# taz.de -- Schlüsselfragen des Datenschutzes: Behörden müssen getrimmt werd… | |
> Höchste Zeit, dass das Recht auf Datensicherheit ernster genommen wird. | |
> Noch arbeiten viele staatliche Stellen und Firmen mit unverschlüsselten | |
> E-Mails. | |
Bild: In der Welt des Netzes sind überall Augen und Ohren. | |
Seitdem der frühere NSA-Mitarbeiter Edward Snowden begonnen hat, die Welt | |
über die gewaltige Datensammelei des US-Geheimdienstes aufzuklären, vergeht | |
kein Tag ohne neue bemerkenswerte Enthüllungen. Bislang habe seine Zeitung | |
erst 1 Prozent des Snowden-Materials veröffentlicht, sagte der | |
Chefredakteur des Londoner Guardian, Alan Rusbridger, in dieser Woche vor | |
dem britischen Parlament. | |
So viel steht immerhin schon fest: Wer seine Privat- und Intimsphäre und | |
andere wichtige Informationen schützen will, der muss sich selbst vorsehen, | |
Mails nur verschlüsselt oder im Zweifel gar nicht per Handy oder Internet | |
versenden. Für besseren Datenschutz sind aber auch die staatlichen Behörden | |
und die Wirtschaft zuständig. Hier ein paar Empfehlungen: | |
## Was kann die EU tun? | |
Sie kann Standards setzen. Bislang sind Google, Facebook und Co fein raus: | |
Nicht nur, was das hiesige Steuerrecht angeht, auch in Sachen Datenschutz | |
können sie sich zurücklehnen. Schließlich haben sie ihren Sitz nicht | |
innerhalb Europas. Dieses Dilemma kann die Datenschutzgrundverordnung, die | |
derzeit im EU-Ministerrat diskutiert wird, lösen: Jedes Unternehmen, das in | |
Europa tätig wird, soll sich demnach an europäische Standards halten. Dazu | |
gehört zum Beispiel das Recht auf Löschung der eigenen Daten. Strafen | |
sollen bis zu fünf Prozent des Jahresumsatzes betragen dürfen. Allerdings | |
wackelt es bei der Umsetzung: Vor allem Deutschland pocht auf niedrige | |
Standards. | |
Ein weiterer wichtiger Schritt: Datenberge abbauen. Adresse, Geburtsdatum, | |
Kontoverbindungen, Infos darüber, wer mit wem zu welcher Zeit telefoniert | |
hat – bei den Providern liegt ein echter Schatz an persönlichen | |
Informationen. Und die EU hat diesen noch vergrößert: Sie schreibt seit | |
2006 vor, dass Telefon- und Internetanbieter sechs Monate speichern müssen, | |
mit wem ihre Kunden von wo aus wie lange telefoniert und an wen sie eine | |
E-Mail oder eine SMS geschickt haben. Am besten wäre es, Provider dürften | |
nur noch die Kundeninformationen speichern, die sie für die Abrechnung | |
benötigen, und auch nur so lange. Das würde das Datenaufkommen deutlich | |
reduzieren. Die Chance dafür ist jedoch extrem gering: Union und SPD haben | |
die Vorratsdatenspeicherung schon im Koalitionsvertrag verankert. | |
## Was kann die Bundesregierung tun? | |
Wenn die Regierung Pilotprojekte zur Elektromobilität mit Millionen | |
unterstützt – warum kann sie nicht auch die privatsphärenfreundliche | |
Kommunikation, das heißt die Verschlüsselung fördern, sowohl der Daten in | |
der Cloud als auch das verschlüsselte Telefonat? Schon klar, der Staat hat | |
kein Interesse daran, dass seine Bürger etwas vor ihm verbergen. | |
Nötig ist es auch, die Behörden zu trimmen: Manchmal kommt man nicht | |
