# taz.de -- Schlüsselfragen des Datenschutzes: Behörden müssen getrimmt werden
> Höchste Zeit, dass das Recht auf Datensicherheit ernster genommen wird.
> Noch arbeiten viele staatliche Stellen und Firmen mit unverschlüsselten
> E-Mails.
IMG Bild: In der Welt des Netzes sind überall Augen und Ohren.
Seitdem der frühere NSA-Mitarbeiter Edward Snowden begonnen hat, die Welt
über die gewaltige Datensammelei des US-Geheimdienstes aufzuklären, vergeht
kein Tag ohne neue bemerkenswerte Enthüllungen. Bislang habe seine Zeitung
erst 1 Prozent des Snowden-Materials veröffentlicht, sagte der
Chefredakteur des Londoner Guardian, Alan Rusbridger, in dieser Woche vor
dem britischen Parlament.
So viel steht immerhin schon fest: Wer seine Privat- und Intimsphäre und
andere wichtige Informationen schützen will, der muss sich selbst vorsehen,
Mails nur verschlüsselt oder im Zweifel gar nicht per Handy oder Internet
versenden. Für besseren Datenschutz sind aber auch die staatlichen Behörden
und die Wirtschaft zuständig. Hier ein paar Empfehlungen:
## Was kann die EU tun?
Sie kann Standards setzen. Bislang sind Google, Facebook und Co fein raus:
Nicht nur, was das hiesige Steuerrecht angeht, auch in Sachen Datenschutz
können sie sich zurücklehnen. Schließlich haben sie ihren Sitz nicht
innerhalb Europas. Dieses Dilemma kann die Datenschutzgrundverordnung, die
derzeit im EU-Ministerrat diskutiert wird, lösen: Jedes Unternehmen, das in
Europa tätig wird, soll sich demnach an europäische Standards halten. Dazu
gehört zum Beispiel das Recht auf Löschung der eigenen Daten. Strafen
sollen bis zu fünf Prozent des Jahresumsatzes betragen dürfen. Allerdings
wackelt es bei der Umsetzung: Vor allem Deutschland pocht auf niedrige
Standards.
Ein weiterer wichtiger Schritt: Datenberge abbauen. Adresse, Geburtsdatum,
Kontoverbindungen, Infos darüber, wer mit wem zu welcher Zeit telefoniert
hat – bei den Providern liegt ein echter Schatz an persönlichen
Informationen. Und die EU hat diesen noch vergrößert: Sie schreibt seit
2006 vor, dass Telefon- und Internetanbieter sechs Monate speichern müssen,
mit wem ihre Kunden von wo aus wie lange telefoniert und an wen sie eine
E-Mail oder eine SMS geschickt haben. Am besten wäre es, Provider dürften
nur noch die Kundeninformationen speichern, die sie für die Abrechnung
benötigen, und auch nur so lange. Das würde das Datenaufkommen deutlich
reduzieren. Die Chance dafür ist jedoch extrem gering: Union und SPD haben
die Vorratsdatenspeicherung schon im Koalitionsvertrag verankert.
## Was kann die Bundesregierung tun?
Wenn die Regierung Pilotprojekte zur Elektromobilität mit Millionen
unterstützt – warum kann sie nicht auch die privatsphärenfreundliche
Kommunikation, das heißt die Verschlüsselung fördern, sowohl der Daten in
der Cloud als auch das verschlüsselte Telefonat? Schon klar, der Staat hat
kein Interesse daran, dass seine Bürger etwas vor ihm verbergen.
Nötig ist es auch, die Behörden zu trimmen: Manchmal kommt man nicht
drumherum, per E-Mail mit Ämtern zu kommunizieren – wegen des
Steuerbescheids zum Beispiel. Doch längst nicht alle Behörden haben ihre
Server so eingestellt, dass sie E-Mails verschlüsselt übertragen. Wer sein
Anliegen samt zugehöriger Daten also fix rübermailt, überträgt die Inhalte
offen lesbar. Und zwar egal, ob der eigene Anbieter verschlüsselt oder
nicht, denn dazu gehören immer zwei. Da die öffentliche Hand das Problem
anscheinend nicht von selbst erkennt, braucht es hier wohl eine Anweisung
von oben.
Dass sogar Nachzügler wie GMX und die Telekom das hinbekommen haben, zeigt:
So schwer kann die Umstellung nicht sein. Vor allem muss der Staat seine
eigenen Angebote sicher machen: den neuen Personalausweis etwa, die
elektronische Gesundheitskarte oder den Dienst DE-Mail. Während die
Bundesregierung betont, der Ausweis sei sicher, hat der Chaos Computer Club
(CCC) bereits gezeigt, dass sich die PIN ausspionieren lässt und so
Einsicht in persönliche Daten erlaubt – von Name über Anschrift bis zum
Datensatz der Rentenversicherung.
