NSA & Co.

Aktiv nichts tun oder sich schützen?

Autor: Prof. Dr.-Ing. Ulrich Thiele

Hinweis: Dieser Artikel ist im Praxishandbuch „Technische Dokumentationen“ bei WEKA Media erschienen.

Seit dem Erscheinen des deutschen Telekommunikationsüberwachungsgesetzes und seiner Verordnungen müsste sich jede Privatperson und jedes Unternehmen Gedanken machen, wie es mit der von einigen Regierungen der Welt angestrebten Transparenz des Datenverkehrs umgeht.

Dass es den Regierungen – und hierbei steht an erster Stelle unzweifelhaft die nordamerikanische – weniger um die Terrorismusbekämpfung geht, sondern vor allem auch um Industriespionage, zeigt der Umfang der Überwachungsaktivitäten: Alleine in Deutschland werden monatlich 500 Mio. Mails, Telefonate, SMS und andere Kommunikationskanäle überwacht. Eine andere Quelle berichtet in etwa übereinstimmend damit von täglich zwischen 20-60 Mio. Telefonaten und 10 Mio. Datensätzen. Bundesminister Friedrich wird zitiert: danach sei jeder Deutsche selber für den Schutz seiner Kommunikation verantwortlich. Nichts desto weniger beziffert er den jährlichen Schaden für deutsche Industrieunternehmen durch das Ausspähen auf ca. 50 Milliarden EUR.

Schutz sensitiver Dokumente wird kaum ernst genommen

Wurde das Telekommunikationsüberwachungsgesetz nur am Rande von Unternehmen wahrgenommen, aber so gut wie gar nicht im Privatbereich, so hat der Wirbel um die NSA-Spionage größere Staubwolken aufgewirbelt, die jedoch in der Praxis kaum Auswirkungen im Umgang mit Daten in Unternehmen zu zeigen scheinen. Eine kurze Umfrage bei IT-Mitarbeitern, die der Autor im September 2013 durchführte, ergab, dass die Unternehmen überwiegend der Auffassung sind, dass ein guter Virenschutz reiche, um das Know-How und die Persönlichkeit der Mitarbeiter zu schützen. Im privaten Umfeld des Autors findet man allgemein die Überwachung zwar anrüchig, möchte aber keine Kompromisse eingehen, um dem zu entkommen. Möglichkeiten gäbe es durchaus (siehe unten).

Dieser Beitrag wird zeigen, dass es spätestens jetzt an der Zeit ist, Unternehmensdaten vor dem Zugriff der Regierungen verschiedener Staaten zu schützen. Und er wird zeigen, welche technischen Möglichkeiten besonders einfach anwendbar sind.

Technische Redakteure haben Schlüsselfunktion im Dokumentenaustausch

Besonders betroffen sind die Technischen Redakteure, haben sie doch sehr intensiven Kontakt nach außen, tauschen mit Kunden und Lieferanten produkt- und projektbezogene Daten aus, die für die Industriespionage von großer Bedeutung sein können.

Datenschutz muss von Geschäftsleitung ausgehen

Die Entscheidung zur nachhaltigen Sicherung der Daten muss aktiv von den Geschäftsleitungen getroffen werden, ohne deren Votum lässt sich kaum ein umfassender Schutz gegen Know-How-Diebstahl realisieren.

Wie funktioniert das Ausspähen?

Konzept der Überwachung

Metadaten sind das Vorspiel der Datensammler

Im ersten Schritt stehen nicht die Inhalte von Kommunikation – also von Mails, SMS, Skype, Telefonaten und Bewegungsdaten – im Vordergrund, sondern lediglich deren Metadaten. Also nicht, was hat jemand geschrieben oder gesagt, sondern mit wem hat er wann wielange telefoniert oder Mails, SMS, Whatsapps ausgetauscht, oder welche Webseiten hat er besucht. Ergänzt wird die Metadatensammlung durch Bewegungsdaten (Anmelden des Mobiltelefons in Funkzellen, RFID-Chips, Mautbrücken).

Metadaten werden zu Profilen

Die Metadaten werden zu einem virtuellen Persönlichkeits- oder Unternehmensprofil zusammengestellt. Das geschieht vollautomatisch, bis hierher sind Menschen nicht beteiligt. Die werden erst zur Analyse hinzugezogen, wenn beispielsweise ein Patient, der regelmäßig bestimmte Medikamente zur Behandlung von Krebs in der Apotheke einkauft, dieses plötzlich unterlässt. Oder wenn ein Verdächtiger seinen Tagesablauf ändern würde. Oder wenn in einem anderen (imaginären) Beispiel die Mitarbeiter eines Anlagenherstellers ungewöhnlich häufig Kontakt mit bestimmten Forschungsstellen oder einschlägigen Lieferanten aufnehmen. Mit relativ einfachen Datenbankabfragen lassen sich dann diese Abweichungen von der „Normalität“ näher beleuchten.

