Massenüberwachung und Sicherheit im Internet

Vor nicht ganz fünf Jahren hatte Edward Snowden mit der Enthüllung von als geheim klassifizierten Unterlagen auf eine seit spätestens 2007 stattfindende, verdeckte, verdachtsunabhängige und in globalem Massstab durchgeführte Massenüberwachung der Netz- und Telekommunikation auf Vorrat durch die “Five Eyes” (Australien, Kanada, Neuseeland, Grossbritannien und die USA) aufmerksam gemacht. Darunter gehören Überwachungsprogramme wie beispielsweise PRISM (mit der mehr oder weniger freiwilligen Beteiligung von Microsoft, Yahoo!, Google, Facebook, Paltalk, YouTube, AOL, Skype und Apple), XKeyscore (ein System, welches anhand von Metadaten und Inhalte eine nahezu unlimitierte Überwachung von jeder Person weltweit ermöglicht) und Tempora (Abschöpfen und Zwischenspeichern nahezu des gesamten Datenverkehrs im Internet direkt ab den Netzknotenpunkten und den transatlantische Datenverbindungen). War die Empörung der Öffentlichkeit nach Snowdens Veröffentlichungen auch gross, so hat sich diese zwischenzeitlich weitgehend gelegt, und die Nachrichtendienste haben mittlerweile wieder annähernd freie Hand Daten in grossem Stil abzuschöpfen, auszuwerten und abzuspeichern. Es ist sogar davon auszugehen, dass die Methoden der “Five Eyes” und ihren grösseren Partnern heute sogar noch ausgefeilter sind. Die anfänglich vereinzelt vorhandenen Proteste haben wenig, wenn gar nichts bewirkt: In den USA bestehen die rechtlichen Grundlagen für PRISM und co unverändert weiter. Auch US-Präsident Donald Trump scheint nicht die Absicht zu haben, das Gebaren der US-Geheimdienste einzuschränken.

Doch hilft die globale Massenüberwachung nicht Terrorismus zu verhindern? Bis heute gibt es keine Fakten welche diese These untermauern. So waren die meisten der Attentäter, welche in den letzten 15 Jahren Anschläge durchgeführt hatten, den Behörden bereits bekannt. Oftmals stehen ganz andere Personen und Interessen im Fokus der Nachrichtendienste. So erlauben es die rechtlichen Grundlagen in den USA das Abhören von ausländischen Bürokraten sowie das Sammeln von wirtschafts- und entscheidungsrelevanten Informationen, beispielsweise zur Vorhersage des zukünftigen Ölpreises oder zum Erlangen einer vorteilhaften Lage bei internationalen Verhandlungen — und die NSA sind nicht die einzigen, welche eher politische und wirtschaftliche Ziele verfolgen (Emmanuel-Pierre Guittet, “Is Mass Surveillance Effective in the Fight against Terrorism?“, Mapping Security, 11.12.2015).

Zugriff auf eine Website ohne Anonymisierung und ohne Verschlüsselung: Identifizierung und das Abfangen von Daten ist möglich (zum Vergrössern klicken). Potentiell liest jeder mit.

Zugriff auf eine Website ohne Anonymisierung und ohne Verschlüsselung: Identifizierung und das Abfangen von Daten ist möglich (zum Vergrössern klicken). Potentiell liest jeder mit.

Unproblematisch ist auch nicht, dass sich verschiedene Nachrichtendienste und Strafverfolgungsbehörden ungehindert aus dem gleichen Datenpool bedienen (Sam Adler-Bell, “10 Reasons You Should Still Worry About NSA Surveillance“, The Century Foundation, 16.03.2017). Damit werden Voraussetzungen zum Aushebeln der Unschuldsvermutung geschaffen. Es handelt sich dabei um nichts Geringeres als um ein Menschenrecht (Art. 11 der Allgemeinen Erklärung der Menschenrechte) und um ein Grundprinzip, welches ein rechtsstaatliches Verfahren von einer Hexenjagd unterscheidet. Es ist beispielsweise für eine Person viel schwieriger zu beweisen, weshalb die Recherche zum Thema “Terrorismus” nur zur Abdeckung des eigenen Wissensdranges und nicht zur Vorbereitung eines Anschlags gedacht war, als wenn staatliche Behörden nicht nur wage Indizien, sondern ein konkretes Vergehen nachweisen müssen (der eine oder andere Student kann ein Lied davon singen — siehe beispielsweise hier, hier und hier). Gleichzeitig wird auch noch ein weiteres grundlegendes Menschenrecht missachtet: das Recht auf den Schutz der Privatsphäre (Art. 12).

