Tag: IT-Sicherheit

Die EU reagiert auf neuste Terroranschläge mit noch mehr Überwachung

Die EU reagiert auf neuste Terroranschläge mit noch mehr Überwachung

Erst der Schock — dann die Panikreaktion. Die abscheulichen Anschläge in Paris, Nizza und Wien lassen die EU in leider gut bekannte Handlungsmuster verfallen: Auf Terror wird mit Einschränkungen unserer Freiheit reagiert, die angeblich mehr Sicherheit bringen. Wie nun bekannt wurde hat der Ministerrat eine Initiative vorbereitet, die die Ende-zu-Ende-Verschlüsselung von Messengerdiensten wie WhatsApp oder Signal aufweichen soll. Unter der deutschen Ratspräsidentschaft wird damit nicht nur noch weiter in unsere Grundrechte eingegriffen. Es wird auch die weltweite IT-Sicherheit unter dem Vorwand des Kampfs gegen den Terror aufs Spiel gesetzt.

“Sicherheit durch Verschlüsselung, Sicherheit trotz Verschlüsselung”, forderte schon der ehemalige Bundesinnenminister Thomas de Maizière und sorgte damit für viel Entsetzen bei Bürger- und Menschenrechtlern und IT-Expertinnen. Der gestern bekanntgewordene Vorstoß des Ministerrats folgt genau dieser Losung: Die Betreiber von Messengerdiensten sollen dazu verpflichtet werden, einen Generalschlüssel für den behördlichen Zugriff auf verschlüsselte Kommunikation zu hinterlegen. Genutzt werden soll offenbar die “Exceptional Access”-Methode des britischen Geheimdienstes GCHQ. Dies bedeutet aber, dass die sichere und verschwiegene Kommunikation von uns allen in Gefahr ist. Denn entgegen Verlautbarungen, dass diese Überwachung nur potenzielle Terrorist:innen beträfe, öffnet sie vielmehr ein Einfallstor für jegliche Cyber-Kriminelle oder Spione. Wir erinnern uns: selbst die NSA war nicht in der Lage, ihre genutzten Sicherheitslücken geheim zu halten. Weltweite Cyberattacken (Stichworte: WannayCry und NotPetya) mit Schäden in Milliardenhöhe und die Gefährdung von Menschenleben waren die Folge.

Abgesehen davon, dass Regulierungen dieser Art Auswirkungen auf die Nutzung von Technologie in der ganzen Welt haben, ist die Resolution des Ministerrats eine Einladung an autokratische Herrscher es der Europäischen Union gleichzutun und die Kommunikation ihrer Bürger:innen mitzulesen. Es darf nicht vergessen werden: Privatsphäre ist ein Menschenrecht, das auch in der europäischen Grundrechtecharta verankert ist. Wollen wir andere von unseren Werten überzeugen, so müssen wir hier mit gutem Beispiel vorangehen.

Aber auch das ewige Mantra, dass zusätzliche Überwachungsbefugnisse einen entscheidenden Beitrag zur Verhinderung solcher Terroranschläge beitragen muss endlich ernsthaft infrage gestellt werden. Seit mehr als 20 Jahren, spätestens seit den Anschlägen vom 11. September 2001, wird die diffuse Angst der Menschen dazu ausgenutzt immer neue Eingriffsbefugnisse durchzusetzen. Trotzdem sehen wir uns im Jahr 2020 einer noch komplexeren Sicherheitslage gegenüber und haben noch nicht einmal den Ansatz einer Vorstellung davon, was diese Zugriffsrechte überhaupt genau bringen und wofür wir unsere Freiheiten eingeschränkt haben.

Der Bundesdatenschutzbeauftragte Ulrich Kelber sagte erst kürzlich wieder: Das für eine Demokratie erträgliche Maß an Überwachung ist bereits überstiegen! Trotzdem soll in Deutschland und der EU die verfassungswidrige Vorratsdatenspeicherung wieder eingeführt werden, die Geheimdienste dürfen nun auch offiziell per Staatstrojaner schnüffeln, die neue EU Anti-Terror-Verordnung soll über Uploadfilter funktionieren und die regelmäßige Evaluierung von Sicherheitsgesetzen, die nach dem 11. September 2001 verabschiedet wurden, wurde gerade vom Bundestag aufgehoben.

