Skip to content

Anstand oder Shareholder Value?

Geschrieben von Carsten Eilers am um 07:06

Der sichere E-Mail-Anbieter Lavabit, der unter anderem von Edward Snowden genutzt wurde, hat seinen Betrieb eingestellt: Der Betreiber, Ladar Levison, hatte anscheinend die Wahl, den Betrieb einzustellen oder Abhöranweisungen der US-Behörden zu befolgen und darüber zu schweigen und hat sich für die Einstellung entschieden. Sein Fazit:

"This experience has taught me one very important lesson: without congressional action or a strong judicial precedent, I would _strongly_ recommend against anyone trusting their private data to a company with physical ties to the United States."

Da kann ich ihn nur aus vollem Herzen zustimmen. Das Problem ist nur, dass es hierzulande auch nicht besser aussieht. Nachdem Telekom und United Internet entschieden haben, endlich TLS für die Verbindungen der E-Mail-Server untereinander zu aktivieren, hat der Bundesinnenminister sofort frohlockt:

"Mit dieser Verschlüsselung werden die Zugriffsmöglichkeiten Unberechtigter weiter erschwert."

Man beachte das Wörtchen "Unberechtigter". Wen Herr Friedrich für Berechtigt hält, dürfte klar sein. Auch wenn das teilweise gar nicht so klar ist mit der Berechtigung, zum Beispiel beim BND und den Metadaten.

Denkt denn keiner an die Aktionäre?

Aber kommen wir noch kurz zu Lavabit zurück. Kommentare dazu gibt es viele, zum Beispiel von Graham Cluley, von Paul Ducklin von Sophos von Sean Sullivan von F-Secure und von Lisa Vaas von Sophos, die auf die Einstellung des Konkurrenzprodukts Silent Mail von Silent Circle als Folge der Einstellung von Lavabit eingeht. Der beste Beitrag zum Thema stammt meines Erachtens von Bruce Schneier, der zwei interessante Punkte zur Sprache bringt:

  1. Ladar Levison hatte die Möglichkeit, den Betrieb einzustellen, das Unternehmen gehört ihm und es kostet ihn nur sein Geld. Aber was wäre, wenn zum Beispiel Mark Zuckerberg sich entschließen würde, Facebook zu schließen, oder Larry Page Google dicht machen würde, statt mit NSA und Co. zusammen zu arbeiten? Die Aktionäre würden ihnen erst die Hölle heiß machen und sie dann feuern.
  2. Wenn die kleinen Unternehmen aufgeben, wird der Weg für die Großen frei - und damit für die Public/Private Surveillance Partnership.

Das nach Lavabit auch Silent Mail eingestellt wurde, zeigt, wohin die Reise in den USA geht. Wobei die Betreiber von Silent Mail das Grundproblem erkannt haben: Mit den herkömmlichen Mail-Protokollen SMTP/POP3/IMAP ist keine Ende-zu-Ende-Verschlüsselung möglich, und nur die schützt vor einem Abhören der Mails. Und genau darauf kommt es den US-Behörden (und sicher nicht nur denen, siehe die De-Mail in Deutschland mit ihrer Entschlüsselung auf dem Server) an. Was die USA ja schon 2010 erklärt haben!

Vertrauen in die(se) Regierung?

In diesem Zusammenhang auch interessant: Die NSA darf keine US-Amerikaner ausspionieren, tut es aber trotzdem. Wo ein Wille ist, findet sich auch ein Schlupfloch im Gesetz. Und das FBI nutzt anscheinend eine Schwachstelle in Firefox 17 aus, um Nutzer des Tor Browser Bundle (und keine normalen Firefox-Nutzer) auszuspähen und deren Identität zu ermitteln. Die Tor-Entwickler empfehlen Windows-Nutzern den Einsatz einer Live-CD an Stelle von Windows, um weiteren Angriffen auf ihre Anonymität zuvor zu kommen.

Bruce Schneier hat ein Essay mit dem Titel "Restoring Trust in Government and the Internet" veröffentlicht. Das eigentliche Problem dürfte das Vertrauen in die Regierung sein, dem Internet an sich und als Ganzem sollte man sicherheitshalber generell nicht zu viel Vertrauen entgegen bringen. Und was die Regierung betrifft - was macht eigentlich Frau Merkel, wenn ihr Urlaub vorbei ist und PRISM immer noch nicht unter den Tisch gekehrt wurde - verlängern?

Die NSA auf dem Weg zum Skynet?

Laut Kaspersky sind Mitarbeiter eine Hauptursache für den "Diebstahl" von Unternehmensdaten. Erst mal mag ich das Wort "Diebstahl" in diesem Zusammenhang nicht. Es ist erstens sachlich falsch, da die Daten ja noch da sind und "nur" kopiert wurden und zweitens kann ein Diebstahl rückgängig gemacht werden, indem das Gestohlene gefunden und zurück gebracht wird. Bei Daten weiß man nie, wie viele Kopien noch im Umlauf sind. Aber das nur quasi der Vollständigkeit halber. Worauf ich hinaus will: Ein "Unternehmen", das in dieser Hinsicht ja leidvolle Erfahrungen machen musste, ist die NSA. Und was macht die? 90% der Systemadministratoren feuern. Das könnte lustig werden, sich selbst wartende IT-Systeme hat bisher niemand erfolgreich getestet. Sofern die da nicht griechische Verhältnisse und viel zu viele Admins haben, dürften die verbleibenden 10% dann in Kürze gefrustet den Job hin schmeißen.

Die Frage ist nur, wie lange es dauert, bis die Politiker auf die Idee komme, noch mehr potentielle Datenlecks zu feuern und zum Beispiel die NSA-Rechner dann vollautomatisch die Drohen los schicken lassen. Das erinnert doch stark an eine Variation der Terminator-Filme, oder?

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Kommentare zu diesem und jenem, aber alle mit Sicherheitsbezug!

Vorschau anzeigen
Heute gibt es mal wieder eine bunte Mischung an Kommentaren. Und die ist so bunt, dass ich sie hier einfach nicht kurz und prägnant zusammen fassen kann. Interner Angreifer "Gerichtsanordnung" Ed Felten ist der Ansicht, das eine Anweis

Dipl.-Inform. Carsten Eilers am : Kommentare zur NSA, Edward Snowdens Mails und TrueCrypts Einstellung

Vorschau anzeigen
Wirklich Kommentierenswertes ist in der vorigen Woche eigentlich wenig passiert. Zum Ransomware-Angriff auf iCloud-Nutzer habe ich schon etwas geschrieben, und ansonsten gibt es eigentlich nur noch zwei wichtige Themen, beide mit NSA-Bezug: Die V