"Wir brauchen mehr medientaugliche Daten-Skandale"

Adrian Dabrowski ​arbeitet am Secure Systems Lab der TU Wien. Der Sicherheitsexperte beschäftigt sich unter anderem mit RFID-Technologie, Gesichtserkennung und Überwachungssystemen. Im futurezone-Interview spricht Dabrowski über den PRISM-Skandal, mögliche Gegenmaßnahmen und die Rolle der Medien in der Datenschutz-Debatte.

Der PRISM-Skandal hat staatliche Überwachungsaktionen im Netz ins Gerede gebracht. Ist für Internetnutzer die Gefahr durch Behörden größer als jene durch andere Angreifer? Hacker verfolgen überwiegend monetäre Ziele wie etwa Kreditkarten. Ihnen ist das Privatleben meistens egal. Aus der Sicht der Privatsphäre ist die Gefahr von Behörden und Geheimdiensten größer. Diese haben ganz andere Möglichkeiten, sie können Provider und andere Unternehmen zusätzlich auf dem Rechtsweg zwingen, Daten im großen Stil herauszugeben.

Hat sie das Ausmaß der Geheimdienstaktivität im Netz überrascht? Das volle Ausmaß ist heute wohl noch gar nicht abschätzbar. Dass Geheimdienste im Netz operieren, war keine Überraschung. Der Umfang der Operationen aber schon.

Wie schlimm ist die Datensammelwut der Geheimdienste Ihrer Meinung nach? In England, den USA und einigen anderen Ländern sicher schlimm. In Österreich wäre mir nicht viel bekannt. Hier ist eine großflächige Überwachung eher unwahrscheinlich, man bezieht die Daten eher von den USA. In Einzelfällen gibt es aber sicher interessante Ziele - etwa bei der UNO.

Ist ein effektiver Schutz überhaupt möglich? Geheimdienste können verschlüsselte Nachrichten knacken und sich Zugriff auf viele Dienste verschaffen. Absolute Sicherheit gibt es nicht. User können lediglich den Aufwand und die Kosten für einen Zugriff auf ihre Daten in die Höhe treiben. Bei Massenangriffen, die Tausende User im Visier haben, geht das einfach, da wird der Aufwand schnell zu groß. Bei sogenannten “targeted attacks”, die speziell auf ein Ziel gerichtet sind - etwa wenn jemand Baupläne bei einer Firma stehlen will - ist das weitaus schwieriger, weil der Angreifer bereit ist mehr Ressourcen aufzuwenden.

Ist der Einsatz von Verschlüsselung oder Diensten wie TOR sinnvoll? Sinnvoll ja, aber nur in Einzelfällen praktikabel. Großflächige Verschlüsselung ist nicht anwendbar, weil es kein universelles Verfahren gibt. Der Einsatz von Webmail, Handys und PC macht die Sache zusätzlich komplexer. Im täglichen Einsatz sind sowohl Verschlüsselung als auch TOR für die breite Masse kaum praktikabel, weil sie zu komplex und langsam sind.

Sind Privatpersonen überhaupt interessante Ziele für Geheimdienste? Firmen müssten doch weitaus interessanter sein. Das Potenzial für interessante Informationen ist bei Unternehmen sicher höher, aber auch Private können zum Handkuss kommen. Das kann auch problematisch werden, beispielsweise wenn sich Personen aufgrund von Überwachungsmaßnahmen auf einer No-Fly-List wiederfinden. Private werden aber kaum gezielt ausgeforscht, das trifft eher auf Firmen zu. Otto Normalnutzer wird eher Opfer von Massenüberwachungsprogrammen wie PRISM.

Hat sich im Bereich Wirtschaftsspionage die Aktivität durch neue Technologie vergrößert? Wirtschaftsspionage war immer interessant, auch für den militärischen Sicherheitskomplex, zu dem auch CIA und NSA gehören. Mit Echelon wurde schon früh ein weltweites Abhörnetz für Funk und Satellitenkommunikation errichtet. Später wurden eben die Glasfaserleitungen angezapft.

Dienen Programme wie PRISM hauptsächlich der Wirtschaftsspionage? Darüber kann nur spekuliert werden. Die nationale Sicherheit ist immer das Killerargument, dass vorgeschoben wird. Daneben geht es aber sicher auch darum, sich einen wirtschaftlichen oder technischen Vorteil zu verschaffen. Auch Echelon wurde verwendet, um bei Ausschreibungen die nötigen Höchstgebote in Erfahrung zu bringen.

In Europa haben die meisten Politiker schockiert auf die NSA-Veröffentlichungen reagiert. Ist das glaubwürdig?Ich weiß nicht, zu welchem Grad die Politiker eingeweiht waren. Oft wissen sie nur wenig und können das leicht abstreiten. Aber zumindest halbwegs im Bilde hätten die Politiker meiner Meinung nach sein müssen.