Erst in einem zweiten Schritt werden die Inhalte von Kommunikation gesammelt und überprüft.

Technik in Deutschland

In Deutschland wird die Datensammlung dezentral vorgenommen: alle Diensteprovider mit mehr als 10.000 Vertragspartnern müssen die entsprechenden Daten automatisiert und verschlüsselt zur Verfügung stellen, was für die Provider einen immensen Aufwand darstellt. Beispielsweise wird jede Mail nach bestimmten Schlüsselworten durchsucht und bei positivem Befund gemeldet. Die Listen der Schlüsselworte sind für die Provider geheim und werden automatisch ferngesteuert auf deren Servern aktualisiert.

Erweiterung der Überwachung

Mit Zunahme der Verschlüsselungspraktiken bei Unternehmen und Privatnutzern wurde in Deutschland die Überwachung ergänzt durch die so genannte Quellen-TKÜ, also die Analyse von Daten unmittelbar im Arbeitsrechner des Nutzers, bevor dort die Daten verschlüsselt werden.

Beispiele aus der Praxis

Es gibt eine ganze Reihe von Belegen aus jüngerer oder bereits älterer Vergangenheit, dass das Ausspähen der Daten nicht notwendigerweise ausschließlich mit Terrorismusbekämpfung zu tun hat. Durch die Presse ging vor einigen Jahren der Fall Imhausen-Chemie, bei dem die USA Geschäftstelefonate abgehört hatten – wenn auch hier der Verdacht mit verbotenen Auslandsgeschäften bestand. In einem anderen Beispielfall kam ein Trierer Berufserfinder mit den Methoden der Industriespionage in Berührung, als er ein Patentnutzungsangebot aus den USA erhielt, nachweislich bevor seine elektronischen Unterlagen beim deutschen Patentamt geöffnet wurden.

Die genannten Beispiele haben die Aufgabe, den Leser mit den Methoden der Datensammlung vertraut zu machen, um somit technische und administrative Maßnahmen in seinem Umfeld zu ergreifen.

Die Angriffsziele

Für die Datensichtung sind vor allem folgende Informationen von Interesse:

  • Angebote
  • Vertragsunterlagen
  • Technische Unterlagen aller Art
  • Interne Technische Dokumentation

Sensitive Medien

Folgende Medien können überwacht sein und sind besonders kritisch zu betrachten:

  • Browser
  • Dateiaustausch-Server
  • SMS
  • Telefonate
  • Mails mit Anhängen
  • Skype
  • Whats app und andere soziale Austauschplattformen
  • Mobiltelefone zur Erfassung von Bewegungsdaten

Schutzziele

  • Know-How und Geschäftsbeziehungen schützen
  • Persönliches Umfeld schützen
  • Manipulation von Daten verhindern

Maßnahmen zum Schutz

Einerseits gibt es keine Sicherheit gegen das Ausspähen, weil die bei den einschlägigen Behörden vorhandene High-Tech-Ausstattung den meisten Schutzversuchen überlegen ist. Den meisten, ja, aber nicht allen. Die Technik der Überwacher allerdings würde an ihre Grenzen stoßen, wenn sich viele Kommunikationsnutzer mit technischen Hilfsmitteln gegen die Überwachung wappnen würden.

Einfach zu realisieren

Die nachfolgend beschriebenen Maßnahmen sind allesamt technisch einfach zu realisieren und werden das Ausspähen für die Behörden deutlich erschweren. Keine der Maßnahmen verstößt dabei gegen deutsches Recht.

Surfen im Web

Das Surfverhalten in einem Unternehmen liefert interessante Hinweise auf Projekte oder Entwicklungsschwerpunkte. Es gilt als gesichert, dass das Surfen im Web – insbesondere mit den Suchmaschinen der großen amerikanischen Anbieter – detailliert dokumentiert wird.

Als Metadaten reichen die Suchziele und Suchbegriffe in der Regel schon aus, gemeinsam mit den angeklickten Suchergebnissen. Insofern ist es effektiv, wenn man Suchmaschinen verwendet, die entweder diese Daten nicht weitergeben, oder die diese erst über den Umweg eines anonymen Proxy-Servers – einer Art Relaisstation –an die Suchmaschine weitergeben. Dann sind zwar die Suchziele bekannt, aber nicht das Unternehmen, von dem aus die Anfrage gestellt wurde.

