Ich will keinen Aluhut

Ich wage eine Behauptung. Vor keinem gesellschaftlichen Problem hat eine Regierung öffentlich so schnell kapituliert, wie es die Merkel-Administration nun bei Prism und Tempora tut. Wir wissen erst seit ein paar Wochen von der Globalüberwachung unserer Kommunikation, welche sich die USA und England anmaßen. Doch statt etwas zu tun oder wenigstens zu überlegen, was man tun könnte, zelebrieren die Verantwortlichen unverhohlen Unlust und gespielte Resignation. 

Gestern war es Innenminister Hans-Peter Friedrich, der nüchtern konstatierte, die Überwachung gebe es nun mal, da können man nichts tun. Heute springt ihm sein Parteikollege Hans-Peter Uhl zur Seite. Der FAZ sagte Uhl:

Wenn die Daten jedoch gar nicht in Deutschland ausgelesen werden, sondern im Ausland, dann kann der Staat hier kaum für Schutz sorgen. Das ist keine Bankrotterklärung, sondern ein Zurkenntnisnehmen der Realität, dass dieser Schutz im Internet technische Grenzen hat. Der Staat darf nicht ein politisches Versprechen abgeben, das er technisch nicht halten kann. Das wäre einfach unseriös.

Dem Bürger bleibt nach beider Auffassung wohl nur, sich selbst zu schützen. Verschlüsselung heißt das neue Zauberwort, das eilig in den Vordergrund geschoben wird. Doch tatsächlich zünden Friedrich und Uhl nur Nebelkerzen. Sie unterschlagen nämlich, dass Verschlüsselung letztlich nur gegen private Datenkraken hilft. Gegenüber schnüffelnden Staaten ist der Bürger weit wehrloser, denn diese haben letztlich das Gewaltmonopol und damit die Kraft, Hürden wie Verschlüsselung so einfach zu überwinden, als seien sie gar nicht da.

Entlarvend ist angesichts dessen gerade Uhls Hinweis, es gebe ja keine totale Datensicherheit. Dem Bürger müsse deswegen “relative Sicherheit” genügen. Was er damit meint, illustriert der Politiker ausgerechnet am Beispiel von De-Mail. Dieser staatlich initiierte Dienst gaukelt dem Nutzer nur vor, seine Nachricht bekomme allenfalls der Empfänger zu Gesicht. Tatsächlich wird auf den De-Mail-Servern erst mal alles durchgehend wieder entschlüsselt und dem staatlichen Zugriff ausgesetzt. Das ist die “relative Sicherheit” Marke Uhl.  

So eine Sicherheit ist nicht mehr als eine Beruhigungspille. Sie lindert die Ängste, lässt ihren Grund aber unberührt. Gleiches gilt neben De-Mail auch für die allermeisten Sicherungssysteme, die man als einigermaßen publikumstauglich einschätzen kann. Was hilft etwa bei Skype oder Outlook die Illusion sicherer Übertragung, wenn Behörden wie die NSA den Datenstrom schon vor der Verschlüsselung abgreifen?

Ohnehin ist ja interessant, dass nun ausgerechnet die lautesten Fürsprecher eines Mehr an staatlicher Überwachung wie der Vorratsdatenspeicherung oder der Bestandsdatenauskunft Bürgern zur Selbsthilfe raten. Ratschläge übrigens, die sich ja gerade Kriminelle als erste zu Herzen nehmen werden. Es wird deshalb auch nicht lange dauern, bis sich die neue Begeisterung fürs Recht auf informationelle Selbstbestimmung zügig wieder legt.

Gerade Friedrich hat vor nicht mal zwei Jahren nach dem Massenmord in Norwegen gefordert, die Anonymität im Netz gehöre abgeschafft. Gestern hatte er keine Probleme, zeitglich ein Supergrundrecht auf Sicherheit zu postulieren und das Hohelied der Kryptographie zu singen. Spätestens nach der Wahl wird der gleiche Mann fordern, dass man dafür ins Gefängnis geworfen werden kann, wenn man das Truecrypt-Passwort für den eigenen PC nicht herausgibt oder sich gegenüber Behörden weigert, eigene Mails zu entschlüsseln.

Diese Politiker spielen ein falsches Spiel. Sie springen nur bereitwillig auf den Datenschutz-Zug auf, weil er sie aus der Schusslinie bringt. Ansonsten müssten sie nämlich erklären, warum sich Deutschland wie die EU offenbar weder mit den USA noch mit England über Prism und Tempora auseinandersetzen wollen. Stattdessen belässt es etwa die Kanzlerin im Kern bei einem nicht mal energischen Du-Du in Richtung der USA.

Dabei ist das Instrumentarium doch vorhanden, um den USA und England auf die Füße zu treten. Die NSA arbeitet auch auf deutschem Boden. Müssen wir das akzeptieren, wenn eben diese Bürokratie den amerikanischen Sicherheitswahn über die Grundrechte aller Deutschen stellt? Ließe sich nicht auch mal ein Auge darauf werfen, wie viel – eindeutige strafbare – Wirtschaftsspionage tatsächlich mit Prism verbunden ist? Weitere Sanktionsmöglichkeiten mit Bezug zur Sache gibt es reichlich, wie in diesem Leserkommentar aufgezählt.

Oder wie steht es aktuell mit dem Freihandelsabkommen? Wer sagt, wir Deutschen hätten im Fall eines Scheiterns mehr zu verlieren als die USA? Letztlich geben wir den Kampf um unsere Grundrechte schon verloren, bevor wir ihn überhaupt aufgenommen haben.

Das Europäische Parlament könnte einen Untersuchungsausschuss einsetzen. Gegen England wäre ein EU-Vertragsverletzungsverfahren möglich. Und es wäre sicher auch nicht falsch, Prism und Tempora zum Thema in der UNO zu machen, wie es nun schon mehrere namhafte Völkerrechtler gefordert haben.

Letztlich wäre es auch eine eindeutige Geste, Edward Snowden eine Aufenthaltserlaubnis anzubieten. Das ist juristisch möglich, denn es obliegt der deutschen Regierung,  jedermann aus Gründen des Staatswohls in Deutschland zu gewähren. Mit dem Asylrecht hat das übrigens rein gar nichts zu tun.

Es gibt also Handlungsoptionen. Wir müssen diesen Kampf am Ende nicht unbedingt gewinnen. Aber ihn gar nicht aufzunehmen, kostet uns neben Selbstachtung auf alle Zeit die Freiheit, auch ohne Aluhut unbefangen elektronisch zu kommunizieren. Jedes für sich ist schlimm genug, beides ist eine Katastrophe.   

  • veri

    Es ist natürlich kompletter Unsinn, dass der Staat “die Kraft, Hürden wie Verschlüsselung so einfach zu überwinden, als seien sie gar nicht da”. Meiner Meinung kann man da schon mehr erwarten von einem, der für die Piraten in den Bundestag einziehen will.
    Auch ein Staat und selbst die USA können nur sehr begrenzt entschlüssen, so dass eine Verschlüsselung bei dem normalen Bürger sehr wohl ein effektiver Schutz bedeutet, insbesondere wenn man einen langen Schlüssel nimmt.
    Wenn man AES-256 nimmt, ist man de facto sicher. Dies nehmen ja selbst die USA als Verschlüsselung für strenge geheime Dokumente, gerade weil die USA selber davon ausgehen, dass man dies fast nie entschlüsseln kann, da der Aufwand zu groß ist.

  • Stefan

    Die im Grunde gleiche Theorie hatte ich heute morgen:
    http://unkreativ.net/wordpress/?p=15838

    Denn wenn jetzt wirklich – was nicht passieren wird – die Menschen massenhaft PGP, Truecrypt, TOR und anderes einsetzen, wird der Staat wieder das Lied vom Rechtsfreien Raum anstimmen… mit den auch hier beschriebenen Folgen.

    Es ist interessant zu beobachten, dass unsere Regierung hier nicht handeln WILL und es ist wichtig zu fragen, warum. Wer profitiert davon und wie.

    Und dann muss man sich überlegen, ob es nicht an der Zeit ist, dass wirklich mal viele Menschen auf die Straße gehen. Sehr viele Menschen.

    Aber, und hier bin ich Pessimist, Deutschland wird A. Merkel in die nächste Amtszeit wählen – statt sie und ihre Kohorte mit Schimpf und Schande “davon zu jagen” (also sowohl CDU, als auch FDP und SPD bei der kommenden Wahl mit absoluter Missachtung zu strafen und stattdessen Grün, Orange oder Links zu wählen).

