X

So arbeiten die Überwacher – ein Interview

Achtung: E-Mails sind so leicht einsehbar wie Postkarten, und Handys werden immer öfter von böser Software ausspioniert.Markus Kammerstetter von der TU Wien erklärt, wie es um unsere Datensicherheit steht. Die Antwort lautet: nicht so toll.

Falter: Der Whistleblower Edward Snowden hält es für einen Wahnsinn, dass viele Journalisten mit ihren Informanten unverschlüsselt per E-Mail kommunizieren. Ist das wirklich so schlimm?

Markus Kammerstetter: Ja, das ist eine absolute Sicherheitslücke. Vertrauliche Informationen sollte man nie unverschlüsselt übers Netz schicken. Egal ob per E-Mail, Instant Messenger oder sonstwie. Jede Nachricht geht über eine Vielzahl von Knoten, sogenannten Routern, technisch ist es ein Kinderspiel, diese Nachrichten abzuhören, wenn man Zugriff auf diese Infrastruktur hat.

Wieso ist das denn so leicht?

Kammerstetter: Weil E-Mails eher Postkarten als verschlossene Briefe sind. Sie sind nicht verschlüsselt, sondern werden im Klartext versendet. Wenn diese Nachrichten über einen Knotenpunkt wandern, auf den etwa die Geheimdienste Zugriff haben, können sie alles mitlesen. Das Kernproblem ist, dass E-Mails ein unsicheres und leicht einsehbares Kommunikationstool sind.

Sollte also jeder Mensch seine E-Mails verschlüsseln?

Kammerstetter: Das wäre schön. Genauso schön wäre es, wenn jeder zu Hause eine Sicherheitstüre und zumindest ein ordentliches Türschloss hätte. Praktisch sieht es leider anders aus. Für diesen Mehraufwand sind sich viele zu bequem.

Kein Wunder. E-Mail-Verschlüsselung ist doch ziemlich umständlich.

Kammerstetter: Ganz so schlimm ist es nicht, es gibt relativ praktische Verschlüsselungssoftware wie PGP, kurz für Pretty Good Privacy. Das größere Hindernis ist aber, dass man nur mit Menschen verschlüsselt kommunizieren kann, die ebenfalls diese Verschlüsselungssoftware verwenden.

Genau das ist das Problem: Viele Menschen haben keine Verschlüsselungssoftware installiert. Wie handhaben Sie das selbst? Versenden Sie alle E-Mails verschlüsselt?

Kammerstetter: Ehrlich gesagt, nein. Aber wenn es um vertrauliche Information, um Zugangsdaten oder sogar um Firmengeheimnisse geht, tue ich das schon.

Viele Menschen hat überrascht, wie viel die Geheimdienste einsehen können. Hatten Sie das bereits erwartet?

Kammerstetter: Teilweise schon. Aus praktischer Erfahrung weiß ich, wie leicht man die unterschiedlichsten Kanäle abhören kann. Sobald etwas technisch möglich ist, passiert es auch, auch wenn das nicht ethisch korrekt sein mag. Das Ausmaß der Überwachung hat mich allerdings schon überrascht. Und wir wissen ja auch nicht, ob Edward Snowden noch weitere Enthüllungen in petto hat.

Derzeit fühlen sich viele Menschen irgendwie beobachtet. Ist das eine berechtigte Angst? Die NSA wird sich wohl kaum für Urlaubsfotos auf Facebook interessieren.

Kammerstetter: Sind Sie da sicher? Vielleicht sind solche Urlaubsfotos durchaus interessant. Man muss bedenken: Der Geheimdienst kombiniert die Masse der abgefangenen Informationen und wertet sie automatisiert mit Hochleistungsrechnern aus. Wo Sie Urlaub machten, wen sie dort trafen, wird womöglich mit anderen Daten kombiniert. Das ist eine Art automatisierte Rasterfahndung. Waren Sie zum falschen Zeitpunkt am falschen Ort, könnten Sie vielleicht bei der nächsten Einreise in die USA am Flughafen verhört werden. Zumindest liest man von so etwas immer wieder.