  • Im ersten Schritt ist es empfehlenswert, nicht eine der großen Suchmaschinen für die tägliche Arbeit zu verwenden, sondern z. B. Metager2, eine Metasuchmaschine, die zudem den Vorteil bietet, dass kaum kommerzielle Links im Ranking ganz oben stehen. Konsequenterweise liefert Metager2 zwar nur wenige Web-Quellen, dafür aber zumeist relevante.
  • Einen Schritt weiter geht, wer Suchmaschinen nutzt, die den eigenen Arbeitplatz des Nutzers über einen Proxy anonymisieren. Beispiele sind ixquick (https://ixquick.com/deu/aboutixquick/) oder startpage (https://startpage.com/deu/aboutstartpage/), welches Google benutzt, dabei als Quelle für die Suche aber sich selber angibt. Selbst das Anklicken eines Suchergebnisses kann über einen Proxy-Server geschützt werden. Beide Produkte sind Metasuchmaschinen und lassen sich in den Browser so einbinden, dass jede Suche automatisch darüber geführt wird.

Thiele_Datenschutz2_001

Abb. 1: ixquick – „die diskreteste Suchmaschine der Welt“

Thiele_Datenschutz2_002

Abb. 2: Suchmaschinenergebnisse anonymisiert ansteuern

Mails austauschen

Mails sind besonders leicht abzufischen, weil dazu nur zentrale Knotenpunkte (wie z. B. die Server der Provider) oder Internet-Backbones — also die großen Datenautobahnen, die quer durch das Land reichen oder die Ozeane durchkreuzen — anzuzapfen sind.

Verschlüsseln ist erlaubt!

Obwohl das Verschlüsseln grundsätzlich den Beschränkungen des Gesetzes zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses zuwider läuft, hat doch das BSI (Bundesamt für Sicherheit in der Informationstechnik) auf Anfrage des Autors das Verschlüsseln von E-Mails nicht grundsätzlich außer Frage gestellt, sondern sogar befürwortet. Das BSI empfiehlt nach wie vor das Verschlüsseln und weist auf ein bestimmtes Produkt hin (http://www.gpg4win.de).

Verschlüsseln ist einfach

War vor einigen Jahren das Einrichten eines Mail-Verschlüsselungs-Programmes noch echte Pionierarbeit, so sind die Schritte heute weitgehend automatisiert und in wenige Minuten erledigt. Für jedes Mailprogramm gibt es entsprechende Varianten. Erforderlich ist nur, dass es sich um Programme mit Asymmetrischer Verschlüsselung handelt (siehe unten), und dass die Schlüssellänge, die für die Wirksamkeit steht, lang genug ist.

Der Standard ist heute das PGP-Verfahren (steht für Pretty Good Privacy). Die Varianten für die verschiedenen Mailprogramme und Betriebssysteme produzieren untereinander in der Regel austauschbare Dateien, so dass man wirklich frei in der Wahl ist.

Der Prozess funktioniert im Prinzip wie folgt:

  • Aus einer Zufallszahl (generiert z. B. durch die Koordinaten einer Mausbewegung) erzeugt man einen Öffentlichen und einen Privaten Schlüssel.
  • Mit dem Öffentlichen Schlüssel eines Mailpartners verschlüsselt man nun eine Mail an ihn, in der Regel durch einfachen Knopfdruck in der Programmleiste.

Thiele_Datenschutz2_003

Abb. 3: PGP-Installation im Mailprogramm, grün bedeutet: Mailpartner kann verschlüsselte Mails dechiffrieren

Thiele_Datenschutz2_004

Abb. 4: Schaltflächen zum Ein- und Ausschalten der Verschlüsselung

  • Der Partner kann diese Eingangsmail nur mit seinem privaten Schlüssel wieder entschlüsseln.

Seinen Öffentlichen Schlüssel kann man bedenkenlos an seine Partner verteilen, er wird in deren Mailprogramm eingebunden. Danach braucht man zum Verschlüsseln nur eine Schaltfläche im Mailprogramm zu betätigen. Andererseits hat auch der Adressat keinerlei Aufwand mit dem Entschlüsseln.

Es gibt lediglich eine Falle: Der Absender kann die Kopie seiner versendeten Mail nicht mehr im Klartext lesen, weil diese ja nur mit dem ihm unbekannten Privaten Schlüssel des Empfängers dechiffriert werden kann. Komfortable PGP-Installation legen daher zusätzlich eine unverschlüsselte Kopie in den Sent-Ordner.

Man geht heute sicher davon aus, dass mittels PGP verschlüsselte Mails auch mit unvorstellbar hohem Rechenaufwand nicht zu dechiffrieren sind.

Trotz dieser modernen, sicheren und unauffällig zu bedienenden Schutzalgorithmen ist es immer wieder erstaunlich, wie selten sie eingesetzt werden.