Wie kann es sein, dass die Exekutive nicht genau weiß, was die Geheimdienste treiben? Die großen Apparate in vielen Ländern sind einfach nicht kontrollierbar. Zudem regen sich jetzt viele publikumswirksam auf, helfen dann aber - etwa im Fall Morales - brav mit, wenn die USA etwas fordern.

Ist der Datenschutz in Europa besser als in den USA? In Europa gibt es mehr Rechtssicherheit, der Datenschutz ist insgesamt stärker. In den USA haben nur US-Bürger Anspruch auf Datenschutz, in Europa gilt er für alle.

Trotzdem haben auch viele Europäer ihre Informationen bei US-Anbietern gespeichert. Da fehlt oft das Bewusstsein für ein Problem. Die Produkte von Google und Co sind kostenlos und bieten viel Platz. Dass die Daten automatisch durchsucht werden spielt für die meisten Privatnutzer anscheinend kaum eine Rolle.

Was wären die Alternativen? Nutzer könnten zum Beispiel eigene Clouds betreiben oder auf Anbieter mit Servern in Europa zurückgreifen. Das ist allerdings meist mit Kosten verbunden. Bei sensiblen Daten ist das aber auf jeden Fall die bessere Lösung.

Warum interessiert sich ein großer Teil der Bevölkerung scheinbar kaum für Datenschutz? Viele Menschen liefern ihre Informationen freiwillig auf dem Silbertablett bei Anbietern ab und nehmen bewusst “targeted advertising” in Kauf. Ich glaube, dass einfach noch zu wenige Beispiele für Missbrauch öffentlich geworden sind. Es entsteht gerade erst langsam ein Bewusstsein für die Problematik. Das ist ähnlich wie mit dem Umweltschutz, da hat es auch Jahrzehnte gedauert, bis das Thema den Mainstream erreicht hat. Ich fürchte, wir bräuchten als Äquivalent zu den Umweltkatastrophen, die die Öffentlichkeit aufgeschreckt haben, einige medientaugliche Daten-Skandale.

Bei der Umwelt hat das zu lange gebraucht. Ist es nicht auch beim Datenschutz schon fast zu spät, das schlimmste zu verhindern? Daten, die einmal draußen sind, können nicht mehr zurückgeholt werden. Die jungen Menschen von heute sind teilweise zu wenig kritisch, wie an den Veröffentlichungen bei Facebook sichtbar wird. Hier sind der Staat und die Eltern gefordert, entsprechend zu informieren.

Hat die Regierung nicht ein Interesse daran, dass die Daten verfügbar sind? Es gibt einen Vertrag zwischen der Regierung und der Gesellschaft, der das Verhältnis zwischen Sicherheit und Freiheit festlegt. Seit 10 Jahren tendiert dieser Konsens stark in eine Richtung. Sicherheit sticht alles aus. Das ändert sich nur, wenn die Bevölkerung Druck auf die Regierung macht.

Kann der Prism Skandal helfen, die Menschen aufzurütteln? Die Medien diskutieren oft Snowdens Asylprobleme und nicht den eigentlichen Skandal. Ob das geplant ist, weiß ich nicht, es ist aber jedenfalls eine gute Ablenkung. Viel mehr als einige Powerpoint-Folien und viele Dementis hat es bisher nicht gegeben. Es ist wenig da und das müsste unabhängig geprüft werden. Zugegeben wird immer nur, was gar nicht mehr abstreitbar ist.

Es gab schon einige Fälle, in denen Firmen die ihnen anvertrauten Daten fahrlässig behandelt haben. Wie sicher sind die User-Daten bei Unternehmen? Unfälle können immer passieren. Wichtig ist, wie Unternehmen reagieren. Sie designen ihre Systeme auf Sicherheit, haben aber oft keinen Plan, was zu tun ist, wenn doch etwas passiert. Da geht es vor allem um entsprechende Kommunikation. Als Anonymous Austria bei der GIS eingebrochen ist, hat diese wochenlang verneint, dass etwas passiert ist. Das war eine Blamage und zudem gefährlich für die Betroffenen. Die Bank Austria hingegen hat, nachdem ihre Logfiles abgegriffen wurden, proaktiv einen Brief an die betroffenen Kunden geschickt, obwohl eigentlich keine Gefahr bestand. Ich finde, das ist der ehrlichere Weg. Vielleicht macht das Beispiel ja Schule.

Werden solche Vorfälle oft verheimlicht? Nach meinen früheren Erfahrungen ist die Dunkelziffer hoch. Nur wenn die Angreifer mit Veröffentlichung der gestohlenen Daten drohen, gehen Firmen selbst an die Öffentlichkeit. Ein offener Umgang kann hier viel bringen und Nutzern die Möglichkeit geben, entsprechend zu reagieren.