Massenüberwachung und Sicherheit im Internet

Vor nicht ganz fünf Jahren hatte Edward Snowden mit der Enthüllung von als geheim klassifizierten Unterlagen auf eine seit spätestens 2007 stattfindende, verdeckte, verdachtsunabhängige und in globalem Massstab durchgeführte Massenüberwachung der Netz- und Telekommunikation auf Vorrat durch die “Five Eyes” (Australien, Kanada, Neuseeland, Grossbritannien und die USA) aufmerksam gemacht. Darunter gehören Überwachungsprogramme wie beispielsweise PRISM (mit der mehr oder weniger freiwilligen Beteiligung von Microsoft, Yahoo!, Google, Facebook, Paltalk, YouTube, AOL, Skype und Apple), XKeyscore (ein System, welches anhand von Metadaten und Inhalte eine nahezu unlimitierte Überwachung von jeder Person weltweit ermöglicht) und Tempora (Abschöpfen und Zwischenspeichern nahezu des gesamten Datenverkehrs im Internet direkt ab den Netzknotenpunkten und den transatlantische Datenverbindungen). War die Empörung der Öffentlichkeit nach Snowdens Veröffentlichungen auch gross, so hat sich diese zwischenzeitlich weitgehend gelegt, und die Nachrichtendienste haben mittlerweile wieder annähernd freie Hand Daten in grossem Stil abzuschöpfen, auszuwerten und abzuspeichern. Es ist sogar davon auszugehen, dass die Methoden der “Five Eyes” und ihren grösseren Partnern heute sogar noch ausgefeilter sind. Die anfänglich vereinzelt vorhandenen Proteste haben wenig, wenn gar nichts bewirkt: In den USA bestehen die rechtlichen Grundlagen für PRISM und co unverändert weiter. Auch US-Präsident Donald Trump scheint nicht die Absicht zu haben, das Gebaren der US-Geheimdienste einzuschränken.

Doch hilft die globale Massenüberwachung nicht Terrorismus zu verhindern? Bis heute gibt es keine Fakten welche diese These untermauern. So waren die meisten der Attentäter, welche in den letzten 15 Jahren Anschläge durchgeführt hatten, den Behörden bereits bekannt. Oftmals stehen ganz andere Personen und Interessen im Fokus der Nachrichtendienste. So erlauben es die rechtlichen Grundlagen in den USA das Abhören von ausländischen Bürokraten sowie das Sammeln von wirtschafts- und entscheidungsrelevanten Informationen, beispielsweise zur Vorhersage des zukünftigen Ölpreises oder zum Erlangen einer vorteilhaften Lage bei internationalen Verhandlungen — und die NSA sind nicht die einzigen, welche eher politische und wirtschaftliche Ziele verfolgen (Emmanuel-Pierre Guittet, “Is Mass Surveillance Effective in the Fight against Terrorism?“, Mapping Security, 11.12.2015).

Zugriff auf eine Website ohne Anonymisierung und ohne Verschlüsselung: Identifizierung und das Abfangen von Daten ist möglich (zum Vergrössern klicken). Potentiell liest jeder mit.

Zugriff auf eine Website ohne Anonymisierung und ohne Verschlüsselung: Identifizierung und das Abfangen von Daten ist möglich (zum Vergrössern klicken). Potentiell liest jeder mit.

Unproblematisch ist auch nicht, dass sich verschiedene Nachrichtendienste und Strafverfolgungsbehörden ungehindert aus dem gleichen Datenpool bedienen (Sam Adler-Bell, “10 Reasons You Should Still Worry About NSA Surveillance“, The Century Foundation, 16.03.2017). Damit werden Voraussetzungen zum Aushebeln der Unschuldsvermutung geschaffen. Es handelt sich dabei um nichts Geringeres als um ein Menschenrecht (Art. 11 der Allgemeinen Erklärung der Menschenrechte) und um ein Grundprinzip, welches ein rechtsstaatliches Verfahren von einer Hexenjagd unterscheidet. Es ist beispielsweise für eine Person viel schwieriger zu beweisen, weshalb die Recherche zum Thema “Terrorismus” nur zur Abdeckung des eigenen Wissensdranges und nicht zur Vorbereitung eines Anschlags gedacht war, als wenn staatliche Behörden nicht nur wage Indizien, sondern ein konkretes Vergehen nachweisen müssen (der eine oder andere Student kann ein Lied davon singen — siehe beispielsweise hier, hier und hier). Gleichzeitig wird auch noch ein weiteres grundlegendes Menschenrecht missachtet: das Recht auf den Schutz der Privatsphäre (Art. 12).

