Heute vor einem Jahr, am 5. Juni 2013, begann der Skandal um die Massenüberwachung durch die amerikanische National Security Agency (NSA) – entfacht durch den Whistleblower Edward Snowden. Seitdem hat sich viel getan und neue Enthüllungen wurden ans Tageslicht gebracht, die nun nicht mehr nur die NSA, sondern auch die britische Regierungskommunikationszentrale (GCHQ) betreffen. Die Vorwürfe reichen von einer intentionalen Schwächung von Verschlüsselungen (NSA und GCHQ) bis hin zur Implementierung von schädlichen Codes in IT-Hardware von Anbietern wie Cisco (NSA). Die neueste Aufsehen erregende Meldung erschien schließlich diese Woche, nach der sich die NSA die Gesichter von Leute ganz genau anschaut

Prä-Snowden und Post-Snowden

cisco-implant

Foto einer PowerPoint-Folie der NSA, auf der zu sehen ist, wie eine Cisco-Produktbox geöffnet wird, um anschließend ohne Wissen von Cisco oder deren Kunden einen Schadcode einzusetzen. Im Artikel finden Sie ein Diagramm mit Ciscos Aktienwerten im Vergleich zu denen von NASDAQ (National Association of Security Dealers Automated Quotations) seit dem 5. Juni 2013.

Ich denke nicht, dass ich mich weit aus dem Fenster lehne, wenn ich behaupte, dass man fortan in der Geschichte der Computersicherheit und Daten-Privatsphäre von zwei „Epochen“ sprechen wird: Prä-Snowden und Post-Snowden. Offengesagt hat der Anstieg an generellem öffentlichen Bewusstsein und dem Interesse an auf Sicherheit und Privatsphäre bezogene Probleme über die letzten zwölf Monate geschwankt.

Wie regelmäßige Leser dieser Webseite wissen, bemühen wir uns schon seit Jahren, dieses Bewusstsein zu erzeugen – zusammen mit vielen Kollegen aus der Industrie und gemeinnützigen Organisationen. Und nun wollen die Leute – hauptsächlich dank einer Person – plötzlich mehr wissen. Ohne Snowdens Handlungen bewerten zu wollen, muss man sagen, dass er – mehr als irgendjemand anders zuvor – dazu beigetragen hat, das gesellschaftliche Bewusstsein für digitale Sicherheit und Privatsphäre zu steigern.

Ironischerweise ist vieles von dem, was Snowden aufgedeckt hat, für Leute, die schon länger im Bereich der Informationssicherheit arbeiten, nicht wirklich etwas Neues. Vor allem für diejenigen nicht, die die Arbeiten von Jim Bamford gelesen haben, frühere Whistleblower wie William Binney kennen oder Freunde haben, die bei der NSA und ähnlichen Agenturen wie dem NRO (National Reconnaissance Office; historisch stärker gefördert als die NSA) gearbeitet haben.

Die Frage ist nun, woran es bislang gemangelt hat und weshalb es erst eines Edward Snowdens bedurfte, um das öffentliche Interesse für die Machenschaften dieser Agenturen zu wecken. Offensichtlich hat die Welt auf nackte Tatsachen gewartet – auf Dokumente, die die Regierung nicht verleugnen konnte, in Form von PowerPoint-Folien! (Und wieder können diejenigen von uns, die innerhalb der letzten 20 Jahre schon unzählige Stunden damit zugebracht haben, Hunderte von Folien zum Thema Sicherheitsbewusstsein erstellt haben – ja, PowerPoint ist tatsächlich schon so alt – die Ironie hierhinter erkennen.)

Vermutlich hat die Betrachtung der Folien, bei der oftmals die große Begeisterung zu erkennen ist, mit der die NSA scheinbar „alle persönlichen Daten von überall her“ verfolgt, viele Leute, die sich vorher über derartige Dinge keine Gedanken gemacht haben, aus ihrem seligen Schlaf gerissen. So wirkungsmächtig diese Folien auch waren, sind sie aber nicht die einzigen Dokumente, die Aufsehen erregt haben. Betrachten Sie beispielsweise das folgende Diagramm über den Preis der Cisco-Aktien im Vergleich zum Index von NASDAQ, mit denen sie handeln. Verdachtsmomente in Bezug auf die Intaktheit von Cisco-Produkten, die durch Snowdens Enthüllungen auftauchten, haben ihren Tribut gefordert.

cisco-vs-nasdaq

Der Preis der Cisco-Aktien (CSCO) im Vergleicht zu denen von NASDAQ seit dem 5. Juni 2013.

