So arbeiten die Überwacher – ein Interview
Achtung: E-Mails sind so leicht einsehbar wie Postkarten, und Handys werden immer öfter von böser Software ausspioniert.Markus Kammerstetter von der TU Wien erklärt, wie es um unsere Datensicherheit steht. Die Antwort lautet: nicht so toll.
Falter: Der Whistleblower Edward Snowden hält es für einen Wahnsinn, dass viele Journalisten mit ihren Informanten unverschlüsselt per E-Mail kommunizieren. Ist das wirklich so schlimm?
Markus Kammerstetter: Ja, das ist eine absolute Sicherheitslücke. Vertrauliche Informationen sollte man nie unverschlüsselt übers Netz schicken. Egal ob per E-Mail, Instant Messenger oder sonstwie. Jede Nachricht geht über eine Vielzahl von Knoten, sogenannten Routern, technisch ist es ein Kinderspiel, diese Nachrichten abzuhören, wenn man Zugriff auf diese Infrastruktur hat.
Wieso ist das denn so leicht?
Kammerstetter: Weil E-Mails eher Postkarten als verschlossene Briefe sind. Sie sind nicht verschlüsselt, sondern werden im Klartext versendet. Wenn diese Nachrichten über einen Knotenpunkt wandern, auf den etwa die Geheimdienste Zugriff haben, können sie alles mitlesen. Das Kernproblem ist, dass E-Mails ein unsicheres und leicht einsehbares Kommunikationstool sind.
Sollte also jeder Mensch seine E-Mails verschlüsseln?
Kammerstetter: Das wäre schön. Genauso schön wäre es, wenn jeder zu Hause eine Sicherheitstüre und zumindest ein ordentliches Türschloss hätte. Praktisch sieht es leider anders aus. Für diesen Mehraufwand sind sich viele zu bequem.
Kein Wunder. E-Mail-Verschlüsselung ist doch ziemlich umständlich.
Kammerstetter: Ganz so schlimm ist es nicht, es gibt relativ praktische Verschlüsselungssoftware wie PGP, kurz für Pretty Good Privacy. Das größere Hindernis ist aber, dass man nur mit Menschen verschlüsselt kommunizieren kann, die ebenfalls diese Verschlüsselungssoftware verwenden.
Genau das ist das Problem: Viele Menschen haben keine Verschlüsselungssoftware installiert. Wie handhaben Sie das selbst? Versenden Sie alle E-Mails verschlüsselt?
Kammerstetter: Ehrlich gesagt, nein. Aber wenn es um vertrauliche Information, um Zugangsdaten oder sogar um Firmengeheimnisse geht, tue ich das schon.
Viele Menschen hat überrascht, wie viel die Geheimdienste einsehen können. Hatten Sie das bereits erwartet?
Kammerstetter: Teilweise schon. Aus praktischer Erfahrung weiß ich, wie leicht man die unterschiedlichsten Kanäle abhören kann. Sobald etwas technisch möglich ist, passiert es auch, auch wenn das nicht ethisch korrekt sein mag. Das Ausmaß der Überwachung hat mich allerdings schon überrascht. Und wir wissen ja auch nicht, ob Edward Snowden noch weitere Enthüllungen in petto hat.
Derzeit fühlen sich viele Menschen irgendwie beobachtet. Ist das eine berechtigte Angst? Die NSA wird sich wohl kaum für Urlaubsfotos auf Facebook interessieren.
Kammerstetter: Sind Sie da sicher? Vielleicht sind solche Urlaubsfotos durchaus interessant. Man muss bedenken: Der Geheimdienst kombiniert die Masse der abgefangenen Informationen und wertet sie automatisiert mit Hochleistungsrechnern aus. Wo Sie Urlaub machten, wen sie dort trafen, wird womöglich mit anderen Daten kombiniert. Das ist eine Art automatisierte Rasterfahndung. Waren Sie zum falschen Zeitpunkt am falschen Ort, könnten Sie vielleicht bei der nächsten Einreise in die USA am Flughafen verhört werden. Zumindest liest man von so etwas immer wieder.
Auch der Partner von Glenn Greenwald, dem Journalisten, der die Abhöraffäre mit Snowdens Hilfe aufdeckte, wurde neulich am Londoner Flughafen festgehalten. Diese Enthüllungen scheinen den Geheimdiensten sehr unangenehm zu sein, aber ist der Konsument daran auch mitschuldig? Immerhin digitalisieren wir freiwillig große Teile unseres Lebens. Sogar Autos und Herzschrittmacher sind mittlerweile digital, überwachbar und hackbar.
