Entwarnung für Spione: In der schönen, smarten Welt ist Verschlüsselung nur noch halb so schlimm (Update)

(CC BY 2.0 by floydphoto via flickr

GPS im Turnschuh, Kameras am Kühlschrank und Fernseher mit Sprachsteuerung: Sie verwandeln das Schlachtfeld der „Crypto Wars“ in einen Nebenschauplatz. Das „Internet of Things“ (IoT) und werbefinanzierte Geschäftsmodelle liefern Sicherheitsbehörden neue Überwachungsmöglichkeiten – beruhigt können die also ihre Kampagne gegen Verschlüsselung verlieren.

Der vermehrte Einsatz von Verschlüsselung mache sie blind, klagen die Behörden. Diese Befürchtungen weist ein Bericht („Don’t Panic“) von Harvards Berkman-Center zurück. „Cloud“-Dienste und „smarte“ Geräte verpassen den Überwachern neue Augen und Ohren. Das sollte uns Sorge bereiten und die Aufmerksamkeit auf die Gesamtheit der Überwachungsmaßnahmen lenken.

[Update, 10.02.2016, 15:37]
Auch der US-Geheidienstkoordinator, James Clapper, freut sich: Die zahlreichen Sicherheitslücken in IoT-Technologie können die Geheimdienste für sich nutzen, so Clapper im jüngsten „Worldwide Threat Assessment“:

[…] security industry analysts have demonstrated that many of these new systems can threaten data privacy, data integrity, or continuity of services. In the future, intelligence services might use the IoT for identification, surveillance, monitoring, location tracking, and targeting for recruitment, or to gain access to networks or user credentials.

Einen Haken habe die Sache allerdings: Gerade bei öffentlichen Versorgungsdiensten und Gesundheitsdiensten sei die Verbreitung entsprechender Geräte auch eine Gefahr für die Sicherheit, so Clapper.[/Update]

Die Verschlüsselungsdebatte als Nebenschauplatz

Es schien wie der große Sieg in Jahrzehnte andauernden Kampf: Im Oktober 2015 hat US-Präsident Barack Obama erklärt, seine Regierung werde wirksame Verschlüsselung weiterhin nicht verhindern, etwa durch einen gesetzlichen Einbau von Hintertüren aka Sicherheitslücken. Im Vorfeld hatten Forderungen nach Hintertüren für Ermittlungsbehörden einen neuen Höhepunkt erreicht. David Cameron hat gar erwogen, Crypto-Mathematik generell zu verbieten, weil er sie selbst nicht verstand.

Solche Sorgen speisen sich aus dem zunehmenden Einsatz von Hardware-Festplatten-Verschlüsselung auf mobilen Geräten (so standardmäßig bei Apple ab iOS 8). Weiter setzen immer mehr Kommunikationsdienste auf Ende-zu-Ende-Verschlüsselung. Dabei können nur der Sender und der vorgesehene Empfänger auf die versiegelten Daten zugreifen. Schwachstellen ergeben sich etwa bei der Synchronisation zwischen mehreren Geräten oder mit der „Cloud“.

Ja, Verschlüsselung erschwere die Überwachung, geben die Autoren des Berkman-Berichts zu – darunter sind mit JohnDeLong und Anne Neuberger auch zwei hochrangige NSA-Mitarbeiter. Doch sei dies nicht tragisch: Die technologische Entwicklung bringe neue Möglichkeiten der zielgerichteten Überwachung.

We argue that communications in the future will neither be eclipsed into darkness nor illuminated without shadow.

Neue Augen und Ohren für die Ermittlungsbehörden

In Zukunft bestimmt nicht allein der Nutzer, was die Glotze zeigt. (CC BY-NC-ND 2.0 by alpima via flickr)
In Zukunft bestimmt nicht allein der Nutzer, was die Glotze so alles zeigt.
(CC BY-NC-ND 2.0 by alpima via flickr)

Die Behörden bleiben nicht blind zurück, selbst wenn sie den Kampf um ein Verbot wirksamer Verschlüsselung verloren sollten: Die Lücke füllen relativ dumme Geräte, die mit Sensoren, Mikrophonen und Kameras ausgestattet sind. Sie sammeln und liefern Daten an die smarten Rechner großer Unternehmen, die gerne als „Cloud“ angepriesen werden.

Falls sie Passwörter zur Entschlüsselung brauchen, können die Behörden die an das Netz angeschlossenen Kameras ansteuern und mitlesen. Auch Mitlauschen ist wieder möglich – ständig aktivierten Mikrophonen für die Sprachsteuerung sei Dank:

A plethora of networked sensors are now embedded in everyday objects. These are prime mechanisms for surveillance: alternative vectors for information-gathering that could more than fill many of the gaps left behind by sources that have gone dark – so much so that they raise troubling questions about how exposed to eavesdropping the general public is poised to become.

