Ein Dialog über (mangelnde) Datensicherheit, Tor und das Darknet mit Matteo Cagnazzo, Experte für IT-Sicherheit
Andreas Schiel Herr Cagnazzo, zum Einstieg gleich einmal eine nicht ganz triviale Frage: Wenn wir uns hier neben anderen Themen auch über das Darknet und den Browser Tor unterhalten, und zwar mit Hilfe des Cloud-Services eines führenden amerikanischen Internet-Konzerns – sind wir dann in dem Moment, wo ich diese Vokabeln in den Rechner getippt habe schon auf einer sogenannten ‘Watch-List’ eines oder gleich mehrerer Geheimdienste gelandet?
Matteo Cagnazzo Wie Sie bereits sagten, eine nicht ganz triviale Frage, die ich daher in mehreren Teilen beantworten werde:
Darknet und Tor(als Beispiel für all die anderen Technologie die anonymes Surfen ermöglichen):
Darknet und Tor sind erst einmal keine schlechten Dinge. Der Begriff Darknet ist nur negativ konnotiert. Eigentlich beschreibt es nichts anderes als sich anonym(frei) durch das Internet zu bewegen, ohne zu befürchten, dass man getrackt wird, mit personalisierter Werbung belästigt wird, oder Zensur stattfindet. Einfach gesagt erschwert ein anonymes Netz zum einen, das Aufspüren meines physikalischen Aufenthaltsortes, durch einen beliebigen Angreifer der meinen Netzwerkverkehr mitschneidet und zum anderen verhindert es, dass Webdienste lernen, welche Seiten ich besuche.
Führende Internetkonzerne:
Das Problem ist, dass (fast) alle Software die dieser Konzern nutzt proprietär ist, das bedeutet der Quellcode nicht eingesehen werden kann. Dies kann man umgehen, indem man auf OpenSource Lösungen setzt, die der Welt Einblick in den verwendeten Code geben. Ein größeres Problem ist allerdings, dass Internetkonzerne brisante, kritische Dokumente an Strafverfolgungsbehörden aushändigen könnten und dies in der Vergangenheit auch schon taten. Während ich das schreibe “ploppt” ein “Erkunden”-Button von Google auf, der mir Vorschläge macht zu den Themen “Deep Web”, “Anonymität” und “Darknet”, über die ich gerade schreibe. Aus diesem Grund habe ich einen Canarytoken in dieses Interview eingebettet, allerdings wird dieser nicht angestoßen (Das ist ein naiver, simpler nicht repräsentativer Test 😉 ). Google wird dieses Gespräch also trotzdem irgendwie klassifiziert und an seine KI gegeben haben, um Themenvorschläge zu machen, aber besucht scheinbar keine externen Links. Nach erster Recherche gibt es für diesen “Erkunden”-Button auch nirgendwo eine separate Datenschutzerklärung. Bei der Nutzung von Google Drive/Docs etc. ist zusätzlich zu erwähnen, dass diese Kollektion an eventuell kritischen Dokumenten nur so stark geschützt ist, wie mein Google-Account. Habe ich beispielsweise ein schwaches Passwort kann ein Angreifer durch einfaches Raten versuchen meinen Account, respektive alle meine Dokumente, E-Mails und so weiter, übernehmen. Ein starkes Passwort kann gegen diese Art Angriff helfen, aber nicht gegen Phishing-Angriffe. Gegen Phishing hilft wiederum eine Zwei-Faktor-Authentifizierung. Ich würde also nicht meine Finanzdaten im Drive hinterlegen oder kritische Firmendokumente in einem Doc schreiben.
Andreas Schiel Sie sind gleich auf die Ambivalenz des Begriffs ‘Darknet’ eingegangen, der ja schon finster klingt, aber vielleicht auch etliche positive Potenziale beschreibt. Danach wollte ich natürlich auch noch fragen…aber: Die freundlichen Suchvorschläge Googles machen ja sehr plastisch das Problem deutlich, auf das ich hinaus wollte: Eine mehr oder weniger anonyme Analyse von Metadaten findet ja beständig statt, sowohl durch private Unternehmen als auch durch Geheimdienste. Müssen wir aber, wenn wir uns auf diesem Weg über ein Thema wie das Darknet unterhalten, damit rechnen, über das ‘normale’ Maß hinaus überwacht zu werden? Ich habe mal gelesen, schon die Benutzung von Tor könne ausreichen, einen normalen Bürger zum Verdächtigen zu machen.
Matteo Cagnazzo Die Nutzer von Tor klassifiziert die NSA, mit XKeyScore, als “Extremist”. Allerdings beschränkt sich dies nicht auf die Nutzer von Tor, auch das informieren darüber reicht aus. Um als “Extremist” klassifiziert zu werden, reicht es meist allerdings auch, sich über Software zum Thema Kryptographie und Anonymisierung zu informieren, beispielsweise über die Linux-Distribution Tails. Zumindest bei der durch Snowden veröffentlichten XKeyScore Überwachungssoftware ist dies der Fall. Diese Software ist allerdings mittlerweile “betagt” und wird momentan überarbeitet.
Die Überwachung durch Unternehmen und Werber hat andere Hintergründe (beispielsweise individualisierte Werbung), allerdings können Unternehmen, zur Herausgabe von Daten gerichtlich gezwungen werden. Diese Daten sind meist stark personenbezogen, da wir beispielsweise Google nutzen um unsere Krankheiten selbst zu diagnostizieren, Systeme in Frage stellen oder Seitensprünge planen. Das Problem bei solcher Überwachung ist, dass mit jeder Änderung der politischen oder persönlichen Ausgangssituation, die Kritikalität dieser sehr granularen Daten verändert wird.
Andreas Schiel Wenn man sich diese nicht besonders ermutigenden Rahmenbedingungen vor Augen führt: Würden Sie sagen, dass die Benutzung von Tor oder anderer Verschlüsselungstechnologien, die Überwachung erschweren oder sogar verunmöglichen, ein Akt der Zivilcourage ist?
Jeder sollte sich mit Verschlüsselung und Privatsphäre befassen
Matteo Cagnazzo Ich denke, dass wir uns alle mit Verschlüsselung und Privatsphäre beschäftigen müssen, insbesondere da bisher keine effektive Möglichkeit gefunden wurde, Massenüberwachung zu verhindern. Anonyme Netzwerke sind nicht wirklich anonym und wenn Sie falsch genutzt werden, geben Sie die Identität des Nutzers genauso preis, wie normale Browser und das Internet auch. Wir müssen unser Verhalten überdenken oder uns zumindest kritisch mit unserem Handeln auseinandersetzen, da wir es Überwachern mit dem Smartphone und seiner Omnipräsenz in unserem Alltag, noch leichter machen. Wo Massenüberwachung hinführen kann, zeigen Dystopien wie Orwells 1984 (Nach Trumps Amtsantritt war das Buch auf einem neuen Verkaufshoch, wir sind uns den Gefahren einer Überwachungsgesellschaft also durchaus bewusst). Eines der Probleme, welches Sicherheits- und Privatheitsfördernde Technologien haben ist, dass Nutzer lernen müssen diese Technologien zu nutzen. Ein vergleichsweise sicheres Betriebssystem, wie QubesOS bietet ein hohes Maß an Sicherheit und kann auch Privatheit fördern, ist allerdings für den gewöhnlichen Nutzer nur schwer zu nutzen. Es benötigt spezielle Hardware und man muss sich mit der Kommandozeile auskennen um es effektiv nutzen zu können. Allerdings sind solche Technologien auch im professionellen IT-Sicherheitsumfeld eine Seltenheit, obwohl gerade in diesem Sektor ein Bewusstsein für Privatheit und Sicherheit herrschen sollte.
Andreas Schiel Orwells “1984” habe ich im letzten Sommerurlaub auch mal gelesen. Ein Buch, das keine gute Laune macht. Angesichts solcher, ja gar nicht so unrealistischen Szenarien wünscht man sich viel mehr einfache und alltagstaugliche Verschlüsselungsmöglichkeiten. Natürlich aber sind die auch für Kriminelle und Terroristen attraktiv. Das Darknet ist ja etwa seit dem Münchner Amoklauf in Deutschland bekannt, als ein Ort, an dem illegal mit Waffen gehandelt wird.
Was kann man denn denjenigen entgegenhalten, die – wegen der Gefahren durch Terroristen und Kriminelle – Privatpersonen möglichst jeglichen Zugang zu wirklich sicheren Verschlüsselungstechnologien verweigern wollen?
Matteo Cagnazzo Ein gewisser Teil von Technologie wird immer von Menschen benutzt die nichts Gutes im Schilde führen. Das war früher schon so und wird sich vermutlich auch nicht ändern erstmal. Zusätzlich dazu kommt der Fakt, dass Kriminelle eine andere Einstellung haben: Sie sind sowieso bereit das Gesetz zu brechen und haben dadurch noch mehr Möglichkeiten im Dunklen zu bleiben, beispielsweise durch das Stehlen eines Laptops oder anderer Endgeräte oder dem Aufsetzen und Steuern eines Botnetzes. Der Waffenhandel ist nur ein kleiner Teil der anonymen Netzwerke und, wie Eingangs bereits erwähnt, wird Tor, genau wie das Internet auch, zum Großteil von Menschen genutzt, die keinen kriminelle oder terroristische Absicht haben. Es gibt zudem auch im normalen Netz einen Anteil an kriminellen Vereinigungen die versuchen Menschen zu betrügen oder kriminelle Handlungen durchführen. Tor und andere Anonymisierungstechnologien wollen dem normalen Endnutzer, der sich an die Regeln (bspw. Gesetze) hält, die Möglichkeit geben, sich frei und unbeobachtet im Netz zu bewegen.
