Das The­ma Spio­na­ge und NSA ist der­zeit in der Pres­se gera­de wie­der sehr prä­sent u.a. bedingt durch die jüngs­ten Spio­na­ge­fäl­le aus den eige­nen Rei­hen im BND und auch im Ver­tei­di­gungs­mi­nis­te­ri­um. Der Ruf nach geeig­ne­ten Gegen­maß­nah­men wird zuneh­mend lau­ter, denn deut­sche Schutz­me­cha­nis­men sind wenig wirk­sam bis gar nicht exis­tent. In die­sem Zusam­men­hang wird in der Poli­tik u.a. dar­über dis­ku­tiert, die Spio­na­ge­ab­wehr aus­zu­bau­en. Aus einem Kon­zept­pa­pier des Innen­mi­nis­te­ri­ums geht anschei­nend her­vor, dass die Grund­über­wa­chung auch auf „ver­meint­li­che Freun­de“ erwei­tert wer­den könnte.

Ob das eine ernst­zu­neh­men­de Lösung sei oder nicht sei dahin­ge­stellt. Denn es gibt wesent­lich effek­ti­ve­re Instru­men­te sich schüt­zen als dass die Poli­ti­ker nun die Spio­na­ge­ab­wehr aufrüsten!

Ver­schlüs­se­lung als idea­les Instru­ment zur Selbstverteidigung

Vor dem NSA-Unter­su­chungs­aus­schuss haben es kürz­lich die drei deut­schen IT Sicher­heits­ex­per­ten Frank Rie­ger (Cha­os Com­pu­ter Club), Micha­el Waid­ner (Fraun­ho­fer Insti­tut) und San­dro Gay­ken (Tech­no­lo­gie­for­scher) auf den Punkt gebracht: mit flä­chen­de­ckend ange­wand­ter effi­zi­en­ter Ver­schlüs­se­lung könn­ten auch wir uns gegen die Lausch­an­grif­fe unbe­fug­ter Drit­ter wirk­sam zur Wehr set­zen. Wenn denn nur genü­gend sicher­heits­be­wuss­te Bür­ger mit­ma­chen wür­den. Und genau da besteht zur­zeit immer noch sehr gro­ßer Auf­klä­rungs­be­darf in unse­rer Gesellschaft.

Frei nach dem Mot­to: „ Daten­schutz – was geht mich das an, ich habe sowie­so nichts zu ver­ber­gen!“ gehen immer noch zu vie­le Bür­ger unacht­sam und fahr­läs­sig mit ihren per­sön­li­che Daten um. Wir haben gera­de in dem Arti­kel „Iden­ti­täts­dieb­stahl im Netz – Das geht uns alle an“ auf die Gefah­ren des Ver­lus­tes der eige­nen Iden­ti­tät hin­ge­wie­sen – ein Pro­blem, das jeden von uns erei­len kann aber das unse­re Gesell­schaft noch nicht hin­rei­chend wahr­ge­nom­men hat.

Ver­schlüs­se­lung kann als idea­les Instru­ment zur Selbst­ver­tei­di­gung gegen die „anlass­lo­se Mas­sen­über­wa­chung im Netz“ gese­hen wer­den. Und Frank Rie­ger, Spre­cher des Cha­os Com­pu­ter Clubs drück­te es — bezo­gen auf die Über­wa­chung durch die NSA- vor die­sem Unter­su­chungs­aus­schuss wie folgt aus: „Man könn­te es schaf­fen, die NSA tot­zu­rüs­ten” und hat auf die Not­wen­dig­keit einer siche­ren Ende-zu-Ende-Ver­schlüs­se­lung ver­wie­sen. Das bedeu­tet, dass nur der Emp­fän­ger der Mail die­se lesen könn­te. Das wür­de die Arbeit von Sicher­heits­diens­ten erheb­lich erschwe­ren und ein flä­chen­de­cken­des Aus­spio­nie­ren wür­de immer schwie­ri­ger. Und je mehr Per­so­nen sich an Ver­schlüs­se­lung vom E‑Mailverkehr betei­li­gen wür­den, umso wirk­sa­mer wäre die­ses Instru­ment im Kampf um den Datenschutz.

Und auch die ehe­ma­li­gen NSA Mit­ar­bei­ter Edward Snow­den und Wil­liam Bin­ney (letz­te­rer sag­te es gera­de vor dem NSA Unter­su­chungs­aus­schuss aus) sehen in einer flä­chen­de­cken­den Ver­schlüs­se­lung sämt­li­cher elek­tro­ni­scher Kom­mu­ni­ka­ti­on auf eige­nen Sys­te­men einen geeig­ne­ten Weg, wie sich Deutsch­land effek­tiv vor Spio­na­ge schüt­zen kann.

Poli­tik und Unter­neh­men soll­ten geeig­ne­te Rah­men­be­din­gun­gen für euro­päi­sche Sicher­heits­tech­no­lo­gie schaffen

Aller­dings sind dafür von der Poli­tik sowie auch den IT-Unter­neh­men Rah­men­be­din­gun­gen gefor­dert, die der­zeit noch nicht gege­ben sind. Es soll­te eine ver­bind­li­che Grund­la­ge für siche­re Mail-Diens­te oder gesetz­li­che Vor­schrif­ten für Ver­schlüs­se­lung in Clouds und ande­ren Kom­mu­ni­ka­ti­ons­an­ge­bo­ten geschaf­fen wer­den – so die For­de­rung der IT-Sicher­heits­ex­per­ten wie San­dro Gay­cken und Micha­el Waidner.

Sie regen dar­über hin­aus an, dass in Euro­pa siche­re Hard- und Soft­ware unte­rer siche­ren Daten­schutz­be­stim­mun­gen pro­du­ziert wer­den soll­te, die erst gar kei­ne „Schlüpf­lö­cher“ in der IT-Sys­tem­ar­chi­tek­tur mehr bie­ten – wie bei­spiels­wei­se die ein­ge­bau­ten Ein­falls­to­re für Über­wa­chungs­pro­gram­me, die regel­mä­ßig in ame­ri­ka­ni­sche Hard- und Soft­ware ein­pro­gram­miert wer­den (müs­sen). Eben­so ist auch ein Güte­sie­gel für IT-Sicher­heit im Gespräch. Deutsch­land und Euro­pa könn­ten sich als Trei­ber einer wach­sen­den euro­päi­schen Ver­schlüs­se­lungs­be­we­gung eta­blie­ren – so die über­ein­stim­men­de Expertenmeinung.

Um Daten­strö­me wirk­sam vor unbe­fug­ten Zugrif­fen zu schüt­zen schla­gen sie dar­über hin­aus vor, ein soge­nann­tes „Schen­gen Rou­ting“ auf­zu­bau­en. Euro­päi­sche Daten wären dabei nur noch auf euro­päi­schen Ser­vern und in euro­päi­scher Cloud gespei­chert, die Ein­hal­tung euro­päi­scher Daten­schutz­stan­dards wäre mög­lich (dies ist aller­dings zur­zeit noch eine sehr kost­spie­li­ge Lösung).

In dem Arti­kel „Kon­zep­te für eine glä­ser­ne Welt” (KES — Zeit­schrift für Infor­ma­ti­ons­si­cher­heit Nr 1/​2014 Arti­kel von Johan­nes Wei­le) wird erläu­tert, wie eine Gesell­schaft mit der aus­ufern­den Inter­net­spio­na­ge umge­hen könn­te und auf die Rol­le der soge­nann­ten Digi­tal Nati­ves ver­wie­sen. Ihnen wird zuge­traut, dass sie lang­fris­tig durch geleb­te Secu­ri­ty und Pri­va­cy Pra­xis eine neue Anony­mi­täts- und Sicher­heits­kul­tur in unse­rer Gesell­schaft ver­brei­ten könn­ten. Kom­mu­ni­ka­ti­on und Erläu­te­rung sei­tens der Sicher­heits­ex­per­ten und Digi­tal Nati­ves, die Ent­wick­lung benut­zer­freund­li­cher Sicher­heits­tech­no­lo­gien durch Unter­neh­men und eine prak­ti­zier­te Sicher­heits­kul­tur in den Unter­neh­men kön­nen dazu bei­tra­gen, dass die Gesell­schaft lang­fris­tig in Rich­tung Sicher­heit und Pri­va­cy denkt und dass sich die Gleich­gül­tig­keit gegen­über die­ser The­ma­tik in Betrof­fen­heit und posi­ti­ven Aktio­nis­mus wandelt.

Ruf nach benut­zer­freund­li­cher Ver­schlüs­se­lungs­tech­no­lo­gie für Jeder­mann wird laut

Dar­über hin­aus gibt es neben feh­len­den Rah­men­be­din­gun­gen von staat­li­cher Sei­te auch der­zeit noch tech­ni­sche Bar­rie­ren, die einer star­ken Ver­brei­tung die­ser Tech­no­lo­gie noch im Wege ste­hen. Ver­schlüs­se­lung erfor­dert Know­how auf User­sei­te, ist nicht immer nut­zer­freund­lich und zum Teil noch nicht so aus­ge­reift, dass die Soft­ware stets pro­blem­los läuft.

Den­noch gibt es zuneh­mend Lösun­gen jun­ger Unter­neh­men auf dem Markt, die mitt­ler­wei­le eine kom­for­ta­ble­re, lai­en­taug­li­che Email-Ver­schlüs­se­lung anbie­ten wie zum Bei­spiel die Fir­ma Tuta­no­ta aus Han­no­ver. Wei­te­re Anbie­ter wol­len hier in Kür­ze fol­gen. Ein rich­ti­ger Schritt in die rich­ti­ge Rich­tung zum Selbstschutz!

Und auch wir von Pre­tio­so sind bei die­sem The­ma auf der Höhe der Zeit und emp­feh­len unse­ren Kun­den und Inter­es­sen­ten die siche­re Ver­schlüs­se­lung – lesen Sie hier­zu auch unse­ren Arti­kel über die Bedeu­tung von Ver­schlüs­se­lung als Basis einer umfas­sen­den Sicher­heits­stra­te­gie, kürz­lich erschie­nen hier im Blog.