Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 24 2014

Rüdiger Weis: Wer unverschlüsselt kommuniziert, kann seine Daten auch gleich an die Geheimdienste schicken

Rüdiger Weis, Professor für Informatik an der Beuth-Hochschule Berlin, spricht im iRights.info-Interview über Kryptographie, die Reaktionen von Internetdiensten und Politik auf die Überwachungsenthüllungen – und darüber, wie jeder mit freier Software für mehr Datensicherheit sorgen kann.

Der Journalist Glenn Greenwald zog in einer Anhörung des Europäischen Parlaments im Dezember folgendes Fazit über die Enthüllungen aus dem Fundus von Edward Snowden: Die Überwachungsprogramme der NSA und seines britischen Partners GCHQ liefen – ohne Übertreibung – darauf hinaus, dass es bei elektronischer Kommunikation schlechthin keine Privatsphäre mehr geben solle.

Für Internet-Dienste – ob E-Mail-Anbieter oder Cloud-Provider – gehen die Enthüllungen auch mit einem Vertrauensverlust einher. Viele Anbieter haben darauf unter anderem damit reagiert, internen Datenverkehr zwischen den Rechenzentren oder den Transport von E-Mails zu verschlüsseln.

Rüdiger Weis ist Kryptograph und Professor für Informatik an der Beuth-Hochschule für Technik Berlin und leitet die Arbeitsgruppe Cryptolabs in Amsterdam. Er ist Mitglied des Chaos Computer Clubs und bei Digitale Gesellschaft e.V. Foto: WP/Tobias Klenze, CC BY-SA.

Rüdiger Weis ist Kryptograph und Professor für Informatik an der Beuth-Hochschule für Technik Berlin. Er leitet die Cryptolabs in Amsterdam, ist Mitglied im Chaos Computer Club und bei Digitale Gesellschaft e.V. Foto: WP/Tobias Klenze, CC BY-SA

Rüdiger Weis, Professor für Informatik und Krytographie-Experte sieht das mit gemischten Gefühlen: Einerseits sei es ein Schritt in die richtige Richtung – andererseits zeige es, wie unverantwortlich die Unternehmen bislang mit Nutzerdaten umgegangen seien und selbst geringen Aufwand scheuten, die Daten der Nutzer zu schützen. Die Industrie sei aber dabei, bei der Datensicherheit umzudenken.

Freie Software zum Verschlüsseln für jeden

„Sicherheit ist immer mit Arbeit verbunden“, räumt Weis ein. Die gute Nachricht aber liege darin, dass für jeden Nutzer Möglichkeiten bereit stehen, selbst für mehr Sicherheit zu sorgen. Mit relativ geringem Aufwand einsetzen lassen sich etwa:

Mehr Aufwand erfordert Ende-zu-Ende-Verschlüsselung mit OpenPGP, die nicht nur den Transport, sondern auch die Inhalte von E-Mails verschlüsselt. Ähnlich ist es mit der Anonymisierungssoftware Tor, die den Datenverkehr über mehrere Ecken schickt. Weil all das freie Softwareprodukte sind, kann man nicht nur die Sicherheit öffentlich überprüfen, sie sind auch kostenlos.

Abschalten sollte man dagegen Verschlüsselungsverfahren, die als gebrochen gelten können, rät Weis. Dazu gehört das Verfahren RC4, das beispielsweise bei gesicherten HTTPS-Verbindungen zum Online-Banking eingesetzt wird. Microsoft etwa hat es bereits weitgehend abgeschaltet, man kann es aber auch selbst im Browser deaktivieren.

„Schengen-Cloud“ und Kryptographie in der digitalen Gesellschaft

Für die Pläne zu einem deutschen oder europäischen Datenverkehr („Schengen-Cloud“) hat Weis ebenso Verständnis wie Unverständnis: Wenn etwa Unternehmen in Deutschland sich vor Wirtschaftsspionage durch den US-Geheimdienst schützen wollen, sei das berechtigt und verständlich. Die Situation in Europa sei aber nicht viel besser, wenn auch der britische Geheimdienst den Datenverkehr umfassend ablausche und mit der Vorratsdatenspeicherung eine „Komplettüberwachung” der Bürger geplant werde.

Kryptographie ist für Weis nicht nur ein Mittel für den Schutz des Einzelnen, sondern hat gesesellschaftspolitische Bedeutung. Er denkt dabei etwa an gesicherte Online-Wahlen, aber auch an digitale Währungen wie Bitcoin. Die Entwicklung digitaler Währungen zeige jedoch ebenso, wie Bürger sich dort vom Staat abwenden und ihm Loyalität entziehen können, wo es um seine Kernaufgaben geht. Wenn Staaten die Bürger nur mehr als Gefahrenquelle ansehen, werde diese Tendenz der Abwendung noch weiter gestärkt, warnt Weis.

January 04 2014

Seda Gürses: Bei der Privatsphäre darf es keine Zweiklassengesellschaft geben

Technologien wie Tor und Verschlüsselung für Mails bleiben trotz der Angriffe der NSA darauf wichtige taktische Werkzeuge, sagt die Informatikerin und Privacy-Expertin Seda Gürses im iRights.info-Interview. Es komme aber darauf an, dass die Technologien nicht nur für einige, sondern für alle Nutzer zugänglich werden.

iRights.info: Wir haben schon letztes Jahr miteinander gesprochen – hauptsächlich über soziale Netzwerke und Datenschutz. Welche Entwicklungen gab es in diesem Jahr?

Seda Gürses: Soziale Netzwerke waren­ auch in diesem Jahr Thema, aber ich würde den Schwerpunkt diesmal woanders setzen, nämlich darauf, wer kon­trolliert, was gezeigt wird und was nicht. Das ist meiner Meinung nach auch ein Teil von privacy im Sinne von informationeller Selbstbestimmung.

Seda Gürses ist Informatikerin und beschäftigt sich mit Privatsphäre und Datenschutz, Sicherheit und Überwachung, und Anforderungsanalyse. Sie forscht an der NYU in New York am Media, Culture and Communications Department.

Seda Gürses ist Informatikerin und beschäftigt sich mit Privatsphäre und Datenschutz, Sicherheit, Überwachung und Anforderungsanalyse. Sie forscht an der NYU in New York am Media, Culture and Communications Department.

Vor allem Facebook scheint Probleme mit politischen Inhalten zu haben. Bei den Protesten in der Türkei seit Ende Mai war zu sehen, dass Facebook irgendwann Zensur ausgeübt und bestimmte Inhalte nicht mehr gezeigt hat. Wir haben mit Richard Allen („Director of Policy“ bei Facebook, Anm. der Red.) gesprochen, der bestätigt hat, dass Face­book kurdische Seiten zensiert hat. Er sagte, dass geschehe bei Seiten, die die PKK und Terroristengruppen unterstützt haben.

Ich habe mit einigen dieser Gruppen gesprochen. Sie hätten zum Beispiel nur über Unabhängigkeitsbewegungen in Syrien berichtet, die kurdische Wurzeln hatten – das wurde dann von Facebook gelöscht. Zensiert wurden nicht nur Postings, sondern ganze Seiten und Gruppen. Die Maßstäbe von Facebook waren teilweise härter als die der türkischen Regierung.

iRights.info: Was waren die Folgen dieser Löschungen?

Seda Gürses: Besonders Bürgerjournalismus-Projekte verloren teilweise ihre Arbeit von Monaten, weil sie Facebook als Archiv nutzten. Das ist vielleicht nicht sehr schlau gewesen, dass sie das auf Facebook gemacht haben, aber es fehlten ihnen die Ressourcen, eigene Server aufzusetzen.

iRights.info: Wie kam Facebook dazu, diese Gruppen zu zensieren? Und wie sah es bei den anderen Netzwerken aus?

Seda Gürses: Es gab Gerüchte, dass Facebook mit der türkischen Regierung zusammengearbeitet hätte. Ich habe nachgefragt und Face­book hat das bestritten. Andererseits gaben Offizielle des Staates in den türkischen Medien zu, sie hätten mit Facebook zusammengearbeitet. Das ist schon etwas merkwürdig. Angeblich schickten sie auch Leute zu Twitter, hätten dort aber wenig Erfolg gehabt.

iRights.info: Edward Snowden und PRISM, die Überwachung durch die NSA ist wahrscheinlich das wichtigste Thema in diesem Jahr in der netzpolischen Diskussion. Welche Konsequenzen hat das für die Privacy-Debatte?

Seda Gürses: Es macht den Leuten bewusst, was mit diesen Technologien möglich ist. Privacy ist nicht nur ein Problem zwischenmenschlicher Beziehungen – also zum Beispiel, dass meine Mutter nicht erfahren soll, dass ich schwul bin. Es ist nicht nur ein Konsumentenproblem, also dass mein Konsumverhalten getrackt wird und ich vielleicht von Firmen diskriminiert werde. Das, was wir jetzt sehen, ist, dass diese Firmen – manchmal freiwillig, manchmal gegen ihren Willen – Teil eines riesigen Überwachungsprogramms sind.

Viele Leute schauen jetzt zum Beispiel mit größeren Fragezeichen auf Klarnamen-Policies, also die Forderung von Webservice-Anbietern, sich mit dem eigenen, richtigen Namen anzumelden. Für politische Aktivisten in vielen Ländern war das schon lange ein Problem.

Ich hoffe außerdem, dass diese komische Unterscheidung zwischen sogenannten zivilisierten Ländern und den Ländern mit autoritären Regimen aufweicht, jetzt wo wir sehen, dass die westlichen Länder nicht nur Überwachungstechnologien in andere Länder exportieren, sondern im gleichen Maße ihre eigenen Bürger überwachen.

iRights.info: Sollten wir jetzt alle unsere Kommunikation verschlüsseln, anonym mit Tor surfen und PGP-Verschlüsselung für unsere E-Mails nutzen?

Seda Gürses: Grundsätzlich ist das nicht falsch. Wir müssen daran arbeiten, solche taktischen Werkzeuge, die ein bisschen mehr Schutz gegen Überwachung bieten, zu unterstützen. Aber wir müssen auch drauf achten, dass es keine Zweiklassengesellschaft gibt, in der manche Leute Zugang zu Technologien erhalten, die Überwachung zu vermindern, und andere gar nicht. Die Technologien müssen zugänglicher werden, um sie effektiv benutzen zu können.

Es ist nicht klar, ob Tor es zum Beispiel aushalten würde, wenn es alle Nutzer gleichzeitig benutzten. Das ist eine Kapazitätsfrage. Es gibt mathematische Modelle, die besagen, dass wenn viele Leute auf der Welt Tor benutzen, die Verteilung der unterschiedlichen Verbindungen zwischen ihnen es erlauben würde, herauszufinden, wer mit wem kommuniziert. Dazu sollte es nicht kommen und deshalb besteht weiterhin Entwicklungsbedarf.

iRights.info: Sind denn die üblichen Verschlüsselungstechniken wirklich sicher? Kann die NSA nicht doch mitlesen?

Seda Gürses: Nein, so einfach ist es nicht. Die meisten Kryptografen sagen, dass die NSA die Verschlüsselungen selbst nicht geknackt hat, sondern die Schwachstellen in der Umgebung darum ausnutzt. Die meisten Verschlüsselungstechniken sind, soweit wir wissen, mathematisch gesehen in Ordnung. Aber Kryptografie ist nicht nur Mathematik. Sie muss implementiert werden. Um die Implementierung global zugänglich zu machen, muss es irgendeine Standardorganisation oder zumindest eine Verständigung geben, an die sich alle halten, und hier setzt die NSA an.

Mit Kryptografie verschiebt man das Problem der Geheimhaltung der Inhalte auf die Geheimhaltung der Schlüssel. Bei einer Verschlüsselung verschlüsselt man die Information, die man schützen möchte, mit einem kryptografischen Schlüssel und versteckt diesen anschließend. Das Problem ist also: Wer hat diesen Schlüssel? Und wer hat Zugang dazu? Wir wissen, dass die NSA Personen oder Firmen dazu gezwungen hat, ihre Schlüssel herzugeben. Zum Beispiel die Firma Lavabit, die verschlüsselte Webmail-Zugänge angeboten hat.

