FAQ zur NSA-Überwachung (2013)
Jede Kommunikation mit allen Diensten und Geräten wird überwacht: Telefon, Handy (beides auch Cloud-basiert), Satellitentelefon, SMS, MMS, Fax, Twitter, Kopierer und Scanner, Video-Konferenzen, Internet Mail und Dateiaustausch, Social Media, Video- und Bilddiensten, YouTube, Cloud-Dienste, finanzielle Transaktionen (SWIFT), Kreditkarteninformationen, Fluggastdaten, Passwörter, besuchte Webseiten, biometrische Merkmale (z.B. Face Recognition, Spracherkennung), Krankheitsdaten (Laborwerte, Diagnosen, Therapien) etc. mit dem jeweiligen Aufenthaltsort, Kommunikationspartner, Datum und Uhrzeit. Dies alles fällt technisch zunehmend leichter, weil die analoge Datenübertragung der digitalen weicht: All-IP (Internet Protokoll).
Überwacht werden auch alle Server, Social Media, Suchmaschinen (wie Google, Yahoo, Microsoft und Facebook) etc. Betreiber dieser Systeme geben – auf Anforderung und auf der Gesetzesgrundlage – Verbindungsdaten und die gesamte Kommunikation (ggf. gegen Entgelt) an die nationalen Behörden (Sicherheitsbehörden) und auch an Behörden anderer Staaten weiter.
Unternehmensinterne Kommunikation (Telefon, Fax, Mail, interne Suchmaschinen etc.) wird automatisiert überwacht durch gezieltes Eindringen in die internen Netze und Server. Nicht-elektronische Kommunikation (persönliche Gespräche in Räumen, auch im Freien) kann digitalisiert und überwacht werden.
- (Passive) Überwachung:
Die Kommunikation über Funk- und Satellitenstrecken wird Antennen-gebunden abgehört.
Bei Leitungs-gebundener Kommunikation werden die Leitungen physisch angezapft. - Aktives Eindringen in Computer:
Weit weniger aufwändig ist die unerkannte Ausnutzung ungepatchter oder sogar unveröffentlichter Sicherheitslücken (Zero-Day-Vulnerabilities) in der Software der Steuerungsrechner und die Ausleitung der Kommunikation.
Mit der Technik unerkannter Ausnutzung unveröffentlichter Sicherheitslücken (Zero-Day-Vulnerabilities) in Software werden auch Server und Netze erfolgreich angegriffen, in diese eingedrungen und gespeicherte Daten werden ausgelesen oder auch manipuliert.
Verkehrsdaten und Gesprächsinhalte können von den Servern der Provider unberechtigt in Echtzeit kopiert werden.
Nachrichtendienste sind in der Lage die weltweite Kommunikation vollständig (Verkehrsdaten und Inhalte) zu speichern, in Datenbanken abzulegen, zu indizieren und auszuwerten. Für die Auswertung relevant ist die Indizierung und der Zeitbedarf für die Auswertung. Wir gehen davon aus, dass die benötigte Speicher- und Rechenkapazität vorhanden ist. Suchmaschinen beispielsweise machen genau dies für alle weltweit gespeicherten Daten.
Dagegen ist kein Kraut gewachsen: Die im letzten Jahrhundert entwickelten Sicherheitsverfahren (Firewalls, Intrusion Detection und Protection Systeme, Virensuchprogramme etc.) und die entsprechenden aktuellen Produkte enthalten Sicherheitslücken, die von Angreifern ausgenutzt werden. Selbst Verschlüsselung wird geknackt (z.B. SSL, TLS, S/MIME, Skype …).
- Spionage: Erlangen nicht-öffentlicher Informationen oder sogar geschützten Wissens zur Nutzung im eigenen Herrschaftsbereich.
Ausspioniert werden kann die vollständige Kommunikation von Unternehmen wie Konstruktionszeichnungen, Gespräche oder Mails mit Rechtsanwälten, geplante Patente, Finanzplanungsdaten, Strategien, … Durch Wirtschaftsspionage geraten deutsche Unternehmen und deutsche Arbeitsplätze in Gefahr. - Sabotage: Veränderung, Manipulation aus Überwachung gewonnener Daten mit dem Ziel der Störung von Industrieprozessen oder auch zur Erreichung eines bestimmten (oft politischen) Ziels.
Verfälscht werden kann auch die Kommunikation bei der Steuerung biologischer und chemischer Prozesse. Diese Daten werden so manipuliert (Sabotage), dass der Ablauf der Prozesse behindert oder verändert wird – bis hin zur Fehlsteuerung (Explosion) von Maschinen. Derart manipuliert werden können z.B. auch Systeme wie Heizungs- und Klimaanlagen.
