TELEFON: +49 6227 8 99 40 55 - Mo. bis Fr., 09:00 bis 19:00 Uhr, Sa. 11:00 bis 14:00 Uhr

02. August 2013

Datensicherheit & Abh�rskandale

Kommentar zum Spiegel-Online-Artikel: http://www.spiegel.de/netzwelt/netzpolitik/xkeyscore-wie-die-nsa-ueberwachung-funktioniert-a-914187.html

 

Sowohl als Bürger, als auch als Unternehmer muss man sich inzwischen wirklich fragen, was für Auswirkungen mögliches „Abhören“, „Mitlesen“, bzw. sammeln meiner (Firmen-)Daten für mich zur Folge haben kann. Aus unserer Expertise als Internetagentur und Bürger dazu ein Versuch einer Einordnung.

 

Warum wird gesammelt?

Um das Ganze differenzierter zu sehen, sollte man sich zunächst einmal die Frage stellen, zu welchem Zweck Daten gesammelt werden. Hierbei gibt es aus unserer Sicht zwei herausstechende, fundamentale und ein tiefer anzusiedelndes Interesse zur Datensammelwut:

  • Zuerst zu nennen wäre da die Sicherheit von Staaten und Menschen. Es sollen Kriminelle und Terroristen ausfindig gemacht werden können. Ein absolut wichtiges Interesse! Vor allem, seitdem Bombenbauanleitungen im faktisch kaum regulierten Internet für jeden verfügbar sind
  • Ein weiteres fundamentales Interesse gilt der Wirtschaft eines Staates und deren Unternehmen. Wirtschaftsspionage. Man interessiert sich für Innovationen, Know How und Entwicklungsprozesse auf die man z. B. an der Börse wetten kann. Gerade im globalen Wettstreit gibt es hier ein hohes Interesse an Informationen. Rating Agenturen wären (oder sind) hier sicher ebenfalls ein dankbarer Abnehmer einiger dieser Daten und wer weiß wirklich, woraus Moody's oder Standard & Poor's ihre Schlüsse für ihre Ratings ziehen?
  • Ein bzgl. der Brisanz tiefer anzusiedelndes Interesse an Daten gibt es in der (regionalen) Wirtschaft gegenüber dem Kunden. Beispiel: Ein Autohaus verkauft seinem Kunden ein neues Auto. Bei dem Verkaufsgespräch erzählt der Käufer davon, dass er gerne ein ganz besonderes Sound-System in dem Auto verwenden wollen würde. Um dieses zu installieren, gibt es vom Hersteller aber noch keine technische Vorrichtung. Der Händler fragt, ob er den Kunden informieren soll, wenn es eine solche Vorrichtung gibt und notiert sich den Wunsch des Kunden. Ein halbes Jahr später gibt es diese Vorrichtung, der Kunde wird informiert und lässt sich das System installieren. Nach einem ganz ähnlichen Prinzip arbeiten Amazon und Online-Shops, in denen Sie gefragt werden, ob Sie zu einem bestimmten Produkt eine Ergänzung kaufen möchten, weil andere diese Ergänzung auch gekauft haben. Diese Websites merken sich Ihre vermeintlichen Wünsche (was Sie sich angesehen haben) und notieren sich diese Information ähnlich wie der Autohändler. Und zwar in einem sog. Cookie (http://de.wikipedia.org/wiki/HTTP-Cookie). Dies ist eine kleine Textdatei, die während Ihres Websitebesuches auf Ihren PC geschrieben wird. Aber mit dem Unterschied, dass man Sie nicht gefragt hat, ob Ihr Such- und Kaufverhalten auf dieser Website aufgezeichnet und genau zu diesem Zweck verwendet werden darf. In den Browserfunktionen kann man diese Cookie-Funktionalität abstellen oder eingrenzen (Cookies von Drittanbietern unterbinden) und/oder sich die Cookies und deren Inhalte ansehen.

