INTERNET WORLD Business Logo Abo
Data Encryption Tastatur
Security 16.02.2016
Security 16.02.2016

"Going Dark"-Debatte unnötig "Internet of Things" liefert genügend Abhördaten

Shutterstock.com/Anatoly Vartanov
Shutterstock.com/Anatoly Vartanov

Die "Going Dark"-Debatte in den USA ist in vollem Gange. Ein Verbot von Verschlüsselung ist, wie zwei aktuelle Harvard-Studien belegen, allerdings weder zielführend, noch notwendig.

"Going Dark" ist aktuell besonders eines: Angst. Angst der US-Sicherheitsbehörden, dass kommuniziert wird, ohne dass sie mithören können. Ein Schuldiger ist für FBI Director James Comey auch schon gefunden: End-to-End-Verschlüsselung. Und natürlich die Hardware- und Software-Hersteller, die diese in ihre Produkte einbauen und somit der unüberwachten Kommunikation von potenziellen Terroristen Tür und Tor öffnen.

Eine solche Tür soll nun allerdings auch die Lösung des Problems sein. Comey will eine gesetzlich mandatierte Hintertür für Sicherheitsbehörden, die Hersteller in ihre Produkte einbauen müssen. Die US-Staaten New York und Kalifornien haben es schon beschlossen, auch wenn diese Gesetze nun einer landesweiten Regelung Platz machen sollen. Man kann schließlich von Apple und Co. nicht verlangen, eigene Produkte für bestimmte Staaten herzustellen.

Immer mehr Verschlüsselung seit Snowdens Enthüllungen

Den Anstoß zur "Going Dark"-Diskussion gaben Tech-Konzerne im Herbst 2014. Nachdem durch Edward Snowden bekannt wurde, wie viel Kommunikation von US-Sicherheitsbehörden abgehört wird, verkündete Apple als erster Hersteller, eine Default-Verschlüsselung des Passwort-geschützten Contents in den mobilen Devices einzubauen. Andere Konzerne ließen nicht lange auf sich warten: Google, WhatsApp und Yahoo zogen bald nach.

Beim Thema Datenschutz und -sicherheit gehen in den USA die Meinungen auseinander. Während User und Unternehmen persönliche Daten und die Möglichkeit verschlüsselter Kommunikation nicht so einfach aufgeben wollen, geht es den Behörden in erster Linie um die nationale Sicherheit. Und die Tatsache, dass man durchs Mithören aller Kommunikation vielleicht doch ein schwarzes Schaf und einen potenziellen Attentäter findet. Sicherheit über Freiheit, das altbekannte Problem. Aber würde eine gesetzlich verordnete Hintertür in verschlüsselten Produkten überhaupt etwas bringen?

Nein, bestätigen Forscher der Harvard University jetzt. In ihrer breit angelegten Recherche fanden sie 865 Hardware und Software-Produkte, die Verschlüsselung irgendeiner Art enthalten. Verschlüsselt werden Dateien, E-Mails, VPNs oder Nachrichten. Und natürlich kommen nicht alle Encryption Hard- und Software aus den USA. 546 der Produkte kommen aus 55 anderen Ländern. Die meisten davon - wenig überraschend - aus Deutschland. Nun würde ein US-Gesetz, das eine behördliche Abhör-Hintertür vorschreibt, nur für US-Hersteller gelten. Eine obligatorische Hintertür ist somit unwirksam, allein weil der Markt der Produkte so international ist. Terroristen hätten dann immer noch die Möglichkeit, auf zahlreiche andere ausländische Verschlüsseler zurückzugreifen.

Hintertüren schaden der US-Wirtschaft

"Ja, es wird Kriminelle treffen, die zu dumm sind, um zu realisieren, dass ihr Sicherheitsprodukt jetzt eine Hintertür hat oder die zu faul sind, um zu einer Alternative zu wechseln. Aber diese Kriminellen sind prädestiniert dafür, viele andere Fehler zu machen und werden deshalb sowieso leicht zu fangen sein", so die Harvard-Forscher. Aktuell diskutieren zwar nicht nur die USA sondern auch andere Länder wie Großbritannien oder Frankreich ein solches Gesetz. Alle Länder, in denen Encryption-Produkte hergestellt werden, werden aber sicher nicht mitziehen. Zumindest Deutschland (113 gefundene Produkte) und die Niederlande (20 Produkte) schließen verordnete Hintertüren in der Verschlüsselung aus.

