X

So arbeiten die Überwacher – ein Interview

Achtung: E-Mails sind so leicht einsehbar wie Postkarten, und Handys werden immer öfter von böser Software ausspioniert.Markus Kammerstetter von der TU Wien erklärt, wie es um unsere Datensicherheit steht. Die Antwort lautet: nicht so toll.

Falter: Der Whistleblower Edward Snowden hält es für einen Wahnsinn, dass viele Journalisten mit ihren Informanten unverschlüsselt per E-Mail kommunizieren. Ist das wirklich so schlimm?

Markus Kammerstetter: Ja, das ist eine absolute Sicherheitslücke. Vertrauliche Informationen sollte man nie unverschlüsselt übers Netz schicken. Egal ob per E-Mail, Instant Messenger oder sonstwie. Jede Nachricht geht über eine Vielzahl von Knoten, sogenannten Routern, technisch ist es ein Kinderspiel, diese Nachrichten abzuhören, wenn man Zugriff auf diese Infrastruktur hat.

Wieso ist das denn so leicht?

Kammerstetter: Weil E-Mails eher Postkarten als verschlossene Briefe sind. Sie sind nicht verschlüsselt, sondern werden im Klartext versendet. Wenn diese Nachrichten über einen Knotenpunkt wandern, auf den etwa die Geheimdienste Zugriff haben, können sie alles mitlesen. Das Kernproblem ist, dass E-Mails ein unsicheres und leicht einsehbares Kommunikationstool sind.

Sollte also jeder Mensch seine E-Mails verschlüsseln?

Kammerstetter: Das wäre schön. Genauso schön wäre es, wenn jeder zu Hause eine Sicherheitstüre und zumindest ein ordentliches Türschloss hätte. Praktisch sieht es leider anders aus. Für diesen Mehraufwand sind sich viele zu bequem.

Kein Wunder. E-Mail-Verschlüsselung ist doch ziemlich umständlich.

Kammerstetter: Ganz so schlimm ist es nicht, es gibt relativ praktische Verschlüsselungssoftware wie PGP, kurz für Pretty Good Privacy. Das größere Hindernis ist aber, dass man nur mit Menschen verschlüsselt kommunizieren kann, die ebenfalls diese Verschlüsselungssoftware verwenden.

Genau das ist das Problem: Viele Menschen haben keine Verschlüsselungssoftware installiert. Wie handhaben Sie das selbst? Versenden Sie alle E-Mails verschlüsselt?

Kammerstetter: Ehrlich gesagt, nein. Aber wenn es um vertrauliche Information, um Zugangsdaten oder sogar um Firmengeheimnisse geht, tue ich das schon.

Viele Menschen hat überrascht, wie viel die Geheimdienste einsehen können. Hatten Sie das bereits erwartet?

Kammerstetter: Teilweise schon. Aus praktischer Erfahrung weiß ich, wie leicht man die unterschiedlichsten Kanäle abhören kann. Sobald etwas technisch möglich ist, passiert es auch, auch wenn das nicht ethisch korrekt sein mag. Das Ausmaß der Überwachung hat mich allerdings schon überrascht. Und wir wissen ja auch nicht, ob Edward Snowden noch weitere Enthüllungen in petto hat.

Derzeit fühlen sich viele Menschen irgendwie beobachtet. Ist das eine berechtigte Angst? Die NSA wird sich wohl kaum für Urlaubsfotos auf Facebook interessieren.

Kammerstetter: Sind Sie da sicher? Vielleicht sind solche Urlaubsfotos durchaus interessant. Man muss bedenken: Der Geheimdienst kombiniert die Masse der abgefangenen Informationen und wertet sie automatisiert mit Hochleistungsrechnern aus. Wo Sie Urlaub machten, wen sie dort trafen, wird womöglich mit anderen Daten kombiniert. Das ist eine Art automatisierte Rasterfahndung. Waren Sie zum falschen Zeitpunkt am falschen Ort, könnten Sie vielleicht bei der nächsten Einreise in die USA am Flughafen verhört werden. Zumindest liest man von so etwas immer wieder.

Auch der Partner von Glenn Greenwald, dem Journalisten, der die Abhöraffäre mit Snowdens Hilfe aufdeckte, wurde neulich am Londoner Flughafen festgehalten. Diese Enthüllungen scheinen den Geheimdiensten sehr unangenehm zu sein, aber ist der Konsument daran auch mitschuldig? Immerhin digitalisieren wir freiwillig große Teile unseres Lebens. Sogar Autos und Herzschrittmacher sind mittlerweile digital, überwachbar und hackbar.

