2013

In Deutschland zeigen sich Politiker und Medien hingegen völlig überrascht, was die Whistleblower so alles berichten, und tun so, als ob sie von den Spionageattacken der Amis und Engländer bisher nichts gewusst hätten. Bundeskanzlerin Angela Merkel sagt sogar: „Das Internet ist ja Neuland für uns ...“ Schon Altkanzler Adenauer hatte einst Washington und London erlaubt, für Spähangriffe das deutsche Grundgesetz zu brechen. Bereits 1998 berichtete auch eine Studie des Europäischen Parlaments umfassend, offiziell und für jedermann nachlesbar von den skandalösen Abhörpraktiken der NSA in Europa.

Man muss sich auch fragen, ob die Politiker und Journalisten nie die riesigen Antennenanlagen der Amis in Pullach und Bad Aibling oder die der Engländer an der A 46 kurz vor Mönchengladbach gesehen haben? Die europaweit größte Signals-Intelligence-Anlage der USA steht für jedermann sichtbar auf dem Lechfeld bei Gablingen in Bayern, in der Nähe von Augsburg.

Haben deutsche Politiker und Journalisten noch nie etwas von Echelon gehört? Ob Telefonate, E-Mails, Faxe oder Telex: Das Echelon-System hört seit Jahren den gesamten über Satelliten und Kabel geleiteten Kommunikationsverkehr ab. Echelon ist heute sogar vorwiegend auf nichtmilitärische Ziele ausgerichtet: auf Regierungsstellen, Organisationen und vor allem auf die Wirtschaft. Viele deutsche Politiker und Journalisten tun so, als ob sie von der NSA noch nie etwas gehört hätten.

Doch schon 1975 hatte ein US-Kongressausschuss die Rolle der NSA weltweit öffentlich gemacht: Danach waren von der NSA sogar Zehntausende Amerikaner während des Vietnam-Kriegs verdächtigt worden, gegen die nationale Sicherheit verstoßen zu haben, in 75.000 Einzelakten wurden persönliche Daten, markante Verhaltensweisen, politische Kontakte notiert und illegale Observationen von US-Bürgern durchgeführt.

Dann meldet am 6. September die Presse sogar, dass der amerikanische Geheimdienst NSA und sein britisches Pendant GCHQ im großen Stil Verschlüsselungstechniken knacken oder umgehen können. Dass die Geheimdienste Verschlüsselungstechniken als ihren Erzfeind betrachten, ist nicht erstaunlich – schließlich ist das Sammeln von Informationen ihre Hauptaufgabe. Die aktuellen Enthüllungen zeigen aber vor allem, wie systematisch die Geheimdienste das auf allen Ebenen angehen. Zum einen arbeitet die NSA demnach mit sogenannten Supercomputern, die entsprechende Kryptotechnik mit massivster Rechenkraft brechen sollen. Das mag im Einzelfall bei geringer Verschlüsselungstiefe auch funktionieren – nur: So viele Supercomputer, die solche einfachen Schlüssel knacken können, gibt es weltweit nicht. Diese reichen auf keinen Fall aus, weltweit zum Beispiel alle verschlüsselten Mails zu entschlüsseln oder gar alle VPN-Verbindungen abzuhören – wie es manche Zeitungen übertrieben darstellen. Bei höheren Verschlüsselungstechniken verlangen schon kleinste verschlüsselte Dateien 100 Prozent Leistung dieser wenigen Supercomputer und ein solcher Entschlüsselungsvorgang dauert dann je nach Verschlüsselungstiefe immer noch Tage, Wochen, Monate ...

Interessanter ist da die Information, dass nicht die SSL-Verschlüsselung an sich geknackt worden ist, sondern diverse Endgeräte beziehungsweise Programme, die die Verschlüsselung erzeugen, von den Geheimdiensten manipuliert worden sind, womit es möglich wird, beispielsweise durch Backdoors an die verschlüsselten Daten oder an die Schlüssel zu kommen. Das ist aber nichts Neues, jeder, der sich seit Jahren mit der Sicherheit von VPN-Techniken (Virtual Private Network – man spricht auch vom VPN-Tunnel) beschäftigt, weiß, dass die Tunnelverbindung an sich sicher ist – angreifbar sind nur die beiden Enden und man spricht darüber, dass die VPN-Endpunkte „gehärtet“ werden müssen, so wie früher im Kalten Krieg die Silos der Interkontinentalraketen „gehärtet“ werden mussten.

