Dass jetzt auch Präsident Obama damit begonnen hat, die seit
einem halben Jahr andauernde NSA-Affäre aufzuarbeiten, scheint für viele
Beobachter ein enormer Durchbruch zu sein. In Deutschland ist die Reaktion darauf
sehr unterschiedlich. Bei vielen Kommentatoren scheinen sich die Erwartungen nicht
erfüllt zu haben. Andere äußern sich verhalten positiv, so Clemens
Binninger, der neue Vorsitzende des Parlamentarischen Kontrollgremiums
(PKGr) des Bundestages. Binninger sieht uns ‚auf einem Weg zu einem
gemeinsamen Grundverständnis, welches nicht nur dem Sicherheitsbedürfnis unserer
Staaten Rechnung trägt, sondern auch dem Datenschutz und den Bürgerrechten.‘
Man beachte die Reihenfolge!
Erwartungen, die sich zweifelsohne nicht erfüllten, gingen
in die Richtung, dass der ‚Whistleblower‘ Edward Snowden einen Verdienstorden
erhält, zumindest aber straffrei wieder in die USA einreisen darf. Ebenso nicht
erfüllt hat sich die Hoffnung, dass Obama alle 16 Geheimdienste, zumindest aber
die NSA, auflöst, ober aber in ihren Aufgaben beschneidet. Die NSA ist
lediglich der zweitstärkste der Auslandsdienste, was Geld und Personal
anbetrifft, hinter der CIA. Dazu ist die NSA ausgesprochen zurückhaltend und
passiv. Alle Aktionen liegen nämlich in der Verantwortung der CIA, egal ob sie
Angriff oder Verteidigung betreffen.
Der Cyberkrieg ist (leider) nicht zu Ende
Obama räumt ein, dass übertrieben wurde. Die Staatschefs
befreundeter Länder will man in Zukunft etwas pfleglicher behandeln. Leider
sieht er sich nicht in der Lage, den Cyberkrieg als beendet zu erklären. Das
würde auch alle Experten, die mit der Materie leidlich vertraut sind, vor den
Kopf stoßen. Lediglich über die Zahl der täglichen ‚Kriegshandlungen‘ gehen die
Meinungen auseinander, ebenso über die Zahl der Betroffenen (in der Wirtschaft oder
privat), sowie die Zahl der aktiv beteiligten Länder und Personen. Das vor einem Jahr
in diesem Blog besprochene Buch über Cyberkrieg von Sandro
Gayken enthält diverse Schätzungen. Genau weiß er es auch nicht. Klar ist
nur, dass die amerikanischen Einrichtungen auf der ganzen Welt (weiterhin) das
Angriffsziel Nr. 1 sind. Die Anzahl der täglichen Angriffe ist signifikant.
Viele Leute in Deutschland scheinen überrascht zu sein, dass
Obama keine einseitigen ‚Abrüstungsschritte‘ im Cyberkrieg seitens der USA
vornimmt. Weil Deutschland (relativ) wenig für seine Sicherheit tut, sollten es
die USA auch, ist eine Logik, für die er in seinem Lande wenig Zustimmung findet.
Nachdem die USA mit Tausenden von Kriegstoten dafür bezahlten, dass sie die
Rolle des Weltpolizisten spielten, ziehen sie sich aus diesem Geschäft so
schnell wie möglich zurück. Auch die Länder, die bisher vom direkten Engagement
der USA profitierten, sehen die Rolle der USA heute anders als vor zehn Jahren.
Sie erwarten nur noch Waffen (Nachtsichtgeräte, Drohnen) und
Geheimdienst-Informationen, keine Soldaten mehr.
Dass deutsches Staatsgebiet von Aufklärungssatelliten
überflogen wird, steht nicht zur Diskussion, ebenso wenig die Überwachung des
elektronischen Nachrichtenverkehrs, der nach Deutschland hinein bzw. aus
Deutschland herausfließt. Der innerdeutsche Verkehr (ohne den der Kanzlerin)
bleibt unverändert im Absaugbereich der NSA. Unsere deutschen Geheimdienste
sind nicht ganz unglücklich über das Ergebnis dieser Beratungen. Sie können
ihre Aufgabe nämlich nur erfüllen, wenn sie Unterstützung von ihren
amerikanischen Kollegen bekommen. Das gilt auch innerhalb Deutschlands, wie die
so genannte Sauerland-Gruppe bewies.
