Tag Archiv für Verschlüsselung

FBI Direktor beklagt sich über Verschlüsselung von Mobilgeräten


Das FBI ist offenbar zu der Auffassung gelangt, daß die von Google für das nächste Android versprochene und von Apple mit iOS 8 eingeführte Verschlüsselung für iPhones und iPads funktioniert, denn der FBI Direktor James Comey beklagt sich darüber (Huffington Post via FAZ), dass die Ermittlungsbehörden nun keinen Zugriff mehr auf die Daten auf iPhones un iPads haben.

„I am a huge believer in the rule of law, but I am also a believer that no one in this country is beyond the law,“ Comey told reporters at FBI headquarters in Washington. „What concerns me about this is companies marketing something expressly to allow people to place themselves above the law.“

(„Ich glaube an den Rechtsstaat, aber ich glaube ebenfalls daran, daß niemand in diesem Land jenseits des Gesetzes steht.“ […] „Was mich jedoch daran beunruhigt ist, daß die Unternehmen mit etwas ausdrücklich werben, was es den Kunden erlaubt, sich über das Gesetz zu stellen.“)

Das Lamenti ist aus zwei Gründen interessant. Einerseits ist es in einem Land, in dem selbst automatische Waffen frei verkäuflich sind, pure Heuchelei. Weiterlesen

Parallelnetz für Europa

In einem Kommentar fordert, wie schon andere vor ihr, jetzt auch Sabine Leutheusser-Schnarrenberger den Aufbau eines Parallelnetzes in Europa.

… die Bundesregierung die Verpflichtung, für sichere Kommunikation zu sorgen und endlich Vorschläge für ein Parallelnetz in Europa zu machen und voranzutreiben.

Gerade Fr. Leutheusser-Schnarrenberger kann man nun nicht unbedingt den Vorwurf machen aus rein populistischen Motiven heraus irgendwelche Thesen in die Welt zu setzen, aber generell frage ich mich bei diesen Forderungen immer, wie genau man sich das technisch eigentlich vorstellt. Prinzipiell gäbe es zwei Möglichkeiten ein solches Deutschlandnetz oder Europanetz Wirklichkeit werden zu lassen. Entweder tatsächlich als echtes physisches Netz oder als virtuelles Netz im existierenden Netzverbund. Weiterlesen

Vertrauliche Daten an die falsche e-Mailadresse

Interessanter Fall, die US-Investmentbank Goldman Sachs oder besser gesagt ein Mitarbeiter eines Vertragsunternehmens, schickte eine e-Mail mit vertraulichen Daten (Spiegel-Online, Süddeutsche) an eine falsche e-Mailadresse. Nun verlangt Goldmann Sachs vom Betreiber der Empfängerplattform, in diesem Falle Google als Betreiber von gmail.com, die Löschung der von Goldmann Sachs fehlerhaft adressierten e-Mail. Jetzt muss gerichtlich geklärt werden, ob der Betreiber und wenn ja auf welcher Rechtsgrundlage, eine ordnungsmäß zugestellte e-Mail aus dem Postfach eines Empfängers auf Zuruf löschen darf. Außerdem verlangt die Bank Auskunft darüber wer Zugriff auf die Daten gehabt haben könnte. Meiner Auffassung nach sollte dies nicht ohne Weiteres erlaubt sein, denn der Dienstbetreiber stellt den Telekommunikationsdienst zur Verfügung, hat aber kein Recht Inhalte nach eigenem Gutdünken zuzustellen oder auch nicht bzw. den Inhalt eines Postfaches eigenmächtig zu verändern. Vielleicht sollte die e-Mail ursprünglich doch an den Empfänger, aber man hat es sich dann intern, bspw. um die eigene rechtliche Position nicht untergraben, anders überlegt und würde daher die e-Mail lieber ungeschehen machen. Für den Dienstbetreiber gibt es keine objektive Möglichkeit zu entscheiden, ob der Empfänger eine e-Mail erhalten sollte, wollte oder eben nicht, lt. der e-Mailadresse war sie jedenfalls an ihn adressiert. Dies ist einer der Gründe warum in Deutschland Spam in Spamordnern abgelegt und nicht einfach gelöscht wird. Auch bzgl. der verlangten Herausgabe von Nutzerdaten über Personen die Zugriff gehabt haben könnten scheint mir die Rechtslage in Deutschland eindeutig zu sein, denn nach §12 Abs. 2 TMG darf eine Weitergabe der Nutzerdaten an Dritte nur dann erfolgen wenn dies eine Rechtsvorschrift erlaubt oder der Nutzer eingewilligt hat. Beides trifft hier nicht zu. Google würde sich in Deutschland daher strafbar machen, wenn es dem Ansinnen auf Datenherausgabe stattgeben würde. Wie die Rechtslage in den USA dazu aussieht weiß ich jedoch nicht. Weiterlesen

Stand der E-Mail-Verschlüsselung ist desaströs

Nach einer Umfrage im Auftrag der BITKOM (via heise — Befragung: Stand der E-Mail-Verschlüsselung ist desaströs) soll nur jeder 7te Arbeitnehmer (16%) seine e-Mails am Arbeitsplatz verschlüsseln. Meiner Ansicht nach kann an dem Ergebnis oder dessen Darstellung etwas nicht stimmen. Für mich klingt es nicht plausibel, 16% scheinen stark überhöht zu sein.

