Schnüffelei im Internet

Diese jüngst zutage getretene Offenbarung zu den staatlich organisierten Internet-Überwachungssystemen PRISM (USA) und TEMPORA (Großbritannien) sind ein Schlag in unser Gesicht. Internet und Telefonnetze haben wir bisher immer für vertrauenswürdige Medien gehalten. Diese Grundannahme hat wesentlich zu deren technologischen Weiterentwicklung beigetragen. Nun werden wir vor die Wahl gestellt, sollen wir uns von diesen Medien wieder verabschieden, oder sollen wir dulden, dass Facebook, Microsoft  und Co nicht mehr nur uns, den Kunden, sondern mit unseren Daten auch den Geheimdiensten dienen.

Auch in Deutschland werden enorme Mittel in die Überwachung und Bestandsdatensammlung durch den Bundesnachrichtendienst (BND) gesteckt. Unserer Regierung schweigt wieder mal über die aktuellen Enthüllungsskandale.

Es wird immer auf den Schutz gegen Terrorismus verwiesen, und dass bereits terroristische Angriffe erfolgreich abgewährt werden konnten. Das ist aber eine Illusion, wenn nicht sogar eine Täuschung. Terroristen können sich im Internet, sofern sie dieses überhaupt nutzen besser schützen als gedacht. Dies liegt daran weil sie sich zuvor organisiert haben und die technologischen Möglichkeiten viel besser nutzen können als Nutzer, die nicht organisiert sind und auf Standardprodukte angewiesen sind. Warum das so ist, erfahren Sie weiter unten.

Dass viele der populären Softwarehersteller und Internetportale wie Facebook, Google, Microsoft, Apple usw. von kommerziellen Interessen bestimmt sind, dass sie Profile erstellen und Nutzer mittels Drittanbieter-Cookies indirekt mit Dritten abgleichen und somit auch identifizieren können, ist mittlerweile kein Geheimnis mehr. Schließlich werden sie ja zum großen Teil von Dritten finanziert, z.B. durch Werbung.

Dass Facebook, Google, Microsoft, Apple usw. aber zum Zwecke der Überwachung mit geheimdienstlichen Organen kooperieren, also ihnen Zugriff auf die Daten der Nutzer gewähren, ohne die Nutzer darüber aufzuklären, ist schon sehr bemerkenswert. Private und politische Interessen sowie Kontakte breiter Bevölkerungsschichten können somit nachverfolgt werden und mit ausgefeilten Mechanismen gefiltert und verknüpft werden. Die Geheimdienste nehmen uns die sozialen Netze und machen sie zu ihrem Werkzeug, sie machen die Nutzer zu permanent Verfolgten.

Diese jüngst zutage getretene Offenbarung ist weltweit auf heftigen Widerstand gestoßen. Deswegen fordern viele Menschen zurecht eine lückenlose Aufklärung, eine Positionierung der Regierung zu den Praktiken, Maßnahmen zum Schutz der Bürger und letztendlich die Überprüfung der Informationen von Edward Snowden sowie seinen persönlichen Schutz.

http://deutsche-wirtschafts-nachrichten.de/2013/06/28/prism-studenten-verklagen-facebook-apple-microsoft/

Dies fordert auch DIE LINKE.

Wer seine E-Mails verschlüsseln will, kann dies mit PGP/GPG z. B. in Thunderbird oder Evolution (Linux) bewerkstelligen. Auch besteht die Möglichkeit, Dateianhänge zu verschlüsseln (7zip mit Passwort, TrueCrypt Container, …) und diese an die E-Mail anhängen.

Aktuelle Verschlüsselungstechniken sind so stark, dass sie praktisch nicht geknackt werden können, sofern die Schlüssel geheim bleiben. Diese Aussage basiert auf der mathematischen Tatsache, dass das Knacken eines Schlüssels eine  utopische, nicht herstellbare Rechenleistung braucht .

Ein Problem ist aber der Austausch der Schlüssel, was insbesondere dann kompliziert werden kann, wenn man sehr viele E-Mail-Kontakte pflegt. Dieses Problem sollte die Etablierung einer Infrastruktur zur Digitalen Signatur (siehe unten) lösen. Darauf warten wir heute immer noch.

Und selbst bei verschlüsselten Mails besteht noch dass Problem, dass Absender und Empfänger im Netz mitlesbar bleiben. Das umgeht man nur, wenn man gänzlich auf das Medium E-Mail verzichtet, denn man kann seine geheimen verschlüsselten Informationen in eine Cloud uploaden. Der Empfänger holt die Infos dort ab und löscht die in der Cloud hinterlegte Datei. Ein weiterer Vorteil ist, dass wenn  der Verkehr mit der https-gesicherten Cloud sowieso verschlüsselt verläuft, es im Gegensatz zu einer verschlüsselten E-mail nicht auffällt, dass verschlüsselte Information übertragen werden, d.h. es entstehen keine Verdachtsmomente.

