© scientific American
Freitas leitet das Guardian Project, das eine quelloffene mobile Sicherheitssoftware entwickelt, und ist für die technische Strategie und das Training beim Tibet Action Institute verantwortlich. Er arbeitet am Berkman Center der Harvard University zum Thema mobile Sicherheit und zur Frage, welche rechtlichen Risiken Anwender mobiler Sicherheitslösungen und ihre Entwickler weltweit eingehen.
Nach den Anschlägen von Paris werden in der Politik und bei Sicherheitsbehörden einmal mehr Forderungen laut, Verschlüsselungstechnologien zu schwächen, da die Terroristen sich ja nun hinter moderner Sicherheitstechnik verstecken könnten.
Ich halte die Debatte für müßig - und viele andere IT-Security-Forscher ebenfalls. Denn die Menschen werden vor eine falsche Wahl gestellt, wenn es heißt, die Strafverfolger benötigten uneingeschränkten Zugriff auf digitale Kommunikation - oder die Terroristen gewinnen. So einfach ist das nicht.
Zwar ist es richtig, dass ein großer Teil der Kommunikation auf der Welt mittlerweile weggeht von simpel mitzuschneidenden Technologien wie SMS oder Telefon - hin zu besser abgesicherten Methoden wie WhatsApp, Telegram oder iMessage. Die Systeme sind kostenlos und bieten mehr Privatsphäre und Sicherheit. Mehr und mehr Apps verwenden sogar eine Ende-zu-Ende-Verschlüsselung, die man sich als versiegelten Briefumschlag vorstellen muss - sie sollen weder von Strafverfolgern noch von Diensteanbietern mitgelesen werden können, sondern nur von Sender und Empfänger.
Tatsache ist aber auch, dass ein großer Teil der Daten im Netz auch jetzt noch entweder nicht vollständig oder gar nicht verschlüsselt ist. Das sind Informationen, die digitale Detektive weiterhin verwenden können, um Bösewichte zu fangen. Entsprechend unaufrichtig ist es, zu behaupten, dass dem nicht so wäre.
Wichtigster Ansatzpunkt sind Metadaten - doch angesichts ihrer Menge und ihres Detailreichtums ist daran nicht wirklich etwas "meta". Viele App-Entwickler versuchen, möglichst wenig Metadaten anfallen zu lassen und ein Abgreifen zu erschweren. Schließlich nutzen auch Diktatoren diese Informationen, um Aktivisten oder Journalisten zu verfolgen. Und selbst zum Stalking eignen sie sich, wenn externe Angreifer sie in die Hände bekommen.
Strafverfolgern eröffnen sich diverse Ansatzpunkte - mit und ohne Verschlüsselung. Ein Überblick:
1. Wenn jemand ein Mobiltelefon bei sich trägt, wird jede seiner Bewegungen, jeder Anruf und jeder Internetzugriff überwacht und von den Mobilfunkanbietern gespeichert. Um an diese Daten heranzukommen, benötigt man in manchen Ländern nicht einmal einen Durchsuchungsbefehl, sondern nur eine Telefonnummer und einen Kontakt beim Telefonanbieter.Zusammengefasst lässt sich also sagen, dass es zahlreiche Möglichkeiten gibt, gezielt verschlüsselte Kommunikation anzugreifen - und zwar auf legale und illegale Weise.
2. Messaging-Apps wie WhatsApp und Telegram bedingen, dass Nutzer sich mit einer funktionierenden Telefonnummer anmelden. Die Verwendung der App ist an diese Nummer gebunden - und zudem mit allen Telefonnummern von Menschen verknüpft, mit denen man kommuniziert. Siehe oben, was man alles mit einer Liste von Telefonnummern anstellen kann.
3. Die Implementierung der Verschlüsselung in den heute hauptsächlich verwendeten Apps erfolgt nicht automatisch. Selbst bei Produkten, die allgemein positiv bewertet werden, wie etwa Apples iMessage, weiß man nicht, wann und wie Verschlüsselung aktiv ist - und wie sie verifiziert wird. Es ist möglicherweise denkbar, die Verwendung der Verschlüsselung auf Nutzerbasis einzuschränken oder sie zu schwächen, ohne dass der Nutzer etwas davon mitbekommt.
4. Selbst ein Ende-zu-Ende-verschlüsselter Chat lässt sich überwachen, wenn die App Gruppenkommunikation erlaubt oder Gespräche zwischen mehreren Geräten synchronisiert. Man könnte den Serviceanbieter dazu bringen, ein weiteres Gerät zu einem Gespräch hinzuzufügen oder einen Gruppenchat um eine weitere Person zu ergänzen, ohne dass man dies dem abgehörten Nutzer mitteilt.
5. Auf Android-Geräten ist die vollständige Speicherverschlüsselung standardmäßig nicht aktiv. iOS-Geräte müssen gelockt sein. Die meisten Kommunikationsprogramme sind auf dem Gerät selbst nicht Passwort-geschützt. Liegt das Handy im geöffneten Zustand vor oder lässt sich der Lockscreen knacken, ist man drin. Ist das Handy per Fingerabdruck geschützt, muss man den Besitzer nur dazu nötigen, es zu entsperren (oder man bedient sich einer Kopie, was mindestens bei älteren iPhones nachweisbar funktionieren soll). Alternativ könnte man den Nutzer auch dazu bringen, eine Alternativtastatur oder eine Lausch-App zu installieren, die Passworte und Unlock-Codes aufzeichnet. Die könnte man übrigens auch im offiziellen App Store eines Anbieters unterbringen.
6. Die meisten Cloud-Daten sind nur vor Angreifern von Außen geschützt - und nicht vor den Serviceanbietern selbst. Einige Dienste sagen: "Wir verschlüsseln Daten, während sie in der Cloud lagern." Das heißt aber nur, dass sie Informationen mit einen eigenen Schlüssel absichern - und nicht mit dem, den der Nutzer besitzt. Strafverfolger müssen verschlüsselte Kommunikation nicht in Echtzeit belauschen, sondern können sich einfach ein Backup aus der Cloud ziehen - und Kontakte, Kalenderdaten, Fotos, Ortsdaten und mehr gleich mit. Viele Nutzer wissen nicht, was da alles abgelegt wird.
Man sollte den Strafverfolgern aber auch nicht einfach erlauben, kriminelle Hackermethoden anzuwenden, um Freiheit und Privatsphäre auch unbescholtener Bürger zu kompromittieren. Starke Verschlüsselung muss noch stärker verwendet werden als bisher - auch, um Cyberangriffe abzuwehren.
Grundsätzlich hoffe ich, dass durch ein größeres Verständnis für die privaten Daten, die wir ständig generieren und Dritten bereitstellen, klarer wird, was das "undurchdringliche" verschlüsselte Netz eigentlich ist, das manche Politiker nun beklagen. Denn "undurchdringlich" ist es nicht wirklich.
(Nathan Freitas) / (bsc)
Kommentar: Die Frage ist doch, warum wollen die Eliten eine unverschlüsselte Kommunikation? Zur Bekämpfung des Terrors? Das ist selbstverständlich ausgemachter Unsinn. Wer weiß schließlich besser wo der Terror ist als die, die ihn erschaffen? Dazu braucht man keine aufwendigen Überwachungsmethoden. Ein Gang in die Personalabteilung reicht da schon aus, aber darum geht es nicht wirklich.
Es geht dabei schlicht und einfach um Big Data. Im Jahr 2013 wurde eine gigantische Überwachungszentrale in der Wüste von Utha gebaut, 7 mal so groß wie das Pentagon.
- USA ist watching you: Amerika plant totale, globale, digitale Kontrolle über jeden Erdenbürger
Solche Datenzentren entstehen rund um die Welt und dienen nur einem Zweck: Lückenlose Überwachung um Alles über Jeden zu jeder Zeit wissen zu können. Jetzt wird auch klar, warum sie Verschlüsselung so garnicht mögen. Nicht etwa, weil sie das von der Arbeit abhalten würde, denn dazu gibt es zu viele Hintertürchen in den Programmen und alles kann man knacken wenn man will.Das Problem ist die dazu benötigte Rechenleistung! Unverschlüsselte Kommunikation zu sammeln und zu filtern ist um so vieles einfacher und verschlingt nur einen Bruchteil an Rechenleistung, als müsste man erst jede einzelne Mail oder jeden Stream knacken oder sich umständlich einklinken um analysieren zu können. Verschlüsselung schützt zwar nicht die Privatsphäre, wohl aber lässt sie die Rechner des NSA/CIA/BND/MAD Buchstabensuppen-Vereins kräftig warm werden und verursacht gehörigen Aufwand und Kosten.
In diesem Sinne: