Was haben der Irak und Afghanistan mit 9/11 zu tun? Gar nichts! Sadam Hussein sympathisierte lediglich mit Al Kaida, weil diese den gleichen Feind bekämpfte, und Bin Laden hatte sich angeblich bei den Afghanen versteckt, wofür bis heute kein einziger Beweis veröffentlicht wurde. Das reichte dann aber schon als Rechtfertigung, um in die jeweiligen Länder mit brutalster Militärgewalt einzufallen, massenhaft Menschen zu ermorden und grosse Teile der Infrastruktur dem Erdboden gleich zu mache, um selbige kurz darauf selber wieder aufzubauen. Die Aufträge dazu erhalten US-Unternehmen und bezahlt wird das Ganze auf Kosten des Steuerzahlers, der für die auf Pump finanzierte staatliche Konjunkturförderung unter humanitärer Flagge gerade stehen darf. Tausende Menschen mussten mit ihrem Leben für den “Krieg gegen den Terror” bezahlen. Da darf dann wohl die Frage erlaubt sein, wer denn nun eigentlich wirklich der Terrorist ist.

9/11 – die Terrorlüge wird 10 Jahre alt

Der 11. September 2001 ist gleich nach Christi Geburt das wohl prägendste Ereignis der jüngeren Menschheitsgeschichte. Es hat die Gesellschaft und das Leben auf dem ganzen Planeten Erde innert weniger Jahre verändert wie sonst kein anderes Ereignis. Entstanden ist eine Kultur der Angst und Einschüchterung. Die sowohl von den Mainstream-Medien als auch von den meisten Politikern allseits beschworene Terrorgefahr hat zur Paranoia in weiten Teilen der Bevölkerung geführt und neuen Überwachungs- und Sicherheits-Gesetzen den Weg geebnet, mit denen Grundrechte wie die Privatsphäre schrittweise abgebaut und soziale Errungenschaften mit Füssen getreten werden. Im Namen der Sicherheit müssen wir uns bespitzeln und überwachen lassen. Reisen, Finanztransaktionen und jegliche Art der Kommunikation über elektronische Verbindungen – alles wird ohne jeglichen Verdacht auf eine Straftat protokolliert, weil seit 9/11 jeder unter Generalverdacht steht, ein Terrorist zu sein.

Die Angst vor dem Terror wurde uns systematisch in die Gene programmiert. Wir akzeptieren alles, was im Namen unserer Sicherheit getan wird. Sogar bei Open Air Konzerten und Quartierfesten wird heute ein Aufwand für die “Sicherheit” betrieben, der früher höchstens beim Besuch von Staatsoberhäuptern üblich war. Absurd, pervers und einfach nur irre!

“Die Alarmstufe muss erhöht werden, auch wenn das unter Umständen kostspielig wird.”, fordert Lars-Erik Cederman, Professor am Institut für Internationale Konfliktforschung der ETH Zürich. Er spricht von der Notwendigkeit intensivierter Geheimdienstarbeit und von Überwachung von Webseiten mit spezifischen Inhalten (zum Beispiel Hass gegen Fremde). Seine Begründung offenbart jedoch seinen eigenen Zwiespalt: “Selbstverständlich muss jede Präventivmassnahme und jede Untersuchung die Menschenrechte und die Meinungsfreiheit respektieren. Aber die Gesellschaft hat ein Recht, sich gegen tödliche Gefahren zu schützen. Dieses Recht muss von der Polizei und vom Geheimdienst wahrgenommen werden. Die tragischen Ereignisse in Oslo und Utöya zeigen, dass derartige Bemühungen in Norwegen bisher möglicherweise nicht ausreichend waren.”

Auch im deutschen Bundestag werden wieder Stimmen nach einer Neuauflage der erst kürzlich vom Bundesverfassungsgericht verworfenen Vorratsdatenspeicherung und nach Einführung einer “Datei für auffällig gewordene Personen” laut und der Chef des österreichischen Bundesamtes für Verfassungsschutz, Peter Gridling, fordert ein stärker auf Daten konzentriertes Vorgehen. Obschon alle zugeben, dass es eine hundertprozentige Sicherheit nicht geben kann, verlangen die Sicherheitsfetischisten immer mehr Massnahmen, welche massiv in die Grundrechte und die Privatsphäre jedes Bürgers eingreifen, ohne jedoch den dadurch angeblich gewonnen Zuwachs an Sicherheit auch nur ansatzweise beziffern zu können.

Seit den Anschlägen vom 11. September 2001 auf die Türme des World Trade Centers in New York wurden als Erstes die Sicherheitsmassnahmen im Flugverkehr massiv verschärft. Von den irren Auswüchsen des Sicherheitswahns durfte ich mich zum Auftakt meiner Ferien am Flughafen in Zürich-Kloten persönlich überzeugen. Meiner Frau wurde die noch zu ca. 1.8 dl volle Sonnencreme abgenommen, die sie ins Handgepäck steckte, weil der Koffer schon zu war. Keine 20 Meter nach der Sicherheitskontrolle jedoch befanden sich ein Zollfrei-Shop und gleich daneben ein Kiosk. Dort konnte man sich literweise mit Hochprozentigem in Glasflaschen, mit Feuerzeugen, Zeitschriften, Taschentüchern, Make-up, verschiedenen Bonbons und Kaugummis und allem, was man als Freizeit-Terrorist sonst noch so alles für eine flugzeugerwärmende Brandbombe oder Waffen aus scharfem Glas braucht, ungehindert eindecken! Abgesehen davon wäre es ein Kinderspiel, Magnesiumpulver in Puderdosen oder Thermit in Medikamentenkapseln umbemerkt durch die Sicherheitskontrollen zu schleusen, um den Flugzeugboden an der richtigen Stelle über dem Kabelbaum durchschmelzen zu lassen und praktisch die gesamte Elektronik ausser Funktion zu setzen.

