Schlüsselfragen des Datenschutzes: Behörden müssen getrimmt werden

Höchste Zeit, dass das Recht auf Datensicherheit ernster genommen wird. Noch arbeiten viele staatliche Stellen und Firmen mit unverschlüsselten E-Mails.

In der Welt des Netzes sind überall Augen und Ohren. Bild: imago / alimdi

Seitdem der frühere NSA-Mitarbeiter Edward Snowden begonnen hat, die Welt über die gewaltige Datensammelei des US-Geheimdienstes aufzuklären, vergeht kein Tag ohne neue bemerkenswerte Enthüllungen. Bislang habe seine Zeitung erst 1 Prozent des Snowden-Materials veröffentlicht, sagte der Chefredakteur des Londoner Guardian, Alan Rusbridger, in dieser Woche vor dem britischen Parlament.

So viel steht immerhin schon fest: Wer seine Privat- und Intimsphäre und andere wichtige Informationen schützen will, der muss sich selbst vorsehen, Mails nur verschlüsselt oder im Zweifel gar nicht per Handy oder Internet versenden. Für besseren Datenschutz sind aber auch die staatlichen Behörden und die Wirtschaft zuständig. Hier ein paar Empfehlungen:

Was kann die EU tun?

Sie kann Standards setzen. Bislang sind Google, Facebook und Co fein raus: Nicht nur, was das hiesige Steuerrecht angeht, auch in Sachen Datenschutz können sie sich zurücklehnen. Schließlich haben sie ihren Sitz nicht innerhalb Europas. Dieses Dilemma kann die Datenschutzgrundverordnung, die derzeit im EU-Ministerrat diskutiert wird, lösen: Jedes Unternehmen, das in Europa tätig wird, soll sich demnach an europäische Standards halten. Dazu gehört zum Beispiel das Recht auf Löschung der eigenen Daten. Strafen sollen bis zu fünf Prozent des Jahresumsatzes betragen dürfen. Allerdings wackelt es bei der Umsetzung: Vor allem Deutschland pocht auf niedrige Standards.

Ein weiterer wichtiger Schritt: Datenberge abbauen. Adresse, Geburtsdatum, Kontoverbindungen, Infos darüber, wer mit wem zu welcher Zeit telefoniert hat – bei den Providern liegt ein echter Schatz an persönlichen Informationen. Und die EU hat diesen noch vergrößert: Sie schreibt seit 2006 vor, dass Telefon- und Internetanbieter sechs Monate speichern müssen, mit wem ihre Kunden von wo aus wie lange telefoniert und an wen sie eine E-Mail oder eine SMS geschickt haben. Am besten wäre es, Provider dürften nur noch die Kundeninformationen speichern, die sie für die Abrechnung benötigen, und auch nur so lange. Das würde das Datenaufkommen deutlich reduzieren. Die Chance dafür ist jedoch extrem gering: Union und SPD haben die Vorratsdatenspeicherung schon im Koalitionsvertrag verankert.

Was kann die Bundesregierung tun?

Wenn die Regierung Pilotprojekte zur Elektromobilität mit Millionen unterstützt – warum kann sie nicht auch die privatsphärenfreundliche Kommunikation, das heißt die Verschlüsselung fördern, sowohl der Daten in der Cloud als auch das verschlüsselte Telefonat? Schon klar, der Staat hat kein Interesse daran, dass seine Bürger etwas vor ihm verbergen.

Nötig ist es auch, die Behörden zu trimmen: Manchmal kommt man nicht drumherum, per E-Mail mit Ämtern zu kommunizieren – wegen des Steuerbescheids zum Beispiel. Doch längst nicht alle Behörden haben ihre Server so eingestellt, dass sie E-Mails verschlüsselt übertragen. Wer sein Anliegen samt zugehöriger Daten also fix rübermailt, überträgt die Inhalte offen lesbar. Und zwar egal, ob der eigene Anbieter verschlüsselt oder nicht, denn dazu gehören immer zwei. Da die öffentliche Hand das Problem anscheinend nicht von selbst erkennt, braucht es hier wohl eine Anweisung von oben.

Dass sogar Nachzügler wie GMX und die Telekom das hinbekommen haben, zeigt: So schwer kann die Umstellung nicht sein. Vor allem muss der Staat seine eigenen Angebote sicher machen: den neuen Personalausweis etwa, die elektronische Gesundheitskarte oder den Dienst DE-Mail. Während die Bundesregierung betont, der Ausweis sei sicher, hat der Chaos Computer Club (CCC) bereits gezeigt, dass sich die PIN ausspionieren lässt und so Einsicht in persönliche Daten erlaubt – von Name über Anschrift bis zum Datensatz der Rentenversicherung.

