Stevan Milic WebWi Blog

In dem Artikel von Schuster, S., v. d. Berg, M., Larrucea, X., Slewe, T. und Ide-Kostic, P. "Mass surveillance and technological policy options: Improving security of private communications" in "Computer Standards & Interfaces, Volume 50, February 2017, S. 76-82" wird beschrieben wie Regierungen und Unternehmen vorgehen um Bürger- beziehungsweise Nutzerdaten abzugreifen, und was man dagegen tun kann.

Inhalt

Seit den Enthüllungen von Edward Snowden wird in jedem Land über Themen wie nationale Sicherheit und Privatsphäre diskutiert. Besonders seit dem klar ist, dass die Überwachungspraktiken, die bürgerlichen Grundrechte verletzen. Daher ist es an der Zeit, die Sicherheit im Internet zu erhöhen - durch folgende Richtlinien: (vgl. Schuster/Berg/Larrucea/Slewe/Ide-Kostic 2017, S. 76)

• Verwendung von Technologien (PETs), welche die Privatsphäre sichern
• Behebung der Software, Hardware und Internet-Architektur Schwachstellen
• eine größere Auswahlmöglichkeit an Produkten, damit Personen und Organisationen wählen können, was sie verwenden möchten

Sicherheitsexperten fordern die oben genannten Richtlinien, um die Privatsphäre und Sicherheit der Bürger zu erhöhen, doch die Regierungen stellen sich dagegen. (vgl. Schuster et al. 2017, S. 76)

Laut Snowdens Akten führt die US National Security Agency (NSA) eine großangelegte Überwachung mit Hilfe eines Programmes durch. Dabei stehen Länder wie Großbritannien, Kanada, Neuseeland und Australien der NSA helfend zur Seite. Man spricht hier auch von einem "Five Eyes" Netzwerk. Mit dem NSA-Programm wurde eine riesengroße Datenmenge gesammelt, mit dem obersten Ziel, die nationale Sicherheit zu schützen. Zu diesem Zweck wurden Schwachstellen in Internetprotokollen, Software und Hardware angegriffen - mit modernster Software und Hardware. (vgl. ebd., S. 76)

Gleichermaßen versuchen Unternehmen Benutzerdaten im Internet zu erfassen und auszuwerten. Man spricht hier von Metadaten, auch als "Daten über Daten" bezeichnet. Metadaten enthalten Informationen über die Merkmale der Daten. Mit Merkmalen oder Attributen sind gemeint: Autor, Länge des Inhalts, Absender, Empfänger, Zeit, Datum, Dauer, etc. Das bedeutet, dass Metadaten nicht den Inhalt einer Nachricht enthalten. Jedoch kann man mit ihrer Hilfe, eine Menge an Informationen gewinnen. Beispielsweise ermöglicht die Big Data-Analyse das Erkennen von Mustern und Beziehungen, und kann intime Details zu Gewohnheiten und Vorstellungen einer Person herleiten. Manchmal genügen einige wenige Daten, doch je mehr Daten man hat, umso präziser wird die Analyse und somit auch die Auswertung. Das "Internet der Dinge" (Smart Home, autonomes Fahren, etc.) erleichtert das Abgreifen von Metadaten, da diese nicht angemessen gesichert sind. (vgl. ebd., S. 77)

In den meisten westlichen Ländern gibt es Datenschutzgesetze, allerdings regeln diese nur den Schutz personbezogener Daten wie: (vgl. ebd., S. 77)

• Name
• Adresse
• Identifikationsnummern
• biometrische Informationen
• alle Informationen, die eine Person direkt oder eindeutig identifizieren

Bei manchen Online-Diensten sind die Datenschutz-Einstellungen voreingestellt und können vom Benutzer nicht verändert werden. Bei diversen Online-Diensten können Benutzer die Einstellungen ändern, doch meist ist hier Opt-out statt Opt-in voreingestellt. Optionen, die das Senden personenbezogener Daten an Dritte verhindern, sind in der Mehrzahl der Fälle nicht verfügbar. (vgl. ebd., S. 77)

In Sachen Privatsphäre und Massenüberwachung unterscheidet man zwischen den drei folgenden Gruppen: (vgl. ebd., S. 77)

• Staatsagenturen und Strafverfolgungsbehörden
• Unternehmen (B2C)
• Bürger

Jede dieser Gruppen hat andere Interessen. Staatsagenturen und Strafverfolgungsbehörden fordern nationale Sicherheit um jeden Preis - hier ist die Privatsphäre zweitrangig. Unternehmen behaupten, dass sie ihren Kunden nur den besten Service bieten wollen. Und manche Bürger geben ihre Privatsphäre auf, um die Vorteile der Online-Dienste nutzen zu können. Trotz Bedenken wären viele Bürger/Benutzer bereit, ihre Daten für einen kleinen Preis anzubieten, und würden kaum etwas für einen besseren Schutz der Privatsphäre bezahlen. (vgl. ebd., S. 77)