Die massenhafte verdachtsunabhängige Anhäufung von Daten stellt nicht nur jeden Einzelnen unter einen unverhältnismässigen Generalverdacht, sondern repräsentiert eine Respektlosigkeit vor grundlegenden Menschenrechten. Snowdens Enthüllungen haben an der Datensammelwut grosser Nachrichtendienste nichts verändert. So scheint auch das NSA Data Center in Utah nach einigen Anfangsschwierigkeiten 2014 in Betrieb genommen worden zu sein. Hier werden die durch PRISM und durch die anderen Überwachungsprogramme gesammelten Daten ausgewertet und abgespeichert. Gemäss William Binney, ehemaliger führender technischer Leiter bei der NSA, fasst dieses Datenzentrum alleine mindestens 5 Zettabyte (5’000’000’000’000’000’000’000 Byte) Daten, was für die nächsten 100 Jahre ausreichen sollte.

We kill people based on metadata. — General Michael Hayden, ehemaliger Direktor der NSA und der CIA in “The Price of Privacy: Re-Evaluating the NSA“, The Johns Hopkins Foreign Affairs Symposium, 2014, ab 18′.

Doch die “Five Eyes” sind nicht die einzigen, welche massenhaft Netz- und Telekommunikationsdaten abschöpfen. Der Deutsche Bundesnachrichtendienst (BND) sammelt pro Tag rund 220 Millionen Datensätze an Metadaten und speichert diese bis zu 10 Jahre (Stand: 2014; siehe auch: Kai Biermann, “BND speichert jeden Tag 220 Millionen Metadaten“, Die Zeit, 06.02.2015). Davon übergibt der BND monatlich 1,3 Millionen Datensätze der NSA. Die Schweiz führt nicht nur aber insbesondere Satelliten- und Telekommunikationsüberwachung von Internet-Verbindungen durch. Unter dem Namen ONYX hat der Nachrichtendienst des Bundes (NDB) quasi eine kleinere Variante des globalen Abhörsystems ECHELON am Laufen. Nachrichtendienst ist ein Tauschgeschäft und so arbeitet auch der NDB mit anderen ausländischen Nachrichtendiensten zusammen. Ohne Gegenleistung würde die Schweiz keine Schlüsselinformationen von den Amerikanern erhalten, wie dies beispielsweise im September 2014 der Fall war (vgl.: Thomas Knellwolf, “Terrormiliz IS plante Anschlag in der Schweiz“, Tagesanzeiger, 23.09.2014). Ausgerechnet am Tag, als Bundesrat Ueli Maurer behauptete, dass es zwischen dem NDB und der NSA “keine Kontakte” gab, wurden in Edward Snowdens geleakten NSA-Dokumenten die Schweiz explizit als Kooperationspartner genannt (siehe Bild unten).

Trotz aller Kritik: In einem Rechtsstaat gibt es politische Kontrollinstanzen, welche je nach Staat eher schwach (USA) oder stärker (Schweiz) ausgeprägt sind. Deutlich ungemütlicher sieht die Situation in wenig rechtsstaatlichen oder gar autoritären Regimen aus, unabhängig davon, ob eine Person dort lebt, geschäftlich dort tätig ist oder seine Ferien dort verbringt. Insbesondere auch in solchen Regionen muss davon ausgegangen werden, dass ohne Schutz sämtlicher Netz- und Telekommunikationsverkehr mitgeschnitten, ausgewertet und abgespeichert wird. Dabei könnten die Grenzen zwischen staatlichen Nachrichtendiensten und kriminellen bzw. gewaltbereiten Gruppen fliessend sein. Ausserdem kann eine kritische Berichterstattung in solchen Staaten schnell mal zu langjährigen Haftstrafen führen (oder noch schlimmer). Entwickeln dort Ansässige womöglich noch eine gewisse Sensibilität sich zu schützen (oder sich zu zensurieren), machen Geschäftsleute und Touristen es solchen oftmals dubiosen Organisationen einfach. Offene drahtlose Netzwerke in Internetkaffees und Hotels laden zum Arbeiten und Surfen ein. Werden dabei auch wirklich alle Daten jederzeit verschlüsselt übertragen? Wer weiss schon, wer alles an diesen drahtlosen Netzwerken mithört bzw. wer sie betreibt (nur weil “Starbucks” draufsteht, heisst das noch lange nicht, dass es von Starbucks betrieben wird — siehe Video unten).

