piwik no script img

Schlüsselfragen des DatenschutzesBehörden müssen getrimmt werden

Höchste Zeit, dass das Recht auf Datensicherheit ernster genommen wird. Noch arbeiten viele staatliche Stellen und Firmen mit unverschlüsselten E-Mails.

In der Welt des Netzes sind überall Augen und Ohren. Bild: imago / alimdi

Seitdem der frühere NSA-Mitarbeiter Edward Snowden begonnen hat, die Welt über die gewaltige Datensammelei des US-Geheimdienstes aufzuklären, vergeht kein Tag ohne neue bemerkenswerte Enthüllungen. Bislang habe seine Zeitung erst 1 Prozent des Snowden-Materials veröffentlicht, sagte der Chefredakteur des Londoner Guardian, Alan Rusbridger, in dieser Woche vor dem britischen Parlament.

So viel steht immerhin schon fest: Wer seine Privat- und Intimsphäre und andere wichtige Informationen schützen will, der muss sich selbst vorsehen, Mails nur verschlüsselt oder im Zweifel gar nicht per Handy oder Internet versenden. Für besseren Datenschutz sind aber auch die staatlichen Behörden und die Wirtschaft zuständig. Hier ein paar Empfehlungen:

Was kann die EU tun?

Sie kann Standards setzen. Bislang sind Google, Facebook und Co fein raus: Nicht nur, was das hiesige Steuerrecht angeht, auch in Sachen Datenschutz können sie sich zurücklehnen. Schließlich haben sie ihren Sitz nicht innerhalb Europas. Dieses Dilemma kann die Datenschutzgrundverordnung, die derzeit im EU-Ministerrat diskutiert wird, lösen: Jedes Unternehmen, das in Europa tätig wird, soll sich demnach an europäische Standards halten. Dazu gehört zum Beispiel das Recht auf Löschung der eigenen Daten. Strafen sollen bis zu fünf Prozent des Jahresumsatzes betragen dürfen. Allerdings wackelt es bei der Umsetzung: Vor allem Deutschland pocht auf niedrige Standards.

Ein weiterer wichtiger Schritt: Datenberge abbauen. Adresse, Geburtsdatum, Kontoverbindungen, Infos darüber, wer mit wem zu welcher Zeit telefoniert hat – bei den Providern liegt ein echter Schatz an persönlichen Informationen. Und die EU hat diesen noch vergrößert: Sie schreibt seit 2006 vor, dass Telefon- und Internetanbieter sechs Monate speichern müssen, mit wem ihre Kunden von wo aus wie lange telefoniert und an wen sie eine E-Mail oder eine SMS geschickt haben. Am besten wäre es, Provider dürften nur noch die Kundeninformationen speichern, die sie für die Abrechnung benötigen, und auch nur so lange. Das würde das Datenaufkommen deutlich reduzieren. Die Chance dafür ist jedoch extrem gering: Union und SPD haben die Vorratsdatenspeicherung schon im Koalitionsvertrag verankert.

Was kann die Bundesregierung tun?

Wenn die Regierung Pilotprojekte zur Elektromobilität mit Millionen unterstützt – warum kann sie nicht auch die privatsphärenfreundliche Kommunikation, das heißt die Verschlüsselung fördern, sowohl der Daten in der Cloud als auch das verschlüsselte Telefonat? Schon klar, der Staat hat kein Interesse daran, dass seine Bürger etwas vor ihm verbergen.

Nötig ist es auch, die Behörden zu trimmen: Manchmal kommt man nicht drumherum, per E-Mail mit Ämtern zu kommunizieren – wegen des Steuerbescheids zum Beispiel. Doch längst nicht alle Behörden haben ihre Server so eingestellt, dass sie E-Mails verschlüsselt übertragen. Wer sein Anliegen samt zugehöriger Daten also fix rübermailt, überträgt die Inhalte offen lesbar. Und zwar egal, ob der eigene Anbieter verschlüsselt oder nicht, denn dazu gehören immer zwei. Da die öffentliche Hand das Problem anscheinend nicht von selbst erkennt, braucht es hier wohl eine Anweisung von oben.

