Link-Lese: NSA

Verschlüsselung ist ein Problem für datensammelnde Geheimdienste. Aus den Berichten der vergangenen Tage lässt sich herauslesen, dass sie deshalb darauf setzen, vor der Verschlüsselung an die Daten zu kommen oder sich Hintertürchen zu sichern. Das heißt sie versuchen einerseits Abhörmöglichkeiten in Software zu implementieren, sorgen andererseits dafür, dass sich löchrige Standards verbreiten und genutzt werden. Außerdem üben sie Druck auf Unternehmen aus, die proprietäre Verschlüsselungstechnologie vertreiben.

The New York Times has published further details of last week’s leaked documents detailing the NSA’s program of sabotage to crypto products and standards. The new report confirms that the standard that the NSA sabotaged was the widely-suspected NIST Dual EC DRBG standard. The Times reports that the NSA then pushed its backdoored standard through the International Organization for Standardization and the Canadian Communications Security Establishment.

– boingboing.net

Kryptographen gehen davon aus, dass offene Systeme wie TrueCrypt weiterhin nicht entschlüsselt werden können. Das Problem ist aber: Es muss davon ausgegangen werden, dass Behörden wie die NSA bereits vor der Verschlüsselung zum Beispiel auf einem der oben genannten Wege Zugriff auf die Daten erlangen. Panik macht sich breit.

Betroffen scheinen vor allem SSL/TLS, VPN, OTR und auch LTE.

  • SSL/TLS: Das Verschlüsselungsprotokoll Transport Layer Security dürfte den meisten von Besuchen auf https-Webseiten bekannt sein. Es ermöglicht auch die Zertifizierung von Webseiten, sodass der Nutzer vor Phishingangriffen geschützt wird. Die meisten Browser nutzen dafür ein Schloss-Symbol (verschlüsselte Verbindung) und die Signalfarbe grün (zertifizierte Seite).
  • VPN: SSL-VPNs sind virtuelle private Netze, die mit dem oben genannten Protokoll verschlüsselt werden. Zum Einsatz kommen sie zum Beispiel, wenn sich Mitarbeiter über das Internet ins Firmennetzwerk einloggen, der Computer also virtuell im geschlossenen Netzwerk der Firma steht. Dafür nutzen sie in der Regel einen VPN-Client (Programm) oder Browser-Plug-In.
  • Laut netzpolitik.org auch OTR: Off-the-Record Messaging ist verschlüsseltes Chatten mittels Pretty Good Privacy (PGP). Heise.de nimmt darauf allerdings keinen Bezug und, da es sich um PGP Verschlüsselung handelt, kann auch hier eigentlich nur über andere Wege außerhalb der eigentlichen Verschlüsselung auf die Nachrichteninhalte zugegriffen werden.
  • Wie der Zugriff auf die LTE-Technologie funktioniert, wird in den Artikeln ebenfalls nicht beschrieben.

Die Veröffentlichungen zeigen folglich, dass gerade die weit verbreiteten und von vielen Menschen genutzten Standard-Technologien Ziel der Geheimdienste sind.

Links:
netzpolitik.org
boingboing.net
heise.de

Ein besonders interessantes Beispiel, warum die NSA gar nicht erst verschlüsselte Verbindungen und Datenpakete knacken muss, findet sich übrigens im Finanz- und Bankensektor: SWIFT. | Link: heise.de

Die NSA leitet außerdem Rohdaten, die sie selbst anscheinend noch gar nicht weiter geprüft haben, direkt an einen der israelischen Geheimdienste weiter: „NSA: Nun auch geheimdienstliches Abkommen mit Israel zum Datentausch“ – netzpolitik.org

Mark Zuckerberg meldete sich im Zusammenhang mit staatlichen Datensilos ebenfalls zu Wort. Statt aber zu sagen, dass er die Daten, die er mittels Facebook sammelt, gar nicht erst an Behörden weitergeben will oder, dass sich Facebook für bessere Gesetze zum Datenschutz einsetzen möchte, meint er: Die NSA hat’s verbockt. Weiter: Facebook wäre ja gern transparenter, darf aber nicht. Die gesamte Problematik scheint mehr als schlecht kommuniziert betrachtet zu werden, denn als wirklicher Datensammel-Skandal.