Man braucht weder Chemiker, noch Physiker oder Ingenieur zu sein, um es terrormässig krachen zu lassen oder ein Massaker und Blutbad wie in Norwegen anzurichten. Wer aber zur Gewalt gegen die eigene Bevölkerung aufruft, um sie angeblich gegen die Gewalt weniger, einzelner Psychopathen zu schützen, sollte als Terrorist ebenso weggesperrt werden wie die Amokläufer selber!

Die Zukunft vorauszusagen, war schon immer ein Traum vieler Menschen. So wurden schon die verschiedensten Verfahren entwickelt, um mit Hilfe meist statistischer Methoden aus den Daten der Vergangenheit die nahe Zukunft extrapolieren zu können. Auch aus Befragungen werden Rückschlüsse auf Trends und Prognosen abgeleitet. Vor allem die Befragung von “Experten” ist eine bei Meinungs- und Trendforschern besonders beliebte Methode. Durch den Handel mit solchen Prognosen erhofft man sich besonders viel Erfolg. Im “Prediction Market” für IT-Sicherheitsprobleme sollen Anteile an Einschätzung der Bedrohungslage im Internet wie Optionen an der Börse gehandelt werden. Aus dem Handel mit diesen Risikozertifikaten resultiert dann ein Kurs und dieser soll ein Indiz für die Wahrscheinlichkeit sein, dass die Prognose richtig ist. Voraussetzung ist, dass es sich um Hypothesen mit potenziell strafrechtlich relevanten Konsequenzen handelt. Angeblich soll die Treffsicherheit von solchen Prognosebörsen bestechend sein.

Doch was so verrückt klingt, ist es auch. Für mich sieht das sehr nach Wahrsagerei und einem Wettgeschäft mit (selbsterfüllenden) Prophezeiungen aus. Wenn sich dann auch noch die Übeltäter selber unter die Prognose-Börsianer mischen und den Handel mit ihrem Insiderwissen manipulieren, ist das Chaos perfekt. Schliesslich gibt es wahrscheinlich kaum Experten mit mehr Erfahrung als die Urheber von Sicherheitsbedrohungen selbst. Eine solch unausgereifte Prognoselösung kann nur aus Absurdistan stammen. Ein bisschen erinnert mich das Ganze an den realen Börsenhandel und die Rating-Agenturen, die mit ihren Einschätzungen, Bewertungen und Prognosen den Markt in nicht selten höchst krimineller Art und Weise manipulieren.

Datenschutz existiert de facto nur auf dem Papier. Die Praxis hingegen sieht sehr übel aus. Was technisch möglich ist und jemandem einen Nutzen verspricht, das wird auch gemacht – ganz ungeachtet irgendwelcher Gesetze, denn technische Mängel lassen sich nicht durch Gesetzesparagraphen schliessen. Wo neben begehrenswerten Daten auch eine Internetverbindung vorhanden ist, werden auch Apps, Plugins und Addons entwickelt, mit denen diese Daten abgesaugt werden. Das Ganze verpackt man in lustige Spiele und nützliche Anwendungen oder sogar in angebliche Sicherheitserweiterungen. Während diese ihren Dienst tun, sammeln sie nebenbei im Hintergrund unbemerkt Daten und schicken sie an ihren Heim-Server. Wie bei Apples iTunes wird der Benutzer bei der Installation manchmal sogar in unverschämter Weise dazu genötigt, solchem Treiben in den allgemeinen Lizenz- und Nutzungsbestimmungen zuzustimmen. Nur ganz wenige machen sich die Mühe, die meist unendlich langen, kompliziert formulierten und bewusst schlecht lesbar angezeigten Texte zu lesen, und noch weniger verstehen diese auch wirklich. Privatsphäre ist zur Handelsware geworden und Betroffenen haben meist keine Ahnung davon.

Dass naive Mitmenschen in sozialen Netzwerken ihre Privatsphäre öffentlich zugänglich machen, weil sie zum Exhibitionismus verleitet werden, zeugt zwar nicht unbedingt von deren Intelligenz, erfolgt aber mehr oder weniger aktiv und ist für die Betroffenen selber nachvollziehbar. Ganz anders hingegen ist das heimliche Ausspionieren der Privatsphäre durch Software oder die unautorisierte Weitergabe solcher Daten an Dritte zu bewerten. Hier haben die Betroffenen kaum eine bis gar keine Möglichkeit, von Rechtsverletzungen Kenntnis zu nehmen oder sie zu unterbinden.

Ignoranz auch unter Profis

Schon seit längerem diskutiere ich auch mit Informatiker-Kollegen die Risiken der unkontrollierbaren Apps auf Smartphones mit Internetverbindung und stosse immer wieder auf eine wahrlich erschreckende Ignoranz. Manchmal stehen mir echt die Haare zu Berge. Vieles wird lediglich als hypothetische Bedrohung oder potenzielles Risiko eingestuft und nicht ernst genommen. Dabei kann man kaum noch von ”Risiken” sprechen, denn diese sind bereits Realität. Anhand von ein paar ausgewählten Szenarien werde ich im Folgenden die bestehenden Sicherheits- und Datenschutzprobleme erläutern.

Phishing via Browser-Erweiterung

Der sicherheitsbedürftige Benutzer lädt sich eine Erweiterung zur Kontrolle von JavaScript, Flash-Inhalten oder Cookies herunter. Sobald er beim Online Shopping seine Kreditkartendaten eingibt oder sich beim E-Banking einloggt, werden diese Daten dem Urheber der installierten Erweiterung mitgeteilt. Falls diese Daten vom Spion nicht direkt genutzt werden können, weil zum Beispiel für den Abschluss einer Transaktion zusätzlich eine (“zufällig” generierte) TAN nötig ist, bleibt noch die Möglichkeit einer “man in the middle” Attacke, was die Latte zwar etwas höher setzt, für versierte Cyberkriminelle aber kaum ein ernsthaftes Hindernis darstellt. Dagegen hilft auch eine verschlüsselte Verbindung nichts, denn der Spion sitzt bereits auf dem eigenen Rechner und erlauscht die Daten, noch bevor sie verschlüsselt werden. Bis der Benutzer den “Datenklau” bemerkt, hat der Betrüger und Dieb dessen Konto bereits leer geräumt, das Geld über mehrere Konten, Länder und Plattformen elektronisch verschoben und dadurch die Verfolgung des Geldflusses praktisch unmöglich gemacht.

