Datensommer Schützen Sie Ihre Daten - wie Ihre Haut - vor schädlichen Einflüssen.

Ebenso, wie wir immer stärkere Lichtschutzfaktoren in unserer Sonnenmilch brauchen, benötigen immer sensibler werdende Daten einen adäquaten Schutz. Die "Beleuchtung" massiv grosser Datenmengen durch einzelne Instanzen stellt sich als ebenso schädlich wie ungewollt dar. Wir möchten Sie, den schädlichen Auswirkungen des Sonnenlichtes ungeschützt ausgesetzt, nicht alleine lassen.

Im aktuellen Datensommer geht es dieses mal um demokratische Grundgedanken, viel Licht und dem Schutz vor schädlichen Einflüssen.

Wissen ist Macht ‐ und kann missbraucht werden

Argumente wie "ich habe nichts zu verbergen" oder "ich kann dagegen ja eh nichts unternehmen" sind Gedanken in die falsche Richtung. Das Ausspähen von Daten geht, wie uns die jüngsten Ereignisse lehren, direkt konträr zu unseren - und den europäisch- demokratischen Grundsätzen und erschüttern dessen Manifeste. Es werden mit äusserst fragwürdigen Mitteln massiv viele Daten blind gesammelt. Was heute oder morgen mit diesen Daten möglich sein wird, lässt sich nur vermuten, selten vorhersagen oder gar beweisen. Dabei geht es um Wirtschaftsspionage, politische Vorteilnahme, gläserne Internetnutzer, Verketten von Daten und vieles mehr. Dies beinhaltet das massenweise Mitlesen von Bankverbindungen, Gesundheitsdaten, Firmenunterlagen, aber auch E-Mails oder Telefongesprächen. Unmittelbare Reaktionen und Konsequenzen müssen sowohl auf politischer- wie wirtschaftlicher Ebene folgen.

Nach der Ohnmacht: das Erwachen

Ein Ruck geht durch Europa. Die jüngsten Reaktionen seitens der EU nehmen sich des Themas u.a. im Rahmen der anstehenden europäischen Datenschutz-Grundverordnung an, die jedoch unter fachlich anerkannten Datenschutzbeauftragten inhaltlich nicht unumstritten ist. Trotz alledem ist diese Reaktion ein Schritt in die richtige Richtung; zeigt sie doch, dass es dem europäischem Volk nicht egal ist, was mit ihren Daten geschieht. So hat die Vize-Präsidentin der Europäischen Union Viviane Reding die datenschutzrechtliche Problematik thematisiert, und als unmittelbare Reaktion bereits im Juni einen Katalog mit Fragen zu den Spähvorwürfen an die Verantwortlichen in den USA gestellt.

Auf Seiten der USA regt sich ebenso Kritik. Der international anerkannte Kryptographie-Experte Bruce Schneier ermuntert "Whistleblower", und wirft der US-Regierung "Verrat am Internet" vor. Auch die amerikanische Electronic Frontier Foundation (EFF) geht kontrovers mit dem Thema um, sind doch US-Amerikaner, trotz früher Dementis, ebenso von den Vorfällen betroffen.

Diese Hoffnungsschimmer gilt es permanent weiter zu beobachten, kontrovers zu diskutieren und durch Aufklärung und angepasste Sicherheitsmaßnahmen zu determinieren.

Die Reaktionen der Politik

Nach den jüngsten Vorwürfen, die NSA würde den Zahlungsverkehr der europäischen Banken und Kreditinstitute überwachen, kommen erste scharfe Reaktionen seitens der EU-Innenkommissarin Cecilia Malmström bezüglich des bilateralen Vertrags zum Datenaustausch (SWIFT Abkommen):
"Wenn es wahr ist, dass sie die Informationen mit anderen Behörden teilen, für andere Zwecke, als das Abkommen vorsieht, (…) müssen wir darüber nachdenken, das Abkommen zu beenden." (Quelle: Spiegel Online)