 Um der Massenüberwachung entgegenzuwirken, gibt es vier mögliche Szenarien: (vgl. ebd., S. 77f)

1. "Promote adoption": Anwendung des "Security-by-Design"-Prinzips um Software, Hardware, etc. sicherer zu machen; Verwendung von Open Source Software (OSS), um eine öffentliche Kontrolle zu ermöglichen; Anwendung der End-to-End-Verschlüsselung (E2EE)
2. "Build confidence": Länder müssen zusammenarbeiten und Sicherheitsgrundregeln festlegen an die sich alle (besonders Unternehmen) zu halten haben, sonst drohen Sanktionen
3. "Disrupt": Schaffung eines eigenen "europäischen Internet" oder Einführung territorial begrenzter Zertifizierungen
4. "Innovate": Verbesserung der Protokolle und der datenzentrischen Sicherheitskonzepte um Erkennungs-, Tracking- und Tracing-Technologien vorzubeugen

Privacy-Enhancing Technologies (PETs) sind Technologien, die den Nutzern erlauben ihre Daten zu schützen, während sie Online-Dienste und Applikationen in Anspruch nehmen. Dazu gehört auch die End-to-End-Verschlüsselung (E2EE).

E2EE ist die sicherste Variante um die Privatsphäre zu schützen und um Informationen auszutauschen. Dazu bedarf es einer korrekten Umsetzung - ohne gesetzlicher Einschränkungen und ohne Hintertüren. (vgl. ebd., S. 78)

E2EE-Nachrichten werden auf dem Gerät des Senders verschlüsselt und erst auf dem Gerät des Empfängers entschlüsselt. Internetdienstanbieter und Dienstleister sehen nur verschlüsselte Informationen. E2EE-Software gibt es seit den 1980er Jahren und können heutzutage sogar Metadaten verschlüsseln (Beispiel: ProtonMail). (vgl. ebd., S. 78f)

Neben der Möglichkeit der Verschlüsselung der Daten, ist die Nutzung anonymisierender Dienste eine weitere Option um die Privatsphäre zu wahren. Hierzu zählen Tor, i2P oder GNUnet. Mit diesen Diensten können Metadaten-Elemente wie Zeit, Dauer oder Empfänger-Adresse verschleiert werden. Ein Anonymisierungsdienst fungiert als sogenannter "Man-in-the-Middle". Eine Website sieht somit nur die Informationen des Dienstes und keine IP-Adresse oder sonstige persönliche Informationen des Nutzers.

Jedoch sind auch diese Dienste angreifbar. Es wurde bewiesen, dass es möglich ist, die IP-Adressen von Tor-Nutzern zu ermitteln. Solche Attacken sind sehr komplex und benötigen technisches Know-how und finanzielle Ressourcen. (vgl. ebd., S. 79)

Reflexion

Drei Jahre sind seit dem Aufdecken der Überwachungsaffäre vergangen und besonders viel hat sich in Sachen Privatsphäre und Datensicherheit nicht getan. Da ich ab und zu Anonymisierungsdienste verwende, wollte ich mich mit dem Thema näher beschäftigen.

Regierungen spionieren ihre und fremde Bürger aus, Unternehmen tun das gleiche mit ihren Kunden - der Bürger empfindet mehr Sicherheit, der Kunde fühlt sich verstanden. Egal wie man es dreht und wendet, es ist ein Teufelskreis. Eigentlich will keiner der Beteiligten etwas an der Dreiecksbeziehung ändern. Zudem kann man sich nie sicher sein, ob nicht doch eine Hintertür eingebaut ist. Die Tor-Attacke zeigt, dass man alles knacken kann. Das technische Know-how und die finanziellen Mittel haben Regierungen zur Genüge. Stellt sich noch die Frage: Ist der gläserne Mensch schon Realität?

Quelle:

Schuster, S./v. d. Berg, M./Larrucea, X./Slewe, T./Ide-Kostic, P.: Mass surveillance and technological policy options: Improving security of private communications, Computer Standards & Interfaces, Volume 50, February 2017, S. 76-82

Ich fand diesen Artikel sehr spannend, da ich hier Parallelen zu meinem Beitrag sehen, der sich ebenso mit Maßnahmen für Bürger zur Kontrolle ihrer Daten beschäftigt, auch vor allem seit den NSA-Enthüllungen von Edward Snowden. Es geht dabei speziell um die Rolle, welche öffentliche Rechenzentren dabei spielen können.

Die Verschlüsselung von Nachrichten/Informationen wird zum momentanen Zeitpunkt immer wichter. Der Staat hat ein immer größeres Interesse seine BürgerInnen zu überwachen, und das alles unter dem Vorhang "Terrorismusbekämpfung". Das analysieren von Daten und diese für die Terrorismusbekämpfung einzusetzen ist das eine, beginnt der Staat aber diese Daten für andere Zwecke zu verwenden (zB. im Zusammenhang mit anderen Straftaten) sehe ich hier einen klaren Verstoß.