Kammerstetter: Na ja, in erster Linie profitieren Sie ja von diesen Technologien. Im Notfall drücken Sie heute im Auto auf einen Knopf und werden mit dem Callcenter verbunden. Dann kommt sofort Hilfe. Aber natürlich bringen diese neuen Technologien auch eine größere Verwundbarkeit gegenüber Cyberangriffen. Mit einem alten VW Käfer haben sie diese Probleme nicht, aber es gibt auch keinen Knopf, um sofort Hilfe zu rufen. Das Grundproblem ist eher, dass Hersteller aufgrund des Marktdrucks zu wenig Geld in Sicherheit investieren und unsichere Produkte in Umlauf bringen.

Welche Produkte werden in den kommenden Jahren häufiger attackiert werden?

Kammerstetter: Zum Beispiel Smartphones. Unsere Forschungsergebnisse zeigen, dass es immer mehr Angriffe auf Smartphones mit Malware, also Viren, Würmern und Spyware, gibt. Bösartige Apps sammeln etwa heimlich private Daten und ihre Betreiber verkaufen sie dann weiter.

Auch am iPhone? Es heißt ja immer, Apple wählt sehr streng aus, welche Apps darauf laufen dürfen.

Kammerstetter: Sowohl Apple wie auch Google prüfen die Apps, bevor sie in ihre Stores gelangen. Diese Prüfung ist jedoch automatisiert und lückenhaft. Dadurch gelingt es Angreifern immer wieder mal, bedenkliche Apps in die Stores zu bekommen. Etwa schleusten Forscher ein derartiges Programm bei Apple ein und wiesen damit auf eine schwere Sicherheitslücke hin.

Abseits der Geheimdienste: Welche anderen Akteure spähen uns eigentlich ohne unser Wissen aus?

Kammerstetter: Vor allem die Werbe- und Marketingindustrie. Sie zahlt viel Geld, um möglichst viel über den Kunden zu wissen. Das harmloseste Beispiel sind noch die Kundenkarten. Der Händler weiß, welche Produkte Sie gerne haben, wann Sie einkaufen, oder wie viel Geld Sie ausgeben.

Aber diese Kundenkarten legt man sich freiwillig zu. Gibt es auch Methoden der Werbeindustrie, die ohne unsere Einwilligung passieren?

Kammerstetter: Nehmen wir den Adresshandel. Hier werden Informationen über Personen gesammelt und miteinander kombiniert. Das fängt beim Telefonbuch an und reicht bis zum illegalen Kauf von gehackten Daten, die etwa aus fremden Kundendatenbanken gestohlen wurden.

Wie? Normale Firmen kaufen gehackte Daten?

Kammerstetter: Mitunter ja. Bei diesen Datensätzen verschwimmt die Grenze, was aus legalen und was aus weniger legalen Quellen stammt. Übrigens ist ganz interessant, dass auch ehemalige Geheimdiensttechnologien heute für Werbezwecke eingesetzt werden.

Was zum Beispiel?

Kammerstetter: Etwa diese ausgeklügelten Algorithmen, die personenbezogene Informationen miteinander vernetzen und auswerten. Betrachtet man, wer wem wie oft Nachrichten schickt, kann man ein detailliertes Personennetzwerk erstellen. Diese Informationen wiederum lassen sich mit Geodaten, also Ortsangaben, verknüpfen und daraus Bewegungsmuster entwickeln. All diese Informationen sammeln Firmen wie Facebook. Geht man davon aus, dass wir alle Gewohnheitstiere sind, lässt sich bis zu einem gewissen Grad sogar vorhersagen, an welchen Orten Sie sich in der Zukunft aufhalten werden.

Das klingt beunruhigend. Kann man mittlerweile vom “gehackten“ Menschen sprechen?

Kammerstetter: Nein, so weit würde ich nicht gehen. Vielen Menschen wird allerdings erst jetzt bewusst, dass man mit Technologie kreativ umgehen und vieles hacken oder Daten miteinander kombinieren kann. Das sickert langsam in ihre Köpfe ein.

Hat die Abhöraffäre zumindest einen positiven Nebeneffekt: dass vielen Menschen da jetzt langsam mulmig wird?

Kammerstetter: Auf jeden Fall. Nur wie lange hält dieser Effekt? Da bin ich skeptisch. Bei der Vorratsdatenspeicherung, die pauschal Verbindungsdaten aller Bürger aufzeichnet, haben auch alle aufgeschrien. Jetzt hört man kaum noch davon.

Können wir dann überhaupt etwas tun? Gibt es eine Möglichkeit, langfristig Datensicherheit herzustellen?

Kammerstetter: Wie schon gesagt: Ich bin davon überzeugt, was technisch möglich ist, passiert auch. Egal wie unethisch das sein mag. Deswegen wären langfristig die Technologiehersteller und die Kunden gefragt. Die Hersteller müssten in ihren Produkten von vornherein mehr in Sicherheit, Verschlüsselung und Datenschutz investieren. Und ja, die Kunden müssten das dann auch annehmen.

