NSA

FAZ zum Flug MH370: „Wo ist eigentlich die NSA, wenn man sie braucht?“

Leave a Comment

In der heutigen FAZ steht ein Kommentar zum verschollenen Flug MH370, den ich gerne teilen möchte:

„Wie kann es sein, dass in unserer angeblich so überkontrollierten Welt ein Flugzeug mehr als eine Woche lang verschwunden bleibt? […] Überspitzt gesagt: „Wo ist eigentlich die NSA, wenn man sie braucht?“

Richtig. Die NSA mag zwar Unmengen Daten & Informationen abgreifen, Untersehkabel anzapfen und die Größte Datenkrake vor oder nach Google und Facebook sein, aber wirklich effektiv ist sie nicht. Den Einmarsch Russlands in die Krim hat die NSA auch verpasst. Schlechte Performance für den weltweit größten Geheimdienst..

Der NSA-Skandal als Security Awareness-Kampagne

Leave a Comment

Vielen Dank liebe NSA für diese herausragende Security Awareness-Kampagne in der deutschen Bevölkerung. Erst am Anfang einmal starke Aufmerksamkeit erwecken, dass unverschlüsselte Kommunikation abgehört werden kann. Korrektur, wird. Die meisten Deutschen wissen nun, dass die NSA durch PRISM mitlesen kann, wenn sie möchte. So arbeitet man klar heraus, warum man z.B. bei vertraulicher Kommunikation Verschlüsselung einsetzen sollte. In den Medien wimmelte es von Artikeln, wie man PGP oder ähnliches einrichtet. Ein perfekter Einstieg in die erste deutsche Security Awareness-Kampagne. Und das alles kostenlos.

Bevor wirklich wieder Ruhe einkehrt wird bekannt, dass die NSA angeblich auch Verschlüsselung brechen kann. Panik, nichts ist mehr vor der NSA sicher. Damit so eine Kampagne Erfolg hat, einfach immer mal wieder eine bisschen nachschießen. In wie weit diese Aussagen stimmen, sei einmal dahin gestellt und in den Medien wird viel Blödsinn berichtet. Egal, es kommt in den Köpfen an: Man muss starke Geschütze auffahren, wenn man der NSA etwas entgegensetzen möchte.

Der Skandal ebbt nun ab. Ach nein, stimmt ja gar nicht. Die NSA soll auch die Bundesregierung abhören. Perfekt, niemand ist vor der NSA sicher. Es ist nicht nur die eigene Privatsphäre bedroht, sondern auch die der deutschen Kanzlerin. Dass Frau Merkel eigentlich ein sicheres Mobiltelefon habe sollte, und sie manchen Presseberichten nach auch gerne mit gewöhnlichen Mobiltelefon kommuniziert, passt perfekt als Botschaft: Wer Krypto zur Verfügung hat und sie nicht einsetzt, ist selbst dran schuld. Die NSA hört und liest mit.

Danke NSA. Was kommt nächsten Monat? Vielleicht hat der BND die NSA bei der Abhöraktion von Frau Merkel unterstützt? Man darf gespannt sein.

Wer Ironie findet, darf sie gerne behalten.

Sichere Verschlüsselung kann die NSA nicht knacken

Leave a Comment

In den Medien verbreitet sich die Meldung, dass selbst Verschlüsselung gegen die Überwachung der NSA nicht hilft. Das ist falsch. Mal abgesehen davon, dass genaue Informationen gar nicht bekannt sind, wird auch die NSA als sicher anerkannte kryptographische Verfahren nicht brechen können. Die Verfahren auf dem Niveau von RSA und AES sind weiterhin sicher und nicht zu knacken. Die Möglichkeiten auch der NSA sind begrenzt. Hunderte oder Tausende Mathematiker und Kryptologen irren nicht. Eher scheitern die Medien an einer sachlichen Berichterstattung bei diesem schwierigen Thema.

