Sp\u00e4testens seit den Enth\u00fcllungen von Whistleblower Edward Snowden \u00fcber angezapfte Glasfaserkabel und gigantische Sp\u00e4hprogramme des amerikanischen und britischen Geheimdienstes stellt sich Unternehmen wie privaten Nutzern eine brennende Frage: Wie sicher kann Surfen im Internet eigentlich sein? In einer dreiteiligen Serie kl\u00e4ren wir im ersten Teil grunds\u00e4tzliche Zusammenh\u00e4nge, widmen uns im kommenden Teil den konkreten Risiken und betrachten die Situation in anderen L\u00e4ndern, um im letzten Teil konkrete Handlungsempfehlungen zu geben.<\/p>\n
<\/p>\n
Um das Ausspionieren versendeter Daten zu verhindern, gibt es verschiedene kryptographische Verfahren: das symmetrische und das asymmetrische. Bei der symmetrischen Verschl\u00fcsselung werden die Daten mithilfe eines geheimen Schl\u00fcssels ver- bzw. entschl\u00fcsselt. Der Schl\u00fcssel muss dabei dem Sender und Empf\u00e4nger bekannt sein und dazu vorher pers\u00f6nlich ausgetauscht werden. Von Vorteil ist dabei die relativ geringe ben\u00f6tigte Rechenleistung. Das Problem ist allerdings, dass es keine gro\u00dfe Herausforderung ist, die Nachricht zu entschl\u00fcsseln, wenn der Private-Key von Dritten entdeckt oder abgeh\u00f6rt wird. Deshalb setzen viele auf die sogenannte \u201cPublic-Key-Infrastruktur\u201d (PKI).
\nDiese asymmetrische Verschl\u00fcsselung basiert auf der Verwendung eines zusammengeh\u00f6renden Schl\u00fcsselpaares, wobei ein Schl\u00fcssel zur Ver- und einer zur Entschl\u00fcsselung genutzt wird. Beim Public-Key-Verfahren wird nun einer der Schl\u00fcssel ver\u00f6ffentlicht und kann von jedem Sender dazu genutzt werden, eine Nachricht an den Empf\u00e4nger zu verschl\u00fcsseln. Nur der Empf\u00e4nger, der im Besitz des zweiten Schl\u00fcssels (Private-Key) ist, kann die Nachricht entschl\u00fcsseln.
\nDie asymmetrische Verschl\u00fcsselung kann auch zur digitalen Authentifizierung von Einzelpersonen und Firmen genutzt werden. Dazu gibt eine Zertifizierungsstelle (Certificate Authority, CA) digitale Zertifikate heraus und beglaubigt diese. Ein solches Zertifikat integriert den Public-Key oder Informationen \u00fcber diesen. Eine Registrierungsstelle (Registration Authority, RA) nimmt f\u00fcr die CA Pr\u00fcfungen vor, bevor das Zertifikat zum Antragsteller gelangt. Ein (oder mehrere) Verzeichnungsdienst(e) bewahren die Zertifikate mit den Public-Keys auf und das Zertifikat-Management-System verwaltet die Zertifikate.<\/p>\n
PRISM<\/a> ist ein Programm des amerikanischen Geheimdienstes NSA<\/a>, Tempora<\/a> eine britische Geheimdienstoperation des GCHQ<\/a>. Beide dienen \u2013 kurz gesagt \u2013 der \u00dcberwachung des weltweiten Internet- und Telekommunikationsdatenverkehrs. Der US-Provider AT&T bildet einen der relevantesten Knotenpunkte bez\u00fcglich des globalen Internetverkehrs und stellte der NSA in hauseigenen Geb\u00e4uden einen Raum zur Verf\u00fcgung, in dem es dem Geheimdienst m\u00f6glich war, sich ins Netz einzuklinken. So wurden die Daten aus 1,7 Milliarden E-Mails und Telefonanrufen t\u00e4glich gesammelt. Der Geheimdienst-Experte Erich Schmidt-Eenboom sieht als Ziel der NSA die Totalkontrolle der Telekommunikation weltweit. Dadurch sollen der Landesregierung Informationen \u00fcber Politik, Wirtschaft und Terrorismus bereitgestellt werden, so die offizielle Erkl\u00e4rung. Deutschlands Datenschutzbeauftragter Peter Schaar sieht es kritisch, dass hierzulande behauptet wird, die deutsche Regierung sei auf Daten aus PRISM angewiesen, obwohl solcherart Abh\u00f6rungen nach unserer Verfassung unzul\u00e4ssig w\u00e4ren. Die Bundesregierung hingegen streitet das Wissen um die Abh\u00f6rung ab \u2013 man habe das Wissen um PRISM und Tempora nur aus Presseberichten (Quelle: Frontal21<\/a>).<\/p>\n Europaweit wollen die Abh\u00f6rskandale nun diskutiert werden \u2013 in Br\u00fcssel verhandelt man seit einigem Monaten \u00fcber die EU-Datenschutzreform. Leider ist die Annahme naiv, eben diese Datenschutzgrundverordnung k\u00f6nne Sp\u00e4hprogrammen wie PRISM oder Tempora Einhalt gebieten. Werden Geheimdienstt\u00e4tigkeiten legitimiert, geschieht das immer auf Basis des jeweils nationalen Rechts. Denn es ist zwangsl\u00e4ufig notwendig, sich \u00fcber rechtliche Beschr\u00e4nkungen anderer Staaten hinwegzusetzen, wenn eben diese und deren B\u00fcrger ausspioniert werden sollen. US-Dienste interessiert es also kaum, wenn die EU oder auch nur ein europ\u00e4ischer Staat entsprechende Richtlinien erl\u00e4sst. Selbstredend gilt das umgekehrt genauso. Nehmen wir das inl\u00e4ndische Beispiel, den Bundesnachrichtendienst (BND): Es gibt keine nennenswerten H\u00fcrden, der BND hat recht freie Hand. Ausf\u00fchrlich erkl\u00e4rt das ein Beitrag auf cr-online.de<\/a>. Weiter plant der BND laut Frontal21, 100 Millionen Euro in ein eigenes Abh\u00f6rprogramm \u00e1 la PRISM zu investieren.<\/p>\n Nur eines kann letztlich gegen das Abh\u00f6ren helfen: Das Verantwortungsbewusstsein jedes einzelnen und der Politik gegen\u00fcber seinen B\u00fcrgern. Da sich zweiteres aufgrund nationaler Rechtslagen als schwierig gestaltet, ist die Verschl\u00fcsselung<\/a> mithilfe von europ\u00e4ischen Zertifizierungsstellen, die nach geltenden EU-Bestimmungen und -Richtlinien agieren, f\u00fcr den Verbraucher selbst das effizienteste Mittel, der \u00dcberwachung Einhalt zu gebieten.<\/p>\nAbh\u00f6rskandale \u2013 ein amerikanisches Problem?<\/h3>\n