Datenverschlüsselung: Der gläserne Mensch (2)

(c) Christiaan Colen

Zurück zum ersten Teil des Artikels

Der Spion im Wohnzimmer
Heute ist zu Hause bereits Vieles vernetzt und bald noch mehr – das Buzzword „Internet of Things“ schließt ferngesteuerte Heizungen in „Smarthomes“, selbstständig bremsende Autos und intelligentes Licht mit ein und reicht dadurch jetzt schon bis ins Wohnzimmer. Die Vernetzung beschränkt sich nicht nur auf Geräte innerhalb des Heimnetzes der Familie und guter Bekannter, sondern schließt auch die für viele bequeme Funktionen nötige Internetverbindung mit ein. Dazu braucht es die Software gutgesinnter Fremder oder Hersteller. Keine dieser Softwares ist ganz vor Fehlverhalten gefeit. Zusätzlich gibt es eben auch Leute mit kommerziellem Interesse an den Daten oder jene mit schlicht böswilligen Absichten, die Sicherheitslücken willkommen heißen und nützen. Alle sind nur einen Klick voneinander entfernt und die Verbindung erfolgt mit hoher Geschwindigkeit. Für den Laien ist das schwer zu kontrollieren. Das sollte uns zu denken geben. Wege, den unerwünschten Zugriff auf die eigenen Verbindungsdaten und Inhalte durch Dritte zu verhindern gibt es zwar, die Möglichkeiten guter Verschlüsselung werden jedoch nicht voll ausgeschöpft und auf breiter Basis umgesetzt. Gerade im Hinblick auf die ubiquitäre Domäne des „Internet of Things“ ist die Problematik aktueller denn je. Solange keine breite Akzeptanz von Verschlüsselung und Druck der Kunden auf die Hersteller zur vollständigen Umsetzung herrscht, bleibt einem eben nur selbst nachzuhelfen. Die gelisteten Beispiele sowie Denkanstöße des Privacy-Handbuchs sensibilisieren und zeigen, wie man mit welchen Tools weniger gläsern im Internet unterwegs sein kann.

Segen und Fluch zugleich?
Kryptologie ist die Wissenschaft der Verschlüsselung, die an der mathematischen Formulierung der Informationssicherheit anknüpft. Sie definiert sehr vielseitige Sicherheits-Szenarien und beschreibt Verfahren, diese Aufgaben zu lösen. Die so entwickelten kryptographischen Algorithmen werden zu Unrecht teils zwielichtig dargestellt. Sie zeigen Ideen zum praktischen Einsatz vertraulicher Kommunikation über weltweit gespannte Datennetze und analysieren konkrete Schwachstellen – beispielsweise bei der Verwendung unsicherer Verbindung beim Online-Banking. Zuletzt wurde das Thema in den Medien in negativen Schlagzeilen behandelt: Verschlüsselungsalgorithmen werden entwickelt, um die Entschlüsselung gesicherter Daten ohne den richtigen Schlüssel so schwierig wie möglich zu gestalten. Gerade diese Schwierigkeit wird von findigen Kriminellen benutzt, um die infizierten Geräte eines unvorsichtigen Nutzers, welcher böswillige E-Mails öffnete oder sich schadhafte Programme und Apps installiert hat, nur gegen Bezahlung wieder freizugeben und die darauf gespeicherten Daten wieder entschlüsselt zugänglich zu machen. Nicht nur Verschlüsselung wird durch diese Meldungen in der breiten Masse verpönt. Auch das Schlagwort Anonymität wird zunehmend negativ konnotiert. Die Aussage „Ich hab‘ ja sowieso nix zu verbergen, warum also sollte ich mir die Mühe antun selbst nachzuhelfen?“ müsste man gerechterweise umformulieren zu „Ich hab‘ nur zu wenig Fantasie, um mir die Möglichkeiten und Absichten der Datensammler vorzustellen.“