Obama ist nicht mehr jugendlich, noch naiv
Obama war es seinem Image und Selbstbildnis schuldig, dass
er einen offenen und ehrlichen Umgang mit den Partnern in der Welt pflegt. Er
hatte dies vor seiner Wahl, z.B. bei seinem Besuch in Berlin, versprochen. Dass
er dieses und andere Versprechen (z.B. Guantanamo betreffend) nicht halten
kann, darunter muss er selbst ganz ordentlich leiden. Obama hat gelernt, was
Verantwortung heißt. Als Präsident und Oberbefehlshaber bekommt er tägliche Briefings,
vor allem von den Leuten, die er mit der Sicherheit des Landes beauftragt hat.
Die Bedrohung des Landes ist echt und größer als der Durchschnittsbürger es für
möglich hält. Ob es zu Anschlägen und Überfällen kommt, dafür trägt er das volle
Risiko. Gleichzeitig wird ihm gesagt, dass die USA die Kapazität haben, dem Unheil
entgegen zu wirken. Dabei ist eine Beschränkung auf nachträgliche Aufklärung
und Abschreckung nicht mehr ausreichend. Es müssen vor allem die Vorbereitungen
und Absichten der Angreifer erkundet werden.
Im Dezember 2013 erhielt er einen ausführlichen Kommissions-Bericht
mit 46 Empfehlungen. In einer Rede, die er Mitte Januar vor den Verantwortlichen
im Justizministerium hielt, erläuterte er, was er davon implementieren will.
Zur Beruhigung der deutschen Kanzlerin gab er noch zusätzlich ein
ZDF-Interview.
Von den ursprünglichen Vorschlägen will Obama (natürlich)
nur den Teil implementieren, der ohne große Erschütterungen und
Umorganisationen möglich ist. Er gesteht zu, dass Ausländern die gleichen
Rechte eingeräumt werden müssen wie Amerikanern, dass nur bei begründetem
Anfangsverdacht (engl. reasonable articulate suspicion) ermittelt werden darf,
dass die Software verbessert werden soll, usw. Mich überrascht es nicht, dass
die USA nicht bereit sind, den Vorsprung aufzugeben, den sie ganz
offensichtlich haben.
Wer soll und kann das Internet kontrollieren?
Vorweg schicken möchte ich, dass der Eindruck falsch ist, dass
das Internet daran schuld ist, dass Computer ausspioniert werden. Die Spionage
hat lediglich neue Möglichkeiten bekommen. Die Frage, wer das Internet
kontrollieren darf, ist ebenfalls nicht neu. Das Ringen um diese Frage ist so
alt wie das Internet. Lange erhob die so genannte Internet-Gemeinde den
Anspruch, dass der Staat unter allen Umständen außen vor bleiben müsse. Einige ‚Internet-Junkies‘
verkündeten bereits, dass sie die gesamte Wirtschaft gleich mitübernehmen
würden. Im Moment scheint dieser Traum zu verfliegen. Das Internet sei kaputt,
beklagen die einen (z.B. Sascha Lobo). Andere meinen, es müsse general-überholt
oder besser vollkommen neu entwickelt werden. Vor einigen Wochen beschrieb ich
in diesem
Blog die Ziele, die von der EU in der Forschung verfolgt werden.
Unter den Ideen, die jetzt kursieren, taucht immer wieder
ein nationales oder rein europäisches Netz auf. In Anbetracht der
internationalen Verknüpfung von Wirtschaft und Wissenschaft kann man diese
Vorschläge nicht ernst nehmen. Noch skurriler wird die Diskussion, wenn auch
nationale Suchmaschinen, Datenbanksysteme oder Betriebssysteme gleich mit
gefordert werden. Politische Gremien, denen vorgeschlagen wird, entsprechende Resolutionen
zu verfassen, kann man nur Zurückhaltung empfehlen. Es sei denn, sie wollen
sich der Lächerlichkeit preisgeben.