  • Kaboom

    “Der Staat darf nicht ein politisches Versprechen abgeben, das er technisch nicht halten kann. Das wäre einfach unseriös.”

    Das passt ja gut zum nicht realisierbaren Supergrundrecht.

  • marcus05

    Der ganze Artikel basiert auf der Prämisse, dass unsere Politiker unser Wohl im Sinne haben.

    Und diese Prämisse scheint schlicht falsch zu sein.

  • emma peel

    Diese Regierung ist ja nicht blöd.
    Also warum stellt sie sich dann vor das Volk und sagt, wir sind blöd. Vor der Wahl.
    Es gab doch schon viel bessere (wenn auch gelegentlich leicht durchschaubare) Lüg… Erklärungen.
    Warum jetzt so ein schulterzuckendes “isthaltso”, obwohl die Leute in Erklärungsnot sein sollten??

  • Stefan

    @veri:

    1) Du weißt nicht wie die tatsächlichen Fähigkeiten sind
    2) Du weißt nicht, in welcher Software es welche Hintertür gibt (z. B. Root-Passwörter)

    und selbst wenn, das wichtigste Argument ist:

    3) es ist nur eine Frage der Zeit, bis entweder die Technik dazu in der Lage sein wird aktuell als sicher geltende Verfahren zu knacken oder man einfach das Rechtssystem nutzen wird, Stichwort Beugehaft oder gar… Intensive Befragungsmethoden (besser bekannt auch als Folter)

    Und es kann und darf per se nicht sein, dass ich alles was ich tue im Geheimen zu tun habe – der Staat hat mich in Ruhe zu lassen – Punkt aus.

  • Klaus Müller

    Wie kann eigentlich dasselbe Programm, das der Bundesregierung völlig unbekannt ist, gleichzeitig sieben Terroranschläge verhindern?

  • Oliver

    Gegenüber schnüffelnden Staaten ist der Bürger weit wehrloser, denn diese haben letztlich das Gewaltmonopol und damit die Kraft, Hürden wie Verschlüsselung so einfach zu überwinden, als seien sie gar nicht da.

    Wie kommen Sie denn auf die Idee? Folter und Beweislastumkehr haben wir auch in Deutschland noch nicht.

  • Kaboom

    Da böten sich einige Druckpunkte an, was die Grundrechtsverteidigung anginge: Wiederrufung der “Safe Harbor”-Regeln und Zwang, Kundendaten von EU-Bürgern nur noch in EU-Rechenzentren unter EU-Recht zu verarbeiten und zu speichern. Kündigung des SWIFT und Fluggastdatenabkommens. Ein Verbot an ISPs in der EU, Daten über Leitungen in und durch Drittstaaten zu übertragen, die nicht einem völkerrechtlich verbindlichen Datenschutzabkommen zugestimmt haben. Empfindliche (ruinöse) Geldbußen für in der EU tätige Unternehmen, die Kunden- und Kommunikationsdaten an staatliche Stellen ausliefern, ohne dass diese einen in öffentlichen Verfahren überprüfbaren richterlichen Beschluss erwirkt haben. Ein Importverbot für Kommunikationshard- und software ohne rechtsverbindliche und strafbewehrte Deklaration des Herstellers, dass keine undokumentierten Schnittstellen für Schnüffeleien in Soft- und Hardware angelegt sind.

  • Rita Lihn

    @veri: Aber es steht doch da, weshalb die Verschlüsselung unwirksam ist: “Was hilft etwa bei Skype oder Outlook die Illusion sicherer Übertragung, wenn Behörden wie die NSA den Datenstrom schon vor der Verschlüsselung abgreifen?” Nirgendwo wird behauptet, dass die NSA AES entschlüsseln kann.

  • veri

    @Stefan: zu 1.) Das brauche ich auch gar nicht wissen. Es ist schon eine unfassbar große Aufgabe eine Datei entschlüsseln. Die Dateien aller Bürger zu entschlüsseln ist unmöglich.
    2) Dann nehme ich eben ein sicheres System. Es gibt genug Auswahl und die Analyse des Netzverkehrs ist nun auch nicht so schwierig. So einfach ist die Welt.
    3) Dann nimmt man eben eine andere Verschlüsselung mit längerem Schlüssel. Aber selbst wenn die USA schaffen sollten einzelne Nachrichten zu knacken, werden sie es trotzdem weiterhin nur bei Verdächtigen machen können, da dann immer noch der Aufwand extrem groß ist.
    Die Sache mit der Beugehaft ist kein spezielles Problem von Verschlüsselung, sondern ein generells. Das passiert auch in der realen Welt.

  • veri

    @Rita Lihn: Udo Vetter schreibt: “Verschlüsselung heißt das neue Zauberwort, das eilig in den Vordergrund geschoben wird. Doch tatsächlich zünden Friedrich und Uhl nur Nebelkerzen. Sie unterschlagen nämlich, dass Verschlüsselung letztlich nur gegen private Datenkraken hilft. Gegenüber schnüffelnden Staaten ist der Bürger weit wehrloser, denn diese haben letztlich das Gewaltmonopol und damit die Kraft, Hürden wie Verschlüsselung so einfach zu überwinden, als seien sie gar nicht da. ”
    Meiner Meinung nach kann man diese Aussage von Vetter nur auf eine Weise interpretieren. Vetter denkt, dass der Staat alles entschlüsseln kann (also nicht nur auf Skype bezogen; dies wird ja auch erst später erwähnt). Das ist natürlich kompletter und vollständiger Unsinn. Selbst der Staat wird niemals die Kapazitäten haben den gesamten Internetverkehr der Bürger zu entschlüsseln.

  • entejens

    @Oliver: wo wird in diesem zusammenhang von folter bzw. beweislastumkehr gesprochen? *grübel*
    unlustigerweise machen einen ja gerade verschlüsselte mails verdächtig … :(

  • Oliver

    @entejens: Weil dem Staat das Gewaltmonopol herzlich wenig nutzt, wenn er verschlüsselte Daten nicht gegen den Benutzer verwenden darf und er sie nicht entschlüsseln kann.

    Eigentlich sollte doch mittlerweile klar sein, dass wir alle verdächtig sind, oder?

  • entejens

    @veri: “Das ist natürlich kompletter und vollständiger Unsinn.”
    nun ja, jemandem unsinn vorzuwerfen ist die eine sache, die gänzlich andere ist, daß man niemals “nie” sagen sollte. ein solches ausmaß an überwachung (daß die angaben so stimmen, unterstelle ich jetzt mal) hätte man sich ja ebenso nicht vorstellen können …

  • entejens

    @Oliver: “nicht gegen den Benutzer verwenden darf” – na das ist ja schon mal etwas lustig. es liegt in der natur von geheimdiensten, daß sie sich nur insofern um gesetze kümmern, als daß sie aufpassen (müssen), daß verstöße dagegen nicht bekannt werden. leider versuchen die meisten und lautesten politiker (auch der opposition) zu vermitteln, daß geheimdienste kontrollierbar sind. :(
    “… er sie nicht entschlüsseln kann.” naja, wie schon gesagt – man soll nie nie sagen …
    ach ja, die antwort auf die frage, warum du “folter” und “beweislastumkehr” angeführt hast, habe ich nicht erkannt … :)

  • emma peel

    @12 – Zitat:

    Darum geht es doch, er ist nicht in der Lage, “Sicherheit” durch Abhören zu gewährleisten, hört aber erst mal alle ab…

    (äh, ich probier noch das Zitieren, hab es einfach noch nicht begriffen, eine Vorschau wäre nett)

  • emma peel

    ah… ging gar nix…

  • emma peel

    dieses Zitat war gemeint: Selbst der Staat wird niemals die Kapazitäten haben den gesamten Internetverkehr der Bürger zu entschlüsseln.

  • Oliver

    @entejens: Das sagt doch das Wort Gewaltmonopol … was verstehen Sie darunter? Ich habe es neulich schon mal vorgerechnet. Ein normaler Supercomputer braucht z. B. für eine Truecryptverschlüsselung auf 256 Bit etwa 2.240.000.000.000.000.000.000.000.000.000.000.000.000 Jahre. Und da das Mathematik ist, macht auch die NSA da nix dran und wenn die sich da noch 3 Rechenzentren hin stellen.

  • marcus05

    Wie Leute immer noch mit Veri diskutieren…

  • Laie

    @veri:
    Jein: vieles, was uns als “sichere Übertragung” angepriesen wid, verschlüsselt die Daten nur zwischen Kunde und Server, auf dem Server liegen die Daten wieder im Klartext vor. Vater Staat kann sich an dieser Stelle recht einfach bedienen.

