15.07.2015

Wer schützt unsere Daten?

Die derzeitigen Schutzmöglichkeiten sind weitgehend wirkungslos

Wer schützt unsere Daten?

Die derzeitigen Schutzmöglichkeiten sind weitgehend wirkungslos

George Orwell lässt grüßen. | © fotokalle - Fotolia
George Orwell lässt grüßen. | © fotokalle - Fotolia

Snowden, NSA, BND und kein Ende in Sicht. Deutsche Bürger, Firmen und Organisationen wurden und werden mit Unterstützung durch den BND ausgespäht. Ein No-Spy-Abkommen mit den USA wurde offenbar nie in Aussicht gestellt und ist auch nicht geplant. Wie können wir uns überhaupt gegen die ungeheuren Fähigkeiten der Geheimdienste schützen? Machen wir uns nicht sogar eher verdächtig, wenn wir Schutzmaßnahmen wie eMail-Verschlüsselung verwenden? Oder sind wir nicht schon zu freizügig mit unseren Daten, sodass wir uns über Schutzmaßnahmen sowieso keine Gedanken machen müssen?

Verführung durch die modernen Medien

Die Möglichkeiten, die uns moderne Kommunikationsgeräte und -dienste wie Skype, Google, Facebook etc. bieten, verführen uns zu deren Nutzung, ohne dass wir dabei beachten, dass wir mit deren Verwendung i.d.R. die Rechte an den übermittelten Daten abtreten. Der Journalist Joachim Jakobsverglich diese Situation am 08. 05. 2015 auf dem – vom Autor dieses Artikels mitorganisierten – Data Protection Day an der Hochschule der Medien in Stuttgart treffend mit den Sirenen im Altertum: Odysseus und seine Mannschaft wurden von dem schönen Gesang der Sirenen angelockt und in den Bann gezogen, bezahlten dies aber mit ihrem Leben.

Derzeit ist die Nutzung von Skype wegen der Datenschutzproblematik im öffentlichen Dienst in Baden-Württemberg zwar untersagt (siehe www.it.kultus-bw.de/Lde/1653651), aber dieses Verbot ist offenbar nicht allen Mitarbeitern des öffentlichen Dienstes bekannt, da Lehrkräfte an Hochschulen beispielsweise auch Skype-Sprechstunden anbieten.


Datenschutz beim Cloud-Computing

Beliebt sind auch Cloud-Dienste wie beispielsweise DropBox, das auch gerne im öffentlichen Dienst verwendet wurde, um größere Dateien unter Mitarbeitern zu verteilen. Nach einigen Jahren der Nutzung wurde glücklicherweise erkannt, dass viele internen Informationen somit einem externen Anbieter preisgegeben wurden. Als Ersatz für solche Cloud-Dienste werden heutzutage üblicherweise private und somit interne Clouds verwendet. Der Ersatz für DropBox ist üblicherweise die Verwendung von ownCloud. Das Beispiel belegt nochmals eindrücklich den Reiz, welchen die Sirenen der Neuzeit ausüben. Die Möglichkeiten werden zunächst höher bewertet als die Risiken. Vermutlich wurden aber auch einfach die Nutzungsbedingungen der Dienste zunächst nicht gelesen und somit die Datenschutzproblematik überhaupt nicht bewusst wahrgenommen.

Der Ansatz der Nutzung von Cloud-Diensten ist aber nicht per se zu verurteilen. Bei entsprechenden Verträgen im Rahmen der Auftragsdatenverarbeitung kann der Auftraggeber und somit Dienstnehmer den Cloud-Anbieter durchaus auf die Einhaltung der deutschen Datenschutzbestimmungen verpflichten, was allerdings typischerweise erfordert, dass auch die verwendeten Rechner in Deutschland, mindestens aber in der EU stehen. Der Ansatz sogenannter virtual private Clouds erlaubt in gewissen Performancegrenzen Anwendungen in die externe Cloud zu verlagern, die Daten aber auf internen Systemen zu halten. Die externen Anwendungen verbinden sich dann über virtuelle private Netzwerke (VPN) mit den internen Systemen. Ein alternativer Ansatz ist es, die Daten auch in der externen Cloud vorzuhalten, diese dort aber zu verschlüsseln. Dabei ergibt sich nun aber das Problem, dass mit diesen verschlüsselten Daten gearbeitet werden muss. Diese in der externen Cloud für die Verarbeitung zu entschüsseln verbietet sich, da somit die ganze Verschlüsselung unnütz gewesen wäre. Eine mögliche Problemlösung versprechen sogenannte homomorphe Verschlüsselungsverfahren. Diese ermöglichen es, Berechnungen auf verschlüsselten Daten durchzuführen, ohne dass die Daten dazu entschlüsselt werden müssen.