Genau so können auch alle im Browser gespeicherten Zugangsdaten (Benutzername und Passwort) zu Websites und Intranetzugängen ausspioniert werden. Im besten Fall hat man kurz darauf in einer virtuellen Online-Spielwelt all sein Spielgeld verzockt und ist auf die hintersten Ränge zurückgerutscht. Etwas blöder ist es, wenn der Spion Zugang zum Webserver erhält und den Webauftritt eines Unternehmens mit imageschädigenden und rechtswidrigen Inhalten verschandelt. Im schlimmeren Fall hat der Betrüger die Zugangsdaten zum Firmenrechner und kann die Geschäftsgeheimnisse, Patienten- und Kundendaten an den Meistbietenden verhökern. Ganz kritisch wird es, wenn es sich um den Zugang zu nicht ausreichend gesicherten Kraftwerken, Verkehrsleitzentralen, Kläranlagen oder Chemiewerken handelt.

Addons für die Marktdatenerhebung

Die Software-Erweiterung registriert alle aufgerufenen Websites, die Verweildauer auf diesen sowie die Sicherheitseinstellungen, mit denen die Websites besucht wurden. Die Erweiterung für den Email-Client protokolliert den gesamten Email-Verkehr und verschickt eine Kopie des gesamten Adressbuches. Der Datensammler kann aus diesen Daten ein sehr genaues und detailliertes Persönlichkeitsprofil des Nutzers erstellen. Er weiss, für welche Themen sich dieser interessiert, woher er seine Informationen bezieht, wem beziehungsweise welchen Websites er vertraut, wo er seine Online-Einkäufe tätigt und allenfalls sogar, mit welchen Leuten er in welcher Verbindung steht. Je genauer und detaillierter das aus diesen Daten gewonnene Persönlichkeitsprofil ist, desto höher ist dessen Marktwert. Da sowohl die Erhebung als auch die Auswertung der Daten vollautomatisch erfolgt, skalieren solche Aktionen sehr gut und generieren mit einem verhältnismässig geringen Aufwand sehr viel Daten und Geld. Das wohl meistverbreitete und prominenteste Beispiel für einen solchen Spion ist die Google Toolbar, die sich immer noch grosser Beliebtheit erfreut.

Jemand weiss, wo du gerade bist und was du tust und suchst

Nach dem nächstgelegenen Bancomat oder Restaurant über ein iPhone App zu suchen und Fahrpläne und Telefonnummern abzufragen, mag komfortabel sein, denn mit den übermittelten GPS-Informationen wird der aktuelle Standort des Benutzers bei der elektronischen Anfrage gleich mitgeliefert. Doch gerade das führt dazu, dass das Smartphone des Benutzers zum Echtzeit-Bewegungs-, Aktivitäts-, Such- und Absichtsmelders und der Benutzer gläsern wird. So lassen sich sehr aktuelle und situativ kurzfristig angepasste Persönlichkeits- und Nutzerprofile erstellen. Solche Informationen sind für Werbetreibende, Erpresser und Einbrecher gleichermassen interessant und nützlich. Wer glaubt, nur exhibitionistisch veranlagte Naivlinge würden ihren aktuellen Status im Minutentakt in die grosse, weite Welt hinaus twittern, sollte vielleicht sein Smartphone etwas genauer unter die Lupe nehmen.

Online-Überwachung leicht gemacht

Wie bei der Verhaltensanalyse zur Erstellung eines Konsumenten- beziehungsweise Persönlichkeitsprofils kann mit der Übermittlung der Benutzeraktivitäten in Echtzeit eine Personenüberwachung realisiert werden. Der Überwacher sieht alles, wie wenn er dem Überwachten über die Schulter schauen und dessen Bildschirm und Tastatureingaben beobachten würde. Zusätzlich liegen diese Informationen auch noch in digitaler Form vor und können für spätere Verwendungen gespeichert werden.

Wie bringt man die Spione unters Volk?

Nicht alle Softwareerweiterungen bergen von Anfang an Spionage- oder Schadsoftware. Manche leisten zuerst wirklich nützliche und unterhaltsame Dienste und warten ab, bis sie einen grossen Nutzerkreis erreicht haben, bevor sie bei einem Update zum Bösewicht mutieren. Haben sie sich erst einmal auf einem Gerät eingenistet, laden sie weitere Schadsoftware nach, sofern es das Gerät erlaubt, was meist der Fall ist. Braucht es zur Installation die Einwilligung des Benutzers, wird diesem ein zumindest für die meisten Laien plausibler Grund vorgegaukelt. Da viele Benutzer von der ständig steigenden Anzahl von Hinweisen und Warnmeldungen eh schon genervt sind und die Schnauze voll haben, werden sie der Installation meist zustimmen, ohne den Text vorher gelesen zu haben. Für die Spione und Schädlinge heisst es dann: “Freie Bahn mit Marzipan!”.

Auch Netzwerkgeräte telefonieren nach Hause

Wer nun denkt, das sei schon alles gewesen, sollte einmal seine übrigen im Computer-Netzwerk angeschlossenen Geräte etwas genauer unter die Lupe nehmen. Wer einen Netzwerkdrucker angeschlossen hat, kann (entsprechende Software und Kenntnisse vorausgesetzt) beobachten, dass diese Geräte oft keine stummen Diener sind. Regelmässig nehmen sie Kontakt mit einem Server ihrer Hersteller auf, um diesem Daten  über die Nutzung des Gerätes zu übermitteln. Was sollte einen Multifunktions-Scanner daran hindern, Kopien an eine Adresse ausserhalb des lokalen Netzwerks zu verschicken?