Manche Presseberichte wie „Die E-Banking-Verschlüsselung HTTPS ist jetzt von der NSA geknackt und somit unsicher.“ sind nur dummes Pressegeschrei und helfen nicht weiter, die Risiken wirklich zu erkennen. Allen IT-Sicherheitsexperten ist seit Jahren klar, dass SSL- und AES-VPN-Verschlüsselung absolut sicher sind – die Schwachstellen sind aber links und rechts vom VPN-Tunnel: die Endgeräte. Wenn ein VPN-Endgerät gekapert wurde, dann ist logischerweise das gesamte sich dahinter befindende Netz zugänglich. Nun besteht die Möglichkeit, dass die US-Geheimdienste mit Firmen für IT-Sicherheit (wie VPN-Router- oder Verschlüsselungssoftware-Firmen) und mit bekannten großen Internet- und Cloud-Unternehmen – Google, Facebook, Yahoo und Microsoft werden in diesem Zusammenhang immer wieder genannt – geheime Abkommen abgeschlossen haben. Ob das stimmt, weiß derzeit aber keiner. Wenn diese Firmen nun spezielle Hintertürchen in ihre Programme und Produkte eingebaut haben sollten, die es den Geheimdiensten erlauben, Daten abzuzapfen, dann ist das eine Sicherheitslücke, mit der man einen VPN-Tunnel knacken kann. Selbst der Insider Edward Snowden führt aber aus: „Verschlüsselung funktioniert! Sauber implementierte, starke Verschlüsselung ist eines der wenigen Dinge, auf die man sich noch verlassen kann.“ Alle Veröffentlichungen liefern bisher keine Hinweise darauf, dass es NSA oder GCHQ gelungen wäre, aktuell als stark eingestufte Verschlüsselungsverfahren wie AES (Advanced Encryption Standard) mit ausreichend langen Schlüsseln zu kompromittieren. Es sind also maximal die Hersteller der Sicherheitsprodukte oder die Sicherheitsprodukte selbst, die kompromittiert wurden und nicht die Verschlüsselungsalgorithmen an sich. Auch Snowden sagt: „Die haben keinen mathematischen Durchbruch geschafft und SSL an sich geknackt, sondern kompromittieren die Verschlüsselungsmaschinen beziehungsweise die Verschlüsselungssoftware.“ Laut „The Guardian“ und „New York Times“ vom 6. September 2013 verlangten die Vertreter der Geheimdienste die Unterlassung der Enthüllungsartikel über die Angriffe von NSA und GCHQ auf die Verschlüsselungstechnik – mit der Begründung: Zielpersonen im Ausland könnten durch die Veröffentlichung veranlasst werden, die Kommunikation zu ändern oder andere, bessere Verschlüsselungstechniken einzusetzen, die nicht oder nur sehr schwer von NSA oder GCHQ zu knacken sind.

Resümee: Eine realistische Aufklärung des Bürgers durch die Presse findet nicht statt. Nur „Bad News“ sind „Good News“ und so wird der Bürger nur verunsichert – wie einst beim BSE-Thema, wo sich ja manche Bürger zunächst nicht mehr trauten, Gummibärchen zu essen, weil darin angeblich Rindprodukte verarbeitet waren. Aber auch die Bundesregierung lässt hier den Bürger allein und vernachlässigt den Schutz seiner Bürger. Die Freiheit des deutschen Bürgers wird heute nicht nur mit Waffen am Hindukusch verteidigt – der deutsche Staat muss auch das Grundrecht auf informationelle Selbstbestimmung seiner Bürger verteidigen und schützen.