Gemessen an den Reaktionen, scheint einzig den Datenschützern die Abhöraffäre ein Dorn im Auge zu sein. Dementsprechend die Reaktion der EU-Justizkommissarin Viviane Reding:

"PRISM ist ein Weckruf für den Datenschutz." (Quelle: SZ vom 19.07.2013)

Auch wenn dem Bundespräsidenten Gauck an einer Aufklärung gelegen ist, so verweigert das Innenministerium dem Bundesdatenschutzbeauftragten Peter Schaar die geforderte Auskunft. Überdies ziert sich die Bundesregierung, im Gegensatz zum französischem Ministerpräsidenten, das anstehende Freihandelsabkommen von der Frage des Informations- und Datenschutzes abhängig zu machen.

(Ver)früh(t)e Reaktionen:

Nach der monatelangen Lähmung ‐ das Dementi durch Kanzleramtsminister Roland Pofalla:

"Es gibt in Deutschland keine millionenfache Grundrechtsverletzung." (Quelle: SZ vom 14.08.2013)
Diese Aussage kann sogar der Wahrheit entsprechen, ist aber nicht die Antwort auf die eigentliche Fragestellung zur Datensammelwut seitens der Geheimdienste NSA & GCHQ. Es geht doch in erster Linie gar nicht darum, wo Daten abgegriffen werden, sondern dass dies in grossem Maße geschieht.

Auch die "klare Antwort" die Innenminister Hans-Peter Friedrich von Vizepräsident Jo Biden und Justizminister Eric Holder erhielt, ist klar wie Kloßbrühe:

"Die Vereinigten Staaten betreiben keine Industriespionage gegen deutsche Unternehmen." (Quelle: Telepolis vom 13.07.2013)
Das die USA mit Ihren Partnern Grossbritanien, Kanada, Australien und Neuseeland (dem Geheimdienstbündnis "Five Eyes") jedoch nachweislich mindestens seit der Abhöreinrichtung Echelon Wirtschaftsspionage betreiben, ist hier wohl vergessen worden. Auch das Ausspähen eines der grössten bolivianischen Unternehmens Pedropras lässt sich nicht mehr mit Terrorismusbekämpfung rechtfertigen. Zudem werden weltweit etliche Staatsoberhäpter gezielt von der NSA überwacht. Dazu ässert sich unsere Politik bisher nicht.
Selbst die Aufhebung des Abkommens über den Einsatz der US-Geheimdienste auf deutschem Boden dürfte Augenwischerei sein, ist den Geheimdiensten doch die Überwachung ausländischer Personen immer noch gestattet und der Datenverkehr wird ausserhalb Deutschlands angezapft.

Die New York Times, der Guardian und ProPublica wurden nach eigenen Angaben von den Geheimdiensten massiv bedrängt, Informationen zu den Möglichkeiten der Entschlüsselung und des Zugriffs auf zu verschlüsselnde Daten nicht zu veröffentlichen; man einigte sich, in den Artikeln keine Namen von Produkten und Herstellern zu nennen. In diesem Zusammenhang verwundert die aktuelle Stellungnahme von Vize-Regierungssprecher Georg Streiter:

"Wir haben keine Anhaltspunkte dafür, dass die Behauptungen von Herrn Snowden zutreffend sind; insofern raten wir weiter zur Verschlüsselung." (Quelle: Heise vom 06.09.2013)

Diese Aussagen stellen eine Verharmlosung der Sache- und Möglichkeiten dar - wobei wir lange nicht alles wissen, was die Geheimdienste diesseits und jenseits des Atlantiks so treiben. Es gilt jedoch nach wie vor der von Bruce Schneier angeführte Grundsatz: "Verschlüsselung ist Dein Freund.", wenn sie richtig eingesetzt wird.

