Cyber-Abwehr : Digitale Aufrüstung
Seite 2/2:

Was genau zählt zu den "kritischen Infrastrukturen"?

Eine wichtige Rolle bei der datenschutzrechtlichen Bewertung spielt auch die Frage, was genau unter den kritischen Infrastrukturen zu verstehen ist, die Einstein 3 schützen soll. Fällt darunter auch die Suchmaschine Google ? Werden bald alle Suchanfragen studiert, alle E-Mails von Googlemail durchsucht, alle Textdokumente, die auf Google-Docs gespeichert werden, maschinell gegengelesen? Oder beschränkt sich Einstein 3 ausschließlich auf hochsensible technische Anlagen wie Kraftwerke? »Die Regierung hat mitgeteilt, dass sie von Fall zu Fall entscheiden wird, was unter kritische Infrastruktur fällt«, sagt Bürgerrechtlerin Richardson.

Um eine Stellungnahme gebeten, verweist das Heimatschutzministerium auf die Beurteilung eines Tests von Einstein 3. Test und Bericht liegen mehr als eineinhalb Jahre zurück. Darin heißt es, dass Informationen, die während des Tests gesammelt werden und die in keinem Zusammenhang mit der IT-Sicherheit stehen, unter Beachtung der dafür einschlägigen Gesetze an US-Geheimdienste und Vollzugsbehörden weitergegeben werden dürfen. Zudem beschränkt sich der Datenschutz erklärtermaßen auf US-Amerikaner, von der Privatsphäre von Ausländern ist nicht die Rede.

Sean McGurk, Direktor der Abteilung für nationale Cybersicherheit des Heimatschutzministeriums, gab dem Repräsentantenhaus gegenüber im Mai vergangenen Jahres zu Protokoll, dass Einstein 3 in jenem Testlauf über 36.000 potenzielle Bedrohungen für die Infrastruktur abwehren konnte.

Ein ähnliches Projekt, wenn auch in viel kleinerem Umfang, haben das Verteidigungs- und das Heimatschutzministerium im Mai gestartet. Dabei werden rund 20 Rüstungsfirmen, ebenso wie bei Einstein 3 mit technischer Hilfe der NSA und in Zusammenarbeit mit vier großen Internetzugangsanbietern, gegen bösartige Cyberangriffe geschützt. Nach Angaben des stellvertretenden Verteidigungsministers William Lynn konnte das Pilotprojekt Hunderte von Einbruchsversuchen abblocken und sei zugleich »kosteneffektiv«.

Nach Angaben der Washington Post wird der nationale Sicherheitsrat bald darüber debattieren, ob das Programm auf andere Bereiche der kritischen Infrastrukturen ausgedehnt wird, zum Beispiel auf Finanzinstitute unter staatlicher Aufsicht, Atomkraftwerke und nationale Forschungslabore. Möglicherweise wird es also Einstein 3 eines Tages ergänzen.

Verlagsangebot

Entdecken Sie mehr.

Lernen Sie DIE ZEIT 4 Wochen lang im Digital-Paket zum Probepreis kennen.

Hier testen

Kommentare

28 Kommentare Seite 1 von 4 Kommentieren

Kryptographie kann gegen Deep Packet Inspection helfen.

Der VPN-Tunnel muss in diesem Falle aber alle Mailserver bzw. deren Verbindung untereinander umfassen. Sobald ein Mailserver nicht mehr unter ihrer Kontrolle steht, reicht ein VPN nicht aus, da die Kommunikation dieses Teilstückes analysiert werden kann.

Die Verschlüsselung der E-Mail ist ein sinnvollerer Ansatz, da hier eine Ende-zu-Ende-Verschlüsselung besteht, d.h. Ver- und Entschlüsselung werden auf dem System des Senders bzw. Empfängers vorgenommen.

Fängt jemand ihre verschlüsselte E-Mail ab, kann er den Inhalt nicht lesen, es sei denn er kennt einen Zugangsschlüssel (Passwort, Zertifikat o.ä.)

Mit der Netzwerküberwachung kann man jedoch Metadaten der E-Mail analysieren und auswerten, d.h. wann und wem sie eine Mail geschickt haben und wie groß diese ist. Dies reicht u .a. aus um vor Gericht einen Durchsuchungsbeschluss zu erwirken, sollten sie mit einem irgendwie verdächtigen zu oft kommunizieren.

Viel wichtiger ist jedoch das zum einen die Deep-Packet-Inspection die Komplexität des Systems erhöht und damit die Anfälligkeit/Fehlerquote und zum anderen sind auch diese Systeme nur in der Lage triviale Angriffe zu erkennen.

Ich habe dies bereits vor einigen Jahren in mehreren Artikeln über Intrusion Detection Systeme durchdekliniert, siehe u.a. »Auf dem Weg zum Intrusion Detection System der nächsten Generation« in http://www.qucosa.de/file...

Das Problem ist der Nutzer

Keiner hat Lust, Zeit, "die Nerven" dazu, sich mit PGP, VPN und so etwas zu beschäftigen. Deshalb wird sich PGP auch nie breit etablieren, und deshalb hat Wikileaks auch nicht auf PGP gesetzt, sondern auf eine Website mit SSL-Verschlüsselung, wo Herr Manning und .co ihre Collateral Murder Videos etc. hochladen können.

Der Endnutzer ist kein Informatiker. Das ist vielen Informatikern nicht klar, und deshalb funktioniert das Konzept Apple mit seinen Apps auch so gut... Die meisten sind eben keine Geeks. Leider.