Während man Geräten innerhalb eines lokalen Netzwerks – entsprechende technische Kenntnisse vorausgesetzt – via Firewall einen Maulkorb verpassen kann, lassen sich die Geräte am äussersten Rand des Netzwerks von innerhalb des Netzwerks überhaupt nicht kontrollieren. Wer weiss schon, welche Daten sein ADSL-Modem verschickt? Wieso sollte ein solches Ding nicht ein Duplikat eines Datenpaketes an eine Sicherheitsbehörde verschicken, wenn es terrorismusnahe Begriffe im Datenstrom findet? Na, werden wir endlich langsam paranoid?

Wie schütze ich mich?

Auf diese Frage gibt es leider keine befriedigende Antwort. Wie schon oben erwähnt sind die Sicherheitslücken systembedingt. Wollte man sich vor Spionage, Überwachung und Betrug effektiv schützen, müsste man auf all die Annehmlichkeiten der kleinen Helfer gänzlich verzichten. So bleibt einem nur, nicht jeden Mist herunterzuladen und zu installieren und zu hoffen, dass einem die Helferchen und deren Entwickler wohlgesinnt sind. Andernfalls hilft nur Abstinenz, was für manch einen ein Problem darstellt. Sind wir wirklich schon so süchtig nach und abhängig von den Errungenschaften der Technik?

Zum Glück verstehen Terroristen nichts von Physik. Wenn es allerdings wahr ist, dass es islamistische Terrornetzwerke gibt, die über mehrere Millionen von Dollars verfügen, erstaunt es mich sehr, dass bei all den sowohl technischen als auch menschlichen Sicherheitsmängeln nicht mehr Terroranschläge verübt werden. Einer solchen Organisation dürfte es nicht allzu schwer fallen, sich kreative Techniker mit entsprechendem Wissen  zu besorgen. Andernfalls kann man sich dieses Wissen auch in jeder Bibliothek oder im Internet besorgen. Die nötigen Mittel gibt es in jedem Baumarkt, jeder Apotheke oder sonst im Versandhandel günstig und zum Teil sogar für Sozialhilfeempfänger erschwinglich zu kaufen. Physiker und Ingenieure sind eben doch die besseren Terroristen.

Wenn “der Staat” seinen Bürgern nicht mehr traut, sollten auch die Bürger diesem Staat nicht mehr trauen. Wer schützt uns eigentlich vom zunehmenden Sicherheitsterror dieser paranoiden Sicherheitsfetischisten im Staatsdienst?

Update vom 25.02.2010

Wie der Spiegel berichtet, wurde die Einführung von Bodyscannern in Deutschland wegen Sicherheitsmängeln auf mindestens 2011 verschoben, da unter bestimmten Voraussetzungen Sprengstoff unerkannt durch die Kontrolle geschleust werden kann.

Amateurproduzenten und “Raubkopierer” bedrohen die Existenz der professionellen Fleischbeschauindustrie. Die Umsätze der “Erotikfilm”-Branche purzeln in den Keller. Mit solcherlei Filmmaterial lässt sich immer weniger Geld verdienen, obwohl die Sexualisierung unserer Gesellschaft ein Allzeithoch erreicht hat. Selbstauszieher und Selbstdarsteller aus den Reihen der Amateure tun es ihren professionellen Kollegen gleich. Ihre Motivation ist aber nicht kommerzieller Natur. Sie tun es für den “erotischen Kick”. Sexuell motivierter Voyeurismus und Exhibitionismus scheinen salonfähig geworden zu sein. Seit Woodstock wird die “sexuelle Befreiung” propagiert, derzufolge sich niemand für Nacktheit und öffentliche Sexualität zu schämen braucht. Intimsphäre und Scham scheinen nur noch Relikte einer prüden und veralteten Moralvorstellung zu sein. Die Lust an der Nacktheit ist in gewissen Teilen der Gesellschaft scheinbar zur Normalität geworden. Doch zwischen öffentlicher Wahrnehmung und privater Praxis klafft trotz aller Toleranz und Freizügigkeit eine Lücke.

(Daryl Cagle)

Nacktheit wird nun auch ein Element im Sicherheitsgeschäft. Nacktscanner an Flughäfen befriedigen die Lust an der vermeintlichen Sicherheit. Wer fliegen will, muss sich mit einem Scanner unter die Wäsche schauen lassen. “Wer nichts zu verbergen hat, braucht auch nichts zu befürchten” heisst die Devise. Scham(gefühl), Intimsphäre und Respekt haben im Geschäft mit der Sicherheit nichts verloren. Dass sich Sprengstoff auch in den Leibeshöhlen verstecken lässt, die von einem Nacktscanner nicht erfasst werden können, ist den Sicherheitsfetischisten dabei offensichtlich entgangen. Die virtuelle Zwangsentblössung in der Öffentlichkeit ist eine behördlich erzwungene Demütigung. Sie führt zum Verlust der Menschenwürde, aber zu mehr Sicherheit führt sie nicht.

Wozu dann das Ganze? Will man etwa erzwingen, dass strenggläubige, muslimische Frauen nicht mehr mit dem Flugzeug fliegen? Das wird ihre todesmutigen Glaubensgenossen allerdings kaum von Terroranschlägen zurückhalten. Aber den Geräteherstellern beschert der Sicherheitswahn neue Absatzmärkte und Rekordumsätze. Leidtragende sind die unbescholtenen Bürger, die nichts zu verbergen haben, aber ihre Scham opfern müssen, um ihre Unschuld zu beweisen. Und über die höheren Ticketpreise bezahlen sie für den Wirtschaftsaufschwung einer Branche, die von der Paranoia der Politiker lebt.

Ein Grossteil unseres Lebens spielt sich im und übers Internet ab. Hat eigentlich schon jemand die Minuten und Stunden gezählt, die wir täglich mit dem “Handy” in der Hand verbringen? Und den Rest ihrer Freizeit verbringen viele von uns vor dem Glotzkasten. Wir bezeichnen uns als freie, selbstbestimmte und mündige Menschen und doch sind wir nur Sklaven unserer Technologie. Das war zwar schon immer so. Doch erst seit wir eine solche Technologisierung wie heute haben, die uns eine riesige Fülle an technologischen Möglichkeiten zur Selbstversklavung bieten, fällt dies zumindest einigen von uns immer mehr auf. Die Technologie frisst uns unsere kostbare Zeit. Und sollte irgendwann einmal jemand den Strom abstellen, sind wir wieder nur auf uns selber gestellt. Damit es nicht soweit kommt, wird auf diesem Planeten ein erbitterter Krieg um Energieressourcen geführt.

Unser Lebensstil wird bestimmt von Computer, Email, SMS & MMS, Online-Netzwerken, Mobiltelefon, Smartphone, MP3 Player, RFID-Chip, elektronischem Zahlungsverkehr und elektronischen Personenausweisen, E-Government, digitalisierter Kultur und Unterhaltung auf DVD und CD oder auch übers Internet sowie von einem Oligopol von Herstellern und Anbietern, die sowohl über die Geräte und als auch über die Inhalte herrschen und ihre Machtposition bis auf den letzten Tropfen Blut zu verteiden bereit sind. Sie bestimmen, was wir auf welchen Geräten wann und zu welchem Preis sehen und hören dürfen. Was nicht zu ihrem Geschäftsmodell passt wird aufgekauft, platt gemacht und zu Tode prozessiert. Frei nutzbare Inhalte auf Geräten, die für Erweiterungen anderer, freier Hersteller und Entwickler offen sind, sind ihnen ein Graus.

Der Elektrische Reporter hat einen Teil dieser Problematik im Beitrag “Digitale Entmündigung: Was Dir gehört, gehört Dir nicht” aufgearbeitet:

Produziert hat das Video der Filmemacher und Design-Student Alexander Lehmann. Jetzt wissen wir endlich, wofür wir Überwachungskameras auf öffentlichem Raum und in Verkehrsmitteln, biometrische Pässe, zentrale Biometrie-Datenbanken, Vorratsdatenspeicherung, Online-Überwachung und Internet-Sperren brauchen. Sicherheit durch totale Kontrolle wurde schon in der Sowjetunion und im braunen Reich gross geschrieben. Nun wird endlich die ganze Welt sicher gemacht.

Daneben geht der Cyberwar Russlands gegen das Computernetzwerk der Regierung Georgiens unvermindert weiter und auch China wird sich nach dem Ende der olympischen Spiele wieder vermehrt der Spionage und der Kriegsführung über das Internet widmen.

Immer wieder werde ich bei Problemen im Zusammenhang mit Computer und Internet um Rat gefragt. Der voliegende Beitrag ist eine Zusammenfassung meiner Erfahrungen dazu. Er zeigt die Probleme, welchen wir im und durch das Internet ausgesetzt sind, und liefert einfache Lösungen (sozial, technisch, rechtlich).

Datenschutz und ein Recht auf Privatsphäre und informationelle Selbstbestimmung gibt es zwar auf dem Papier. Diese Rechte aber in der Praxis durchzusetzen, ist alles andere als einfach. Zudem ist es schon erschreckend, mit welcher Unbedarftheit und Naivität manche Zeitgenossen Informationen über sich und ihr soziales Umfeld im Web mehr oder weniger freiwillig preisgeben. Auch mit dem sicheren Umgang mit Internet-Applikationen sowie der Einrichtung der Infrastruktur tun sich viele äusserst schwer. Trotzdem hält die Mehrheit der PC-Nutzer Daten im Netz für sicher, obwohl der Besuch im Web immer gefährlicher wird. Die Meisten kümmern sich erst wirklich darum, wenn sie bereits Opfer von Persönlichkeitsverletzungen wie Cyberbullying, Datendiebstahl wie Passwortklau beziehungsweise Phishing, Spam oder sonstigen Attacken, Betrug oder Datenmissbrauch geworden sind, oder erst dann, wenn ihr Rechner einem Virus oder Trojaner zum Opfer gefallen ist oder zum ferngesteuerten Zombie-Rechner in einem Botnetz geworden ist.

Dabei wäre es gar nicht so schwer, mit bereits minimalsten Vorkehrungen das Leben im Cyberspace relativ sicher zu gestalten (obschon eine 100 prozentige Sicherheit gar nicht möglich ist). Deshalb habe ich im Folgenden ein paar grundsätzliche Verhaltensregeln, Anwendungen und Konfigurationsbeschreibungen zusammengestellt, die ein weitgehend sicheres Wandeln im Internet ermöglichen, auch ohne auf datenschutzproblematische, werbefinanzierte Dienstleistungen verzichten zu müssen.

Dieser Beitrag richtet sich auch an technisch weniger versierte Benutzer mit minimalsten IT-Grundkenntnissen und soll ihnen einen sichereren Umgang mit dem Internet sowie den Zugang zu weiter führenden Informationen ermöglichen. Daher ist der ganze Text gespickt mit Links. Wer Details zu einem betreffenden Stichwort wissen möchte, folgt einfach diesen Links. Zusätzlich finden sich Links zu anderen Websites und lesenswerten Beiträgen am Ende des Artikels.

In Anbetracht der Fülle des Themas ist dieser Beitrag eher ungewöhnlich lang geworden. Es empfiehlt sich, diesen auszudrucken (klicke dazu auf oben rechts) und augenschonend auf Papier zu lesen.