Zur Freude der Überwacher liefern die ans Netz angeschlossenen Geräte eine Menge an Metadaten. Diese zu verschleiern, dürfte einen allzu großen Aufwand für die Hersteller darstellen. Zudem dürften auch nicht-staatliche Akteure an den im „Internet of Things“ anfallenden Daten interessiert sein. Das goldene Zeitalter von Überwachung und Datendiebstahl steht an.

Geschäftsmodell Werbung, nicht Verschlüsselung

Die Berkman-Forscher schreiben weiter: Viele Anbieter von Geräten oder netzbasierten Anwendungen dürften kaum ein Interesse an Verschlüsselung haben. Verschlüsselung erschwere meist die Bedienung und schließe die Anbieter selbst vor dem Zugriff auf die Daten aus:

Implementing end-to-end encryption by default for all, or even most, user data streams would conflict with the advertising model and presumably curtail revenues. Market trends so far reflect that companies have little incentive to veer from this model, making it unlikely that end-to-end encryption will become ubiquitous across applications and services. As a result, many Internet companies will continue to have the ability to respond to government orders to provide access to communications of users.

no-cloud-fsfeVor allem biete die „Cloud“ keinen Schutz – oh, welche Erkenntnis! Mit der Auswertung und Weitergabe der dort gespeicherten Daten lässt sich gutes Geld verdienen – und müssen neben den Nutzern auch die Unternehmen darauf zugreifen können.

Damit stehen sie auch Ermittlungsbehörden offen, ohne Transportverschlüsselung schon auf ihrem Weg dorthin durch die angezapften Netzknoten. Selbst beim Einsatz von Transportverschlüsselung können die Behörden die Herausgabe oder den Zugriff auf die Server erzwingen. Die Unternehmensserver sind schließlich ein Endpunkt der Verschlüsselung sind – und damit die Schwachstelle by design.

Eine wichtige Debatte

Die Autoren des Berkman-Berichts schlussfolgern:

[W]e should be thinking now about the responsibilities of companies building new technologies, and about new operational procedures and rules to help the law enforcement and intelligence communities navigate the thicket of issues that will surely accompany these trends.

Daher sollte sich die Debatte nicht um ein Verbot wirksamer Verschlüsselung drehen. Wichtiger ist die Frage nach der Gesamtheit der Überwachungsmaßnahmen sowie die der Sicherheit neuer Geräte und Technologien. Der zunehmende Einsatz von Verschlüsselung mag uns heute teilweise vor grassierender Massenüberwachung schützen: Festplatten-Verschlüsselung, Transportverschlüsselung beim Surfen, Ende-zu-Ende-Verschlüsselung bei der Kommunikation. Doch steht uns eine neue Welle der Überwachung bevor – und eben nicht nur der gezielten, was der Berkman-Bericht unbeachtet lässt.

Wir sollten nicht den Kopf in den Sand stecken bei all den wachsamen Augen, Ohren und aufziehenden Wolken-Computern. Vielmehr müssen wir die Debatte um den Einsatz von Verschlüsselung im „Internet of Things“ führen – und darüber, ob wir unkontrollierte bis unkontrollierbare Technologien auch in den letzten Winkel unserer Privatheit eindringen lassen wollen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

24 Ergänzungen

      1. Danke für den Hinweis. Da bin ich wohl dem Gauckler auf den Leim gegangen, weil ich dem Link nicht noch mal gefolgt bin, weil ich ihn schon vorher gelesen hatte. Ich hatte mich nur kurz gewundert, daß mir das nicht aufgestoßen ist.
        .
        Vielen Dank für diesen Lehrgang in Medienkorpulenz.
        .
        PS: Die mir bekannten älteren Versionen hab ich einbezogen. Die Veränderung hätte innerhalb der ersten halben Stunde bei Spügel.de gemacht werden müssen.

    1. @Hugo
      Haben nicht ein Vizekanzler und diverse Minister Bürger ganz allgemein zu subversiven Gruppen gemacht?

  1. Lasst uns hoffen, dass noch irgendeine überraschende Wendung geschieht, die das „Internet of Things“ plötzlich allgemein unattraktiv erscheinen lässt. Ansonsten abwarten, bis das „smarte“ Haus oder Auto einer jeden Familie mal gehackt wurde, mit praktisch nachfühlbaren Folgen.

  2. Die IT-Welt könnte so schön unkompliziert sein, würde sie nicht ständig für persönliche oder kriminelle Dinge genutzt. Von allen, die mit IT Geld verdienen, als Kunde angelockt; mit kostenlosen Angebot zur Preisgabe von persönlichen Informationen verleitet; mit einsetzender Abhängigkeit abgezockt: Zurück bleiben die Opfer, denn das Netz vergisst nichts. „Er“ lässt im Netz nichts zurück, was auf mich rückschließen ließe.

    1. > Die IT-Welt könnte so schön unkompliziert sein, würde sie nicht ständig für persönliche oder kriminelle Dinge genutzt.

      Sprüche eines letzten Romantikers. Diese Sphäre ist für Künstler vorbehalten, und den Zutritt zu geschützen Komfort-Zonem haben nur jene 1-Prozent.

  3. Schmunzel, liest sich wie die Produktbeschreibung von W10 und Nest.
    Ist man in Zukunft automatisch verdächtig wenn man keine Heimautomation nutzt?

    1. > Ist man in Zukunft automatisch verdächtig wenn man kein nutzt?

      Nun setz mal in ein paar Dinge ein, die sich elektronisch überwachen lassen.

    2. Nein, das ist dann strafbare Datenhinterziehung und kann mit SmartJail oder Gemeinschaftsdienst (Captchas lösen) bestraft werden.

      Digitalstromzähler werden ja auch bald vorgeschrieben.

  4. Unter welchen Bedingungen würdet Ihr einen smarten Stromzähler einbauen lassen?

  5. Im Paradies sind wir alle wieder frei und können unbeschwert unsere Leben führen. Denn in dieser Welt, die gerade heraufzieht wird unsere Gesellschaft weder frei, noch ungesteuert und offen weiter existieren. Das Internet ist kompromittiert durch einen der übelsten Arten eines Viruses, das man sich vorstellen kann. Der Politik. Und dieser ist in der heutigen Zeit das Bürgerliche vollkommen egal. Es geht nur noch um die Kontrolle der Bürger, am besten in jeder Lebenslage, entmündigt, enteignet, bevormundet, verängstigt, aber ans Netz gebunden. Güter gibt es nur noch virtuell gegen virtuellen Cash, Autofahren nur noch mit US- Verwanzung, am besten autonom. Keine Kontrolle für den Bürger, keine Freiheit, aber Sicherheit, Ihr habt das Netz es passt auf Euch auf, aber nicht falsch abbiegen, dann werden wir euch offline nehmen.

    Keine Möglichkeit den Wahnsinn zu stoppen, keine Möglichkeit sich unentdeckt zu versammeln, um sich gegen diesen Apparat zu stemmen, denn die Augen der Gegenwart sehen alles und steuern sofort effizient gegen jedweden Anspruch auf Privatsphäre, Geschäftsgeheimnis, Behördengeheimnis oder gar eine Volksversammlung etc. pp.

    Tja, Game Over….und wehe es wagt irgendjemand die DDR zu verteufeln. Kindergarten im Vergleich. Nun fehlt nur noch die Dosis Trump und man kann schonmal seine Koffer packen, wenn man nicht irgendwann mit diesem abgrundtief durchgedrehten Systemen untergehen will.

    1. > Im Paradies sind wir alle wieder frei und können unbeschwert unsere Leben führen.

      Auf diese Heilsversprechen fällt auf der nördlichen Hemisphäre eigentlich niemand mehr herein, außer den katholischen Polen, die neuerdings auffällig werden.

      Konjunktur hat jedoch in diesen Tagen die Paradies-Variante mit den 77 Jungfrauen. Hier führt der Weg ins Paradies über den vorzeitigen Tod.

      Die Nebenbedingung für Paradiese jeglicher Provenienz war schon immer der Tod. Zu unseren schnelllebigen Zeiten passt auch ein vorzeitiger ganz gut. Der Garten Gottes und das ewige Leben ist nicht von dieser Welt.

      Die Unzufriedenheit mit den herrschenden Verhältnissen hat die Evolution schon immer beflügelt. Dem großen Fressen im Meer entkommen, folgte wenig später das noch grausamere Fressen an Land. Die pure Angst und Verzweiflung trieb die Vögel in die Luft. Doch auch dort müssen auch Paradiesvögel den Adler fürchten.

  6. Eine geheime Macht, die noch nicht lokalisiert werden konnte, verbreitet mittels rhythmischer IP-Pakete über die damit zusammhängenden Schwingungen des Step-Down-Wandlers* des Netzwerkchips in unseren Rechnern infraakustische Impulse, die die Widerstandsfähigkeit des Menschen gegen Mücken rapide senkt!

    *) induktiv arbeitender Abwärtsregler; Das ist eine elektronische Schaltung, die oft sogar mehrfach in nahezu jedem elektronischen Gerät steckt und u.a. für den richtigen Spannungspegel auf der Netzwerkleitung sorgt; Es ist nicht nur wissenschaftlich erwiesen, dass solche Regler Schallwellen abgeben können. In älteren Notebooks stört das meist fiepende Geräusch teils ganz erheblich.

    *ironie-aus*

    Das Game is ni‘ over!

    Manche Kommentare auf Netzpolitik.org hören sich an, wie Hysterien auf Weltuntergangsszenarien oder der Überzeugung von der Existenz von Chemtrails. Im Gegensatz dazu handelt es sich aktuell beim Netz und deren Beteiligten NICHT um eine dunkle Macht, der wir schutzlos ausgesetzt sind. Sondern es sind einfach sehr vielen Akteuren, die für sich das Beste aus „der neuen Dimension“ holen/schlagen wollen.

    Das Netz wird nie wieder so frei sein, wie Mitte der 90iger. Dafür ist es aber inzwischen weit aus nützlicher als damals. Ich hatte das Glück, beruflich schon damals optimalen Netzzugang zu haben. Ich denke ich kann einschätzen, was „die gute alte Zeit“ beim Netz war: Grenzenlose Freiheit, wenige Nutzer über 30kBit/s und ebenso spartanische Inhalte.

    Hier und jetzt so etwas, wie eine schwarze Macht, heraufzubeschwören heißt, kapitulieren zu wollen. Nee. Falsch. Auch wir sind eine Lobby! Wenn wir aufhören, uns die Mühe (Zeit, Geld, Gedanken) zu machen, werden wir unsere Interessen noch mehr mit den Lachsen über den Atlantik reisen und dort versinken, statt zu laichen.

    *ironie-an*

    Bitte etwas mehr Optimismus! Sonst muss ich mich doch noch erschießen, bevor ich sehe, wie meine Kinder im Netzland beginnen, schutzlos dahinzusiechen.

    1. > bevor ich sehe, wie meine Kinder im Netzland beginnen, schutzlos dahinzusiechen.

      Aber wer wird den gleich depressiv werden? Der Staat sorgt sich wie nie zuvor um seine digitalen Kinder. Auf dass unsere Kinder stets volle Akkus haben.

      Sorge macht hingegen die analoge Zukunft des Nachwuches. Das Risiko ist nicht gering, als verfügbare Biomasse Verwendung zu finden. Die einen als Zero-Income-Praktikanten, der Rest wird kompostiert oder Polizist.

    2. Wir nähern uns dem Tag an dem das Konkurrieren verschiedenster Kulturen sich dem Ende neigt durch die Globalisierung. Der Hauptmachthaber in diesem Spiel steht schon länger fest. Doch wenn das gegenseitige Konkurrieren der einzelnen Systeme nicht mehr existent ist, dann wird sich das einzig verbleibende System nicht mehr um den Bürger bemühen müssen. Dieses System erteil schlicht Befehle. Wer nicht folgt wird entsprechend bearbeitet. Die Lachse hätten wir viel früher gebraucht, weit vor dem Beschluss des Patriot Acts. Nun hat sich das Spiel verselbstständigt und der Hauptmachthaber beginnt faschistoide Persönlichkeiten zu gebähren und befreundete Staaten allumfassend abzuhören über das Netz. Wie viele von denen nun auch auf konventionelle Weise observieren und abhören ist zudem nicht bekannt. Ob wir da nun über eine „freundliche“ Macht sprechen können?

      Wenn diese Macht nun seinen Datenpool direkt aus unseren Wohnungen und Institutionen beziehen kann, dann würde ich gerne den Plan wissen, wie man sich dieser Entwicklung entgegenstellen kann insbesondere als Bürger.

      Ich sehe da nur die Möglichkeit komplett offline zu leben, solange das noch möglich ist.

  7. Traurig ist ja, dass das ganze IoT Geraffel in der Regel eigentlich gar kein Internet bräuchte. Es gibt häufig überhaupt keinen wirklich technischen Grund die gesammelten Daten durch die Cloud zu schicken, sondern es geht rein um die Datensammelwut der Anbieter und Behörden. In der Regel könnte die ganze Datenverarbeitung die für die Vernetzung nötig ist, von den Geräten in Zusammenarbeit oder von einem kleinen Server in jedem Haushalt übernommen werden. Externer Zugriff (um die Heizung noch auf dem Heimweg anzuschalten) dann über verschlüsselte Verbindungen (z.B. VPN). Übrigens gibt es dafür schon jede Menge Opensource Lösungen – nur erfordern die etwas Eigeninitative beim einrichten. Kommerzielle Anbieter dagegen knöpfen dem Kunden nicht nur Geld sondern auch seine Daten ab. Das dann Geheimndienste auf diese Möglichkeiten zugreifen wollen, kann man diesen weder verübeln noch kann man es verhindern.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.