Die massenhafte verdachtsunabhängige Anhäufung von Daten stellt nicht nur jeden Einzelnen unter einen unverhältnismässigen Generalverdacht, sondern repräsentiert eine Respektlosigkeit vor grundlegenden Menschenrechten. Snowdens Enthüllungen haben an der Datensammelwut grosser Nachrichtendienste nichts verändert. So scheint auch das NSA Data Center in Utah nach einigen Anfangsschwierigkeiten 2014 in Betrieb genommen worden zu sein. Hier werden die durch PRISM und durch die anderen Überwachungsprogramme gesammelten Daten ausgewertet und abgespeichert. Gemäss William Binney, ehemaliger führender technischer Leiter bei der NSA, fasst dieses Datenzentrum alleine mindestens 5 Zettabyte (5’000’000’000’000’000’000’000 Byte) Daten, was für die nächsten 100 Jahre ausreichen sollte.

We kill people based on metadata. — General Michael Hayden, ehemaliger Direktor der NSA und der CIA in “The Price of Privacy: Re-Evaluating the NSA“, The Johns Hopkins Foreign Affairs Symposium, 2014, ab 18′.

Doch die “Five Eyes” sind nicht die einzigen, welche massenhaft Netz- und Telekommunikationsdaten abschöpfen. Der Deutsche Bundesnachrichtendienst (BND) sammelt pro Tag rund 220 Millionen Datensätze an Metadaten und speichert diese bis zu 10 Jahre (Stand: 2014; siehe auch: Kai Biermann, “BND speichert jeden Tag 220 Millionen Metadaten“, Die Zeit, 06.02.2015). Davon übergibt der BND monatlich 1,3 Millionen Datensätze der NSA. Die Schweiz führt nicht nur aber insbesondere Satelliten- und Telekommunikationsüberwachung von Internet-Verbindungen durch. Unter dem Namen ONYX hat der Nachrichtendienst des Bundes (NDB) quasi eine kleinere Variante des globalen Abhörsystems ECHELON am Laufen. Nachrichtendienst ist ein Tauschgeschäft und so arbeitet auch der NDB mit anderen ausländischen Nachrichtendiensten zusammen. Ohne Gegenleistung würde die Schweiz keine Schlüsselinformationen von den Amerikanern erhalten, wie dies beispielsweise im September 2014 der Fall war (vgl.: Thomas Knellwolf, “Terrormiliz IS plante Anschlag in der Schweiz“, Tagesanzeiger, 23.09.2014). Ausgerechnet am Tag, als Bundesrat Ueli Maurer behauptete, dass es zwischen dem NDB und der NSA “keine Kontakte” gab, wurden in Edward Snowdens geleakten NSA-Dokumenten die Schweiz explizit als Kooperationspartner genannt (siehe Bild unten).

Trotz aller Kritik: In einem Rechtsstaat gibt es politische Kontrollinstanzen, welche je nach Staat eher schwach (USA) oder stärker (Schweiz) ausgeprägt sind. Deutlich ungemütlicher sieht die Situation in wenig rechtsstaatlichen oder gar autoritären Regimen aus, unabhängig davon, ob eine Person dort lebt, geschäftlich dort tätig ist oder seine Ferien dort verbringt. Insbesondere auch in solchen Regionen muss davon ausgegangen werden, dass ohne Schutz sämtlicher Netz- und Telekommunikationsverkehr mitgeschnitten, ausgewertet und abgespeichert wird. Dabei könnten die Grenzen zwischen staatlichen Nachrichtendiensten und kriminellen bzw. gewaltbereiten Gruppen fliessend sein. Ausserdem kann eine kritische Berichterstattung in solchen Staaten schnell mal zu langjährigen Haftstrafen führen (oder noch schlimmer). Entwickeln dort Ansässige womöglich noch eine gewisse Sensibilität sich zu schützen (oder sich zu zensurieren), machen Geschäftsleute und Touristen es solchen oftmals dubiosen Organisationen einfach. Offene drahtlose Netzwerke in Internetkaffees und Hotels laden zum Arbeiten und Surfen ein. Werden dabei auch wirklich alle Daten jederzeit verschlüsselt übertragen? Wer weiss schon, wer alles an diesen drahtlosen Netzwerken mithört bzw. wer sie betreibt (nur weil “Starbucks” draufsteht, heisst das noch lange nicht, dass es von Starbucks betrieben wird — siehe Video unten).

