„NSA hat Kryptografie nicht geknackt“

„Die NSA sind auch nicht die Mathematik-Götter, die das Universum neu entdeckt haben“, meinte Erich Möchel am Daten, Netz & Politik-Kongress 2013 bei seinem Vortrag „Unter dem Radar der NSA“. Bereits beim Überwachungssystem Echelon habe die NSA damals behauptet, jedes Telefonat abhören zu können. „Tatsächlich haben sie Voice Biometrics, also eine Stimmanalyse, gemacht und die ist genauer als ein Fingerabdruck.“

NSA geht von "naiven Usern" aus

Jetzt würde die NSA nach wie vor in die gleiche Richtung argumentieren, so Möchel. „Sie kriegen die Daten zwar auf, aber sie entschlüsseln diese in Wirklichkeit nicht. Das sagen namhafte Kryptografen aus der ganzen Welt.“ Da die NSA von vielen „naiven Usern“ ausgehe, holen sie sich viele Daten im Klartext hinter der Verschlüsselung bei Google ab. Vom Knacken des als sicher geltenden, globalen Verschlüsselungsstandard„AES 256“ sei die NSA Lichtjahre entfernt, so Möchel unter Berufung auf Experten, die sich mit Kryptografie auskennen.

„Die NSA sagt außerdem selbst, dass ihre Methoden extrem fragil sind. Sobald kleine Änderungen im Network Setup vorgenommen werden, ist das Sicherheitsloch zu. Wenn man weiß, wo das Loch ist, kann man das zumachen. Und, da können wir uns sicher sein, derzeit wird auf allen Ebenen in allen Netzwerken nach diesen Löchern gesucht“, sagt Möchel, der noch zahlreiche weitere Enthüllungen auf uns zukommen sieht. „Es liegen noch 15.000 Seiten an Dokumenten herum, da wird noch einiges auf uns zukommen.“

Online-Profile verwischen

Jeder einzelne könne zudem dazu beitragen, es der NSA schwieriger zu machen bei ihrer Datenakquise. „Der Überwachungsansatz der NSA geht von naiven Usern aus, die Software, E-Mail-Programme, Cloud-Dienste und Router aus den USA benutzen,“ so Möchel. Deshalb müsse man spätestens jetzt beginnen, seine Online-Profile zu verwischen. „Eine gesunde Paranoia hilft gegen Überwachung. Jeder muss sich selbst fragen, welche Systeme er nutzt und wie diese kombinierbar sind“, empfiehlt Möchel.

Konkret müsse man hier bereits beim Browser ansetzen. Statt einen einzigen Browser zu verwenden, soll man seine Online-Aktivitäten auf verschiedene Browser aufteilen, denn die Browser wissen wenig voneinander. Beim Firefox könne man Plug-Ins wie Noscript, Gothery, Tor installieren, Javascript nur wenn notwendig zulassen und Third Party Cookies deaktivieren. Diesen könne man für Online-Banking und zum Surfen einsetzen. Den „verräterischen Chrome“-Browser könne man beispielsweise für alle Google-Services nutzen, die man verwendet, aber „für kein Bit mehr“. „Die anderen Bits kriegt die Konkurrenz.“

Facebook und Amazon verwendet man am besten über den Safari, so können diese datensaugenden Plattformen auf keinen Fall mehr über das restliche Verhalten im Web, das man an den Tag legt, erfahren. Mit Kreditkarte zahlt man lediglich über den Internet Explorer. „Etwas weniger Bequemlichkeit bringt viel mehr Sicherheit gegen Profiling“, so Möchel. „Wenn man im Netz drei oder vier Identifiers pro Person hat, muss die NSA da erst einmal draufkommen. Je mehr Schattenprofile vorhanden sind, desto schwieriger wird es für sie, weil sie nicht wissen, wem sie zuerst folgen sollen.“

Schlüssel mit Ablaufdatum

Beim Verschicken von E-Mails sei der Thunderbird mit Enigmail-Plugin eine Möglichkeit, man müsse den PGP-Schlüssel allerdings auf jeden Fall mit einem Ablaufdatum versehen. „Es geht hier um Sicherheit. Wenn man dann einen Schlüssel zehn Jahre lang verwendet, ist das ein Wahnsinn. Ich rate außerdem davon ab, Schlüssel zu signieren, wenn einen jemand drum bittet. Das ermöglicht es nämlich, einen Konnex zwischen einzelnen Personen über die Signierung herzustellen“, so Möchel. Ein einfacher Tipp sei auch, ein Virtual Private Network (VPN) im Eigennetzwerk zu erstellen. „Das ist einfacher, als man sich vorstellen mag.“

Zur mobilen Kommunikation soll man alte Handys entsperren und mit Prepaid-SIM-Karten arbeiten, die bei speziellen Ereignissen eingesetzt werden. „Wir benützen etwa fünf Handys für einen bestimmten Zweck, danach kommen sie wieder weg“, sagt Möchel. „Jeder Schritt, den wir machen, ist drei Schritte für die NSA – und jede Maßnahme, die wir setzen, vervielfacht den Aufwand. Verschlüsselte Alltagsmails helfen dabei, die neuen Datenzentren der NSA in Utah zu füllen“, sagte Möchel, der erst unlängst davon berichtet hat, dass die NSA auch die internen Kontrollmechanismen gegen Wirtschaftsspionage systematisch umgangen hat.

Wirtschaftsspionage

In einer Datenbank namens „Business Records“ seien zuordenbare Metadaten aus Telefonienetzen gespeichert, aus denen hervorgeht, wer mit wem wann wo telefoniert hat. Diese Datenbank soll besonders aussagekräftig sein, weil geschäftliche Aktivitäten und Kontakte darin umfassend abgebildet sein sollen. „Für die Analysten wurde diese hochsensible Datenbank drei Jahre lang freigeschalten, ohne dass die Analysten dabei Kontrollen unterlegen gewesen sind. Da sind auch Daten österreichischer Firmen mit drin.“

Möchel geht daher davon aus, dass Firmen und Unternehmen reagieren werden, ihre Netzwerke auf Schwachstellen absuchen und Maßnahmen einsetzen werden, um weitere Spionage zu verhindern. „Die NSA hat nicht nur ihre eigenen Methoden enttarnt, sondern die Methoden aller Geheimdienste. Alle arbeiten nach denselben Prinzipien, es gibt nur Variationen“, fügte Möchel hinzu.

NSA-Villa kein Lauschposten

Möchel glaubt übrigens, dass die vermeintliche NSA-Villa in Wien eine Funk-Relay-Station ist. „Dort sind ganz normale Antennen. Ich denke, dort wird die Funkverbindung zwischen den Locations der US-Behörden in Wien abgehalten, so schaut mir die Anordnung der Antennen aus. Ich halte es nicht für wahrscheinlich, dass diese Villa ein Lauschposten der NSA ist.“