Transparenz und virtuelle Identitaet Schutzschilde gegen die NSA

irena.grbic.uni-linz, 17. Jänner 2017, 15:04

 

Im Juni 2013 begannen die britische Zeitung The Guardian und die amerikanische Zeitung The Washington Post, geheime Dokumente der amerikanischen National Security Agency (NSA) zu veröffentlichen. Die Dokumente wurden von Edward Snowden zur Verfügung gestellt und zeigten in welchem enormen Ausmaß jede Form elektronischer Kommunikation überwacht wird. Das Ziel der NSA-Überwachung ist die Kontrolle aller digitalen Kommunikations- und Kommunikationsmetadaten im gesamten Internet. (Vgl. Q1, S. 71)

Ausgedrückt in Datenkategorien des deutschen Rechts werden folgende Daten auf unbestimmte Zeit zentral von der NSA gespeichert. (ebd. S. 72)

  • Bestands- und Verkehrsdaten nach Telekommunikationsgesetz (TKG)
  • Bestands- und Nutzungsdaten nach Telemediengesetz (TMG)
  • Inhaltsdaten nach Bundesdatenschutzgesetz (BDSG)

Die Spähaktionen greifen in die Grundrechte aller Internetnutzer ein. Seitens der NSA werden die Spähaktionen mit dem 11. September 2001 und den seitherigen islamistischen Terroranschlägen begründet. Durch die umfassende Überwachung seien in den letzten Jahren 54 Anschläge verhindert worden. Diese Behauptung dient der nachträglichen Rechtfertigung und ist nicht belegt. (ebd. S.72)

 

Abwehrmaßnahmen

Schutz von Verbindungsdaten

Verbindungsdaten sind bei der Telekommunikation anfallende Metadaten wie z. B. Telefonnummern, E-Mail-Adressen, Zeit und Ort von Verbindungen und IP-Adressen. Bei Speicherung dieser Daten, verraten sie Details über alle betroffenen Personen. Die Daten können einfach strukturiert, verarbeitet und miteinander verknüpft werden. (ebd. S. 74)

Eine anonyme Nutzung des Internets kann durch die Verwendung von Anonymisierungsdiensten wie Tor oder JonDonym erzielt werden. Dabei erfolgt eine mehrfache Verschlüssenlung aller Daten auf dem Computer des Nutzers und eine Weiterleitung über mehrere Knoten zum eigentlichen Ziel. Durch die Verschlüsselung kennt keiner der Beteiligten die Quelle oder das Ziel der Kommunikation. Eine Deanonymisierung ist somit sehr schwierig, jedoch nicht unmöglich. Denn Sicherheitslücken im Tor-Dienst oder auf den Computern der Nutzer können teilweise dazu führen, dass Nutzer deanonymisiert werden. (ebd. S. 74)

Bei der E-Mail-Kommunikation gibt es keine direkte Möglichkeit, alle Verbindungsdaten zu verschleiern. Auch bei Verwendung von Ende-zu-Ende-Verschlüsselung, fallen immer noch Verbindungsdaten an, die sich aufgrund des Aufbaus des E-Mail-Protokolls nicht vermeiden lassen (z. B. Adressen von Sender und Empfänger). (ebd. S. 74)

Für die bei der Mobilkommunikation anfallenden Verbindungsdaten gibt es nur sehr wenige Möglichkeiten der Anonymisierung. Anonyme SIM-Karten und die Verwendung von Internet-basierten Kommunikationsdiensten (z. B. SilentPhone) verringern die anfallenden Verbindungsdaten, eine komplette Vermeidung ist hier allerdings nicht möglich. (ebd. S. 74)

 

Schutz von Kommunikationsinhalten

Kommunikationsinhalte sind alles, was zwischen Kommunikationspartnern ausgetauscht wird, wie z. B. der Inhalt von E-Mails, SMS, Telefon- und VoIP-Gesprächen sowie Instantmessaging und Chat. Zentraler Baustein des Schutzes von Kommunikationsinhalten ist deren Verschlüsselung. (ebd. S. 75)

Die Übertragung von Telefongesprächen über das Festnetz erfolgt grundsätzlich unverschlüsselt und eröffnet somit verschiedene Angriffsmöglichkeiten. Die zunehmende Übertragung von Telefongesprächen über das Internet durch VoIP eröffnet weitere Angriffsmöglichkeiten. Die Kommunikationsinhalte in Form von Datenpaketen sind allen Angriffsmöglichkeiten ausgesetzt, die in IP-Datennetzen bestehen.