Ach, Sie haben nichts zu verbergen? Dann legen Sie doch all ihre Passwörter, Emails, Kreditkartendaten, Bankauszüge, Lohnausweise, Steuererklärungen, politische Orientierung, den gesundheitlichen Zustand, die sexuellen Vorlieben usw. offen (siehe auch hier, hier, hier oder hier).

Es geht jedoch nicht nur um die Rechte und die Sicherheit eines jeden Einzelnen. Überwachung beeinflusst das Verhalten einer Gesellschaft nachhaltig. Dieser gesellschaftliche Effekt will sich die chinesische Regierung (und Alibaba Group) zu Nutzen machen: Bis 2020 soll ein momentan bereits teilweise implementiertes “Social Credit” System verbindlich werden. Die Punktverteilung wird unter anderem durch das Verhalten im Internet beeinflusst — natürlich immer aus Sicht der Regierung. Damit aber nicht genug: Bei der Auswertung und der dementsprechenden Bewertung werden auch offline erfasste Daten berücksichtigt. So kann beispielsweise der Erwerb von inländischen Gütern die Bewertung eher positiv, der Import aus gewissen Staaten eher negativ beeinflussen. Das “Social Rating” wird aber nicht nur durch eigene Handlungen beeinflusst, sondern auch mit wem eine Person befreundet ist. Je nach Bewertung steigt beispielsweise die Kreditwürdigkeit, der Zugang zu Arbeitsstellen und die Priorität mit der bürokratische Prozesse abgewickelt werden — umgekehrt werden Personen mit einer schlechten Bewertung in diesen Bereichen nachteilig behandelt (Stanley Lubman, “China’s ‘Social Credit’ System: Turning Big Data Into Mass Surveillance“, Wall Street Journal, 21.12.2016). Ein solches System implementiert eine soziale Kontrolle, welche Personen, die von der Norm abweichen, unter erheblichen Druck setzt. Indirekt wird damit ein gesellschaftliches Umerziehungsprogramm gestartet, welches staatlich konformes Verhalten erzwingt, ohne dass die Regierung dabei nur einen Finger rühren muss.

China ist zwar das herausstechende Beispiel eines solchen “Social Credit” Systems, doch ähnliche Ansätze sind international erkennbar. Unternehmen, welche die Kreditwürdigkeit von einer Person beurteilen, gibt es bereits seit langem. Wer kein Uber-Taxi mehr bekommt, hat sich womöglich mal in einem solchen übergeben (jedenfalls weiss Uber, ob ihre Kunden einen One-Night-Stand hatten). Wer die Augen aufmacht, wird bereits heute bei vielen Dienstleistungen und Apps solche Bewertungssysteme entdecken. Langfristig problematisch wird dies, wenn zunehmend unabhängige soziale Aspekte berücksichtigt und ausgewertet werden. Ein Beispiel dafür ist die dänische Firma Deemly. In diesem Zusammenhang scheint die Episode “Nosedive” aus der technologie- und gesellschaftskritischen Serie “Black Mirror” prophezeienden Charakter zu besitzen.

Solche langfristigen Tendenzen und deren gesellschaftlichen Auswirkungen können nur durch einen gesetzlich verankerten Schutz der Privatsphäre und der Personaldaten (inklusive der anfallenden Metadaten) angegangen werden. Dabei fällt dem Staat eine Vorreiterrolle und eine Vorbildfunktion zu. Da wir jedoch noch nicht so weit sind, und die momentane Entwicklung keinen Grund für überschwänglichen Optimismus liefert, lohnt es sich, einen gewissen minimalen Eigenschutz aufzubauen.