Nicht besser ist der Dienst DE-Mail: Eine Verschlüsselung vom Sender bis
zum Empfänger gibt es nicht – trotzdem soll der Dienst in der Kommunikation
von Bürgern mit Behörden den Brief ersetzen. Problem: Wenn die
Bundesregierung unsichere Dienste als sicher verkauft, scheint sie es
entweder nicht besser zu wissen oder die Unsicherheit zu wollen.
## Was kann die Wirtschaft tun?
Sie kann bedienbare Produkte schaffen. Natürlich wäre es gut, wenn jeder
seine eigenen E-Mails verschlüsselte. Programme dafür gibt es genug – wer
etwa das freie E-Mail-Programm Thunderbird nutzt, kann dafür das Add-on
Enigmail herunterladen. Aber: Bequemlichkeit steht hier meist über dem
Wunsch nach Privatsphäre. Soll Verschlüsselung für die breite Masse nutzbar
sein, braucht es Angebote auch für jene, die nicht ganz so genau wissen,
was ein Browser ist. Es gibt bereits Unternehmen, die daran arbeiten, nicht
nur die Übertragung von Mails, sondern auch die Postfächer auf dem Server
zu verschlüsseln.
Sie kann die Übermittlung codieren: Nach den ersten Snowden-Enthüllungen
war viel von Metadaten die Rede – die nicht den Inhalt einer E-Mail
betreffen, sondern etwa Absender- und Empfängeradresse, Uhrzeit und
Betreff. Die werden sogar dann im Klartext übertragen, wenn Sender und
Empfänger die Verschlüsselungstechnik PGP nutzen – falls die Provider die
Übermittlung nicht verschlüsseln.
Das tun mittlerweile immer mehr Anbieter, aber längst nicht alle. Dazu
kommt: Nicht alle verwenden eine starke Verschlüsselung, sondern mitunter
Techniken, die leicht knackbar sind, gerade für einen Geheimdienst mit der
entsprechenden Rechenkapazität.
Dabei gibt es Systeme, die als sicher gelten. Eines heißt Perfect Forward
Secrecy und verhindert, dass Dritte nachträglich eine SSL-Verbindung
entschlüsseln können. Und natürlich müssen die Daten auf dem Server auch
verschlüsselt werden – sonst ist dort das nächste Einfallstor.
Nicht zu vergessen die Webseiten: Wer Waren – einen Dampfkochtopf zum
Beispiel – im Internet bestellt, übermittelt meist Namen, Kreditkartendaten
und Adresse über das Netz. Mehr Privatsphäre bietet eine Übertragung per
https. Ist die Übertragung der Daten verschlüsselt, lässt sich unterwegs
nicht erkennen, wer da was verschickt.
## Abgreifen an den Backbones
Zwar gab es Berichte darüber, dass die NSA teilweise trotzdem mitlesen
kann. Aktuell als stark eingestufte Verschlüsselungsverfahren mit langen
Schlüsseln befand aber auch Whistleblower Edward Snowden im
Guardian-Interview als sicher.
Die Verschlüsselung muss allerdings auch für die andere Seite gelten: So
nützt es nicht viel, wenn der Kunde des Dampfkochtopfhändlers seine Daten
über eine verschlüsselte Verbindung eingibt, der Shopbetreiber sie aber
unverschlüsselt abruft. Das alles ist nicht kompliziert, aber kleinteilig.
Und zu guter Letzt: sichere Telefonverbindungen. Wie sicher der Inhalt
eines Gesprächs beim Mobiltelefonat ist, hängt von verschiedenen Punkten
ab. So gilt der alte Netzstandard GSM als leicht zu knacken, das neuere
UMTS gilt dagegen als sicherer.
Bei Smartphones gibt es dafür andere Möglichkeiten der Manipulation, wie
etwa Trojaner. Doch ein Problem gilt für alle Netze: An den Backbones, den
Hauptsträngen im Hintergrund, greifen Geheimdienste die Daten an
Schnittstellen trotzdem ab.
Geräte von Geheimnisträgern in Wirtschaft und Politik arbeiten daher mit
einer Extrverschlüsselung. Für alle, die keinen vierstelligen Betrag für
ihr Telefon ausgeben wollen, würde eine ganz andere und einfache Lösung
weiterhelfen: Die Hersteller von Betriebssystemen wie Android und Apple
könnten Anwendungen, die eine Ende-zu-Ende-Verschlüsselung aufbauen,
vorinstallieren. Das würde den Versteh-ich-doch-sowieso-nicht-Charakter
dieser Apps senken und das Sicherheitsniveau der Telefonate immens erhöhen.
Große Hoffnung auf solche Angebote durch die Provider gibt es allerdings
nicht: Die Ende-zu-Ende-Verschlüsselung würde mittels Voice over IP über
das Internet laufen – die Provider machen ihr Geld mit über das
Mobilfunknetz vertelefonierten Minuten.