Ach, Sie haben nichts zu verbergen? Dann legen Sie doch all ihre Passwörter, Emails, Kreditkartendaten, Bankauszüge, Lohnausweise, Steuererklärungen, politische Orientierung, den gesundheitlichen Zustand, die sexuellen Vorlieben usw. offen (siehe auch hier, hier, hier oder hier).

Es geht jedoch nicht nur um die Rechte und die Sicherheit eines jeden Einzelnen. Überwachung beeinflusst das Verhalten einer Gesellschaft nachhaltig. Dieser gesellschaftliche Effekt will sich die chinesische Regierung (und Alibaba Group) zu Nutzen machen: Bis 2020 soll ein momentan bereits teilweise implementiertes “Social Credit” System verbindlich werden. Die Punktverteilung wird unter anderem durch das Verhalten im Internet beeinflusst — natürlich immer aus Sicht der Regierung. Damit aber nicht genug: Bei der Auswertung und der dementsprechenden Bewertung werden auch offline erfasste Daten berücksichtigt. So kann beispielsweise der Erwerb von inländischen Gütern die Bewertung eher positiv, der Import aus gewissen Staaten eher negativ beeinflussen. Das “Social Rating” wird aber nicht nur durch eigene Handlungen beeinflusst, sondern auch mit wem eine Person befreundet ist. Je nach Bewertung steigt beispielsweise die Kreditwürdigkeit, der Zugang zu Arbeitsstellen und die Priorität mit der bürokratische Prozesse abgewickelt werden — umgekehrt werden Personen mit einer schlechten Bewertung in diesen Bereichen nachteilig behandelt (Stanley Lubman, “China’s ‘Social Credit’ System: Turning Big Data Into Mass Surveillance“, Wall Street Journal, 21.12.2016). Ein solches System implementiert eine soziale Kontrolle, welche Personen, die von der Norm abweichen, unter erheblichen Druck setzt. Indirekt wird damit ein gesellschaftliches Umerziehungsprogramm gestartet, welches staatlich konformes Verhalten erzwingt, ohne dass die Regierung dabei nur einen Finger rühren muss.

China ist zwar das herausstechende Beispiel eines solchen “Social Credit” Systems, doch ähnliche Ansätze sind international erkennbar. Unternehmen, welche die Kreditwürdigkeit von einer Person beurteilen, gibt es bereits seit langem. Wer kein Uber-Taxi mehr bekommt, hat sich womöglich mal in einem solchen übergeben (jedenfalls weiss Uber, ob ihre Kunden einen One-Night-Stand hatten). Wer die Augen aufmacht, wird bereits heute bei vielen Dienstleistungen und Apps solche Bewertungssysteme entdecken. Langfristig problematisch wird dies, wenn zunehmend unabhängige soziale Aspekte berücksichtigt und ausgewertet werden. Ein Beispiel dafür ist die dänische Firma Deemly. In diesem Zusammenhang scheint die Episode “Nosedive” aus der technologie- und gesellschaftskritischen Serie “Black Mirror” prophezeienden Charakter zu besitzen.

Solche langfristigen Tendenzen und deren gesellschaftlichen Auswirkungen können nur durch einen gesetzlich verankerten Schutz der Privatsphäre und der Personaldaten (inklusive der anfallenden Metadaten) angegangen werden. Dabei fällt dem Staat eine Vorreiterrolle und eine Vorbildfunktion zu. Da wir jedoch noch nicht so weit sind, und die momentane Entwicklung keinen Grund für überschwänglichen Optimismus liefert, lohnt es sich, einen gewissen minimalen Eigenschutz aufzubauen.

