Abhörskandal : Geschrei für Snowden

Die deutschen Politiker versuchen, das Thema Datenskandal bis zur Bundestagswahl auszusitzen. Leser Wim Schwerdtner ruft auf, ein Zeichen bürgerlichen Protests zu setzen.

Seit sechs Wochen enthüllt Edward Snowden der Welt und insbesondere uns Bundesbürgern die Machenschaften der NSA. Zum ersten Mal richtet sich die Spionagemacht eines Staates nicht mehr nur gegen einen anderen – sogenannten befreundeten – Staat, sondern gegen jeden Bürger, gegen jeden einzelnen von uns.

Wer nun erwartet hätte, dass Regierung oder Opposition unsere Verfassung verteidigen und diese Rechtsbrüche beenden, sieht sich getäuscht. Denn gerade rechtzeitig klärt der Historiker Josef Foschepoth darüber auf, dass seit Gründung der Bundesrepublik alle Regierungen und somit alle Parteien des Bundestages (bis auf die erst 2007 gegründete Linke) diese widerrechtlichen Überwachungen mitgetragen und damit unsere Verfassung gebrochen haben. Wer also die Bundesrepublik bislang für einen souveränen, demokratischen Rechtsstaat gehalten hat, sieht sich getäuscht von nahezu allen Parteien des Bundestages – seit über 60 Jahren.

Folglich gibt es nur wohltemperierte Empörung bei führenden Politikern inklusive Angela Merkel ("Abhören geht unter Freunden wirklich nicht!"). Auch die Opposition macht nicht den Eindruck von Entschlossenheit jenseits von Wahlkampfgetöse. Vielmehr scheint es beiden Seiten darum zu gehen, die Affäre bis zur Wahl auszusitzen. Eine politische Taktik, die Luxemburgs Premierminister Jean-Claude Juncker einmal so beschrieb: "Wir beschließen etwas, stellen das dann in den Raum und warten einige Zeit ab, was passiert. Wenn es dann kein großes Geschrei gibt und keine Aufstände, […] dann machen wir weiter – Schritt für Schritt, bis es kein Zurück mehr gibt."

Wenn wir Bürger verhindern wollen, dass unser Rechtsstaat weiter ausgehöhlt und unsere Verfassung mit Wissen unserer Politiker systematisch gebrochen wird, wenn wir verhindern wollen, dass Geheimdienste alle unsere Bewegungen und Worte überwachen, dann müssen wir jetzt aufstehen!

Eine naheliegende und einfache Form des Protestes bietet die Online-Petition des Deutschen Bundestages "Politisches Asyl für den US-Bürger Edward Snowden". Natürlich hat die Bundesregierung den Asylantrag längst abgelehnt. Diese Petition wird am Schicksal Snowdens nichts ändern –  aber sie kann ein Zeugnis des Respekts vor seiner selbstlosen Tat sein und eine machtvolle Demonstration gegenüber unseren politischen Parteien.

Machen wir deutlich, dass die Überwachungsaffäre nicht so leicht ausgesessen werden kann, sondern sehr wohl wahlentscheidend ist. Wir haben bis zum 31. Juli Zeit.

Verlagsangebot

Entdecken Sie mehr.

Lernen Sie DIE ZEIT 4 Wochen lang im Digital-Paket zum Probepreis kennen.

Hier testen

Kommentare

99 Kommentare Seite 1 von 13 Kommentieren

Genau. Es hat mit Windows nichts zu tun.

Die Hintertüren gibt es bei SkyDrive und Skype, also Internetdiensten; genau wie auch bei Facebook, Google, Yahoo und vermutlich auch Dropbox.

Es geht also weiterhin um Hintertüren in Onlinediensten, nicht um Hintertüren in lokal laufender Software wie der OP suggeriert.

SkyDrive und Skype laufen auch auf anderen Betriebsystemen und sind dort NICHT abhörsicherer als auf Windows.

belege.

http://www.heise.de/tp/ar...

wohlgemerkt: Von 1999, Sie glauben doch nicht dass sich da was dran geaendert hat. Wer Closed-Source und US-Amerikanische Cloudprovider einsetzt kennt das Risiko. Wer es nicht kennt handelt unverantwortlich.

Genau DESHALB stimme ich zu dass das fuer den derzeitigen Skandal keine Rolle spielt. Das Problem ist das ausleiten von Traffic aus deutschem Hoheitsgebiet und die Reaktion der Regierung.