Und ein solches Gesetz trifft nicht nur die Richtigen nicht, es trifft auch noch die Falschen. Und zwar die User, die sich keine Gedanken über staatliche Überwachung machen oder zumindest nicht genug, um zu einem anderen Produkt zu wechseln. Die wären dann für einen Hackerangriff oder das Abhören durch eine andere Regierung verwundbar. Und noch dazu kann so ein Gesetz auch die US-Wirtschaft schwächen, die vom Verkauf von ITK-Ware ja schließlich auch profitiert.

Don't Panic - es gibt genügend andere Überwachungsmöglichkeiten

Bedeutet das also, dass es schlecht aussieht für die Abhörpläne des FBI und die nationale Sicherheit der USA? Nein, James Comey muss sich keine Sorgen machen. Denn eine andere aktuelle Studie des selben Harvard-Instituts, dem Berkman Center for Internet & Security, beruhigt die Behörden. Der bezeichnende Titel des Papiers: "Don’t Panic".

Auch wenn eine bestimmte Art der Überwachung mit den technologischen Veränderungen zu einem gewissen Umfang schwieriger geworden sei, beschreibt für die Forscher der Ausdruck "Going dark" nicht den Status quo. Denn unmöglich wird Überwachung von Kriminellen keinesfalls. Das Paper zeigt den Behörden, woher sie ihre Daten bekommen können, auch wenn Default-Verschlüsselung weiterhin zunimmt.

Zum einen werden nicht alle Unternehmen die Daten ihrer User und Kunden verschlüsseln, da sie auf diese angewiesen sind. Verschlüsselung läuft den Interessen der Firmen gerade deswegen gegen den Strich, weil es ohne User-Daten nicht mehr geht. Auch sind Verschlüsselungsprodukte bei weitem noch nicht so verbreitet, wie es die Behörden befürchten. Und auch Metadaten, wie Standort-Lokalisierung, Header Information in E-Mails, Aufzeichnungen von Telefongesprächen werden unverschlüsselt bleiben. Denn mit Verschlüsselung würden viele Dienste nicht mehr funktionieren.

Das "Internet of Things" liefert ausreichend Daten zur Überwachung

Aber der größte Unterstützer der Behörden wird laut Forschern ein anderer und der hat das "Potenzial, Überwachung drastisch zu verändern": das "Internet of Things". Denn wer braucht schon Smartphones ohne Verschlüsselung, wenn es Fitnesstracker, Fernseher mit Sprachsteuerung und Haustier-beobachtende Webcams gibt. Die von den IoT-fähigen Devices erfassten Bilder, Videos und Audiodaten können in Echtzeit abgefangen oder aufgezeichnet werden und ermöglichen auch Zugriff nach der Tat, so die Forscher. Wieso also noch nicht intensiv genutzte End-to-End-Verschlüsselung verbieten, wenn sich die Leute den gehypten Big Brother freiwillig ins Haus holen? Ob Terroristen das allerdings auch machen würden, ist fraglich. Auch wenn die Mitarbeiter der Studie zu einem Teil für US-Behörden arbeiten, sorgen sogar sie sich, wie anfällig die breite Öffentlichkeit durch das Internet of Things wird. Und wie leicht abzuhören.

Die Überwachungswut der US-Behörden führt nicht nur zu Konflikten mit Tech-Konzernen. Auch die EU hat Probleme bei der Vereinbarkeit der Vorstellungen zu Datenschutz und Datensicherheit. Aktuell sieht es nicht so aus, als würden die USA beim Safe Harbor-Nachfolger Privacy Shield, dem Datentransferabkommen zwischen EU und USA, mehr als nur Lippenbekenntnisse machen.

Das könnte Sie auch interessieren