Das kryptografische Verfahren an sich wurde nicht gebrochen. Lavabit war sicher nicht die einzige Firma, die ihre Schlüssel hergeben musste, nur normalerweise dürfen diese nicht darüber sprechen. Der Betreiber von Lavabit, Ladar Levison, hat sich dafür entschieden, an die Öffentlichkeit zu gehen und den Service einzustellen, weil er wusste, dass er die Sicherheit der Nutzer nicht ausreichend gewährleisten konnte, wobei auch er keine Details verraten durfte.

iRights.info: Ist das auch bei den SSL-Verschlüsselungen passiert? Das ist die Verschlüsselung, die die auf Webseiten benutzt wird, zum Beispiel beim Online-Banking. Das erkennt man anhand des klei­nen Schlosses in der Adresszeile des Webbrowsers.

Seda Gürses: Genau. Die Geheimschlüssel sind bei den Anbietern, und wenn sie die hergeben, hat das genau den beschriebenen Effekt.

iRights.info: Was bedeutet das für mich als Nutzer? Was soll ich tun?

Seda Gürses: Sich mehr mit Verschlüsselung auseinanderzusetzen, ist auf jeden Fall gut. Wenn zum Beispiel nur die Menschen, die etwas zu verstecken haben, Verschlüsselungen benutzen, werden sie automatisch verdächtigt, auch ohne dass die Nachrichtendienste die Inhalte ihrer Kommunikation kennen.

Das ist eine Art Solidarität: Man verschlüsselt seine Nachrichten nicht nur in der Hoffnung, dass sie vertraulich bleiben, sondern auch weil man dadurch Personen unterstützt, die wirklich etwas verbergen müssen – aus unterschiedlichsten Gründen, zum Beispiel weil sie Journalisten oder Aktivisten sind, oder einfach weil sie keine Lust haben, dass die Serviceprovider ihre Kommunikation mitlesen.

iRights.info: Wo liegen denn die größten Probleme?

Seda Gürses: Im Augenblick sehe ich diese bei den ganzen mobilen Geräten, die wir ununterbrochen mit uns herumtragen. Die Sicherheit auf Mobiltelefonen ist schlicht eine Katastrophe. Sie sind komplett unter der Kontrolle der Firmen, die die Software und Hardware anbieten. Man kann zwar eigene Betriebssysteme auf das Handy spielen und das hilft auch ein bisschen. Aber sobald man eine App herunterlädt, ergeben sich große Sicherheitslücken. Man muss also entweder Einbußen bei der Funktionalität oder bei der Sicherheit hinnehmen.

iRights.info: Haben die ganzen Cloud-Dienste die Überwachung eigentlich erleichtert und möglich gemacht? Sollten wir mehr auf – verschlüsselte – Festplatten speichern?

Seda Gürses: Das ist schwer zu sagen. Manche Leute aus der Security-Community setzen darauf, dass, wenn wir großflächig auf Cloud-Dienste verzichteten, die Kosten für die Nachrichtendienste steigen würden, auch wenn die Überwachung sicherlich trotzdem stattfinden würde. Auch wenn wir alles verschlüsselten würde das nicht all unsere Probleme lösen, denn wir können auch unseren Rechnern nicht einfach so vertrauen.

Im Prinzip müsste man einen Zweitrechner haben, der nicht ans Internet angeschlossen ist, auf dem man die Daten verschlüsselt. Das ist aber keine Arbeitsweise für Menschen, die noch etwas anderes zu tun haben im Leben oder nur mit ihren mobilen Geräten das Internet nutzen können. Deshalb gibt es auch die Meinung, dass wir das über die Politik regeln müssen, weil es allein über Technologie nicht möglich ist.

Es gibt aber auch die Meinung, dass nun, wo die Überwachungskapazitäten in der Welt sind, irgendjemand sie benutzen wird. Wir werden im kommenden Jahr sehen, in welche Richtung es geht.

iRights.info: Wo sehen Sie die wichtigsten Entwicklungen für die Zukunft?

Seda Gürses: Ich denke, mehr Leute werden sich mit der Sicherheit von mobilen Geräten beschäftigen, und ich hoffe, dass sie Fortschritte machen. Die Sammlung von Information, die im Moment über Mobiltelefone stattfindet, ist erschreckend – zumal sie uns eindeutig identifizieren. Mobiltelefone verraten ständig, wo wir uns bewegen. Ich hoffe, dass sie unsere Geräte werden und nicht die Instrumente von Firmen und Staaten bleiben, wie es sich jetzt herausgestellt hat.

Ich würde mir wünschen, dass die Diskussion über Überwachung und Sicherheit nicht der Logik des Kalten Krieges folgt, sondern dass wir schauen können, was eine solche Überwachung bringt, was sie uns wegnimmt, welche politischen Probleme übrig bleiben. Wir folgen derzeit stark diesem NSA-Blick auf die Welt und vergessen teilweise, dass wir auch andere Probleme haben – auch mit der Technologie – als Konsumenten, als Leute in Institutionen, als Menschen, die miteinander kommunizieren. Ich hoffe, dass wir diese Differenzierung wiederfinden. .

Dieser Text ist auch im Magazin „Das Netz – Jahresrückblick Netzpolitik 2013-2014“ erschienen. Sie können das Heft für 14,90 EUR bei iRights.Media bestellen. „Das Netz – Jahresrückblick Netzpolitik 2013-2014“ gibt es auch als E-Book, zum Beispiel bei Amazon*, beim Apple iBook-Store* oder bei Beam (* Affiliate-Link).

December 09 2013

Tor bleibt Geheimdiensten ein Dorn im Auge

Der Kampf um die Anonymisierungssoftware Tor ist ein stetes Wettrennen, bei dem die Geheimdienste immer wieder aufholen, das System bislang aber nie ganz knacken konnten. 

Das Anonymisierungstool TOR ist über die Jahre vielfach ausgezeichnet worden. So gewann das Tor Project im Jahr 2011 den Preis der Free Software Foundation. Wichtiger jedoch sind die Finanziers, die sich das Projekt über die Jahre sicherte: Von Google über die Knight Foundation bis hin zur amerikanischen National Christian Foundation – sie alle sahen in der Mission des Projekts, Internetnutzern das Recht auf Anonymität und freien Internetzugang zu verschaffen, ein unterstützenswertes Vorhaben. Die wohl bemerkenswerteste Auszeichnung hingegen wurde hinter verschlossenen Türen ausgesprochen, wie Whistleblower Edward Snowden enthüllte: „Tor stinkt“, heißt es in einer Präsentation des Geheimdienstes NSA.

