Internet-Sicherheitsexperte Felix von Leitner

Der Überwachung entgehen? Das macht richtig viel Arbeit!

© Reuters, F.A.Z.
„Der einzige echte Schutz ist Ende-zu-Ende-Verschlüsselung“, sagt Felix von Leitner. Doch welcher Normalbürger ringt sich dazu durch? Wer sich bei Facebook und Co. tummelt, hat ohnehin verloren. Ein paar Kniffe, sich zu schützen, gibt es.

Inzwischen haben die meisten von den Überwachungsprogrammen „Prism“ und „Tempora“ gehört, mit denen der amerikanische und der britische Geheimdienst das Internet und die mobile Kommunikation überwachen. Kann ich mich dagegen schützen?

Ja und nein. Grundsätzlich kann man nicht verhindern, dass andere Leute die Daten mitlesen, die man verschickt oder empfängt. Nicht nur die Geheimdienste können das mitlesen, auch der Internet-Provider kann mitlesen, zum Beispiel die Telekom. Im Allgemeinen werden die das nicht tun, aber sie sind gesetzlich verpflichtet, für die Polizei Schnittstellen vorzuhalten, damit die das können. Man muss also immer davon ausgehen, dass jemand mitlesen kann. Und das gilt nicht nur für das Internet, sondern auch für Mobilfunk. Da ist es ja sogar noch offensichtlicher, denn Funk ist ja generell von jedem mit Antenne in Reichweite empfangbar. Ich kann aber verhindern, dass die Mitleser den Inhalt der E-Mails lesen können, indem ich Datenverschlüsselung einsetze. Im einfachsten Fall heißt das, dass man auf sein Web-Mail-System per https://-URL zugreift, nicht per http:// --.

Das wäre es schon?

Das ist glücklicherweise heutzutage Standard. Aber es hat leider nicht dazu geführt, dass die E-Mails jetzt sicher sind, sondern dass die Geheimdienste „Prism“ gestartet haben, um die Daten nach dem Entschlüsseln bei Google und anderen abzugreifen. Der einzige echte Schutz ist daher Ende-zu-Ende-Verschlüsselung. Man verschlüsselt dann nicht nur zwischen mir und dem Mail-Anbieter, sondern zwischen mir und der Gegenseite. Und da tun sich praktische Probleme auf. Wenn Sie mir für eine Interview-Anfrage eine Mail schreiben, woher wissen Sie dann, mit welchem Schlüssel Sie das verschlüsseln müssen, damit nur ich das lesen kann?

Hier sind in der Praxis vor fast jedem Kommunikationsvorgang manuelle Entscheidungen nötig. Der Anwender muss sich den Schlüssel der Gegenseite besorgt haben. Und wenn er von bösartigen Geheimdiensten im Internet ausgeht, dann muss er sich den Schlüssel direkt von der Gegenseite besorgt haben und den Pass kontrolliert haben oder Ähnliches. Oder ein gemeinsamer Freund muss die Echtheit bestätigt haben. Das artet schnell in Arbeit aus, daher hat es sich noch nicht in der breiten Bevölkerung durchsetzen können. Übrigens ist die Ende-zu-Ende-Verschlüsselung auch genau der Teil, den das angeblich so sichere De-Mail-System nicht bieten wird. Da kann dann die Mail auf dem Weg entschlüsselt werden. Dann kann sie auf Viren geprüft werden, das ist die offizielle Begründung dafür, aber sie kann eben auch von Geheimdiensten abgegriffen werden.

Was kann man konkret tun? Nicht mit Google suchen? Nicht bei Facebook sein? Keine Apple-Produkte verwenden?

Die Gesetzeslage ist so, dass das nicht an Google liegt oder Microsoft, sondern die amerikanische Regierung kann mit den sogenannten National Security Letters zu jedem Anbieter mit Niederlassung in den Vereinigten Staaten gehen und die Herausgabe der Daten verlangen. In Deutschland sieht die Situation zwar im Detail nicht ganz so übel aus, aber auch bei uns kann die Polizei Mail-Anbieter zur Herausgabe verpflichten. Hier nützt es nichts, sich über die Mail-Anbieter aufzuregen. Da kann am Ende GMX nichts dafür, wenn die Gesetzeslage so ist. Letztlich ist es unsere Schuld als Wähler, dass wir es so weit haben kommen lassen. Am Ende hilft natürlich jede Verschlüsselung der Welt nichts, wenn man seine persönlichen Daten auf Facebook, Twitter und anderen veröffentlicht. Heutzutage kann man sich ja nirgendwo mehr auf einen Job bewerben, ohne dass die erst mal Facebook auf peinliche Party-Fotos durchstöbern. Wer da nicht Datensparsamkeit gepflegt hat, der hat schon unabhängig von den Geheimdiensten schlechte Karten im Leben.