Der entsetzliche Terroranschlag in Wien hätte verhindert werden können, wenn Sicherheitsbehörden mit den Informationen von Geheimdiensten, die ihnen vorlagen, gearbeitet hätten und diese ernst genommen hätten. Wie so häufig. Es gab auch hier, keinen Mangel an Befugnissen und Information. Wir sehen immer wieder, dass klassische Polizeiarbeit einer gut organisierten und vor allem personell gut ausgestatteten Truppe die größten Erfolge im Kampf gegen den Terror bringen.

Wir sind also auf einem falschen Weg im Kampf um mehr Sicherheit. Unter deutscher Führung scheint die EU diesen nun fortzusetzen. Sie droht dabei aber nicht nur ihre Grundwerte aufzugeben. Sie fällt auch all jenen Menschen in den Rücken, die sich weltweit für Demokratie und Rechtsstaatlichkeit einsetzen. Die Demonstranten, die in Hongkong oder Belarus gegen autokratische Herrschaft, Überwachung und Unterdrückung kämpfen und ihre Freiheit und ihr Leben aufs Spiel setzen, sind angewiesen auf sichere und integre Kommunikation. Die EU kann sich nicht einerseits mit ihnen solidarisieren und ihnen im gleichen Zug die Grundlage für ihren Einsatz entziehen.

Dieser Text erschien gemeinsam mit Dr. Maximilian Spohr zuerst auf freiheit.org.

Read More
Tracking-App: Was in der Debatte bisher fehlt

In der Diskussion um eine Tracking-App zur Rückverfolgung von Kontakten geht es um Privatsphäre und IT-Sicherheit. Dabei müsste eigentlich der Mensch im Zentrum stehen, fordern Christin Schäfer von acs plus und Ann Cathrin Riedel von LOAD. Hilft die Information auf diesem Weg? Was sind die Folgen für den Einzelnen?

Bisher fokussiert sich die Diskussion zur Ausgestaltung einer möglichen App zur Rückverfolgung von Kontakten auf Datenschutz und IT-Sicherheit. So wichtig diese Aspekte sind, wird damit ein Kernelement des Systems vergessen: der Mensch. Ganz unabhängig von der Maßnahme, muss der Mensch im Mittelpunkt stehen. Nehmen wir an, eine App kann die notwendigen Anforderungen an Datenschutz, Privatsphäre und IT-Sicherheit erfüllen, dann lautet eine wesentliche Ausgestaltungsfrage: wie kommuniziert die Corona-App mit den Menschen? Wie wird das Ergebnis konkret mitgeteilt? Ein mögliches Infektionsrisiko mittels einer App zu berechnen ist das eine. Das Ergebnis dieser Berechnungen mitzuteilen, ist etwas ganz anderes. Gesundheit und Wohlergehen hat auch eine psychische Komponente, die bei der Ausgestaltung des Gesamtsystems rund um eine Maßnahme nicht vergessen werden darf.

Eine wesentliche Frage beim Design, nicht nur einer App lautet: wie geht der Empfänger oder die Empfängerin mit einer solchen, kritischen Nachricht um? Insbesondere, wenn diese im Wirrwarr von allen andere möglichen Push-Mitteilungen auf dem Smartphone erscheint; zwischen WhatsApp-Nachrichten, den neuesten „Breaking News“ und der Erinnerung an einen Termin.

„Sehr geehrte Nutzerin, sehr geehrter Nutzer, wir haben bei Ihnen ein Covid-19 Risiko von 69% ermittelt. Freundliche Grüße, Ihr App-Anbieter.“ Unpersönlicher und weniger empathisch können schlechte Nachrichten nicht überbracht werden.

Was wissen wir über die Vermittlung dieser Art von Nachricht zum Beispiel aus dem Bereich der Krebsvorsorge? Ein Infekt mit Corona ist zum Glück kein Todesurteil. Aber für einige Personengruppen kommt es einem solchen schon erschreckend nahe. Wer älter, geschwächt und vielleicht zeitlebens mit Lungenproblemen gestraft ist, weiß, was die Stunde geschlagen hat. Zudem: nur wenige Menschen können mit Wahrscheinlichkeiten umgehen. Fragen Sie sich doch mal selber: bei einer Regenwahrscheinlichkeit von 60% – nehmen Sie den Regenschirm mit oder lassen Sie ihn zuhause? Ist ein „Risk Score“, dessen Ableitung unklar ist, eine kluge Wahl in der Mitteilung an den Nutzer der App? Werden sich nicht viele vor allem verunsichert fühlen?

