Skip to content

Gedanken bezüglich der massiven Anzahl an "die NSA kann alles knacken"-Nachrichten

In den letzten Tagen wird eine immer größer werdende Anzahl an Nachrichten durch die digitalen (und wohl auch analogen) Kanäle geprügelt, die alle den gleichen O-Ton tragen. "Die NSA kann alles knacken und hat überall Backdoors eingebaut". Ich habe das Gefühl, dass man hier vor allem Resignation erzeugen möchte. Betrachtet man die Kommentare auf einigen Seiten, trifft man häufig Sätze wie "es bringt alles nichts" an. Mich deucht, dass dies der eigentliche Grund hinter dieser Torpedierung an Meldungen steckt.

Was einem klar sein sollte ist, dass die NSA und andere Schattenregierungen oder "Vereine", viel Macht in der Wirtschaft besitzen, sei es durch Firmenmitarbeiter die ein zweites Gehalt beziehen und die Forschung und Entwicklung in "die richtigen Bahnen" lenken, oder durch Gesetze und Geheimverträge über die niemand sprechen darf.

Aber wo Schatten ist, ist auch immer Licht. Freie Software kann euch schützen. Natürlich ist alles knackbar, aber auch eine NSA mit ihren Supercomputern braucht im Moment noch etwas Zeit um alles zu knacken. Da stellt sich dann immer die Frage wie wichtig eure Daten sind. Sobald die Quantencomputer von den Geheimdiensten und "little NSA aka elgoog" laufen, kann sich all dies relativieren, aber bis dahin ist noch etwas Zeit.

Was könnt ihr tun?

  • Haltet das Betriebssystem aktuell
  • Nutzte freie Betriebssysteme
  • Nutzt freie Verschlüsslungssoftware
  • Haltet wichtige Daten lokal, ihr braucht nicht alles auf einem Webserver oder in der Cloud
  • Nutzte eigene Zertifikate (solange man das Root Zertifikat hat, kann man alle weiteren Entschüsseln)
  • Speichert wichtige Passwörter nicht im Klartext auf dem PC (dann doch lieber der gute alte Zettel)
  • Verschlüsselt E-Mails, GnuPGP ist erlernbar
  • Nutzte Passwörter mit statischen und dynamischen Anteilen
  • Gebt keine wichtigen Informationen auf Internetseiten (und wenn, dann doch lieber nur wenn ein https davor steht)
  • Wählt die richtigen Parteien
  • Lasst euch nicht einschüchtern

web - E-Government-Gesetz: Bundesregierung will Verschlüsselungsstandards senken

Lang war es still um De-Mail. Dies lag vornehmlich daran, dass es keine Nutzungmöglichkeiten für den “sicheren, vertraulichen und nachweisbaren Geschäftsverkehr für jedermann im Internet” gab. [...] Daraus ergeben sich nun für sensible Daten große Probleme, zum Beispiel im Steuer-, Sozial- und Justizbereich: Die De-Mail in ihrer jetzigen Form genügt den gesetzlichen Ansprüchen an Kommunikationssicherheit nicht. Die naheliegende Reaktion wäre es nun, das De-Mail-Gesetz nachzubessern. Statt jedoch De-Mail auf eine sichere Technikgrundlage zu hieven, soll der aktuelle Schutz in mehreren Gesetzen aufgeweicht werden. Im Teil “Änderung der Abgabenordnung” des Gesetzentwurfs zur Förderung der elektronischen Verwaltung heißt es dann:
Werden dem Steuergeheimnis unterliegende Daten durch einen Amtsträger […] über De-Mail-Dienste […] versendet, liegt keine unbefugte Offenbarung, Verwertung und kein unbefugter Abruf von dem Steuergeheimnis unterliegenden Daten vor, wenn beim Versenden eine kurzzeitige automatisierte Entschlüsselung […] zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten […] stattfindet.
Die vorgeschlagenen Ausnahmeregelungen sind ebenso einzigartig wie gefährlich: Statt auf ein sicheres Verfahren zu setzen, werden die gesetzlichen Ansprüche anhand fadenscheiniger Argumente herabgesetzt: Kurzzeitige Entschlüsselung: Dieses Argument kennen wir schon aus der Debatte ums De-Mail-Gesetz. Natürlich ist es für das Abhören von E- oder De-Mails völlig egal, ob ich sie nur für eine Sekunde oder einen halben Tag entschlüsselt werden: Wenn sie automatisch entschlüsselt werden können, sind sie nicht verschlüsselt. Wer den Server eines der wenigen De-Mail-Anbieter kontrolliert (zum Beispiel der Provider selbst, ein Angreifer oder Geheimdienste), hat Zugriff auf alle darüber abgewickelte Kommunikation. Überprüfung auf Schadsoftware: Das Versenden einer De-Mail kostet Geld und wird anonym nicht möglich sein. Für Masseninfektionen per Spam ist der Dienst daher denkbar ungeeignet. Wer die Kosten auf sich nimm, sich unter einer falschen Identität ein De-Mail-Konto zu verschaffen, um mit diesem dann gezielt Viren an ein ausgewähltes Opfer zu senden, wird dafür auch Schadsoftware nutzen, welche die automatische Prüfung nicht erkennt. So wird den Nutzern durch den serverseitigen Virenscan eine falsche Sicherheit vorgegaukelt.
Quelle

Wenn die Behörden dann untereinander mit dieser nicht vorhandenen Verschlüsselung arbeiten (müssen, denn auch dort muss es fähige Menschen geben - alleine der Statistik wegen), werden all meine Daten praktisch unverschlüsselt durch die Welt geblasen. Wie soll ich es ausdrücken ... welch Freude :-(.