Die Frage bleibt, wieweit die Politik sich einschalten muss. Offensichtlich geht es nicht länger, dass man staatliche Interessen völlig ignoriert. Mit Staat ist hier nicht ein einzelner Staat gemeint, sondern die Völkergemeinschaft. Über diesen Fragenkomplex wird es hoffentlich in Zukunft noch eine intensive Diskussion geben. Sie muss auf politischer Ebene ausgetragen werden. Die Fachleute müssen sie allerdings unterstützen. Was sonst dabei herauskommen kann, haben die oben genannten Beispiele gezeigt.
Wie kann ein Informatik-Chef seiner Verantwortung gerecht werden?
Der Informatik-Chef, besser bekannt als Chief Information
Officer (CIO), hat zweifellos die Verantwortung, für das von ihm betreute
Unternehmen eine klare Richtung vorzugeben. Tut er es nicht, hat er jeden
Anspruch verloren, mehr als nur Sachbearbeiter zu sein. Erscheint die gerade
skizzierte Aufgabe als schwierig, so ist dies jedoch kein Grund, ihr aus dem
Wege zu gehen. Primäres Ziel muss sein, realistisch zu informieren. Der CIO
darf kein Wunschdenken predigen.
Ohne vollständig sein zu wollen, gebe ich ein paar
Anhaltspunkte. Jeder CIO muss eine klare Vorstellung davon haben, was das
Internet ist und nicht ist. Einige Gedanken dazu gab es in einem früheren
Eintrag dieses Blogs. Er muss eine fachlich gut fundierte Meinung haben,
die nicht von den fast täglich erscheinenden epochalen Erkenntnissen
irgendwelcher selbst ernannten Internet-Gurus auf den Kopf gestellt wird.
Er muss in einfach zu verstehenden Worten erklären können,
was das Besondere an den von Informatikern verwendeten Medien ist, sowohl den
Speicher- wie den Übertragungsmedien. Ein paar Stichworte: Die Speichermedien
sind zwar Jahrzehnte haltbar, aber nicht ewig. Man muss Vorkehrungen betreiben,
nicht nur gegen das ‚Verblassen‘, sondern vor allem gegen die technische
Überalterung. Gemeint ist damit, dass unsere Medien meist nur von einer Generation
von Gerätetechnik lesbar sind.
Wenn Daten lesbar sind, dann kann es jeder tun, der über die
jeweilige Technik verfügt, ohne dass er Spuren hinterlässt. Wer liest kopiert.
Wenn keine besondere Vorsorge getroffen ist, kann er auch verändern und
löschen. Diese Aussage gilt sowohl für Speicher- wie für Übertragungsmedien.
Übertragungen können per Kabel oder drahtlos erfolgen, und zwar in großen
Massen. Das Abhören ist sehr leicht zu bewerkstelligen. Datenträger (USB
Sticks, externe Platten) können sehr leicht entwendet werden, sowohl dauernd als
auch nur vorübergehend. Einen gewissen Schutz bietet die Chiffrierung. Es ist
eine mathematische Umrechnung. Wer das Verfahren kennt, kann es nachvollziehen.
Wenn nicht, ist es sehr schwierig, aber nicht unmöglich, an die Inhalte zu
gelangen.
Schließlich muss jeder CIO eine praktikable Sicherheitsstrategie
haben. Diese regelt, wer für welche Daten und Medien welche Zugriffsrechte hat,
wie diese Rechte realisiert, fortgeschrieben und überprüft werden und welche
Sicherheitsmaßnahmen ergriffen werden.
Snowden, ein Glücksfall?
In mancher Hinsicht war Edward Snowden ein Glücksfall,
obwohl es vor allem den Amerikanern schwerfällt, dies zu sehen. Er hat viele
Leute aus einem zwar nur eingebildeten Paradies vertrieben. Fast alles, was in
diesem Beitrag diskutiert wurde, wurde durch sein Verhalten beeinflusst. Die
Sicherheitsdiskussionen der Vergangenheit wurden so zu sagen auf den Kopf
gestellt. Plötzlich standen nicht die eigentlichen Angreifer im Vordergrund des
Interesses, sondern die Verteidiger. Vieles was selbstverständlich schien,
wurde in Frage gestellt.
Manchmal erschien es, als ob wir kurz vor der von Sandro
Gayken skizzierten Radikallösung stünden, nämlich der Entinformatisierung und der
Entnetzung. Wir Informatiker müssen uns bewusst sein, wie sehr damit die
Grundlagen unserer beruflichen Tätigkeit ins Wanken geraten. Es muss uns eine
Verpflichtung sein, dafür zu sorgen, dass nicht das Kind mit dem Bade
ausgekippt wird. Vielleicht fällt Ihnen, lieber Leser, ein besseres Bild ein,
um diese Gefahr zu beschreiben.