Ist es realistisch, dass der durchschnittliche Internet-Nutzer seine Mails verschlüsselt? Das klingt kompliziert, und nicht jeder ist Programmierer. Finde ich irgendwo Tools, die mir weiterhelfen?

Das ist mit Aufwand verbunden, keine Frage. Aber der Aufwand kommt nicht von den schlechten Werkzeugen, er ist der Problematik inhärent. Wir haben eben nicht so etwas wie ein Telefonbuch mit den Schlüsseln aller Bürger. Daher muss man da entweder Aufwand treiben und für jeden Kommunikationspartner von Hand den richtigen Schlüssel finden und einpflegen, oder man muss Kompromisse eingehen. Wie viel Kompromiss noch mit dem Sicherheitsbedürfnis zu vereinbaren ist, das muss am Ende jeder für sich selbst entscheiden. Nehmen Sie zum Beispiel ein Chatsystem. Da wird häufig der Kompromiss eingegangen, dass man nur den Weg zum Server verschlüsselt, nicht zum Gegenüber. Und dann tauchten sowohl bei Wikileaks als auch vor dem Militärtribunal gegen Bradley Manning Chatmitschnitte auf. Bei Manning kamen die sogar von seinem Chatpartner, den er kannte, nicht von einem Geheimdienst. Dagegen hilft natürlich keine Verschlüsselung der Welt. Letztlich ist Verschlüsselung nur ein Werkzeug, nicht die Lösung. Die Lösung ist, gewisse Dinge einfach gar nicht erst preiszugeben.

Unterscheiden sich hiesige Anfragen bei Mail-Anbietern vom Zugriff durch „Prism“ und „Tempora“? Bislang hat man den Eindruck: Da wird nicht gefragt, sondern gleich mitgelesen und mitgehört.

Auch die Schnittstellen bei uns sehen so aus, dass der Anbieter nicht mitkriegt, was da konkret an Daten abgegriffen wird, und ob überhaupt gerade etwas rausgeleitet wird. Stellen Sie sich mal vor, die Polizei ermittelt gegen einen Techniker bei einem Mail-Anbieter. Der darf doch dann nicht sehen können, wenn die seine Mails lesen. Wie das in Bürokratien so ist, wird das dann auf die Spitze getrieben. So gibt es in diesen Schnittstellen verschiedene Zugriffsebenen. Wenn ein Geheimdienst überwacht, kann der zum Beispiel auch die verdeckten Zugriffe der Polizei überwachen, ohne dass die Polizei das dann sehen kann. Das ergibt ja auch wieder Sinn, wenn man zum Beispiel einen Polizisten der Spionage verdächtigt.

Aber am Ende haben wir in unserem Land ein genauso intransparentes und gefährliches System wie die Amerikaner. Nur dass bei den Amerikanern zumindest auf dem Papier ein Whistleblower-Schutz existiert. Bei uns gäbe es keinerlei rechtlichen Schutz gegen Repressalien, wenn jemand solche Details verraten würde. Diese Schnittstellen sind übrigens standardisiert, da kann man die Standards einsehen und ist nicht auf Hörensagen und Verschwörungstheorien angewiesen.

Zum Stichwort Schnittstellen: Können die amerikanischen und britischen Geheimdienste auf die Schnittstellen bei uns so mir nichts, dir nichts zugreifen?

Das ist eine interessante Frage. Wir wissen, dass nach dem Krieg Deutschland in wesentlichen Aspekten kein souveräner Staat war und dass sich die Alliierten weitgehende Rechte vorbehalten haben. Erst in den letzten Jahren wird langsam bekannt, in welchem Umfang die Westalliierten die Post der Deutschen mitgelesen haben. Im öffentlichen Diskurs hieß es immer nur, dass die böse DDR die Briefe öffnet und mitliest und verschwinden lässt. Die bis heute geltenden Verträge zwischen Deutschland und den Alliierten sind leider geheim. Man kann nur spekulieren, was da für Verpflichtungen Deutschlands gegenüber den Siegermächten kodifiziert wurden.

Ich für meinen Teil halte es für nicht glaubwürdig, dass ausländische Dienste sich auf unsere Überwachungsinfrastruktur verlassen würden. Da könnten die sich doch nie sicher sein, dass wir nicht mitkriegen, wenn sie die benutzen. Und das würde ein ausländischer Dienst eher vermeiden wollen. Daher gehe ich davon aus, dass die zwar Zugriff haben, aber über eigene Schnittstellen. So ist seit vielen Jahren bekannt, dass über spezielle Unterseeboote Telefonleitungen am Meeresboden angezapft wurden. Man kann sich kaum ausmalen, was das für ein technischer und logistischer Aufwand sein muss und was das für Kosten verursacht. Wenn Geheimdienste zu solchen Ausgaben fähig sind, dann muss man davon ausgehen, dass sie auch alle anderen ähnlich gelagerten Projekte mit weniger oder ähnlich hohen Kosten durchgeführt haben.