Wem das noch zu unsicher ist und seine IP-Adresse nicht preisgeben will, kann mit einer Linux LiveCD/DVD oder USB stick seinen – oder noch besser gestohlenen – Rechner bzw. geänderten MAC-Adresse booten, sich in ein ungesichertes oder öffentliches WLAN Netz einloggen –> jegliche Rückverfolgbarkeit von Informationsaustausch wird mit dieser Methode unterbunden.

• In Teilen übernommen von: http://www.spiegelfechter.com/wordpress/127263#comments
• Informationen zu PGP: http://www.elektronikinfo.de/pc/pgp.htm

So funktionieren Verschlüsselungsverfahren im Internet. Grundlegend ist dabei zu unterscheiden in Web- und E-Mail-Verkehr.

HTTP-Verkehr (das Web)

Wenn sie mittels Web Informationen auf einen Server übertragen, können diese auf dem Übertragungsweg mit technischen Mitteln mitgelesen werden. Wenn es sich aber um einen mit https:// gesicherten Server handelt, sind diese Informationen während der Übertragung gegen jegliches Mitlesen geschützt. Browser und Server verschlüsseln die zu übertragenden Daten.

Dazu verwendet ihr Browser den öffentlichen Schlüssel des Servers und der Server seinen privaten Schlüssel. Beide tauschen einen symmetrischen Sitzungsschlüssel aus, mit dem die Daten in beiden Richtungen verschlüsselt werden. Die Verschlüsselung ist stark genug, dass ein Knacken des Schlüssel praktisch unmöglich ist. 

Die Problemzonen dabei aber das lokale Betriebssystem sowie der Server des Anbieters, denn nur an diesen beiden Punkten liegen gesendete und empfangene Daten unverschlüsselt vor. Wenn also entweder der Betriebssystemhersteller oder der Dienstanbieter des Servers mit einem Geheimdienst kooperieren, nützt ein noch so starke Verschlüsselung nichts. Und davon muss leider angesichts neuster Enthüllungen ausgegangen werden.

Die Anzapfung des lokalen Betriebssystems ist dabei eher unwahrscheinlich, auch wenn man nur bei den Open-Source-Betriebssystemen den eigenen Rechner als vertrauenswürdig ansehen kann. Hacker bzw. Computer-Freaks würden schnell herausfinden, wenn PC-Programme Informationen im Hintergrund ohne Nutzeraktionen speichern oder ins Netz übertragen würden.

Dagegen ist die Serverseite eine Schwachstelle, gegen die der Nutzer machtlos ist, aber nur dann wenn der Betreiber des Servers mit den genannten Überwachungsorganen oder Dritten kooperiert. Bleibt also der Rat, https:// als Übertragungsmedium zu verwenden und auf die Unabhängigkeit der Dienstanbieter zu achten, die aufgrund der Interessenlage am ehesten bei den kritischen Internetportalen vorliegen dürfte.

E-Mail-Verkehr

Beim E-Mail-Verkehr müssen die Partner immer erst ein Schlüsselpaar austauschen und sie müssen diese Schlüssel auch verwalten und für deren sichere Unterbringung sorgen. Insbesondere muss jeder Teilnehmer ein Schlüsselpaar erzeugen und seinen öffentlichen Schlüssel an seine Kommunikationspartner verteilen (Funktionsweise von PGP).

Dieses Verfahren erfordert einige Disziplin und Aufwendungen, so dass dieses Unterfangen nur praktikabel ist, wenn sich der Teilnehmerkreis zuvor organisiert und eher stabil und klein ist. Für den Standard-Anwendungsfall ist also PGP o.ä. wenig praktikabel ist. Jeder Teilnehmer müsste die öffentlichen Schlüssel aller anderen Teilnehmer in seiner Umgebung aufbewahren. Wenn man dann noch mehrere Geräte verwendet, ist das Chaos perfekt. 

Durch die digitale Signatur, deren Aufgabe es u.a. ist, die öffentlichen Schlüssel in einem öffentlichen Verzeichnis aufzubewahren, könnte und sollte diese Manko flächendeckend ausgeräumt werden. Dazu wurde bereits vor über 10 Jahren ein Gesetz zur Digitalen Signatur verfasst. Die technischen Möglichkeiten bestehen es seit Langem.

Leider hat sich die Digitale Signatur bis heute nicht verbreitet. Hätte man sie, wären die heutigen Probleme mit SPAM (E-Mail-Müll) und E-Mail-Trojaner bereits Geschichte. Enorme bereits entstandene Schäden hätten verhindert werden können. Warum die Digitale Signatur nicht zum Durchbruch kommt, darüber kann man nur spekulieren: kommerzielle Interessen und mangelnde Standardisierungbereitschaft, Inkompetenz der Gesetzgeber oder vielleicht die bewusste Vernachlässigung bzw. gar Verhinderung kommen hierbei in Frage. Zumindest ist von der NSA bereits bekannt, dass Software von Dienstanbietern und Softwareherstellern vor deren Vertrieb bzw. Inbetriebnahme durch die NSA begutachtet wird, und in dem Zusammenhang untersagt wurde, den Nutzern eine End-zu-End-Verschlüsselung zu ermöglichen.

Falk Neuner, Zwönitz