Die Reaktionen der Geheimdienste

Nach der Reaktion der NSA den Zugriff ihrer Mitarbeiter auf sensible Daten einzuschränken, hat der Britische Geheimdienst GCHQ versucht, Datenmaterial vernichten zu lassen und mit der Berichterstattung befasste Quellen massiv bedrängt. Zum Thema berichtende Reporter wurden eingeschüchtert. Der Lebensgefährt des Enthüllungsjournalists Glenn Greenwald wurde auf Grund des britischen "Anti Terrorism Act 2000" fast 9 Stunden festgehalten und befragt, seine elektronische Ausrüstung wie Handy, Kamera und Laptop beschlagnahmt. Ob dies im Konsens des rechtsstaatlichen freiheitlichen Grundgedanke geschieht, darf stark bezweifelt werden. Sowohl Amnesty International wie auch die Vereinigung Reporter ohne Grenzen protestierten scharf gegen dieses Vorgehen und britische Politiker reagierten besorgt. Die Unprofessionalität im Umgang mit dem Thema lässt den britischen Geheimdienst GCHQ alt aussehen ‐ existieren doch mehrere Kopien der Informationsinhalte. Die versuchte "Schadensbegrenzung" seitens der an den Pranger gestellten Geheimdienste kann eher als Beweis ihrer Ohnmacht und Versuch der Einschüchterung verstanden werden.

Die jüngsten Vorwürfen die Geheimdienste wären in der Lage TLS / SSL und VPN verschlüsselte Inhalte im Klartext mitzulesen, sollten jeden aufhorchen lassen, der Verschlüsselungs-Technologie als Closed-Source Produkt oder ohne Perfect Forward Secrecy einsetzt. Immerhin werden mittels TLS / SSL wichtige Kommunikationskanäle für Webzugriffe, VOIP, etc. abgesichert und wenn Sie in Ihrem Unternehmen noch Verschlüsselung basierend auf eliptischen Kurfen einsetzen, sollten Sie den Einsatz dieser Algorithmen überprüfen. Vor dem Einsatz des durch die NSA mit einer Hintertür versehenen Zufallszahlengenerator Dual_EC_DRBG wurde bereits 2007 durch Bruce Schneier gewarnt. Trotz alledem ‐ oder grade deswegen? wurde dieser Algorithmus in Windows Vista implementiert.

Die Reaktionen der Wirtschaft

Die Wirtschaft reagiert einhellig mit der Bestrebung eine "stärkere Fokusierung auf europäische Technologien und Konzerne" zu setzen. Es werden ad-hoc Massnahmen, wie die längst überfällige Verschlüsselung von Datenstrecken zwischen Providern angekündigt, die nur einen Teil des Gesamtsystems absichern (und das auch nur von einigen wenigen Providern). Andere Provider wie Silent Circle oder Lavabit sehen sich gezwungen ihre Dienste zum Schutz ihrer Kunden einzustellen. Wirtschaftsverbände warnen vor der Speicherung von Daten bei US-amerikanischen Cloud Dienstleistern. Auch dies sind Reaktionen aus der Wirtschaft.

Die technischen Probleme sind jedoch viel grundlegender Natur. So ist es bspw. nach wie vor möglich, DNS-Server zu kapern, solange kein flächendeckendes DNSSEC als Standard umgesetzt ist; und auch für Cloud-Dienste gibt es sichere Verfahren, so dass niemand die Klartextdaten unauthorisiert einsehen kann.

Es werde jedoch immer nur die technischen Massnahmen zitiert und zur Problemlösung herangezogen. Dabei fehlt es neben technischen Unzulänglichkeiten an Gesamtkonzepten zur Wahrung Ihrer - und unserer Wirtschaftinteressen. Das fängt an, mit dem bereits oben erwähnten Grundverständnis von Recht & Freiheit, dessen standhafte Verteidigung und geht über in ein (oder mehrere) organisatorische Sicherheitskonzepte. Diese Thematik ist jedoch so umfangreich und komplex, dass es gut ausgebildeter und erfahrener Experten bedarf um die Schutzziele nachhaltig zu wahren.