Auch der Partner von Glenn Greenwald, dem Journalisten, der die Abhöraffäre mit Snowdens Hilfe aufdeckte, wurde neulich am Londoner Flughafen festgehalten. Diese Enthüllungen scheinen den Geheimdiensten sehr unangenehm zu sein, aber ist der Konsument daran auch mitschuldig? Immerhin digitalisieren wir freiwillig große Teile unseres Lebens. Sogar Autos und Herzschrittmacher sind mittlerweile digital, überwachbar und hackbar.

Kammerstetter: Na ja, in erster Linie profitieren Sie ja von diesen Technologien. Im Notfall drücken Sie heute im Auto auf einen Knopf und werden mit dem Callcenter verbunden. Dann kommt sofort Hilfe. Aber natürlich bringen diese neuen Technologien auch eine größere Verwundbarkeit gegenüber Cyberangriffen. Mit einem alten VW Käfer haben sie diese Probleme nicht, aber es gibt auch keinen Knopf, um sofort Hilfe zu rufen. Das Grundproblem ist eher, dass Hersteller aufgrund des Marktdrucks zu wenig Geld in Sicherheit investieren und unsichere Produkte in Umlauf bringen.

Welche Produkte werden in den kommenden Jahren häufiger attackiert werden?

Kammerstetter: Zum Beispiel Smartphones. Unsere Forschungsergebnisse zeigen, dass es immer mehr Angriffe auf Smartphones mit Malware, also Viren, Würmern und Spyware, gibt. Bösartige Apps sammeln etwa heimlich private Daten und ihre Betreiber verkaufen sie dann weiter.

Auch am iPhone? Es heißt ja immer, Apple wählt sehr streng aus, welche Apps darauf laufen dürfen.

Kammerstetter: Sowohl Apple wie auch Google prüfen die Apps, bevor sie in ihre Stores gelangen. Diese Prüfung ist jedoch automatisiert und lückenhaft. Dadurch gelingt es Angreifern immer wieder mal, bedenkliche Apps in die Stores zu bekommen. Etwa schleusten Forscher ein derartiges Programm bei Apple ein und wiesen damit auf eine schwere Sicherheitslücke hin.

Abseits der Geheimdienste: Welche anderen Akteure spähen uns eigentlich ohne unser Wissen aus?

Kammerstetter: Vor allem die Werbe- und Marketingindustrie. Sie zahlt viel Geld, um möglichst viel über den Kunden zu wissen. Das harmloseste Beispiel sind noch die Kundenkarten. Der Händler weiß, welche Produkte Sie gerne haben, wann Sie einkaufen, oder wie viel Geld Sie ausgeben.

Aber diese Kundenkarten legt man sich freiwillig zu. Gibt es auch Methoden der Werbeindustrie, die ohne unsere Einwilligung passieren?

Kammerstetter: Nehmen wir den Adresshandel. Hier werden Informationen über Personen gesammelt und miteinander kombiniert. Das fängt beim Telefonbuch an und reicht bis zum illegalen Kauf von gehackten Daten, die etwa aus fremden Kundendatenbanken gestohlen wurden.

Wie? Normale Firmen kaufen gehackte Daten?

Kammerstetter: Mitunter ja. Bei diesen Datensätzen verschwimmt die Grenze, was aus legalen und was aus weniger legalen Quellen stammt. Übrigens ist ganz interessant, dass auch ehemalige Geheimdiensttechnologien heute für Werbezwecke eingesetzt werden.

Was zum Beispiel?

Kammerstetter: Etwa diese ausgeklügelten Algorithmen, die personenbezogene Informationen miteinander vernetzen und auswerten. Betrachtet man, wer wem wie oft Nachrichten schickt, kann man ein detailliertes Personennetzwerk erstellen. Diese Informationen wiederum lassen sich mit Geodaten, also Ortsangaben, verknüpfen und daraus Bewegungsmuster entwickeln. All diese Informationen sammeln Firmen wie Facebook. Geht man davon aus, dass wir alle Gewohnheitstiere sind, lässt sich bis zu einem gewissen Grad sogar vorhersagen, an welchen Orten Sie sich in der Zukunft aufhalten werden.

