Interview 24. Januar 2014 von

Rüdiger Weis: Wer unverschlüsselt kommuniziert, kann seine Daten auch gleich an die Geheimdienste schicken

Rüdiger Weis, Professor für Informatik an der Beuth-Hochschule Berlin, spricht im iRights.info-Interview über Kryptographie, die Reaktionen von Internetdiensten und Politik auf die Überwachungsenthüllungen – und darüber, wie jeder mit freier Software für mehr Datensicherheit sorgen kann.

Der Journalist Glenn Greenwald zog in einer Anhörung des Europäischen Parlaments im Dezember folgendes Fazit über die Enthüllungen aus dem Fundus von Edward Snowden: Die Überwachungsprogramme der NSA und seines britischen Partners GCHQ liefen – ohne Übertreibung – darauf hinaus, dass es bei elektronischer Kommunikation schlechthin keine Privatsphäre mehr geben solle.

Für Internet-Dienste – ob E-Mail-Anbieter oder Cloud-Provider – gehen die Enthüllungen auch mit einem Vertrauensverlust einher. Viele Anbieter haben darauf unter anderem damit reagiert, internen Datenverkehr zwischen den Rechenzentren oder den Transport von E-Mails zu verschlüsseln.

Rüdiger Weis ist Kryptograph und Professor für Informatik an der Beuth-Hochschule für Technik Berlin und leitet die Arbeitsgruppe Cryptolabs in Amsterdam. Er ist Mitglied des Chaos Computer Clubs und bei Digitale Gesellschaft e.V. Foto: WP/Tobias Klenze, CC BY-SA.

Rüdiger Weis ist Kryptograph und Professor für Informatik an der Beuth-Hochschule für Technik Berlin. Er leitet die Cryptolabs in Amsterdam, ist Mitglied im Chaos Computer Club und bei Digitale Gesellschaft e.V. Foto: WP/Tobias Klenze, CC BY-SA

Rüdiger Weis, Professor für Informatik und Krytographie-Experte sieht das mit gemischten Gefühlen: Einerseits sei es ein Schritt in die richtige Richtung – andererseits zeige es, wie unverantwortlich die Unternehmen bislang mit Nutzerdaten umgegangen seien und selbst geringen Aufwand scheuten, die Daten der Nutzer zu schützen. Die Industrie sei aber dabei, bei der Datensicherheit umzudenken.

Freie Software zum Verschlüsseln für jeden

„Sicherheit ist immer mit Arbeit verbunden“, räumt Weis ein. Die gute Nachricht aber liege darin, dass für jeden Nutzer Möglichkeiten bereit stehen, selbst für mehr Sicherheit zu sorgen. Mit relativ geringem Aufwand einsetzen lassen sich etwa:

Mehr Aufwand erfordert Ende-zu-Ende-Verschlüsselung mit OpenPGP, die nicht nur den Transport, sondern auch die Inhalte von E-Mails verschlüsselt. Ähnlich ist es mit der Anonymisierungssoftware Tor, die den Datenverkehr über mehrere Ecken schickt. Weil all das freie Softwareprodukte sind, kann man nicht nur die Sicherheit öffentlich überprüfen, sie sind auch kostenlos.

Abschalten sollte man dagegen Verschlüsselungsverfahren, die als gebrochen gelten können, rät Weis. Dazu gehört das Verfahren RC4, das beispielsweise bei gesicherten HTTPS-Verbindungen zum Online-Banking eingesetzt wird. Microsoft etwa hat es bereits weitgehend abgeschaltet, man kann es aber auch selbst im Browser deaktivieren.

„Schengen-Cloud“ und Kryptographie in der digitalen Gesellschaft

Für die Pläne zu einem deutschen oder europäischen Datenverkehr („Schengen-Cloud“) hat Weis ebenso Verständnis wie Unverständnis: Wenn etwa Unternehmen in Deutschland sich vor Wirtschaftsspionage durch den US-Geheimdienst schützen wollen, sei das berechtigt und verständlich. Die Situation in Europa sei aber nicht viel besser, wenn auch der britische Geheimdienst den Datenverkehr umfassend ablausche und mit der Vorratsdatenspeicherung eine „Komplettüberwachung” der Bürger geplant werde.

Kryptographie ist für Weis nicht nur ein Mittel für den Schutz des Einzelnen, sondern hat gesesellschaftspolitische Bedeutung. Er denkt dabei etwa an gesicherte Online-Wahlen, aber auch an digitale Währungen wie Bitcoin. Die Entwicklung digitaler Währungen zeige jedoch ebenso, wie Bürger sich dort vom Staat abwenden und ihm Loyalität entziehen können, wo es um seine Kernaufgaben geht. Wenn Staaten die Bürger nur mehr als Gefahrenquelle ansehen, werde diese Tendenz der Abwendung noch weiter gestärkt, warnt Weis.

Zum Thema bei iRights

2 Kommentare

  • 1 René Jacobi am 24. Jan, 2014 um 13:50

    Klickträchtig in jedem Fall.

    Das Märchen der Verschlüsselung ist doch schon längst ausgeträumt. Wir wissen doch bereits, dass der Großteil der Verschlüsselungen geknackt ist.

    Vor allem bei SSL Zertifikaten, bei denen die großen Anbieter alle wo sitzen, ach ja, in den USA ist das wohl keine wirkliche Überraschung.

    Ein anderes Thema wird überhaupt viel zu selten dabei angemerkt. Wer seine Daten in die Cloud, egal in welche liefert macht es auch nicht wirklich besser, egal ob verschlüsselt oder unverschlüsselt.

    Daten die früher die eigenen 4 Wände nie verlassen hätten werden heute einfach mal ins Netz befördert in der guten Hoffnung, dass das schon alles passen wird.

    PGP Verschlüsselung ist gut und schön. Aber das kommt genau auf die selbe Logik hin, einem Autofahrer zu sagen, mit Airbag ist das alles viel sicherer und ihm dann eine Einbauanleitung dafür hinzulegen.

    Verschlüsselungstechniken müssen standardmässig in Produkte integriert werden. Sicherheit ist keine Frage der Möglichkeiten sondern der Usability.

  • 2 Lore Reß am 24. Jan, 2014 um 14:21

    PGP und TOR sind gut und schön, aber kein Allheilmittel.

    Es muss an einer anderen Stelle angesetzt werden, nämlich dort, wo die gesammelten Daten ausgewertet und Schlüsse daraus gezogen werden. Ich wünsche eine Stelle, die einen “richtigen” Richtervorbehalt wahrnehmen kann, Fachleute, die von einem Gremium aus NGOs und Ministerien kontrolliert werden.
    An diese Stelle sollten sich auch alle Bürger und Unternehmen sogar die Behörden wenden könne, um Aufklärung über Daten, Akten und Klagen zu erhalten.
    Transparenz!
    Die Datensammelei können wir sowieso nicht verhindern.