Wahren Sie Ihren Wirtschaftsvorteil

Immer neue Sicherheitsvorfälle und Abhörskandale zeigen uns das wirtschaftliche Interesse Dritter an Daten & Informationen. Dabei wird vor keiner Institution, keinem Gewerbezweig und keinem Privatanwender halt gemacht. Alle Arten von Informationen werden gesammelt, ausgewertet und zum wirtschaftlichen Vorteil missbraucht. Lassen Sie sich dies nicht länger gefallen. Schützen Sie ihre Informationen und Daten jetzt!.

In diesem Kontext ist der Schutz Ihrer Daten bspw. mit folgenden, einfachen Mitteln möglich:

Zur durchgängig sicheren Übertragung von Daten mit Ende-zu Ende Verschlüsselung sind quelloffene Verfahren wie bspw. die freie Gnu-PG oder das digitale Einschreiben mit Rückschein (dER) bekannt. Video-Chats und Telefongespräche lassen sich mit dem ebenfalls quelloffenem Dienst Jitsi im Gegensatz zu Skype abhörsicher durchführen.

Neben Cloud Anbietern die Ihre Daten ausschliesslich unter Beachtung der strengen europäischen Datenschutzrichtlinien behandeln, sollten die Vorteile einer firmeninternen Cloud Lösung nicht unerwähnt bleiben. Damit behalten Sie die Kontrolle über Ihre Daten und können diese auch noch hochverfügbar, revisionssicher und verschlüsselt sicher ablegen. Zur Realisierung einer vollständig internen Firmen-Cloud lässt sich bspw. vorhandene interne Hardware ohne zusätzliche Anschaffungskosten nutzen. Mit solch einer Lösung geben Sie Dritten Ihre Daten gar nicht erst in die Hand und minimieren somit das Risiko des Abgreifens von Daten durch Unbefugte ohne auf die Vorteile Cloud-basierter Lösungen verzichten zu müssen.

Es muss auch nicht unbedingt ein US-amerikanischer Dienstleister oder Produkt sein, die eingesetzt werden. So gibt es bspw. bereits seit 2005 die vom BMI unterstützte Initiative IT Security Made in Germany, die Allianz für Cybersicherheit des BSI und weitere, europaweit ausgerichtete Institutionen wie die enisa. Suchmaschinen wie ixquick wahren Anonymität bei Suchanfragen im Internet und wer anonym im Internet browsen will, nutzt JAP oder TOR. Zum Schutz ihrer Kunden, sollten Webseitenbetreiber die Verschlüsselung ihres Webservers auf Perfect Forward Secrecy umstellen. Damit sind Inhaltsdaten von Webserveranfragen inhaltlich nicht mehr nachvollziehbar. Diese Möglichkeit wird von Datenschützern als das Recht auf vergessenwerden seit langem gefordert und schliesst die von den Geheimdiensten durchgeführte nachträgliche Entschlüsselung der Dateninhalte aus.

Es gibt Alternativen, sichere Verfahren und Techniken; oft werden sie jedoch aus Unkenntnis nicht- oder nicht richtig eingesetzt. Mit COTS (Commercial of the shelf) Produkten lässt sich Informationssicherheit nicht wirklich sinnvoll umsetzen, zumal grade bei diesen Produkten mit Hintertüren und eingebauten Schwachstellen zu rechnen ist. Wer heute noch diese Click & Buy Mentalität verfolgt, sollte sich schleunigst umorientieren, wenn ihm an der Sicherheit seiner Information gelegen ist. Für funktionierende ganzheitliche Sicherheit benötigt man tatsächlich viel Erfahrung und fachkundige Unterstützung. Genau dafür sind (Informations-Sicherheits) Experten da. Ihre Sonnenmilch kaufen Sie ja auch nicht im Weinkontor.

Damit Ihre Daten Ihre Daten bleiben

Es ist nie zu spät sich über den Schutz sensibler Daten Gedanken zu machen. Die NSA hat dies schmerzvoll erfahren müssen und darauf mit der Einführung des 4-Augen Prinzips und des Abschaffens von weitreichenden Administratorrechten reagiert.

