Sie sind hier

Kryptografie kann nicht die Lösung sein, für gesellschaftliche Probleme

Immer wieder wird in Diskussionen das Argument eingebracht, Verschlüsselung wäre für den Bürger wichtig. Das ist, ohne Zweifel, in einer Vielzahl von Fällen absolut richtig.

Beispielsweise beim Onlinebanking, beim Onlineshopping oder auch dann, wenn wir Bürger unseren monatlichen Bericht an den Geheimdienst schicken (jk). Letzteres betrifft mutmaßlich nur eine kleine Randgruppe. Jedoch gibt es neben den Geheimdiensten eine Vielzahl Kleinkrimineller, die selbst Adressdaten oder auch nur kleine Informationshappen dazu nutzen möchten, eine Vertrauensbasis zu schaffen aus der sich Kapital schlagen lässt. Der Enkeltrick, die Erbschaft, die wichtige Mitteilung der Krankenkasse, das Postpaket das erwartet wird. Tatsächlich gibt es sehr gute Gründe für Verschlüsselungen oder auch „Siegel“ in unserer Welt.

Doch abseits dessen möchte ich nun plausibel erklären, wie ich zu der Meinung gelangt bin, dass selbst moderne Verschlüsselungen in den Händen der Bürger ähnlich wirksam ist, wie ein Antivirus Programm für den Computer. Im Internet wird dies gern liebevoll als Schlangenöl bezeichnet.

»Schlangenöl-Software findet man häufig in Softwarebereichen, deren technischer Hintergrund für Laien nur schwer verständlich ist oder viel Einarbeitung erfordert. Hier finden windige Geschäftemacher leicht Kunden, indem sie ihr Produkt mit vielen wichtig klingenden, aber nichtssagenden technischen Begriffen bewerben. Die meisten Beispiele für Schlangenöl-Software stammen daher aus den Bereichen der Kryptographie, der Netzwerk-Sicherheit oder der Performance-Steigerung.« Quelle: deutsche Wikipedia

Wir erinnern uns zurück, was bewirkte der Einsatz von Antivirensoftware?
Gab es aufgrund des Einsatzes von Antivirensoftware weniger Probleme mit Schadsoftware?
Half es verschiedene Antivirensoftware gleichzeitig ein zu setzen?

Ich denke, viele Menschen fühlten sich sicherer im Internet, sobald ihr Computer ein kleines Icon unten rechts am Bildschirmrand anzeigte. Ein Schild, ein Regenschirm, ein Blitz oder was auch immer symbolisierte „Sicherheit“.

Doch häufig traf es den Windows Nutzer, mit oder ohne Antivirensoftware, mindestens ein, wenn nicht gar mehrere Male. Fast schon die Regel war es dass, das Betriebssystem danach neu installiert werden musste. Nicht selten deshalb, weil die zerstörte Antivirensoftware sich nicht ohne kostspielige professionelle Hilfe wieder deinstallieren ließ. Es ist dann idR einfacher die Nutzdaten zu kopieren und in ein neues System zu importieren.

Antivirensoftware sollte uns vor kriminellen Menschen schützen. Nicht vor Geheimdiensten. Letzteres hätten wir sicher gern, aber das ist kaum plausibel dass dem so ist.

Genutzt hat es den Herstellern, die kräftig an kostenpflichtigen Updates verdient haben, denn die bösen Menschen konnten ihre Schadsoftware an der Antivirensoftware einfach austesten. Nicht selten wurde der bösartige Programmcode nur geringfügig modifiziert um von modernsten Virenscannern nicht mehr erkannt zu werden. Überdies hinaus gibt es Verschwörungstheorien, dass die Antivirensoftware Hersteller selbst auch Schadsoftware entwickelten oder auch Geheimdienste Trojaner und Würmer in das Internet, in die Öffentlichkeit brachten.

Ein Kampf gegen Wind(ows)mühlen wie es scheint. Denn das eigentliche Problem, die Ursache der Verwundbarkeit ist selten der raffinierte Schadcode, sondern die verwundbare Software. Wäre Software ordentlich programmiert, wäre dann evtl nur nötig gewesen das Betriebssystem ab zu sichern?

Der zweite vielleicht noch größere Risiko Faktor ist und bleibt ganz einfach der Mensch. In guten Glauben, durch die Technik geschützt zu sein, hinterfragt der Mensch seltenst die Quelle, muss der Techologie vertrauen, hinterfragt kaum einen Dienst mehr und installiert in vielen Fällen die Schadsoftware selbst.