drumherum, per E-Mail mit Ämtern zu kommunizieren – wegen des | |
Steuerbescheids zum Beispiel. Doch längst nicht alle Behörden haben ihre | |
Server so eingestellt, dass sie E-Mails verschlüsselt übertragen. Wer sein | |
Anliegen samt zugehöriger Daten also fix rübermailt, überträgt die Inhalte | |
offen lesbar. Und zwar egal, ob der eigene Anbieter verschlüsselt oder | |
nicht, denn dazu gehören immer zwei. Da die öffentliche Hand das Problem | |
anscheinend nicht von selbst erkennt, braucht es hier wohl eine Anweisung | |
von oben. | |
Dass sogar Nachzügler wie GMX und die Telekom das hinbekommen haben, zeigt: | |
So schwer kann die Umstellung nicht sein. Vor allem muss der Staat seine | |
eigenen Angebote sicher machen: den neuen Personalausweis etwa, die | |
elektronische Gesundheitskarte oder den Dienst DE-Mail. Während die | |
Bundesregierung betont, der Ausweis sei sicher, hat der Chaos Computer Club | |
(CCC) bereits gezeigt, dass sich die PIN ausspionieren lässt und so | |
Einsicht in persönliche Daten erlaubt – von Name über Anschrift bis zum | |
Datensatz der Rentenversicherung. | |
Nicht besser ist der Dienst DE-Mail: Eine Verschlüsselung vom Sender bis | |
zum Empfänger gibt es nicht – trotzdem soll der Dienst in der Kommunikation | |
von Bürgern mit Behörden den Brief ersetzen. Problem: Wenn die | |
Bundesregierung unsichere Dienste als sicher verkauft, scheint sie es | |
entweder nicht besser zu wissen oder die Unsicherheit zu wollen. | |
## Was kann die Wirtschaft tun? | |
Sie kann bedienbare Produkte schaffen. Natürlich wäre es gut, wenn jeder | |
seine eigenen E-Mails verschlüsselte. Programme dafür gibt es genug – wer | |
etwa das freie E-Mail-Programm Thunderbird nutzt, kann dafür das Add-on | |
Enigmail herunterladen. Aber: Bequemlichkeit steht hier meist über dem | |
Wunsch nach Privatsphäre. Soll Verschlüsselung für die breite Masse nutzbar | |
sein, braucht es Angebote auch für jene, die nicht ganz so genau wissen, | |
was ein Browser ist. Es gibt bereits Unternehmen, die daran arbeiten, nicht | |
nur die Übertragung von Mails, sondern auch die Postfächer auf dem Server | |
zu verschlüsseln. | |
Sie kann die Übermittlung codieren: Nach den ersten Snowden-Enthüllungen | |
war viel von Metadaten die Rede – die nicht den Inhalt einer E-Mail | |
betreffen, sondern etwa Absender- und Empfängeradresse, Uhrzeit und | |
Betreff. Die werden sogar dann im Klartext übertragen, wenn Sender und | |
Empfänger die Verschlüsselungstechnik PGP nutzen – falls die Provider die | |
Übermittlung nicht verschlüsseln. | |
Das tun mittlerweile immer mehr Anbieter, aber längst nicht alle. Dazu | |
kommt: Nicht alle verwenden eine starke Verschlüsselung, sondern mitunter | |
Techniken, die leicht knackbar sind, gerade für einen Geheimdienst mit der | |
entsprechenden Rechenkapazität. | |
Dabei gibt es Systeme, die als sicher gelten. Eines heißt Perfect Forward | |
Secrecy und verhindert, dass Dritte nachträglich eine SSL-Verbindung | |
entschlüsseln können. Und natürlich müssen die Daten auf dem Server auch | |
verschlüsselt werden – sonst ist dort das nächste Einfallstor. | |