Das heißt: Selbst die Schnüffler, die über Jahre unbemerkt Angela Merkels Handy und internationale Glasfaserverbindungen ausspioniert und Verschlüsselungsstandards sabotiert haben, konnten dem Open-Source-Projekt nicht alle Geheimnisse entreißen. Dabei wird das Projekt bis heute von der US-Regierung mitfinanziert.

Das Netzwerk war einst mit Unterstützung der US-Regierung geschaffen worden, um beispielsweise Dissidenten in China und Iran Zugriff auf das Internet zu verschaffen und gleichzeitig ihre Identität vor den staatlichen Zensoren zu verbergen. Gleichzeitig diente die Verschlüsselungsinfrastruktur auch als Untergrund-Netz, in dem Kriminelle zunehmend florierende Geschäfte machten.

Das Grundprinzip der Software ist das sogenannte Onion-Routing: Gleich den Schalen einer Zwiebel wird eine verschlüsselte Verbindung über die anderen gelegt. Oder anders ausgedrückt: Das dezentrale Netzwerk schickt den Datenverkehr so lange hin und her, bis der Ursprung für Mitlauscher nicht mehr festzustellen ist. Doch das alleine reicht nicht aus, um die eigene Identität sicher zu verstecken: Denn wenn ein Angreifer in den Datenstrom hineinsieht, nachdem dieser das Tor-Netzwerk verlassen hat, sieht er weiterhin identifizierende Informationen.

Vorsicht: Mitleser

Wer zum Beispiel eine E-Mail per Tor verschickt, legt weiterhin seine Absenderadresse offen. Wer sein Passwort über Tor versendet, sollte darauf achten, dass die Verbindung verschlüsselt ist. Bereits 2007 machte der Schwede Dan Egerstad Schlagzeilen, weil er aus dem Datenstrom von mehreren Tor-Exit-Nodes – also den Kupplungen zwischen dem Tor-Netz und dem normalen Internet – die E-Mail-Zugangsdaten von hundert Behörden und Diplomaten extrahiert hatte.

Die Dezentralität des Tor-Netzwerkes ist gleichzeitig Stärke und Angriffspunkt. Wenn Geheimdienste selbst Tor-Server betreiben oder den Datenverkehr der bestehenden Server überwachen, können sie trotzdem nicht den Ursprung der Datenpakete ermitteln. In den von Snowden offengelegten Dokumenten erklären die NSA-Spezialisten klar und deutlich: „Wir werden niemals fähig sein, alle Tor-Nutzer jederzeit zu deanonymisieren.“

Doch gleichzeitig liefert das Papier eine ganze Reihe an Möglichkeiten, wie die Identität der Tor-Nutzer aufgeklärt werden kann. Zum Beispiel kann der Datenstrom nach Cookies durchsucht werden, die wiederum Rückschlüsse auf die Identität eines Nutzers geben. Explizit erwähnen die Analysten dabei die Google-Tochter Doubleclick, die auf fast jeder kommerziellen Webseite ihre Cookies hinterlässt. Wird der gleiche Cookie auf einer unverschlüsselten Verbindung wiederentdeckt, liegt die Identität des Tor-Nutzers offen.

Die Tor-Entwickler sehen in dem Papier jedoch keine verschärfte Gefahr: „Wir haben immer noch viel Arbeit vor uns, um Tor gleichzeitig sicher und einfacher nutzbar zu machen – aber die NSA-Präsentation stellt uns vor keine neuen Herausforderungen“, erklärt Tor-Projektleiter Roger Dingledine. So legt das vom Projekt selbst vertriebene Tor-Browser-Bundle erst gar keine Cookies an – daher kann die NSA diese Informationen auch nicht aus dem Datenstrom fischen.

Doch wie Kryptografie-Expterte Bruce Schneier erläuterte, kommt die NSA mittlerweile auch ohne solche Cookies aus. Die Attacken der NSA waren zum Teil deutlich ausgefeilter. Screenshots der Auswertungssoftware Xkeyscore legen nahe, dass die Geheimdienstleister Tor-Nutzer routinemäßig überwachen – so sie denn eine Gelegenheit bekommen.

Drogenmarktplatz und andere verborgene Dienste

In den vergangenen Jahren machte Tor nicht mehr nur als Hilfsmittel für Demokratiebewegungen oder Regimegegner von sich reden, sondern auch als Sammelpunkt krimineller Aktivitäten. So machte der nur über Tor erreichbare Drogenmarktplatz Silk Road seit 2011 Schlagzeilen, weil er es schaffte, den Drogenfahndern ein Schnippchen zu schlagen. Dass der mutmaßliche Betreiber Ross William Ulbricht Anfang Oktober 2013 schließlich doch gefasst werden konnte, lag nach vorliegenden Informationen nicht an einer Schwachstelle im Tor-Netzwerk. Den Ermittlern war eine verdächtige Sendung an Ulbrichts Privatadresse aufgefallen. Seinen Briefkasten konnte Ulbricht nicht mit Tor verschlüsseln.

Anders jedoch liegt der Fall bei Freedom Hosting, einem Dienstleister für verborgene Dienste im Tor-Netzwerk, der zum einen Angebote wie Marktplätze für gestohlene Kreditkarten und Kinderpornografie beherbergt haben soll, zum anderen auch Dienste wie den anonymisierten E-Mail-Dienst Tor Mail. Freedom Hosting wurde im August 2013 bei einer internationalen Aktion zerschlagen, die offenbar von der US-Bundespolizei FBI angeführt wurde; der mutmaßliche Betreiber Eric Eoin Marques wurde in Irland verhaftet.

Doch statt die Server nur lahmzulegen, gingen die Strafverfolger augenscheinlich weiter. So bekamen Nutzer der Dienste zuerst eine Fehlermeldung angezeigt, dass die Dienste Wartungsarbeiten unterzogen würden. Beim Aufruf der Seite luden die Nutzer aber ein Javascript-Programm herunter, das auf eine Sicherheitslücke in der von Tor verwendeten Version des Firefox-Browsers zielte.