Eine persönliche Ansprache bei der Meldung ist außerdem nicht möglich – soll die App doch anonym nutzbar sein. Wie sicher kann sich der Nutzer oder die Nutzerin sein, dass hier nicht ein Fehler passierte? Dass eigentlich eine andere Person diese Mitteilung bekommen sollte? Solch fehlgeleitete Informationen sind nicht auszuschließen. Vor allem dann nicht, wenn eine App neu ist und nicht ausreichend getestet wurde.

Quarantäne muss man sich leisten können

Der gesamte Budenzauber mit allen hingenommenen Einschränkungen der Privatsphäre, so freiwillig sie auch sein mögen, bringt nichts, wenn sich zu wenige beteiligen und insbesondere wenn das Ergebnis der App zu nichts führt. An Nachrichten zu potentiellen Infizierungen müssen sich vielfältige und personalisierte Maßnahmen anschließen.

An die Benachrichtigung muss notwendig der zeitnahe und aufwandsarme Zugang zu Tests folgen. Hierzu sind die Testkapazitäten aufzubauen. Es muss geklärt werden, was passiert, wenn sich Alleinerziehende anstecken. Wer kümmert sich – auch in Phase des Wartens auf das Testergebnis – um die Kinder? Wie verfahren Familien, bei denen sich ein Elternteil angesteckt hat, aber die Wohnverhältnisse eine Separierung nicht zulassen? Die Benachrichtigten sehen sich schweren emotionalen Konflikten ausgesetzt. Die eigenen Kinder womöglich gefährden? Die eigenen Kinder Dritten überlassen? Wem? Wer zahlt? Wer organisiert? Es muss sichergestellt werden, dass man sich die Tests, Wartezeiten und Quarantäne auch leisten kann; nicht nur finanziell.

Es bedarf zudem einer gesonderten Regelung für den Umgang von Fehlzeiten für Arbeitnehmer und Arbeitnehmerinnen. Gerade Personengruppen, die bei ihrer Arbeit viel reisen oder viel Publikumsverkehr ausgesetzt sind, werden häufiger im Covid-19-Alarm leben. Diese Alarme kommen überraschend und sind nicht planbar. Es ist davon auszugehen, dass sie zu signifikant erhöhten Fehltagen im Vergleich zu anderen Gruppen von Erwerbstätigen führen. Besonders hart betroffen sind zudem Solo-Selbständige, deren Verdienstausfälle existenziell bedrohlich sein können.

Die gesamte Gesellschaft muss sehr schnell lernen, flexibel und positiv mit kurzfristigen Absagen von Terminen umzugehen. Handwerker sagen am Morgen wegen eines Covid-19 Alarms ab. Die Wartungsarbeiten an einer Maschine müssen kurzfristig verschoben werden. Der Friseurtermin entfällt. Die Reihe ist definitiv nicht abschließend.

Der Zugang zu Lebenschancen darf nicht von sozio-ökonomischen Faktoren abhängig sein

Gut aufgesetzt kann eine Corona-App eine Maßnahme für die Überwindung der Krise sein. 79% der Deutschen besitzen ein Smartphone und haben damit die Chance, eine solche App zu nutzen. Der Zugang zu einer Corona-App darf jedoch nicht von sozio-ökonomischen Faktoren abhängig sein. Allen Bürgern und Bürgerinnen sollte es möglich sein zu partizipieren, Meldungen zu einer möglichen Infektion zu erhalten, um daraufhin geeignete Maßnahmen – Lebenschancen – zu ergreifen und wahrzunehmen.

Dies bedeutet, dass ein Smartphone und ein Internetvertrag zur Grundversorgung eines jeden Einzelnen gehören müsste. Es gilt vorab zu klären, welche Möglichkeiten Smartphone Besitzer:innen haben, deren Gerät nicht die notwendige Bluetooth LE oder GPS-Technologie hat oder auf einem älteren Betriebssystem läuft, das die App nicht unterstützt. Was ist mit denjenigen Mitbürgern und Mitbürgerinnen, die noch zu jung für ein eigenes Smartphone sind, oder allen, die die Benutzung überfordert? Wie inkludieren wir Menschen mit geistigen oder körperlichen Beeinträchtigungen? Welche Möglichkeit der Teilhabe erhalten ausländische Touristen und Geschäftsreisende?