Die technischen Möglichkeiten sind vorhanden und wenn jetzt auch noch jemand oder gar eine ganze Gruppe von Leuten mit dem dafür nötigen Fachwissen und genügend krimineller Energie das Eintreten eines solchen Ereignisses mit allen Mitteln forciert, ist es wohl nur noch eine Frage der Zeit, bis es wirklich eintritt. Schliesslich hatte auch niemand damit gerechnet, dass jemals zwei Passagierflugzeuge ins WTC fliegen könnten. Aber es ist dennoch passiert. Zu allem war die Ausführung dieses Flugkünstsücks gar nicht einmal so einfach. Das Internet lahm zu legen, wäre dagegen schon fast ein Kinderspiel oder eine herausfordernde Übung für Informatik-Studenten. Schliesslich sind Ingenieure bekanntlich die bessereren Terroristen und über 80 Prozent der Unternehmen geben zu, für Hacker-Angriffe verwundbar zu sein.

Die Auswirkungen des Unterbruchs der Unterseekabel vor der Küste Ägyptens zu Beginn dieses Jahres haben uns nur einen kleinen Vorgeschmack auf das gegeben, was da noch kommen könnte. Bereits dieses Jahr folgten weitere Ausfälle. In Europa haben wir diese Pannen leider gar nicht so richtig mitbekommen, sonst wären wir schon viel mehr darauf sensibilisiert. Viel zu sehr haben wir uns von den Annehmlichkeiten des Internets als globale und allzeit verfügbare Kommunikationsinfrastruktur abhängig gemacht, obwohl das Ding aus rein technischer Sicht nicht mehr als einen einem Labor entsprungenen Prototyp oder – um es etwas volksnaher zu formulieren – eine unausgereifte Krücke darstellt. Ein Provisorium wird durch seinen praktischen Nutzen schnell und gerne einmal zu einem “Providurium”, bis die Kosten für eine neue Lösung tiefer als die Opportunitätskosten eines Verzichts auf diese und der Nutzen der aktuellen Lösung sind. Das Internet ist das grösste Vorzeigemodell dieser Gattung.

Es gibt einige Rahmenbedingungen, die einen digitalen Supergau begünstigen. Manch einem käme er gar nicht so ungelegen. Die USA sind mit ihren nach offizieller Lesung über 9 Billionen (eine 9 mit 12 Nullen!) US-Dollar Schulden eigentlich schon pleite (andere Rechnungen sprechen gar von über 50 Billionen) und der Preis des Erdöls steigt in Regionen, welche die US-Wirtschaft mit ihrem unermesslichen Energiehunger am Hauptnerv trifft. Es genügt nicht mehr, mit einem Irakkrieg und der globalen Terroristenhetze von den innenpolitischen, sozialen und wirtschaftlichen Problemen abzulenken und mit monatlich mehreren Milliarden US-Dollar an Militärausgaben die eigene Wirtschaft zu sanieren zu versuchen, wobei man eine selbstmörderische Staatsverschuldung stillschweigend und billigend in Kauf nimmt. Ein digitaler Supergau würde die US-Regierung zu noch mehr Überwachung und einer weiteren Erhöhung der Rüstungsausgaben legitimieren. Die Profiteure sind bestimmt schon lange definiert.

Noch mehr als die Amis könnten finanzschwache Staaten vom Cyber War (d.h. die digitale Kriegsführung über das Internet) profitieren, die durch die globalisierte Weltwirtschaft bislang unter dem Strich nur ausgebeutet wurden. Mehrere unterprivilegierte Staaten des nahen Ostens, Afrikas und Südamerikas wären über den digitalen Untergang der westlichen Zivilisation daher sicher nicht unfroh, würde doch dies die Spiesse gleich lang werden lassen und ihnen die Möglichkeit zum wirtschaftlichen Aufstieg gegenüber den Weststaaten geben.

Der Aufbau von datensammelwütigen Überwachungsstaaten (USA, Grossbritannien, Frankreich, Deutschland, Schweden, China, etc.) weckt global die Begehrlichkeiten und macht den Cyber War nur noch attraktiver. Datensammlungen mit sensiblen Inhalten sind nicht nur in datenschutzrechtlicher Hinsicht problematisch, sondern machen jeden Staat noch verletzlicher. Es gibt daher keine Armee auf dieser Welt, welche nicht bereits den Cyber War üben würde. Zum Beispiel sind China, Russland, Israel, Iran, Japan und die USA diesbezüglich auch schon negativ aufgefallen. Vor allem weniger finanzstarken (“Schurken”-) Staaten ermöglicht die digitale Kriegsführung eine kostengünstige Alternative zur konventionellen Vernichtungsmaschinerie. Auch aus ethischer Sicht bietet sie den Vorteil, dass dabei nur sehr wenige bis gar keine (direkten) Todesopfer zu beklagen sind. Der Gegner kann mit relativ einfachen Mitteln (das nötige technische Fachwissen vorausgesetzt) informations- und kommunikationstechnisch ausspioniert, isoliert, lahmgelegt und ausgehungert werden.

Wie könnte, müsste und würde denn der digitale Kollaps der Informationsgesellschaft aussehen? Manch einem Leser wird die Beschreibung des nun folgenden Szenarios wie in einem Science-Fiction Film vorkommen. Dennoch ist ein solches Szenario äusserst plausibel und alles andere als unwahrscheinlich oder unmöglich.