Auswirkungen der Enthüllungen

Es war der 5. Juni 2013, als der Guardian den ersten Artikel im Internet veröffentlichte: NSA collecting phone records of millions of Verizon customers daily.  Wie Sie dem Datum auf dieser Webseite entnehmen können, erschien der Artikel in gedruckter Form einen Tag später – am 6. Juni. In dem NSA-Zeitstrahl der Zeitung wird jedoch der Zeitpunkt der elektronischen Veröffentlichung als Maßstab genommen. Am 6. Juni erschien ein Artikel zum Thema PRISM und der Überwachungs-Kooperationen zwischen der NSA und Unternehmen wie Google, Apple und Facebook. (Falls Sie sich ausführlicher mit dem Ablauf der Ereignisse auseinandersetzen wollen, empfehle ich Ihnen das Buch „No Place to Hide“ von Glenn Greenwald.)

Die Auswirkungen der verschiedenen Artikel, die oftmals mit den „geheimen“ PowerPoint-Folien illustriert waren, sind zu zahlreich, um in einem Blog Post ausführlich dargestellt zu werden. Auf WeLiveSecurity gibt es aber einige Artikel, die sich mit den unterschiedlichen Auswirkungen befassen – angefangen bei der Veränderung des Benutzerverhaltens im Internet. Im Herbst 2013 hat ESET hierüber eine Umfrage durchgeführt und die Ergebnisse veröffentlicht:

Einige unserer ursprünglichen Ergebnisse wurden 2014 bestätigt, als wir zusammen mit Harris eine erneute, größere Umfrage durchgeführt haben:

In zwei Podcasts habe ich die Ergebnisse aus der Umfrage diskutiert:

Dass immer mehr Leute aufgrund von Snowdens Enthüllungen Online-Banking und -Shopping und auch der Nutzung von E-Mails gegenüber etwas zurückhaltender geworden sind, könnte das erste Anzeichen einer ernsthaften Aushöhlung des Vertrauens in die Technologien sein, die einen Großteil der weltweiten Ökonomie antreiben. Dieser Trend könnte für viele Bereiche eine Menge Ärger bedeuten – nicht nur für Banken. Denken Sie beispielsweise an den Gesundheitssektor, wo die Nutzung internetbasierter Kommunikation immer mehr zum Schlüsselelement vieler Modelle zur Kostenkontrolle wird. Wenn die Leute das Vertrauen in die Möglichkeit einer privaten Kommunikation über das Internet verlieren, werden diese Modelle nicht mehr funktionieren.

Ein Blog Post, der sich mit den Enthüllungen über die Versuche der NSA und GCHQ, Verschlüsselungsstandards und -technologien zu schwächen, auseinandersetzt, war auch nötig – allein, um die Leute davon zu überzeugen, dennoch weiterhin Verschlüsselungen zu nutzen: Encryption advice for companies in the wake of Snowden NSA revelations.

Natürlich hat ESET auch auf Fragen geantwortet, die sich auf den Umgang von Antiviren-Unternehmen mit der Regierung beziehen. Wenn Sie den Artikel ESET response to Bits of Freedom open letter on detection of government malware lesen, werden Sie vermutlich etwas Frustration bei diesen Fragen erkennen. Das liegt daran, dass es wirklich keinen Sinn machen würde, wenn Antiviren-Produkte bestimmten Schadcodes einen Freipass gewähren würden – hierzu gehört auch „rechtschaffende Malware“, die einen guten Zweck verfolgt. Abgesehen davon haben die Antiviren-Unternehmen durch ihre unterschiedliche Herkunft ganz andere nationale Geschmäcker (ESETs Hauptquartier befindet sich zum Beispiel in Bratislava, während es aber in mehr als 180 Ländern mit Büros vertreten ist).