Die Story kannte ich auch damals schon.

Ist das das Beste was Sie haben? Haben Sie den Artikel überhaupt gelesen (geschweige denn verstanden)?

Toll, eine Variable, deren Name die Buchstaben "NSA" enthält, die einen Public Key enthält, mit dem Kryptographie-Komponenten auf Zertifiziertheit gecheckt werden.

Die plausibelste Erklärung dürfte sein, dass MS das eingebaut hat, damit die NSA ihre eigene Crypto-Software einsetzen kann, ohne diese von MS zertifizieren lassen zu müssen.

Es deutet nichts darauf hin, dass das irgendwas mit einer Hintertür zu tun hat.

wissen Sie dazu mehr als ich?

In besagtem Artikel steht:

> . Inzwischen ist aber klar, dass ADVAPI spezielle Programme
> beinhaltet, die von der NSA dort installiert wurden und von ihr auch
> kontrolliert werden. Bis dato weiss niemand, welche Programme das
> sind, und was sie tun.

Gabs dazu eine Entwarnung die ich uebersehen habe?

Das heisst fuer mich, dass hier mehr unbekanntes passiert, ebenso wie bei diversen Studien zu Skype, wo Dinge passieren die sich die jew. Forscher nicht erklaeren konnten.

.....

>_NSAKEY was a variable name discovered in Windows
>NT 4 Service Pack 5 (which had been released unstripped
>of its symbolic debugging data) in August 1999 by Andrew
>D. Fernandes of Cryptonym Corporation. That variable
>contained a 1024-bit public key.

>Microsoft's operating systems require all cryptography
>suites that work with its operating systems to have a digital signature.

Quelle: http://en.wikipedia.org/w...

Wenn sowas in Windows-Komponenten auftaucht, die mit Windows Update zu tun haben, dann werde ich mir auch anfangen, Sorgen zu machen. Solange es um Zertifizierung von lokalen Crypto-Providern geht, nicht.

Und natürlich, nehmen wir mal rein hypothetisch an, die NSA könnte MS zwingen, eine Hintertür einzubauen, dann würde sie das gleiche natürlich auch mit den Herstellern anderer Betriebsystemen machen. Und natürlich auch ein paar Programmier abstellen, die an Linux mitprogrammieren, und an den richtigen Stelllen was verstecken.

by-Design vs 'verstecken'

> Wenn sowas in Windows-Komponenten auftaucht, die mit Windows
> Update zu tun haben, dann werde ich mir auch anfangen, Sorgen zu
> machen.

Genau.

> Und natürlich, nehmen wir mal rein hypothetisch an, die NSA
> könnte MS zwingen, eine Hintertür einzubauen, dann würde sie
> das gleiche natürlich auch mit den Herstellern anderer
> Betriebsystemen machen. Und natürlich auch ein paar
> Programmier abstellen, die an Linux mitprogrammieren, und an
> den richtigen Stelllen was verstecken.

Der Punkt ist 'verstecken'. Est ist schon vorgekommen, dass in Open-Source Software Backdoors entdeckt wurden. Es gibt aber Unterschiede zu Closed-Source:
* Bei closed source funktionieren Backdoors 'by design', man muss nix verstecken
* Bei open source heisst jede gefundene backdoor, dass das code-review versagt hat. Dazu kommen normale Fehler, deren Rate im Mittel aber geringer / aehnlich ist wie bei closed Source.

Der Unterschied ist, dass man open-source kompromittieren muss, was bei so gut gerevieweten Projekten wie dem Linux-Kernel eher schwieriger ist. Es ist schwierig dafuer eine Metrik zu finden, um das mit Zahlen zu belegen, aber ich denke das ergibt sich in der Folge aus Millionen Augen vs 1000 Augen, bzw aus 'alles von embedded bis Supercomputer' vs 'x86 und (neuerdings) arm'.

Ausserdem wird bei open-source nicht nur einmal im monat gepatched, sondern sobald die luecke auffaellt.

OS ist also keine hinreichende, jedoch eine notwendige Bedingung fuer sichere Software.

Alles in der Tendenz zweifellos richtig,...

nur die Aussage

>Millionen Augen vs 1000 Augen

kann ich nicht nichtvollziehen. Ich glaube nicht daran, dass alle relevanten Teile des Linux (o.ä.) Codes von Millionen Augen gesehen werden.