Balance zwischen Aufwand und Nutzen

Wir profitieren alle davon, wenn viele Daten gesammelt und zielgerichtet und zu unserem Nutzen eingesetzt werden. Beispiele:

  • Der Verkehr in Städten und auf Autobahnen kann effektiver reguliert und organisiert- und so Staus und Unfälle deutlich reduziert werden. Hierzu wird z. B. daran geforscht, dass alle Autos ihren Standort sekundengenau via GPRS an ein großes Verkehrsrechenzentrum senden und dieses dann so die Verkehrsströme optimal lenken kann.
  • Es wäre wünschenswert, wenn der Notarzt bei einem Notfall gleich während der Fahrt zum Patienten die Krankenakte auf sein berufliches Smartphone oder Tablet übermittelt bekäme und damit anschließend sofort in der Lage ist, schnelle und auf den Patienten individuell abgestimmte medizinische Maßnahmen zu ergreifen. Dies geht aber nur, wenn die Patientenakte irgendwo zentral gespeichert und von allen, die mit der Krankengeschichte zu tun haben, abrufbar wäre.
  • So manches Smart-TV sendet heute schon Informationen an Sendeanstalten und den Hersteller des TV. Hier kann unser TV-Verhalten aufgezeichnet und das Programm so auf uns abgestimmt werden. Vorteil: Mein individuelles TV-Programm mit auf mich zugeschnittener Werbung, die mich wirklich interessiert.

Datenlecks und Datenmissbrauch

Aus unserer Sicht darf die Tatsache, dass es zuweilen unbeabsichtigte Datenlecks oder Missbrauch mit solchen Datensammlungen gibt nicht dazu führen, dass wir technischen Fortschritt aus Angst nicht zulassen oder zu stark begrenzen. Vielmehr muss mit Nachdruck daran gearbeitet und geforscht werden, Datensammlungen sicherer zu machen und einen hohen Schutz vor Missbrauch aufzubauen. Die Zeit lässt sich nicht mehr zurückdrehen. An diesem Punkt wird dann auch ein Dilemma deutlich: Auf der einen Seite stehen die Vorteile solcher Datensammlungen und auf der anderen Seite steht unser Wunsch, möglichst wenig zum gläsernen Bürger zu werden. Selbst wenn wir eigentlich nichts zu verbergen haben. Wie viel Transparenz über meine Person und mein Verhalten will ich also zulassen, um die  Vorteile nutzen zu können? Und vor allem: wie kommen wir Bürger dazu, den Grad der Transparenz selbst regulieren zu können? Denn ich hätte gerne die Möglichkeit, meine „Gläsernheit“ und die daraus resultierenden Vor- und Nachteile selbst regulieren und kontrollieren zu können. Ab diesem Punkt sind innovative Vorschläge aus dem Bereich der Technik und Entscheidungen der Politik gefragt. Und deswegen dürfen wir Bürger nicht nachlassen, der Politik Druck zu machen, sich in diesem Themenfeld dauerhaft zu engagieren. Und eine wichtige Forderung muss lauten: Solange es nicht um Strafverfolgung oder Vereitelung von Straftaten geht, wollen wir vorher wissen und so entscheiden können, ob Daten über uns gespeichert und verwendet werden dürfen! Egal in welchem Medium und von wem. Weltweit.

 

Nachrichtendienste und die aktuellen Skandale

Wir wissen aktuell tatsächlich nicht, in welchem Umfang wir durch Nachrichtendienste wirklich „abgehört“ werden und wie das Abhören genau organisiert ist. Die sog. „Wistleblower“ geben uns hier auch nur unbestätigte Hinweise. Aber wenn es stimmt und Nachrichtendienste den Internetverkehr und möglicherweise auch andere Datenleitungen so umfassend überwachen, dann kann man wohl von folgendem ausgehen:

  • Es können alle Telekommunikationsdaten protokolliert, gespeichert und ausgewertet werden. Hierbei schützen keine wechselnden IP-Adressen und auch die Verschlüsselung von Daten macht es den „Datendieben“ nur geringfügig schwerer. Zur Erläuterung: jedem PC, der sich im Internet befindet, wird beim Surfen eine sog. IP-Adresse (http://de.wikipedia.org/wiki/IP-Adresse) zugewiesen, anhand derer er identifiziert werden kann. Da ein Telefonanbieter nur über einen begrenzten Pool solcher Adressen verfügt, weist er jedem Teilnehmer im Internet immer wieder andere Adressen zu, wenn sich dieser mit dem Internet verbindet. Dabei wird vom Provider in sog. Logdateien protokolliert, wann wer welche IP-Adressen zugewiesen bekam. Und auch jeder Webserver (http://de.wikipedia.org/wiki/Webserver) - das ist der PC, der ständig im Internet präsent ist und auf dem Internetseiten zum Surfen für die Internet-User zur Verfügung stehen, verfügt über eine Server-Software, die alle Zugriffe in Logdateien speichert. Hierbei wird u. a. gespeichert, welche IP-Adresse wie lange auf welche Datei zugegriffen hat. Es lässt sich also lückenlos nachverfolgen, wann wer auf welcher Website gewesen ist und was sich derjenige dort angesehen hat. Es kann also eine konkrete Person mit sämtlicher Internetaktivität und vermutlich auch weitergehender Telekommunikationsaktivität (Telefon, Fax, Smart-TV…) vollständig ausspioniert werden. In Deutschland benötigt das BKA hierzu eine richterliche Anordnung und es muss ein hinreichender Tatverdacht vorliegen. Ob der BND über ähnliche Programme wie „Prism“ verfügt oder sich der Informationen aus den USA bedient, ist noch unklar.
  • Computerprogramme sichten diese Daten.
    Voraussichtlich werden die Daten von Computerprogrammen flächendeckend gesammelt und nach bestimmten Merkmalen durchsucht. Z. B. Hinweisen, die auf Extremismus hinweisen. Es können aber auch Merkmale sein, die Ausdruck darüber geben, ob ein Unternehmen in bestimmte Produkte oder Dienstleistungen investiert. Die Muster-Schablone, die auf die Daten gelegt wird und die der Computer abgleicht, ist also beliebig einstellbar. Je nachdem, welches Interesse derjenige hat, der die Daten nutzen will. Treten bestimmte Muster auf, gibt das Programm diese Datensätze dann zu einer spezielleren Prüfung weiter. An dieser- oder aber spätestens einer späteren Stelle wird sich ein Mensch mit diesen Daten beschäftigen.
  • Nachrichtendienst = Geheimdienst
    Voraussichtlich werden wir auch in Zukunft nicht detailliert erfahren, was die Nachrichtendienste wirklich tun. Denn diese Informationen würden dann auch Terroristen zur Verfügung stehen. Und die Frage ist auch, ob wir das wollen, wenn wir uneingeschränkte Transparenz fordern.

Microsoft, Google, Facebook und weitere…

Als bedenklich ist auch die Tatsache zu bewerten, dass oben genannte Unternehmen alles amerikanische Unternehmen ohne nennenswertes Gegengewicht am (globalen) Markt sind. Hieraus ergeben sich mehrere Probleme: Diese Unternehmen leiten Daten an die NSA weiter. Das haben sie selbst zugegeben. Und wer alles von diesen Daten profitiert, wissen wir noch gar nicht erschöpfend. Ein Beispiel: Microsoft ist das weltweit am meisten eingesetzte Betriebssystem auf Computern, auf denen sich privateste oder geschäftlich hochbrisante Daten befinden. Tiefer kann man in die Privatsphäre von Bürgern nicht eindringen. Viele Menschen geben auf Facebook ein äußerst detailliertes und persönliches Bild über sich selbst ab. Hieraus werden Menschen-Profile erstellt, die viel Geld wert sind und die Facebook gewerblich nutzt.

Und was ist, wenn Google einmal ausfällt? Oder Facebook? Oder was ist, wenn Mark Zuckerberg, der Gründer von Facebook sich plötzlich einer absurden Religionsgemeinschaft anschließt und Facebook über Nacht zu einem religiös fundamentalistischen Netzwerk umfunktioniert? Mit seiner neuen Botschaft würde er mit einem Schlag 1,11 Milliarden Menschen erreichen. Was für eine Macht in den Händen eines 29 Jahre jungen Computer-Nerds. Es gibt keinen adäquaten Ersatz und wir stützen mittlerweile einen Großteil unseres beruflichen und privaten Lebens auf diese Dienste. Wäre es ketzerisch, aufgrund der Bedeutung die diese Unternehmen mittlerweile in unserem Leben spielen, die Frage nach einer Verstaatlichung zu stellen? Vielleicht würde damit auch mehr Sicherheit für uns alle Einzug halten. Hoheitliche Aufgaben im Bereich der Sicherheit, der Gesundheit und der Bildung sind am besten beim Staat aufgehoben, da hier keine finanziellen Interessen im Vordergrund stehen. Und da es kaum mehr möglich ist, die Marktmacht von Google einzuholen, würden wir sagen: ja, vielleicht sollte man ernsthaft über eine Verstaatlichung der einzigen weltweit aktiven und mit Abstand größten Suchmaschine nachdenken, die uns alle so gut kennt, wie so manch bester Freund nicht.

