NSA

17 03, 2014

FAZ zum Flug MH370: „Wo ist eigentlich die NSA, wenn man sie braucht?“

von |17. März 2014|Presse|0 Kommentare|

In der heutigen FAZ steht ein Kommentar zum verschollenen Flug MH370, den ich gerne teilen möchte:

„Wie kann es sein, dass in unserer angeblich so überkontrollierten Welt ein Flugzeug mehr als eine Woche lang verschwunden bleibt? […] Überspitzt gesagt: „Wo ist eigentlich die NSA, wenn man sie braucht?“

Richtig. Die NSA mag zwar Unmengen Daten & Informationen abgreifen, Untersehkabel anzapfen und die Größte Datenkrake vor oder nach Google und Facebook sein, aber wirklich effektiv ist sie nicht. Den Einmarsch Russlands in die Krim hat die NSA auch verpasst. Schlechte Performance für den weltweit größten Geheimdienst..

25 10, 2013

Der NSA-Skandal als Security Awareness-Kampagne

von |25. Oktober 2013|Informationssicherheit|0 Kommentare|

Vielen Dank liebe NSA für diese herausragende Security Awareness-Kampagne in der deutschen Bevölkerung. Erst am Anfang einmal starke Aufmerksamkeit erwecken, dass unverschlüsselte Kommunikation abgehört werden kann. Korrektur, wird. Die meisten Deutschen wissen nun, dass die NSA durch PRISM mitlesen kann, wenn sie möchte. So arbeitet man klar heraus, warum man z.B. bei vertraulicher Kommunikation Verschlüsselung einsetzen sollte. In den Medien wimmelte es von Artikeln, wie man PGP oder ähnliches einrichtet. Ein perfekter Einstieg in die erste deutsche Security Awareness-Kampagne. Und das alles kostenlos.

Bevor wirklich wieder Ruhe einkehrt wird bekannt, dass die NSA angeblich auch Verschlüsselung brechen kann. Panik, nichts ist mehr vor der NSA sicher. Damit so eine Kampagne Erfolg hat, einfach immer mal wieder eine bisschen nachschießen. In wie weit diese Aussagen stimmen, sei einmal dahin gestellt und in den Medien wird viel Blödsinn berichtet. Egal, es kommt in den Köpfen an: Man muss starke Geschütze auffahren, wenn man der NSA etwas entgegensetzen möchte.

Der Skandal ebbt nun ab. Ach nein, stimmt ja gar nicht. Die NSA soll auch die Bundesregierung abhören. Perfekt, niemand ist vor der NSA sicher. Es ist nicht nur die eigene Privatsphäre bedroht, sondern auch die der deutschen Kanzlerin. Dass Frau Merkel eigentlich ein sicheres Mobiltelefon habe sollte, und sie manchen Presseberichten nach auch gerne mit gewöhnlichen Mobiltelefon kommuniziert, passt perfekt als Botschaft: Wer Krypto zur Verfügung hat und sie nicht einsetzt, ist selbst dran schuld. Die NSA hört und liest mit.

Danke NSA. Was kommt nächsten Monat? Vielleicht hat der BND die NSA bei der Abhöraktion von Frau Merkel unterstützt? Man darf gespannt sein.

Wer Ironie findet, darf sie gerne behalten.

15 09, 2013

Die Piratenpartei während dem NSA-Skandal: Wo sind die Piraten?

von |15. September 2013|Netzpolitik|0 Kommentare|

Die Bundestagswahl steht an. Die Piratenpartei liegt in den Umfragen bei unter 5 Prozent und das während dem immer noch diskutierten NSA/PRISM-Skandal. Da kommt der größte Datenskandal überhaupt und die Partei schafft es nicht dieses Thema erfolgreich aufzugreifen. Klar, es gibt ein paar Plakate zu diesem Thema. Aber sie machen in den Medien weder mit Fachkenntnis noch mit Lösungen auf sich aufmerksam. Eine bessere Vorlage hätte es gar nicht geben können! Das sagt meiner Meinung nach sehr viel über die Erfolgschancen in der Zukunft aus: Nahe null. Schade.

6 09, 2013

Sichere Verschlüsselung kann die NSA nicht knacken

von |6. September 2013|IT-Sicherheit|0 Kommentare|

In den Medien verbreitet sich die Meldung, dass selbst Verschlüsselung gegen die Überwachung der NSA nicht hilft. Das ist falsch. Mal abgesehen davon, dass genaue Informationen gar nicht bekannt sind, wird auch die NSA als sicher anerkannte kryptographische Verfahren nicht brechen können. Die Verfahren auf dem Niveau von RSA und AES sind weiterhin sicher und nicht zu knacken. Die Möglichkeiten auch der NSA sind begrenzt. Hunderte oder Tausende Mathematiker und Kryptologen irren nicht. Eher scheitern die Medien an einer sachlichen Berichterstattung bei diesem schwierigen Thema.

Dennoch sind die Möglichkeiten der NSA enorm. Sie werden mindestens auf folgende Möglichkeiten besitzen:

  • Einholung kryptographischer Schlüssel von Firmen in den USA
  • Brechen unsicherer kryptographischen Verfahren
  • Aufkauf und Suche nach Sicherheitslücken

Die drei Punkte haben natürlich weittragende Konsequenzen, sind aber in Kreisen der IT-Security auch nichts neues. Der erste Punkt ist nur eine logische Konsequenz und dass man unsichere Verschlüsselungsverfahren brechen kann, ist nun wirklich keine Nachricht wert. Man kann natürlich auch Sicherheitslücken in Software suchen und/oder auf dem Schwarzmarkt einkaufen. Das ist auch nichts neues und es wäre eher verwunderlich, wenn Geheimdienste diese Möglichkeit nicht nutzen würden.

Offen bleibt jedoch die Frage, ob die NSA über bewusste Backdoors in Betriebssystemen und Software verfügt. Möglich ist alles. Ob es wahrscheinlich ist? Ich persönlich bezweifle es. Sicherheitslücken und Backdoors lassen sich in Open-Source-Software schwer verstecken und selbst bei reinen Closed-Source-Software-Produkten wie Windows können Sie sich finden lassen. Schwierig, aber nicht unmöglich. Bisher wurde von keinem Fall bekannt, der auch bestätigt ist. Sodass man eigentlich davon ausgehen muss, dass man bei einem Einsatz von z.B. Windows weiterhin auf der sicheren Seite ist.

Anders sehe ich es bei dem Themenfeld HSM (Hardware Security Modul), bei denen Verschlüsselung in Hardwarekomponenten durchgeführt wird. Hier gestalten sich die Analyse und der Nachweis von bewussten Lücken noch schwieriger.  Wer ausreichend Paranoid ist, sollte den Einsatz von amerikanischen HSM-Produkten überdenken. Für den Privatmenschen spielt dieser Bereich jedoch keine Rolle.

Verschlüsselung ist sinnvoll. Daran kann auch die NSA nichts ändern.

21 08, 2013

PRISM, und nun?

von |21. August 2013|Allgemein|0 Kommentare|

Was hat sich seit den Veröffentlichungen um PRISM geändert? Hat sich überhaupt etwas nennenswert geändert? Die Menschen stellen weiterhin bei Facebook ihr Leben öffentlich zur Schau. Die Piraten-Partei wird nicht in den Bundestag einziehen. WhatsApp wird weiter benutzt. Dropbox sowieso, ist halt einfach praktisch. Außer in den digitalen Medien wird das Thema nicht mehr groß behandelt. Die Bundesregierung hält den Skandal für abgeschlossen. Die Menschen nehmen es einfach zur Kenntnis, dass sie im Zweifel abgehört werden und leben damit. Die meisten zumindest. Die USA werden PRISM nicht einstellen und auch der deutsche BND wird nicht aufgelöst. Geheimdienste sind eben zum Spionieren und Abhören da. Das wussten wir alle vorher schon, PRISM hat uns nur noch einmal daran erinnert.

Ob die Entwicklung gut oder schlecht ist, ist eine ganz andere Frage…

20 07, 2013

Der sinnlose Hype um E-Mail-Verschlüsselung gegen PRISM

von |20. Juli 2013|Presse|0 Kommentare|

Mittlerweile scheint allgemein bekannt zu sein, dass die NSA in der Lage ist große Datenmengen abzugreifen und zu analysieren. Und nun Achtung: Sie macht das wahrscheinlich auch. Was ist daran jetzt neu? Vorher dachte man es sich oder vermutete es, heute weiß man es mit höherer Wahrscheinlichkeit. Also eigentlich nichts neues.

In der Presse ist es nun ein Skandal, dass ein ausländischer Geheimdienst auf seinem Grund und Boden im Geheimen die Kommunikation anderer abhört. Als Resultat wird nun in der  Presse (z.B. in SPIEGEL Online) Verschlüsselungstools wie OpenPGP empfohlen. Damit soll man nun am besten seine Mails verschlüsseln, damit PRISM, TEMPORA & Co diese nicht mehr „mitlesen“ können. Der Sicherheitswelt frohlockt: Danke für die Security Awareness Maßnahme!

Leider wird nicht erwähnt, dass die ausreichend interessanten Verbindungsdaten nicht verschlüsselt werden. Das geht technisch ohnehin nicht. Damit wissen die Geheimdienste immer noch, wer mit wem wann E-Mail-Verkehr hat. Da hilft auch Krypto nicht. Richtig absurd wird das Thema, wenn man seine persönlichen Bilder weiterhin auf Facebook oder Google+ postet.

Tools wie OpenPGP sind top um wirklich vertrauenswürdige Daten auszutauschen. Die Einladung zur nächsten Feier zu verschlüsseln, die nebenbei noch auf Facebook gepostet wird, ist total sinnlos. E-Mails sind wie Postkarten. Niemand regt sich darüber auf, dass der Briefträger und viele andere die Urlaubsgrüße lesen können. Aber bei der E-Mail ist es ein Skandal.