    Einigermaßen sicher ist es nur, wenn erst beim Empfänger wieder entschlüsselt wird. Und selbst dann nur, wenn der Empfänger seine Schlüssel gut verbirgt und auch nicht unter (Androhung von) Zwangsmaßnahmen herausrückt.

  • Wolf-Dieter

    Der Grund, warum Merkel, Friedrich und Co filibustern statt zu antworten, ist recht simpel: Es ist nicht ihr Interesse.

    Ich hab mir die Freiheit genommen, das hier auszuführen:

    http://wolf-dieter-busch.de/html/Tagebuch/2013/Wuschelkopf.htm

  • veri

    @entejens: Wenn in den Vereinigten Staaten nicht mehr die Grundsätze der Mathematik gelten sollten, werde ich mich bei Vetter entschuldige, aber bis jetzt ist es fast unmöglich eine einzelne Datei zu entschlüsseln, die mit AES-256 verschlüsselt sind. Deshalb verwenden die USA ja gerade dies auch um ihre streng geheimen Dokumenten zu verschlüsseln. Selbst wenn man eine Datei entschlüsselnd könnte, wird man dies nicht systematisch machen können, sondern nur alleine bei Verdächtigen.

  • entejens

    @Oliver: “gewaltmonopol” ist definitiv nicht vor allem folter und beweislastumkehr. ich habe das in diesem zusammenhang mehr dahingehend verstanden, daß sich geheimdienste eben NICHT an gesetze halten, WEIL sie als staatsorgan das gewaltmonopol besitzen. ich weiß, daß ich damit über die allgemeine staatslehre hinausgehe, sehe die gesetzesübertritte von staatlichen organen aber vor allem auf dem eigentlichen gewaltmonopol beruhend.
    außerdem gibt es ja nicht nur eine verschlüsselungstechnologie, manchem ist die vorgehensweise zu kompliziert, so daß leichter bzw. einfacher anzuwendende verschlüsselungssysteme verwendet wird.
    außerdem sollte nicht vergessen werden, daß udo vetter hier mehr darauf verweist, daß der staat eben sehr viele möglichkeiten hat, an daten ranzukommen, als er zugibt bzw. zugeben will.

  • entejens

    @veri: richtig, es verwenden ja alle nur AES-256 …
    ansonsten siehe @entejens:

  • Martins Avots

    “Letztlich wäre es auch eine eindeutige Geste, Edward Snowden eine Aufenthaltserlaubnis anzubieten. Das ist juristisch möglich, denn es obliegt der deutschen Regierung, jedermann aus Gründen des Staatswohls in Deutschland zu gewähren. Mit dem Asylrecht hat das übrigens rein gar nichts zu tun. ”

    Zu diesem Punkt: ein klares NEIN.
    An sich finde ich die Idee dahinter gut. Es happert aber an der Durchführung. Deutschland kann Snowden in Deutschland nicht schützen, da das Land nicht souverän ist.
    Warum? (ich habe nicht viel Zeit, deswegen nur der Link:)
    http://www.sueddeutsche.de/politik/historiker-foschepoth-ueber-us-ueberwachung-die-nsa-darf-in-deutschland-alles-machen-1.1717216

    Ja, gegen so etwas sollte man, meiner Meinung nach, vorgehen.
    Das wichtigste ist es nicht auszublenden und/oder hinzunehmen.
    Mit diesem ersten Schritt wäre schon viel getan.

  • Oliver

    @entejens: Also Gewaltmonopol heißt, dass sich der Staat nicht an seine Gesetze halten muss? Seit wann? http://de.wikipedia.org/wiki/Gewaltmonopol_des_Staates

  • Marc

    @veri: Wenn der Staat Unternehmen dazu zwingt, Hintertüren in seine Produkte einzubauen, dann hilft auch Verschlüsselung nicht. Würde konsequent verschlüsselt werden, greifen Behörden eben direkt auf den PC zu.

    Nur Open Source Software kann auch keine Lösung sein, da können wir auch gleich den Kommunismus einführen (Überspitzt, aber ich denke, Sie wissen, worauf ich hinaus will: Fortschritt darf nicht durch Staatsparanoia gebremst werden.).

    Am Ende sitzt der Staat immer am längere Hebel, und wenn durch gehemine Gesetze und Gerichte ein Grundrecht von Millionen/Milliarden Menschen aufgehoben wird, dann ist das, wie Herr Lobo richtig sagt, ein gesellschaftliches, kein technisches Problem. Noch erschreckender als die Handlungen der Politik ist eigentlich nur noch die blinde Unterstützung dieser Taten durch einen großen Teil der amerikanischen und deutschen Bevölkerung.

  • veri

    @Marc: Dann greifen sie mal direkt am Computer ab. Damit werden sie dann riesengroße Datenströme erzeugen, die jedem direkt auffallen.

  • Oliver

    @Marc:

    Wenn der Staat Unternehmen dazu zwingt, Hintertüren in seine Produkte einzubauen, dann hilft auch Verschlüsselung nicht. Würde konsequent verschlüsselt werden, greifen Behörden eben direkt auf den PC zu.

    Ja, dann zwingen Sie mal alle Browserhersteller Backdoors einzubauen, viel Glück dabei! Auch der größte Geheimdienst der Welt kann nicht Milliarden Internetbenutzer infiltrieren. Für sowas braucht man teure Fachleute und keine 1 Euro Jobber. Und diese Kapazität ist begrenzt.

    Nur Open Source Software kann auch keine Lösung sein, da können wir auch gleich den Kommunismus einführen

    Als Ersteller und Nutzer von Open Source weiß ich nicht, wo das Problem liegen soll. Ich brauche keine proprietäre Software. Was das mit Kommunismus zu tun haben sollm weiß ich auch nicht. Es sind die offenen Standards, die das Netz seit 20 Jahren voran treiben. Ohne hätten wir immer noch BTX.

  • Schwarzmaler

    Es wird darauf hinauslaufen, ein politisch-kulturelles Problem technisch zu lösen. Ich sehe da auch nicht das Problem – bisher haben wir das Internet euphorisch-naiv benutzt, Postkarten verschickt – jetzt fangen wir an zu erkennen, daß es sinnvoll sein könnte seine Briefe in einem Briefumschlag zu verschicken.

  • wonko

    Dumm nur, daß Verschlüsselung nur den Inhalt schützt, die Meta-Daten bleiben abgreifbar. Und die sind mindestens so interessant wie der Inhalt, vor allem viel besser automatisch auszuwerten.

  • Cc

    @veri Sorry aber du bist in Verschlüsselung nicht up to Date. Den AES bekommt man nicht geknackt
    aber es gibt viele Ansätze die den Schlüssel leaken oder gar nicht erst verschlüsseln. Google mal nach truecrypt und Peter kleissner.

  • Oliver

    @Cc: Dafür müssen aber ganz bestimmte Voraussetzungen vorhanden sein. Man braucht entweder Administratorrechte oder physikalischen Zugang. Ausserdem ist das nicht so trivial, wie es sich anhört, zumal es auch einige Gegenmaßnahmen gibt.

  • Nick31

    @Oliver
    > Ja, dann zwingen Sie mal alle Browserhersteller Backdoors einzubauen, viel Glück dabei! Auch der größte Geheimdienst der Welt kann nicht Milliarden Internetbenutzer infiltrieren. Für sowas braucht man teure Fachleute und keine 1 Euro Jobber. Und diese Kapazität ist begrenzt.

    Wieso Browser-Hersteller? Da sind doch viele mittlerweile Open Source. Man könnte einfach an einer zentralen Software-Verteiler-Stelle wie dem Windows-Update ansetzen (Microsoft unterliegt der Kontroller der NSA) und Schadsoftware darüber verteilen, die von MS signiert ist (Oh, das hat man ja schon getan… Stuxnet…)

    Und zur intelligenten Personen-Kapazität: Die NSA beschäftigt glaub ich um die 800.000 Personen. Ich denke nicht, dass man da ohne hohe Ausbildung rein kommt – das kann ich jetzt allerdings nicht nachweisen.

  • Fran Kee (Pirat)

    Selbst wenn hier einige vordergründig Recht haben: Ja, es mag “sichere” End-to-End Verschlüsselung geben. Ja, auch gegen Man-in-the-Middle und was weiss ich für Attacks. Ja, vielleicht werden x-tausend bit keys von Verfahren sowieso zu unseren Lebzeiten nicht geknackt. (und natürlich ist es ein Witz, dass ePost, deMail und andere satirische ‘Tools’ diese bewusst nicht nutzen).