Das Marktforschungsinstitut Aris hat im Auftrag des BITKOM 1006 Personen ab 14 Jahren in Deutschland befragt, darunter 620 Berufstätige. Die Befragung ist repräsentativ.

620 Beruftätige in 1006 Befragten über 14 Jahren entspricht einer Quote von 61%. Laut statischem Bundesamt haben wir in Deutschland rd. 42 Millionen Erwerbstätige bei knapp 81 Millionen Einwohnern, was einer Quote von knapp 52% entspricht. Das die Erwerbsquote bei der Bitkomumfrage höher liegen muss, ist einleuchtend, da nur Personen ab 14 Jahren befragt wurden. Allerdings habe ich meine Zweifel, ob auch die Alten tatsächlich repräsentativ vertreten sind. Weiterlesen

PGP ist zu kompliziert

Auf Zeit Online gab’s neulich mal wieder einen Artikel zum Thema e-Mailverschlüsselung und über die wie Pilze aus dem Boden sprießenden e-Mailanbieter, die dem Benutzter e-Mailverschlüsselung nahebringen wollen. Nicht das ich an dieser Stelle den Neulingen per se unterstellen möchte, quasi Ausgründungen der Geheimdienstwelt zu sein, aber eine gewisse Vorsicht scheint angebracht zu sein, bevor man sich womöglich in falscher Sicherheit wiegt. Ich persönlich habe eine prinzipielle Abneigung gegen alle Verfahren, bei denen private Schlüssel, in welcher Form auch immer, beim Anbieter erzeugt werden und/oder dort verbleiben. Diese Sammlungen werden immer, auch wenn der Anbieter keine verdeckte Agenda hat, ein primäres Ziel von Angreifern (Justiz, Geheimdienste, Hacker) darstellen. Private Schlüssel gehören grundsätzlich nicht in fremde Hände — auch nicht in die Cloud —, sondern ausschließlich auf den eigenen Rechner. Will der Angreifer unter diesen Bedingungen an private Schlüssel kommen, ist er gezwungen jeden einzelnen Rechner zu infiltrieren, was derzeit ein pauschales Abgreifen im Vorübergehen bei Millionen von Nutzern wirkungsvoll aushebelt. Ist der Angreifer allerdings Willens und in der Lage den Rechner eines Benutzers zu infiltrieren, hat der Benutzer ein echtes Problem, denn an diesem Punkt verliert die Wichtigkeit zum Zugang des privaten Schlüssels enorm an Bedeutung, da der Angreifer Zugriff auf die Daten vor der Ver-, bzw. nach der Entschlüsselung hat. Auch eine verschlüsselte Festplatte ist dann nutzlos. Trotz aller Sammelwut der Geheimdienste und der sie beauftragenden Regierungen, würde eine individuelle Infiltration immer noch hochselektiv erfolgen. Derzeit werden die Daten nur deshalb in dem ungeheuren Ausmaß gesammelt, weil es eben sehr einfach ist und sich praktisch niemand dagegen zur Wehr setzt. Weiterlesen

Rechtsanwalt für Internetrecht klagt gegen BND, bietet aber keinen PGP-Schlüssel an

Wie der Spiegel berichtet (via CR-Online), klagt der Berliner Anwalt Niko Härting (Twitter: @nhaerting) vor dem Bundesverwaltungsgericht gegen eine Durchleuchtung von e-Mails aus dem Jahre 2010, da aus dem Jahresbericht (vgl. hier) des parlamentarischen Kontrollgremiums hervorging, daß der BND 37 Mio. e-Mails abgefangen, aber nur in 12 Fällen auf nachrichtendienstlich relevantes Material gestoßen sein soll. Soweit so gut, je mehr Klagen vor unterschiedlichen Gerichten gegen diese Schnüffelei vorliegen, desto größer ist auch die Wahrscheinlichkeit, daß Licht in die Sache kommt und Verantwortliche mindestens Rede und Antwort stehen müssen (man wird ja bescheiden, bei dieser Regierung).

