Überwachung: Vorboten der Unfreiheit

Die Interessen der B¸rger im Rechtsstaat wahrnehmen - Der 33. Wahrnehmungsbericht des ÷sterreichischen Rechtsanwaltskammertages Der Präsident des Österreichischen Rechtsanwaltskammertages (ÖRAK) – als Standesvertreter von über 5000 Rechtsanwälten von Österreich – Rupert Wolff fordert die Rücknahme der Vorratsdatenspeicherung und anderer Überwachungsmaßnahmen – denn sie bringen nichts und sind nur ungerechtfertigte Eingriffe in die Privatsphäre. Er fordert die Einsetzung einer unabhängigen Expertenkommission um die Gesetze zu Evaluieren und Änderungen vorzuschlagen.

Damit schließen sich auch die Rechtsanwälte der Forderung nach Evaluierung der Überwachungsgesetze und Abschaffung der Vorratsdatenspeicherung an.

Bild: Dr. Rupert Wolff (Präsident der Rechtsanwaltskammer)

Bericht auf DerStandard

Die NSA hat das Internet kaputt gemacht.

sslSeit gestern ist es auch offiziell. Die NSA kann auch verschlüsselte Verbindungen mitlesen. Die Medienberichte sind sich nicht ganz einig, welche Verschlüsselungstechnologien betroffen sind, und wie der Zugang erreicht wurde. Es gibt hier mehrere Möglichkeiten und vermutlich ist es eine Kombination dieser:

  • Die NSA arbeitet bereits bei der Standardisierung mit der NIST zusammen – um die Sicherheitstechnologien entsprechend den NSA Anforderungen zu gestalten.
  • Die NSA arbeitet mit Technologie Anbietern zusammen um die implementierte Technologie an ihre Wünsche anzupassen. Ob es sich hier um Backdoors handelt, oder einfach nur um Implementierungen die es der NSA leichter machen die Technologie anzugreifen – ist hier nicht bekannt.
  • Die NSA hat zugriff auf die Schlüssel
    Fast alle Zertifizierungsstellen die SSL Schlüssel ausstellen – mit denen die Daten verschlüsselt werden sitzen in den USA. Der größte/Bekannteste davon ist Verisign. Stellen wir uns vor, die NSA hat Zugriff auf diese Schlüssel, dann könnten sie alles was mit diesen Schlüsseln verschlüsselt ist auch ohne Aufwand wieder entschlüsseln. Sie haben ja schon den entsprechenden Schlüssel.
  • Die NSA hat ungeheure Rechenleistungen aufgebaut um Verschlüsselungen brechen zu können. Jede Verschlüsselung kann geknackt werden – es ist nur eine Frage der Zeit und der zur Verfügung stehenden Rechenleistung. Dies mag zwar breitflächig auch für die NSA nicht möglich sein, aber in Einzelfällen, die besonders interessant scheinen (also z.B. die Kommunikation der EU oder UNO) wäre sicher auch solch ein Szenario möglich.

Auch die Medien sind sich sicher, dass “starke Verschlüsselung” noch immer relativ sicher ist – und nur mit sehr hohem Aufwand mittels der s.g. Brute Force Methode geknackt werden kann – aber auch hier ist Sicherheit nur so Stark wie das schwächste Glied. D.h. wenn man den Rechner z.b. übernehmen kann auf dem die Daten landen, dann ist es egal ob man die Verschlüsselung knacken kann.

Geheimdienste können mitlesen – na und?

Die Geheimdienste haben also die Möglichkeit den Datenverkehr – vermutlich Großteiles auch den verschlüsselten Datenverkehr mitzulesen. Selbst unter der Prämisse dass ich nichts zu verbergen habe ist das Problem dass die NSA geschaffen hat dramatisch. Denn wer sagt, dass nur die NSA diese Löcher die in die Sicherheitstechnologien absichtlich eingebaut wurden nutzen kann?