Leider blickt der normale Bürger – der normale Nutzer von PC und Internet – nicht mehr durch. Viele Anwender trauen nun keinen Cloud-Anwendungen oder ASP-Lösungen mehr und sind verunsichert. Die ganzen Spionagetätigkeiten, die derzeit sicher nur zum Teil aufgedeckt sind und deren ganzes Ausmaß noch nicht bekannt ist, betreffen aber jeden (!) IT-Anwender – egal, ob er nun einen Home-PC hat, eine lokale Serverfarm in der Kanzlei oder ob er ASP-Services zum Beispiel bei SPECTRUM nutzt. Man kann sogar sagen, dass Private-Cloud-Anwendungen bei deutschen RZ-Betreibern grundsätzlich sicherer sind als der nur mit primitiven Mitteln geschützte Heim-PC oder das nicht täglich von Profis administrierte klassische Kanzleinetzwerk. Nur die Option „überhaupt keine Computer mehr nutzen“ ist da sicherer. Aber wer will oder kann das schon? Will ein Geheimdienst das Surfverhalten eines dedizierten SPECTRUM-NET-/-ASP-Anwenders aushorchen, hat er Pech – denn er „sieht“ maximal das Surfverhalten der über 5.000 SPECTRUM-NET-/-ASP-Anwender, nicht das eines einzelnen Users. Von außen (egal, ob für Hacker oder Geheimdienste) „sieht“ man nämlich nur die Firewalls von SPECTRUM – das dahinterliegende Netzwerk aller SPECTRUM-Kunden kann von außen nicht weiter identifiziert werden.

Die SPECTRUM-Server stehen in einer DMZ (Demilitarized Zone) und werden durch mehrere Firewalls gegen das offene Internet abgeschirmt. Durch diese Trennung wird das interne Netz vor unberechtigten Zugriffen von außen geschützt. Hierbei handelt es sich zum großen Teil um Linux-basierte Firewalls, die dem Open-Source-Standard angehören, also wo der Quellcode für jedermann im Internet einsehbar ist. Hier können weder NSA noch GCHQ Hintertürchen einprogrammiert haben – das würden Millionen von Open-Source-Programmierern weltweit sofort feststellen. SPECTRUM verwendet so gut wie keine konfektionierten Firewalls von Cisco und Co., somit kann es auch keine geheimen NSA-Hintertürchen geben, die US-Hersteller dort aus falsch verstandenem Patriotismus eingebaut haben (SPECTRUM kann immer noch nicht glauben, dass so etwas wirklich stattgefunden haben soll, denn diese Firmen wären nach Bekanntwerden bankrott). Außerdem überwachen SPECTRUM-IT-Profis – ergänzt durch die Spezialisten des Colocation-Rechenzentrums (in dem auch Banken, Versicherungen, Finanzdienstleister usw. ihre Server haben) – tagtäglich die Sicherheit der RZ-Infrastruktur und leiten bei Bedarf sofort entsprechende Sicherheitsmaßnahmen ein. Kein lokales Kanzleinetzwerk und kein Home-PC wären besser geschützt als hier.

SPECTRUM muss bei jedem Datenleck von Gesetzes wegen immer sofort alle Betroffenen informieren!

SPECTRUM ist zum einen aus dem mit den Kunden geschlossenen Auftragsdatenverarbeitungsvertrag verpflichtet, seine Kunden umgehend bei Datenlecks, Datenpannen und Datenschutzverstößen zu informieren. Ferner muss SPECTRUM bei Abhandenkommen von in Obhut befindlichen personenbezogenen Daten und wenn nicht ausgeschlossen werden kann, dass unberechtigte Dritte Kenntnis von den Daten erlangt haben könnten, nach dem Bundesdatenschutzgesetz (§ 42a BSDG, „Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten“) umgehend die Datenschutzaufsichtsbehörden und alle Betroffenen darüber informieren. Das kann sogar dazu führen, dass SPECTRUM nach aktueller Rechtslage nicht nur die Kunden, sondern auch deren Mandanten informieren muss. Die Datenschutzaufsichtsbehörden könnten sogar mehrere halbseitige Aufklärungsanzeigen in Tageszeitungen verlangen. SPECTRUM wird hier auch aus eigenem Geschäftsinteresse nichts verheimlichen oder vertuschen, denn jeder SPECTRUM-Mitarbeiter könnte ja zum Whistleblower werden und SPECTRUM wäre dann bei Bekanntwerden pleite.