    Trotz alledem: Was nützt es? Dein Rechner zieht regelmässig Updates. Wenn die direkt von Microsoft (oder iTunes alias Apple) oder einem halben Dutzend anderer Tools kommen… Trojaner einschleusen und ab da keyloggen und (sowieso) deinen privaten Key haben… ? Alles kein Problem.

    Das Einschleusen von Trojanern per manipulierter Updates wurde schon öfters von Geheimdiensten eingesetzt, ist keine Fiktion.

    Selbst Linux-Anwender, die nur “vertrauenswürdige” Packages und Open Source ziehen, und großen amerikanischen Steuerhinterziehern aus dem Weg gehen: Selbst da kann man en route etwas unterschmuggeln, irgendwo zwischen Überseekabel und letzter Mail. (Ja, die packages sind signed, ja es gibt diesn und jenen mechanismus…)

    Natürlich können, sollten und müssen wir es dem Gegner (…) so schwer wie möglich machen. In der Gesamtschau hat Herr Vetter somit leider trotzdem Recht.

    Abseits aller Nerdness: Ich teile den Duktus seines letzten Absatzes: ziemlich resignativ.

  • Oliver

    @Nick31:
    @Fran Kee (Pirat):
    Dann benutzt halt nix von Microsoft oder Apple. Ja, auch bei Linux kann man Schadsoftware einschleusen, aber auch das ist auch nicht so trivial, wie es klingt, weil man entweder den Updateserver infiltrieren muss (davon gibt es ja nur viele tausend und das würde schnell auffallen) oder die Endleitung des Benutzers manipulieren, was viel viel schwerer ist als den Datenverkehr am Knotenpunkt mitzuschneiden. Eine Infiltration braucht Planung und vor allem viele Informationen. Das funktioniert auch meistens nur bei sehr dummen Benutzern.

    Ich bin ja für ein gesundes Maß an Paranoia, aber die letzten paar Tage habe ich so viel Mist gelesen, dass ich mich ernsthaft frage, ob es sich noch lohnt über das Thema zu reden. Verteilt doch mal massenhaft Schadware über das Microsoft Update und Ihr werdet garantiert innerhalb von Stunden jemanden treffen, dem das auffällt und es veröffentlicht. Das wäre eine PR Bombe für MS – das Abgreifen über Outlook.com ist auch schon vorher Leuten aufgefallen, aber die konnten das nicht in den richtigen Kontext setzen, weil ihnen Informationen fehlten. Irgend jemand fällt es immer auf, weshalb das in der Breite nicht funktioniert.

    Wenn man allem aus dem Weg gehen will, was theoretisch ist, muss man seinen Computer abklemmen und in den Wald ziehen. Die Praxis erlaubt sowas aber nicht für viele Benutzer. Die 800.000 Mitarbeiter der NSA sind nicht alle damit betraut Enduser zu infiltrieren und können das auch nicht, weil sie andere Tätigkeiten haben. Bei einzelnen Benutzern mag das ja machbar sein, aber wer glaubt, dass seine Kommunikation so interessant ist, dass die NSA wertvolle Arbeits- und/oder Rechenzeit in sein Computersystem investiert?

    Selbst wenn wir annehmen, dass jede Verschlüsselung innerhalb von Minuten zu knacken ist, dann würde man damit immer noch wertvolle Ressourcen belegen, was eine Überwachung in der Breite wie sie jetzt läuft sofort unterbinden würde. Das größte Problem, was wir derzeit lösen müssen neben dem Schutz der Nachrichten, ist die Anonymisierung der Metadaten.

  • ThorstenV

    @veri:

    Dann nehme ich eben ein sicheres System. Es gibt genug Auswahl und die Analyse des Netzverkehrs ist nun auch nicht so schwierig. So einfach ist die Welt.

    Klar, gibt’s bei MediaMarkt. Steht ja sogar “Secure Boot” drauf, also muss es wohl sicher sein.

    Warum soll, was bei Microsoft, Google und Yahoo geklappt hat, bei dem Chip- und Mainboardherstellern nicht funktionieren? Sollen wir uns in Zukunft die Rechner selbst aus einem Wafer schnitzen? http://cm.bell-labs.com/who/ken/trust.html

  • ThorstenV

    @Oliver:

    Die Praxis erlaubt sowas aber nicht für viele Benutzer. Die 800.000 Mitarbeiter der NSA sind nicht alle damit betraut Enduser zu infiltrieren und können das auch nicht, weil sie andere Tätigkeiten haben.

    Der Charme technischer Lösungen ist gerade, dass die Technik die Arbeit für einen erledigt. Genauso wie Gesichterkennungssoftware mit einem Schlag das bisher Undenkbare möglich macht: Dass Bewegungsprofile aller durch eine Stadt gehender Menschen möglich sind, ohne jedem einen Aufpasser mitzugeben, genauso wie es Software zur semantischen Analyse ermöglicht den gesamten Schriftverkehr der Welt zu analysieren ohne dass ihn jemand lesen muss, wird der Einbruch bei Bedarf vollautomatisch vollzogen werden.

    Bei einzelnen Benutzern mag das ja machbar sein, aber wer glaubt, dass seine Kommunikation so interessant ist, dass die NSA wertvolle Arbeits- und/oder Rechenzeit in sein Computersystem investiert?

    Es ist der Vorteil der Massenproduktion, dass die Kosten pro Artikel sehr niedrig gehalten werden können. An einer derartige Lösung wird anscheinend gerade in Utah gearbeitet.

  • Martin

    Dass AES-256 unknackbar wäre und das knacken länger dauert als das Universum alt ist, ist nur halb richtig und Augenwischerei.

    Wer das behauptet, verwechselt den AES-Schlüssel mit der Passphrase (oder weiss gar nicht dass das zwei unterschiedliche Dinge sind und blubbert halt nach was andere nachgeblubbert haben). Meistens verwenden die Leute dann halt doch simple Passphrasen, und die kann man viel einfacher knacken. Da nützt auch ein theoretisches AES-8192 nichts, wenn die Passphrase zu simpel ist, dann ist das ganz schnell geknackt.
    Wer, bitteschön, gibt den bei seinem Truecrypt z.B. so eine Passphrase ein:
    “k3kd(nHk%Ja3k29k&lkas#Jla!Valhj”?
    Eben, keiner! Und deswegen ist dieser “Länger als das Universum alt ist” Spruch einfach nur theoretischer Quatsch.

    Weiterhin ist die Mathematik rund um das Thema noch lange nicht umfassend “erforscht”, da könnten der NSA Methoden bekannt sein, die der Welt noch unbekannt sind. Mehr zum Thema unter “Schwächen und Angriffe”:
    http://de.wikipedia.org/wiki/Advanced_Encryption_Standard#Schw.C3.A4chen_und_Angriffe

    Weiteres Schmankerl des Links:
    “Im März 2012 wurde bekannt, dass die NSA in ihrem neuen Utah Data Center neben dem Speichern großer Teile der gesamten Internetkommunikation auch mit enormen Rechenressourcen an dem Knacken von AES arbeiten wird.[14] Die Eröffnung des Rechenzentrums ist im laufenden Jahr 2013 geplant.”

  • Aluser

    @Martin: Da bleibt die Frage für mich: Wo wird denn der 256bit-Schlüssel gespeichert? Ist der z.B. nur im eigenen Truecrypt hinterlegt, oder direkt im Container? So wie ich das bisher immer verstanden habe, werden die eigenen Daten im Truecrypt-Container mit dem 256bit-Schlüssel verschlüsselt und dieser Schlüssel wiederum wird mit der eigenen Passphrase verschlüsselt. Hat auch den Vorteil, dass bei einer Passwortänderung nur die Verschlüsselung des 256bit-Schlüssels und nicht aller Daten geändert werden muss. Wenn der verschlüsselte 256bit-Schlüssel nur im eigenen Truecrypt-Programm vorhanden wäre, bringt die Passphrase gar nichts, wenn man nur den Container hat, oder sehe ich hier was falsch?

  • van Eul

    War ja klar dass jetzt wieder Schlauberger ankommen (hier gleich der Erste) und meinen, der Satz “Gegenüber schnüffelnden Staaten ist der Bürger weit wehrloser, denn diese haben letztlich das Gewaltmonopol und damit die Kraft, Hürden wie Verschlüsselung so einfach zu überwinden, als seien sie gar nicht da.” wäre Unsinn, weil das ja unknackbar wäre.
    Newsflash for you: Hier geht’s nicht um die Dauer von Bruteforce-Attacken, hier geht’s darum dass Methoden angewandt werden, so dass gar nicht erst geknackt werden muss.
    Was nutzt einem Verschlüsselung wenn Outlook Backdoors hat oder Blackberrys beim Einrichten vom Postfach Passwörter übertragen?
    Genau das meint der zitierte Satz!

