Gastkommentar

Prism und Tempora – keine große Überraschung

05.07.2013 von Magnus Harlander
Die Aufregung ist groß. Da erlauben es sich amerikanische und britische Geheimdienste doch glatt, „das Internet“ abzuhören. Die Ausspähprogramme Prism und Tempora haben der Welt gezeigt, was Geheimdienste können und wollen.
Foto: NSA

Die Aufregung ist groß. Da erlauben es sich amerikanische und britische Geheimdienste doch glatt, „das Internet“ abzuhören. Die Ausspähprogramme Prism und Tempora haben der Welt gezeigt, was Geheimdienste können und wollen.
von Dr. Magnus Harlander (Technischer Geschäftsführer der genua mbh)
In den vergangen Jahren haben wir und unsere Kollegen aus der deutschen IT-Sicherheits-Branche immer wieder darauf hingewiesen, dass das, was nun öffentlich wurde, tatsächlich existiert. Oft haben wir dafür nur ein müdes Lächeln bekommen oder wurden gar als Paranoiker und Spinner betrachtet.
Nun kann ich mir ein Schmunzeln und verständnisloses Kopfschütteln über die Naivität vieler Verantwortlicher in Staat und Wirtschaft nicht verkneifen. Folgt das Vorgehen von NSA und GCHQ doch einer absolut simplen und strikten Logik.

  1. Die Geheimdienste haben einen Auftrag, das zu tun, was sie tun. In England gibt es sogar ein Gesetz aus dem Jahr 2000 – das war VOR 9/11 – das mit Hilfe von Tempora umgesetzt wurde. Würden die Dienste nicht so handeln wie jetzt bekannt, würden sie schlicht ihren Auftrag nicht erfüllen.

  2. Das operative Vorgehen zeugt von einer klaren Analyse der Abschöpfmöglichkeiten. Für Daten, die im Netz gespeichert werden, geht man am besten an die Speicherorte. Deshalb hat die NSA Google, Facebook, Apple, Amazon und Co. adressiert. Für Daten, die nicht gespeichert, sondern
    nur übertragen werden, muss man an die Kabel ran. Den Part haben die Briten übernommen, weil in England sowohl die Trans-Atlantikkabel als auch die Trassen nach Europa und Fernost auflaufen. Wie ja schon bekannt wurde, werden die dabei ermittelten Daten auch bereitwillig mit den Amerikanern geteilt.

  3. Die amerikanische und britische Bevölkerung findet das alles gar nicht so schlimm. Es dient ja schließlich der Terrorabwehr. Dem ist wirklich so. Deshalb dürften auch wenig Chance bestehen, das Problem auf diplomatischem Weg aus der Welt zu schaffen.

  4. Die beteiligten Firmen hätten sich ja theoretisch wehren können. Allerdings nur theoretisch! Zum einen stehen sie gerade in den USA unter einem starken „patriotischen“ Druck, zum anderen sind die NSA und die gesamte US-Regierung natürlich für Firmen wie Microsoft und Cisco einer der wichtigsten Kunden oder ein wichtiger Standortfaktor. Daher wird die Gegenwehr nicht sehr groß gewesen sein. Setzt man diese logische Handlungskette fort, ergeben sich natürlich noch einige weitere Aspekte, die bisher noch nicht so im Fokus der öffentlichen Diskussion standen. Die war ja bisher stark vom Schutz der Privatsphäre und Datenschutz der Bürger geprägt.

  5. Die Argumentation der Dienste stellt die Terrorabwehr in den Mittelpunkt. Um Terrorabwehr geht es hier sicherlich auch. Aber eben nur auch. Es gehört nun mal auch zu den Aufträgen der Dienste, nützliche Informationen für die Regierung und für die einheimische Wirtschaft zu sammeln. Wenn man schon mal Daten so sammelt, wie es hier geschieht, wäre es ja geradezu schwachsinnig, diese Daten nicht auch zur Erfüllung der weiteren Aufträge der Behörden zu nutzen.

  6. Durch das Abgreifen von Daten auf Servern und Datenleitungen bekommt man noch keinen Zugriff auf Daten auf den Endsystemen oder man kann nichts damit anfangen, weil sie verschlüsselt sind. Was also tun? Es dürfte sicher sein, dass sich die NSA auch diese Frage gestellt und Antworten gefunden hat. Sind doch auch die Hersteller der Geräte und Betriebssysteme im direkten Zugriff der NSA. Microsoft hat bereits 2008 zugegeben, Windows für die Bedürfnisse der US-Behörden „optimiert“ zu haben. Ein Schelm, wer Böses dabei denkt. Geräte, die Netzwerk-Verkehr verschlüsseln, sind natürlich auch ein Problem für die Dienste. Denn die Entschlüsselung ist, wenn überhaupt möglich, sehr aufwändig. Abhilfe schafft hier nur Zugang zu den Schlüsseln, die auf den Geräten selbst gehalten werden. So wird eine vermeintlich sichere – weil verschlüsselte – Kommunikation doch Opfer der Abschöpfung.

