Allgemein

PRISM und die "Tipp"-Panik

Zu Prism selbst brauche ich hier wohl nichts mehr schreiben, die meisten werden mitbekommen haben, dass dank Herrn Snowden das Schnüffel Anti-Terror-Programm der NSA aufgeflogen ist.

Und viele deutschsprachige Medien versuchen auf den Hype aufzuspringen, indem sie „Tipps zum Schutz vor Prism“ anbieten.

Das Problem dabei: Die Tipps helfen nicht wirklich. Die (von mir sehr geschätzte) Süddeutsche etwa versucht „Online-Spezialprogramme“ zu beschwören. Andere Seiten beziehen sich auf die Seite Prism-break.org, die angeblich Tipps gegen Internetlauscher gibt.

Ah, ja. Das Problem dabei: Ein Wechsel von Windows auf Linux oder die Nutzung von Firefox statt IE oder Chrome bringen in diesem konkreten Fall gar nichts. Denn Prism ist kein Tracking-Pixel, keine unliebsame Werbung und keine illegale Lauschaktion. Tatsächlich handelt es sich um ein staatliches Programm, das im Rahmen einer demokratischen Gesetzgebung arbeitet. Sprich: Kommt eine Behörde mit einem richterlichen Durchsuchungsbeschluss, werden die Daten übermittelt. Das ist bei uns übrigens auch so.

Wer also zwar lokal sein System absichert, aber immer noch E-Mails bei GMail, Freunde bei Facebook oder Daten in Dropbox lagert, dem helfen die Tipps nichts.

Also, Schritt 2: Weg von US-amerikanischen sozialen Netzwerken. Da wird es schon schwer (oder wart ihr in letzter Zeit in StudiVZ oder Lokalisten online? Eben.) Und weg von der gehosteten E-Mail bei Google oder Yahoo (und dem großartigen Interface, der sehr guten Suchfunktion und dem kostenlosen Speicherplatz) zu den behäbigen Anwendungen der Telekom, von 1&1 oder auf einem eigenen Server hierzulande (wo allerdings auch die Staatsanwaltschaft reinsehen kann). Ihr verliert außerdem eure bekannte E-Mail-Adresse, weil es keinen Transfer gibt.

Alles sicher? Nichts da. Prism (oder auch die Schweden mit ihrem FRA-Gesetz und überhaupt alle) sitzen (wahrscheinlich) nicht nur an den Anbietern dran, sondern hängen in der optischen Netzwerkstruktur der Tier-1-Provider. Sprich, unverschlüsselter Traffic, der durchs Web geht, kann mitgelesen oder archiviert werden. Aktuell dürften so ziemlich  90 Prozent der E-Mails (eigene Schätzung) unverschlüsselt durchs Web rauschen, von Instant Messaging mal ganz abgesehen. Und nur weil ihr eurem Spezl gegenüber auf der Straße eine Mail schreibt, heißt das nicht, dass diese auch nur in Deutschland bleibt.

Ein kurzer Ausflug in die technischen Grundlagen des Internets: Inhalte werden in Pakete zerlegt, diese Pakete werden durchs Netzwerk geschickt. Dabei geht es nicht darum, die Pakete auf dem direkten Weg zu übertragen, sondern es wird der günstigste und der schnellste Weg genommen. Sprich, wenn eure lokaler Knoten gerade „belegt“ ist, dann nimmt das Paket halt einen kurzen Umweg rund um den Globus. Das passiert fast mit Lichtgeschwindigkeit, das bemerkt von uns Menschen niemand. Allerdings kann es natürlich sein, dass eure unverschlüsselte Mail so durch die USA (oder China, oder Schweden) steuert und dementsprechend automatisiert gelesen, gespeichert oder ausgewertet wird.

Gerne kommt jetzt „haha, dann nimm halt TOR“ als Lösung. Jein. Tor ist ein enorm gutes Programm und ich lasse auch regelmäßig eine Bridge laufen. Allerdings anonymisiert TOR eine Verbindung, sie verschlüsselt sie nicht – dazu müsste man dann zusätzlich VPN nutzen. HTTPS ist sicher ebenfalls kein schlechter Schritt, allerdings auch kein Heilmittel: Wer im Netzwerk sitzt, kann die Verbindungen unter Umständen aufbrechen. Das ist komplex, aber per Man-in-the-Middle-Angriff durchaus machbar (Lesetipp Eins, Zwei und Drei) – und an Rechenleistung mangelt es den Behörden wahrscheinlich nicht. Dennoch: TOR ist ein Programm, das Unterstützung verdient und HTTPS schadet auf keine Fall. Zudem wäre es schön, wenn es ein System zur einfachen Ver- und Entschlüsselung von E-Mails geben würde. Irgendetwas, das selbst dem einfachsten Webnutzer eingängig ist UND das mit gängigen Webmail-Konten zusammenarbeitet.