Über die Vor- und Nachteile von Anonymisierungstechnologien und Verschlüsselung wird diskutiert, seit Sie für einen großen Markt erhältlich sind und letztlich kann man Argumenten auf beiden Seiten finden. Diese Debatte komplett auszurollen, ist nicht im Rahmen eines Interviews möglich,da es viel zu viele feine Nuancen gibt. Ich denke jedoch, dass unsere Gesellschaft auch anonyme Dienste benötigt, um zu funktionieren. Ein Beispiel ist die Babyklappe, die ein funktionierendes, in der Realwelt existierendes Konzept ist, da es Anonymität für eine Handlung bietet, die moralisch fragwürdig ist.
Andreas Schiel Diese Argumentation finde ich ziemlich einleuchtend. Während wir aber diesen Dialog noch führen, gibt es neue, umfangreiche Veröffentlichungen durch WikiLeaks über angebliche Abhörpraktiken der CIA. Wenn das, was dort gesagt wird, stimmt, dann lauscht und späht der amerikanische Geheimdienst mittlerweile z.B. auch über TV-Geräte. Wenn man das jetzt mit Humor nehmen möchte, könnte man sagen: Man ist dort offenbar bemüht die Szenarien aus “1984” möglichst originalgetreu und umfassend umzusetzen. So richtig witzig finde ich das aber nicht…
WikiLeaks ist dagegen ja, bei aller Kritik die man an dieser Initiative äußern kann, immerhin ein Beispiel, wie sich die weniger Mächtigen gegen die Mächtigen, die uns letztlich alle ungefragt überwachen, ein wenig zur Wehr setzen können. Sehen Sie, etwa durch den Einsatz von Verschlüsselung durch Privatpersonen, wie sie bei Tor zum Einsatz kommt, das Potenzial zu einer Trendwende? Oder bewegen wir uns immer tiefer in eine Welt der totalen Überwachung hinein?
Matteo Cagnazzo Ich glaube mit Trends sollte immer vorsichtig umgegangen werden. Es gibt immer wieder Ereignisse, wie zum Beispiel den CIA Leak, die uns zeigen, dass wir immer stärker, besser und umfassender überwacht werden. Durch jede Veröffentlichung solcher Praktiken wird zumindest ein Stück weit Information auch wieder demokratisiert und Privatsphäre- und Sicherheitstechnologien gewinnen mehr und mehr Daseinsberechechtigung. Die Branche muss meiner Meinung nach allerdings aufpassen, dass Sie Technologien anbietet, die nutzbar und sicher sind, da ansonsten Verdrossenheit beim Nutzer Einzug hält. Aber innerhalb solcher Leaks gibt es auch immer “Licht”. So scheinen beispielsweise die Verschlüsselungstechnologien die durch WhatsApp und Signal ausgerollt wurden, der CIA ordentlich Kopfzerbrechen zu bereiten, sodass sie Endgeräte attackieren müssen um Inhalte zu entschlüsseln.
Andreas Schiel Dann habe ich abschließend noch eine bzw. zwei Fragen an Sie: Was empfehlen Sie dem technisch unbedarften Durchschnittsnutzer, als der ich mich auch beschreiben würde, in der heutigen Situation? Ist es sinnvoll, so viel Verschlüsselungstechnologie wie möglich zu nutzen? Und wenn ja, welche Möglichkeiten bieten sich da überhaupt denjenigen, die Computer und mobile Endgeräte nur als Hilfsmittel bei der Arbeit und in der Freizeit benutzen – also auf relativ einfache Bedienoberflächen angewiesen sind?
Matteo Cagnazzo Es sollte so viel Verschlüsselungstechnologie wie möglich genutzt oder zumindest ausprobiert werden. Hat man ein Problem, ist es, gerade bei von Communities durchgeführten Projekten wie beispielsweise Tor, heutzutage leicht wie nie mit den Entwicklern und Verantwortlichen über soziale Netze oder E-Mails in Kontakt zu treten. Die freuen sich nicht nur über Feedback von Entwicklern und Spezialisten sondern wollen auch lernen, welche Probleme der gewöhnliche Nutzer mit Ihrer Software hat. Das Tor und i2p-Netzwerk kann beispielsweise auch mit einem Smartphone genutzt werden.
Ansonsten kommt es immer auf den Einsatzbereich an. Möchte ich beispielsweise meine Daten verschlüsseln bevor ich Sie in eine Cloud lege, bieten sich beispielsweise VeraCrypt-Container an, in die man die Dateien vorher legt. Ein Passwort für einen solchen Container kann beispielsweise mit KeePassX erstellt und gesichert werden. KeePassX kann weiterhin dafür genutzt werden, sich starke Passwörter für unterschiedliche Dienste im Internet zu geben.
Andreas Schiel Herr Cagnazzo, vielen Dank für Ihre spannenden Auskünfte und Einschätzungen – und nicht zuletzt für die praktischen Hinweise zum Thema Verschlüsselung!
***
Matteo Cagnazzo ist als wissenschaftlicher Mitarbeiter am Institut für Internet-Sicherheit tätig. Er forscht im Bereich von sicheren und anonymen Kommunikationstechnologien und Digitaler Medizin. Im Rahmen dieser Forschungen setzt er sich unter anderem mit Vor- und Nachteilen anonymer Netzwerke auseinander.