Etwas zur Technik: Die von SPECTRUM genutzte VPN-Verbindung beispielsweise zur Ankopplung der PC-Terminals in den Kanzleien und bei den Unternehmen an die SPECTRUM-ASP-Server basiert auf dem offenen, anerkannten Open-Source-Standard OPENvpn, zu dem der Quellcode wiederum für jedermann offen im Internet liegt – und wenn Geheimdienste dort heimlich Backdoor-Zugänge eingebaut hätten, hätte das sicherlich einer der zig Tausend Open-Source-Programmierer weltweit schon längst entdeckt. Das ist aber gerade der Vorteil von Open-Source-Software: Diese Sicherheit bieten gerade diese Open-Source-Produkte, weil dort keiner etwas heimlich reinprogrammieren kann. Ob das auch für geschlossene Systeme von Apple, Microsoft, Cisco oder sonstigen US-dominierten Routerfirmen (die ja dem Patriot Act unterliegen) zutrifft, können wir nicht beantworten. Es erscheint aber nicht vorstellbar, dass Cisco und Co. das machen, denn würde das bekannt werden – und Whistleblower gibt es überall – wären diese Firmen einen Tag später weg vom Fenster und pleite.

Wenn zum Beispiel E-Mails von Geheimdiensten auf dem Übertragungsweg abgefangen werden, dann gilt das für jede Konstellation: ob Home-PC, Kanzleinetz oder ASP-Lösung. Fein – jeder weiß seit Jahren, dass E-Mails schon immer wie Postkarten von jedermann im Internet mitgelesen werden können. Das ist also nichts Neues und lange bekannt. Nur: Wer ist dieser Jedermann im Internet? Dazu ein Vergleich: Wer kann denn heute normale Postkarten mitlesen? Die Leute in den Postverteilstationen (sofern da neben den elektronischen, vollautomatischen Briefverteilanlagen überhaupt noch Menschen arbeiten) und Ihr Briefträger, bevor er die Postkarte in Ihren verschlossenen Briefkasten wirft. So groß ist das Risiko mit der Postkarte also nicht und man findet deshalb dort von Urlaubsgrüßen (auf die alle Einbrecher der Welt warten) über sonstige intime Bekenntnisse und Liebeserklärungen auch alles andere Vertrauliche. Ähnlich verhält es sich mit den E-Mails: Natürlich könnten die Mitarbeiter bei den Providern, wo die E-Mails vorbeirauschen, diese mitlesen – diese Mitarbeiter unterliegen aber dem deutschen Datenschutzrecht.

Pressemeldung: Microsoft übernimmt das komplette Handy-Geschäft von Nokia. Der einstige Handy-Weltmarktführer und Nobelkonzern Nokia verkümmert zu einer kleinen Restfirma für das verbliebene Netzwerkgeschäft. Die wichtigste Erkenntnis hieraus ist, dass selbst Großkonzerne und Monopolisten in ganz kurzer Zeit vom Markt verschwinden können, wenn sie falsche Strategien verfolgen oder Markttendenzen verschlafen. Aber auch die derzeit noch führenden Smartphone-Hersteller Samsung und LG, die auf das Android-Betriebssystem von Google setzen, können in Bedrängnis geraten: Apple vermarktet sein iOS-Betriebssystem nur auf den eigenen iPhone- und iPad-Geräten. Microsoft hat nun die eigene Nokia-Produktsparte für das gar nicht so schlechte Windows Mobile 8 und sitzt auf einem dicken, prallen Geldsack, um nun im Handy- Geschäft richtig Gas zu geben, zumal das Windows- und MS-Office-Geschäft rückläufig ist. Aber auch Google hat sich gut aufgestellt: Erst Ende 2012 wurde die komplette Handy-Sparte von Motorola übernommen – und nun hat auch Google eine eigene Hardware-Plattform für sein eigenes Android-Betriebssystem.