PRISM und die Cloud
Wir haben deutsche Service Provider gefragt, inwiefern sie damit rechnen, dass Unternehmen in Deutschland der Nutzung von Cloud-Diensten künftig noch zurückhaltender begegnen.
Dr. Clemens Plieth, Geschäftsführer und Director Service-Delivery bei Pironet NDH:
„Die aktuellen Enthüllungen könnten sicherlich einen Vertrauensverlust der Anwender nach sich ziehen. Dennoch denken wir, dass die Anwender differenzieren: Werden die Daten über gesicherte Anbindungen eines auf B2B-Kunden spezialisierten Providers übertragen, ist dies bei Weitem sicherer als beispielsweise eine Datenübermittlung über das öffentliche Netz an andere Firmenstandorte oder Kunden.“
Thomas Wittbecker, geschäftsführender Gesellschafter der ADACOR Hosting GmbH:
„Wenn ein amerikanisches Unternehmen verpflichtet ist, Daten an die NSA zu liefern, ist es unerheblich, ob eine klassische oder Cloud-Infrastruktur genutzt wird. Da anscheinend der gesamte Internet-Traffic an den Knotenpunkten mitgeschnitten wird, ist es sogar egal, ob man die Infrastruktur selber im eigenen Rechenzentrum betreibt oder sie ausgelagert hat. Unverschlüsselte Kommunikation wird abgefangen. “
Petra-Maria Grohs, Vice President Sales & Marketing bei ProfitBricks GmbH:
„Wir erwarten, dass Unternehmen aus Deutschland künftig noch genauer darauf schauen, ob Cloud Provider mit Ihren Angeboten nachweisbar die deutschen Datenschutzgesetze einhalten. Das ist immer garantiert der Fall, wenn das physikalische Hosting in einem deutschen, zertifizierten Rechenzentrum stattfindet und der Betreiber eine deutsche Firma ist. Initiativen wie Internet made in Germany oder Cloud Services made in Germany weisen in die richtige Richtung.“
Murat Ekinci, Executive Vice President Operations, Freudenberg IT:
„Mit Sicherheit werden Unternehmen in der nächsten Zeit gezielter danach fragen, wie sie ihre Daten vor unbefugten Zugriffen auch durch Behörden oder Geheimdienste abschotten können. Somit ist bei Cloud Computing-Projekten noch mehr Aufklärungsarbeit zu leisten, gerade bei mittelständischen Fertigungsbetrieben, die um den Schutz ihrer Daten besorgt sind.“
Joachim Opper, Leiter Cloud-Services, Concat AG:
„Kunden und Interessenten hören so aufmerksam zu, wie noch nie, weil der Bedarf an sicheren Cloud-Lösungen da ist. Mit seinem starken Datenschutzgesetz hat Deutschland jetzt die Chance, für sichere Cloud-Lösungen eine Rolle einzunehmen, wie die Schweiz sie einst für Banken hatte.“
Donald Badoux, Managing Director Savvis Germany:
„Erfahrene IT-Manager in den Unternehmen haben schon immer die richtigen Fragen gestellt. Sie haben die jetzige Diskussion nicht gebraucht, um für Compliance- und Security-Themen sensibilisiert zu werden.“

Was soll man denn nun tun?

Erst mal hilft Empörung und politisches Flügelschlagen gar nichts. Die Dienste erfüllen schließlich einen Auftrag im Dienste ihrer Bürger. Das mag man mögen oder nicht. Ändern wird man es nicht! Es bleibt also nur, sich so gut wie möglich gegen Abhören zu schützen, z. B. durch vertrauenswürdige Krypto-Komponenten, die man am ehesten von jemand beziehen sollte, dem man trauen kann. Aber wem kann man nun vertrauen?

Da bleibt einem nur der alte Spruch: Cui bono – wem nützt es, oder wie es Kriminalisten sagen würden: Ohne Motiv kein Verbrechen. Hat ein Hersteller keine Motivation für Hintertüren, wird er sie auch nicht einbauen. Da der BND als so ziemlich der einzige Nachrichtendienst der Welt keinen Auftrag zur Wirtschaftsspionage hat, stehen deutsche Hersteller auch nicht in einer Zwangslage, wie viele andere Hersteller. Ziehen Sie selbst Ihre Schlüsse daraus.
(Der Beitrag wurde von der CP-Schwesterpublikation Computerwoche übernommen / rb)

"Überwachung ist kein exklusives US-Phänomen"
Eine Woche nach Enthüllung von PRISM, der Ausspähung privater Nutzerdaten durch die US-Regierung, sind weitere Details durchgesickert. Grund zur Sorge hatten IT-Verantwortliche aber schon vorher.
Prism und Tempora – simple Logik statt großer Überraschung
Die Aufregung ist groß. Die vom ehemaligen NSA-Mitarbeiter Snowden bekannt gemachten Programme Prism und Tempora zur Abschöpfung von Daten und Informationen haben der Welt gezeigt, was Geheimdienste vieler Nationen können und wollen.
Obama sagt möglicherweise Russland-Besuch ab
Das wochenlange Versteckspiel des flüchtigen Ex-US-Geheimdienstmitarbeiters Edward Snowden stört zunehmend das Verhältnis zwischen den USA und Russland.
Echtzeitüberwachung auch in Deutschland?
Auch in Deutschland ist unter bestimmten Bedingungen die Überwachung der Bürger möglich. Welche Gesetze hierbei greifen, erörtern die beiden Rechtsanwälte Christian Kuß und Michael Rath in einem Gastbeitrag.
Deutsche Provider zu Prism: Bei uns sind Daten sicher
Das Prism-Projekt der US-Behörden hat einmal mehr gezeigt, wie verletzlich der Datenschutz in weltweit vernetzten IT-Systemen ist. Wir haben bei deutschen und in Deutschland tätigen Providern angefragt, wie sie es mit der Herausgabe von Kundendaten halten.