Nachtrag vom 23.1.2014
Was die Diskussion um die NSA-Affäre so schwierig macht, ist
die Tatsache, dass unterschwellig eine sicherheitspolitische Abwägung
stattfindet, deren sich viele Leute jedoch nicht bewusst sind. Sie ist
innerhalb eines beschränkten Rahmens durchaus sinnvoll.
Man geht davon aus, dass auch die Verbrechensabwehr nicht
mit letzter Präzision arbeiten kann. Ihr unterlaufen manchmal Fehler. Man muss
sich daher fragen: was ist einem lieber, eine Überwachungsmaßnahme oder Kontrolle
zu viel durchgeführt oder ein Verbrechen oder schweres Eigentums- oder Sexualdelikt
zu wenig verhütet oder aufgedeckt. Anders ausgedrückt, sind konkrete Verletzungen
an Leib und Leben schlimmer als die Verletzungen abstrakter Rechte?
Wer so fragt, weiß bereits die Antwort, welche die Mehrheit der
Bevölkerung geben wird. Wem die Antwort nicht gefällt, vermeidet oder
unterdrückt daher die Frage. Es ist offensichtlich, dass viele Leute darauf los
reden, ohne besonders viel nachzudenken. Nachdenken ist ja oft auch
anstrengender als reden.
Einen Terrorakt mit unschuldigen Toten fassen die meisten
Leute als ein Verbrechen auf. Ob es alle Bürger tun, ist durchaus fraglich.
Manche halten Terrorakte aus politischen Gründen für gerechtfertigt.
Diejenigen, die bei uns so denken, trauen sich nicht, es auch laut zu sagen. Es
könnte ja unangenehme Folgen für sie haben (Verdacht des Angriffs auf
freiheitlich demokratische Grundordnung).
In der Terminologie von Clemens Binninger kann man die Frage
auch anders ausdrücken: Hat staatliche Sicherheit Vorrang vor Datenschutz und
Bürgerrechten? Dass die Angelsachsen anders reagieren als wir Deutschen, ist
bekannt. Es ist dies nicht eine Frage der stärkeren Ausprägung des demokratischen
Bewusstseins, sondern von Pragmatismus, ja vielleicht sogar von weltpolitischem
Verantwortungsgefühl. Letzteres ist ja in Deutschland weniger entwickelt als in
einigen andern Ländern.
Nachtrag am 25.1.2014:
Ehe ich das Thema NSA ganz verlasse, möchte ich noch einen
etwas ausgefallenen Gedanken loswerden.
Aus Sicht der Verbrechensverhütung und -aufklärung haben die
Enthüllungen von Edward Snowden nicht nur Nachteile. Es würde mich nämlich nicht
wundern, wenn die Aktivitäten von Terroristen im zweiten Halbjahr 2013
zurückgegangen wären [siehe unten, Nachtrag 7.3.2014]. Auch das hätten wir dann Edward Snowden zu verdanken. Es
ist nämlich nicht auszuschießen, dass sogar potentielle Terroristen überrascht
waren über den Aufwand, den staatliche Stellen ihretwegen betreiben.
Säbelrasseln oder Militärparaden sollen ja eine abschreckende
Wirkung im konventionellen Zwist zwischen Völkern haben. Eine Katze, die mit
einer Schelle um den Hals herumläuft, fängt bekanntlich nur wenige Mäuse. Sie
hält sie aber vermutlich doch davon ab, die Vorräte im Keller anzuknabbern. Es ist
dies die zweitbeste Methode. Sie ist rücksichtsvoller, ja humaner, aber weniger
nachhaltig. Terroristen und Mäuse zu fangen und aus dem Verkehr zu ziehen, das
wäre nachhaltig.
Noch ein anderes Bild möchte ich zur Erklärung anführen.
Radarfallen werden deshalb hinter Hecken oder Zäunen aufgestellt, um die Raser
auf frischer Tat zu überführen. Würde man stattdessen alle 2-3 km eine
Pappnachbildung eines Polizisten hinstellen, hätte das auch einen Effekt auf
die Verkehrsmoral. Geheimhaltung hat Vorteile. Die Offenheit ist keine reine
Verschwendung.