Europäische Herausforderungen

Die Bedrohung durch das Coronavirus besteht weltweit. Kein Nationalstaat, keine Region wird im Alleingang in der Lage sein, sein Gebiet zu schützen. Wie bei jeder Maßnahme bedarf es der Absprache mit Nachbarn und Partnern, damit die Wirksamkeit sich einstellen kann. Dies gilt auch und insbesondere für eine datengetriebene Technologie, wie eine Corona-App. Es wird eine Anwendung für ganz Europa, besser sogar die ganze Welt benötigt, die einheitliche Standards für Daten und Austauschprotokolle verwendet. Dagegen können Berechnungsmethodiken, etwa für Abstand und Risiko, länderspezifisch als Service angeboten werden. Unsere Aufgabe besteht darin, ein System aufzusetzen, dass eben nicht nur für deutsche Bürgern und Bürgerinnen Mehrwert liefert, sondern auch die Bürger und Bürgerinnen in Staaten schützt und ermächtigt, deren Gesellschaft weniger demokratisch und weniger rechtsstaatlich ist. Wir dürfen autokratischen Regimen keinen Corona-App-Standard präsentieren, der es den Staatschefs leicht macht, ihr Volk zu überwachen und zu drangsalieren.

Es geht nicht um Verhinderung, sondern Ermöglichung

Für all diese beschriebenen Herausforderungen haben wir heute noch keine Lösungen. Vor allem, weil wir noch nicht nach ihnen gesucht haben.

Es geht uns nicht darum, eine sinnvolle Corona-App-Lösung zu verhindern, sondern vielmehr, sie herbeizuführen. Zunächst ist dafür aber der Nachweis zu erbringen, dass eine digitalisierte und automatisierte Kontaktverfolgung helfen kann, die Infektionszahlen signifikant zu senken. Dann sind die weiteren Designdetails zu klären. Wie die Ausführungen verdeutlichten, kann eine kurzfristig und schnell aufgesetzte App die in sie gesetzten Erwartungen nur verfehlen. Daher plädieren wir dafür, ein solches datengetriebenes System zur Information über einen potenziellen Infekt sauber, durchdacht und im Verbund mit einem abgestimmten Maßnahmenpaket  zu entwickeln, welches uns auf dem langen Weg zurück in eine Normalität, wie sie vor Corona-Zeiten bestand, begleitet.

Christin Schäfer ist Gründerin und Geschäftsführerin der Berliner Data Science Boutique „acs plus“. Die studierte Statistikerin war Mitglied der Datenethikkommission der Bundesregierung. Ann Cathrin Riedel ist Vorsitzende von LOAD e.V. – Verein für liberale Netzpolitik.

 

Dieser Beitrag erschien zuerst im Tagesspiegel Background Digitalisierung & KI am 8. April 2020.

Read More
Der Cyberkrieg hat längst begonnen

Durch die gezielte Tötung Qassem Soleimanis, dem Kommandeur der iranischen Quds-Einheit, ist das Risiko einer militärischen Eskalation im Konflikt zwischen den USA und Iran gestiegen. Die zentrale Rolle des getöteten Generals in der iranischen Regionalpolitik zwingt die iranische Führung zu einer Antwort. Untätigkeit in dieser Frage käme gerade wegen der vom iranischen Regime in den vergangenen Jahren betriebenen Stilisierung Soleimanis zur Lichtgestalt einem Gesichtsverlust gleich.

Andererseits weiß die iranische Führung spätestens jetzt, welch weitreichende Konsequenzen ihre militärischen Provokationen haben können. Der Tod Soleimanis war eine direkte Folge monatelanger Raketenangriffe pro-iranischer Milizen auf US-Militärstützpunkte in Irak, bei denen am 27. Dezember erstmals ein US-Bürger getötet wurde.

Iran und USA befinden sich bereits seit Jahren in einem Cyberkonflikt

Vor dem Hintergrund der potenziellen Folgen weiterer Anschläge auf US-amerikanische Militärstellungen — Präsident Donald Trump droht bereits mit US-Angriffen auf 52 ausgesuchte iranische Ziele — könnte sich die Islamische Republik auf aus ihrer Sicht weniger provokante Optionen einlassen. Als Alternative zu direkten Militärschlägen auf US-Ziele ist eine Hinwendung zu Cyberattacken plausibel. Ohnehin ist der Konflikt zwischen den USA und Iran bereits jetzt auch ein Cyberkrieg, in dem beide Seiten die digitale Infrastruktur des Gegners ins Visier nehmen.

So wurde im Juni 2019 bekannt, dass Trump als Reaktion auf den Abschuss einer US-Drohne einen Cyberangriff auf eine iranische Geheimdiensteinheit autorisierte. Die Geheimdiensteinheit wiederum plante ihrerseits Attacken auf Öltanker im Persischen Golf. Zur Erinnerung: Bereits unter George W. Bush und Barack Obama setzten die USA auf eine millionenschwere Cyber-Sabotageaktion gegen das iranische Atomprogramm, in deren Zuge der Computerwurm „Stuxnet“ die iranische Urananreicherung erheblich behinderte.