Kammerstetter: Na ja, in erster Linie profitieren Sie ja von diesen Technologien. Im Notfall drücken Sie heute im Auto auf einen Knopf und werden mit dem Callcenter verbunden. Dann kommt sofort Hilfe. Aber natürlich bringen diese neuen Technologien auch eine größere Verwundbarkeit gegenüber Cyberangriffen. Mit einem alten VW Käfer haben sie diese Probleme nicht, aber es gibt auch keinen Knopf, um sofort Hilfe zu rufen. Das Grundproblem ist eher, dass Hersteller aufgrund des Marktdrucks zu wenig Geld in Sicherheit investieren und unsichere Produkte in Umlauf bringen.
Welche Produkte werden in den kommenden Jahren häufiger attackiert werden?
Kammerstetter: Zum Beispiel Smartphones. Unsere Forschungsergebnisse zeigen, dass es immer mehr Angriffe auf Smartphones mit Malware, also Viren, Würmern und Spyware, gibt. Bösartige Apps sammeln etwa heimlich private Daten und ihre Betreiber verkaufen sie dann weiter.
Auch am iPhone? Es heißt ja immer, Apple wählt sehr streng aus, welche Apps darauf laufen dürfen.
Kammerstetter: Sowohl Apple wie auch Google prüfen die Apps, bevor sie in ihre Stores gelangen. Diese Prüfung ist jedoch automatisiert und lückenhaft. Dadurch gelingt es Angreifern immer wieder mal, bedenkliche Apps in die Stores zu bekommen. Etwa schleusten Forscher ein derartiges Programm bei Apple ein und wiesen damit auf eine schwere Sicherheitslücke hin.
Abseits der Geheimdienste: Welche anderen Akteure spähen uns eigentlich ohne unser Wissen aus?
Kammerstetter: Vor allem die Werbe- und Marketingindustrie. Sie zahlt viel Geld, um möglichst viel über den Kunden zu wissen. Das harmloseste Beispiel sind noch die Kundenkarten. Der Händler weiß, welche Produkte Sie gerne haben, wann Sie einkaufen, oder wie viel Geld Sie ausgeben.
Aber diese Kundenkarten legt man sich freiwillig zu. Gibt es auch Methoden der Werbeindustrie, die ohne unsere Einwilligung passieren?
Kammerstetter: Nehmen wir den Adresshandel. Hier werden Informationen über Personen gesammelt und miteinander kombiniert. Das fängt beim Telefonbuch an und reicht bis zum illegalen Kauf von gehackten Daten, die etwa aus fremden Kundendatenbanken gestohlen wurden.
Wie? Normale Firmen kaufen gehackte Daten?
Kammerstetter: Mitunter ja. Bei diesen Datensätzen verschwimmt die Grenze, was aus legalen und was aus weniger legalen Quellen stammt. Übrigens ist ganz interessant, dass auch ehemalige Geheimdiensttechnologien heute für Werbezwecke eingesetzt werden.
Was zum Beispiel?
Kammerstetter: Etwa diese ausgeklügelten Algorithmen, die personenbezogene Informationen miteinander vernetzen und auswerten. Betrachtet man, wer wem wie oft Nachrichten schickt, kann man ein detailliertes Personennetzwerk erstellen. Diese Informationen wiederum lassen sich mit Geodaten, also Ortsangaben, verknüpfen und daraus Bewegungsmuster entwickeln. All diese Informationen sammeln Firmen wie Facebook. Geht man davon aus, dass wir alle Gewohnheitstiere sind, lässt sich bis zu einem gewissen Grad sogar vorhersagen, an welchen Orten Sie sich in der Zukunft aufhalten werden.
Das klingt beunruhigend. Kann man mittlerweile vom “gehackten“ Menschen sprechen?
Kammerstetter: Nein, so weit würde ich nicht gehen. Vielen Menschen wird allerdings erst jetzt bewusst, dass man mit Technologie kreativ umgehen und vieles hacken oder Daten miteinander kombinieren kann. Das sickert langsam in ihre Köpfe ein.
Hat die Abhöraffäre zumindest einen positiven Nebeneffekt: dass vielen Menschen da jetzt langsam mulmig wird?