5 Dec 2013
## AUTOREN
DIR Svenja Bergt
## TAGS
DIR Datenschutz
DIR Datensicherheit
DIR NSA
DIR Edward Snowden
DIR E-Mail
DIR Verschlüsselung
DIR Schwerpunkt Chaos Computer Club
DIR Schwerpunkt Überwachung
DIR Gesundheit
DIR Datenschutz
DIR Krankenkassen
DIR NSA
DIR Südkorea
DIR Schwerpunkt Chaos Computer Club
DIR Schwerpunkt Chaos Computer Club
DIR Innenministerium
DIR Datenschutz
DIR Keith Alexander
DIR Geheimdienst
DIR Google
DIR Schwarz-rote Koalition
DIR Vorratsdatenspeicherung
DIR Otto Schily
## ARTIKEL ZUM THEMA
DIR Debatte Gesundheitsdaten-Sammelei: Krankes System
Wer einmal an einem Gewinnspiel teilgenommen hat, kann seine Daten kaum
wieder einfangen. Besonders wertvoll sind persönliche Gesundheitsdaten.
DIR Datensicherheit im Internet: Ein hoher Preis fürs schnelle Konto
Onlinebetrüger werden immer raffinierter und stehlen gezielt immer höhere
Beträge. Auch beim mTAN-Verfahren gibt es mittlerweile Betrugsfälle.
DIR Studie stellt E-Gesundheitskarte infrage: Beim Lichtbild geschlampt
Laut Studie der Kassenärztlichen Bundesvereinigung sind die neuen e-Cards
nicht zulässig. Die Versicherungen hätten versäumt, die eingereichten Fotos
zu überprüfen.
DIR Folgen der NSA-Affäre: Unbeliebte Cloud
Liest die NSA mit? Unternehmen haben Angst, dass unerlaubt auf sensible
Daten zugegriffen werden könnte. Deshalb sinkt die Nachfrage nach
Cloud-Diensten.
DIR Kreditkarten-Skandal in Südkorea: Daten à la carte
Bei einem Datendiebstahl wurden über 100 Millionen Kartenkonten angezapft.
Ein Techniker hatte das Material einfach auf seine Festplatte kopiert und
mitgenommen.
DIR Kolumne 30C3 - Tag 1: Bullshitbingo in einer mad world
Singende Roboter, düstere Stimmung und Pofallas Sprachstil – das geht gar
nicht. Was wir auf dem ersten Tag des 30C3 gelernt haben.
DIR Vorschau auf den 30.CCC Kongress: Error: Vergewaltigung
Julian Assange wird auf dem 30. Chaos Communication Congress live
zugeschaltet. Die NetzfeministInnen gehen auf die Barrikaden.
DIR E-Mails ans Innenministerium: Jetzt sogar verschlüsselt
Das Innenministerium empfiehlt seit Jahren E-Mails zu verschlüsseln – und
hat sich selbst nicht dran gehalten. Jetzt macht es mit. Ein bisschen.
DIR Kommentar Vorratsdatenspeicherung: Nur die Überschrift klingt gut
Laut EuGH verstößt Vorratsdatenspeicherung gegen EU-Grundrechte. Bei
genauerer Betrachtung ist das Gutachten aber eine Enttäuschung.
DIR NSA-Chef Keith Alexander: Der Mann hat seinen Job verstanden
Die NSA sammelt Daten und überwacht. Ihr Chef, Keith Alexander, findet das
wenig überraschend richtig. Das sagte er vor dem Justizausschuss des
US-Senats.
DIR Netz-Überwachung der Geheimdienste: Google und Co wollen Reform
Apple, Facebook, Microsoft und Google gehen nach den NSA-Enthüllungen in
die Offensive. Sie fordern von Regierungen, ihre Geheimdienste stärker zu
konrtrollieren.
DIR Taschenlampen-App für Android: Nutzer ausgeleuchtet
Wer eine App auf seinem Smartphone installiert, gibt den Herstellern
Zugriff auf viele seiner Daten. Nun ist eine weit verbreitete
Taschenlampen-App betroffen.
DIR Dix droht mit Sanktionen: Snowden erreicht die Wirtschaft
Berlins Datenschutzbeauftragter macht nach NSA-Enthüllungen Druck auf
Unternehmen: Die müssten ihre Datensicherheit hochfahren.
DIR Große Koalition uneinig: Ja zu Vorratsdaten, aber wann?
Im Koalitionsvertrag haben sich Union und SPD auf die
Vorratsdatenspeicherung geeinigt. Wann es damit losgehen soll, ist aber
noch längst nicht klar.
DIR Schwarz-Rot zu Datenschutz: Ein Fall für den „Vertrauensraum“
Innenpolitisch will Schwarz-Rot auf die NSA-Affäre reagieren. Die Koalition
plant eine Datenschutz-Offensive, aber auch die Vorratsdatenspeicherung.
DIR Kommentar Vorratsdatenspeicherung: Sozialdemokratische Überwachung
Fest steht: Mit der großen Koalition kommt auch die
Vorratsdatenspeicherung. Die Anti-NSA-Sprüche der SPD im Wahlkampf waren
Nebelkerzen.