Sicherheitsbehörden überwachen sich auch gegenseitig und überwachen aus Wirtschaftlichkeitsgründen auch, was diese abgehört oder ausgelesen haben. Darüber hinaus werden gesammelte Informationen mit den Partner-Nachrichtendiensten der Staaten der Europäischen Union (EU) sowie den USA und Kanada u.a. gegen andere Informationen getauscht.
Mit der Rufnummernunterdrückung wird nur erreicht, dass die (mitgesendete) Nummer beim Gesprächsempfänger nicht angezeigt wird. Berechtigte können die Nummer sehen – so z.B. die Polizei. Dies ist keine Sicherheitsmaßnahme.
Einem ausländischen Unternehmen anvertraute Daten deutscher Unternehmen können genauso wie private Daten Deutscher den zuständigen (ausländischen) nationalen Behörden weitergegeben werden; dies gilt z.B. für Clouds.
Jede Datei, jede E-Mail, jede Datenübertragung, jedes Telefongespräch, SMS, MMS etc. wird mit dem Erstellungsdatum und der Uhrzeit sowie dem Sendeort gesendet und kann entsprechend sortiert, gefiltert, ausgewertet und beliebig verfälscht, manipuliert (!) werden – z.B. das Datum bis hin zum gesamten Inhalt.
Mindestens sollten die von der App aus dem Smartphone-Speicher ausgelesenen Daten wie Adresslisten, Fotos, Passwörter etc. kontrolliert werden sowie die aufgebauten Kommunikationsverbindungen.
Ziel muss also sein, das Sicherheitsniveau so hochzuschrauben, dass der Angreifer mehr Aufwand betreiben muss, als die gespeicherten und übertragenen Daten wert sein könnten (Risikoanalyse!).
Das bedeutet im Privatbereich: Verschlüsseln aller gespeicherten und übertragenen Daten. Starke Zugriffskontrolle (Passwörter mit mehr als 12 Zeichen (alphabetische, numerische und Sonderzeichen)) möglichst häufig wechseln. Die Rollen Administrator und Anwender trennen. Möglichst anonym surfen.
Übertragene Daten sollten asymmetrisch verschlüsselt werden – d.h. es wird je ein Schlüssel zum Verschlüsseln und ein anderer entsprechender zum Entschlüsseln benutzt. Einer der beiden Schlüssel (der sog. private Schlüssel) muss vor Dritten sorgfältig verborgen werden, darf jedenfalls nicht auf dem Computer gespeichert werden. Der Kommunikationspartner muss dasselbe Verfahren benutzen.
Darüber hinaus sollten die wichtigsten Anwendungen die die wichtigsten Daten verarbeiten, einem umfassenden Security Test unterzogen werden, um insbesondere Sicherheitslücken – insbesondere bislang nicht erkannte Sicherheitslücken (Zero-Day-Vulnerabilities) zu identifizieren und zu beheben.
Darüber hinaus kennen Softwarehersteller nicht alle Sicherheitslücken ihrer Software. Die Hersteller patchen aus nachvollziehbaren wirtschaftlichen Gründen auch nur einen Teil der ihnen bekannten Sicherheitslücken; z.T. werden auch bereits veröffentlichte Sicherheitslücken erst nach Jahren behoben.
Für diese Sicherheitslücken gibt es noch keine Sicherheitsmaßnahmen wie Patches, Fixes o.ä. Da sie noch nicht veröffentlicht sind, kann sich niemand gegen sie schützen. Die Ausnutzung durch einen Angriff wird praktisch nicht erkannt. Tatsächlich kann unter Ausnutzung dieser Sicherheitslücken unerkannt in Computer und Systeme eingedrungen werden.
Software kann auch Hintertüren (Backdoors) und andere undokumentierte, dem Anwender nicht bekannte Funktionen (covert functions wie covert channels) enthalten.
Stand der Technik ist, dass (fast) jedes – auch mit Verschlüsselung, Firewalls, Virensuchprogrammen, Intrusion Detection / Protection Systems etc. – abgesicherte System erfolgreich angegriffen und in die nachgelagerten Systeme eingedrungen werden kann.
- Einer Sicherheitsprüfung des Designs (Threat Modeling),
- der Static Source Code Analysis des implementierten Codes zusammen mit einer Überprüfung der Übereinstimmung von Design und Implementierung,
- einem Penetration Test und
- einer dynamischen Analyse zur Laufzeit (Fuzzing).