Ähnlich verhält es sich mit Verschlüsselungen. Diese werden immer moderner, immer sicherer. Immer kryptischer. Es ist nicht einfach zu erklären was Entropie ist und noch weniger einfach wie moderen Verschlüsselungen funktionieren. Doch hat es die Geheimdienste nicht eher dazu beflügelt, mit noch größerem Aufwand noch mehr Daten abzuschöpfen? Statt die Botschaft zu entschlüsseln werden Hintertüren in die Hardware eingebaut um die Nachricht noch vor der Verschlüsselung, oder auf dem Zielrechner während der Entschlüsselung ganz simple per „Screenshot“ abzufangen.

Kommerziell erfolgreiche Softwareverschlüsselung hat, m.W., einen Backdoor. Eine Hintertür für die Behörden oder den Notfallsupport für Behörden und privatwirtschaftliche Unternehmen. Wenn sie es nicht hat, wird sie verboten oder sie wird vom Markt verschwinden um später mit einer Hintertür wieder an den Start zu gehen.

Ist eine kommerzielle oder behördliche Entschlüsselung nicht möglich, aber im Interesse der nationalen Sicherheit, kann der Nutzer, oder Anbieter des Dienstes zur Herausgabe seiner Schlüssel gezwungen werden. In vielen Ländern dieser Welt ist dies mittlerweile gesetzlich geregelt, dass der Angeklagte durch Haft dazu gezwungen werden kann. Das ist bereits Realität.

Die Regierungen überall auf der Welt schauen zu, wie die Privatsphäre eines jeden einzelnen Menschens auf der Welt aufgelöst wird. Keine Geheimnisse mehr. In einigen Staaten ist die Herausgabe des Schlüssel schon bei weit geringen Fällen vom Gesetz geregelt.

Das Nutzen von Kryptosoftware führt meiner Meinung dabei lediglich zu einer Scheinsicherheit, wenn wir über den staatlichen Lauschangriff reden.

Polemisch ausgedrückt: Mit einem Mausklick – die Welt retten. Man installiert eine Datei und schon ist man einer der Guten. Richtig gut ist man, wenn man mehrere Dateien installiert, sein Betriebssystem selbst installiert hat und mehrere Male mit der Maus geklickt hat. Die besten klicken nicht, die tippen eine Befehlszeile ein.

Dabei wird viel Zeit und Energie aufgewendet. Kryptographie kostet Rechenzeit. Rechenzeit kostet Strom. Wie bei der Virensoftware, müssen ständig Updates gepflegt werden um neu entdeckte Sicherheitslücken zu schließen. Wenn ich Update, dann müssen das auch alle meine Empfänger und Sender tun, denn – sonst bin ich oder sind andere nicht sicher. Doch wer sagt dem Nutzer, dass die angeforderten Dateien nicht auf den Proxy Caches der großen ISPs on the fly manipuliert werden? Das die Firma, zumeist Aktiengesellschaften, nicht schon längst von der Chefetage abwärts kompromittiert wurden? Wem kann ich denn trauen? Der UEFI Hardware auf der eine Distribution läuft, die basierend auf einer anderen Linux Distribution von Dritten zusammengestellt, nicht selbst kompiliert über ein Netz übertragen wird dass definitiv von Geheimdiensten überwacht wird? Man muss mal klar sagen, bei soviel Unsicherheit wird eine Diskussion mehr und mehr lächerlich.

Woher will der Nutzer wissen, dass nicht schon sein Betriebssystem eine sichere Verschlüsselung verhindert? Die Hardware? Und wenn man schon paranoid ist, warum ist dann das Smartphone / Cellphone stets mit dabei und in Betrieb?

Nicht die Technik muss modernisiert werden. Zu aller erst muss ein gesellschaftlicher Rahmen geschaffen werden, dass verantwortliche auch zu Verantwortung gezogen werden, wenn die Privatsphäre verletzt wird. Bis dahin genügt ein einfacher Stempel auf jeder Botschaft: PRIVAT

Wer diese einfache Botschaft nicht versteht, wer fremde Briefe gegen den Willen des Senders oder des Empfängers öffnet, der wird auch vor Brutforce oder brutaleren Möglichkeiten, nicht halt machen um eine Botschaft abzufangen, zu entschlüsseln oder mitzulesen.

Das (gesellschaftliche) Betriebssystem muss repariert und transparent gemacht werden. Es muss ein Konsens geschaffen werden, eine Basis, auf der jeder Mensch ein Recht darauf hat, dass seine Würde unantastbar ist und auch die vertrauliche Kommunikation mit Mitmenschen umfasst. Denn andernfalls geschieht was mittlerweile schon begonnen hat. Software, Hardware, Tools oder auch Dienstleistungen werden untersagt, der Besitz oder gar nur der Versuch der Beschaffung (siehe Blackshades), wird unter Strafe gestellt.