Mobilfunkgespräche oder SMS werden grundsätzlich verschlüsselt übertragen. Alternativ zu den verwendeten GSM-Verschlüsselungsstandards können Mobilfunkgespräche oder SMS unter Verwendung von speziellen Smartphone-Apps verschlüsselt werden. (ebd. S. 75)

Die SMS-Kommunikation wird zunehmend durch die Verwendung von Messenger-Apps, wie z. B. WhatsApp, Viber oder Google Hangouts ersetzt. Diese verwenden häufig gar keine oder nur unzureichende Verschlüsselung und die Kommunikationsinhalte sind meist nicht vor einem neugierigen Betreiber geschützt. Ein besserer Schutz ist gegeben, wenn die Messenger-App eine Ende-zu-Ende Verschlüsselung, bei der die Inhalte direkt auf dem Gerät des Absenders verschlüsselt werden und erst auf dem Gerät des Empfängers wieder entschlüsselt werden, verwendet. Ist der Quellcode der App für den Nutzer nicht einsehbar, muss er auch hier dem Betreiber vertrauen, dass dieser nicht durch Einbau von Hintertüren oder Manipulation des Programmcodes versucht in den Besitz der geheimen Nutzerschlüssel zu kommen. Abhilfe hierzu schaffen Open Source Apps, bei denen die Verschlüsselung auf ihre korrekte Funktionalität hin überprüft werden und somit höhere Sicherheitsanforderungen erfüllt. Jedoch sind diese Art von Apps derzeit noch wenig verbreitet und auch in Funktionsumfang und Bedienung nicht mit den am häufigsten genutzten Anwendungen vergleichbar. (ebd. S. 75)

Im E-Mail-Bereich gibt es schon lange Möglichkeiten der Verschlüsselung. Es können E-Mails durch Transportverschlüsselung geschützt werden. Sie können damit auf den Teilstrecken vom Gerät des Absenders zu dessen E-Mail-Anbieter, zwischen den Anbietern von Absender und Empfänger, sowie zwischen Anbieter und Gerät des Empfängers mit SSL geschützt werden. Waren noch 2013 Schätzungen zu Folge nur 15 % des deutschen E-Mail-Verkehrs verschlüsselt, ist derzeit zwischen einigen E-Mail-Anbietern nur noch ein durchgehend mit SSL verschlüsselter Versand möglich. (ebd. S. 75) Eine bessere Alternative zur Ende-zu-Ende-Verschlüsselung durch den E-Mail-Anbieter ist die Lösung in Form einer Open Source Software. Dabei wird der geheime Schlüssel auf dem Gerät des Nutzers erzeugt und auch nur dort gespeichert. Durch die Client-Software, deren Quellcode einsehbar ist und geprüft werden kann, können E-Mails dann ver- und entschlüsselt werden. Bisher verfügbare Verschlüsselungssoftware stellt jedoch in puncto Benutzbarkeit für die meisten Nutzer eine zu große Hürde dar, so dass einem flächendeckenden Einsatz von vornherein Schranken gesetzt sind. (ebd. S. 76)

 

Technische Forschungsaufgaben

Verbesserung von Verschlüsselung

Die Förderung von Open Source Software, Maßnahmen zur Förderung von unabhängigen Überprüfungen der Implementierungen und Weiterentwicklungen von Ende-zu-Ende-Verschlüsselung mit dem Ziel einer konsequenten Umsetzung könnten einen großen Beitrag zum Schutz von Massenüberwachung leisten. (ebd. S. 76)

Nutzbarkeit vs. Sicherheit

Ein Problem bei der Umsetzung von Sicherheitsmechanismen ist die meinst negative Auswirkung von Sicherheit auf die Benutzbarkeit von Systemen. Im Zweifelsfall werden Nutzer den einfacheren, jedoch meist unsicheren Weg wählen. Daher sollten die Sicherheitsmechanismen möglichst so umgesetzt werden, dass die Erhöhung der Sicherheit, z. B. durch Verschlüsselung, sich nicht negativ auf die Benutzbarkeit auswirkt. (ebd. S. 76)

Security und Privacy by Design

Zur Erreichung einer optimalen Absicherung von Systemen und Produkten, sollten die Punkte Privacy und Sicherheit über den gesamten Entwicklungsprozess und Lebenszyklus berücksichtigt werden. Beim Entwurf von Software und Diensten sollten entsprechende Schutzmechanismen eingeplant werden. Somit können die Kosten für die Umsetzung minimal gehalten werden. (ebd. S. 76)

Technischer Schutz von Verbindungsdaten

Für die Bereiche, in denen es für Bürger keine Möglichkeiten gibt, die anfallenden Verbindungsdaten zu verhindern oder zu verschleiern (z. B. Mobilfunk oder E-Mail-Kommunikation) sollten neue Anonymisierungstechniken entwickelt werden. (ebd. S. 76)

 

Fazit

Der Schutz von Verbindungsdaten und Kommunikationsdaten ist angesichts einer totalen Überwachung der Tele- und Internetkommunikation durch ausländische Staaten zur Staatsaufgabe geworden. Die zuvor beschriebenen technischen Lösungen, sollten gefördert und verbreitet werden. Denkbare Maßnahmen zur Umsetzung wären z. B. die Aufklärung über Verschlüsselung und Anonymisierung, die Aufhebung von Identifizierungspflichten im Telekommunikationsrecht oder die öffentlich-rechtliche Verpflichtung von Telekommunikationsanbietern, für ihre Kunden einfache und leicht zu bedienende Möglichkeiten der Ende-zu-Ende-Verschlüsselung bereitzustellen. So können den Bürgern Schutzschilde ermöglicht werden, mit denen diese sich einer Totalüberwachung entziehen und ihre Persönlichkeit auch im Internet frei entfalten können.

 

Quellen

Hahn, Tobias; Johannes, Paul; Lange Benjamin: Schutzschilde gegen die NSA, in: Datenschutz und Datensicherheit; 39, 2/2015, S. 71-77

 

0 comments :: Kommentieren