Nehmen wir an, dass anderen Vereinigungen – jene die die NSA bekämpfen möchte Zugriff auf die Löchrige Sicherheitstechnologie gelingt. Eine terroristische Vereinigung könnte mit entsprechenden Ressourcen im Hintergrund – sagen wir einem arabischen Scheich der die ganze Sache mit ein paar Millionen Dollar im Hintergrund unterstützt – zugriff auf diese Löcher erlangen …

Was heißt das nun für uns als Anwender?

locks_safe_skiesEs heißt, dass die Sicherheit die man uns im Internet vorgaukelt nur vorgegaukelt ist. Die “normalen” Abläufe im Internet sind unsicher. Selbst wenn wir der NSA unterstellen, dass sie nur Bösewichte jagen möchte – und uns nicht im Visir hat, sind die Auswirkungen nicht auszudenken.  Alle unsere Schlösser und Türen sind eigentlich unwirksam. Unsere Häuser sind durch Schlösser gesichert – zu denen es Zweitschlüssel gibt. Ähnlich wie die TSA Schlösser die wir verwenden müssen wenn wir in die USA fliegen. Unser Koffer ist zwar zugesperrt, aber die Flugsicherheitsbehörde TSA kann den Koffer jederzeit wieder aufsperren und hineinschauen. Ich möchte nicht wissen, wie viele dieser TSA Schlüssel mittlerweile als Kopien im Umlauf sind. Ich würde also keine wertvollen Dinge in aufgegebenes Gepäck geben – denn die Wahrscheinlichkeit, dass irgendjemand unbefugter einen TSA Nachschlüssel hat ist viel zu groß.

Exakt dieses Problem hat nun das Internet. Es ist ein Koffer der mit einem T/(N)SA Schloss versperrt ist und daher Imminent unsicher.

Würden Sie also wichtige Dinge im Internet ablegen – wenn Sie wissen, dass die Gefahr besteht, dass jemand unbefugter darauf zugreifen kann? Was würden Sie nicht ablegen?

  • Ihre Finanzdaten?
    Wenn jedermann auf Ihr Konto zugreifen kann – wären sie beunruhigt?
  • Ihre Gesundheitsdaten?
    Wenn jedermann auf Ihre Gesundheitsakte zugreifen kann – wären Sie dann noch immer für die Einführung der ELGA (Elektronischen Gesundheitsakte)?
  • Persönliche Bilder?
    Ich vermute jeder hat schon einmal Fotos gemacht, von denen er gerne hätte dass sie niemand außer ihm selbst sieht?
  • Einkäufe
    Wenn Sie wüssten dass jedermann sehen kann was sie einkaufen – würden Sie das wollen?
    Bei Schuhen von Humanic wäre das vielleicht egal, aber bei Büchern z.B. die etwas über persönliche Vorlieben verraten könnte es schon heikel werden.

In Wirklichkeit wissen wir also dass wir das Internet seit gestern für keine der oben erwähnten Tätigkeiten mehr verwenden sollten – bis die Sicherheit wieder hergestellt ist. Wir müssen alle Schlösser austauschen – und sie durch nicht kompromittierte ersetzen.

Was heißt das nun für Hersteller von Sicherheitstechnologien und die NSA?

Würden Sie von einem Schlosser ein Schloss kaufen, von dem sie wissen, dass es unsicher ist? Dass der Schlosser Nachschlüssel von jedem Schloss anfertigt und diese relativ ungeschützt bei ihm im Geschäft lagert?

Jedes Unternehmen wird danach trachten seinen Ruf zu retten – diese Bestrebungen sieht man derzeit schon bei den großen Anbietern. Wenn wir also die Auswahl zwischen Sicherheitstechnologien haben, bei denen die NSA vermutlich die Finger nicht im Spiel hatte und anderer – welche würden Sie wählen?

Die Hersteller von Sicherheitstechnologien müssen danach trachten nachweisen zu können, dass ihre Technologien sicher sind. Das geht nur durch unabhängige Zertifizierungen dritter vertrauenswürdiger stellen – oder durch die Offenlegung der Technologien – damit die Funktionsweise verifiziert werden kann.