Eine weitere Auswirkung von Snowdens Enthüllungen – eine, die zu mehr Sorge anregt – wurde in einer Rede, die ich gestern über Cyper-Konflikte gehört habe, mit nur einem Wort zusammengefasst (ich besuche gerade die CyCon, eine jährlich stattfindende Konferenz des NATO Cooperative Cyber Defence Centre of Excellence (CCD CoE) in Tallinn, Estland). Dieses Wort lautet „Misstrauen“ und bei dem Redner handelte es sich um Dr. Jarno Limnél, Direktor der Cyber Security bei Intel Security.

Limnél, ein ehemaliger Berufssoldat bei den Finnischen Streitkräften, hält „Misstrauen“ für das größte Hindernis in Bezug auf Kooperationen in der Cyberverteidigung. Diese wären aber äußerst wichtig, um den eskalierenden Cyberbedrohungen zu begegnen (und diese Bedrohungen fühlen sich zum Greifen nah an, wenn man in Estland sitzt). Und natürlich kann man sagen, dass Snowdens Enthüllungen nicht gerade dazu beigetragen haben, dieses Problem zu lösen – vielmehr haben sie vielleicht sogar dazu beigetragen, dass das Misstrauen noch mehr wächst.

Konfrontation mit der Zukunft

Die neuesten Enthüllungen habe ich mir für den Schluss aufgehoben: Die Geschichte über die von der NSA veranlasste Nutzung von Gesichtserkennungstechnologien zur Sammlung von Fotos, über die die New York Times berichtet hat. Vielleicht sehe nur ich das so, aber für mich war das keine Überraschung. Man kann davon ausgehen, dass sowohl die Polizei als auch die Geheimdienste solche gesichtserkennenden Technologien verwenden – vor allem, weil es kein wirkliches Präzedenzrecht und keine Gesetzgebung gibt, die derartige Aktivitäten in den USA regeln. Besonders besorgniserregend ist der potenzielle Missbrauch eines Massenzugriffs auf solche Gesichts-Datenbanken.

Die Reaktionen der NSA waren ebenfalls wenig überraschend und wurden in manchen Beiträgen als Verleugnungen interpretiert (z.B. in dem Bericht NSA says it’s not collecting images of US citizens for facial recognition). Diese Beschreibung entspricht nicht genau der Position der NSA. Nextgov berichtete: „Die National Security Agency sammelt und analysiert Bilder von den Gesichtern der Leute als Teil einer riesigen Überwachungsmaßnahme, wie der Direktor der Behörde am Dienstag bestätigte.“ Es wird aber auch darauf aufmerksam gemacht, dass Admiral Mike Rogers, der neue Leiter der NSA, betonte, dass dies nicht absichtliche geschehe. Er erklärte:

“Wir nutzen Gesichtserkennung als ein Hilfsmittel, um diese ausländischen Geheimdienst-Ziele zu verstehen.“

Des Weiteren erklärte Rogers, dass die NSA „keinen Zugriff auf eine gewaltige Datenbank an Fotos von amerikanischen Bürgern besitze“ und verneinte zudem die Behauptung, dass die Behörde Bilder vom Department of Motor Vehicle (DMV) besitze. Beim Lesen dieser Erklärungen merkt der ein oder andere vermutlich die Auswirkungen von Snowdens Enthüllungen: Man sucht nach dem, was zwischen den Zeilen steht – mit anderen Worten: man ist misstrauisch. Könnten hinter den Erklärungen stehen, dass die NSA keine Fotos vom DMV sammelt, weil FBI oder DoJ es für sie tun? Bedeutet der Hinweis darauf, dass die NSA „keinen Zugriff auf eine gewaltige Datenbank an Fotos“ besitzt, dass sie ihren derzeitigen Zugang als nicht gewaltig erachten?

Die zunehmende Aushöhlung des Vertrauens könnte zum Erbe dieser Generation gehören – eine Generation, die durch Edward Snowden erfahren hat, wofür NSA und GCHQ die vielen Steuergelder ausgeben. Solange die amerikanische Regierung es nicht schafft, das richtige Maß an Transparenz und Einsicht in die Aktivitäten der NSA zu schaffen, wird der Unmut der Gesellschaft wachsen. Für den Moment bleibt uns aber nichts anderes übrig, als abzuwarten und uns zu fragen, was wohl die nächsten Enthüllungen ans Tageslicht bringen werden – vielleicht eine Liste mit Namen der Amerikaner, die von der NSA ausspioniert werden?