Beim Lesen von Heise-Online komme ich ins Grübeln. Wenn die Geheimdienste jedes System angreifen, dessen sie habhaft werden können (nichts anderes erwartete ich von ihnen), um diese Systeme in ein Netzwerk zur Verschleierung ihrer Angreifer zu nutzen, dann entsteht daraus ein zivilrechtliches Problem: Jeder – wirklich jeder – der ein digitales Gerät sein Eigen nennt, welches in der Lage ist, mit dem Internet zu kommunizieren, könnte in illegale Machenschaften verwickelt werden, ohne dass er davon überhaupt etwas weiß.

Die Geheimdienste bedienen sich der Industriespionage, der Sabotage, der Diskreditierung von Aktivisten, Politikern und unliebsamen Wissenschaftlern, in dem ihnen illegales Material untergeschoben werden kann… und irgendwie muss ein solcher Angriff ja sein Zielobjekt erreichen? Genau: Er wird über diese hübsch verteilten ORBs geleitet, damit die wahre Position des Angreifers nicht festgestellt werden kann.

Statt dessen kann der Angriff dann womöglich auf einen unbeteiligten zurückgeführt werden? Wenn also demnächst bei Oma Erna, die das Internet nur nutzt, um per Skype mit ihrer Enkelin zu reden, die im Ausland studiert, eine Hausdurchsuchung stattfindet, weil ihr System für Industriespionage benutzt wurde, Ausgangspunkt eines DDoS-Angriffs war, die innere Sicherheit durch einen Zugriff auf Regierungssysteme gefährdete oder zur Verbreitung von Kinderpornografie verwendet wurde, würde mich das nicht im Geringsten wundern. Dann gehörte ihr Endgerät leider zum ORB-Netzwerk. Tja, schade.

Letztendlich heißt das nichts anderes, als dass wir alle zu unfreiwilligen Helfern bei illegalen Machenschaften werden.

Jeder von uns könnte damit rein zufällig als „Vermittler“ für einen Angriff auf ein Geheimdienstziel den Kopf hinhalten müssen. Die Argumentation, man selbst wär’s nicht gewesen, dürfte kaum aus der Patsche helfen, denn die illegalen Machenschaften gingen ja vom eigenen Rechner, Smartphone oder Tablet aus. Hinterlässt man dann die passenden Spuren (was ich voraussetze, denn schließlich möchte man ja den Angriff verschleiern – also so tun, als wär’s jemand anders gewesen), dann kann man das ORB-System auch so aussehen lassen, als wäre es wirklich das schuldige. Da fällt es dann schwer zu argumentieren, man wäre nicht derjenige gewesen, der den Hack auf einen Industrieserver durchgeführt hat, wenn auf dem eigenen Rechner dann auch noch die passende Software für einen solchen Angriff gefunden wird. „Ich weiß aucht nicht, wie die da hin kommt?!?“ wird dann vermutlich nicht als gerichtsfeste Argumentation gelten. Und da hier Zero-Day-Lücken ausgenutzt werden, kann man auch so viel patchen wie man will – man hat im Grunde keine Chance nicht zufällig als Mittäter und potenzielles Bauernofper dazustehen.

Politische Lösungen sind, wie man an der Untätigkeit der Bundesregierung sehen kann, offenbar gar nicht gewollt.

Möchte jemand Computer, Festplatten und Co. kaufen? Ich glaub, ich zieh in eine einsame Berghütte.

Tagged with:  
Tagged with:  

Eben gerade machte Heise.de darauf aufmerksam, dass auf der TrueCrypt-Seite der Hinweis zu finden wäre, dass die Software nicht sicher ist. Das ist nur insofern erstaunlich, als dass eine kürzlich erst stattgefundene Überprüfung des Quellcodes keine Sicherheitslücken ergeben hat. Auch der Heise Verlag vermutet, dass die Entwickler der Verschlüsselungssoftware einen NSL bekommen haben, der sie zur Herausgabe der Schlüssel verpflichtet. Damit dürften sie nicht darauf hinweisen, dass sie dazu aufgefordert werden – um die Nutzer zu schützen, wäre es lediglich logisch, dass sie von der weiteren Nutzung der Software abraten.

