The Turkey Curse
fukamis terror chatroom

Und er hilft doch!

Prickle-Prickle, 28th Confusion, 3179.

Niko Härting stellt in seinem Blogeintrag unter dem Titel Prism und Tempora: Konsequenzen für Deutschland einige Betrachungen auf, denen man durchaus folgen kann. Allerdings stellt er eine Sache fest, der ich klar widersprechen muss. Er schreibt unter 5.:

Wer meint, mit Datenschutzgesetzen, einer richterlichen Kontrolle oder sogar einem Informationsfreiheitsgesetz Bürgerrechte gegen die Dienste schützen können, argumentiert naiv.

Naiv ist diese Ansicht keinesfalls, denn Härting scheint nicht zu verstehen, dass Datenschutz wesentlich mehr ist als ein paar bedruckte Zettel, auf denen steht, dass eine Meldung bei einem Einbruch auf Server stattfinden muss. Datenschutz richtig verstanden ist nämlich nicht zuletzt die Frage, wie man Datenabfluss und Mitlesen von Verbindungen verhindert (also genau das, worum es im Kern geht).

Systeme, die ein datenschutztechnisches Design haben, das den Begriff auch verdient, sind gegen Tempora weit besser gefeit als es Härting glauben machen will. Denn was den Diensten in die Hände spielt ist ja nicht nur die fehlende Kontrolle über sie, sondern vor allem, dass sich die wenigsten Betreiber von Internetangeboten Gedanken darum machen, wie man Daten und Kommunikation ordentlich schützt. Denn der Schutz gegen kriminelle Angreifer ist erst einmal derselbe wie der gegen andere, also z.B. staatliche Angreifer. Aus Anwendungs- und Anwendersicht ist da keinerlei Unterschied.

Ich sehe praktisch jeden Tag Verstöße gegen Datenschutz und Einbrüche, die hätten verhindert werden können, wenn sich die Betreiber die Sachen zu Herzen genommen hätten, die im BDSG stehen oder, etwas verklausuliert, dahinter stecken. Und damit meine ich nicht nur Datensparsamkeit oder die Sicherung von Passwörtern als Hashes. Ein einfaches und gleichzeitig überaus effektives Beispiel ist Zertifikats-Pinning bei SSL, bei dem eine Interception zumindest solange ins Leere läuft, wie die Schlapphüte keinen Zugriff auf die Zertifikate haben. Ein anderes Beispiel aus derselben Kategorie ist die Nutzung von sogenannter Perfect Forward Secrecy. Das hilft zwar nicht gegen die Speicherung, aber es hilft ganz hervorragend gegen das Mitlesen und gegen die Auswertung (Härting kann mir ja gerne mal erklären, wie das funktionieren soll). Sogar einen recht großen Teil der Metadaten kann damit abgesichert werden.

Und speziell im Zusammenhang mit Tempora und Prism müssen übrigens zwei andere Dinge gemacht werden, die damit in Zusammenhang stehen: Safe Harbour abzuschaffen oder zumindest ordentlich zu härten sowie ein Vertragsverletzungsverfahren gegen Großbritannien auf EU-Ebene. Damit gibt es noch keine bessere Kontrolle der deutschen Geheimdienste. Aber gegen die hilft, wie schon angedeutet, in weiten Teilen konsequente und vernünftige Krypto. Denn die Zugriffe auf und die Ermächtigung, die der NSA und die GCHQ haben jeweils durch die Geheimgerichtsbarkeit haben, gibt es hier nicht. Ohne die sind aber auch keine vergleichbaren Maßnahmen machbar wie die, die durch die Leaks ganz am Anfang offenbar wurden.

Ein starker Datenschutz ist der elementare Kern einer Gesellschaft, die auf funktionierende Software und sichere Datenverarbeitung angewiesen ist. Das ausser Acht zu lassen ist, mit Verlaub, grob bösartig.

---

1 Comment »

  1. Wie ist es denn mit verschlüsselten Verbindungen wie z.B. wenn man über VPN surft - da ist ja der ganze Verkehr verschlüsselt nicht nur der Browserinhalt wie bei Proxies

    Comment by Michael — Boomtime, 31st Confusion, 3179. @ 59928

RSS feed for comments on this post. | TrackBack URI

Leave a comment



"The only thing that saves us from the bureaucracy is inefficiency. An efficient bureaucracy is the greatest threat to liberty." - Eugene McCarthy

The Turkey Curse is powered by WordPress, template idea by Priss

Entries (RSS) and Comments (RSS).
Generated in 0.097 seconds.