„Der Gläserne Mensch ist nah“
Interessanterweise wird im Internet das Recht auf Privatsphäre selten so hoch gehalten, wie es im „echten“ Privatleben der Standard ist. Wünschenswert wäre es, wenn Internetnutzer automatisch per Standardeinstellung der Server einen möglichst hohen Grad an Anonymität genießen würden. Das Aktivieren von Diensten mit zusätzlichen Anforderungen sollte dann vom Nutzer ausgehend gesteuert werden können, der so einzelne Verwendungsrechte freigeben kann. Der Status quo ist aber anders, der gläserne ist Mensch nah. Manche Internetbrowser unterstützen und bewerben den Einsatz von Verschlüsselung („Privacy Lets You Be You„) und bieten etwa in einer besonders auf Sicherheit und Anonymität erpichten, jedoch einfach zu verwendenden Variante (Tor) etliche sichere Protokolle und gute Standardeinstellungen an. Dass sich diese Techniken durchsetzen, ist nicht im Interesse von Datensammlern. Denn dadurch könnten Nutzer aktiv entscheiden wem sie über ihre Schulter schauen lassen und mit wem sie private Dateien und Fotos etwa bequem per Cloud-Storage teilen. Unsere jetzige Lage sieht leider anders aus: Jeder Knoten, über den die Daten einer standardmäßig unsicheren Verbindung laufen, ist potenziell in der Lage, die beobachteten Daten zu kopieren, zu analysieren, sie vor dem Weiterleiten zum eigentlichen Empfänger zu manipulieren oder Teile gar später im niemals-vergessenden Internet zu verewigen.

„Google has most of my emails, because it has all of yours“
Langsam ändert sich der Trend und der Begriff Verschlüsselung gilt als hip – zu Marketing-Zwecken jedenfalls. Große Firmen wie Facebook, Apple, Twitter, Google und Co. springen auf den Zug auf und bieten entsprechende Verschlüsselungs-Services an. Sie missen keine Gelegenheit, Details zu bewerben – selbst wenn das große Bild noch unstimmig ist. In Verbindung mit den letzten erschütternden Terrorakten wurde in den Medien ein Streit zum Thema Kryptographie vom Zaun gebrochen. Der allgemeine Tenor der Politik zur Verschlüsselung lautet: „Ja, aber kontrolliert.“ Behörden sollen bei Bedarf einen „Ersatzschlüssel“ benutzen können, um an den Inhalt von verschlüsselten Daten zu gelangen. Dass der Begriff „Bedarf“ hier bewusst schwammig definiert ist und möglicherweise aufs Äußerste und potenziell weit über die eigentlichen Befugnisse hinaus ausgereizt wird, wird oft ausgeklammert. Abgesehen davon können schlaue Köpfe Wege finden, diese Sollbruchstelle auszunutzen und die Hintertür aushebeln, indem sie beliebige „Ersatzschlüssel“ konstruieren. In diesem Kontext bliebe der Begriff Verschlüsselung auf der Flagge eines Dienstes lediglich eine leere Hülle, das Vertrauen in die Sicherheit leidet darunter. Informations-Sicherheit wird so nur vorgetäuscht und dadurch ad-absurdum geführt.

Was du tun kannst:
Abschließend ist festzuhalten, dass es nebensächlich ist, gelegentlich eine verschlüsselte E-Mail zu senden oder einmal einen Anonymisierungsdienst auszuprobieren. Stattdessen kannst du:

1) Dir die Folgen von lückenlosen Datensammlungen vor Augen führen. Klicke hier für mehr Infos.
2) Andere für das Thema sensibilisieren. („Privacy Lets You Be You„)
3) Open-source Alternativen zu whatsApp&Skype verwenden: Etwa Signal oder sieh dir Messenger-Dienste im Vergleich an.
4) Das WWW bequem, sicher und anonym durch Tor betreten.
5) Deine Daten am Computer und Smartphone konsequent verschlüsseln.
6) Mehr Artikel zum Thema lesen.

Ich will den ersten Teil des Artikels lesen!

Gastautor Matthias Minihold forscht am Lehrstuhl für Mathematik & IT Sicherheit der Ruhr-Universität Bochum und beschäftigt sich mit Kryptologie, sowie in der Freizeit mit angewandter Informationssicherheit und den gesellschaftlichen Auswirkungen dieser. Unter anderem ist die sichere Nutzung von Cloud-Storage eine Anwendung seines Themenbereichs.

Titelbild: Christiaan Colen (cc)

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.