kammerstetter (30) hat auf der TU Wien Computer- und Netzwerksicherheit studiert und forscht im Rahmen seines Doktorats an der Sicherheit von zukünftigen Energienetzen. Zudem ist er Geschäftsführer des IT Sicherheitsunternehmens “Trustworks“, welches Firmen Dienstleistungen wie Sicherheitsanalysen anbietet

Welche Tools empfiehlt der Experte?

“Grundsätzlich würde ich jedem zumindest eine Firewall und einen guten Virenschutz ans Herz legen. Wer seine Nachrichten verschlüsseln möchte, dem würde ich PGP für E-Mails und OTR für Instant Messenger empfehlen“

—————————————————–

Dieses Interview und die Illustration erschienen in Falter 34/13. Illu: Oliver Hofmann, hier das ganze Bild. Foto: Iseclab.

View Comments

  • Sehr geehrte, liebe Ingrid Brodnig,

    mir hat Ihr professioneller sympathisch vermittelter Beitrag im Interview mit Wolfgang Ritschl, Ö1, Kontext, außerordentlich gut gefallen. Ich werde darüber ein Posting auf sozialprojekte.com stellen und meine Kolleginnen bei bpw.at davor informieren. Und die KollegInnen im Kepler Salon Linz http://www.kepler-salon.at

    Und jetzt geh' ich Ihr Buch kaufen :-)
    Herzliche Gratulation!
    Heidemarie Penz

    • Das freut mich sehr, vielen Dank! Ich muss Sie vorwarnen: Das Buch ist erst ab kommenden Montag im Handel, aber online kann man es bereits vorbestellen. Zum Beispiel hier. Ich bin natürlich immer sehr an Feedback interessiert!

    • Sehr geehrte Frau Brodnig!

      Danke für Ihre heutige kompetente Stellungnahme in der ZIB2!

      Mit besten Grüßen
      Kurt Pecher

  • Herzlichen Dank für diesen mehr als lesenswerten Text, den ich dann auch gleich mal weiterverbreitet habe. Sie sprechen mir aus tiefstem Herz und geben genau meine Überzeugung und Gedanken wider. Ich war ebenfalls mit dem Text von Nico Lumma einer Meinung, aber mit Ihren Zeilen ... als seien es meine Gedanken. Nur, dass ich sie nicht so gut in Worte packen kann.

    Herzlichen Dank und ein schönes Wochenende wünscht Sabine

    • Super, danke für den Hinweis! Finde das eine gute Medienstrategie, das Problem öffentlich zu thematisieren und damit die Antifeministen auch bloßzustellen

  • hallo ingrid brodnig!

    ich habe aufgrund einer empfehlung ihr buch gelesen, und wollte mich auf diesem weg bei ihnen dafür bedanken. es öffnet in dieser debatte die eine oder andere türe und regt in vielen punkten zum nachdenken an.

    ich möchte auf einen punkt eingehen, der mir, nachdem ich das buch zugeklappt habe, gekommen ist, und den ich für nicht unwichtig halte, der jedoch in ihrem buch nicht berücksichtigung findet (vielleicht auch finden konnte, denn durchaus möglich, dass er den rahmen ihres buches gesprengt hätte. (und jetzt auch nicht als negative kritik zu verstehen)).

    es geht um die fehlende achtsamkeit bzw. fehlende verantwortung bzw. den fehlenden respekt gegenüber anderen AUSSERHALB der online-welt. und da spreche ich nicht nur von rassistischen, geschlechterspezifischen oder ähnlichen (miß)tönen, oder von der generellen radikalisierung der sprache, sondern auch von so einfachen situationen, wie einem fehlenden "danke sagen", wenn einem die türe aufgehalten wird. da hat sich in den letzten jahrzehnten leider vieles zum schlechten gewendet (stichwort: elbogengesellschaft oder ich-ag).

    ich denke mir, dass diese "verrohung des zueinanders" (man könnte auch von einer erneuten militarisierung der gesellschaft sprechen) eine wesentliche vorbereitung dessen ist, was - wie sie dann richtig beschreiben - zu den bösartigkeiten in der netzcommunity beiträgt bzw. einladet. in folge können diese online-enthemmungen natürlich auch wiederum in den realen alltag eingehen. ein wechselspiel in folge.

    die anonymität (das fehlen von augenkontakt, wie sie es sehr schön genannt haben) wirkt dann beinahe wie das lang gesuchte hilfsmittel, um endgültig alle schranken fallen lassen zu können.

    zu thematisieren wäre in diesem zusammenhang auch die verwendung der "smilie-ikons". ich finde, sie bringen ein wenig den "augenkontakt" zurück.