Doch sind solche Schutzmassnahmen technisch nicht komplex und aufwendig? Dieses Argument ist nicht ganz von der Hand zu weisen — ganz von alleine verbessert sich der Schutz der Privatsphäre und die Sicherheit der Daten nicht. Der Austausch von verschlüsselten Emails zwischen Edward Snowden und dem Journalisten Glenn Greenwald scheiterte anfänglich an der Komplexität des Verschlüsselungsprogramms PGP — trotz oder erst recht nach Snowdens 12 Minuten langem Erklär-Video (Andy Greenberg, “The ultra-simple App that lets anyone encrypt anything“, Wired, 07.03.2014). Mit einigen Beispielen und weiterführenden Verweisen möchten wir jedoch aufzeigen, dass das Erreichen eines gewissen Grundschutzes keine Hexerei darstellt. Der Umfang der Schutzmassnahmen und deren Komplexität ist natürlich auch von der jeweiligen persönlichen Risikoeinschätzung abhängig. Wenn beispielsweise jemand in einem autoritären Staat einen Artikel für offiziere.ch schreibt, in dem er die Politik der Regierung kritisiert oder in welchem öffentlich zugängliche nachrichtendienstliche Informationen wiedergegeben werden, so sollte der Autor zumindest auf eine verschlüsselte Verbindung achten. Das ist auch der Grund, dass nach einer längeren Testphase offiziere.ch in jedem Fall eine verschlüsselte Verbindung erzwingt (erkennbar am “https://” in der Adressleiste des Browsers oder am geschlossenen Schloss) — Aufwand für den Benutzer: Null. Das ist aber nicht alles: Wenn möglich werden alle Links, die auf offiziere.ch enthalten sind, in der verschlüsselten Version ausgeliefert. Das heisst, dass ein Verweis auf Wikipedia — unabhängig, wie er ursprünglich in einem Artikel verlinkt wurde — in der verschlüsselten Variante aufgerufen wird (das ist natürlich nur dort möglich, wo eine solche Variante auch tatsächlich angeboten wird).

Zugriff auf eine Website ohne Anonymisierung aber mit Verschlüsselung: Die Inhalte sind geschützt, Meta-Daten fallen aber an und sind für alle sichtbar (zum Vergrössern klicken).

Zugriff auf eine Website ohne Anonymisierung aber mit Verschlüsselung: Die Inhalte sind geschützt, Meta-Daten fallen aber an und sind für alle sichtbar (zum Vergrössern klicken).

Mit der oben beschriebenen Massnahme, bei welchen der Benutzer selber nichts unternehmen muss, werden die Inhaltsdaten verschlüsselt, was die Abhörsicherheit erhöht. Die Abdeckung kann mit wenig Mehrarbeit deutlich erhöht werden: Für so gut wie jeden Webbrowser gibt es das Add-on https-everywhere, welches dafür sorgt, dass der Benutzer, wenn vorhanden, immer zu der verschlüsselten Variante einer Webseite gelangt. Dies verhindert jedoch das Anfallen von Metadaten nicht. Es ist immer noch ersichtlich wer mit wem wie lange kommuniziert (und noch einiges mehr). Anonymität ist also viel schwieriger zu erreichen und Verschlüsselung ist nur der erste Schritt dazu.

Der Aufwand der Anonymisierung ist auch davon abhängig, von wem die Identität versteckt werden soll. Es nützt beispielsweise wenig, wenn Meta-Daten verschleiert werden, der Autor jedoch bei Facebook auf den eben grad publizierten systemkritischen Artikel hinweist. Nur schon das Einloggen bei Facebook kann die Anonymität gefährden. Solange diese Authentifizierung im Wissen des Benutzers geschieht, ist dagegen nichts einzuwenden, doch es gibt auch Anwendungen, bei denen dies automatisch geschehen kann (ein Google-Account für alles Mögliche) oder wo es für den Benutzer verborgen bleibt. Eine dieser verborgenen Methoden ist das “Fingerprinting” bei dem der Browser von sich aus Metadaten überträgt, wie beispielsweise der Standort des Benutzers, wenn dies nicht durch geeignete Massnahmen unterbunden wird. Wenn jemand sich also bei der Webseite A anmeldet und dann versucht anonym auf Inhalte der Webseite B zuzugreifen, dann kann eine Organisation, welche auf die Datenströme zu beiden Webseiten Zugriff hat, anhand des “Fingerprints” des Browsers feststellen, dass bei beiden Webseiten der gleiche Benutzer zugegriffen hat. Ein solches Fingerprinting zu verhindern ist für den Benutzer mit einem sehr hohen Aufwand verbunden (das Verhindern von Cookies reicht dazu nicht aus), ausser er benutzt ausschliesslich den Tor Browser oder Tails.