Wenn ich die NSA wäre, würde ich folgendes machen: Ich suche mir einen eng begrenzten, sehr speziellen, hardware-nahen und für nur wenige Spezialisten verständlichen Teil des Linux-Codes aus. Den betreuen dann vielleicht 10 Leute. (Gerne auch irgendwelche Hardwaretreiber.)

Dann schleuse ich nach und nach meine Programmier ein. Natürlich erwecke ich den Eindruck, dass es um völlig unabhängige Personen aus unterschiedlichen Teilen der Welt usw. handelt, die nichts verbindet, außer die Arbeit an diesem Stück Code. In Wirklichkeit ist das natürlich alles koordiniert.

Irgendwann dominieren meine Leute dieses Stück Code. Dann wird angefangen gut obfuszierten Code einzubauen.

Solange alles funktioniert wird nie ein Außenstehender den Code anschauen. Und wenn doch, dann wird er durch die komplexe Materie und den zusätzlich obfuszierten Code schnell abgeschreckt, und wird sich entscheiden, lieber zu einem anderen Stück von Linux beizutragen, weil er sich für nicht kompetent hält.

Teil 2

Im Gegensatz dazu wird ein kommerzielles Unternehmen wohl kaum freiwillig eine Hintertür einbauen, da es dabei nur verlieren kann. Hierfür müssen dann wohl meist Gesetze geschaffen werden.

Natürlich kann die NSA im Prinzip auch Programmierer bei MS (o.ä.) einschleusen, aber das ist schwieriger als bei einem offenen Projekt — insbesondere dafür zu sorgen, dass die dann alle dem gleichen und einem für die NSA-Zwecke geeigneten Teil des Codes zugeteilt werden.

---

Fazit: OS ist nur in der Theorie sicherer.

falschrum.

Was fuer ein Interesse (abgesehen vom Ruf) hat ein Softwareunternehmen an sicherer Software? Ich denke keine. Also was genau sollte es bei einer Hintertuer Ihrer Meinung nach verlieren?

Der Ruf ist in der Hinsicht scheinbar auch nicht so wichtig, zB Mac hat aktuell (zurecht) ein extrem schlechten Ruf was Security angeht - va wegen der miesen Security-Politik. Es scheint aber keinen zu stoeren. Ebenso hatte Microsoft Windows waehrend seiner Bluetejahre staendig auch den Ruf unsicher zu sein.

Derjenige mit Interesse an sicherer Software ist meines Erachtens nur der Kunde. Natuerlich gibt es viele Kunden die keinerlei Reviews machen - das aendert aber nichts daran dass sie es mit OS koennten, und einige das zweifelsohne auch machen.

Weitere Ausfuehrungen zu 'falschrum'

Lassen Sie uns dazu eine Differenzierung zwischen reinem OS und OS in Form von gemeinschaftlich konsortium-aehnlich entwickelten Projekten machen.

Microsoft rueckt wohl unter NDA fuer wichtige Kunden auch den Code raus - aber ich glaube ehrlich gesagt nicht dass diese Kunden dann ein selbstkompiliertes Windows nutzen. Und sie koennen auch nicht von den Erkenntnissen anderer Kunden profitieren, weil auch hier wieder MS dazwischen sitzt.

Davon abgesehen hat gerade der Linux-Kernel einige krasse Huerden in der Richtung aufgebaut. Schliesslich nehmen die ganzen Distributoren nicht irgendeinen Linux-Kernel, sie nehmen normalerweise den vom Chef. Der widerum bekommt seine Patches aus seinem persoenlichen Web-Of-Trust, dessen Angehoerige ihrerseits wieder enge Beziehungen zu den Kollegen pflegen usw. Ich glaube nicht dass es leichter ist hier ein Team einzuschleussen, als ein Unternehmen zu infiltrieren. Aber seis drum - das soll ja schliesslich Aufgabe eines Geheimdienstes sein.

Nochmal zurueck zum Anfang: Es geht nur in zweiter Linie um normale Fehler, absichtlich als Fehler getarnte Backdoors in OS zu verstecken ist erheblich aufwaendiger als dasselbe in CS zu tun.