Nach Analysen der Attacke scheint klar: Sie diente dazu, so viele Nutzer wie möglich zu enttarnen. Obwohl bis heute keine konkreten Schritte gegen identifizierte Tor-Nutzer bekannt wurden – das bloße Besuchen eines Tor-Service kann nur schwerlich als Straftat gewertet werden – waren viele Nutzer verunsichert. Trotzdem stieg die Nutzung des Tor-Netzwerkes nach dem Bekanntwerden der Attacken deutlich an; allerdings war zumindest ein Teil davon auf eine Schadsoftware zurückzuführen, die auf das Anonymisierungsnetzwerk zur Kommunikation zurückgriff.

Nutzer bleiben identifizierbar – zumindest in der Theorie

Mögen die Geheimdienste in ihren Bemühungen um Tor nur mäßig erfolgreich gewesen sein, gibt es neue Gründe zur Besorgnis: Ein neues Forschungspapier vom US-Sicherheitsforscher Aaron Johnson legt nahe, dass durch eine geschickte Analyse des Datenverkehrs der Tor-Nutzer über sechs Monate 80 Prozent der Nutzer identifiziert werden konnten.

foto_Kleinz_sw_opt

Foto: Oliver Kleinz

Tor-Projektleiter Dingledine gesteht das Problem ein – bezweifelt aber, dass die Geheimdienste schon in der Lage waren, diese Methode auszunutzen. „Der britische Geheimdienst GCHQ hat in der Vergangenheit einige Tor-Relays betrieben, aber ihre Zahl und Betriebsdauer genügte nicht für die beschriebene Attacke“, erklärt er. Durch neue Sicherheitsmechanismen will Tor diese Attacken zumindest erschweren.

Torsten Kleinz ist freier Journalist und schreibt seit über zehn Jahren darüber, was das Netz und die Welt zusammenhält.

 

Dieser Text ist im Rahmen des Heftes „Das Netz – Jahresrückblick Netzpolitik 2013-2014“ erschienen. Sie können es für 14,90 EUR bei iRights.media bestellen. „Das Netz – Jahresrückblick Netzpolitik 2013-2014“ gibt es auch als E-Book, zum Beispiel über die Affiliate-Links bei Amazon und beim Apple iBook-Store, oder bei Beam.

August 30 2013

Cloud-Links: Blick in die Dropbox, Speicherdienste in Firmen, Big Data

Mehrere Sicherheitslücken bei Dropbox und Co. offenbart, „Big Data” stößt in Deutschland auf Skepsis, Musikdienst Grooveshark mit Lizenz: Cloud-Links der Woche.

Sicherheitsexperten blicken in Dropbox

Den Sicherheitsforschern Dhiru Kholia und Przemysław Węgrzyn ist es gelungen, den bislang nicht öffentlich bekannten Code der Software von Dropbox zu entschlüsseln. Damit soll es möglich sein, das Programm zu übernehmen und Accounts des weit verbreiteten Cloud-Speicherdiensts zu kapern. Die Forscher wenden sich gegen das Konzept der „security through obscurity“, auf das sich Nutzer nicht verlassen könnten. Zeit Online fasst die Hintergründe zusammen, der Vortrag der Forscher auf der „Woot”-Konferenz steht als Video online. Auf Anfrage von golem.de teilte das Unternehmen mit, „relevante Sicherheitslücken” seien nicht offenbart worden, man bedanke sich jedoch für den Beitrag der Forscher.

Dropbox, Skydrive & Co. können Schadsoftware einschleusen

Über ein weiteres Sicherheitsproblem, das die Verwendung von Dropbox, aber auch weiterer Cloud-Speicherdienste wie Google Drive, Microsoft Skydrive, Sugarsync und Amazon Clouddrive betrifft, berichtet die Technology Review. Über die Sychronisierungsfunktion könnten Firewalls in Firmen umgangen und damit Schadsoftware in Firmennetzwerke eingeführt werden, führte der Digitalforensiker Jacob Williams auf der Blackhat-Konferenz aus (PDF). Dropbox hat zu dazu noch keine Stellung genommen.

Big Data stößt auf Skepsis, Datenschützer beraten

Nach einer von der Telekom-Tochter T-Systems in Auftrag gegebenen repräsentativen Befragung (PDF) sieht die Mehrheit der Bürger in Deutschland „Big Data”-Analysen kritisch. Auf die Frage „Finden Sie es in Ordnung, wenn Unternehmen in größerem Umfang Daten über ihre Kunden sammeln und auswerten, oder finden Sie das nicht in Ordnung?” antworteten 71 Prozent, sie fänden es nicht in Ordnung, 11 Prozent sehen kein Problem. Der NSA-Überwachungsskandal habe diese Haltung verstärkt, so die Studie. Datenschützer haben sich dem Thema „Big Data“ diese Woche auf einer Tagung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein gewidmet. Dabei habe „Ratlosigkeit auf hohem Niveau” geherrrscht, meint Detlef Borchers bei Heise Online.

Musikdienst Grooveshark jetzt mit Sony-Lizenz

Der Online-Musikdienst Grooveshark hat mit Sony/ATV, einem der drei großen Majorlabels, einen Lizenzvertrag geschlossen, wie das Unternehmen aus Florida am Dienstag mitgeteilt hat. Der Dienst, über den Nutzer ihre Musik ins Netz laden und von dort wieder streamen können, ist bis jetzt mehrfach in Urheberrechtsstreitigkeiten mit der Musikindustrie verwickelt gewesen. Vor einem US-Berufungsgericht verlor der Dienst im April einen Streit mit Universal Music. In Deutschland wird der Dienst seit 2012 nicht mehr angeboten.

