CAST-Forum zur NSA-Affäre: Kleine Schritte auf dem Weg zur technologischen Souveränität

Ja, sie scannen. Die USA mögen mit einer Vielzahl von Programmen das Internet durchsuchen, doch es gibt Technik und Methoden, mit denen Deutschland sich weitgehend dem Zugriff der NSA entziehen könnte. Allerdings kosten sie eine ordentliche Stange Geld.

In Pocket speichern vorlesen Druckansicht 13 Kommentare lesen
Lesezeit: 6 Min.
Von
  • Detlef Borchers
Inhaltsverzeichnis
NSA-Skandal

Die NSA, der britische GCHQ und andere westliche Geheimdienste greifen in großem Umfang internationale Kommunikation ab, spionieren Unternehmen sowie staatliche Stellen aus und verpflichten Dienstleister im Geheimen zur Kooperation. Einzelheiten dazu hat Edward Snowden enthüllt.

Auf dem CAST-Workshop "Yes, we scan – Konsequenzen der Überwachung" haben Sicherheitsexperten über die Auswirkungen der NSA-Affäre diskutiert. Dabei zeigte sich Gerhard Schabhüser vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sehr vorsichtig in der Beurteilung der Snowden-Dokumente. Nur begrenzt seien Mutmaßungen über das Gesamtsystem des "Aufklärungsprogrammes" der USA anzustellen. Jedes einzelne bisher bekannt gewordene Projekt sei für sich nicht überraschend, doch der Umfang, die professionelle Orchestrierung und die breite Zielsetzung von der Terrorfahndung bis hin zur Wirtschaftsspionage gebe zu denken.

Es müsse viel Geld in die Hand genommen werden, um "Schottensysteme" zwischen Netzsegmenten einzuführen, die Flusskontrolle zwischen Netzwerkkomponenten und das Monitoring mit Anomaliedetektion zu verbessern und so die nationale Souveränität sicherzustellen, sagte Schabhüser. Zudem müsse mit einem nationalen Kryptosystem Vertrauen und Verlässlichkeit von kritischen IT-Systemen hergestellt werden. Routingkompatible VPN-Gateways, Secure Exchange Gateways und als Basistechnik Separationskerne auf mobilen Clients könnten durchaus in Deutschland entwickelt werden. Es sei aber nicht damit getan, verbindliche Mindestanforderungen festzuschreiben und sie als "Best Practices" in der Wirtschaft einzuführen. Sensibilisierungskampagnen für IT-Sicherheit und die Förderung der Open Source Community seien unverzichtbar. Jedwede Software dieser Komponenten müsse offen kontrollierbar sein, ob Hintertüren vorhanden sind.

eco-Sprecher Klaus Landefeld berichtete über die Situation bei De-CIX, wo 550 Carrier über 14 Konzentratoren mit insgesamt 1200 Faserleitungen zusammenkommen. Er gab sich ziemlich sicher, dass die NSA am deutschen Peering-Point nicht abgreift. "Wer ohne unser Wissen Daten ausleiten wollte, müsste sämtliche 14 Accessknoten kompromittieren." Es könnten auch nicht 1200 Faserleitungen kompromittiert werden, ohne dass dies bemerkt würde.

Das Problem seien vielmehr die acht großen Backbone-Provider, die US-Muttergesellschaften gehörten. Landefeld verwies auf die durch Snowden-Dokumente bekannte Ausleitung am Unterwasser-Kabel in Großbritannien und darauf, dass das dort angewendete RIPA-Gesetz schon im Jahre 2000 in Kraft trat, also vor dem immer wieder bemühten 'Kampf gegen den Terrorismus'.

RIPA ist Landefeld zufolge wesentlich umfangreicher als die deutsche Kombination von G0-Gesetz, TKG und TKÜV. Ohne Beseitigung des "Konfliktes in den Rechtsräumen" sei jede Debatte über ein Schengen-Netz sinnlos. Er forderte eine Informationspflicht über die Speicherorte und Datenpfade seitens der Provider und eine Schengenraum-Kontrolle, wenn Daten diesen Raum verlassen. Zudem müsse es Alltagstechnik werden, Daten zum Beispiel mit der Ende-zu-Ende-Verschlüsselung zu verschleiern. Für Landefeld beginnt die "digitale Selbstverteidigung" mit DetecTOR, GNUnet, I2P und Secushare. Er bekannte, dass es keine deutschen Anbieter für die Hochleistungstechnik gebe, die DE-CIX einsetze. Wer hier von deutscher Sicherheits-IT rede, müsste Eigenbauten entwickeln, die wiederum bezahlbar sein müssten.