Kammerstetter: Auf jeden Fall. Nur wie lange hält dieser Effekt? Da bin ich skeptisch. Bei der Vorratsdatenspeicherung, die pauschal Verbindungsdaten aller Bürger aufzeichnet, haben auch alle aufgeschrien. Jetzt hört man kaum noch davon.
Können wir dann überhaupt etwas tun? Gibt es eine Möglichkeit, langfristig Datensicherheit herzustellen?
Kammerstetter: Wie schon gesagt: Ich bin davon überzeugt, was technisch möglich ist, passiert auch. Egal wie unethisch das sein mag. Deswegen wären langfristig die Technologiehersteller und die Kunden gefragt. Die Hersteller müssten in ihren Produkten von vornherein mehr in Sicherheit, Verschlüsselung und Datenschutz investieren. Und ja, die Kunden müssten das dann auch annehmen.
Markus Kammerstetter (30) hat auf der TU Wien Computer- und Netzwerksicherheit studiert und forscht im Rahmen seines Doktorats an der Sicherheit von zukünftigen Energienetzen. Zudem ist er Geschäftsführer des IT Sicherheitsunternehmens “Trustworks“, welches Firmen Dienstleistungen wie Sicherheitsanalysen anbietet
Welche Tools empfiehlt der Experte?
“Grundsätzlich würde ich jedem zumindest eine Firewall und einen guten Virenschutz ans Herz legen. Wer seine Nachrichten verschlüsseln möchte, dem würde ich PGP für E-Mails und OTR für Instant Messenger empfehlen“
—————————————————–
Dieses Interview und die Illustration erschienen in Falter 34/13. Illu: Oliver Hofmann, hier das ganze Bild. Foto: Iseclab.
View Comments
zur erweiterten Gefahrenerforschung: Wie kommen denn Ermittler dazu dass eine Person potentiell Terrorist werden koennte? Naemlich ohne diese Person (noch frühzeitiger) zu ueberwachen.
Vielleicht weil diese Person etwas mit einer Person zu tun hat die was mit einer Person zu tun hat die was mit einer Person zu tun hat die was mit einer Person zu tun hat die was mit einer Person zu tun hat die was mit einer Person zu tun hat die ein Terrorist ist. Das waer dann wohl so ziemlich jeder.
Die links-grünen Eliten planen die Vernichtung der eingesessenen europäischen Volker durch Masseneinwanderung von Nichteuropäern, insbesondere von Muslimen, weil sie diese brauchen, um die bürgerlich-christlich geprägten Gesellschaften radikal nach utopischen Vorstellungen umzukrempeln (Antonio Gramsci hat das alles schon vor 80, 90 Jahren durchdacht) und wundern sich dann, dass es Widerstand gegen die eigene Vernichtung gibt.
Europa soll zu einem bunten Völkergemisch werden, in dem sich letztlich der Islam durchsetzen wird, während alle nicht-westlichen Gesellschaften weiterhin ihre eigenen nationalen Gesellschaften behalten und da wundert sich die Elfenbeinturmbewohner, dass die völlig durchgeknallte Selbstvernichtung nicht von allen begeistert aufgenommen wird...
Die etablierten geistigen "Eliten" in Europa haben jede Orientierung und führen die westliche Welt in den Untergang....
Was Breivik getan hat, ist moralisch nicht zu rechtfertigen, nachvollziehbar als Verzweiflungstat ist es meines Erachtens dennoch. In 10, 20 oder 30 Jahren, wenn der Bürgerkrieg um die Herrschaft in Europa tobt zwischen den muslimischen Einwanderern und den Eingesessenen, wird man das verhalten von Breivik in weiten Bevölkerungskreisen verstehen, da bin ich mir sicher!
dieses beispiel zeigt deutlich, wie weit weg von der realität die entwicklerInnen solcher kampagnen sind...
Das spricht mir aus der Seele! Komplett inhaltsleer, keine tiefergehenden Informationen oder Erklärungen für die Bürger, kein Dialog, .... das Ganze ist völlig sinnlos. Was insbesondere deswegen schade ist; da es eine gute Gelegenheit gewesen wäre an Politik desinteressierte Menschen, insbesondere Junge, zurückzugewinnen. Darum tut es mir mehr leid, als um die 200.000 Euro, denn es wird noch viel mehr bei uns verschwendet.
Unbedingt richtig!
