24.07.2014 12:34

Zusatzinformationen zum Interview im Standard

Wir freuen uns (fast) immer, wenn wir in Medien zitiert werden, und wir damit eine deutlich breitere Masse erreichen, als nur über unsere direkten Kanäle (Webseite, RSS, Mail, Twitter).

Nur: Interviews müssen meist recht schnell gehen, Journalisten arbeiten täglich mit harten Deadlines und auf Papier gibt es beschränkten Platz und keine Hyperlinks.

Daher will ich hier ein bisschen Kontext zum Interview geben, das heute (16. Juli 2014) in der toten-Bäume Version von "Der Standard" erschienen ist. (Die WebStandard-Variante ist hier.)

Zum Begriff CERT:

CERT wird üblicherweise als "Computer Emergency Response Team" gedeutet, ist aber ein generischer Begriff für ein Team, das sich um die Behandlung von Sicherheitsvorfällen in Computernetzen kümmert. "CERT" selber ist in den USA eine eingetragene Marke des Ur-CERTs an der Carnegie-Mellon Universität. Dort wird lieber gesehen, wenn man "CSIRT - Computer Security Incident Response Team" als generische Bezeichnung für CERTs verwendet.

Es gibt global viele CERTs (Listen von Dachverbänden sind hier: FIRST, Trusted Introducer), auch in Österreich deklarieren sich einige Teams als "CERT". Ein Satz in der Art von "Das CERT sagt, ..." ist daher unklar formuliert. Das ist wie "Die Feuerwehr sagt, ...": Es mag vom Kontext her klar sein, welche denn gemeint ist, aber besser ist, wenn qualifiziert wird, welche Feuerwehr gemeint ist.

CERT.at ist das nationale CERT für Österreich. Wir fungieren als Auffangbecken für alle Vorfälle in Österreich, die nicht von Sicherheitsteams behandelt werden, welche näher am Problem sind.

Schutzniveau:

Zur Frage, welche Schutzmaßnahmen gegen Abhören man treffen soll, will ich hier nochmal betonen, das dies primär von zwei Faktoren abhängt: a) Was ist der Wert der Informationen, die man schützen will? und b) Gegen welchen Angreifer (und damit: welche Fähigkeiten hat dieser) will man sich wehren?

Fast jede Verteidigungsmaßnahme hat Kosten (Geld, Zeit, Bequemlichkeit, ...): Es kann somit kein global gültiges Optimum an Schutz angegeben werden, das kann man immer nur im Einzelfall entscheiden.

Tipps gegen den NSA-Staubsauger:

  1. Eigene Datenspuren: Was auch immer man im Netz offen publiziert, kann natürlich auch von den Geheimdiensten ausgewertet werden.
  2. Vertraue keine wichtigen Daten Firmen an, die gesetzlich dazu verpflichtet sind, mit der NSA zu kooperieren. (Nebenbemerkung dazu: es gibt gerade ein Gerichtsverfahren in den USA, wo ein dortiges Gericht auch Daten von Microsoft haben will, die in EU Datacentern gelagert sind)
  3. Möglichst wenig unverschlüsselt kommunizieren: Mailversand und -empfang nicht im Klartext, sondern mit TLS. (Links dazu etwa: 1+1, GMX; das sollte 2014 jeder Email-Provider unterstützen). Detto bei möglichst allen Webdiensten die https-Version nutzen. Auch bei der Wahl von Chatdiensten kann man es der NSA einfach -- oder eben schwieriger machen.

Das ist alles kein kompletter Schutz, aber Geschenke an die NSA müssen nicht sein.

Wie transportiert man einen Diamanten:

Die Überlegung stammt nicht von mir, sondern vom Transport des Cullinan Diamanten nach England. Wenn der Trick aufgeht, ist das eine geniale Lösung. Aber wehe, wenn der Gegner die Finte durchschaut hat: dafür gibt es dann kein Sicherheitsnetz.

Autor: Otmar Lendl