—————————————————–
Zur Person

Markus Kammerstetter (30) hat auf der TU Wien Computer- und Netzwerksicherheit studiert und forscht im Rahmen seines Doktorats an der Sicherheit von zukünftigen Energienetzen. Zudem ist er Geschäftsführer des IT Sicherheitsunternehmens “Trustworks“, welches Firmen Dienstleistungen wie Sicherheitsanalysen anbietet

Welche Tools empfiehlt der Experte?

“Grundsätzlich würde ich jedem zumindest eine Firewall und einen guten Virenschutz ans Herz legen. Wer seine Nachrichten verschlüsseln möchte, dem würde ich PGP für E-Mails und OTR für Instant Messenger empfehlen“

—————————————————–

Dieses Interview und die Illustration erschienen in Falter 34/13. Illu: Oliver Hofmann, hier das ganze Bild. Foto: Iseclab.

View Comments

  • sagt:@ mspro:Rezepadtiadonsadhaladtung ist eine angeadmesadsene dcberadsetadzung, wenn man sie nicht als eine bewusste oder gar intenadtioadnale (miss)versteht. Es geht eher um etaadblierte Rouadtiadnen, die aufadgrund von Gewf6hadnung voradbeadwusst ablauadfen. Nochadmal zurfcckadgeadspult zum Buchaddruck (weil wir alle noch priadme4r buchaddruckadforadmaadtiert lauadfen): Meine Reakadtioadnen beim Lesen Deiadnes Artiadkels waren „Das kann man so nicht scheriadben“, „Das ist eine faladsche Lesadart von XYZ“, „Quatsch“ usf. – Kriadtik als Handadhaadbung von zugeadmuadteadnen Meiadnunadgen (auch den eigeadnen, fcbriadgens). Wenn man nun noch vom Indiadviadduum abstraadhiert und an etaadblierte Scheadmata denkt – dann wfcrde ich Dir zustimadmen. Das gilt dann neben dem Buchdruck-Beispiel auch ffcr jede Kulturform. Die Form als Kuladturadform tre4gt dem Denadken von Proadzess Rechadnung, dem je situaadtiadven Heradsteladlen (oder Lf6schen) von Zusamadmenadhe4nadgen im Bewusstadsein der Tatadsaadche, dass die ungeadahnte und unsichtadbare Menge an Daten und Beobadachadtern schon gleich wieadder alles e4ndern kann. Dass dabei jede In-Form-ation (und Nicht-Information) dokuadmenadtiert wird und uns damit wieadderum als Medium zur Ver-Ffcgung steht, wenn entadspreadchende Bezfcge reaadliadsiert weradden woladlen. Komadbiadnaadtion und Rekomadbiadnaadtion, fesadtere und losere Kopplungen.@ Sascha Stoltenow:„Die Negaadtiadonsadform der ne4chsadten Geselladschaft ist nicht mehr der Rausch, die Koradrupadtion oder die Kriadtik, sonaddern die Posse, die Transadforadmaadtion einer Unmf6gadlichadkeit in eine Mf6gadlich– keit. Sie ist so unbeadreadchenadbar proaddukadtiv wie jede Negaadtiadonsadform; und dies nicht etwa, weil sie nicht wfcsste, was sie tut, sonaddern weil nieadmand weidf, weladche Reakadtioadnen sie heradaufadbeadschwf6rt.“ (#16)Was hat man sich denn unter einer „echadten Krise“ voradzuadsteladlen? Luhadmann bezeichadnet Kriadsen metaadphoadrisch als alaradmieadrende Ereigadnisse im Immunadsysadtem der Geselladschaft. Ein gewisadses Madf an Unruhe le4uft dabei konadtiadnuadieradlich unteradhalb der Wahradnehadmungsadgrenze des Sysadtems – erst das gehe4ufte Aufadtreadten von Irriadtaadtion und Erwaradtungsadentadte4uadschunadgen macht dann die Krise. Die Krise ist das Nicht-Passen der Strukadtur, der Stressadtest der etaadblieradten Veradaradbeiadtungsadrouadtiadnen am Wideradstand der Reaadliadte4t. Im Falle der Nichtadanadpasadsung an die Umweltadbeaddinadgunadgen bedeuadtet das ffcr das Sysadtem: keine weiadteadren Opeadraadtioadnen durch Veradlust von Anschlussadfe4adhigadkeit. Dann sieht man auch, dass Kriadsen durchadaus funkadtioadnal sind: sie erreadgen das Sysadtem, soradgen ffcr die Bereitadsteladlung zuse4tzadliadcher Aufadmerkadsamadkeit, Selbstiradriadtieadrung und sichern so sehr grundadleadgend die Autoadpoadieadsis. Das Sysadtem hat nur Fieber…

  • Den selben Blödsinn habe ich letztens auch im Fernsehen beobachten können. Die Japaner sind eben ein bisschen speziell, was die Wahl ihrer äußerlichen Erscheinung angeht. Exomotorische Gefühlsregungen soll es auch in Form eines Fuchsschwanzes geben. Die mobile Messung von Gehirnströmen lässt sich wohl in unseren Regionen durchsetzen, der Rest aber nicht.