Dass sogar Nachzügler wie GMX und die Telekom das hinbekommen haben, zeigt: So schwer kann die Umstellung nicht sein. Vor allem muss der Staat seine eigenen Angebote sicher machen: den neuen Personalausweis etwa, die elektronische Gesundheitskarte oder den Dienst DE-Mail. Während die Bundesregierung betont, der Ausweis sei sicher, hat der Chaos Computer Club (CCC) bereits gezeigt, dass sich die PIN ausspionieren lässt und so Einsicht in persönliche Daten erlaubt – von Name über Anschrift bis zum Datensatz der Rentenversicherung.

Nicht besser ist der Dienst DE-Mail: Eine Verschlüsselung vom Sender bis zum Empfänger gibt es nicht – trotzdem soll der Dienst in der Kommunikation von Bürgern mit Behörden den Brief ersetzen. Problem: Wenn die Bundesregierung unsichere Dienste als sicher verkauft, scheint sie es entweder nicht besser zu wissen oder die Unsicherheit zu wollen.

Was kann die Wirtschaft tun?

Sie kann bedienbare Produkte schaffen. Natürlich wäre es gut, wenn jeder seine eigenen E-Mails verschlüsselte. Programme dafür gibt es genug – wer etwa das freie E-Mail-Programm Thunderbird nutzt, kann dafür das Add-on Enigmail herunterladen. Aber: Bequemlichkeit steht hier meist über dem Wunsch nach Privatsphäre. Soll Verschlüsselung für die breite Masse nutzbar sein, braucht es Angebote auch für jene, die nicht ganz so genau wissen, was ein Browser ist. Es gibt bereits Unternehmen, die daran arbeiten, nicht nur die Übertragung von Mails, sondern auch die Postfächer auf dem Server zu verschlüsseln.

Sie kann die Übermittlung codieren: Nach den ersten Snowden-Enthüllungen war viel von Metadaten die Rede – die nicht den Inhalt einer E-Mail betreffen, sondern etwa Absender- und Empfängeradresse, Uhrzeit und Betreff. Die werden sogar dann im Klartext übertragen, wenn Sender und Empfänger die Verschlüsselungstechnik PGP nutzen – falls die Provider die Übermittlung nicht verschlüsseln.

Das tun mittlerweile immer mehr Anbieter, aber längst nicht alle. Dazu kommt: Nicht alle verwenden eine starke Verschlüsselung, sondern mitunter Techniken, die leicht knackbar sind, gerade für einen Geheimdienst mit der entsprechenden Rechenkapazität.

Dabei gibt es Systeme, die als sicher gelten. Eines heißt Perfect Forward Secrecy und verhindert, dass Dritte nachträglich eine SSL-Verbindung entschlüsseln können. Und natürlich müssen die Daten auf dem Server auch verschlüsselt werden – sonst ist dort das nächste Einfallstor.

Nicht zu vergessen die Webseiten: Wer Waren – einen Dampfkochtopf zum Beispiel – im Internet bestellt, übermittelt meist Namen, Kreditkartendaten und Adresse über das Netz. Mehr Privatsphäre bietet eine Übertragung per https. Ist die Übertragung der Daten verschlüsselt, lässt sich unterwegs nicht erkennen, wer da was verschickt.

Abgreifen an den Backbones

Zwar gab es Berichte darüber, dass die NSA teilweise trotzdem mitlesen kann. Aktuell als stark eingestufte Verschlüsselungsverfahren mit langen Schlüsseln befand aber auch Whistleblower Edward Snowden im Guardian-Interview als sicher.

Die Verschlüsselung muss allerdings auch für die andere Seite gelten: So nützt es nicht viel, wenn der Kunde des Dampfkochtopfhändlers seine Daten über eine verschlüsselte Verbindung eingibt, der Shopbetreiber sie aber unverschlüsselt abruft. Das alles ist nicht kompliziert, aber kleinteilig.

Und zu guter Letzt: sichere Telefonverbindungen. Wie sicher der Inhalt eines Gesprächs beim Mobiltelefonat ist, hängt von verschiedenen Punkten ab. So gilt der alte Netzstandard GSM als leicht zu knacken, das neuere UMTS gilt dagegen als sicherer.

Bei Smartphones gibt es dafür andere Möglichkeiten der Manipulation, wie etwa Trojaner. Doch ein Problem gilt für alle Netze: An den Backbones, den Hauptsträngen im Hintergrund, greifen Geheimdienste die Daten an Schnittstellen trotzdem ab.