Doch sind solche Schutzmassnahmen technisch nicht komplex und aufwendig? Dieses Argument ist nicht ganz von der Hand zu weisen — ganz von alleine verbessert sich der Schutz der Privatsphäre und die Sicherheit der Daten nicht. Der Austausch von verschlüsselten Emails zwischen Edward Snowden und dem Journalisten Glenn Greenwald scheiterte anfänglich an der Komplexität des Verschlüsselungsprogramms PGP — trotz oder erst recht nach Snowdens 12 Minuten langem Erklär-Video (Andy Greenberg, “The ultra-simple App that lets anyone encrypt anything“, Wired, 07.03.2014). Mit einigen Beispielen und weiterführenden Verweisen möchten wir jedoch aufzeigen, dass das Erreichen eines gewissen Grundschutzes keine Hexerei darstellt. Der Umfang der Schutzmassnahmen und deren Komplexität ist natürlich auch von der jeweiligen persönlichen Risikoeinschätzung abhängig. Wenn beispielsweise jemand in einem autoritären Staat einen Artikel für offiziere.ch schreibt, in dem er die Politik der Regierung kritisiert oder in welchem öffentlich zugängliche nachrichtendienstliche Informationen wiedergegeben werden, so sollte der Autor zumindest auf eine verschlüsselte Verbindung achten. Das ist auch der Grund, dass nach einer längeren Testphase offiziere.ch in jedem Fall eine verschlüsselte Verbindung erzwingt (erkennbar am “https://” in der Adressleiste des Browsers oder am geschlossenen Schloss) — Aufwand für den Benutzer: Null. Das ist aber nicht alles: Wenn möglich werden alle Links, die auf offiziere.ch enthalten sind, in der verschlüsselten Version ausgeliefert. Das heisst, dass ein Verweis auf Wikipedia — unabhängig, wie er ursprünglich in einem Artikel verlinkt wurde — in der verschlüsselten Variante aufgerufen wird (das ist natürlich nur dort möglich, wo eine solche Variante auch tatsächlich angeboten wird).

Zugriff auf eine Website ohne Anonymisierung aber mit Verschlüsselung: Die Inhalte sind geschützt, Meta-Daten fallen aber an und sind für alle sichtbar (zum Vergrössern klicken).

Zugriff auf eine Website ohne Anonymisierung aber mit Verschlüsselung: Die Inhalte sind geschützt, Meta-Daten fallen aber an und sind für alle sichtbar (zum Vergrössern klicken).

Mit der oben beschriebenen Massnahme, bei welchen der Benutzer selber nichts unternehmen muss, werden die Inhaltsdaten verschlüsselt, was die Abhörsicherheit erhöht. Die Abdeckung kann mit wenig Mehrarbeit deutlich erhöht werden: Für so gut wie jeden Webbrowser gibt es das Add-on https-everywhere, welches dafür sorgt, dass der Benutzer, wenn vorhanden, immer zu der verschlüsselten Variante einer Webseite gelangt. Dies verhindert jedoch das Anfallen von Metadaten nicht. Es ist immer noch ersichtlich wer mit wem wie lange kommuniziert (und noch einiges mehr). Anonymität ist also viel schwieriger zu erreichen und Verschlüsselung ist nur der erste Schritt dazu.

Der Aufwand der Anonymisierung ist auch davon abhängig, von wem die Identität versteckt werden soll. Es nützt beispielsweise wenig, wenn Meta-Daten verschleiert werden, der Autor jedoch bei Facebook auf den eben grad publizierten systemkritischen Artikel hinweist. Nur schon das Einloggen bei Facebook kann die Anonymität gefährden. Solange diese Authentifizierung im Wissen des Benutzers geschieht, ist dagegen nichts einzuwenden, doch es gibt auch Anwendungen, bei denen dies automatisch geschehen kann (ein Google-Account für alles Mögliche) oder wo es für den Benutzer verborgen bleibt. Eine dieser verborgenen Methoden ist das “Fingerprinting” bei dem der Browser von sich aus Metadaten überträgt, wie beispielsweise der Standort des Benutzers, wenn dies nicht durch geeignete Massnahmen unterbunden wird. Wenn jemand sich also bei der Webseite A anmeldet und dann versucht anonym auf Inhalte der Webseite B zuzugreifen, dann kann eine Organisation, welche auf die Datenströme zu beiden Webseiten Zugriff hat, anhand des “Fingerprints” des Browsers feststellen, dass bei beiden Webseiten der gleiche Benutzer zugegriffen hat. Ein solches Fingerprinting zu verhindern ist für den Benutzer mit einem sehr hohen Aufwand verbunden (das Verhindern von Cookies reicht dazu nicht aus), ausser er benutzt ausschliesslich den Tor Browser oder Tails.