1. Zuerst einmal werden in einer Vorbereitungsphase die “digitalen Geschütze” in Stellung gebracht. Gut frequentierte Websites werden gehackt und mit Trojanern verseucht. Eigene präparierte Websites wurden schon viel früher aufgeschalten und sowohl untereinander als auch mit Websites verlinkt, um einen hohen PageRank bei Google zu erhalten und über die Suchmaschinen gefunden zu werden. Hier werden alle Register der Suchmaschinenoptimierung gezogen, um möglichst viele Besucher an und in die Falle zu locken. Gerade Programmierschnittstellen von Video- und Musik-Portalen wie YouTube und MySpace eignen sich hervorragend, um Malware einzuschleusen und Links auf Internetseiten prominent zu platzieren, die versuchen, dem Besucher Schadsoftware unterzujubeln.
2. In einer ersten Phase (Infiltration) werden über Spam und die manipulierten Websites Trojaner auf Benutzer-PCs geschleust. Diese Trojaner installieren sich als intelligente Spyware und Backdoor-Programme, spionieren die Infrastruktur aus, senden die gefundenen Informationen nach Hause und pflanzen sich innerhalb der lokalnen Netzwerke wurmartig fort. Es entsteht ein Bot-Netz bisher nicht gekannten Ausmasses mit weltweit mehreren Millionen Bot-Netz-Zombies.
3. In einer zweiten Phase (Spionage) werden Informationen gesammelt, denn Wissen ist Macht. Über die Kontaktdaten in Email-Clients auf infizierten Rechnern und die Zugangsdaten zu Email-Konten werden alle Informationen zu Personen und ihrem persönlichen Netzwerk abgesaugt. Daraus werden zusätzliche Informationen zu lohnenswerten Angriffzielen gewonnen. In sozialen Netzwerken, Versicherten- und Patientendatenbanken, Einwohner- und Steuerregistern werden Identitätsdiebstähle begangen. Auch via Cross-Site Scripting und Phishing-Attacken werden zum Beispiel in Online-Shops Kreditkartendaten ermittelt. Mit diesen gestohlenen oder besser gesagt kopierten Identitäten werden weitere Rechner online bestellt und der weitere Ausbau der Angriffsinfrastruktur finanziert. Ein Grosseinkäufer fällt nicht auf, da nur seine Strohmänner den Lieferanten gegenüber in Erscheinung treten. Besonders interessiert sind die Aufklärer an Informationen zu militärischen Einrichtungen, Energie- und Wasserversorgung, Verkehrsleitsystemen, Gesundheits- und Finanzsystemen.
4. Sobald genügend Informationen gesammelt und fremde Rechner auf der ganzen Welt infiziert und in Bot-Netz-Zombies verwandelt sind, kann in der dritten Phase (Chaos) die erste Schlacht beginnen. Jetzt werden Daten manipuliert und gelöscht. Die Fahrpläne der öffentlichen Verkehrsmittel werden durcheinander gebracht und der Zugriff darauf behindert, bis das Verkehrschaos im Kollaps endet. Anschliessend werden Finanztransaktionen manipuliert und wo möglich auch unterbunden. Die Banken können ihre Geschäfte nicht mehr ordnungsgemäss abwickeln und ihren Verpflichtungen nicht mehr nachkommen. Nach bereits zwei bis drei Tagen sind viele im internationalen Handel tätigen Banken bankrott und haben Schadenersatzklagen von Kunden am Hals. Andere Banken folgen ihnen im Minutenrhythmus.
5. In der vierten Phase (Lähmung) werden Atomreaktoren in Kernkraftwerken lahmgelegt, die Schleusen von Stauseen geöffnet und die Energieverteilzentralen der Stromnetze sabotiert und ganze Landstriche von der elektrischen Energieversorgung abgeschnitten. Da auch alle Flugleitsysteme nicht mehr funktionieren, kommt der globale Personenverkehr zum Erliegen.
6. Die fünfte Phase (Todesstoss) ist der ultimativen Sabotage des Internets selber gewidmet, das in der Folge gänzlich zusammenbricht. Denial of Service (DOS) Attacken und Manipulationen des Domain Name Systems sowie der Routing-Tabellen werfen das globale Netzwerk ganz aus den Fugen.
7. Rien ne va plus! Good night!

Der digitale Supergau (das Hacken von militärischen Einrichtungen habe ich in obigem Szenario noch gar nicht miteinbezogen) ist nicht nur möglich, sondern wird auch immer wahrscheinlicher weil erstens technisch möglich und zweitens immer attraktiver. Sich dagegen wirksam zu schützen, hiesse sich vom globalen Netzwerk abzunabeln und auf die Annehmlichkeiten der modernen Kommunikationstechnologien zu verzichten. Die wirtschaftlichen Konsequenzen wären verheerend. Keine Regierung würde eine solche Massnahme unbeschadet überstehen.

Die Europäische Union bzw. deren “Europäische Agentur für Netz- und Informationssicherheit” (ENISA) warnt denn in ihrem Jahresberichts 2007 auch schon vor einem “digitalen 11. September” und die US-Regierung gibt schon länger jährlich mehrere Milliarden US-Dollar für Cyber Security aus. Fern ab von der Weltöffentlichkeit ist mittlerweile ein ganz neuer Industriezweig entstanden.

Wildhaber vertrat mitunter auch Ansichten, welche die aktuellen Sicherheitsansätze teilweise etwas in Frage stellen und nicht ganz im Einklang mit dem Geschäftsmodell von Secure Computing und der PGP Corporation stehen. Dies machte für mich die Veranstaltung jedoch nur glaubwürdiger, weil Sicherheit nur entstehen kann, wenn man auch andere Meinungen zulässt und in die Diskussion miteinbezieht. Wildhaber betrachtet den Perimeter-Ansatz (Firewalls, Content-Filter, …) als ein untaugliches Mittel, um das Internet sicher zu machen, und bezeichnete ihn als reine Symptombekämpfung. Deshalb werde dieser über kurz oder lang verschwinden. Beim Design des Internets hätten Sicherheitsüberlegungen keine Rolle gespielt. Das System sei als offen konzipiert worden. Alle Ansätze und Bemühungen, dieses im Nachhinein sicher zu machen, ohne an den Grundkonzepten zu rütteln, bezeichnete er als “Leukoplast”-Lösungen, womit er sicher Recht hat. Weiter vertrat er die These, dass der PC als Endgerät im E-Banking ausgedient hätte, weil das schwächste Glied im E-Business der PC des Kunden sei, auf den ein Dienstleister keinen Einfluss hätte. Er postulierte einen “Thin Client”-Ansatz, wobei die korrekte Identifikation bzw. Authentisierung jedes Nutzers den Schlüssel zur sicheren Banktransaktion darstellt. In diesem Zusammenhang werden qualifizierte digitale Signaturen (welche auf dem Prinzip der asymetrischen Verschlüsselung beruhen) in Zukunft an Bedeutung gewinnen. Weil solche abgesicherten Infrastrukturen jedoch kostspielig und (noch) nicht einfach zu handhaben sind, sind sie nur für die geschäftliche Nutzung interessant. Über unsichere PCs würden künftig nur noch “low value” Transaktionen zugelassen. Würde dies Realität, werden die Proteste verwöhnter E-Banking-Kunden sicher nicht ausbleiben.