August 23 2013

Cloud-Links: Hellsichtige Paranoiker, Whistle.im, Ausfälle bei iCloud und Skydrive

Der Paranoiker als Hellseher, Whistle.im erscheint nach schweren Sicherheitslücken in neuer Version, die Zukunft der Cloud-Industrie und Ausfälle bei Apple und Microsoft. Cloud-Links der Woche:

„Paranoiker von gestern waren aus heutiger Sicht sehr hellsichtig”

Politik-Digital.de hat sich mit Gunnar Schwan von der Stiftung Warentest über Cloud-Speicherdienste und die Folgen der NSA- und Überwachungs-Enthüllungen für Nutzer unterhalten. Internetnutzer könnten sich nicht mehr sicher sein, was mit ihren Daten passiert und wer sie wann wie auswertet. Schwan meint zum Ansatz, möglichst viele Daten zu sammeln und später nach Mustern zu suchen: „Das ist vergleichbar mit einem längeren Blick in die Wolken. Irgendwann sieht man Figuren, die eigentlich gar nicht da sind.” Vor kurzem veröffentlichte die Stiftung Warentest eine Untersuchung zu Cloud-Speicherdiensten.

Whistle.im mit neuer Version nach kritischen Sicherheitslücken

Der Messaging-Dienst whistle.im verspricht verschlüsselte Kommunikation für Kurznachrichten, musste sich nach einer Analyse eines Mitglieds des Chaos Computer Clubs Hannover aber schwerwiegende Sicherheitslücken und Designfehler vorwerfen lassen, die die gesamte Verschlüsselung untergraben könnten. Mittlerweile haben die Entwickler eine neue Version veröffentlicht, die das behoben haben will. Dass der bislang kaum bekannte Dienst überhaupt in die Schlagzeilen gerät, hängt mit dem gesteigerten Interesse an sicherer Kommunikation zusammen. CCC-Mitglied „nexus” schreibt, viele Projekte spielten mittlerweile zu Marketingzwecken „mit dem gesteigerten Problembewusstsein der Bevölkerung, ohne dass sie einen wirklichen Schutz liefern.” Auch der unverschlüsselte Messaging-Marktführer Whatsapp gerät immer wieder in die Kritik.

„Die Zukunft der Cloud steht auf dem Spiel”

Venturebeat-Chefredakteur Dylan Tweney beschäftigt sich in einem Beitrag mit den hier und hier bereits erwähnten Prognosen zu den Auswirkungen der NSA-Enthüllungen auf die Cloud-Industrie. Auch wenn einzelne US-Bürger sich weniger um die NSA sorgten, würden zumindest die IT-Abteilungen von Unternehmen und Organisationen verstärkt von Cloud-Diensten abrücken, wenn die Regierung nicht gegensteuere. Tweney meint: „The future of the cloud — and a generation of new businesses — is at stake.” Zeit Online und tagesschau.de haben das Thema mittlerweile ebenfalls aufgegriffen.

Störungen bei iCloud, Microsoft Skydrive und Outlook.com

Sowohl Apples iCloud als auch Microsofts Cloudspeicher Skydrive und Outlook.com hatten zuletzt mit Ausfällen bei Erreichbarkeit und Funktionalität der Dienste zu kämpfen. Ein Fehler beim Zwischenspeichern war bei Microsoft die Ursache, wie das Unternehmen am Samstag bekannt gab. Für Ausfälle beim iCloud-Dienst seit Donnerstag gibt es bislang keine offizielle Mitteilung. Betroffen sein sollen nach Apple-Angaben drei Millionen Nutzer. Mittlerweile sind die Dienste offenbar wieder online.

August 19 2013

Whatsapp: Wie riskant ist der Messagingdienst?

Beim Messagingdienst Whatsapp traten Datenschutzrisiken und Sicherheitsprobleme in der Vergangenheit gleich gehäuft auf. Dennoch legt der Dienst beständig an Nutzern zu. Trotz Nachbesserungen im Detail bleiben viele Fragen zum Dienst jedoch ungeklärt.

Immer wieder ist der populäre Mitteilungsdienst Whatsapp in den Schlagzeilen. Zuletzt führten massive Server-Ausfälle zu Verzögerungen beim Weitertransport von Nachrichten und Bildern. Ernster sind andere Meldungen: Ende Juli wurde bekannt, dass ein Angreifer über eine Sicherheitslücke auf Konten bei Paypal oder Google Wallet zugreifen können soll, weil Whatsapp die Daten nur teilweise verschlüsselt transportiere.

Nur wenige Tage davor sorgte eine Schadsoftware mit dem Namen „Piryanka“ für Ärger. Der Virus bahnt sich, getarnt als Kontaktaufnahme bei Whatsapp, den Weg auf Android-Geräte, wo er sich im Adressbuch einnistet und dort verbreitet. Die Nutzer hatten das vorher per scheinbar harmloser Bestätigung in Whatsapp zugelassen.

Schon im Frühjahr wiesen niederländische und kanadische Datenschützer auf eklatante Sicherheitslücken beim Anmeldeprozess hin: Diese Lücken machen es möglich, dass Dritte eine Whatsapp-Identität stehlen und missbrauchen können. Die Whatsapp-Macher reagierten weder darauf noch stellten sie ein Sicherheitsupdate zur Verfügung. Das befremdete viele Nutzer noch mehr. Einige Nutzer wanderten ab, Entwickler begannen, an Alternativdiensten zu arbeiten.

Whatsapp: Der Dienst im Überblick 

Mit Whatsapp können registrierte Nutzer über das Smartphone Nachrichten untereinander versenden. Dafür müssen sie nur den Nutzernamen oder die Telefonnummer des jeweils anderen Nutzers kennen. Das bedeutet: Man kann auch Unbekannten Whatsapp-Mitteilungen senden, denn ein Nutzer muss den Kontakt nicht bestätigen.

Die Whatsapp-Programme kommunizieren ausschließlich über eigene Server, in die sich das jeweilige Gerät per Mobilfunk- oder WLAN-Verbindung einwählt. Gruppennachrichten und Dateianhänge für Fotos oder Videos sowie Sprachnachrichten sind ebenfalls möglich. Die Gebühren für die Nutzung sind von Gerät und Betriebssystem abhängig. Android-Nutzer zahlen zwischen 67 und 90 Cent jährlich, iPhone-Nutzer 89 Cent für ein Jahr.

Zur großen Verbreitung dürfte beigetragen haben, dass der Dienst auf fast allen gängigen Systemen –  ob Smartphone oder Desktop-Rechner – erhältlich ist und nur wenige Schritte und Angaben beim Registrieren erfordert. Nach Angaben von Whatsapp haben sich weltweit mehr als 300 Millionen Nutzer registriert, in Deutschland sollen es etwa 20 Millionen sein. Einer Studie der Jugendmesse You zufolge sollen 36 Prozent der deutschen Jugendlichen den Dienst benutzen. Demnach hat der Dienst für Jugendliche zudem größere Bedeutung für den Nachrichtenaustausch als Facebook oder SMS.