An sich ist Nachhaltigkeit sehr zu empfehlen, vor allem dann, wenn
der Nachschub an Ressourcen begrenzt ist. Ist der Nachschub schier unbegrenzt
und so leicht zu gewinnen wie bei Terroristen, laufen beide Ansätze auf
dasselbe hinaus. Einige Terroristen mögen angesichts der Stärke der Gegenwehr
ihre Pläne nicht nur zeitlich verschieben, sondern sogar ganz aufgeben. Wie
weit dies der Fall ist, müsste sich aus dem anfangs erwähnten Abflauen ihrer
Aktivitäten ersehen lassen.
Nachtrag vom 7.3.2014
Ich bin immer wieder überrascht, wie einfach es heute ist, Fragen zu beantworten, die früher viel Aufwand gekostet haben. Wikipedia führt u.a. Buch über alle weltweit durchgeführten Sprengstoffanschläge seit 2002. Daraus ergibt sich, dass es zwischen Juli und Dezember 2012 insgesamt 85 Anschläge gab, im selben Zeitraum des Folgejahres jedoch nur 13. Das ist ein Rückgang um 85%. Die Werte pro Monat enthält folgende Tabelle:
Der Anschlag im Dezember 2013 erfolgte aut den Bahnhof der russischen Stadt Wolgograd. Es sollten die Olympischen Spiele in Sotschi verhindert werden.
Nachtrag vom 7.3.2014
Ich bin immer wieder überrascht, wie einfach es heute ist, Fragen zu beantworten, die früher viel Aufwand gekostet haben. Wikipedia führt u.a. Buch über alle weltweit durchgeführten Sprengstoffanschläge seit 2002. Daraus ergibt sich, dass es zwischen Juli und Dezember 2012 insgesamt 85 Anschläge gab, im selben Zeitraum des Folgejahres jedoch nur 13. Das ist ein Rückgang um 85%. Die Werte pro Monat enthält folgende Tabelle:
Der Anschlag im Dezember 2013 erfolgte aut den Bahnhof der russischen Stadt Wolgograd. Es sollten die Olympischen Spiele in Sotschi verhindert werden.
Many decades ago, J. Edgar Hoover, the founder of the FBI, was granted special telephone tapping rights in order to investigate organized crime and later Communists. He used that ability to spy on senior members of his own government to his personal advantage. It is likely that he blackmailed Franklin Roosevelt as a start, and then continued from one President to the next until his death. The conclusion I made from this history is that my conversations on the phone were not private, and that conversations in person were not private either, as they could be monitored through long range listening devices. That is certainly true for Internet traffic as well in my eyes - criminal AND governmental have access to my humble communications that go over the internet. I have no expectation of privacy there. Should anyone? Can we believe in a policy of "Don't look there !! You are forbidden from casting any glance in that direction !!" This applies also to the gathering of personal data - there might well be laws against it - they are unenforceable. What sense is such a law?
AntwortenLöschenThe Internet knows no national borders. No Visas! No border patrol! There are some meager attempts at applying national law to Internet traffic - very meager. "This is your Captain speaking, we are now in German cyberspace!"
On the first day of "Open Enrollment" for healthcare insurance here in America (the most important day of the year for this type of business), a collection of computers in Germany began a DOS (denial of service) attack against a health insurance client I was working for. This likely was initiated by a local business competitor of my client, and was very expensive to fix. It also caused considerable loss of business.
In major cities, more and more governments are deploying video surveillance in populated areas. That is also an "intrusion" on privacy. But criminals can do the same. Given that such surveillance cannot be eliminated, I feel it an advantage to have that power in the hands of government - even if it is corruptible.
The recent massive theft of credit card data at Target stores was likely an international effort. I believe the control mechanisms for internet traffic need major development, and key to that in my mind is identity verification for high value traffic. The existing certificate system (e.g., Verisign) is insufficient.
A head of state who holds important negotiations over communication links that are easily compromised is simply foolish, independent of who is listening in.
Calvin Arnason
Am 23.1.2014 schrieb Peter Hiemann aus Grasse:
AntwortenLöschenBei der Einschätzung, was gegenwärtig hinsichtlich großer Datensammlungen passiert bzw. in der Öffentlichkeit plötzlich (das Phänomen ist seit langem für Experten offensichtlich) Aufmerksamkeit erregt, gilt es klar zwischen individuellen und institutionellen Aspekten zu unterscheiden. Die institutionellen Aspekte betreffen alle gesellschaftlichen Systeme und deren Institutionen wie Politik, Ökonomie, Gesundheit, Bildung und Administration. Information wird in einem nie dagewesenen Umfang gesammelt und ist für soziologische Analysen verfügbar. Zu welchem Zweck gesammelte Daten analysiert und verwendet werden, wird derzeit mehr und mehr (durch investigative Journalisten und sogenannte Whistleblower) sichtbar.
1. Die NSA hat administrative Aufgaben im Dienst der USA-Regierung. Es ist nicht bekannt, für welche Regierungsinteressen die umfassenden Datenbanksysteme der NSA derzeit angewandt werden. Die US Regierung behauptet, die derzeitigen Aktivitäten der NSA dienten „ausschließlich“ der Abwehr terroristischer Absichten und Pläne gegen die USA. Vermutlich beschäftigt sich die NSA auch mit industriellen Spionageaktivitäten. Zumindest verfolgt sie Entwicklungen, die Einfluss auf die Waffentechnik haben (welche technischen Entwicklungen haben das nicht?). Vermutlich kontrolliert NSA auch Geldströme. Ob sie sich auf die Analyse von Geldströmen terroristischer Organisationen beschränkt, ist nicht bekannt. Es gibt keine gesicherten Erkenntnisse, ob und wie die US Regierung Geldströme der Regierungen Saudi Arabiens und Katars an die religiös fundamentalistischen Salafisten und Muslimbrüder Nordafrikas einschätzt. Es ist offensichtlich, dass die meisten Terroraktionen von religiös fundamentalistischen Gruppen ausgehen. NSA-Daten können jederzeit für zusätzliche Analysen herangezogen werden.
2. Medienunternehmen wie Google und Facebook generieren umfangreiche Datensammlungen. Die Daten werden benutzt, um die Entwicklung und den Betrieb deren Systeme mit Werbeeinnahmen zu finanzieren. Andere finanzielle Potentiale, z.B. dass Daten an andere Institutionen weitergeben (verkauft) werden, z.B. an staatliche Institutionen wie NSA oder wirtschaftliche Unternehmen wie Versicherungsgesellschaften, ist Betriebsgeheimnis.
3. Unternehmen wie der US-Service 23andMe, deren Geschäftsmodell auf genetischen Analysen und Präpositionen von genetisch bedingten Krankheiten beruht, generieren umfangreiche Datensammlungen. Diese Daten haben das Potential, zukünftige Aktivitäten der Versicherungswirtschaft und des Personalwesens großer Konzerne „effektiver“ zu gestalten.
4. Es gibt unzählige Beispiele anderer Datensammlungen, die von Unternehmen und staatlichen Institutionen betrieben werden. Mehr und mehr der verschiedensten Datenbanksystemen werden vernetzt, um assoziiertes „Wissen“ zu generieren (Datamining). Die Mehrzahl der Entwicklungen der Software für umfassende Datenanalysen wird nicht von Universitäten sondern von finanzstarken Unternehmen betrieben.
Die derzeitige öffentliche Diskussion zum Thema NSA und Medienüberwachung wird von einer Elite geprägt, die versucht, die breite Bevölkerung gegen potentiell schädliche gesellschaftliche Einflüsse einer Technologie zu mobilisieren. In vielen Fällen sind warnende Stimmen zu übertriebenem Fortschrittsglauben berechtigt. Wie sich gesellschaftliche Verhältnisse zukünftig verändern werden, ist nicht vorhersehbar. Die entscheidenden Einflüsse auf gesellschaftliche Verhältnisse werden durch ökonomische Prozesse, speziell durch industrielle Konzentrationen und durch private und staatliche Geldströme, geprägt.
Es sind Krisensituationen vorstellbar, in denen umfangreiche Datensammlungen nicht nur zur Abwehr von Terrorgefahren verwendet werden, sondern notfalls zur Kontrolle von gesellschaftlich schädlichen illegalen unternehmerischen Aktivitäten und Finanzströmen.