Man sollte annehmen, dass sich die informierteren Regierungsstellen dem Zugriff von „Prism“, „Tempora“ und Co. entziehen. Wie machen die das? Und wie heißt das „Prism“ des BND?

Die informierten Regierungsstellen können da auch nicht prinzipiell mehr machen als wir Privatbürger. Die EU, so haben wir kürzlich aus einer Snowden-Veröffentlichung erfahren, setzt ein verschlüsselndes Faxgerät ein, um zwischen ihrer Niederlassung in Washington und den Außenministerien der EU-Länder unabgehört kommunizieren zu können. Das scheint auch so weit funktioniert zu haben, denn die Amerikaner sahen sich genötigt, sich physischen Zugriff auf dieses Gerät zu verschaffen und eine Wanze einzubauen, über die sie dann doch alles mitlesen konnten. Aus China wissen wir aus einer weiteren Snowden-Veröffentlichung, dass die Amerikaner zwar keine Schnittstellen für den direkten Zugriff hatten, aber dann eben alle Telekommunikationsunternehmen über ihre Cyberwar-Abteilung gehackt haben und so alle Daten rausgeleitet haben.

Ich halte es für realistisch, dass auch unsere Behörden alle infiltriert wurden. Es gab ja vor ein paar Jahren einen entsprechenden Skandal, bei dem es dann aber schnell hieß, dass das die bösen Chinesen gewesen seien. Wenn man bei den Untersuchungen herausgefunden hätte, dass das die Amerikaner waren, wäre das PR-technisch trotzdem den Chinesen in die Schuhe geschoben worden, da bin ich mir recht sicher. Letztlich ist das ja genau die Aufgabe von Geheimdiensten, sich bei Freund und Feind Zugang zu verschaffen. Der BND hat ein temporaähnliches Programm, das heißt „strategische Telekommunikationsüberwachung“. Da geht es auch darum, in großer Masse E-Mails und andere Telekommunikationen anderer Länder abzuhorchen. „Prism“ ist ja ein Schritt weiter. Da geht es darum, nach der Entschlüsselung Zugriff auf die unverschlüsselten Daten direkt bei den Web-Mail-Anbietern zu erlangen.

Über ein solches BND-Programm ist noch nichts öffentlich bekanntgeworden. Es würde mich aber sehr wundern, wenn es so etwas nicht zumindest für inländische Anbieter gäbe. Ich habe Visitenkarten von deutschen Geheimdienstlern gesehen, bei denen die E-Mail-Adresse auf @gmx.de oder @t-online.de endete. Da können Sie sich ja selbst überlegen, ob Sie es für wahrscheinlich halten, dass Geheimdienste Ihre E-Mail über solche Anbieter abwickeln würden, wenn Sie da nicht weitergehende Zugriffsmöglichkeiten haben. Ich will da jetzt auch gar nicht GMX und T-Online besonders hervorheben, das betrifft natürlich alle entsprechenden inländischen Anbieter. Solange wir als Wähler nicht verhindern, dass gesetzliche Grundlagen für derartige Zugriffe existieren, dürfen wir uns auch nicht wundern, wenn sie stattfinden.

Die Überwachung wird mit der Bekämpfung des Terrorismus begründet. Das klingt nicht unplausibel. Nach dem Motto: Wenn die Geheim- und Sicherheitsdienste nicht auf den Online-Datenverkehr zugreifen können, haben Terroristen freie Fahrt auf der Datenautobahn.

Ich finde, dass man da gegenhalten muss. Terrorismus ist ja definiert als Einschüchterung, als Angriff, der nicht mich direkt angreift, sondern mir Angst macht und ich so meine Lebensart ändere. Das ist doch genau, was hier gerade passiert! Nur dass eben nicht „die Terroristen“ diesen Angriff durchführen, sondern die Geheimdienste. Dieses ewige „aber die Terroristen“ ist doch genau so hohl wie der Hinweis auf die angebliche parlamentarische Kontrolle. Im öffentlichen Diskurs muss mal jemand die Frage stellen, ob der real erlebte Terror nicht eher von den Diensten ausgeht, anstatt dass sie uns vor ihm schützen. Was wir schon alles im angeblichen Kampf gegen den Terror in unserem Leben ändern mussten!

Die Fragen stellte Michael Hanfeld.

Felix von Leitner ist IT-Sicherheitsberater. Privat betreibt er das vielgelesene Blog blog.fefe.de.

Quelle: F.A.Z.
  Zur Startseite

Themen zu diesem Beitrag:
Bradley Manning | Deutschland | USA | BND | Deutsche Telekom | Facebook | Geheimdienst | GMX | Microsoft | Polizei | Twitter | PRISM | Überwachung