Hier noch meine Gedanken zum Thema: http://inartissojo.com/blog/2011/11/04/werner-faymann-und-das-internet/
Kein Politiker, der nicht von sich aus in den neuen Medien präsent sein will, sollte sich da präsentieren. Man kann einfach nicht glaubwürdig rüberkommen.
Man muss ja nicht mal schummeln am FB-Profil. Man veröffentlicht einfach nur die richtig netten Sachen, Gelegenheiten, Fotos und Momente für alle Freunde. Man schränkt die persönlichen Postings auf den "inneren" Freundeskreis ein. Dann sieht der alte Bekannte halt nur einen Ausschnitt aus dem Leben. Aber genauso kann man auch seine Erzählungen & Darstellungen während eines Abends in großer Runde einschränken (solang keine Leute dabei sind, die Genaueres wissen und dies auch kundtun). Same same.
Aber sicher spannend, das Treffen. Fix Oida!
#OPEN und #PIPA blieb leider unerwähnt.
zu: ACTA und VDS sind Chiffren für ein unsauberes Demokratieverständnis. Da werden in geheimen Verhandlungen Dokumente erstellt, und wenn der fertige Entwurf an die Öffentlichkeit dringt, ist es für eine echte Debatte längst zu spät. Diese Geheimniskrämerei auf supranationaler Ebene ist ein guter Trick, um umstrittene Gesetze ohne große Diskussion auf Schiene zu bringen.
Hinweis:
Ross und Reiter werden von Ihnen hier laufend anonymisiert: Welche Personen meinen Sie genau, die "im geheimen Dokumente erstellen" Wessen "Geheimniskrämerei"?? Wie heißen, die Österreicher, die hier aktiv waren / sind? Wenn Sie diese "Geheimniskramerei" selbst eliminieren würden, wären Roß und Reiter konkret benannt. (Ein "Ministerium" kann ja nicht schreiben, verhandeln, etc. --- nur Personen.)
Ich finde, Sie nehmen (wie sehr viele Journalisten, inkl. Mr. Wolf vom ORF) die Sache immer noch zu leicht.
Durch privat bzw. allgemein erhältliche Software fische ich (mit fast 98% Genauigkeit) aus facebook die ÖVP- oder SPÖ-Wähler heraus; womit das Wahlgeheimnis zu 98% futsch ist. (wird normalerweise "demokratieschädlich" genannt)
Bei den $cientologen wurde deren Grundsatz "von jedem eine Akte anlegen" (im $c.Jargon: Ethik-Akte) von Leuten wie Ihnen heftig bekämpft, weil totalitär. Nun haben Sie das, was früher "totalitär" genannt wurde: eine Akte von jedem, die Privates und Intimes enthält.
Danke U$-Konzerne und U$-Regierung, v.a. Bush-Regierung für die exorbitante
- politische Spionage
- Wirtschaftspionage
- militärische Spionage
Denn: heute ist Information viel, viel wichtiger als "Geld"; Information regiert die Welt.
lg
In D hat ein Blogger nach seinem Urlaub festgestellt, dass etliche seiner Texte im web gefehlt haben. Das hat den gewaltig überrascht, sodass er gleich nachforschte.
Der Provider hat ihm die Blog-Beiträge herausgelöscht!! Und zwar deswegen, weil ein Rechtsanwalt dem Provider eine einstweilige Verfügung eines kleinen BRD-Gerichtes gemailt hat, mit der Aufforderung, zwei dutzend Texte zu entfernen. Das hat der Provider gemacht, um nicht als "Störer" (ist in der BRD so) vom RA belangt zu werden.
Das heißt: lange bevor der Blogger davon erfahren hat (vom Rechtsanwalt und des Gerichtsbeschlusses) waren seine Texte vom web entfernt.
Die einstweilige Verfügung wird OHNE Anhören der Blogger beschlossen; nach der Anhörung des Bloggers wurde der Beschluß aufgehoben; das Entfernen der Texte war rechtswidrig, weil der Gerichtsbeschluß aufgehoben werden mußte.
Also: wenn von Ihnen im web zwei dutzend Beiträge fehlen und sie nicht wissen warum, dann wissen Sie, wo das Problem bei #ACTA liegt. http://is.gd/ED43eX
Das Problem ist, dass sechs Konzerne (Sony, MGM, Universal, ...) mehr Macht haben, als die gesamte EU und ihre Politiker.
lg