Der Tor Browser verschlüsselt und anonymisiert den gesamten Web-Datenstrom und überwindet Internet-Zensur mit nahezu keinem Aufwand für den Benutzer. Tails stellt ein eigenes Betriebssystem dar, welches die Privatsphäre und die Anonymität des Benutzers schützt, doch hier ist der Aufwand für den Benutzer schon etwas höher, denn er schränkt sich auf ein bestimmtes Betriebssystem mit einer bestimmten Auswahl von Anwendungsprogrammen ein. Ein interessantes, am Anfang befindliches und hinsichtlich Anonymisierung womöglich (noch) nicht vollständig ausreichendes Projekt stellt TorBox dar. TorBox erstellt ein eigenes drahtloses Netzwerk mit dem sich Desktop, Laptop, Tablets und Smartphone verbinden können und deren Daten verschlüsselt über das Tor-Netzwerk geleitet wird. Die Verantwortung, dass die Anonymität nicht durch Methoden wie beispielsweise “Fingerprinting” gebrochen wird, liegt jedoch beim Benutzer (die Webseite hat dazu jedoch einige gute Tips).

Anonymisierter (mit Tor) Zugriff auf eine Website und mit Verschlüsselung: Die Inhalte sind geschützt und Meta-Daten verschleiert (zum Vergrössern klicken).

Anonymisierter (mit Tor) Zugriff auf eine Website und mit Verschlüsselung: Die Inhalte sind geschützt und Meta-Daten verschleiert (zum Vergrössern klicken).

Die oben genannten Massnahmen stellen natürlich nur den Anfang eines umfassenden Sicherheitskonzeptes dar. Weiterführende Massnahmen schliessen beispielsweise das Verschlüsseln der Datenträger, das Sicherstellen von starken Passwörtern (welche jedoch aufgrund der Verfügbarkeit von guten Passwortmanagern nicht auswendig gelernt werden müssen), das Verwenden einer sicheren Email-Umgebung, das Übertragen von verschlüsselten Daten und vieles mehr ein. All diese Massnahmen würden den Umfang dieses Artikels sprengen, doch zum Glück gibt es dazu umfangreiche, weiterführende Informationen. Vom Tactical Technology Collective gibt es unter dem Projektnamen “Security in-a-Box” eine umfassende Auswahl von How-Tos. Wurde der Account bereits gehackt, das Smartphone bereits geklaut, Malware eingefangen oder ist man einer Denial of Service Attacke ausgesetzt, bietet Digital Defenders mit ihrem “Digital First Aid Kit” erste Hilfe. Für Journalisten sei insbesondere der “Journalist Security Guide” vom Committee to Protect Journalists empfohlen.

Bemerkungen oder weitere Tips? Beteiligen Sie sich mit einem Eintrag im unten aufgeführten Kommentarbereich!

This entry was posted in General Knowledge.

9 Responses to Massenüberwachung und Sicherheit im Internet

  1. Heinz Dieter Jopp says:

    Vielen Dank für diesen Beitrag. Er ist nicht nur excellent recherchiert sondern zeigt Möglichkeiten zur Verbesserung persönlicher Sicherheit vor den Datenkraken von Regierungen. Und nicht auf Andere zeigen, um eigenes (Nicht)handeln zu entschuldigen.

  2. Roos Gregor says:

    Herzlichen Dank für diese interessante Information-. Als ehemaliger VA bin ich für diese Thematik sensibilisiert.
    Mit kameradschaftlichen Grüssen.
    Oberst a D Gregor Anton Roos
    Steelimattweg 9
    CH_3369 Herzogenbuchsee

  3. Martin says:

    «In einem Rechtsstaat gibt es politische Kontrollinstanzen, welche je nach Staat eher schwach (USA) oder stärker (Schweiz) ausgeprägt sind.»

    Was nützt eine solche «Ausprägung», wenn trotzdem keine wirksame Aufsicht erfolgt? Gerade die Geheimdienste in der Schweiz zeigen, dass auch die Schweiz – zu Ende gedacht – kein Rechtsstaat ist.

    • Achtung! “Rechtsstaat” heisst nicht, dass alles perfekt ist, oder dass alles nach den eigenen persönlichen Vorstellung läuft. In einem Rechtsstaat muss staatliches Handeln im öffentlichen Interesse liegen und dabei das Prinzip der Verhältnismässigkeit einhalten. Dabei schützen rechtliche Rahmenbedingungen die Freiheit des Einzelnen. Wichtige Faktoren dabei sind Gewaltenteilung und somit die Überprüfbarkeit bzw. Einklagbarkeit des staatlichen Handelns durch bzw. an unabhängigen Gerichten sowie das Einhalten der Grundrechte (siehe Bundesverfassung der Schweizerischen Eidgenossenschaft, Art. 5 sowie Kap. 2). Zu behaupten, die Schweiz sei “zu Ende gedacht kein Rechtsstaat”, ist nicht nur formell sondern auch materiell falsch und stellt keine vernünftige Grundlage für eine Diskussion dar.

      Auch die Behauptung, dass keine wirksame Aufsicht des Nachrichtendienstes erfolgt, ist nicht mehr als eine leere Behauptung (im übrigen gibt es in der Schweiz nicht “Geheimdienste”). Grad die Aufklärung der Fichenaffäre durch die vom damaligen Bundesrat Moritz Leuenberger eingesetzte Parlamentarische Untersuchungskommission (PUK), und die damit verbundenen Massnahmen sprechen eine andere Sprache. Im vor einem Jahr in Kraft getretenen “Bundesgesetz über den Nachrichtendienst” (NDG) werden eine unabhängige Aufsichtsbehörde festgehalten, dessen Leiter vom Bundesrat gewählt wird, welche ihr Personal selbständig anstellt und uneingeschränkten Zugang bzw. Zugriff hat. Der Bereich der Funk- und Kabelaufklärung beinhaltet zusätzlich eine unabhängige Kontrollinstanz, deren Mitglieder ebenfalls vom Bundesrat gewählt werden. Dazu kommt noch die parlamentarische Oberaufsicht über die Tätigkeit des Nachrichtendienst des Bundes (NDB) und der im Auftrag des Bundes handelnden kantonalen Vollzugsorgane, welche der Geschäftsprüfungs- und Finanzdelegation obliegt. Natürlich kann wenn notwendig auch wieder eine PUK ins Leben gerufen werden.

      Der NDB kann nicht machen was er will: Die Rahmenbedingungen sind im NDG klar festgeschrieben. Grundsätzlich sind all Beschaffungen, welche nicht aus frei zugänglichen Quellen stammen (OSINT), genehmigungspflichtig (siehe NDG, Art 26). Die Tatsache, dass das Bundesverwaltungsgericht über die beantragten genehmigungspflichtigen Beschaffungsmassnahmen entscheidet, ist für das rechtsstaatliche Handeln des NDB zentral, da dabei die Gewaltenteilung in den Genehmigungsprozess mit eingeflochten ist (siehe NDG, Art. 29). Eine Spezialität der Schweiz ist die Mitteilungspflicht: “Der NDB teilt der überwachten Person nach Abschluss der Operation innerhalb eines Monats Grund, Art und Dauer der Überwachung mit genehmigungspflichtigen Beschaffungsmassnahmen mit.” (NDG, Art. 33 Abs. 1). Ich kenne keinen anderen Nachrichtendienst, der dermassen rechtlich gebunden ist, verhältnismässig im öffentlichen Interesse zu handeln und dabei so weit wie möglich die Grundrechte und die Freiheit des Einzelnen zu wahren hat.

      • Es ist komplett illusorisch davon auszugehen, dass die GPDel und die UKI irgendetwas kontrollieren können: ich habe sowohl bei der GPDel, UKI als auch beim Bundesverwaltungsgericht angerufen – Letztere sollen die Suchkategorien bewilligen, was noch nicht die konkreten Suchbegriffen bedeutet.

        Ich habe nicht den Eindruck, dass da ein irgend’ substanzielles Wissen über die Funktionsweise von Suchmaschinen besteht, ganz abgesehen von spezialisierten Gebieten wie Computerlinguistik / NLP, welche die Aushebelung zahlreicher vermeintlicher Schranken im Gesetz erlauben.