Wie hält es Whatsapp mit Datenschutz und Datensicherheit?

Als Problem betrachten Kritiker, dass der Dienst regelmäßig alle Adressbuchdaten an die Whatsapp-Server in den USA übermittelt – zumindest, wenn Nutzer das nicht per Voreinstellung blockieren, was aber nur bei einigen Versionen möglich ist. Trotz der Kritik rückte Whatsapp von dieser Praxis bisher nicht ab.

Probleme mit der Datensicherheit sind beim Anmeldeprozess bekannt. Um zu überprüfen, ob sich wirklich der registrierte Nutzer und nicht ein Dritter einwählt, verknüpfte der Dienst in einer früheren Version die Logindaten lediglich mit der Gerätenummer des Telefons, wie im Frühjahr kanadische und niederländische Datenschutzbehörden herausfanden. Diese Nummer wird beispielsweise verwendet, wenn sich ein Gerät in einem WLAN-Netzwerk anmeldet. Der Administrator eines WLAN-Routers kann diese Nummer sehen. Auf diesem Weg sei es ein leichtes, eine Whatsapp-Identität anzunehmen, um beispielsweise Spam- oder Phishing-Mitteilungen zu versenden oder Passwörter einzusammeln. Dieses Problem hatte offenbar kaum Konsequenzen.

Was sagen die Nutzungsbestimmungen?

Zunächst fällt auf, dass die Nutzungsbestimmungen (Terms of Service) ebenso wie die Datenschutz-Erklärung (Privacy Notice) nur auf Englisch vorliegen. Zwar hat das Unternehmen keine Niederlassung in Deutschland und seinen einzigen Sitz in Kalifornien. Das Unternehmen spricht seine Kunden im deutschsprachigen Raum allerdings auf Deutsch an. Liegen AGB aber nur auf Englisch vor, könnten sie unwirksam sein. Das könnte für Whatsapp noch zu einem Problem werden. Ob man sich als Nutzer im Zweifel auf diese Sichtweise berufen kann, ist aber nicht sicher.

Die Bestimmungen erläutern auch, dass der Dienst auf das Adressbuch des Nutzers zugreift. Doch sie versichern, dass auf den Whatsapp-Servern nur die Telefonnummern und Nutzernamen gespeichert würden, nicht aber die tatsächlichen Namen, E-Mail-Adressen oder andere Kontaktinformationen. Um einen Kontakt anzuzeigen, werde dessen Nutzername aus der Kontaktliste auf dem Gerät des Nutzers ausgelesen. Das wäre kein Grund zur Beunruhigung, sondern üblich für derartige Apps.

Desweiteren heißt es in den Bestimmungen, dass der Dienst werbefrei sei. Das Unternehmen Whatsapp selbst nimmt für sich in Anspruch, alle persönlich identifizierbaren Informationen zur „Analyse, Weiterentwicklung und Eigenwerbung“ zu verwenden. Das Recht dafür sollen die Nutzer dem Dienstebetreiber in dem Moment einräumen, in dem sie den Dienst nutzen, um Nachrichten zu versenden. Nutzer unterwerfen sich den Gesetzgebungen des USA-Bundesstaates Kalifornien, heißt es in den Bedingungen weiter. Die Textbotschaften der Nutzer werden nach eigenen Angaben von den Servern des Unternehmens gelöscht, sobald sie zugestellt wurden. Andernfalls würden sie maximal 30 Tage gespeichert, Anhänge etwas länger.

Außerdem fällt auf: Auf Änderungen in den Datenschutzerklärungen werden die Nutzer nicht explizit hingewiesen. Sie müssen also von sich aus etwaige Neuerungen erkunden. Das wirft ein schlechtes Licht auf das Unternehmen. Die letzten Änderungen der Nutzungsbedingungen gab es im Juli 2012. Auch das verwundert: Angesichts der zahlreichen Kritikpunkte, die seitdem öffentlich wurden, könnte man als Nutzer eigentlich Nachbesserungen erwarten.

Whatsapp hat nachgebessert, aber nur teilweise

Gleichwohl tat sich etwas bei Whatsapp: Seit Frühjahr 2013 gab es eine Reihe von Updates, die den Verifizierungs-Prozess sowie Preise und Vertragslaufzeiten änderten. Die Version für Apples iOS verschwand für einige Tage aus dem Appstore und tauchte kommentarlos etwas später wieder auf, kurz nachdem die Lücke über die Gerätenummer bekannt wurde. Das sahen viele als Indiz für dezente Änderungen im Hintergrund.

Seit der Version 2.8.3 wird die Datenübermittlung via WLAN nun verschlüsselt, was das bis dahin mögliche Mitlesen unterbinden soll. Beim Registrieren versendet der Dienst nun eine SMS mit einem Bestätigungscode, den der Nutzer eingeben muss. Ein Angreifer müsste dann Zugriff auf das Mobilgerät des Opfers haben, um dessen Whatsapp-Identität zu entführen. Auch die zuvor stets aktivierte Übermittlung von Meldungen über den Online-Status und dessen Dauer lassen sich bei manchen Versionen nun von Hand einstellen oder blockieren.

Der Wurm „Piryanka“ und der mögliche Zugriff auf Paypal-Konten sind allerdings erst kürzlich aufgedeckt worden, stellen also auch bei den neuen Versionen eine Gefahr dar. Der Zugriff auf das Telefonbuch des Nutzers ist nach wie vor fest eingebaut und lässt sich zumindest bei Android-Geräten nicht unterbinden. Immerhin können das die Nutzer der iOS-Version über eine systemseitige Einstellung beeinflussen. Für Nutzer, die Wert auf Schutz ihrer persönlichen Daten legen, scheint der Dienst weiterhin nicht vertrauenswürdig genug, auch wenn sich manches mittlerweile durch individuelle Einstellungen regeln lässt.