Den technischen Krieg, können wir Bürger nicht gewinnen. Denn unsere Gegner spielen nicht fair, in der Gewissheit dass sie nicht zur Verantwortung gezogen werden, verbieten sie einfach unsere, uns zur Verfügung stehenden Mittel. Darüber hinaus geben sie sich nicht als unsere Gegner zu erkennen. Wir kennen in diesem (so genannten) Krieg den Feind nicht? Wir wissen nicht einmal, wogegen wir uns zu Wehr setzen sollen. Technologie kann in dieser Situation nicht helfen, wenn die Gegenseite nicht fair spielt. Technologie kann verboten werden oder jene die sie benutzen werden als Terroristen bezeichnet. Schon der Download eines "verdächtigen Software Code" kann eine Hausdurchsuchung zur Folge haben.

Immer wieder werden viele Vergleiche, Gleichnisse in Diskussionen eingebracht, man würde ja auch seine Haustür abschließen, das Auto ließe man ja auch nicht geöffnet herumstehen. Ich könnte Kontern, in Australien verschließen sehr viele Menschen weder Haustür noch Auto. Ich denke jedoch, dieser Schlagabtausch geht an der Metabotschaft vorbei.

Wenn ich Zeit meines Lebens, meine Energie für eine Mission aufopfern sollte, dann nicht um die Botschaft in die Köpfe zu hämmern: »Fürchtet eure Mitmenschen, verammelt und verriegelt all euer (geistiges) Eigentum.«

Sollte man mich, persönlich um meine Meinung fragen, so würde ich sagen: »Respektiert die Privatsphäre eurer Mitmenschen – gerade dann, wenn sie offen vor euch liegt. Lebt so gut ihr könnt ohne Furcht und teilt euer Wissen.«

Ich will niemandem abraten sich um seine Privatsphäre zu bemühen. Ich rate jedoch davon ab, die Technologie als Heilsbringer anzusehen. Von der wird man nur enttäuscht werden, nicht zu Letzt, weil sie von Menschen gemacht auch immer Fehler enthalten kann.

Wir brauchen politisch aktive Mitmenschen, die unser gesellschaftliches System reparieren. Erst kommt der Mensch, dann die Technik.

Noch einmal klar und deutlich: Gegen kleinkriminelle helfen Verschlüsselungen in Browsern, in der eMail oder auch auf dem Laptop damit dieser bei Verlust oder Diebstahl nicht gleich das Tagebuch und die Intimfotos offen legt. In der gesamtgesellschaftlichen Diskussion jedoch ist Kryptografie ähnlich hilfreich wie Schlangenöl. Solange Regierungen uns Soft und Hardware verbieten dürfen, solang in unserer Gesetzgebung die Würde des Menschen nicht respektiert wird und der Mensch zu der Herausgabe seiner Passwörter gezwungen werden darf, ist dem Bürger mit Kryptografie nicht zu helfen. Er wiegt sich damit in falscher Sicherheit, fühlt sich wie ein Aktivist und möchte Applaus? Wofür?

Geheimdienste reagieren zu dem auch selten auf den Inhalt einer Nachricht, zumal wenn sie verschlüsselt ist und sei es nur durch Substitutionen der Schlüsselwörter (Mutter = Agent, Vogel = Zielperson, etc), sie viel eher ein Interesse an den Metadaten haben. Wer redet, verabredet sich mit wem. Es gab schon Fälle in denen nur aufgrund von Metadaten getötet wurde, ohne dass eine Anklage, Verteidigung, Erklärung, Aufklärung möglich gewesen wäre. In solchen Fällen ist der Nachrichteninhalt egal ob verschlüsselt oder unverschlüsselt, nicht entscheidend.

Ich bin der Meinung, es fehlt allein schon die Basis des Vertrauens. Wir manövrieren uns in eine Welt der Angst, Denunziation, Verdächtigungen und Spionage. Technologie kann und davon bin ich überzeugt, unsere gesellschaftlichen Probleme nicht lösen. Weder Bitcoins, noch Antivirensoftware, noch Kryptologie.

Das können nur Menschen mit ihren Mitmenschen.

Mit sozialen Grüßen,
yt
 

 

PS: Wer glaubt ich nutze kein PGP, kein SSL, SSH oder Security Token der irrt und hat den Text nicht verstanden. Oder ich habe mich unklar ausgedrückt, muss aber gestehen, dass ich dann auch nicht mehr weiterhelfen kann. Tut mir leid, ich bin so beschränkt.