  • wonko

    @van Eul: Im Einzelfall gilt ohnehin: http://xkcd.com/538/

  • RC

    Udo Vetter hat einfach Recht mit dem was er schreibt. In England gibt es bereits Gesetze die Leute bestrafen die ihre Passwörter nicht preisgeben. Will sich jetzt noch jemand hinstellen und so tun als könne das hier nicht passieren? Ernsthaft?

    http://www.heise.de/security/meldung/Vier-Monate-Knast-fuer-Passwortverweigerer-1102420.html

    Es kann ja sein das es wirksame Verschlüsselung gibt, Staaten können jedoch Leute die diese einsetzen auf noch ganze andere Art und Weise “fertig machen”.

    Es ist einfach so, dies ist ein politisches Problem das auch politisch gelöst werden muss. Der Einsatz von Verschlüsselung ist zwar sinnvoll, ist aber kein Ersatz für die Bekämpfung dieser Entwicklungen auf politischer Ebene.

  • user124

    @Oliver: ja methematik ist supertoll. hier hast du was mit dem du deinen realitätssinn ein wenig nachjustieren kannst:
    http://xkcd.com/538/

    oh, sehe grad wonko hats schon gepostet… naja, dann, /qft

  • Demokrator

    Diskutieren ist sinnlos mit bezahlten Agitatoren (“veri”).

  • Moon

    @veri:

    So einfach ist die Welt.

    Wenn man keine Ahnung hat, sicher.

    Alle, die das realistisch sehen wollen, sollten sich über Möglichkeiten, die Verschlüsselung zu umgehen, bzw. Daten davor/danach abzugreifen informieren, bspw. in diesem Podcast vom CCC: http://chaosradio.ccc.de/cr191.html

    Bzgl. der “Unmöglichkeit”, Passwörter (automatisiert) zu knacken:
    http://arstechnica.com/security/2013/03/how-i-became-a-password-cracker/

  • nur ich

    Vor keinem gesellschaftlichen Problem hat eine Regierung öffentlich so schnell kapituliert, wie es die Merkel-Administration nun bei Prism und Tempora tut.

    Woran das wohl liegen mag?

    Doch statt etwas zu tun oder wenigstens zu überlegen, was man tun könnte, zelebrieren die Verantwortlichen unverhohlen Unlust und gespielte Resignation.

    Ich glaube nicht, dass die Resignation gespielt ist und hier unverholene Unlust vorliegt.
    Vielmehr glaube ich…
    Die NSA wird wahrscheinlich genug “Daten” haben, um diese gegen unsere Politiker einsetzen zu können.
    Da bräuchte man möglicherweise nur einen “deutschen Snowden”, um ihnen die nächste Wahl zu versauen oder gar Massenrücktritte zu provozieren.

    Ich bin der festen Überzeugung, dass unsere Politiker genug “Dreck am stecken” haben um ausreichend erpressbar zu sein.

    LG
    nur ich

  • lress

    Ob ich meine E-Mails-verschlüssel oder nicht ist doch irrelevant. Die “Bösen” werden es auf alle Fälle tun. Die wichtigen Fragen sind doch:

    “Wer gehört morgen zu den Bösen?”
    “Wer bestimmt was böse ist?”
    “Wie können wir Einfluss darauf nehmen?”

  • bombjack

    Ähm….zum Thema-Verschlüsselung:

    [...]5.1. Adapting the legal approach
    Clearly articulating the risk to the preservation of evidence
    posed by encryption helps prosecutors secure search condi-
    tions that boost the chances of success. These favorable
    conditions include search warrants that permit surprise entry,
    so-called “No-knock” warrants, and warrants that can be
    executed in the middle of the night.
    [...]

    aus

    http://www.sciencedirect.com/science/article/pii/S1742287611000727

    Zudem dürften sich da auch andere Maßnahmen anbieten:
    Entweder wie oben schon beschrieben, dass die mit der Tür ins Haus fallen, Keylogger und Co. mittels Einbruch am Computer installiert werden (Quellen-Telekommunikationsüberwachung, Online-Durchsuchung) oder auch wie in GB die Androhung von 5 Jahren Haft (die schon mal auf 10 Jahre erhöht werden sollte, weil ansonsten würde der Kriminelle ja die 5 Jahre wählen, wenn er ansonsten für seine Pläne oder Dateien wie die “bösen Bilder” länger als 5 Jahre sitzen müsste) wenn Passwörter nicht herausgegeben werden.
    Auch die Kryptodebatte (Kanther lässt grüßen) vgl. http://www.burks.de/burksblog/2013/07/02/verschlusselung-verbieten dürfte wieder auf die Agenda kommen, wenn immer mehr Leute anfangen zu verschlüsseln….

    bombjack

  • Greg

    Wer glaubt denn bitte ernsthaft, dass sich die NSA oder der chinesische oder russische Geheimdienst von Deutschland das Schnüffeln verbieten – oder sich von Deutschland unter Druck setzen lassen? Das Rad lässt sich nicht mehr zurückdrehen – ich kann schon verstehen, dass unsere Politiker das nicht garantieren wollen und können.

    Viel spannender und wichtiger ist, in wie weit deutsche Geheimdienste involviert sind, also selber Daten abgreifen oder nach deutschen Gesetzen illegal gewonnene Daten verwenden. Das ist eine Debatte, die öffentlich geführt werden muss.

    Wer das Internet nutzt, wird damit leben müssen, dass er überwacht wird – die (noch) offene Frage ist, von wem.

  • Nachdenklicher

    Gegenüber schnüffelnden Staaten ist der Bürger weit wehrloser, denn diese haben letztlich das Gewaltmonopol und damit die Kraft, Hürden wie Verschlüsselung so einfach zu überwinden, als seien sie gar nicht da.

    Das stimmt nicht so ganz. Wie bereits hier in den Kommentaren erwähnt, ist eine Entschlüsselung ohne Kenntnis des Schlüssels eine Frage der Zeit: bei nicht-trivialer Schlüssellänge ist der Versuch einer Verschlüsselung zum Scheitern verursacht, denn eher wird unsere Sonne zur Supernova, bevor alle Möglichkeiten durchprobiert wurden. ;-)

    Nicht umsonst hat der Erfinder von PGP, Phil Zimmerman, seinerzeit Ärger mit den amerikanischen Behörden bekommen: die von ihm erfundene Verschlüsselung fiel unter das Waffenkontrollgesetz und der Export verboten, weil sie so gut wie nicht zu knacken ist!

  • flyer

    @veri: Obligatory xkcd: http://xkcd.com/538/

    Aus dem Artikel:

    Spätestens nach der Wahl wird der gleiche Mann fordern, dass man dafür ins Gefängnis geworfen werden kann, wenn man das Truecrypt-Passwort für den eigenen PC nicht herausgibt oder sich gegenüber Behörden weigert, eigene Mails zu entschlüsseln.

    Da muss man gar nicht die Mathematik bemühen.

  • llamaz

    @Nachdenklicher:
    Das haben inzwischen auch einige Staaten wie z.B. Großbrittanien bemerkt und daher beschlossen, daß Recht, daß man sich selbst nicht belasten muss dahingehend auszuhöhlen daß man verschlüsselte Passwörter herausgeben muss oder sonst im Knast landet. In Großbritannien für bis zu fünf Jahre.

  • TheDoctor

    @veri: Grundsätzlich ja.
    Erweitert nein.

    Ja: AES 256 ist absehbar nicht zu knacken
    Nein:
    Solande man kein direktes Ziel ist hat man im wesentlichen nur ein Passphrasen-Problem (alles AES der Welt hilft nicht, wenn ich z.B. als Passphrase TheDoctorPasswort wähle)
    Ist man ein direktes Ziel wird es richtig schattig:
    - Das begint damit das man z.B. in England legal ins Loch geworfen werden kann, wenn man seine Passphrase nicht herausgibt
    - vor direkten Angriffen auf den eigenen Rechner um diesen zu kompromittieren ist man tatsächlich fast schutzlos
    - wenn man ganz viel Pech hat kommt rubber hose decryption ins Spiel :-(

  • mm

    Herr Vetter, würden Sie als Bundeskanzler kandidieren, würde ich Ihre Partei wählen :)

  • Ernst Hagen

    Diese Regierung hat eigentlich keine Probleme damit, dass der gesamte Datenverkehr abgehört und kopiert wird. Und eigentlich wollen Merkel, Friedrich und Konsorten nicht, dass die Bürger ihre Daten z.B. durch Verschlüsselung besser schützen. Die Regierung hat angesichts der baldigen Wahlen nur nicht den Arsch in der Hose, dies auch so zu sagen. Es wird Zeit, dass man der Regierung die Maske heruntereißt.

