Nürnberg, 11. Oktober 2017 – Berufsgeheimnisträger wie Anwälte, Ärzte, Geistliche und Journalisten können und müssen ihre Kommunikation mit Klienten, Patienten, Gemeindemitgliedern oder Quellen schützen.
Sobald sie sich jedoch elektronischer Mittel wie Telefon, E-Mail oder Messenger bedienen, machen sie sich angreifbar. Selbst mit großem Aufwand lässt sich Sicherheit vor Ausspähung und Nachverfolgung nicht 100-prozentig gewährleisten. Zu diesem Ergebnis kommt eine Podiumsdiskussion, zu der die TELI (Technisch-Literarische Gesellschaft) auf der it-sa in Nürnberg Journalisten und Messebesucher eingeladen hatte.
Die Veranstaltung moderierte TELI-Vorsitzender Arno Kral. Auf dem Podium saßen neben dem Vertreter der Betroffenen, dem evangelischen Pastor Florian Schwarz, Dominik Schürmann, ein wissenschaftlicher Mitarbeiter der TU Braunschweig, der zu Kommunikationssicherheit forscht, und Joachim Opfer vom BSI (Bundesamt für Sicherheit in der Informationstechnik) noch drei Vertreter aus der Wirtschaft: Georgeta Toth vom israelischen Sicherheitsunternehmen Radware, Olga Koksharova, Marketing Director des russischen Entschlüsselungsspezialisten ElcomSoft, und Christian Stüble, CEO von der deutschen Firma Rhode & Schwarz Cybersecurity.
Pastor Florian Schwarz schilderte zu Beginn, dass er – unabhängig vom Beichtgeheimnis – bei vielen Unterhaltungen Anlass sehe, zumindest Teile des Gesprächsinhalts vertraulich zu behandeln. Bei Gesprächen, die unter das Beichtgeheimnis fallen, sei er allerdings verpflichtet, die Informationen zu schützen und könne anderenfalls rechtlich belangt werden. Gleichzeitig sehe er das Problem, woher der Abhörende wissen solle, um wen es sich bei dem Abgehörten handle: “Wenn ich jemanden anrufe und der wird abgehört, […] woher sollen die wissen, dass diese Nummer eine Verbindung ist, die nicht abgehört werden darf?” Schwarz stellte die Frage, ob die “Datensammelwut” nicht ein Versuch des Menschen sei, selbst Gott spielen zu wollen. “Ich verstehe überhaupt nicht, mit welchem Recht beispielsweise Google so viele Informationen sammelt.” In seiner Praxis sieht es so aus, dass er zuhause einen schalldichten Raum hat, der mit dicken Türen versehen ist, so dass niemand von außen hören kann, was drinnen gesprochen wird. Als Theologe verdeutlichte Schwarz, dass schon vor dreitausend Jahren, bei der Volkszählung unter dem König David Datenschutz ein Thema gewesen sei. “Wir müssen nicht alles wissen.”
Dominik Schürmann, wissenschaftlicher Mitarbeiter der TU Braunschweig, plädierte: “Nach meiner persönlichen Meinung ist das Recht auf Geheimhaltung ein extrem wichtiges Gut; das muss jeder Bürger ausüben können!” Selbst wer sage, er habe nichts zu verbergen, müsse geschützt werden, da seine Gesprächspartner ebenfalls eine Privatsphäre haben sollten.