Dennoch sind die Möglichkeiten der NSA enorm. Sie werden mindestens auf folgende Möglichkeiten besitzen:

  • Einholung kryptographischer Schlüssel von Firmen in den USA
  • Brechen unsicherer kryptographischen Verfahren
  • Aufkauf und Suche nach Sicherheitslücken

Die drei Punkte haben natürlich weittragende Konsequenzen, sind aber in Kreisen der IT-Security auch nichts neues. Der erste Punkt ist nur eine logische Konsequenz und dass man unsichere Verschlüsselungsverfahren brechen kann, ist nun wirklich keine Nachricht wert. Man kann natürlich auch Sicherheitslücken in Software suchen und/oder auf dem Schwarzmarkt einkaufen. Das ist auch nichts neues und es wäre eher verwunderlich, wenn Geheimdienste diese Möglichkeit nicht nutzen würden.

Offen bleibt jedoch die Frage, ob die NSA über bewusste Backdoors in Betriebssystemen und Software verfügt. Möglich ist alles. Ob es wahrscheinlich ist? Ich persönlich bezweifle es. Sicherheitslücken und Backdoors lassen sich in Open-Source-Software schwer verstecken und selbst bei reinen Closed-Source-Software-Produkten wie Windows können Sie sich finden lassen. Schwierig, aber nicht unmöglich. Bisher wurde von keinem Fall bekannt, der auch bestätigt ist. Sodass man eigentlich davon ausgehen muss, dass man bei einem Einsatz von z.B. Windows weiterhin auf der sicheren Seite ist.

Anders sehe ich es bei dem Themenfeld HSM (Hardware Security Modul), bei denen Verschlüsselung in Hardwarekomponenten durchgeführt wird. Hier gestalten sich die Analyse und der Nachweis von bewussten Lücken noch schwieriger.  Wer ausreichend Paranoid ist, sollte den Einsatz von amerikanischen HSM-Produkten überdenken. Für den Privatmenschen spielt dieser Bereich jedoch keine Rolle.

Verschlüsselung ist sinnvoll. Daran kann auch die NSA nichts ändern.

Der sinnlose Hype um E-Mail-Verschlüsselung gegen PRISM

Leave a Comment

Mittlerweile scheint allgemein bekannt zu sein, dass die NSA in der Lage ist große Datenmengen abzugreifen und zu analysieren. Und nun Achtung: Sie macht das wahrscheinlich auch. Was ist daran jetzt neu? Vorher dachte man es sich oder vermutete es, heute weiß man es mit höherer Wahrscheinlichkeit. Also eigentlich nichts neues.

In der Presse ist es nun ein Skandal, dass ein ausländischer Geheimdienst auf seinem Grund und Boden im Geheimen die Kommunikation anderer abhört. Als Resultat wird nun in der  Presse (z.B. in SPIEGEL Online) Verschlüsselungstools wie OpenPGP empfohlen. Damit soll man nun am besten seine Mails verschlüsseln, damit PRISM, TEMPORA & Co diese nicht mehr „mitlesen“ können. Der Sicherheitswelt frohlockt: Danke für die Security Awareness Maßnahme!

Leider wird nicht erwähnt, dass die ausreichend interessanten Verbindungsdaten nicht verschlüsselt werden. Das geht technisch ohnehin nicht. Damit wissen die Geheimdienste immer noch, wer mit wem wann E-Mail-Verkehr hat. Da hilft auch Krypto nicht. Richtig absurd wird das Thema, wenn man seine persönlichen Bilder weiterhin auf Facebook oder Google+ postet.

Tools wie OpenPGP sind top um wirklich vertrauenswürdige Daten auszutauschen. Die Einladung zur nächsten Feier zu verschlüsseln, die nebenbei noch auf Facebook gepostet wird, ist total sinnlos. E-Mails sind wie Postkarten. Niemand regt sich darüber auf, dass der Briefträger und viele andere die Urlaubsgrüße lesen können. Aber bei der E-Mail ist es ein Skandal.