Ein Thin Client lässt sich aber auch jederzeit auf einem Fat Client, wie der PC einer ist, emulieren. Ein Web-Browser ist prinzipiell ein solcher Thin Client, der meist in einer recht unsicheren Umgebung (Windows-PC) läuft. Einen Thin Client in eine völlig isolierte Umgebung zu verbannen, die keinen Datenaustausch mit der “Aussenwelt” und somit auch keine Infektion durch Schadsoftware (Malware) zulässt, wäre zwar prinzipiell ein sicherer Ansatz, widerspricht aber meiner Ansicht nach der geforderten Offenheit des Internets und schränkt die Möglichkeiten und auch den Nutzen der Kommunikation über diese Plattform in inakzeptablem Ausmass ein. Dieses Dilemma wird wohl kaum so schnell gelöst werden. Trotzdem oder gerade deswegen ist es so, dass das Business die Sicherheit definiert und nicht umgekehrt. Gemäss Wildhaber müsse jedes Unternehmen selber festlegen, wo es sich im Spannungsfeld zwischen Kosten und Nutzen sowie strategischer Performance und risikooptimierter Konformität positioniert.

Die konsequente Eliminierung von überflüssigen Daten zur Minderung von Sicherheitsrisiken ist ein wichtiger Ansatz, den Wildhaber vertrat. Müll, den es nicht gibt, kann auch keine Probleme machen. Neapel wäre bestimmt auch dieser Meinung. Ich persönlich kenne jedoch kein einziges Unternehmen, das diesen Ansatz als strategisch genug erachtet und konsequent verfolgt. Die folgende Konklusion Wildhabers fand ich allerdings die wichtigste in seinem ganzen Referat: Mit einem “Best Practice” Ansatz kann den Ansprüchen an eine hochstehende Sicherheist-Infrastruktur nicht Genüge getan werden, weil sich damit lediglich eine Follower-Strategie realisieren lässt. Solche “me too”-Lösungen taugen bestenfalls zur Mittelmässigkeit. Da wurde mir endlich bewusst, warum es mir jedesmal intuitiv flau in der Magengegend geworden ist, wenn alle um mich herum nach “Best Practice” geschrien haben.

Im Folgenden erläuterten die Referenten von Secure Computing und PGP ihren Perimeter-Ansatz, ohne dabei zu sehr auf die technischen Details ihrer Lösungen einzugehen. Im Vordergrund standen die Konzepte, die diesen zugrunde liegen. Michael Rudrich erläuterte anhand der auch in grossen Teilen öffentlich zugänglichen Plattform trustedsource.org von Secure Computing, warum die Erhebung der fremden und die Pflege der eigenen Reputation wichtig sind und wie Reputations-Management aufgrund von Scoring von Kommunikationspartnern, d.h. einer Qualifizierung nach übertragenen Inhalten und Verhaltensmustern, funktioniert.

Thomas Hemker zeigte, in welchen Bereichen Daten-Verschlüsselung sinnvoll eingesetzt werden kann. Es nütze recht wenig, unsichere Infrastrukturen gegen Fremdzugriffe zu schützen. Vielmehr müssten die selber Daten gesichert werden anstatt die Infrastruktur. Dies beginnt bereits bei der Datengenerierung. Hemker präsentierte einerseit die Vorteile des plattformbasierten Ansatzes von PGP und zeigte andererseit, wie sich die Investition in eine solche Lösung betriebswirtschaftlich berechnen und rechtgertigen lässt. Dabei bediente er sich der Kosten eines Datenverlustes zur Berechnung des ROI. Die Kosten für einen Verlust betragen gemäss Studien durchschnittlich £47 bis £55 pro Datensatz in der Finanzindustrie, wobei 36% der Ursachen durch den Verlust von Geräten und Datenträgern resultieren. Weitere 38% der Datenverluste können auf Fehler bei externen Dienstleistern zurückgeführt werden, was ein relativ schlechtes Licht auf das IT-Outsourcing wirft.

Allen Referaten gemeinsam war, dass Verschlüsselung der Schlüssel zur sicheren Informatik ist. Was mich allerdings etwas störte war, dass die rechtlichen Aspekte wie der Datenschutz bei der Inhaltsanalsyse von übermittelten Daten für das Reputation Scoring oder Haftungsfragen bei Datenpannen völlig ausser Acht gelassen wurden. Trotzdem fand ich den Anlass sehr gelungen, informativ und nützlich.

Das Problem dabei ist, dass sich Inhalte, die einmal ins Web gestellt sind, meist nur mit imensem Aufwand bis gar nicht mehr löschen lassen. Dies kann später verheerende Konsequenzen haben. Viele Personalverantwortliche nutzen das Netz bereits heute, um mehr über Kandidaten für einen Job zu erfahren.

Mit den Gefahren der Selbstdarstellung befasst sich unter anderen The CyberTipline, das sich speziell der Ausbeutung von Kindern widmet. Getragen wird das Projekt von “The National Center for Missing & Exploited Children” (NCMEC). Videos, die vor den Folgen unüberlegter Web-Beiträge warnen, wurden auf YouTube online gestellt:

Die Schweizer Initiative security4kids bietet Informationen für Kinder, Jugendliche und ihre Eltern zum sicheren Gebrauch des Internets. Mit der animierten Bildergeschichte “Der unendliche Wald” werden die Gefahren des Internets auch für Kinder und Laien verständlich illustriert. In Deutschland hilft klicksafe.de Kindern, Eltern und Lehrpersonen mit Internettipps.