Aus technischer Sicht sei eine wirksame Verschlüsselung das Mittel der Wahl zur Geheimhaltung. Dabei gebe es in der Realität aber große Unterschiede. “Eine Verschlüsselung hilft nur, wenn zwischen zwei Endgeräten eine Ende-zu-Ende-Verschlüsselung stattfindet. Besteht eine Verschlüsselung nur bis zum Telefonie-Anbieter, etwa zur Telekom, könne dort mitgehört werden.” Schürmann wies darauf hin, dass in der Praxis eine Ende-zu-Ende-Verschlüsselung nur selten voreingestellt sei, so im Messenger WhatsApp, nicht jedoch beispielsweise in Facebook. Doch auch andere Anbieter böten solche Funktionen an, sie müssten jedoch gegebenenfalls erst eingeschaltet werden. “Oft clasht die Ende-zu-Ende-Verschlüsselung jedoch mit anderen Features.” So möchte Google automatisch Vorschläge unterbreiten, etwa dann, wenn sich die Gesprächsteilnehmer zum Essen verabreden würden. In seinem Impulsvortrag riet Schürmann Berufsgeheimnisträgern, auf den Geltungsbereich der Gesetze des Datenschutzes zu achten, insbesondere darauf, wo die jeweils eingesetzte Soft- und Hardware entwickelt werde. Generell sei wirksamer Datenschutz bei Diensten wie E-Mail schwieriger zu realisieren, denn anders als Messenger seien diese keine Silos. Daher sei es erforderlich, als Nutzer selbst Hand anzulegen.
Ein anderes Problem sei die sichere Authentisierung der Kommunikationspartner: “Schreibe ich der richtigen Person?” Selbst bei aktivierter Ende-zu-Ende-Verschlüsselung könne man ohne zusätzliche Prüfung nicht sicher sein, dass am anderen Ende derjenige schreibt und liest, den man dort erwartet. WhatsApp bietet hierfür einen “Security Code” an, der eingelesen werden muss. Generell sieht Schürmann aus Sicht des Informatikers Vertrauen als kritisch an: “Wenn jemand ein Produkt einsetzt, vertraut man erstmal. Der Vertrauende verlagert aus Informatiker-Sicht Macht. Ich appelliere an die Firmen, dass sie moralisch handeln!”
Fazit des Wissenschaftlers: “Man kann was tun – richtige Tools benutzen!”
Datensicherheit vorrangig
Joachim Opfer, Fachbereichsleiter beim BSI in der Abteilung für informationssichernde Systeme betonte, dass sein Amt für den Schutz der Informationssicherheit zuständig sei. Dieser Auftrag sei “gar nicht unbedingt auf Behörden begrenzt”. Das BSI als “nationale Cyber-Sicherheitsbehörde” stehe “auf der Seite derjenigen, die die Information schützen”. Dies führe bisweilen zu einem Interessenkonflikt mit Behörden, die abhören wollen. Opfer sagte: “Wir schließen Sicherheitslücken und nutzen keine Sicherheitslücken aus.” Anders als etwa in den USA, in der die NSA beide Aufgaben wahrnehme, gebe es hierzulande eine strikte Aufgabentrennung. Die Trennung ergebe sich aus einem klaren politischen Auftrag und schließe den Schutz vor der NSA und anderen Nachrichtendiensten ein.
Realitätsnahe Angriffsszenarien
Der Snowden-Skandal habe den Umfang der Ausspähung aufgezeigt, und dass die vom BSI entwickelten Angriffsszenarien real seien und nicht nur graue Theorie. “Die Veröffentlichungen von Snowden haben uns nicht wirklich überrascht. […] Überrascht hat uns, […] in welchem Umfang es durchgeführt wurde.”
“Jedes informationssichernde System braucht einen Vertrauensanker.” Überall seien Instanzen, denen man vertrauen müsse. Da das BSI auch Produkte für den Schutz von Staatsgeheimnissen zulasse, spiele es insoweit die Rolle der Vertrauensinstanz. Opfer rief alle Bürger dazu auf, die Informationen, die ihnen das BSI auf seiner Webseite kostenlos bereitstelle, stärker zu nutzen.
Georgeta Toth, Director DACH und Central Europe der aus Israel stammenden Firma Radware, thematisierte den Interessenskonflikt zwischen Bequemlichkeit und Datensicherheit. “Inwieweit sind Individuen fähig, mit Daten umzugehen? Dadurch, dass wir als Individuen den leichtesten Weg gehen, geben wir alles frei.” Am Beispiel einer Hotelsuche anlässlich einer geplanten Wienreise im Internet erläuterte Georgeta Toth, wie die Suchanbieter an die auf dem Smartphone gespeicherten Daten gelangen. Die Folge sei beispielsweise, dass Wien-spezifische Werbung eingeblendet werde. “Ich plädieren für einen Führerschein für das Internet.”