  • John Doe

    So wie ich die Diskussion, wenn man das denn so bezeichnen mag, in meinem Umfeld erlebe, ist der Deutsche Michel einfach dumm. Ganz simpel. Er hat die Etablierung des Dritten Reichs hingenommen bis zum bitteren Ende. Er hat die Sozialisten der DDR ertragen, um sich nach ganzen 41 Jahren davon frei zu machen. Und nun schlittern wir offenen Auges und mit wohlfeilen Argumenten garniert in den nächsten Unrechtsstaat.

    Geschichte wiederholt sich nicht, aber die Muster sind deutlich erkennbar.

  • WPR_bei_WBS
  • Aluhut

    @veri

    Der Staat kontrolliert die Leitungen (faktisch). Damit kann er jedes Programm, das ich lade, mit einem Trojaner versehen. Und unabhängig von meinem Browser kann er eine nur ihm bekannte Sicherheitslücke ausnutzen, den eingehenden Verkehr modifizieren und so ein Programm auf meinem Rechner installieren.
    Und fortan nutze ich dem Staat gegenüber keine Verschlüsselung mehr.

  • stefan

    @Oliver:
    Keine Beweislastumkehr?

    Dann muss ich also doch nicht nachweisen, dass das gar nicht ich war, der das Lied runter geladen hat? Nur mal so als Beispiel…

    Und Folter… was ist Folter? Für viele ist schon “Beugehaft” mehr als grauenvoll… Nur mal so als Hinweis…

  • Harald

    Es ist doch kompletter Unsinn, das wir erst seit ein paar Wochen darüber wissen! Wie oft haben die Medien von der Totalüberwachung in den letzten 20 Jahren schon berichtet. Keinen hat es interessiert. Und nun auf einmal, trägt das ganze einen anderen Namen und jeder schreit. Alter Hut mit neuem Namen. Geändert hat sich jedoch wenig. Ändern wird sich auch nie etwas. Denn Informationen sind Geld und Macht. Für den Staat und für die Unternehmen. Jede noch so kleine Informationen kann wichtig sein. Früher wurden die Mülltonnen durchsucht, heute ist das Internet die Tonne, in der sich alles finden lässt.

  • Klaus

    @Harald: “Alter Hut mit neuem Namen. Geändert hat sich jedoch wenig. Ändern wird sich auch nie etwas.”

    Genau so sieht das aus. Es interessiert auch überhaupt niemanden. Der Wähler zieht offensichtlich auch keinerlei Konsequenzen: http://www.wahlrecht.de/umfragen/index.htm

    Die CDU/CSU liegen konstant weiter bei 41% Der “Skandal” ist keiner. Die Bürger im Lande finden es offensichtlich gut, dass sie ausspioniert werden. Die ganzen Medienberichte langweilen offensichtlich nur. Man hat andere Sorgen. Daher kann das Thema Überwachung eigentlich wegen mangelndem öffentlichen Interesse eingestampft werden.

  • entejens

    @Oliver: ja, richtig, der staat muß sich an seine gesetze halten, macht es aber nicht immer, der münchner kessel sollte dafür als recht bekanntes beispiel schon reichen.
    und wenn du meinen beitrag richtig gelesen hättest, dann hättest du nicht mehr zur wikipedia verwiesen. ich schrieb: … daß sich geheimdienste eben NICHT an gesetze halten, WEIL sie als staatsorgan das gewaltmonopol besitzen. ich weiß, daß ich damit über die allgemeine staatslehre hinausgehe, …

  • Benny

    Mal ne juristische Laienfrage: Ist das nicht Landesverrat was unsere Politiker begehen, wenn sie nicht entschieden gegen die Schnüffelprogramme vorgehen?

  • Fran Kee (Pirat)

    Ein alter, alter Link, der gerade unheimlich gut in die Zeit passt:

    http://www.zdnet.de/2095292/us-politiker-fordern-verbot-von-verschluesselungstechnik/

    Man weiss jetzt auch, warum.

    …bei meinem Seitenaufruf wurde übrigens Werbung vorgeschaltet, ich möchte meine Daten doch künftig Office365 und insbesondere der Microsoft Cloud anvertrauen. Anscheinend schreibt das Leben auch die besten Satiresendungen einfach selber.

  • SILen(e

    @Oliver:

    Warum Open Source in der Regel keine Lösung ist ist eigentlich ganz klar – weil sie für die Mehrheit nicht benutzbar ist.

    In der Regel werden OpenSource Projekte von Profis für ihren eigenen Bedarf initiiert, weil es irgend eine Software die sie gerne hätten nicht gibt oder sie zu teuer ist schreiben sie halt selber eine.

    Nur dass sich die Software damit automatisch an Profis richtet und Betriebsblindheit verhindert, dass sie auch an normale Nutzer angepasst wird.

    Nur die wenigsten Open Source Projekte leisten sich dann auch mal einen UX Specialist und auch ein paar Stunden in nem Usabilitylabor um das Interface benutzbar zu machen, wobei auch das nicht alle Probleme verhindern kann. Denn da an OpenSource jeder mitarbeiten kann und jeder gerne die Lösung für genau SEIN Problem in der Software haben möchte gibt es niemanden der NEIN zu etwas sagt, so dass so eine Software oftmals nach Design by Committee aussieht, gut sieht man das im Kommentar “Checkboxes that kill your product” von Alex Limi.

  • WesserBessi

    Hätte ich bis dato nicht gewusst, dass Vetter sich bei den Piraten engagiert, spätestens mit dem Blogpost wüßte ich nun, dass man Vetter wählen kann… peinlich.

  • Gästle

    Das der CDU vorgeworfene Desinteresse und Gleichgültigkeit sieht sich quer durch alle Parteien. Gerade von den Piraten hätte ich mir hier eine deutlichere Positionierung erwartet. ALLE anderen Parteien waren schon in Bund und Ländern an der Macht als unsere Grundrechte ausgehöhlt wurden. Daher kommt m.E. die relative Ruhe, jeder hat Dreck am Stecken! Deshalb glaube ich nicht dass sich im Falle eines Machtwechsels in der Sache etwas ändert.
    In sachen Industriespionage: Echelon ist ein alter Hut.

  • Judas

    Es spielt überhaupt keine Rolle, ob sich der Bürger evtl. durch Verschlüsselung vor Ausspähen privater Korrespondenz schützen könnte, ob 256bit/diffyHellmann oder Bluefish…
    Der Staat (und alle anderen) DARF ES NICHT!

  • Autolykos

    Guter Artikel! Es mangelt tatsächlich nicht an einer gewissen Ironie, wenn sich die selben Gauner die jahrelang mit größtmöglichem Eifer den Abbau unserer Grundrechte betrieben haben sich nun hinstellen und behaupten sie würden zwar gerne, doch ach, sie können nichts gegen schnüffelnde amerikanische Geheimdienste tun.
    Ich kann mich nicht erinnern, dass Uhl bei der ewig wieder aufgewärmten Kinderporno-Debatte jemals etwas ähnliches gesagt hätte wie in dem Zitat oben: “Oh, die Täter sitzen im Ausland. Dumm das, da können wir leider nichts machen.”
    Natürlich könnten wir was tun, wenn wir wollten. Wir können die Schnüffelei vielleicht nicht unmöglich machen, aber die Technologie ist im Moment auf der Seite der Verteidiger. Wir könnten die Schnüffelei mit vertretbarem Aufwand unsererseits so teuer machen, dass die Amis sie nicht mehr bezahlen können (oder sich beim Versuch ruinieren). Dazu würde es schon reichen, am Netzanschluss über alles noch mal drüber zu verschlüsseln. Es muss noch nicht einmal sehr stark sein um sie dazu zu zwingen alles “für spätere Analyse” zu speichern. Als Extra-Schmankerl kann man ungenutzte Kapazitäten auch mit “Rauschen” füllen. Viel Spaß dabei, das zu speichern und zu knacken…
    Um Metadaten zu verschleiern gibt es auch schon Ansätze, hauptsächlich aus der Filesharer-Szene (die hatten das Problem schon etwas länger auf dem Schirm). Mit fällt da spontan “Dining Cryptographers” bzw. Herbivore ein: http://en.wikipedia.org/wiki/Dining_cryptographers
    Und neben technischen Lösungen gibt es immer noch die üblichen sechs Optionen:
    https://en.wikiquote.org/wiki/Yes,_Minister#Episode_Two:_The_Official_Visit
    @Klaus: Demokratie heißt halt, dass alle bekommen was die Masse verdient.

  • Steffen Roßkamo

    Das Hauptproblem in diesem Zusammenhang sehe ich darin, das wenn der Kampf gegen diesen massiven Grundrechtsangriff schon nicht aufgenommen wird, welches Recht hätten wir als Staat dann in Zukunft bei anderen Eingriffen oder Einmischungen in unsere Angelegenheiten?

    Jede zukünftige Protestnote / Beschwerde wäre in Hinblick auf den Umgang mit der Prism-/Tempora-Problematik lächerlich. Deutschland verspielt sich hier jegliche Verhandlungsposition für die Zukunft.

  • Stuff

    Das eigentliche Problem ist, das RAM einfach immer – seit ~25 Jahren – für die gängigen CPU zu langsam sind, für Zugriff auf adäquate CPU-Geschwindigkeiten bräuchte es RAM mit <0,3 nS Zugriffszeit, An sich kann das jeder aus den Daten seines Computers nachrechnen, ich zitiere hier eine vertrauenswürdige Quelle die exakt darüber jammert und auf etwa die von jedem selbst errechenbaren Werte kommt:
    http://www.pdl.cmu.edu/SDI/2013/slides/big_graph_nsa_rd_2013_56002v1.pdf
    page 14

  • Legion

    @Stefan:

    Solange diese vielen Menschen nur auf die Straße gehen und nicht entsprechende Ausrüstung wie Fackeln, landwirtschaftliche Werkzeuge und Stricke mitführen, wird auch davon die Auswirkung nicht signifikanter als andere Massenveranstaltungen wie Fußballspiele oder Popkonzerte sein…

  • Wintermute

    @marcus05:

    Ist mir auch unverständlich.

  • bicycleday

    Witzigerweise gibt es einen Politiker, der in der ganzen Angelegenheit einen ehrlichen Satz von sich gegeben habe soll.

    Jürgen Trittin soll gesagt haben, man müsse Edward Snowden einen sicheren Aufenthalt in Deutschland ermöglichen – wegen der Informationen, die er hat und weil man an die anders nicht herankomme.

    Frei nach dem Sprichwort ‘mir ist der böse lieber, der weiß, dass er böse ist, denn der böse, der sich für einen guten hät, macht noch auf der schwelle zur hölle nicht kehrt, um dort sein werk zu tun’… ob mir das wohl für ein kreuzchen bei seiner partei reicht wird?

  • veri

    @Wintermute: Tja, wenn man keine Argumente mehr hat, dann kann man halt auch nicht argumentieren. Dann tut man ja lieber so als diskutiert man freiwillig nicht mehr, anstatt zuzugeben, dass andere vollständig und komplett Recht hat.

  • Realist

    Das Recht wird uns in dieser Sache ebensowenig helfen, wie Politiker, egal welchen Landes. Auch Verschlüsselung ist sinnlos. Der mE einzig gangbare Weg, Widerstand auszudrücken und Überwachung ad absurdum zu führen, ist das Erzeugen von Unmengen an verdächtigen und widersprüchlichen Daten, die jeden zum False Positive machen:

    - an jede Email per Addon verschlüsselte Dateien
    - 24/7 Dauerpingen von islamistischen Foren
    - Fakeprofile in sämtlichen Social Networks
    - Likes auf Salafistenseiten
    - Steganografie (Bilder, die Botschaften enthalten, etc. etc. etc.)

    Wir sind doch EH alle verdächtig, ansonsten würden wir nicht überwacht. Sollen Sie in Daten ersticken!

  • linsensuppe

    Soso 7 terroristische Anschläge wurden verhindert. Soso.

    Ich halte es für sehr sehr unwahrscheinlich, dass nicht einer der angeblich geplanten Anschläge gelungen ist. Zumal ich gar keine Ahnung habe, was überhaupt dazu gezählt wird.

    Was sind das nur für blöde Krimminelle. Die kriegen ja gar nichts auf die Reihe. Alles Dilletanten und Pappnasen.

    Oder kann sich irgendjemand an auch nur einen gelungenen Terroranschlag in Deutschland erinnern?

    Ich nicht.

    Mir fällt zu diesen Regierungs-Statements nur ein: Wes Brot ich ess, des Lied ich sing.

  • Quacksilber

    Was Politiker sagen, ist nur Geschätz. Trotzdem hat Friedrich tatsächlich damit recht, dass jeder selbst für Vertraulichkeit durch Verschüsselung sorgen sollte. Die Komplexität des Problems liegt aber nicht in den sicheren Verfahren (RSA-2048, AES-256), sondern in anderen Imponderabilien (Trojaner, Backdoors). Da ist sicher noch einiges zu beschicken, und man kann nur hoffen, dass Hacker genug Cryptoparties veranstalten.

    Politiker haben keine Absichtserklärungen abzugeben, sondern der Staat hat Recht durchzusetzen. Mir ist nicht klar, wieso keine Staatsanwaltschaft Anklage gegen Facebook oder den BND erhebt. Verbrechen verhindern kann niemand, aber ahnden.

  • Halloooooooooooooooo

    @veri:

    Es ist natürlich kompletter Unsinn, dass der Staat “die Kraft, Hürden wie Verschlüsselung so einfach zu überwinden, als seien sie gar nicht da”. Meiner Meinung kann man da schon mehr erwarten von einem, der für die Piraten in den Bundestag einziehen will.

    Herr Vetter hat doch Recht.
    Erinnern Sie sich an dem Fall, wo ein Mandant von Herrn Vetter ein Strafbefehl bzgl. §184b erhalten hat?

    Die IP-Adresse des Mandaten wurde im Rahmen der sogenannten Anlasslosen-Internetüberwachung entdeckt und es wurden bei dem Mandanten keine entsprechenden Dateien gefunden. Die SD-Karte vom Mandanten war jedoch verschlüsselt und somit wurde dort natürlich auch nichts gefunden.

    Fazit: Den Strafbefehl gab es, obwohl es außer einer IP-Adresse, keinen weiteren Beweis gab.
    Falls Sie nun sagen, dass der Strafbefehl ja nur ein Angebot sei und der Mandant doch ruhig einen Prozess in Erwägung ziehen könnte, so muss man die Kosten berücksichtigen und die Tatsache, dass er auch dort verurteilt werden könnte.
    Nach einem Urteil des OLG Hamburg(ist schon ein paar Jahre her) liegt z.B. bei §184b Besitz schon vor, wenn sich die Datei nur im RAM befindet(dürfte wohl nur in den seltensten Fällen anzutreffen sein, da der Großteil wahrscheinlich die Standard-Einstellungen beim Browser nicht ändern und somit natürlich der Cache auf der Platte aktiviert ist).

  • GxS

    @Wintermute:

    Das typische dabei ist, dass er, wenn man ihn was fragt, dann meistens die Antwort schuldig bleibt; er weiss also, dass er unrecht hat…

    @veri:

    Sie schulden mir noch ein paar Antworten, wenn sie hier nun zugeben, dass Sie keine Argumente mehr haben, warum versuchen Sie dann zu diskutieren?

  • GxS

    @Wintermute:

    Andererseits schadet es ja auch nichts, auch (triviale) argumente zu widerlegen

  • Wintermute

    @veri:

    Ich sehe zwar, daß du mit allen dir zur Verfügung stehenden intellektuellen Resourcen versuchst, hier diskussionsmäßig ein Bein auf den Boden zu bekommen, aber ich fürchte, der Unfug, den du von dir gibst, ist bestenfalls Durchschnitt. Wir hatten hier schon bessere Trolle; du bist lediglich ein lernresistenter Amateur und daher von minderem Unterhaltungswert.

  • Wintermute

    @GxS:

    Sicher, ich persönlich finde es nur etwas ermüdend, einen ohnenhin schon mit durchschnittlicher Intelligenz Ausgestatteten, der sich aus taktischen Gründen noch dümmer stellt, als vollwertigen Gesprächspartner ernstzunehmen.

    YMMV :)

  • Moloko

    Es wird Zeit das Prinzip “Fruits of the forbidden tree” in die deutsche Rechtssprechung aufzunehmen.

    Keine Daten, die aufgrund einer Hausdruchsuchung “gewonnen werden” können mehr als Bewise gelten, nachdem diese Handlungen bekannt sind.