Ist die Lage also hoffnungslos? Nein.

Die meisten gezeigten Tools helfen durchaus, um sich gegen private Schnüffler und Tracking zu schützen. Gegen ausgefeilte Systeme wie Prism sind sie allerdings kein hundertprozentiger Schutz. Grundsätzlich fallen aber Prism und viele andere staatlichen Überwachungen unter die demokratische Aufsicht der Parlamente – entsprechend können sie, zumindest von einer dedizierten Personengruppe, kontrolliert werden. Genügend öffentlicher Druck (wie ihn etwa die EFF oder ACLU in den USA durchaus ausüben) könnte etwas ändern. Hierzulande haben wir schon die Vorratsdatenspeicherung verhindert, danke dafür an alle, die mitmachen (und das wird weiter notwendig sein).

Was nicht funktioniert sind „So schützen Sie sich gegen ALLES“-Tipps. Persönlich finde ich sie teilweise unseriös, weil sie unwissenden Nutzern mit Halbwissen vorspielen, dass sie sich wirklich sichern können. Es hilft vor allem gesunder Menschenverstand und die Auseinandersetzung mit Diensten, Privacy-Einstellungen und die Unterstützung von  Organisationen, die das politisch voranbringen. Weniger einzelne Parteien, eher Organisationen wie der Digitalen Gesellschaft, Netzpolitik.org, der EFF oder auch Wikileaks.

Apropos Leaking: Wer Daten wirklich anonym und sicher, geschützt durch starke Gesetze und zuverlässig übermitteln will, der sollte einen Brief mit unsinniger Rückadresse schreiben. Denn trotz diverser Briefbomben, die tatsächlich Menschenleben forderten, kommen nicht einmal die größten politischen Scharfmacher auf die Idee, alle Briefe zu öffnen, ihre Inhalte zu kopieren und ohne Grund abzuspeichern. Einziges Problem: Eure Drucker enthalten Tracking-Codes, mit denen man zuordnen kann, wo welches Papier gedruckt wurde.

Und dazu passend noch der wunderbare Film: Du bist Terrorist


Update: Scheinbar waren ein paar Links kaputt, sorry. Habs angepasst.

Über den Autor

Moritz Jaeger

Mo steht für Moritz Jaeger. Ich bin freier Journalist aus München und schreibe unter anderem für den TecChannel, ComputerWoche, GameStar, PC-Welt, CIO, ZDNet oder Security-Insider. Dieses Blog ist privat, hier geht es vor allem um Themen rund um IT, Geek-Kultur oder Comics. Außerdem probiere ich hier immer wieder neue Möglichkeiten aus, es kann also sein, dass ein paar Dinge nicht so hipp/schön/ausgereift sind – aber dafür sind Blogs ja da.

4 Kommentare

Hier klicken um zu kommentieren

    • Naja, teilweise: VPN arbeitet so, dass der Traffic von dir bis zum Server des Anbieters verschlüsselt wird. Das bedeutet aber auch, dass der Traffic beim Anbeiter den Schutz der Verschlüsselung verlässt und wieder klar übertragen wird.
      Das ist auch so vorgesehen – VPN war ursprünglich dazu gedacht, zwei LANs (etwa eines Unternehmens) über das Web sicher zu verbinden. Sprich, sowohl der Ausgangsserver wie auch der Empfangsserver waren unter der Kontrolle der Firma.
      Klar, diese VPN-Anbieter sind hilfreich, aber du musst ihnen natürlich auch vertrauen. Wenn du schon paranoid sein willst: Wer sagt zB dass nicht einer der Geheimdienste so einen oder mehrere Firmen betreibt, mit extra günstigen Zugängen lockt und dann jeden Traffic mitschneidet, der über ihre Server geht?

Werbung

Archive

banner