Was den Fall aber interessant macht ist etwas Anderes und genau passend zu zwei anderen Artikeln zu Rechtsanwälten hier im Blog (hier und dort): Weiterlesen

Deutsche Algorithmen braucht das Land


Golem.de berichtet über die Ideen von Thomas Jarzombek (Twitter: tj_tweets), dem netzpolitischen Sprecher der CDU und Sprecher des Ausschusses für die Digitale Agenda:

Als Konsequenz aus der NSA-Affäre fordert der CDU-Netzpolitiker Thomas Jarzombek einen deutlichen Ausbau des verschlüsselten Datenverkehrs. Dazu seien auch gesetzliche Regelungen denkbar, sagte Jarzombek am Freitag im Bundestag in Berlin. „Ich meine damit eine Pflicht zur verschlüsselten Verbindung zwischen Clients und Servern.“ Es müsse ein wesentliches Ziel sein, die Menge der verschlüsselten Daten zu erhöhen.

Zudem brauche es dabei Algorithmen, die keinen Zweitschlüssel bei anderen Diensten oder in anderen Ländern hätten. „Wir müssen hier auf deutsche Forschung, deutsche Algorithmen setzen.“

Immerhin ist Herr Jarzombek Gesellschafter eines IT-Unternehmens und auf seiner Homepage unter Kontakt hat er auch einen Verweis auf sein MIME-Zertifikat beim Deutschen Bundestag. Von ihm kann man also bzgl. IT-Kenntnissen deutlich mehr erwarten als von anderen Politikern. Weiterlesen

Die Verschlüsselungskompetenz der Abgeordneten

Die FAZ hat mal bei den Abgeordneten nachgefragt, wie sie’s mit der Verschlüsselung halten.[1, 2] Das Endergebnis ist ernüchternd, aber nicht überraschend. Etliche Aussagen von Abgeordneten sind bezeichnend dafür, daß sie das Problem überhaupt nicht verstanden haben. „Ich gehe davon aus, dass alle von meinem Bundestags-Account verschickten E-Mails geschützt sind.“ so Dagmar Enkelmann (Die Linke), wohingegen Enak Ferlemann (CDU) seine e-Mails, man höre und staune, „nach den Vorschriften des Bundesdatenschutzgesetzes“ verschlüsselt.[2] Inkompentenz an allen Ecken. Diese Leute werden nicht in der Lage sein, die NSA-Spionageaffäre aufzuklären, denn dazu muss man wenigstens näherungsweise wissen worum es geht. Schlimmer noch erscheint mir jedoch, daß Einige ihre Funktion als Abgeordnete nicht verstanden haben. Weiterlesen

Kundenverarsche „E-Mail made in Germany“

Die Deutsche Telekom und United Internet (Web.DE & GMX) haben heute ihr gemeinsames Projekt „E-Mail made in Germany“ vorgestellt, bei dem sie in Zukunft den Mailverkehr zwischen ihren Mail-Servern verschlüsselt übertragen werden, d.h. der Transportweg wird verschlüsselt, das ist etwas anderes als wenn die e-Mails verschlüsselt werden, denn am Ende des Weges wird wieder entschlüsselt. Es ist sicherlich nicht prinzipiell falsch was Deutsche Telekom und United Internet hier vorhaben, aber es geht im Grunde am eigentlichen Problem vorbei. Zunächst stammt der dazugehörige Standard STARTTLS (RFC 2595, RFC 3207) bereits von 1999 und 2002. Man muss sich also fragen, wieso die das erst jetzt implementieren und dies nicht schon vor zehn Jahren erfolgt ist. Bei den genannten Providern kann der Endkunde bereits seit Jahren seine e-Mails verschlüsselt über TLS (Nachfolger des veralteten SSL) einreichen, sofern er dies auf seinem Rechner in seinem e-Mailprogramm konfiguriert hat, d.h. die Technik ist bei den Unternehmen schon lange im Einsatz und wird jetzt nur auf den Austausch der E-Mails zwischen ihnen ausgedehnt. Weiterlesen

Sollte man seine e-Mails verschlüsseln? Ja, aber …

Seit langem wird aus aktuellem Anlass mal wieder darüber diskutiert, ob man seine e-Mails verschlüsseln sollte oder nicht. Ich persönlich würde sagen ja. Das gilt uneingeschränkt für Privatleute und Unternehmen. Wie die Projekte Prism und Tempora hoffentlich eindrucksvoll gezeigt haben, ist das Mitlesen der über TCP/IP-laufenden Kommunikation deutlich einfacher, als bei herkömmlichen Kommunikationsformen und -wegen, da dies vollautomatisch und vor allen Dingen spurlos erfolgt. Die Verschlüsselungssoftware (GnuPG, S/MIME) ist frei verfügbar und nach einmaliger Einrichtung auch problemlos nutzbar. Man sollte die Verschlüsselung als eine Art von Notwehr verstehen: Weiterlesen