Datenschutz bei Trends wie „Internet der Dinge” und „Industrie 4.0”

Anhaltende Trends wie das „Internet der Dinge” und „Industrie 4.0” fördern die weitere Digitalisierung und Vernetzung, so dass künftig sämtliche Daten des privaten wie wirtschaftlichen Lebens online verfügbar sein werden. Die Erfahrungen der letzen Jahrzehnte speziell in der Informations- und Kommunikationsbranche haben gezeigt, dass bei sämtlichen neuen Entwicklungen Sicherheitsaspekte zunächst überhaupt nicht bedacht wurden, sondern der Fokus stets auf der neuen Funktionalität lag.

Aus betriebswirtschaftlicher Sicht ist dies durchaus verständlich, da neue Funktionalität umsatzsteigernd wirkt, ein Alleinstellungsmerkmal gegenüber Wettbewerbern darstellen kann und die Zeit bis zur Markteinführung oft darüber entscheidet, welcher Anbieter sich am Markt durchsetzt. Unter diesen Umständen werden Sicherheitsaspekte typischerweise nicht berücksichtigt, da diese einerseits die Zeit bis zur Markteinführung verlängern und andererseits in der Regel Komforteinbußen mit sich bringen.

Durch fehlende Sicherheitsmaßnahmen, Schwachstellen in den verwendeten Technologien und Protokollen sowie die Unachtsamkeit der Benutzer im Umgang mit Daten und Diensten ist davon auszugehen, dass diese Daten dann auch den Geheimdiensten sowie den großen IT-Dienstleistern wie Google, Facebook, Microsoft etc., aber auch Kriminellen sämtlich bekannt sind und mit den bereits heute verfügbaren Methoden und Technologien der Analyse großer Datenmengen (Stichwort: Big Data) in Echtzeit ausgewertet werden können. Industriespionage wird so künftig noch einfacher möglich sein.

Nicht nur die Preisgabe von Daten aus allen Lebensbereichen ist ein Problem, sondern die Tatsache, dass es Kriminellen möglich ist, durch Schwachstellen und fehlende Sicherheitsmaßnahmen beispielsweise die Steuerung von Autos und „intelligenten” Häusern zu übernehmen. Wer bisher noch dachte, dass er nichts zu verbergen habe und sich deswegen keine Gedanken über Sicherheit machen müsse, wird spätestens jetzt merken, dass das eigene Vermögen, die eigene Gesundheit und im schlimmsten Fall sogar das eigene Leben bedroht ist.

Industriespionage durch Sammeln privater Daten von Mitarbeitern

Industriespionage ist auch über das Sammeln von Daten über die Mitarbeiter von Firmen möglich. Fast jeder von uns führt heute ein SmartPhone mit sich. Diverse Apps übermitteln den aktuellen Standort einer Person an externe Server, wo diese Daten ausgewertet und verknüpft werden. Die Verknüpfung wird dadurch erleichtert, dass viele SmartPhone-Nutzer ihre Kontakte und Termine mit Cloud-Diensten – wie beispielsweise von Apple oder Google angeboten – synchronisieren. Damit ist bekannt, welcher Mitarbeiter welche anderen Personen welcher anderen Firmen wann und wie lange aufgesucht hat. Daraus lassen sich beispielsweise Schlüsse über bestehende oder geplante Kooperationen ziehen. Die in SmartPhones und Notebooks heutzutage üblicherweise integrierten Kameras und Mikrophone lassen sich darüber hinaus dazu verwenden, Gespräche mitzuhören bzw. Fotos oder Videos in sensiblen Firmenbereichen zu machen. Für Firmen ist aber nicht nur Spionage eine Bedrohung, sondern auch absichtliche Rufschädigung beispielsweise durch Wettbewerber.

Verletzung der Privatsphäre

Durch SmartTVs und Spielekonsolen werden wir mittlerweile auch schon im heimischen Wohnzimmer beobachtet. Dieser Trend der Aufgabe jedweder Privatsphäre wird durch weitere Technologien unterstützt, die in Autos (SmartCar), Uhren (SmartWatch), Brillen (SmartGlass), Kleidung (Wearable Compting) etc. eingesetzt wird. Versicherungsgesellschaften wollen uns den Einsatz von SmartWatches, die unseren Lebenswandel überwachen, oder den Einsatz von sogenannten „Black Boxes” in Autos, die unser Fahrverhalten überwachen, durch günstigere Prämien schmackhaft machen.

Der gläserne Bürger

Am Ende des Digitalisierungsprozesses steht der vollkommen gläserne Bürger, der weder Privatsphäre noch Freiheit hat. Selbst wenn man vermeintlich nichts zu verbergen hat, verhält sich ein Mensch anders, wenn er weiß, dass er ständig beobachtet wird bzw. werden könnte. George Orwell lässt grüßen. Identitätsdiebstähle werden dadurch außerdem begünstigt.

TTIP

Das geplante Freihandelsabkommen mit den USA lässt nach derzeitigem Kenntnisstand befürchten, dass europäische Standards abgesenkt werden und Produkte mit Schwachstellen oder bereits integrierten Spionagefunktionen verstärkt auf den europäischen Markt kommen.

Wie sieht es nun mit Schutzmöglichkeiten aus?

Da es von staatlicher Seite bis auf Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bisher keine Unterstützung gibt, müssen sich Firmen und Privatpersonen leider selbst um ihren Schutz kümmern. Für das Verschlüsseln von eMails gibt es zwar Lösungen wie PGP/GPG und S/MIME, doch haben auch diese Nachteile. Die Problematik der Schlüsselverwaltung, ein Vertrauensmodell, das auf der Transitität von Vertrauen basiert und Komforteinbußen beispielsweise bei Volltextsuchen in eMails, erschweren den Einsatz von PGP/GPG. S/MIME beruht auf Zertifikaten, die bestätigen, dass ein Schlüssel zu einer Person gehört. Schwache Verschlüsselungsverfahren, von Geheimdiensten gefälschte Zertifikate und fehlende Verzeichnisdienste, über die man das Zertifikat eines Kommunikationspartners abrufen könnte, verhindern aber den organisationsübergreifenden Einsatz von S/MIME. Unter anderem gefälschte Zertifikate haben auch dazu geführt, dass per SSL/TLS (Secure Socket Layer / Transport Layer Security) verschlüsselte Verbindungen zwischen Web-Browser und Web-Server abgehört wurden und werden. Programmierfehler in weit verbreiteter Software wie beispielsweise OpenSSL haben ebenfalls dazu beigetragen.

Fazit

Absolute Sicherheit und umfassenden Schutz gibt es nicht. Die derzeitigen Schutzmöglichkeiten sind sehr begrenzt und gegen mächtige Geheimdienste und Kriminelle weitgehend wirkungslos. Staatliche Unterstützung beim Schutz ist praktisch nicht vorhanden. Firmen und Bürger sind auf sich gestellt. Der derzeit beste Schutz ist zunächst, ein Bewusstsein für Datensicherheits- und Datenschutzaspekte zu entwickeln, vorhandene Sicherheitsmaßnahmen einzusetzen, um Spionage und Angriffe zu erschweren, sowie ein möglichst sparsamer Umgang mit der Preisgabe von Daten. Zum Schluss bleibt noch das Prinzip Hoffnung, dass durch die Enthüllungen von Herrn Snowden sowie bekanntwerdende Sicherheitsvorfälle der Druck zur Entwicklung sicherer Systeme so stark zunimmt, dass sich auch deren Bedienbarkeit verbessert und so ein flächendeckender Einsatz erfolgen kann. Leider sind wir offenbar noch nicht an diesem Punkt angekommen.

Hinweis der Redaktion: Prof. Dr. Dirk Heuzeroth ist Professor an der Hochschule der Medien in Stuttgart und lehrt dort u. a. das Entwickeln sicherer Software. Darüber hinaus hat er mehrere Lehraufträge über sichere Software-Entwicklung, Informationssicherheit und Kryptografie an der Hochschule Heilbronn. Er ist außerdem freiberuflich als Berater für Informationssicherheit und Web-Entwicklung tätig.

Prof. Dr. Dirk Heuzeroth

Prof. Dr. Dirk Heuzeroth

Hochschule der Medien und freier Informationssicherheitsberater, Stuttgart
n/a