Das klingt beunruhigend. Kann man mittlerweile vom “gehackten“ Menschen sprechen?

Kammerstetter: Nein, so weit würde ich nicht gehen. Vielen Menschen wird allerdings erst jetzt bewusst, dass man mit Technologie kreativ umgehen und vieles hacken oder Daten miteinander kombinieren kann. Das sickert langsam in ihre Köpfe ein.

Hat die Abhöraffäre zumindest einen positiven Nebeneffekt: dass vielen Menschen da jetzt langsam mulmig wird?

Kammerstetter: Auf jeden Fall. Nur wie lange hält dieser Effekt? Da bin ich skeptisch. Bei der Vorratsdatenspeicherung, die pauschal Verbindungsdaten aller Bürger aufzeichnet, haben auch alle aufgeschrien. Jetzt hört man kaum noch davon.

Können wir dann überhaupt etwas tun? Gibt es eine Möglichkeit, langfristig Datensicherheit herzustellen?

Kammerstetter: Wie schon gesagt: Ich bin davon überzeugt, was technisch möglich ist, passiert auch. Egal wie unethisch das sein mag. Deswegen wären langfristig die Technologiehersteller und die Kunden gefragt. Die Hersteller müssten in ihren Produkten von vornherein mehr in Sicherheit, Verschlüsselung und Datenschutz investieren. Und ja, die Kunden müssten das dann auch annehmen.

—————————————————–
Zur Person

Markus Kammerstetter (30) hat auf der TU Wien Computer- und Netzwerksicherheit studiert und forscht im Rahmen seines Doktorats an der Sicherheit von zukünftigen Energienetzen. Zudem ist er Geschäftsführer des IT Sicherheitsunternehmens “Trustworks“, welches Firmen Dienstleistungen wie Sicherheitsanalysen anbietet

Welche Tools empfiehlt der Experte?

“Grundsätzlich würde ich jedem zumindest eine Firewall und einen guten Virenschutz ans Herz legen. Wer seine Nachrichten verschlüsseln möchte, dem würde ich PGP für E-Mails und OTR für Instant Messenger empfehlen“

—————————————————–

Dieses Interview und die Illustration erschienen in Falter 34/13. Illu: Oliver Hofmann, hier das ganze Bild. Foto: Iseclab.

View Comments

  • Hallo,
    werden Kommentare mit Links nicht angenommen? Ich hätte da noch einen Knaller.

    Gruss G.

  • Man muss anscheinend ohne links auskommen. Aber ich habe auch noch etliche Beispiele, wo sich auch noch so mancher selbst zuerst einmal an die Nase fassen sollte, bevor er die schräge Argumentation von anderen kritisiert. So argumentieren z.B. etliche Politiker damit, dass die Klimakrise einfach nur durch freiwilligen Verzicht in den Griff zu bekommen wäre, weil das ja beim Ozonproblem angeblich auch ganz ohne Verbote funktioniert hat. In Wirklichkeit trat am 1. August 1991 trat in Deutschland eine Verordnung zum Verbot von bestimmten die Ozonschicht abbauenden Stoffen in Kraft. Und noch ein aktuelles Beispiel. Aktuell wird in Deutschland von einigen Politikern andauernd behauptet, dass OP-Masken hinsichtlich Eigenschutz vollkommen wirkungslos wären und dass der Normalbürger die ja sowieso unmöglich richtig anlegen könne. In Wirklichkeit sind die aber nur halt nicht in ausreichender Anzahl verfügbar. Das Problem ist von selbigen hausgemacht. Es ist ja verständlich, dass die knappen Masken dann dem Klinik-/Pflegepersonal vorbehalten sein müssen. Ich glaube aber nicht, dass die Verbreitung von solchen Falschmeldungen da weiterhilft. Es bestärkt lediglich die Leute, die oft mit den eigenen „Fake-News“ ja auch nur die Welt verbessern wollen. Es gibt zu dem Thema noch etliche weitere Beispiele.

  • Vielleicht noch eine herrliche Blüte, die man auch der Nachwelt nicht vorenthalten sollte.
    Frank Ulrich Montgomery bei Maybrit Illner spezial am 17. März 2020 zur einfachen Mundschutz-Maske: „Schützt nicht. … und dass die Asiaten die tragen, das hat etwas mit deren Schönheitsideal zu tun ...“
    Bei vielen asiatischen Frauen gilt helle Haut tatsächlich als Schönheitsideal. Aber einmal abgesehen davon, dass die Männer dort genau so häufig Masken tragen wie die Frauen, dürfte ein aufgehelltes Rechteck im Gesicht auch bei asiatischen Frauen nicht unbedingt als Schönheitsmerkmal gelten. Die Asiaten haben wohl eher aus der Erfahrung heraus gelernt. Nach dem Vogelgrippe-Ausbruch 2006, hat die Stadtverwaltung in Hongkong an etliche Haushalte Masken verteilt. Die Aktion hat anscheinend erfolgreich gegen die Verbreitung der Viren gewirkt. Die WHO hat offensichtlich auch daraus gelernt. Drei Jahre später hat dann auch die WHO das Tragen von Masken als Prophylaxe gegen eine H1N1-Infektion in belebten öffentlichen Räumen ganz offiziell empfohlen und auch beschrieben wie die Masken anzuwenden sind (Advice on the use of masks1 in the community setting in Influenza A (H1N1) outbreaks 1 May 2009 ).

  • Hätte mich ja gewundert, wenn in den üblichen Kreisen die Kriese nicht für die Vermarktung von MMS genutzt würde. Das Video mit dem Titel "Endlich wissenschaftlich erklärt - Warum ClO2 gegen Covid 19 hilft" ist alleine schon deshalb sehenswert, weil der Vortragende mit jeder Menge wissenschaftlich anmutender Fachausdrücke herumwirft, die oft noch nicht einmal selbst richtig aussprechen kann. Ich kann mir alleine von daher schon nicht vorstellen, dass der weiß, was er da redet. Ich kenne den Kanal ganz gut, weil er seit geraumer Zeit altes Videomaterial mit neuerem Material vermischt und dann unter die Leute bringt. Gespickt mit Halbwahrheiten zum Implizieren von Falschinformationen. Längst widerlegtes wird einfach neu verpackt unter die Leute gebracht. Verweise auf längst gelaufene entsprechende Untersuchungen dazu werden zensiert. Dazu gibt es gut dokumentierte Fälle. Es gibt auch noch einen gut dokumentierten Fall, wo die Kanalbetreiber zwei fachlich zu kompetente Kommentatoren, eine anstehende Sperrung angekündigt hat bevor die dann vollzogen wurde. Sollte wohl der Abschreckung dienen.
    Über den Blog der Kanalbetreiber wird übrigens auch die am Adalbert Stifter Gymnasium verfasste vorwissenschaftliche Arbeit, “Freie Energie Eine unbekannte Quelle” vermarktet. Wer das abschreckend Beispiel lesen will, der findet die Arbeit aber auch als pdf im Netz.

  • Unter dem Video ist jetzt der folgende Eintrag zu finden:
    COVID-19
    Aktuelle, wissenschaftliche Informationen finden Sie bei der Bundeszentrale für gesundheitliche Aufklärung.

    Das dürfte jetzt so manchem Zuschauer implizieren, dass das Video von der Bundeszentrale für gesundheitliche Aufklärung stammt und unter dem zugehörigen Link ergänzende Infos zu finden sind. Über die Unwirksamkeit von MMS ist dort nichts zu finden. Ich verstehe nicht, warum man solche Videos nicht einfach sperrt. Beim Sperren von Posts von Aufklärern tut sich YT deutlich leichter, offensichtlich weil die die Klickrate bremsen. Auch darüber gibt es dokumentierte Fälle.