Bewegung bei Messaging-Diensten

Wer Whatsapp benutzt, dem sollte klar sein, dass dieser Dienst einen vergleichsweise freizügigen Umgang mit den Daten seiner Nutzer pflegt. Das wird etwa an der Freigabe des Adressbuchs deutlich. Wem das nicht behagt, wird sich wohl nach Alternativen umsehen. Bei Messaging-Diensten bewegt sich in letzter Zeit ohnehin einiges. Dienste wie etwa Threema versprechen verschlüsselte Kommunikation auch für Kurznachrichten, viele weitere Projekte sind in Entwicklung: Der Dienst Hemlis des Flattr-Gründers Peter Sunde etwa oder auch whistle.im versprechen ebenfalls, es mit Datenschutz und Datensicherheit ernster zu nehmen. Abzuwarten bleibt aber, ob das auch eingelöst wird.

March 18 2013

Owncloud bringt Virenscanner und Volltextsuche für die eigene Datenwolke

Die Open-Source-Software Owncloud wird um neue Funktionen erweitert. Das Projekt soll eine Alternative zu den großen Cloud-Anbietern liefern. Der Nutzer organisiert und verwaltet den Speicherplatz selbst.

Die Owncloud-Software zum Betrieb einer privaten Cloud entwickelt sich. In der vergangene Woche vorgestellten Version 5 kommen eine Reihe von Funktionen hinzu. So kann der Nutzer seine Inhalte mit einer Volltext-Suche durchforsten und versehentlich gelöschte Dateien wieder herstellen. Die Benutzeroberfläche soll nun einfacher und schneller zu bedienen sein. Ein Virenscanner überprüft automatisch alle hoch geladenen Dateien.

Hinter Owncloud steht der Gedanke, dass der Nutzer  bei Cloud-Anwendungen auf eigenen Speicherplatz zurückgreift – etwa auf selbst gemietete Serverkapazitäten oder die Festplatte auf dem Heimrechner, der permanent online ist. Damit soll der Nutzer die volle Kontrolle über seine Dateien behalten, zum Beispiel über Texte, Musik, Fotos, Filme, Kalender und Adressbücher. Auch über mobile Endgeräte wie Smartphones lässt sich auf die Verzeichnisse in der eigenen Datenwolke zugreifen. Eine Weboberfläche ermöglicht das direkte  Abspielen und Darstellen von Medieninhalten. Owncloud funktioniert unabhängig vom genutzten Betriebssystem.

Die  sogenannte Community-Version der Software ist für den privaten Endanwender gratis. Ging es den Machern zunächst darum, eine freie Alternative zu kommerziellen Angeboten zu schaffen, arbeitet Owncloud inzwischen auch an Bezahl-Versionen, die sich an Unternehmen richten.

Branche arbeitet an der Datensicherheit

Indem Owncloud auf die Datenspeicher der Anwender setzt, begegnet das Unternehmen zentralen Bedenken gegen das Cloud-Computing. Die selbstgebaute Cloud soll zum Beispiel verhindern, in eine allzu große Abhängigkeit großer Anbieter zu geraten (Lock-in-Effekt).Viele Privatnutzer und Unternehmen sorgen sich zudem um die Sicherheit ihrer sensiblen Daten, wenn sie auf fremden Servern lagern. So könnten die Daten zum einen in fremde Hände geraten, zum anderen vorübergehend oder dauerhaft verloren gehen, etwa wenn Rechenzentren ausfallen.

Eine Studie des Fraunhofer-Instituts für sichere Informationstechnologie vom Mai 2012 attestierte allen geprüften Cloud-Speicherdiensten Mängel bei der Datensicherheit. Der eigene Speicherplatz ist hier nur ein Ansatz. Zahlreiche Unternehmen und Projekte arbeiten an Cloud-Lösungen, die das Vertrauen der Nutzer erhöhen sollen, darunter die staatlich geförderten Programme  „Trusted Cloud” und „Trustworthy Clouds”.

 

September 22 2010

Sicherheitsprobleme beim neuen Personalausweis

Der CCC hat massive Sicherheitsprobleme des neuen elektronischen Personalausweises aufgezeigt und dem Innenminister fällt nicht mehr ein als in der Tagesschau zu sagen:

“Irgendwelche Hacker mögen immer irgendwas hacken können, aber, die Zuverlässigkeit und Sicherheit des neuen Personalausweises steht nicht in Frage”

Wer derartig die Fakten ignoriert, dem wird hoffentlich bald ein öffentlicher Tornado ins Gesichts blasen. Man sollte zum Thema die Berichterstattung bei Heise, ZEIT ONLINE und Fefe gelesen haben. Auch der WDR (heute 21:55 Uhr) wird sich mit dem Thema befassen und kündigt einen Bericht an, in dem dargelegt wird, dass selbst die elektronische Unterschrift auf dem neuen Dokument fälschbar ist.

Wenn die Datensicherheit nicht gewährleistet ist, dann darf dieser neue Personalausweis auch nicht eingeführt werden.

Reposted byFreeminder23 Freeminder23

May 04 2010

Neue Lücke bei SchülerVZ

Netzpolitik.org berichtet über ein neues Datenleck bei SchülerVZ und davon, dass man 1,6 Millionen Datensätze, quasi als Beleg, zugeschickt bekommen hat.

Diese neue Meldung fand ich u.a. auch deshalb interessant, weil der Justitiar der VZ-Gruppe Dr. Schenk bei einem Vortrag am 30.04.2010 auf dem Reh..Mo Sysmposium in Passau noch betont hatte, dass Datenschutz bei der VZ-Gruppe oberste Priorität habe, dass man in diesem Punkt mittlerweile damit auch bei Tests von Verbrauchermagazinen gewinnen würde und man dies zudem als Wettbewersbvorteil gegenüber der amerikanischen Konkurrenz sehe.

Dass es in der Praxis freilich anders aussieht, zeigt der Bericht von netzpolitik.org. Man muss allerdings auch immer wieder betonen, dass es sich bei diesen Daten nicht um vertrauliche Nutzerdaten handelt, sondern vielmehr um solche Daten, die die Nutzer selbst offen eingestellt haben und die grundsätzlich jeder registrierte Nutzer von SchülerVZ einsehen kann. Woran man sich zu stören scheint, ist deshalb der Umstand, dass sich diese Daten mittels eines Crawlers automatisiert abgreifen und zusammenführen lassen.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl