Der von mir geschätzte ORF Journalist Hanno Settele hat in einem Gespräch mit „Der Standard” zu seiner ORF-Doku „Unter Verdacht – Im Visier der Geheimdienste” folgendes gesagt:

STANDARD: Verwenden Sie jetzt Verschlüsselungstechniken?
 
Settele: Ich möchte E-Mails verschlüsseln. Wenn du heute eine E-Mail von A nach B schickst, kannst du es wie die Luther’schen Thesen genauso gut an die Türe nageln. Das ist für jeden lesbar. Wie eine Postkarte. Ich muss aber nicht alles, was ich schreibe, verschlüsseln.

Perfekt formuliert. Bis auf den letzten Satz. Hier irrt Hr. Settele leider.

Man will sehr wohl alles, was man „über das Internet schickt” (Mail, Chat, Websurfen, …), verschlüsseln. Aus mehreren Gründen:

1. Transportverschlüsselung (SSLTLS, das „Schloß” im Browser) kann sicherstellen, dass die Inhalte auf dem Weg nicht durch Dritte verändert wurden (Beispielsweise durch eine Fluglinie, welche die Amazon-Preise im Flugzeug-WLAN durch Höhere auswechselt, um einen Amazon-Konkurrenten eine Vorteil zu verschaffen)
2. Verschlüsselung kann sicherstellen, dass das Gegenüber auch tatsächlich die Gegenstelle ist, mit der ich kommunizieren möchte und nicht eine Impersonatorin
3. Die Menge an „nicht-privaten” Daten, die ev. nicht verschlüsselt werden „müssten” wird immer geringer. Schon eine „normale” Browser-Session wirft eine Menge an Informationen (Cookies, …) ab, die für diverse Eves interessant sein könnte.
4. Man macht den Geheimdiensten die Arbeit schwerer und schützt jene, die verschlüsselt kommunizieren müssen.
   Und das ist eigentlich der Hauptpunkt. Wenn nur diejenigen Informationen oder die Kommunikation verschlüsselt wird, die es „wert” ist, generiert man quasi einen großen, blinkenden Neonpfeil, der mit „wir kommunizieren was Geheimes/Gefährliches/Vertrauliches/…” beschriftet ist.
   Und damit wird es für die „Angreifer” natürlich sehr leicht,
   a) diese Informationen abzugreifen,
   b) einer genauen Analyse/Crackversuch zu unterziehen und
   c) natürlich auch Endstellen aus den Metadaten abzugreifen (was bei Mail trivial ist) und unter die Lupe zu nehmen.
   Kombiniert man das mit der Aussage von General Michael Hayden, den früheren Direktor der NSA und CIA, der sagte „We kill people based on metadata” wird klar, warum man schon aus Solidarität jedwede Kommunikation wirksam verschlüsseln sollte, nein eigentlich sogar muss.
   Das hat mittlerweile auch schon Google erkannt. Hier gibt es Überlegungen, anstelle der „diese Seite ist verschlüsselt” Info (das Schloß, wir erinnern uns) in Zukunft stattdessen vor Sites zu warnen, die unverschlüsselt kommunizieren.

Cory Doctorow hat dieses Problem in seinem Buch „Little Brother” sehr schön beschrieben:

Mal angenommen, du hast das gesamte Internet angezapft – und das DHS hat das natürlich. Dann kannst du zwar, Krypto sei Dank, nicht durch bloßes Anschauen von Daten rausfinden, wer Xnet-Daten versendet. Aber was du rausfinden kannst, ist, wer viel, viel mehr verschlüsselten Datenverkehr erzeugt als alle anderen. Bei einem normalen Internet-Benutzer kommen in einer Online-Session vielleicht 95 Prozent Klartext und 5 Prozent Chiffretext zusammen. Wenn nun jemand zu 95 Prozent Chiffretext versendet, dann könnte man ja computererfahrene Kollegen von Popel und Pickel hinschicken, um nachzufragen, ob er vielleicht ein terroristischer drogendealender Xnet-Benutzer ist.
…
„Ich versteh, was du meinst. Das Problem ist, dass jemand, der zu viel Krypto in seinen Internet- Verbindungen hat, als ungewöhnlich auffällt. Aber wenn du nicht verschlüsselst, dann machst dus den bösen Jungs leichter, dich abzuhören.”
„Genau”, sagte ich. „Ich versuch schon den ganzen Tag, mir da was auszudenken. Vielleicht könnten wir die Verbindungen abbremsen, über mehr Benutzerkonten verteilen …”
„Klappt nicht”, sagte er. „Um sie langsam genug zu machen, dass sie im Hintergrundrauschen verschwinden, müsstest du das Netzwerk de facto dicht machen, und das wollen wir ja nicht.”
„Du hast Recht”, sagte ich. „Aber was können wir sonst machen?”
„Wie wäre es, wenn wir die Definition von ‚normal‘ ändern? Wenn jetzt der durchschnittliche Internetnutzer in San Francisco an einem durchschnittlichen Tag im Internet eine Menge mehr Krypto anhäuft? Wenn wir die Verteilung so hinbiegen können, dass Klartext und Chiffretext bei etwa fifty-fifty liegen, dann sehen die Leute, die das Xnet versorgen, plötzlich wieder normal aus.”

Ich kann „Litte Brother” nur empfehlen. Cory führt die Leser hier im Rahmen einer spannenden Geschichte sehr verständlich in diverse Theme der IT-Security ein.
Little Brother steht unter einer „Creative Commons Attribution-Noncommercial-ShareAlike” Lizenz, gemäß derer man das Buch auch in Englisch oder Deutsch kostenlos herunterladen (und zitieren, so wie hier) darf. Wer es sich leisten kann, sollte das Buch dennoch bei einem lokalen Buchhändler erwerben.

Tagged as: | Author: Martin Leyrer
[Montag, 20150105, 09:00 | permanent link | 0 Kommentar(e)