        Das ist alles Augenwischerhei, abgesehen davon, dass der NDB vom BND (oder anderen “Partnerdiensten”) alles das erhalten kann, was er legal nicht beschaffen kann: umgekehrt gibts für die Deutschen im Einzelfall das, was die Deutschen offiziell nicht sammeln können.

        Die Verordnungen, die erlassen wurden, sind ein absoluter Skandal und eine Schande dieses Land:

        https://ccc-ch.ch/docs/20170416–ndg-vernehmlassungen-verordnungen-ndv+visndb.pdf

        So hat das Volk bewusst nicht darüber abgestimmt, dass mit dem NDB eine Vorratsdatenspeicherung abgefangener Inhalte von 18 Monaten und von Metadaten über 5 Jahren (!) erfolgt. Es ist nun ein Leichtes mit spezifisch präparierten Suchbegriffen, welche weder GPDel, noch UKI noch Bundesverwaltungsgericht kontrollieren – im Detail – dafür zu sorgen, den Datenverkehr für diese Zeit aufzubewahren. An Budget für solche Datenspeicher mangelt es gewiss nicht, denn nicht der NDB rastert, sondern das Militär tut das – für den NDB.

        Dazu weitere Artikel hier:

        https://www.vice.com/de_at/article/3djb48/ein-hacker-erklart-was-der-deutsche-nsa-untersuchungsausschuss-uber-die-schweiz-sagt

        https://www.vice.com/de_at/article/ezazgj/ein-hacker-erklart-wie-dich-der-schweizer-staat-bald-ausspionieren-kann-ch

      • Volker Birk says:

        @Administrator: stimmt, es ist nicht vorgesehen, dass der NDB unbeaufsichtigt machen kann, was er will, und das ist gut. Wie gut die Aufsicht funktioniert, wird man sehen. Öffentliche Aufsicht erfordert ja, dass es gerade keine Geheimhaltung gibt – was bei einem Geheimdienst naturgemäss schwierig ist. Es war sehr enttäuschend, dass auch der NDB die Hauszeitung des “Islamischen Staates”, die Dabiq, nicht zu lesen scheint, sonst wäre mindestens ein Anschlag in Brüssel nicht möglich gewesen, siehe hier: http://spon.de/aeC5E Dazu hätte ich es gerne gesehen, dass der Nationalrat dem NDB Fragen stellt, wie das sein kann.

        Das schwierige Problem ist doch: weiss der NDB, wissen die staatlichen Stellen wirklich, was sie hier machen? Denn: schaue ich mir Vorträge und Folien in der Parldigi und im Netz an, so kommen mir starke Zweifel.

        Ich lese auf jeder Vortragsfolie ein halbes Duzend mal “Cyber”. Aber ersetze ich in Vorträgen und Dokumentation “Cyber-” mit “magisch” oder “Magie”, so steht meist inhaltlich immer noch dasselbe. Und das bedeutet: es wurde zwar das Wort “Cyber” hinzugefügt, aber niemand versteht davon etwas. Es wird verwendet, als könne man Begriffe magisch mit “Cyber” segnen, so dass sie ins Internet passen.

        Spreche ich mit Leuten in Bundesrat, Nationalrat oder der Armee, so fehlen oft die Grundlagen. Von “Reflections on Trusting Trust” von Ken Thompson hatte beim Bundesratsgespräch beispielsweise niemand vorher etwas gehört (es ging um evoting). Das Papier hat mit dem Turing-Award den “Nobelpreis für Informatik” gewonnen. Es ist nicht irgendein Papier.

        Spreche ich das Problem an, dass man mit Staatstrojanern auch die Industrie finanziert, die Zero Days verkauft – und das ist die Mafia, das organisierte Verbrechen – so herrscht oft Verblüffung vor. Das scheint den wenigsten bewusst zu sein. Mit Staatstrojanern macht man trotzdem weiter – wieso finanziert der Staat die Mafia? Wurden unsere Erklärungen und Hinweise nicht nachvollzogen? Das ganze ist doch eindeutig nachvollziehbar! Man kombiniere das mal mit dem “Trusting-Trust-Problem!” Wem öffnen die Schweizer Behörden mit den Staatstrojanern wirklich Tür und Tor?