Gemeinschaftlich organisierte OS-Projekte werden direkt von den Kunden getrieben die das Projekt *brauchen*. Dh hier will niemand was verkaufen (und dazu moeglichst personalisierte Userdaten sammeln um das CRM zu pflegen), hier wollen die Teilnehmer selbst benutzen (und ggf auch das ganze moeglichst sicher haben).

noch 3 punkte

1. Komponenten in der lokalen Crypto-API haben direkten Einfluss aufs Windows-Update, ...Signaturen?!
2. Obfuscierter Code wird es niemals in den Linux-Kernel schaffen, dagegen gibts Styleguides
3. Trust vs Trust: Trust der sich auf einer rationalen Basis (Ich kann sehn was du treibst) ist immer eine ganze Qualitaetsstufe besser. Nicht umsonst gilt in der Crypto-Szene Seit Jahren 'security by obscurity' als invalide.

aufklaerungspflicht

nein.

Solange 'wie mache ich eine powerpoint-praesentation' in der schule 'informatik' genannt wird, und der staat selbst bis auf einige sehr seltene Inseln mit schlechtem beispiel (sogar gegen mc-kinsey studien!) vorangeht, nicht.

Die Grundlagen vom BSI sind schon ganz in Ordnung, ich faende auch die Meldepflicht fuer erfolgte Angriffe bei FIrmen eine gute Moeglichkeit die Sensibilisierung voranzutreiben - wenn auch nicht wirklich ueberpruefbar gibt das bei krassen Faellen eine Handhabe.
Ausserdem waere es schoen, wenn die oeffentliche Hand bei Ausschreibungen OS (vllt sogar GPL?) vorschreibt, dann fliesst das Geld in den lokalen Mittelstand und die OS-Loesungen werden besser.

Was mich hauptsaechlich aufregt, ist wie uns zb Uhl vorluegt, der meiste Traffic wuerde ja ohnehin ueber die USA laufen und man koenne da nichts dagegen machen dass die NSA den bekommt. Das ist einfach falsch. Auch hier: Fehlende Allgemeinbildung in einem inzwischen gesellschaftskritischen Bereich.

"skandal" seit 40 jahren bekannt ...

mitte der 70er jahre wollten die usa einen kryptographie-algorithmus standardisieren. der ibm-entwurf 'lucifer' wurde der nsa zur prüfung vorgelegt. die nsa änderte (1) die sog s-boxen und (2) setzte die schlüssellänge HERAB. in dieser modifizierten (sicherheitsGESCHWÄCHTEN) form wurde der algorithmus unter dem namen 'des' 20 jahre lang der krypto-standard (im bereich der symmetrischen verfahren).
die usa betrieben lange das 'echelon'-system mit hardware in bad aibling. auch der französische geheimdienst mischte mit und spionierte siemens aus, als es um einen großen eisenbahnauftrag aus südkorea ging.
kommerzielle angebote im internet (oder auch im handel) sind eben NICHT kostenlos. wer diese häppchen annimmt, der bezahlt mit seinen daten.- alles längst bekannt ...
die EIGENTLICHE frage lautet: warum werden jahrzehntelang-bekannte praktiken auf einmal zum skandal aufgeblasen? antwort: die induzierte aufregung über usa/nsa verdrängt das thema 'sex mit kindern' des daniel cohn-bendit, verdrängt das thema 'strom wird unbezahlbar', verdrängt das thema 'arbeiterführer steinbrück wird von den stadtwerken bochum mit euro 25.000 bezahlt'. noch fragen, liebe wähler?
hans-jürgen huth

tolle rechnung

Merkel abwählen, und das, indem man die Linken, die Freien und die Piraten wählt. Wer so wählt, wählt eben die alte Gurkentruppe. Die kleinen Parteien haben immer wieder zu den konservativen Regierungen geführt. Die BRD ist mit wenigen Ausnahmen konservativ geführt worden, obwohl es eigentlich ein pari-pari gab. Aber LaFontaine hat es vorgemacht, aus Eitelkeit, wie man dafür sorgen kann, dass, wie im aktuellem Falle, wieder Union mit der verkusten FDP an der Regierung hält. Gratulation an all die Träumer (oder Scharlatane, die meinen eine SPD mit den Grünen oder mumgekehrt wäre keine Alternative, in Wirklichkeit auch die Merkel möchten, wohlbeschützt als deutscher Spießer).