Geräte von Geheimnisträgern in Wirtschaft und Politik arbeiten daher mit einer Extrverschlüsselung. Für alle, die keinen vierstelligen Betrag für ihr Telefon ausgeben wollen, würde eine ganz andere und einfache Lösung weiterhelfen: Die Hersteller von Betriebssystemen wie Android und Apple könnten Anwendungen, die eine Ende-zu-Ende-Verschlüsselung aufbauen, vorinstallieren. Das würde den Versteh-ich-doch-sowieso-nicht-Charakter dieser Apps senken und das Sicherheitsniveau der Telefonate immens erhöhen.

Große Hoffnung auf solche Angebote durch die Provider gibt es allerdings nicht: Die Ende-zu-Ende-Verschlüsselung würde mittels Voice over IP über das Internet laufen – die Provider machen ihr Geld mit über das Mobilfunknetz vertelefonierten Minuten.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Mehr zum Thema

8 Kommentare

 / 
  • Prügelknabe Europa

    Wieso setzt sich die Bundesregierung für niedrigere Standards ein, Herr Verkehrsminister von der CSU? Steht dasd auch im Koalitionsvertrag? Wieder so einProjekt mit großen Ankündigun gen für Europa, dabei ist es Deutschland, das auf der Bremse steht und hofft, daß das heimische Publikum das nichtmerkt und Europa als Prügelknabe herhalten muss.

  • ziemlicher schwachsinn wenn man erebt habt wie man als migrant mit erhoehtem telefon bedarf verstirbt wenn es nicht geht und sich niemand darum kuemmert. eigentlich nazischwachsinn.

  • ...posteo.de, sicher, grün, werbefrei und anonym..., ( beste E-mail Anbieter Deutschlands, tipp aus der taz im Sommer 2013 )...,

    schaut alle mal rein, bis denne

  • D
    Desillusionist

    Mir stellt sich bei Lektüre dieses und anderer Artikel zum Thema immer wieder die gleiche Frage: Warum verlangen Menschen gebetsmühlenhaft die Sicherheit von Kommunikationsformen, die aufgrund ihrer technischen Struktur inhärent unsicher sind? Mich erinnert das nur noch als kindliches Trotzverhalten. Bei Erwachsenen nennt man das Dummheit.

     

    Mobiltelefone werden weiterhin abgehört, Mails abgefischt, Codes weiterhin geknackt werden, egal wieviele Beteuerungen wir noch hören und egal wieviel Geld die Bemühungen es zu verhindern noch kosten werden. Was soll das? Geht es nicht vor Allem - wieder einmal - um kostspielige Arbeitsbeschaffungsmaßnahmen, die absehbar zu keinem Ergebnis führen werden, das in irgendeiner vernünftigem Relation zu den Kosten steht?

     

    Wenn ich sicher kommunizieren will, gibt es auch Wege das zu tun. Die Inhalte von Briefen herauszufinden, ist viel, viel schwieriger als ein Handy abzuhören. Und bei Gesprächen auf Waldspaziergängen oder in Fußball-Fankurven muß ich schon auf der BKA-Top-Liste stehen, damit sich jemand die Arbeit macht, da mitzuhören zu wollen.

  • G
    gast

    hallo svenja, ios hat zumindest smime-email-verschlüsselung ab werk an bord.

    • @gast:

      wie schön! - schon daran gedacht, welche Trojaner I-OS noch an Bord hat und wem dieses Betriebssystem berichtet?

  • AS
    auf schutz der privatsphäre bestehen

    Wenn wir alle unsere Mobiltelefone deaktivieren und Verträge kündigen bis die Provider was anderes anbieten - würde sich bestimmt schnell eine Lösung finden. Die Gewerkschaften könnten diesbezüglich gegenüber Arbeitgebern und Schutz der Privatsphäre (Bewegungsdaten) auch eine Rolle spielen. Diese oder eine ähnliche Bewegung werden wir hoffentlich bald erleben ;)

    • D
      Desillusionist
      @auf schutz der privatsphäre bestehen:

      "(...) Wenn wir alle unsere Mobiltelefone deaktivieren und Verträge kündigen bis die Provider was anderes anbieten (...)" - Warum nicht einfacher: Angelegenheiten, die jeder hören kann, übers Handy, alle anderen als Brief oder in persönlichem Gespräch.

       

      Die Provider können keine seriöse Garantie dafür abgeben, daß Telefonate oder Datenverkehr nicht abgehört werden. Wer darauf warten will, kann sein Mobiltelefon lieber gleich zum Recycling bringen. Waum auch nicht - wir haben früher auch ohne gelebt.