Iran hackte Casino-Unternehmen

Auch das iranische Regime hat in der Vergangenheit verschiedene Cyberangriffe gegen die USA und seine Verbündeten durchgeführt. So starteten iranische Hacker 2014 eine Attacke auf das Casino-Unternehmen des irankritischen US-Milliardärs Sheldon Adelson. Auch US-Verbündete sind bereits zur Zielscheibe iranischer Sabotageaktionen geworden. Nach Saudi-Arabien, Kuwait und den Vereinigten Arabischen Emiraten könnten sich diese Aktionen nach der Tötung Soleimanis nun auch auf europäische US-Verbündete ausweiten.

Das iranische Außenministerium hat bereits den Geschäftsträger der deutschen Botschaft in Teheran wegen kritischer Äußerungen einbestellt. Die jüngste Ankündigung der iranischen Regierung, sich in einem weiteren Schritt von Verpflichtungen aus dem Atomabkommen (JCPOA) zurückzuziehen, deutet auf das iranische Kalkül hin, weiterhin Druck auf Europa auszuüben.

Deutschland muss bei IT-Sicherheit aufrüsten

Die aktuelle Bedrohungslage kann sich auch auf Deutschland auswirken, wenngleich sie momentan nicht akut ist. Das zeigt umso deutlicher, wie dringend notwendig es ist, dass Deutschland beim Thema IT-Sicherheit aufrüstet. In den USA warnte man schon mehrfach vor möglichen Cyberangriffen durch iranische Hacker auf Kritische Infrastrukturen (KRITIS) — auch deutsche KRITIS kann ein interessantes Ziel sein.

Es ist daher Zeit, dass die Bundesregierung das IT-Sicherheitsgesetz 2.0 verabschiedet, das deutlich höhere Sicherheitsanforderungen an Kritische Infrastrukturen stellt, diese umfassender definiert, „Infrastrukturen im besonderen öffentlichen Interesse“ hinzufügt und BSI-zertifizierte Mindeststandards für Hardware definiert. Ebenso wichtig sind die drastisch höheren Geldbußen und weiteren Befugnisse des BSI. Für eine wirkliche Durchsetzung von IT-Sicherheit und Vertrauen brauchen wir aber ein vom Bundesinnenministerium unabhängiges BSI.

Konsequent auf defensive Cyberabwehrstrategie setzen

Hackergruppen aus Iran nutzten bereits mehrfach Sicherheitslücken, unter anderem in Microsoft Office, um die USA und ihre Alliierten auszuspionieren. Auch jetzt müssen die USA und ihre Bündnispartner mit Spionageattacken, Datendiebstahl, Distributed-Denial-of-Service-Attacken (DDoS) und den bereits erwähnten Angriffen auf Kritische Infrastrukturen und Desinformationskampagnen rechnen. Ansätze für Propaganda-Aktionen im Netz finden sich bereits. Sie laufen etwa unter dem Hashtag „#hardrevenge“ und können auch für Amerikaner und Amerikanerinnen, Israelis und Israelinnen, Juden und Jüdinnen, sowie Exil-Iranerinnen und -Iraner hier in Deutschland gefährlich werden, wenn Regime-Anhänger hierzulande Anschläge verüben. Es sei an dieser Stelle an das Mykonos-Attentat in Berlin von 1992 erinnert.

Die sich überschlagenden Ereignisse im Nahen und Mittleren Osten, angetrieben vom USA-Iran-Konflikt, verdeutlichen nochmals die Dringlichkeit, mit der sich Deutschland mit der Bedrohung durch Cyberangriffe beschäftigen sollte. Dabei sollten wir ausdrücklich nicht sogenannte „Hackbacks“ in Betracht ziehen, sondern konsequent auf eine defensive Cyberabwehrstrategie setzen. Zudem sollte die Bundesregierung alle ihr zur Verfügung stehenden Mittel der Diplomatie einsetzen, um Iran von Vergeltungsschlägen aller Art abzubringen. Auch von Cyberangriffen.

Dieser Artikel erschien zusammen mit dem Politikwissenschaftler und Experten für US-Außenpolitik, Dr. Payam Ghalehdar, am 7. Januar 2020 als Gastbeitrag im Tagesspiegel Background Digitalisierung & KI

Read More