Andere Verschlüsselungsverfahren dagegen stellen keinerlei Schutz dar. Zum Beispiel:

  • Verschlüsselte oder digital signierte PDF-Dateien
  • Verschlüsselte ZIP-Dateien

Es gibt für den Technischen Redakteur keinen Grund, das PGP-Verfahren nicht für seine Mails einzusetzen und damit größtmöglichen Schutz vor Ausspähung seiner Produkt- und Projektdaten – von welcher Seite auch immer – zu erzielen.

Telefone

Telefone spielen 2 getrennte Rollen: Einerseits übermitteln sie permanent Standortdaten, andererseits lassen sich die Telefonate selber abhören – ebenfalls die anderen bereits erwähnten Telekommunikationsdienste, die heute mit Smartphones zum Nutzeralltag zählen.

Vorsicht, wer hört mit?

Mit einschlägigen Apps lassen sich Smartphones so manipulieren, dass sie sogar Raumgespräche unauffällig aufnehmen und an bestimmte Adressen weiterleiten können. Es gibt zahlreiche Berichte von Sicherheitsexperten über Management-Meetings, die auf diesem Wege abgehört wurden. Nicht bei allen Telefonen ist der Ausschalter ein wirklicher Ausschalter!

Leider ist man so gut wie machtlos gegen das Abhören von Gesprächen oder Telefonaten. Das Abhören von Raumgesprächen lässt sich sicher nur durch Entnehmen des Akkus unterbinden. Und Nicht-Telefonieren ist häufig keine Alternative …

Wie gut die Ortung von Telefonen inzwischen funktioniert, kann jeder einmal ausprobieren, indem er sich zum Google-Dienst Latitude anmeldet und einmal sein eigenes Bewegungsprofil verfolgt. Oder mit einem kleinen Trick das Bewegungsprofil seiner Kollegen oder Freunde.

Empfehlung: Schalten Sie Ihr Mobiltelefon aus, wenn Sie es nicht wirklich benötigen (dann hält auch der Akku endlich länger!). Nutzen Sie im Unternehmen das Mobiltelefon nicht, lassen Sie es im Auto.

Fazit

Mit nur ein paar Grundüberlegungen und wenig Aufwand kann der Technische Redakteur seinen Arbeitsplatz gegen Ausspähungen absichern. Bisher allerdings wird selten konsequent vorgegangen, und technische Unterlagen bleiben auf dem Transportweg ungeschützt.

  • Inwieweit Webserver und Mailserver auf deutschem Boden wirklich so sicher sind, wie oft behauptet, ist fraglich. Es sei denn, es sind die unternehmenseigenen Server auf dem Unternehmensgelände. Es gibt auch in Deutschland zu viele Bestimmungen, die die Transparenz von Mails und anderen Medien erforderlich machen.
  • Es ist davon auszugehen, dass die meisten Cloud-Dienste nicht für die Handhabung von Know-How-trächtigen Daten genutzt werden sollten.
  • Bei Mails ist es eindeutig: es gibt kaum eine Möglichkeit, dem Ausspähen zu entkommen – es sei denn, man tauscht Mails nur im eigenen Unternehmen mit Kollegen aus, und das Unternehmen pflegt seinen eigenen Mailserver lokal. Wirksam für alle anderen Fälle ist aber die Verschlüsselung gegen jedes Ausspähen, sie ist einfach zu implementieren und zu bedienen.
  • Das Abhören von Telefonaten lässt sich kaum unterbinden – außer, man telefoniert nicht.
  • Das Orten des eigenen Aufenthaltsortes kann man kaum unterbinden, aber man kann die gewünschte lückenlose Bewegungsaufzeichnung behindern, indem man sein Mobiltelefon vom Strom trennt, seine Kleidung in der Mikrowelle frei von funktionierenden RFID-Chips macht und möglichst nicht unter Mautbrücken hindurchfährt. Keine bargeldlose Zahlung, keinen der komfortablen Ortsdienste des Mobiltelefonproviders nutzen.
  • Im Internet sollte man auf die Teilnahme an sozialen Medien wie Facebook & Co. gänzlich verzichten. Allerdings ist nachgewiesen, dass selbst ein Nicht-Facebook-Teilnehmer für Facebook sehr transparent ist, alleine durch die verschiedenen knappen Mitteilungen seiner Freunde auf dieser Plattform.
  • Zudem sollten im Unternehmensinteresse Suchmaschinen gewählt werden, die mit Sicherheit keinen Surfverlaufs weitergeben. Dies ist eine sehr einfach durchzuführende Maßnahme.

Die vorgestellten Wege helfen dabei, Unternehmens-Know-How zu schützen und die eigene Persönlichkeit zu verbergen. Einige der Vorschläge sind einfach in die täglichen Abläufe zu integrieren – nichts destoweniger sehr wirkungsvoll.

Dienstleistungen, Wissenswertes und Expertenbeiträge: Themen rund um die Technik-Dokumentation.