Nicht besser ist der Dienst DE-Mail: Eine Verschlüsselung vom Sender bis zum Empfänger gibt es nicht – trotzdem soll der Dienst in der Kommunikation von Bürgern mit Behörden den Brief ersetzen. Problem: Wenn die Bundesregierung unsichere Dienste als sicher verkauft, scheint sie es entweder nicht besser zu wissen oder die Unsicherheit zu wollen.

Was kann die Wirtschaft tun?

Sie kann bedienbare Produkte schaffen. Natürlich wäre es gut, wenn jeder seine eigenen E-Mails verschlüsselte. Programme dafür gibt es genug – wer etwa das freie E-Mail-Programm Thunderbird nutzt, kann dafür das Add-on Enigmail herunterladen. Aber: Bequemlichkeit steht hier meist über dem Wunsch nach Privatsphäre. Soll Verschlüsselung für die breite Masse nutzbar sein, braucht es Angebote auch für jene, die nicht ganz so genau wissen, was ein Browser ist. Es gibt bereits Unternehmen, die daran arbeiten, nicht nur die Übertragung von Mails, sondern auch die Postfächer auf dem Server zu verschlüsseln.

Sie kann die Übermittlung codieren: Nach den ersten Snowden-Enthüllungen war viel von Metadaten die Rede – die nicht den Inhalt einer E-Mail betreffen, sondern etwa Absender- und Empfängeradresse, Uhrzeit und Betreff. Die werden sogar dann im Klartext übertragen, wenn Sender und Empfänger die Verschlüsselungstechnik PGP nutzen – falls die Provider die Übermittlung nicht verschlüsseln.

Das tun mittlerweile immer mehr Anbieter, aber längst nicht alle. Dazu kommt: Nicht alle verwenden eine starke Verschlüsselung, sondern mitunter Techniken, die leicht knackbar sind, gerade für einen Geheimdienst mit der entsprechenden Rechenkapazität.

Dabei gibt es Systeme, die als sicher gelten. Eines heißt Perfect Forward Secrecy und verhindert, dass Dritte nachträglich eine SSL-Verbindung entschlüsseln können. Und natürlich müssen die Daten auf dem Server auch verschlüsselt werden – sonst ist dort das nächste Einfallstor.

Nicht zu vergessen die Webseiten: Wer Waren – einen Dampfkochtopf zum Beispiel – im Internet bestellt, übermittelt meist Namen, Kreditkartendaten und Adresse über das Netz. Mehr Privatsphäre bietet eine Übertragung per https. Ist die Übertragung der Daten verschlüsselt, lässt sich unterwegs nicht erkennen, wer da was verschickt.

Abgreifen an den Backbones

Zwar gab es Berichte darüber, dass die NSA teilweise trotzdem mitlesen kann. Aktuell als stark eingestufte Verschlüsselungsverfahren mit langen Schlüsseln befand aber auch Whistleblower Edward Snowden im Guardian-Interview als sicher.

Die Verschlüsselung muss allerdings auch für die andere Seite gelten: So nützt es nicht viel, wenn der Kunde des Dampfkochtopfhändlers seine Daten über eine verschlüsselte Verbindung eingibt, der Shopbetreiber sie aber unverschlüsselt abruft. Das alles ist nicht kompliziert, aber kleinteilig.

Und zu guter Letzt: sichere Telefonverbindungen. Wie sicher der Inhalt eines Gesprächs beim Mobiltelefonat ist, hängt von verschiedenen Punkten ab. So gilt der alte Netzstandard GSM als leicht zu knacken, das neuere UMTS gilt dagegen als sicherer.

Bei Smartphones gibt es dafür andere Möglichkeiten der Manipulation, wie etwa Trojaner. Doch ein Problem gilt für alle Netze: An den Backbones, den Hauptsträngen im Hintergrund, greifen Geheimdienste die Daten an Schnittstellen trotzdem ab.

Geräte von Geheimnisträgern in Wirtschaft und Politik arbeiten daher mit einer Extrverschlüsselung. Für alle, die keinen vierstelligen Betrag für ihr Telefon ausgeben wollen, würde eine ganz andere und einfache Lösung weiterhelfen: Die Hersteller von Betriebssystemen wie Android und Apple könnten Anwendungen, die eine Ende-zu-Ende-Verschlüsselung aufbauen, vorinstallieren. Das würde den Versteh-ich-doch-sowieso-nicht-Charakter dieser Apps senken und das Sicherheitsniveau der Telefonate immens erhöhen.

Große Hoffnung auf solche Angebote durch die Provider gibt es allerdings nicht: Die Ende-zu-Ende-Verschlüsselung würde mittels Voice over IP über das Internet laufen – die Provider machen ihr Geld mit über das Mobilfunknetz vertelefonierten Minuten.