  • Warum nicht gleich so:
    Dieses Video wurde entfernt, weil es gegen die Community-Richtlinien von YouTube verstößt.

    Inzwischen ist ganz weg. Jedenfalls an der Stelle.

  • Dezeit wird mal wieder haarsträubendes an Verschwörungstheorien und Falschmeldungen verbreitet.

    Wolfgang Kubicki bezweifelt anscheinend, dass das Robert-Koch-Institut bei der Reproduktionsrate mit offenen Karten spielt. Wenn er das ernst meinen würde, dann hätte er längst selbst nachgerechnet oder wenigstens nachrechnen lassen. Die erforderlichen Daten sind alle über gleich mehrere Quellen frei verfügbar.

    Christian Lindner versucht offensichtlich mit Halbwahrheiten Falschmeldungen zu implizieren.
    30. April 2020 Christian Lindner bei Maybrit Illner 35:45. Wenn man den Medien glauben kann hat H. Drosten gestern gesagt:“Kinder sind so infektiös wie Erwachsene und heute sagt er, nur ein drittel so gefährlich wie unlängst berichtet worden ist. Also zwei gegenteilige Aussagen innerhalb von 24 Stunden“.
    Er bezieht sich da offensichtlich auf den am Nachmittag des gleichen Tages veröffentlichten Prodcast vom NDR.
    30. April 2020 Podcast 37 H.Drosten zu einer ganz aktuellen Untersuchung von seinem Team: “Wir können in Kindergruppen nicht nachweisen, dass die unterschiedliche Viruskonzentrationen in den Atemwegen haben, gegenüber Erwachsenen. .. Es gibt keine nachweisbaren Unterschiede in der Viruslast .. Es könnte gut sein, dass die genau so infektiös sind wie Erwachsene.“. Also genau das Gegenteil von dem, was H. Lindner zu verbreiten versucht. Das angesprochene Drittel bezieht sich auf eine Empfänglichkeit die man über Kontaktbereinigungen aus anderen Untersuchungen herleiten kann. Stark vereinfacht ausgedrückt ist das Risiko einer eingehenden Infektion dort bei Kindern ein Drittel und bei Älteren 1.5 mal so hoch wie bei Erwachsenen. Das sagt aber nichts darüber aus, wie ansteckend die verschiedenen Gruppen sind.

    Erschreckend ist, dass jetzt offensichtlich einige Politiker mit ziemlich fragwürdigen Methoden versuchen die Naturwissenschaftler zu spalten. Die waren sich aber praktisch immer in allen wesentlichen Punkten einig.

  • Achtung, zwischen den Punkten Anzahl registrierter User und Umsatz ist ein und, kein oder.

    • Zuerst: Danke für den Hinweis! Ich habe das ursprünglich auch so gelesen, aber mir wurde erklärt, dass diese Formulierung im Gesetz sinngemäß wie ein "oder" zu lesen ist, weil nicht aufgezählt wird, wer inkludiert ist, sondern weil aufgezählt wird, wer exkludiert ist. Und diese Formulierung wirkt sich nach dieser Auskunft so aus, dass man erfasst ist, wenn man nur einen der Punkte erfüllt. Das Ganze ist jedenfalls sehr kompliziert formuliert, weil nicht aufgelistet wird, wer inkludiert ist, sondern in welcher Konstruktion man exkludiert ist.

  • Im Großen und Ganzen ist bekannt, was kommen soll: Das „Upskirting“-Verbot etwa, also das Verbot, mit oder ohne Kleidung bedeckte Geschlechtsteile heimlich zu fotografieren oder diese Aufnahmen zu verbreiten, was eben jener Fußballtrainer tat. Oder dass Kommunikationsplattformen künftig einen Ansprechpartner im Land haben und Transparenzberichte abliefern müssen.

  • 1 28 29 30 31 32 37