        Spreche ich das Problem einer fehlenden schweizer Chip- und Softwareindustrie an (oder wenigstens einer vertrauenswürdigen europäischen), so scheinen sich die Leute gar nicht im Klaren zu sein, dass die Hardware, die sie benutzen, von den Chinesen beherrscht wird, und die Software von den Amerikanern. Dass die Schweiz hier ganz hinten steht, scheint oft verdrängt zu werden, weil die Überwachungsmöglichkeiten locken. Das ganze hat jedoch Konsequenzen, und zwar schwerwiegende.

        Ich hoffe sehr, dass wenigstens die schweizer Armee es nicht so naiv sieht und auf die leichte Schulter nimmt. Aber sind die Probleme bekannt und an allen relevanten Stellen bewusst? Zumindest National- und Ständerat scheinen grosse Mühe damit zu haben, solcherart Hightech-Probleme wirklich zu erfassen und mit zu berücksichtigen.

        Es ist erfreulich, dass Offiziere aus der Armee ein solches Forum für eine Diskussion bieten! Wir als CCC wollen der Schweiz sicher nichts böses, fühlen uns jedoch immer noch unverstanden. Vielleicht kann sich das so verbessern.

  4. Volker Birk says:

    Ein Lob für den Artikel, übrigens 😉 Er ist ein guter Anfang.

  5. So ein bisschen anonym says:

    Es ist in der Schweiz an der Zeit, dass die Politik diese Zusammenhänge zu verstehen beginnt und sich eine Haltung etabliert, die unsere tradierten Freiheitsrechte auch im Digitalraum ausprägt. Ebenso ist unsere Verwaltung bei diesem Thema aufs höchste gefordert und sollte eigentlich mit gutem Beispiel vorangehen. Dies gelingt leider nicht wirklich, weil die Fachkompetenz in IT-Sicherheitsfragen in diesen Staatsbereichen eher untervertreten ist.

    Anstatt Gesetze zu schaffen, die Netzsperren vorsehen, Staatstrojaner erlauben oder anlasslose Massenüberwachung ermöglichen, sollten unsere Wirtschaft und unsere Bürger vom Staat besser geschützt werden. Im Digitalisierungs-Hype und im Wunsch, dass die Schweiz als ein moderner und fortschrittlicher Staat wahrgenommen wird, ergibt sich einen für unsere Demokratie gefährlichen Nährboden von unausgegorenen Ideen wie eVoting, digitale IDs, usw. Es hat unserem Staat auch bis anhin nichts geschadet eher konservativ zu agieren und neue Ideen mit Bedacht und Gemächligkeit umzusetzen, den das ist kein schlechter Filter, um gute Ideen von Modeströmungen zu trennen.

    Werden nämlich Staatsakte, wie Abstimmungen und Wahlen oder die Einwohnerkontrolle, digital abgewickelt, sind sie genauso der Überwachung und auch Manipulation ausgesetzt, auch wenn allenthalben Sicherheit gelobt wird. Die jüngsten Sicherheitslücken Meltdown und Spectre zeigen es eindrücklichst: Sicherheit im Digitalen ist nur temporär erhältlich.

    Das ist auch ein Problem bei Überwachungen und Datensammlungen. Auch diese Daten können nicht wirklich sicher aufbewahrt werden. Anstatt also Unsicherheit für Wirtschaft und Bürger durch Datensammelwut und Überwachung zu schaffen, sollte sich der Staat für die informationelle Selbstbestimmung und den Schutz im Digitalraum stark machen und seine eigenen Aufgaben im IT Bereich vorbildlich lösen.

    Dazu gehören unter anderem Gesetze wie Pflicht zur Auslieferung von Updates auch von älteren Geräten, Meldepflicht für Sicherheitslücken, Offenlegung von Code kritischer Infrastruktur, Förderung von starker Verschlüsselung, freies Zur-Verfügung-Stellen von Software, welche mit öffentlichen Geldern entwickelt wurde, einen Informatik Unterricht in den Schulen, welche den Umgang mit den persönlichen Daten und Sicherheitstechniken miteinbezieht, diskriminierungsfreien Internetzugang, Durchsetzungsgewalt für den Datenschützer, Widerrufsrecht von biometrischen Identifikationsmerkmalen, umfassendes Datenauskunftsrecht, das Recht auf Vergessen, Verzicht auf Vorratsdatenspeicherung und weitgehenden Verzicht auf Überwachung.

Leave a Reply

Your email address will not be published. Required fields are marked *

This blog is kept spam free by WP-SpamFree.