Es bleibt also dabei: Dass die NSA und ähnliche Organisationen Zugriff auf nahezu jeden Aspekt privaten Lebens haben, ist nicht verwunderlich. Eine Organisation, die Daten und Geheimnisse von Menschen sammelt, kann sich alleine dadurch weitere Zugänge zu noch mehr Informationen erschließen: Firmen und Politiker sind angreif- und erpressbar.

The History of „Lauschen“

Richard Gutjahr schreibt auf seinem Blog den „Versuch eines Kommen­tars“ zu PRISM. Er lässt dabei leider einige wichtige Punkte aus:

Das Problem an PRISM ist nicht nur, dass die NSA Daten über Ausländer sammelt und diese speichert, sondern vielmehr, dass dies mit Wissen der europäischen Regierungen passiert. Ja, noch viel schlimmer: Die Auslandsgeheim­dienste Europas stehen bei der NSA Schlange, denn dort können sie sich die Daten über ihre eigenen Bürger holen, die sie innerhalb ihres Auftrags gar nicht erfassen dürfen. Vom belgischen und niederländischen Auslandsgeheim­dienst ist das bestätigt, in Österreich besteht dieser Verdacht in Bezug auf das Heeresnachrichtenamt. Wer glaubt, die anderen Länder und Dienste würden darauf verzichten, nun ja…

Blicken wir zurück auf die Geschichte, sehen wir (dort am Beispiel der NSA), woraus die Geheimdienste gemacht sind, worauf sie aufbauen. Sie sind Relikte aus der Zeit der Weltkriege, gebaut aus Organisationen und besetzt mit Menschen, die Informa­tionen über andere sammeln, um Macht über sie erlangen zu können – um sie erpressen und auspressen zu können.

Warum lassen wir das zu? Glauben wir an eine Sicherheit durch Überwachung? Hat das bisher funktioniert? Der Verfassungsschutz konnte die Opfer des NSU nicht schützen – vielmehr ist davon auszugehen, dass er den NSU mit den nötigen Mitteln versorgt hat – zum Beispiel über die Bezahlung von V-Leuten, die diese Mittel natürlich für ihre Zwecke einsetzen. Schlechte Arbeit oder bewusstes Zutun? Auch die Aufklärung verschleppt sich, wenn Akten geschreddert werden. Es darf auch die Frage gestellt werden, ob Terrorismus wirklich eine so große Gefahr darstellt, wie die Behörden uns weiß machen wollen, um mehr Geld für ihren Überwachungsapparat abzweigen zu können (off-topic-Statistik).

Ich höre und lese viel zu selten Aussagen wie:

Diese Welt wird letztendlich nur dann irgendwann wirklich demokratisch und freiheitlich werden, wenn wir es weltweit schaffen, Phänomene wie (nationale) Geheimdienste zu überwinden. – Thomas Stadler auf CARTA.info und seinem Blog

Er stellt auch fest:

Wer nun meint oder behauptet, die EU könne US-Programmen wie Prism etwa durch die geplante Datenschutz­grundverordnung Einhalt gebieten, hat nicht verstanden, auf welcher Grundlage und nach welcher Logik Geheimdienste agieren. – Thomas Stadler auf CARTA.info und seinem Blog

Wir brauchen keine Geheimdienste – sie verschlingen Geld, das wir besser in Energie- und Bildungsfortschritt investieren würden. Sicherer wird die Welt durch sie nicht, vielmehr führen wir durch sie ständig Krieg mit ande­ren Nationen und deren Diensten.