Sorge bereitete Georgeta Toth der sorglose Umgang mit dem Internet. Über immer mehr vernetzte Geräte, etwa spezielle Tablets für Kinder, gerate bereits “die nächste Generation unter absolute Kontrolle”. Toths Fazit: “Es herrscht Datenkrieg.” Die Technologien für wirksamen Datenschutz seien da, der Einsatz sei jedoch noch für die meisten Individuen unzumutbar kompliziert. “Wir als Industrie haben auch eine Verantwortung dafür, einfache Technologien bereitzustellen. Das haben wir bisher versäumt, wir müssen uns dem stellen.”
Staatliches Eingreifen strittig
Christian Stüble, CEO von Rhode & Schwarz Cybersecurity, widersprach hingegen Georgeta Toths Forderung, dass der Staat die Industrie zum Einsatz einfacher Sicherheitslösungen zwingen solle: “Unternehmen haben die Aufgabe, gewinnorientiert zu denken.” Stüble musste Wünsche nach kostengünstigen Lösungen für “den kleinen Mann” ebenfalls abschlägig bescheiden und unterstrich, dass wirklich sichere Lösungen nur für Firmen und vielleicht noch für ein Krankenhaus möglich seien, nicht jedoch für Einzelpersonen. Ein entscheidender Schwachpunkt aus der Sicht des CEOs seien Betriebssysteme: “Wenn die Malware über das Betriebssystem den Zugriff auf Kamera oder Mikrofon erhält, lassen sich viele Sicherheitsmaßnahmen umgehen, weil alles parallel aufgezeichnet wird.” Daher müsste sichergestellt sein, dass die Hersteller ihre Betriebssysteme aktuell hielten. Das Problem von Sicherheitslücken hätten “Standardbetriebssystem-Hersteller nicht unter Kontrolle”, so Stüble, weshalb ständig Updates einzuspielen seien. “Es gibt Gütesiegel für Sicherheit. Was es nicht gibt, ist eine Garantie, ob die Software vom Hersteller gepflegt wird. Alle Betriebssysteme sind nach einigen Wochen veraltet, sichere Betriebssysteme werden nach kurzer Zeit unsicher.” Bezugnehmend auf das Thema Vertrauen, betonte Stüble, dass es wichtig sei, dass “der Nutzer die Wahl hat. In dem Moment, wo ich nur ein einziges Produkt habe, habe ich keine Wahl.”
Sicherungskopien ungeschützt
Olga Koksharova, Marketing Director des russischen Entschlüsselungsspezialisten ElcomSoft, zeigte die aktuellen Grenzen der Schutzmöglichkeiten auf. Sie stellte eingangs die Frage nach dem Schutzzweck der Absicherung: “Gegen wen soll die Kommunikation sicher sein? Gegen Entwickler? Gegen Hacker oder einfach gegen Blicke der Anderen?” Sie wies ebenfalls darauf hin, dass viele Messenger die sinnvolle “Datenverschlüsselung nicht immer standardmäßig angestellt” hätten.
Ein oft vergessenes Problem seien die Sicherungskopien. So erzeugten die iCloud oder WhatsApp Backups. “Wir haben Tools […] die alle diese Arten von Backups entschlüsseln und die Daten auslesen können.” Koksharova riet im Zweifel dazu, Instant Messenger einzusetzen, da diese “etwas sicherer als E-Mails” seien. Nicht alle seien jedoch zu empfehlen. Sie würde nur “WhatsApp oder Viber, am besten aber Signal” verwenden.
Einig war sich Olga Koksharova mit allen Teilnehmern auf dem Podium und dem intensiv mitdiskutierenden Fachpublikum, dass es keine 100-prozentige Sicherheit geben könne – sich jedoch das Risiko für Berufsgeheimnisträger, ausgespäht zu werden, mit etwas Vorsicht und Sachkenntnis deutlich verringern ließe.
Die TELI plant, im kommenden Jahr auf der it-sa erneut eine Podiumsdiskussion durchzuführen.