 

Was für Schlüsse kann man aus diesen Sachverhalten ziehen?

  • Keine Panik! Wir können uns eh nicht sicher sein, ob unsere Daten nicht längst irgendwo aufgefangen werden. Und vielleicht ist es besser, grundsätzlich davon auszugehen, dass mind. ein Computerprogramm „mitliest“. Solange man im Internet keine kriminellen Handlungen durchführt oder man sich auf Websites mit brisanten, radikalen oder kriminellen Inhalten aufhält, dürfte man sich keinerlei Sorgen machen müssen. In Deutschland gelten jedenfalls noch Gesetze, die uns davor schützen, dass unsere Daten unerlaubt verwendet werden dürfen, wie es die NSA angeblich tut. Ein Ansatz, an dem allerdings deutlich wird, wie gespeicherte Daten bereits verwendet werden, sind die Schufa-Informationen. Unternehmen fordern diese an, um zu entscheiden, ob sie jemandem z. B. einen Kredit geben. Der Unterschied hierbei ist aber, dass wir davon Kenntnis haben, dass unsere Daten beim Kauf eines Produktes oder Inanspruchnahme eines Kredites bei der Schufa gespeichert werden. Und das Interesse eines Unternehmens, sich davor zu schützen, dass jemand einen Kredit anschließend nicht mehr bedienen kann, ist ja nun auch verständlich. Im Übrigen kann man seine Schufa-Informationen problemlos anfordern. Ein weitgehend transparentes System.
  • Wir sollten uns politisch dafür einsetzen, dass ein Höchstmaß an Aufklärung und Transparenz in das Thema nachrichtendienstlicher Aktivitäten der USA und auch Deutschlands hinein kommt. Auf diesem Hintergrund sollten wir uns alle die entsprechenden Passagen im Wahlprogramm unserer Wunschpartei ansehen und in wenigen Wochen das Kreuzchen an der richtigen Stelle setzen.
  • Verschlüsselungsmechanismen im Zusammenhang mit sensiblen Daten im Internet sollten nach wie vor unbedingt angewendet werden. Auch wenn es möglich ist, diese Verschlüsselungen zu knacken, so ist es dennoch ein wirksamer Schutz gegen technisch nicht so versierte Internetkriminelle und man macht den Datendieben der NSA das Mitlesen ein wenig schwerer. (Oder sich gerade dadurch verdächtig. Wie man´s macht, macht man´s falsch..) Dies gilt gerade auch für Unternehmen und deren Know How.
  • Stellen Sie Ihr Handy so ein, dass Unbefugte keinen Zugriff auf Ihre Daten bekommen und installieren Sie eine Sicherheitssoftware, wenn Sie damit im Internet surfen.
  • Kontrollieren Sie ganz genau die Daten, die Sie und Ihre Familie in sozialen Netzwerken veröffentlichen. Fragen Sie sich dabei immer, ob für Fremde diese Daten (auch zukünftig) zugänglich sein sollen. Gehen Sie bei der Entscheidung am besten davon aus, dass Ihre Daten mitgelesen werden und die Sicherheitsmechanismen in Facebook & Co eigentlich nur insofern wirksam sind, als das sie der breiten Öffentlichkeit oder bestimmten Gruppen oder bestimmten Personen den sichtbaren Zugang im Internet verwehren aber Nachrichtendiensten oder versierten Hackern Ihre Daten zur Verfügung stehen könnten.
  • Für Unternehmer: je nach Größe des Unternehmens sollten Sie in durchaus auch teure Sicherheitssoftware investieren. Der eigene Inhouse-Server auf dem sensible Daten liegen, sollte nicht an das Internet angeschlossen sein! Auch wenn das Einbußen an Flexibilität zur Folge hat.
  • Verwenden Sie keine CLOUD-Services im Internet! Hier wissen Sie nie, wie sicher Ihre Daten sind.
  • Und als letztes und 100%-sicheres Vorgehen: Absolut hochsensible Daten bespricht oder übergibt man persönlich.

 

 

Link zur vorhergehenden Seitezurück zur Übersicht     in der Seite nach oben springennach oben