Nicht zu vergessen die Webseiten: Wer Waren – einen Dampfkochtopf zum | |
Beispiel – im Internet bestellt, übermittelt meist Namen, Kreditkartendaten | |
und Adresse über das Netz. Mehr Privatsphäre bietet eine Übertragung per | |
https. Ist die Übertragung der Daten verschlüsselt, lässt sich unterwegs | |
nicht erkennen, wer da was verschickt. | |
## Abgreifen an den Backbones | |
Zwar gab es Berichte darüber, dass die NSA teilweise trotzdem mitlesen | |
kann. Aktuell als stark eingestufte Verschlüsselungsverfahren mit langen | |
Schlüsseln befand aber auch Whistleblower Edward Snowden im | |
Guardian-Interview als sicher. | |
Die Verschlüsselung muss allerdings auch für die andere Seite gelten: So | |
nützt es nicht viel, wenn der Kunde des Dampfkochtopfhändlers seine Daten | |
über eine verschlüsselte Verbindung eingibt, der Shopbetreiber sie aber | |
unverschlüsselt abruft. Das alles ist nicht kompliziert, aber kleinteilig. | |
Und zu guter Letzt: sichere Telefonverbindungen. Wie sicher der Inhalt | |
eines Gesprächs beim Mobiltelefonat ist, hängt von verschiedenen Punkten | |
ab. So gilt der alte Netzstandard GSM als leicht zu knacken, das neuere | |
UMTS gilt dagegen als sicherer. | |
Bei Smartphones gibt es dafür andere Möglichkeiten der Manipulation, wie | |
etwa Trojaner. Doch ein Problem gilt für alle Netze: An den Backbones, den | |
Hauptsträngen im Hintergrund, greifen Geheimdienste die Daten an | |
Schnittstellen trotzdem ab. | |
Geräte von Geheimnisträgern in Wirtschaft und Politik arbeiten daher mit | |
einer Extrverschlüsselung. Für alle, die keinen vierstelligen Betrag für | |
ihr Telefon ausgeben wollen, würde eine ganz andere und einfache Lösung | |
weiterhelfen: Die Hersteller von Betriebssystemen wie Android und Apple | |
könnten Anwendungen, die eine Ende-zu-Ende-Verschlüsselung aufbauen, | |
vorinstallieren. Das würde den Versteh-ich-doch-sowieso-nicht-Charakter | |
dieser Apps senken und das Sicherheitsniveau der Telefonate immens erhöhen. | |
Große Hoffnung auf solche Angebote durch die Provider gibt es allerdings | |
nicht: Die Ende-zu-Ende-Verschlüsselung würde mittels Voice over IP über | |
das Internet laufen – die Provider machen ihr Geld mit über das | |
Mobilfunknetz vertelefonierten Minuten. | |
5 Dec 2013 | |
## AUTOREN | |
Svenja Bergt | |
## TAGS | |
Datenschutz | |
Datensicherheit | |
NSA | |
Edward Snowden | |
Verschlüsselung | |
Schwerpunkt Chaos Computer Club | |
Schwerpunkt Überwachung | |
Gesundheit | |
Datenschutz | |
Krankenkassen | |
NSA | |
Südkorea | |
Schwerpunkt Chaos Computer Club | |
Schwerpunkt Chaos Computer Club | |
Innenministerium | |
Datenschutz | |
Keith Alexander | |
Geheimdienst | |
Schwarz-rote Koalition | |
Vorratsdatenspeicherung | |
Otto Schily | |
## ARTIKEL ZUM THEMA | |
Debatte Gesundheitsdaten-Sammelei: Krankes System | |
Wer einmal an einem Gewinnspiel teilgenommen hat, kann seine Daten kaum | |
wieder einfangen. Besonders wertvoll sind persönliche Gesundheitsdaten. | |
Datensicherheit im Internet: Ein hoher Preis fürs schnelle Konto | |
Onlinebetrüger werden immer raffinierter und stehlen gezielt immer höhere | |