Sie sollten ebenfalls die Rechteverwaltung Ihrer Systeme überprüfen und das Need-to Prinzip einführen. Der Umgang mit sensiblen Daten verlangt darüber hinaus ein systematisches Vorgehen, wie mit diesen umzugehen ist. So sollten bspw. sensible Daten immer mit einem sicheren Verfahren verschlüsselt werden und nur denjenigen im Klartext zugänglich sein, die diese Informationen benötigen. Neben den technischen Mindestmassnahmen sind aber auch organisatorische zu berücksichtigen. Die Veröffentlichung der Späh- und Schnüffelaktionen der Geheimdienste erfolgte durch einen internen Mitarbeiter, der sich mit diesem Vorgehen nicht identifizieren konnte bzw. wollte. Und dies ist kein Einzelfall. Ihre Mitarbeiter sollten sich also mit der Firmenphilosophie identifizieren können. Auf die Zufriedenheit der Einzelnen- und der Gruppe sollten die Verantwortlichen aus eigenem Interesse ein Auge haben. Schliesslich leisten Ihre Mitarbeiter einen wertvollen Beitrag innerhalb der Wertschöpfungskette Ihres Unternehmens.

Organisieren Sie sich

Jetzt aufzugeben hieße, all unsere Errungenschaften im Datenschutz über Bord zu werfen und der Big-Brother Mentalität der Geheimdienste in die Hände zu spielen. Damit dies nicht passiert und wir unsere freiheitlich demokratischen Grundwerte weiterhin schützen, ist jeder zum verantwortungsvollen Umgang mit Daten aufgerufen.

Wir haben noch lange nicht die Tiefe des gesamten Skandals erfassen können und manche Informationen werden uns im Detail sicherlich nie erreichen. Doch dies ist ein Weckruf, mit unserem Demokratieverständnis verantwortlich zum Schutz gemeinsamer Werte gegenüber anderen Interessen wirksam zu begegnen.

Der europäische Wirtschaftsraum umfasst etwa gleich viele Einwohner- und ist mit seinem BIP in etwa auf gleichem Niveau wie die USA. Wir können mit den Vereinigten Staaten also durchaus auf Augenhöhe reden - und sollten dies auch tun. Das gilt sowohl für die Politik, wie auch für die Wirtschaft.

Wenn Unternehmen sich zu Verbänden zusammenschliessen, so machen sie dies um eine gewichtigere Stimme zu haben und mehr Einfluss als ein Einzelunternehmen zu haben. Dies gilt auch für die Informationssicherheit und den Datenschutz. Verbände wie BITKOM, ASW, ENISA, GDD e.V., BvD e.V. etc. arbeiten auf europäischer Ebene und fungieren als Sprachrohr. Diese wichtige Lobyarbeit verlangt natürlich Unterstützung, wenn man gemeinsam mehr erreichen will.

Weitere Quellen zum Thema

Wikipedia Eintrag zu PRISM
Wikipedia Eintrag zu Edward Snowden
Zusammenfassung der Reaktion der EU zum Datenschutz (Quelle DW)
Pressemitteilung des ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein)
Heise NSA-Überwachungsskandal: PRISM, Tempora und Co. - was bisher geschah
Heise Artikel zur Absenkung des Schutzniveaus der DE-Mail
Ausführliche Berichterstattung des ZDF
Kommentar auf Spiegel Online zu Roland Pofallas Placebo
Interview mit PGP Erfinder Philip Zimmermann
Warum die NSA-Affaire uns alle angeht. Ein Kommentar von Jo Bager
ProPublica, unabhängige Non-Profit Organisation für investigativen Journalismus
Verschlüsselung ist Dein Freund. (Artikel von Bruce Schneier auf heise.de)
Themen rund um den NSA-Skandal auf golem.de
Chronologie zum NSA-Skandal auf golem.de
Blog zur NSA, SWIFT, DHS auf Crooked Timber