Der Tor Browser verschlüsselt und anonymisiert den gesamten Web-Datenstrom und überwindet Internet-Zensur mit nahezu keinem Aufwand für den Benutzer. Tails stellt ein eigenes Betriebssystem dar, welches die Privatsphäre und die Anonymität des Benutzers schützt, doch hier ist der Aufwand für den Benutzer schon etwas höher, denn er schränkt sich auf ein bestimmtes Betriebssystem mit einer bestimmten Auswahl von Anwendungsprogrammen ein. Ein interessantes, am Anfang befindliches und hinsichtlich Anonymisierung womöglich (noch) nicht vollständig ausreichendes Projekt stellt TorBox dar. TorBox erstellt ein eigenes drahtloses Netzwerk mit dem sich Desktop, Laptop, Tablets und Smartphone verbinden können und deren Daten verschlüsselt über das Tor-Netzwerk geleitet wird. Die Verantwortung, dass die Anonymität nicht durch Methoden wie beispielsweise “Fingerprinting” gebrochen wird, liegt jedoch beim Benutzer (die Webseite hat dazu jedoch einige gute Tips).

Anonymisierter (mit Tor) Zugriff auf eine Website und mit Verschlüsselung: Die Inhalte sind geschützt und Meta-Daten verschleiert (zum Vergrössern klicken).

Anonymisierter (mit Tor) Zugriff auf eine Website und mit Verschlüsselung: Die Inhalte sind geschützt und Meta-Daten verschleiert (zum Vergrössern klicken).

Die oben genannten Massnahmen stellen natürlich nur den Anfang eines umfassenden Sicherheitskonzeptes dar. Weiterführende Massnahmen schliessen beispielsweise das Verschlüsseln der Datenträger, das Sicherstellen von starken Passwörtern (welche jedoch aufgrund der Verfügbarkeit von guten Passwortmanagern nicht auswendig gelernt werden müssen), das Verwenden einer sicheren Email-Umgebung, das Übertragen von verschlüsselten Daten und vieles mehr ein. All diese Massnahmen würden den Umfang dieses Artikels sprengen, doch zum Glück gibt es dazu umfangreiche, weiterführende Informationen. Vom Tactical Technology Collective gibt es unter dem Projektnamen “Security in-a-Box” eine umfassende Auswahl von How-Tos. Wurde der Account bereits gehackt, das Smartphone bereits geklaut, Malware eingefangen oder ist man einer Denial of Service Attacke ausgesetzt, bietet Digital Defenders mit ihrem “Digital First Aid Kit” erste Hilfe. Für Journalisten sei insbesondere der “Journalist Security Guide” vom Committee to Protect Journalists empfohlen.

Bemerkungen oder weitere Tips? Beteiligen Sie sich mit einem Eintrag im unten aufgeführten Kommentarbereich!

This entry was posted in General Knowledge.

2 Responses to Massenüberwachung und Sicherheit im Internet

  1. Heinz Dieter Jopp says:

    Vielen Dank für diesen Beitrag. Er ist nicht nur excellent recherchiert sondern zeigt Möglichkeiten zur Verbesserung persönlicher Sicherheit vor den Datenkraken von Regierungen. Und nicht auf Andere zeigen, um eigenes (Nicht)handeln zu entschuldigen.

  2. Roos Gregor says:

    Herzlichen Dank für diese interessante Information-. Als ehemaliger VA bin ich für diese Thematik sensibilisiert.
    Mit kameradschaftlichen Grüssen.
    Oberst a D Gregor Anton Roos
    Steelimattweg 9
    CH_3369 Herzogenbuchsee

Leave a Reply

Your email address will not be published. Required fields are marked *

This blog is kept spam free by WP-SpamFree.