    Crazy Japan Erfindungen - Galileo

  • Den kleinen Kiffer knastet man ein, nach den grössten Betrügern und Mördern werden Strassen benannt. So war das immer in der Geschichte.

  • Hello, i think that i saw you visited my blog so i came to return the want?

    .I am attempting to to find issues to enhance my web site!
    I suppose its ok to use a few of your concepts!

    !

  • Hi i am kavin, its my first time to commenting anyplace, when i read this paragraph i thought i could also create comment due to this brilliant paragraph.

  • Hallo Frau Brodnig,
    ich habe bereits versucht meine Anmerkungen beim Falterartikel zum selben Thema zu posten - dise wurde aber nicht veröffentlicht. Sollte man das schon als Zensur bewerten?
    Ic finde es für ein kritisches Medium schwach, als alternative zu einem Onlineanbieter nur andere in Erwägung zu ziehen.

    Ich meine die Falle ist nicht zwangsläufig eine. Wenn man nämlich davon ausgeht, dass man sich des öfteren in seiner Heimatstadt bewegt (und nicht nur in den eigenen 4 wänden bleibt), so gibt es eine Reihe Einzelhändler (besonders Buchhändler), die liebend gerne (Buch)bestellungen per email annehmen und im selben Zeitraum, ohne Versandspesen besorgen. Das kann man dann auch auf dem Weg mitnehmen...Für richtig große Objekte muss man ja auch beim Onlinehandel Spesen bezahlen.
    Es ist eine erprobte und sehr gut funktionierende Alternative zur scheinbaren Abhängigkeit, sie stützt den Einzelhandel, kostet nicht mehr, bietet die Chance auf Sozialkontakte und gute Beratung. Die nötigen Infos kann man per copy/paste von bekannten Großanbietern online bekommen und an die lokalen Kleinanbieter ihres Vertrauens weitermailen. Mit etwas Fantasie lässt sich da sicherlich noch einiges entwickeln...mit besten Grüßen Redono

  • S.g. Frau Brodnig,
    es ist ja eigentlich nicht meine Aufgabe, den ORF zu verteidigen, aber die subtile Botschaft, die Volkspartei hätte hier Einfluss genommen, veranlasst mich zu dieser Antwort. Wie man hört, ist die Schuld für die Schlusseinstellung von Herrn Leitner keineswegs beim ORF zu suchen. Vielmehr scheint es so gewesen zu sein, dass Herr Leitner anstatt in eine Kamera in einem Monitor gesehen hat und auch auf die Zeichen von Anwesenden nicht reagiert hat und in die Kamera geblickt hat. Eine Aufnahme, die vergleichbar zu jener von LH Pröll gewesen wäre, hätte also Herrn Leitner im Profil gezeigt und wäre wohl mindestens so kritisch kommentiert worden. Es wurde so versucht das beste aus der Situation zu machen und Herrn Leitner möglichst mit dem Gesicht zum Fernsehpublikum zu filmen.

    Auch die Redezeit von LH Pröll und den anderen Teilnehmern sollte Sie nicht überraschen. In welchem Statement der Opposition wurde keine Kritik am Landeshauptmann oder der Volkspartei geübt. Natürlich bedarf es hier auch einer gewissen Zeit den Kritikpunkten zu begegnen und diese nicht unkommentiert im Raum stehen zu lassen. Und wenn dann noch eigene Punkte transportiert werden sollen, wie es in diesem Format vorgesehen ist, dann bedarf das eben mehr Redezeit.

  • Gutes Essay, aber das war ORF Niederösterreich und nicht ORF. Haben Sie auch die Pressestunde in Kärnten angesehen? Wenn nicht, ich bitte darum. Man erkennt die Unterschiede zu den Studios und zu den Kameraperspektiven. Es entscheiden immer die Regisseure welche Kamera dran sein sollte. Also nicht ORF, sondern ORF NÖ.

  • Und der herr "krflo"(= florian krumböck von der jvp?) analysiert das natürlich völlig objektiv!
    Der orf und pröll-nahe? Iwo!

    • Ja, ich bin JVP-Obmann in der Stadt St. Pölten und habe das auch nicht verschwiegen. Glaube auch nicht, dass ich das objektiv beurteilen kann, glaube aber, dass es keinen Skandal gibt, sondern einen "Unfal"l von Herrn Leitner ausgelöst und vom ORF nicht gut gehandelt

    1 6 7 8 9 10 37
Leave a Comment