    wenn ich jetzt und hier ein pseudonym benutze - das meinem nickname im standard.at forum entspricht - so ist es meinerseits ein kleines spiel ;- )
    (ich habe im übrigen bei meinem posten festgestellt, dass es manchmal schon genügt, wenn ich ein direktes hallo und den angesprochenen usernamen bzw. eine verabschiedung (zb. mfg) schreibe, dass sich dann in folge der ton zum positiven verändert hat - eine kleinigkeit zwar, aber mit durchaus großer wirkung)

    auf jeden fall kann auch ich ihr buch sehr empfehlen ... und werde es auch tun.
    ich verbleibe mit freundlichen grüßen
    behan

  • Ganz auch meine Meinung! Könnte man "shitstorm" nicht aus der Welt schaffen und durch was anderes ersetzen? Mir graust davor.
    LG RG

  • Bei der Vorratsdatenspeicherung kann der Bürger wenigstens aufrüsten. Zum Beispiel mithilfe eines VPN Dienstes. Darum bin ich der Meinung das der Windmühlenkampf zwecklos ist. Eine technologische Aufrüstung wäre sinnvoller, besonders im Zeitalter des Informationszeitalters. Heute kauft jeder ein Auto mit Sicherheitsgurt. Aber Internet ohne VPN...

  • Danke für den Workshop und die Folien dazu.

    Als Ergänzung: "Krautreporter" will mit diesem Konzept starten:

    "Finanzieren wollen sich die Macher über eine Art Community - für 60 Euro im Jahr dürfen Leser kommentieren, zudem seien Begegnungen mit den Autoren oder Stadtführungen für die zahlenden Mitglieder denkbar. " -> http://www.spiegel.de/spiegel/vorab/krautreporter-will-portal-fuer-qualitaetsjournalismus-werden-a-968688.html

    Einerseits verringert es die angesprochene Schwelle Journalist / Leser, andererseits wird die Hürde für einen Kommentar erhöht, weil zuerst bezahlt werden muss. Eine Art von Freemium. Lesen ist gratis, mitmachen kostet.

    • Danke für den Link, bin sehr gespannt, was das Team von Krautreporter am Dienstag vorstellen wird! Denke auch, dass in allen künftigen Onlinemedien, hinter denen ein Bezahlmodell steht, der Umgang mit der Community - und zwar auf Augenhöhe - umso wichtiger wird

  • Liebe Ingrid,

    danke für die spannende Session und anschließende Diskussion - sehr interessantes, wichtiges Thema! Hier der Link zu unserem Forschungsprojekt, über das wir anschließend kurz sprachen.
    Und hier hat mein Kollege Julius Reimer darüber im EJO einen Gastbeitrag geschrieben.
    Herzliche Grüße, freue mich schon auf die Buchlektüre,
    Nele

    • Liebe Nele,

      super, danke dir für die Links! Klingt echt spannend, was ihr macht - muss ich mir gleich näher ansehen. Eventuell kann ich ja in einem der nächsten Blogeinträge darauf eingehen. Jedenfalls toll, wie die re:publica Menschen zusammenbringt, die sich mit einem Thema beschäftigen!

      Schönen Gruß,
      Ingrid

  • Vollste Zustimmung! Ich hab's nicht geschafft, in meinem Beitrag ernst zu bleiben.

    • Danke für den Hinweis - und die freundlichen Worte im Blogeintrag! Ich versuche ja, möglichst auf Häme zu verzichten, weil ich viele Bedenken der Kritiker teile. Mir behagt der Ton vielerorts auch nicht. Aber es ist halt sehr schade, dass dann prompt der Satz "weg mit der Anonymität" fällt, eine substanziellere Auseinandersetzung mit dem Thema jedoch nicht passiert. Aber vielleicht ändert sich das noch!

      • Ja, ich weiß genau, was du meinst - ich war bei dem Thema auch skeptisch. Aber es hat mich so in den Fingern gejuckt... und letztendlich hat dann dein Beitrag den Auschlag gegeben; dass ich mir sozusagen die Satire erlauben kann mit Verweis auf deinen Beitrag :-)

        Und es ist ja so typisch .at, dass der Woiferl gleich aufs Thema springt. Ich frag mich eher, warum Oe24 Startseitenartikel so wenig Likes bekommen.

        • Ich bin sehr gespannt, wie Fellner bis Juni die Seite auf Klarnamen umstellen will und wie er das genau machen möchte. Das ist verdammt wenig Zeit und führt zu etlichen technischen Fragen. Entweder heißt das ein Einloggen via Facebook oder eine Art redaktionelle Kontrolle, ob die Namen zumindest halbwegs echt klingen.

    1 13 14 15 16 17 38