PGP, SSL und der User

PGP und SSL sind unterschiedliche Konzepte und so nicht miteinander zu vergleichen. Daher ist der Hinweis aus Wikileaks und PGP bzw. SSL so nicht korrekt.

Ansonsten haben Sie natürlich recht, die Sicherheit eines Systems hängt immer am Nutzer bzw. den Menschen, die mit dem System interagieren. Egal ob Endanwender oder selber Entwickler (siehe Erstflug der Ariane 5).

Die meisten Anwender interessieren sich nicht für die Themen IT-Sicherheit, daher sollte hier meiner Meinung nach dringend nachgesteuert werden, siehe u.a.:

http://futurezone.at/netz...
http://www.golem.de/1111/...

Gut,die Konzepte

sind nicht so vergleichbar, allerdings bin ich mir z.B. sicher, dass bei PGP (selbst wenn der Nutzer es benutzt) kaum ein durchschnittlicher Endanwender hergehen wird, um den PGP Fingerprint des heruntergeladenen Schlüssels des Empfängers zu verifizieren. Er wird den Empfänger nicht besuchen oder anrufen und ihm vorlesen, welchen Fingerprint er vor sich hat, und ob der stimmen würde. Das System ist mit zu vielen Hindernissen behaftet, um den Laien dazu zu bringen, es wirklich zu nutzen.

Bei SSL würde ich aber auch sagen, dass der Nutzer auch nicht auf selbst-signierte Zertifikate achten würde. Er wird vom Browser gewarnt, dass die Website ihr Zertifikat selbst unterschrieben hat, aber er wird einfach 4 mal auf "Weiter" klicken, um endlich an die Seite zu kommen.

Es fehlt das Bewusstsein, genau wie bei z.B. Ökologie. Das Ganze kam erst ins Rollen, als der Kunde das Bewusstsein für die Umwelt hatte. Das existiert für Sicherheit bisher nicht, das muss geweckt werden. Gleichzeitig muss eine Technologie her, die noch viel leichter zu nutzen ist, als PGP.

Buchcode

Naja, das ist aber schon etwas komplizierte anzuwenden als beispielsweise PGP. Zumal sie ja über einen sicheren Kanal transportieren müssen, welches Buch verwendet wird. Und das ist gar nicht so einfach.

Außerdem reichen auch einfache Codewörter aus, wenn man sich vorher auf diese geeinigt hat. Sowas wie in schlechten Krimis immer im Funkverkehr verwendet wird a la »adlerhorst, hier Adlerauge, Wildgans ist gelandet« ;-)

Die aktuellen Kryp-Algorithmen und deren Implementierungen (AES, GnuPG etc.) gelten als hinreichen sicher um bei korrektem Gebrauch auch der NSA oder dem FBI zu widerstehen :-)

http://www.n-tv.de/techni...

Das wars dann.

Die USA sind endgültig zum Überwachunsstaat geworden. Daran kann man schön sehen, dass alles, was technisch möglich und bequem ist auch umgesetzt wird. Mit der Begründung des bösen Feindes schneiden sie den Bürgern immer mehr Rechte ab und schaffen sich langsam den gläsernen Bürger. Das hat schon in Nordkorea funktioniert, warum soll das nicht auch bei uns funktionieren.

Warum wird der elektronische Verkehr eigentlich nicht wie die Post behandelt? Die wird doch auch nicht aufgemacht und kontrolliert. Ganz einfach, weil das viel zu umständlich wäre.

Können Sie Origami ?

Guter 'Nero11' sollten Sie eine Falttechnik kennen, mit der Sie Geräte überlisten können die gefaltene Briefe schichtweise röntgen und anschließend die Schichten so zusammensetzen das diese wieder ein normals Format haben das sich ganz normal maschinell lesen lässt, selbst wenn es Handschrift ist, dann,......sind Sie vermutlich verdächtig.
Das geht in Sekundenbruchteilen, gibt es seit Jahrzehnten, und die Suche nach Schlüßelwörtern betrifft auch kein Briefgeheimnis oder verletzt irgend jemandes Privatsphäre.

Das mit der Falterei der Briefe war früher ein Problem, weil Geometrie ziemlich schwierig ist, aber so eien gerät sieht den Brief nur und kann in nicht lesen oder verstehen. Sinngemäße Andeutungen sin dnach wie vor nur von Menschen zu verstehen und auf weit banalerer Ebenen (Übersetzungsprogramme) klappt das alles auch noch lange nicht wie in SciFi Romanen. Ist also so oder so eher sporadisch. Dafür konnte man, als es noch die gute alte Mauer gab, sicher sein, daß wir da nicht Brieftechnisch mit subversiver, briefschriftlicher Agitation unterwandert werden.
Da waren wir so stolz drauf, das das gute alte West-Fernsehen das sogar jedermann vorführte. Sogar nicht mal das ZDF-Magazin war das, so weit ich's erinnere.

Interessant, aber was wollen Sie damit sagen? Dass auch verschlüsselte E-Mails nicht bringen?
Das wäre falsch, denn bei Hushmail (und darauf bezieht sich Ihr verlinkter Artikel) gibt es einen "Service", durch den zwar die Benutzung der Verschlüsselungstechnik vereinfacht wird, aber gleichzeitig eine Sicherheitslücke geschaffen wird.

Ich denke, wer OpenPGP mit einem Client wie Thunderbird benutzt, eine sichere Passphrase benutzt und darauf achtet, dass sein private key nicht in falsche Hände gerät, ist abhörsicher.