Oct 10, 2013
Meine Kollegen und mich erreichen in den vergangenen Monaten immer wieder Fragen rund um PRISM, Tempura und Überwachung durch Geheimdienste und ihre Institutionen generell: Was wir von dem Thema halten, ob wir etwas gewusst haben und welche Möglichkeiten dagegen zur Verfügung stehen. Wenn es denn diese Möglichkeiten überhaupt gibt.
Um den ersten Teil zu beantworten: Ja, im Bezug auf die NSA ist das durchaus nichts Neues. "Berühmte" Fälle, wie zum Beispiel die von TESA-ROM oder Enercon gingen schon vor fast 15 Jahren durch die Presse. Die schlecht versteckte "NSA.dll" in Windows-Betriebssystemen sind ebenso schon lange bekannt. In seinem Roman "Der Schwarm" von 2004 beleuchtet Schriftsteller Frank Schätzing zwar in einem anderen Zusammenhang die Möglichkeiten der NSA, aber auch das zeigt: Neu ist das alles nicht.
Ich erinnere mich an ein Treffen mit einem langjährigem Mitglied des CCC, der 2006 meine Frage auf die Sicherheit vor der NSA bei einer Essenspause trocken beantwortete: "Schutz vor der NSA? Wo die reinwollen, kommen die rein!"
Nun kommen wir zu Teil zwei: Es war klar, dass nach 9/11, den Angriffen auf das World Trade Center in den USA, etwas passieren würde, um gegen die gefühlte oder tatsächliche Bedrohung vorzugehen. Es folgte der Ausbau der Spionage-Aktivitäten auf allen Ebenen. Auch im Netz. Und der Gedanke, dass Deutschland da irgendwie auch eine Rolle spielen könnte, lag nicht weit entfernt. Was uns aber völlig überrascht hat, sind das Ausmaß und die Tatsache, dass unsere EU-Freunde im Vereinigten Königreich so ziemlich den gesamten trans-atlantischen Internetverkehr überwachten und weiterhin überwachen. Und zwar völlig unbekümmert und - angeblich - ohne das Wissen der Bundesregierung oder ihrer Geheimdienste.
Ist meine Kommunikation überhaupt betroffen?
Im Prinzip ja, es hängt von Ihrem Status, Ihrer Tätigkeit und Ihrer Konnektivität ab:
• Unternehmer, die eine eigene Entwicklungsabteilung und/oder Forschung betreiben, sollten möglichst diesen Bereich des Netzes physikalisch komplett vom Internet trennen, keine USB-Sticks zulassen etc.
• Gleiches gilt für Unternehmer, die mit sensiblen Daten - etwa Patientenakten, Personaldaten oder Bankdaten - operieren. Je weniger Schnittstellen es mit dem offenen Netz gibt, desto weniger Einfallstore gibt es.
Gibt es Schutz vor diesen Zugriffen?
Ja, aber nicht ohne etwas zu tun:
• Nutzen Sie Open-Source-Produkte. Mögliche Alternativen zu Standardsoftware finden Sie hier.
• Verschlüsseln Sie, was das Zeug hält: PGP, Truecrypt etc. Und sei es nur, um es der Gegenseite möglichst schwer zu machen. Laptops mit sensiblen sind immer zu verschlüsseln.
• Vertrauen Sie ab sofort definitiv eher Herstellern, die nicht in oder aus den USA kontrolliert werden, in den Bereichen Firewalls, VPN-Zugriff etc. Zum Beispiel unseren Partnern Endian, Ecos oder Cyberoam. Wenn Ihre Fima in den Bereichen Entwicklung tätig ist und eventuell internationale Patente anstrebt, besteht meines Erachtens erhöhter Handlungsbedarf, sofern Sie ihr Netzwerk mit Juniper, Cisco & Co. absichern.
• Handeln Sie immer nach dem Motto: "The question is not whether I'm paranoid, it's whether I'm paranoid enough." - Die Frage ist nicht, ob ich übervorsichtig bin, sondern die: Bin ich vorsichtig genug? Das gilt ganz besonders für den Versand von Daten via E-Mail.
• Kennwörter sollten möglichst komplex und lang sein. Dass die Kennwörter alle 30-90 Tage geändert werden sollten, versteht sich hoffentlich von selbst. Wem das zu kompliziert erscheint, kann sich gerne unsereKennwortkarten anschauen, oder wir beraten Sie gerne zum Thema 2-Faktor-Authentifizierung mittels Token.
• In dem Moment, in dem Sie mit Daten arbeiten, die für einen Dritten von Interesse sein könnten oder die unter Datenschutz fallen, sollten Sie immer auf Nummer sicher gehen.
Es gibt Möglichkeiten, sich zu schützen. Auch wenn die vielleicht etwas unbequemer sind, da interne Prozesse angepasst werden müssen. Die Problematik zu ignorieren, ist mit Sicherheit die schlechteste Lösung.
Gern erläutern meine Kollegen und ich Ihnen, welche Alternativen es noch gibt.
Ihr Gordon Kirstein