    Denn: wer lesen kann, kann auch schreiben.

    Alternativ:mKomplettversiegelung der Rechner bei Beschlagnahme (Bruchsiegel) an Schrauben, Schnittstellen, Gehäuse etc.pp. und Durchsuchung in Begleitung des Angeklagten, bzw. seiner Vertreter.

    Denn: wer nichts zu verbergen hat, hat doch nichts zu befürchten?

  • GxS

    @Wintermute:

    Ich versuche Menschen solange ernst zu nehmen, solange sie lernfähig sind, d.h. solange sie ein nicht ein einmal widerlegtes Argument (im Thread) dauernd wiederholen; insofern fällt veri durch das Raster…

    P.S. und off topic: Politiker fallen eh durch das Raster, ich hab als rühmliche Ausnahme nur ausgerechnet Günther Beckstein gefunden, er hat mal irgendein dümmliches Argument gebracht, was ihm vom Gesprächspartner zerpflückt wurde. Danach hab ich das Argument nie mehr von ihm gehört (obwohl es von anderen Politikern fleißig gebraucht wurde…). Becksteins Argumentation war natürlich trotzdem größtenteils falsch, aber trotzdem…

  • Ralf Bendrath

    Das Europäische Parlament macht eine Untersuchung, nach Beschluss des Plenums vom 4.7.2013. Zwar nicht als eigener Untersuchungsausschuss, sondern im Innenausschuss, aber das ist de facto dasselbe.

  • volker

    Es ist natürlich kompletter Unsinn, dass der Staat “die Kraft, Hürden wie Verschlüsselung so einfach zu überwinden, als seien sie gar nicht da”.

    Nein. Unsinn ist nur diese deine Aussage….

    Auch ein Staat und selbst die USA können nur sehr begrenzt entschlüssen, so dass eine Verschlüsselung bei dem normalen Bürger sehr wohl ein effektiver Schutz bedeutet, insbesondere wenn man einen langen Schlüssel nimmt.
    Wenn man AES-256 nimmt, ist man de facto sicher. Dies nehmen ja selbst die USA als Verschlüsselung für strenge geheime Dokumente, gerade weil die USA selber davon ausgehen, dass man dies fast nie entschlüsseln kann, da der Aufwand zu groß ist.

    “Der Staat” muss gar nicht entschlüsseln. Wenn er an die Mailinhalte will, braucht er (z.B. im Fall PGP/GnuPG) “nur” deinen privaten Schlüssel. Und um den zu bekommen reicht es, die einen Trojaner mit Keylogger unterzuschieben.
    Oder, im Extremfall einen Hardware-Keylogger.

    Dazu kommt: PGP ist für die Verschlüsselung privater Kommunikation nicht brauchbar, denn wenn damit verschlüsselt wurde, ist der Absender (und auch der Empfänger) beweisbar.

    Volker

  • volker

    Warum Open Source in der Regel keine Lösung ist ist eigentlich ganz klar – weil sie für die Mehrheit nicht benutzbar ist.

    Hmmm… dann sind Inkscape, Gimp, Firefox, Thunderbird, Libre Office, Open Office.org, um nur einige zu nennen, “für die Mehrheit unbenutzbar?!”

    ich (und viele andere in meinem Umfeld, die keine IT-Nerds sind) muss was falsch machen, denn wir können diese Programme nutzen.

    Volker

  • Oliver

    @ThorstenV:
    Man kann Benutzer nicht automatisiert infiltrieren, zumindest nicht, wenn man dabei nicht auffallen darf.

    @SILen(e:
    Ja, nee, ist klar … Firefox, Chromium, Thunderbird, Libre Office, Gimp, Truecrypt, PGP, OpenSSL, OpenVPN, Linux? alles unbenutzbar? Echt?

  • dot tilde dot

    niemand hat die absicht, einen überwachungsstaat zu errichten.

    .~.

  • gege

    @Oliver:
    Immer vorausgesetzt niemand hat eine Backdoor in truecrypt eingebaut.

  • Stefan

    Guter Artikel. Beim Thema Verschlüsslung fehlt mir aber, dass Verschlüsselung relativ unnütz ist. Metadaten sind nicht zu verschlüsseln. Telefonate auch nicht. Standortdaten von Handys auch nicht.
    Die Inhalte einer E-Mail sind doch wirklich vergleichsweise unwichtig, wenn mir das komplette soziale Netzwerk (das reale, nicht facebook) aller Menschen vorliegt.

  • Ole

    “Die NSA arbeitet auch auf deutschem Boden. Müssen wir das akzeptieren, wenn eben diese Bürokratie den amerikanischen Sicherheitswahn über die Grundrechte aller Deutschen stellt?”

    Ja, klar:

    http://www.derwesten.de/politik/wie-souveraen-ist-deutschland-aimp-id8166489.html

    Man redet nicht so gern über heikle Souveränitätsfragen.

    Als 1968 das erste deutsche Überwachungsgesetz, das so genannte G-10-Gesetz verabschiedet wurde, gab es zwei Noten. Eine offizielle und eine geheime. Die geheime Note ließ der damalige Außenminister Willy Brandt von einem Beamten unterzeichnen. Darin wurde der militärische Oberbefehlshaber ermächtigt, im Fall einer Bedrohung seiner Streitkräfte angemessene Maßnahmen zum Schutz und für die Sicherheit zu ergreifen. Schutz und Sicherheit – das war die Formel für geheimdienstliche Tätigkeiten.

    Wurden die Sonderrechte unter den Teppich gekehrt, als Deutschland nach der Wiedervereinigung 1990 mit dem Zwei-Plus-Vier-Vertrag seine Souveränität erlangte?

    Die Besatzungsrechte wurden für beendet erklärt. Aber daneben gab es Sonderrechte zur Truppenstationierung. Sie wurden nicht gekündigt. Deshalb bestanden die Restriktionen fort.

  • ChristianKl

    In gewieser Weise ist die Empfehlung an die Bevölkerung selbst zu verschlüsseln ja sinnvoll.

    Wenn das die offizielle Regierungsposition ist, sollte die Bundesregierung jedoch auch etwas tun damit das verschlüsseln einfacher wird.

    Momentan finden Gerichte teilweise Störer Haftung bei der Bereitstellung bei Software wie RetroShare, wenn ein Benutzer anderen Benutzern erlaubt seiner Rechner als anonyme Proxy zu verwenden.

    Wenn wir uns gegen Metadaten Sammlung schützen wollen brauchen wir ein sicheres Recht darauf, anderen Menschen anonyme Proxies bereitzustellen.

    Kann jemand eine gute Petition schreiben, die ein solches Gesetzlich verankertes Recht fordert?

  • Hrothgaar

    @Rita Lihn:
    Man sollte vielleicht nicht die gängige Software nehmen.
    Wer Outlook nimmt ist selber schuld. Zu Skype gibt es auch alternativen (sind aber schwierig). Ganz genauso bei Google und Co. Android, Chrome, Amazon-Cloud etc. wer diese Dienste in Anspruch nimmt dem kann auch nicht mehr geholfen werden.

    Wen ich mit VPN, TrueCrypt, OpenPGP etc arbeite hat auch der Geheimdienst seine Probleme. Hier findet keine Quellenüberwachung statt.

    Beim VPN-Dienst sollte man schon genau suchen. Ich würde da auch nicht jeden x-beliebigen nehmen.

  • Hubert

    @Hrothgaar XKeystore…
    …kann: “zeige mir alle Rechner in X-Land, die mit … verschlüsseln”.

    Dort wird dann ein Zusatzprogrämmchen aktiv, das die Passphrase mitliest und praktischerweise an die verschlüsselte Datei anhängt.

    Denn knacken können die TrueCrypt & Co nicht, müssen sie auch nicht.

  • SnowdensGeist

    @veri: Noch einmal zum Nachbeten: Mit hardwareseitig verbauten Chips (Snowden hat früher für Dell gearbeitet!) und Betriebssystem-unterstützten Trojanern umgeht die NSA die sogenannte “Endpoint Protection”, was bedeutet, dass Verschlüsselung NICHTS hilft. Ebensowenig die Nutzung des TOR Netzwerks, da es mit statistischen Methoden demaskiert werden kann, wie kürzlich wissenschaftlich nachgewiesen. Von Herrn Vetter als Piratenkandidaten jetzt zu verlangen, auf Tupper.. sorry, Verschlüsselungsparties auftreten zu müssen und private Verschlüsselung zu predigen, ist demnach Unsinn.