Der rheinland-pfälzische Landesdatenschützer Helmut Eiermann meinte, wer wirklich ins Visier der NSA gerate, könne nicht einem System entkommen, das notfalls ihren Opfern umgebaute Hardware per Paketdienst zuschicke. Unbescholtene Bürger könnten aber ein deutliches Nein!-Zeichen setzen, wenn sie im Sinne des Selbstdatenschutzes Datenspuren vermeiden und bereinigen sowie und durchgehend Ende-zu-Ende-verschlüsseln. Auf staatlicher Ebene sei das stärkste Signal, das Safe-Harbour-Abkommen auszusetzen, wodurch der Datenaustausch von Unternehmen mit den USA unterbunden und der Handel torpediert werden könne. Bedeutsam sei auch der Digital New Deal, den der LIBE-Ausschuss der EU vorgeschlagen habe.

Vodafone-Manager Rolf Reinema stellte die Methoden vor, mit denen Staaten nach gesetzlich vorgegebenen Regeln die Sprach- und Datenkommunikation der Kunden eines Providers überwachen können. Dazu gehört die anlasslose Sammlung von Daten auf Vorrat für spätere Auskunftsersuchen der Behörden. Vodafone halte sich dabei an die Gesetze der jeweiligen Länder, in denen das Unternehmen tätig sei. In Deutschland gebe es durch die Polizeigesetze der Länder und die Zollfahndungsgesetze eine Vielzahl von gesetzlichen Bestimmungen. Ehe ein erfahrener IT-Administrator hier selbstständig arbeiten könne, sei eine einjährige Zusatzausbildung notwendig. "Vodafone geht keine über in Deutschland geltende gesetzlichen Pflichten hinausgehende Geheimhaltungspflichten ein", betonte Reinema.

Große Bedeutung habe die Transparenz der Überwachung, die Vodafone in seinen Jahresberichten und in der TK-Überwachungsstatistik anwende, ergänzend zu den Veröffentlichungen des Bundesamtes für Justiz, das die Überwachung der Verkehrsdaten nach Straftaten getrennt auflistet. Auch in den USA mit ihrem Gewimmel an Subpoenas, Wiretap Orders und National Security Letters sei die Transparenz für Kunden eine wichtige Information.

In der Podiumsdiskussion wurde deutlich, dass Ende-zu-Ende-Verschlüsselung gut ist, aber auch für technisch weniger versierte Anwender nutzbar sein muss. BSI-Mann Gerhard Schabhüser betonte, dass Deutschland gar nicht so schlecht positioniert sei und verwies auf den neuen Personalausweis, der als Sicherheitsanker für einfache Dinge dienen könne. Datenschützer Eiermann verwies auf die E-Mail made in Germany, die verglichen mit früher ein Fortschritt sei. Reinema wies wiederholt auf die Kosten hin. So koste es Vodafone 300 Millionen Euro, Mobiltelefone nach dem geheimdienstlich kompromittierten A5/1 abzusichern.

Der Vodafone-Manager stellte danach eine gewagte Kalkulation an, ob der finanzielle Aufwand für die Spionage der USA, der angesichts des Widerstandes anderer Länder immer größer wird, die US-Volkswirtschaft so nachhaltig schädigen könnte, dass die Spionage reduziert wird. Einig war sich die Expertenrunde in der Frage, dass die NSA neben der alles rechtfertigenden Terrorismusbekämpfung auch Wirtschaftsspionage betreibt. Dass dies auch Wirtschaftsförderung sein könnte, wenn Firmen durch In-Q-Tel gegründet werden und wachsen, war aber strittig. Zum Auftakt des anregenden Tages hatte Moderator Stefan Katzenbeisser von der TU Darmstadt auf den Aspekt hingewiesen, dass der Bundesnachrichtendienst der NSA zuarbeitet, indem er Funkzellenabfragen in die USA schickt. Dieser auch sehr deutsche Mitmach-Aspekt kam auf dem CAST-Workshop eindeutig zu kurz. (anw)