(Un-) Sicherheit des Internet

Grundsätzlich betreiben die Sicherheitsbehörden (Nachrichtendienste) aller Staaten wie z.B. Belgien, China, Dänemark, Deutschland, England, Finnland, Frankreich, Griechenland, Holland, Island, Israel, Japan, Kanada, Lettland, Luxemburg, Norwegen, Russland, Tschechien, Türkei, USA, … auf der Grundlage der jeweiligen nationalen Gesetze technische Einrichtungen zur Überwachung (Abhören der Kommunikation sowie Eindringen in Computer und Auslesen der Daten). Die organisierte Kriminalität und Terroristen sowie Mitbewerber benutzen dieselben Techniken.

Alle: Bürger (Erwachsene, Kinder), Angestellte, Beamte, Rentner, Pensionäre, Deutsche, Ausländer, Unternehmen, Behörden, Vereine und Vereinigungen, … – jederzeit, überall und vollständig.

Alle Kommunikationskanäle wie Telefon- und Internetkabel (Glasfaser, Kupfer), Funk- und Satellitenstrecken werden weltweit angezapft bzw. abgehört.

Jede Kommunikation mit allen Diensten und Geräten wird überwacht: Telefon, Handy (beides auch Cloud-basiert), Satellitentelefon, SMS, MMS, Fax, Twitter, Kopierer und Scanner, Video-Konferenzen, Internet Mail und Dateiaustausch, Social Media, Video- und Bilddiensten, YouTube, Cloud-Dienste, finanzielle Transaktionen (SWIFT), Kreditkarteninformationen, Fluggastdaten, Passwörter, besuchte Webseiten, biometrische Merkmale (z. B. Face Recognition, Spracherkennung), Krankheitsdaten (Laborwerte, Diagnosen, Therapien) etc. mit dem jeweiligen Aufenthaltsort, Kommunikationspartner, Datum und Uhrzeit. Dies alles fällt technisch zunehmend leichter, weil die analoge Datenübertragung der digitalen weicht: All-IP (Internet Protokoll).

Überwacht werden auch alle Server, Social Media, Suchmaschinen (wie Google, Yahoo, Microsoft und Facebook) etc. Betreiber dieser Systeme geben – auf Anforderung und auf der Gesetzesgrundlage – Verbindungsdaten und die gesamte Kommunikation (ggf. gegen Entgelt) an die nationalen Behörden (Sicherheitsbehörden) und auch an Behörden anderer Staaten weiter.

Unternehmensinterne Kommunikation (Telefon, Fax, Mail, interne Suchmaschinen etc.) wird automatisiert überwacht durch gezieltes Eindringen in die internen Netze und Server. Nicht-elektronische Kommunikation (persönliche Gespräche in Räumen, auch im Freien) kann digitalisiert und überwacht werden.

Weltweit wird jede elektronische Kommunikation in Echtzeit anlasslos vollständig überwacht: Abgehört, ausgelesen, gespeichert, ggf. manipuliert und ausgewertet.

1. (Passive) Überwachung:
   
   Die Kommunikation über Funk- und Satellitenstrecken wird Antennen-gebunden abgehört.
   Bei Leitungsgebundener Kommunikation werden die Leitungen physisch angezapft.
2. Aktives Eindringen in Computer:
   Weit weniger aufwändig ist die unerkannte Ausnutzung ungepatchter oder sogar unveröffentlichter Sicherheitslücken (Zero-Day-Vulnerabilities) in der Software der Steuerungsrechner und die Ausleitung der Kommunikation.
   Mit der Technik unerkannter Ausnutzung unveröffentlichter Sicherheitslücken (Zero-Day-Vulnerabilities) in Software werden auch Server und Netze erfolgreich angegriffen, in diese eingedrungen und gespeicherte Daten werden ausgelesen oder auch manipuliert.

Technisch bedingt werden z. B. Mobiltelefone vom jeweiligen Telekommunikationsprovider ständig geortet, um bei Bedarf eine Verbindung aufzubauen. Dabei werden dem Provider alle technischen Daten des Telefons bekannt und auch die Daten des jeweiligen Gesprächs mit den sog. Verkehrsdaten: Datum, Uhrzeit, Telefonnummern sowie dem Gesprächsinhalt und eben der Aufenthaltsort.

Verkehrsdaten und Gesprächsinhalte können von den Servern der Provider unberechtigt in Echtzeit kopiert werden.

Nachrichtendienste sind in der Lage die weltweite Kommunikation vollständig (Verkehrsdaten und Inhalte) zu speichern, in Datenbanken abzulegen, zu indizieren und auszuwerten. Für die Auswertung relevant ist die Indizierung und der Zeitbedarf für die Auswertung. Wir gehen davon aus, dass die benötigte Speicher- und Rechenkapazität vorhanden ist. Suchmaschinen beispielsweise machen genau dies für alle weltweit gespeicherten Daten.

Dagegen ist kein Kraut gewachsen: Die im letzten Jahrhundert entwickelten Sicherheitsverfahren (Firewalls, Intrusion Detection und Protection Systeme, Virensuchprogramme etc.) und die entsprechenden aktuellen Produkte enthalten Sicherheitslücken, die von Angreifern ausgenutzt werden. Selbst Verschlüsselung wird geknackt (z. B. SSL, TLS, S/MIME, Skype …).

Abgehörte, ausgeleitete oder ausgelesene Daten werden vollständig in Datenbanken gespeichert und in mehreren Schritten sofort oder später (ggf. entschlüsselt) ausgewertet. Schließlich werden bei Bedarf alle kommunizierten und gespeicherten Daten – auch die Jahre und Jahrzehnte zurückliegenden – in einem Dossier zu einer Person, einem Unternehmen oder einem Thema (verknüpft und komprimiert) zusammengefasst.

1. Spionage: Erlangen nicht-öffentlicher Informationen oder sogar geschützten Wissens zur Nutzung im eigenen Herrschaftsbereich.
   Ausspioniert werden kann die vollständige Kommunikation von Unternehmen wie Konstruktionszeichnungen, Gespräche oder Mails mit Rechtsanwälten, geplante Patente, Finanzplanungsdaten, Strategien, … Durch Wirtschaftsspionage geraten deutsche Unternehmen und deutsche Arbeitsplätze in Gefahr.
2. Sabotage: Veränderung, Manipulation aus Überwachung gewonnener Daten mit dem Ziel der Störung von Industrieprozessen oder auch zur Erreichung eines bestimmten (oft politischen) Ziels.
   Verfälscht werden kann auch die Kommunikation bei der Steuerung biologischer und chemischer Prozesse. Diese Daten werden so manipuliert (Sabotage), dass der Ablauf der Prozesse behindert oder verändert wird – bis hin zur Fehlsteuerung (Explosion) von Maschinen. Derart manipuliert werden können z. B. auch Systeme wie Heizungs- und Klimaanlagen.

Sicherheitsbehörden überwachen sich auch gegenseitig und überwachen aus Wirtschaftlichkeitsgründen auch, was diese abgehört oder ausgelesen haben. Darüber hinaus werden gesammelte Informationen mit den Partner-Nachrichtendiensten der Staaten der Europäischen Union (EU) sowie den USA und Kanada u. a. gegen andere Informationen getauscht.

Bei der Mobilkommunikation wird die Funkstrecke bis zum nächsten Sende-/Empfangsmast verschlüsselt; im Festnetz wird nicht verschlüsselt.

Mit der Rufnummernunterdrückung wird nur erreicht, dass die (mitgesendete) Nummer beim Gesprächsempfänger nicht angezeigt wird. Berechtigte können die Nummer sehen – so z.B. die Polizei. Dies ist keine Sicherheitsmaßnahme.

So wird das 2001 vom Europaparlament nachgewiesene weltweite Abhörsystem für Festnetz- und Mobil-Telefonie ECHELON (heute FiveEyes) seit ca. 1970 betrieben. Viele Nachfolgeeinrichtungen und die Software sind namentlich (nicht die Funktionsweise) veröffentlicht wie z. B. Boundless Informant, Carnivore, EvilOlive, FairView, Lithium, MARINA, OakStar, PINWALE, PRISM, PROMIS, StellarWind, StormBrew, Tempora, TrafficThief, XKeyscore etc.

Eine unverschlüsselte WLAN-Verbindung kann von allen Computern innerhalb der Senderreichweite mitgelesen werden. Eine verschlüsselte Verbindung kann entschlüsselt werden; diese ist also sicherer – aber nicht sicher, weil sie entschlüsselt werden kann.

Ja, z.B. haben Verkäufer eine vollständige Auflistung aller Käufe und werten die Liste auch aus; das ist u. a. an dem Satz zu erkennen „Käufer dieses Produkts kauften auch … “.

Einem ausländischen Unternehmen anvertraute Daten deutscher Unternehmen können genauso wie private Daten Deutscher den zuständigen (ausländischen) nationalen Behörden weitergegeben werden; dies gilt z. B. für Clouds.

Zu jedem elektronischen Kommunikationsgerät ist der aktuelle Aufenthaltsort bekannt – mindestens über den Service-Provider.

Jede Datei, jede E-Mail, jede Datenübertragung, jedes Telefongespräch, SMS, MMS etc. wird mit dem Erstellungsdatum und der Uhrzeit sowie dem Sendeort gesendet und kann entsprechend sortiert, gefiltert, ausgewertet und beliebig verfälscht, manipuliert (!) werden – z. B. das Datum bis hin zum gesamten Inhalt.

Apps sind Anwendungsprogramme auf mobilen Geräten. Apps werden (bisher) nicht auf Sicherheit geprüft.

Mindestens sollten die von der App aus dem Smartphone-Speicher ausgelesenen Daten wie Adresslisten, Fotos, Passwörter etc. kontrolliert werden sowie die aufgebauten Kommunikationsverbindungen.

100 %-ige Sicherheit gibt es nicht. Das bedeutet, dass ein Angreifer mit hinreichendem Aufwand (an Geld und Zeit) fast immer erfolgreich sein wird.

Ziel muss also sein, das Sicherheitsniveau so hochzuschrauben, dass der Angreifer mehr Aufwand betreiben muss, als die gespeicherten und übertragenen Daten wert sein könnten (Risikoanalyse!).

Das bedeutet im Privatbereich: Verschlüsseln aller gespeicherten und übertragenen Daten. Starke Zugriffskontrolle (Passwörter mit mehr als 12 Zeichen (alphabetische, numerische und Sonderzeichen)) möglichst häufig wechseln. Die Rollen Administrator und Anwender trennen. Möglichst anonym surfen.

Sicherheitsmaßnahmen nach ISO 2700x bzw. BSI-Grundschutz sind unverzichtbare Mindestmaßnahmen. Gespeicherte Daten sollten symmetrisch verschlüsselt werden – d. h. ein einziger Schlüssel wird zum Verschlüsseln und Entschlüsseln benutzt. Dieser Schlüssel muss vor Dritten sorgfältig verborgen werden, darf jedenfalls nicht auf dem Computer gespeichert werden.

Übertragene Daten sollten asymmetrisch verschlüsselt werden – d. h. es wird je ein Schlüssel zum Verschlüsseln und ein anderer entsprechender zum Entschlüsseln benutzt. Einer der beiden Schlüssel (der sog. private Schlüssel) muss vor Dritten sorgfältig verborgen werden, darf jedenfalls nicht auf dem Computer gespeichert werden. Der Kommunikationspartner muss dasselbe Verfahren benutzen.

Darüber hinaus sollten die wichtigsten Anwendungen die die wichtigsten Daten verarbeiten, einem umfassenden Security-Test unterzogen werden, um insbesondere Sicherheitslücken – insbesondere bislang nicht erkannte Sicherheitslücken (Zero-Day-Vulnerabilities) zu identifizieren und zu beheben.

Darüber hinaus kennen Softwarehersteller nicht alle Sicherheitslücken ihrer Software. Die Hersteller patchen aus nachvollziehbaren wirtschaftlichen Gründen auch nur einen Teil der ihnen bekannten Sicherheitslücken; z. T. werden auch bereits veröffentlichte Sicherheitslücken erst nach Jahren behoben.

Für diese Sicherheitslücken gibt es noch keine Sicherheitsmaßnahmen wie Patches, Fixes o. ä. Da sie noch nicht veröffentlicht sind, kann sich niemand gegen sie schützen. Die Ausnutzung durch einen Angriff wird praktisch nicht erkannt. Tatsächlich kann unter Ausnutzung dieser Sicherheitslücken unerkannt in Computer und Systeme eingedrungen werden.

Software kann auch Hintertüren (Backdoors) und andere undokumentierte, dem Anwender nicht bekannte Funktionen (covert functions wie covert channels) enthalten.

Die zugrundeliegenden mathematischen Algorithmen werden z.T. für die nächsten 5 Jahre als sicher bewertet. Allerdings wird die Implementierung selten oder gar nicht einem Security-Test unterzogen; darin können schwerwiegende sicherheitsrelevante Fehler enthalten sein, die für Angriffe ausgenutzt werden. Auch ist die Ableitung von Inhalten aus verschlüsselten Nachrichten möglich, ohne die Verschlüsselung zu brechen.

Stand der Technik ist, dass (fast) jedes – auch mit Verschlüsselung, Firewalls, Virensuchprogrammen, Intrusion Detection / Protection Systems etc. – abgesicherte System erfolgreich angegriffen und in die nachgelagerten Systeme eingedrungen werden kann.

US-amerikanische Suchmaschinen-Anbieter arbeiten auf der Grundlage US-amerikanischer Gesetze, die z. T. geheim gehalten werden und auf deren Grundlage ein Geheimgericht urteilt. Grundsätzlich muss davon ausgegangen werden, dass ausländische Suchmaschinenanbieter mit den nationalen Behörden zusammenarbeiten (müssen). Wir gehen davon aus, dass alle Suchmaschinen überwacht werden. Ein höheres Sicherheitsniveau wird von Suchmaschinen wie Metager2, ixquick, Scroogle, StartPage, DuckDuckGo erreicht, die weder IP-Adressen noch andere personenbezogene Daten des Anfragenden speichern – die aber genauso überwacht werden (können).

Anonymisierungsdienste wie TOR erhöhen das Sicherheitsniveau, weil personenbezogene Daten wie IP-Adresse, Anfrageinhalte, Datum und Uhrzeit nicht gespeichert werden – allerdings können die relevanten Netzknoten überwacht werden.

Die folgenden 4 Methoden werden eingesetzt:

• Einer Sicherheitsprüfung des Designs (Threat Modeling),
• der Static Source Code Analysis des implementierten Codes zusammen mit einer Überprüfung der Übereinstimmung von Design und Implementierung,
• einem Penetration Test und
• einer dynamischen Analyse zur Laufzeit (Fuzzing).