Beträge. Auch beim mTAN-Verfahren gibt es mittlerweile Betrugsfälle. | |
Studie stellt E-Gesundheitskarte infrage: Beim Lichtbild geschlampt | |
Laut Studie der Kassenärztlichen Bundesvereinigung sind die neuen e-Cards | |
nicht zulässig. Die Versicherungen hätten versäumt, die eingereichten Fotos | |
zu überprüfen. | |
Folgen der NSA-Affäre: Unbeliebte Cloud | |
Liest die NSA mit? Unternehmen haben Angst, dass unerlaubt auf sensible | |
Daten zugegriffen werden könnte. Deshalb sinkt die Nachfrage nach | |
Cloud-Diensten. | |
Kreditkarten-Skandal in Südkorea: Daten à la carte | |
Bei einem Datendiebstahl wurden über 100 Millionen Kartenkonten angezapft. | |
Ein Techniker hatte das Material einfach auf seine Festplatte kopiert und | |
mitgenommen. | |
Kolumne 30C3 - Tag 1: Bullshitbingo in einer mad world | |
Singende Roboter, düstere Stimmung und Pofallas Sprachstil – das geht gar | |
nicht. Was wir auf dem ersten Tag des 30C3 gelernt haben. | |
Vorschau auf den 30.CCC Kongress: Error: Vergewaltigung | |
Julian Assange wird auf dem 30. Chaos Communication Congress live | |
zugeschaltet. Die NetzfeministInnen gehen auf die Barrikaden. | |
E-Mails ans Innenministerium: Jetzt sogar verschlüsselt | |
Das Innenministerium empfiehlt seit Jahren E-Mails zu verschlüsseln – und | |
hat sich selbst nicht dran gehalten. Jetzt macht es mit. Ein bisschen. | |
Kommentar Vorratsdatenspeicherung: Nur die Überschrift klingt gut | |
Laut EuGH verstößt Vorratsdatenspeicherung gegen EU-Grundrechte. Bei | |
genauerer Betrachtung ist das Gutachten aber eine Enttäuschung. | |
NSA-Chef Keith Alexander: Der Mann hat seinen Job verstanden | |
Die NSA sammelt Daten und überwacht. Ihr Chef, Keith Alexander, findet das | |
wenig überraschend richtig. Das sagte er vor dem Justizausschuss des | |
US-Senats. | |
Netz-Überwachung der Geheimdienste: Google und Co wollen Reform | |
Apple, Facebook, Microsoft und Google gehen nach den NSA-Enthüllungen in | |
die Offensive. Sie fordern von Regierungen, ihre Geheimdienste stärker zu | |
konrtrollieren. | |
Taschenlampen-App für Android: Nutzer ausgeleuchtet | |
Wer eine App auf seinem Smartphone installiert, gibt den Herstellern | |
Zugriff auf viele seiner Daten. Nun ist eine weit verbreitete | |
Taschenlampen-App betroffen. | |
Dix droht mit Sanktionen: Snowden erreicht die Wirtschaft | |
Berlins Datenschutzbeauftragter macht nach NSA-Enthüllungen Druck auf | |
Unternehmen: Die müssten ihre Datensicherheit hochfahren. | |
Große Koalition uneinig: Ja zu Vorratsdaten, aber wann? | |
Im Koalitionsvertrag haben sich Union und SPD auf die | |
Vorratsdatenspeicherung geeinigt. Wann es damit losgehen soll, ist aber | |
noch längst nicht klar. | |
Schwarz-Rot zu Datenschutz: Ein Fall für den „Vertrauensraum“ | |
Innenpolitisch will Schwarz-Rot auf die NSA-Affäre reagieren. Die Koalition | |
plant eine Datenschutz-Offensive, aber auch die Vorratsdatenspeicherung. | |
Kommentar Vorratsdatenspeicherung: Sozialdemokratische Überwachung | |
Fest steht: Mit der großen Koalition kommt auch die | |
Vorratsdatenspeicherung. Die Anti-NSA-Sprüche der SPD im Wahlkampf waren | |
Nebelkerzen. |