Hierzu gibt es etwas zu bedenken: da die Software quelloffen ist, gibt es nichts, was den Sicherheitsbehörden übergeben werden könnte. Passwörter werden schließlich und endlich nicht auf irgend einem Server gespeichert. Es ist also anzunehmen, dass die Software so sicher ist, dass die Behörden in verschlüsselte Container nicht hineingucken können. Der ist es ebenfalls verständlich, dass man nicht möchte, dass diese Software benutzt wird.

Nun ist es allerdings relativ einfach, die meisten Passwörter zu knacken. Insbesondere dann, wenn sie aus Zahlen und Buchstaben bestehen, sind sie nicht sonderlich sicher. Das klingt abenteuerlich, lässt sich aber auch relativ einfach beweisen. Es wird immer wieder empfohlen, dass ein Passwort mindestens 16 Zeichen haben soll und aus Zahlen und Buchstaben und Sonderzeichen zu bestehen hat. Je mehr Zeichen desto besser.

Noch viel sicherer ist allerdings ein Passwort, das aus zufälligen Worten besteht. Nun könnte man davon ausgehen, dass hier eine Wörterbuchattacke das Passwort in Sekunden zu Fall bringt. Nun, wie lange es für einen durchschnittlichen Computer dauert, ein aus zufälligen Worten bestehendes Passwort zu errechnen, kann auf dieser Website jeder nachvollziehen: https://howsecureismypassword.net/

Nehmen wir in den einfachen kleinen Satz „Dies ist ein sicheres Passwort“. Das Ergebnis ist erstaunlich:

Passwortsicherheit

Das macht es selbstverständlich einfach, sich für jede Website einfach einen Satz auszudenken, mit dem man sich dort eingeloggt. Allerdings – und das halte ich für ernsthaft problematisch – sind erstaunlich viele Websites nicht in der Lage, Passwörter mit einer Länge über 16 Zeichen überhaupt anzunehmen. Erst kürzlich habe ich mal wieder einen Satz neuer Passwörter generiert und dabei festgestellt, wie oft doch eine Begrenzung auf diese mysteriösen 16 Zeichen vorhanden ist.

Aber zurück zum Thema TrueCrypt:

Bisher kann ich keinen nachvollziehbaren Grund erkennen, warum man die Version 7.1a nicht benutzen sollte. Schließlich sind ja keine Lücken gefunden worden. Zumindest nicht im ersten Durchgang. Dafür, sollte man sich vielleicht nun ein neues Passwort ausdenken. Und wie wir sehen, kann dieses Passwort aus leicht zu merkenden Worten bestehen, bei denen eine Berechnung unglaublich lange dauern. Zum Glück nimmt die Software auch solch unglaublich lange Passwörter an.

Also dann: Ändert brav eure Passwörter. 😉

 

Tagged with:  

Alle liefen auf ihre Ketten zu, im Glauben, ihre Freiheit zu sichern; denn sie hatten zwar genügend Vernunft, um die Vorteile einer politischen Einrichtung zu ahnen, aber nicht genügend Erfahrung, um deren Gefahren vorherzusehen. [1]

Seit Wochen erregen sich die Gemüter im Internet, weil nun bekannt wurde, dass alles was irgendwie elektronisch kommuniziert wird, überwacht und analysiert wird. Im Namen der Sicherheit und der Freiheit wird jedwede Kommunikation automatisch analysiert. Und eigentlich sollte das ein Skandal von außerordentlicher Tragweite sein – ja sogar ein kriegerischer Akt, wenn in einem derartigen Maße spioniert wird. Die Offline-Welt dreht sich allerdings ungerührt weiter. Warum auch nicht? Die Bürger gehen davon aus, dass unsere Regierung wusste, in welchem Umfang überwacht wird, ihre Wahlentscheidung wird sich dadurch aber nicht ändern. Und die Bundesregierung wartet erst einmal ab, was die amerikanischen Freunde in ihrer Untersuchung über die Anschuldigungen zu Tage bringen. Dass hier nicht mehr viel untersucht werden muss, dürfte klar sein. Die Geheimnisse liegen auf dem Tisch und es kommen immer mehr ans Tageslicht. Das sich nun aber nicht auf die Weise aufgeregt wird, wie sich aufgeregt werden müsste, ist für mich fast schon verständlich.

Die unsichtbaren Ketten der Freiheit

Bisher konnten wir uns alle frei fühlen. Tun und denken, was wir wollten, ohne große Konsequenzen. Selbst dann, wenn es staatskritische Gedanken waren und selbst dann, wenn aktuell politisch heiße Themen behandelt wurden. Es herrschte bisher Meinungsfreiheit und auch kritische Meinungen durfte frei geäußert werden. Ja, wir durften uns frei fühlen.
Jetzt wissen wir, dass wir niemals frei waren. Schon seit Ende des zweiten Weltkriegs haben die alliierten Streitkräfte umfangreiche Abhörbefugnisse. Postkontrolle, Abhörung von Telefonen durch das Echelon-Programm und jetzt die Kontrolle sämtlicher digitaler Kommunikation und jeder Datenbewegung durch Programme wie Tempora und Prims. Mit anderen Worten: Ich bin unfrei geboren, unfrei aufgewachsen und fühlte mich dennoch frei.

Wenn ich jetzt weiß, dass ich niemals frei war, sondern dass ohnehin all meine Kommunikation mehr oder weniger automatisch und nunmehr durch Algorithmen überwacht wurde, ändert sich dann etwas für mich? Nun, qualitativ ändert sich mein Gefühl. Unterschwellig habe ich Angst. Da muss es also das eine oder andere Expertensystem geben, das mich kennt. Ein System, dass weiß, was ich kaufe, was ich mag, was ich denke, wie ich fühle und wie ich auf Umweltveränderungen reagiere. Irgendein System kann besser vorausberechnen, was ich tun werde, als ich es selbst vorhersehen kann. Würde ich an ein Konzept wie die Willensfreiheit glauben, hätte ich jetzt eine ernsthafte Sinnkrise. Nein, vielmehr fürchte ich, dass irgendetwas von dem, was die Systeme über mich wissen, gegen mich verwendet werden könnte. Eine diffuse Unsicherheit macht sich breit.

Wir waren schon immer ein Überwachungsstaat

Eine derartige Angst ist aber vernünftig gar nicht zu begründen. Ich weiß jetzt, dass ich niemals frei war. Die Wächter vor meinem Arbeitszimmer hatten nie die Absicht, mich raus zu lassen – ich wusste nur nicht, dass sie da sind und ich wollte auch nie raus. Vernünftig muss ich keine Angst haben – denn, wenn eines der Expertensysteme auf die Idee gekommen wäre, dass ich potenziell gefährlich wäre, hätte es vermutlich schon vor Jahren Alarm geschlagen.

Unter diesen Aspekten ist mir vollkommen verständlich, dass die Bundesregierung erst einmal gar nichts macht und das Ganze aussitzen will. Auch die Aussagen von Herrn Friedrich werden sinnvoll. Die Technologie wird seit Jahrzehnten immer besser und seit dem zweiten Weltkrieg werden wir alle offiziell abgehört. Aber auch schon davor, denn die GeStaPo und die Stasi dürfen wir ja nicht vergessen.

Wenn sich in einem überwachten Staat die Aktivisten dagegen auflehnen, dass Unternehmen Daten sammeln, weil sie ja Kontrolle ausüben könnten, die jenseits einer demokratischen Kontrolle ist, wirkt das geradezu witzig. Und auch wenn sie sich jetzt gegen staatliche Überwachung auflehnen, wird es nicht viel besser. Es gab nie etwas wie eine demokratische Kontrolle. Auf dem Papier haben wir Grundrechte. Und manchmal werden sie sogar beachtet. Aber auch wir hier in Deutschland kennen Menschenrechtsverletzungen zu Genüge (ich denke nur an das Asylrecht).

Nun gut. Also bleiben wir ruhig (Ruhe ist die erste Bürgerpflicht, hieß es ja schon im Kaiserreich), und vergessen die unsichtbaren Ketten unserer Freiheit wieder. Sprengen werden wir sie auf friedlichem Wege kaum können.

Footnotes    (↵ returns to text)

  1. Jean-Jacques Roussau, 2. Diskurs, 2. Teil, S. 219., gefunden hier: http://www.thomasfleiner.ch/files/categories/Lehrstuhl/Rousseau.pdf
Tagged with:  
%d Bloggern gefällt das: