Prism, Tempora, Upstream, etc. - Müssen wir etwas im Umgang mit der IT-Sicherheit und Kunden ändern?

Die Berichte der letzten Wochen werfen m.E. Fragen für den Umgang mit IT-Security und Kunden auf. Deshalb möchte ich das Thema zur Diskussion stellen.

Vorab kurz noch einmal der aktuelle Stand:

Edward Snowden, ein bei der NSA eingesetzter Analyst hat offensichtlich etliche „streng geheime“ Informationen seines Arbeitgebers kopiert und über die Zeitungen „The Guardian“ und „The Washington Post“ veröffentlicht.

Die bisherigen Veröffentlichungen zeigen:

  • Die NSA beschafft sich in großem Umfang Zugriff auf die Daten der Nutzer der US-Anbieter Microsoft, Google, Apple, Yahoo, Facebook, Paltalk, Youtube, Skype, AOL.
  • Mittlerweile ist klar, dass die NSA auch Möglichkeiten zum Zugriff auf die Daten von Skype, und verschiedenen Onlinediensten wie Outlook.com der Firma Microsoft hat. Angeblich soll es bei Crypto Funktionen von MS auch eine Hintertür für die NSA geben.
  • Zugreifen können Analysten auf E-Mails, Chats (auch Video- und Audioübertragungen), Videos, Fotos, gespeicherte Daten, VoIP-Kommunikation, Datenübertragungen und Videokonferenzen. Außerdem erhalten sie Daten über die Accounts in sozialen Netzwerken und können sich benachrichtigen lassen wenn sich die Zielperson einloggt.
  • Am 05. April 2013 wurden einer geleakten Folie zufolge insgesamt 117.675 „Personen“ gleichzeitig überwacht.
  • Im Monat analysieren die USA in D wohl über eine halbe Milliarden „Verbindungen“ .  An einzelnen Tagen bis zu 60 Millionen Telefongespräche und ca. halb so viele „Internetverbindungen".
  • Der britische Staat betreibt unter dem Namen Tempora ein ähnliches Programm, bei dem z.B. die Kompletten Daten des Unterseekabels TAT-14 (Hauptlink von D in die USA) komplett abgegriffen werden.
  • Insgesamt haben USA, Großbritannien, Kanada, Neuseeland und Australien Zugriff auf die Daten. Die Rede ist von ca. 850.000 Personen die potenziell auf die Daten zugreifen können.
  • Auch der französische Staat betreiben ein ähnliches Programm.
  • Am 10.07.2013 veröffentlichte die Washington Post ein neues Slide welches zeigt, dass die NSA jedweden Datenstrom abgreift, welcher die USA „erreicht“.
  • Die Überwachung findet laut heise z.B. mit Produkten der Firmen Narus und  Glimmerglass statt, die in der Lage sind gewaltige Datenströme zu extrahieren und zu analysieren.
  • Angeblich sind die bisher veröffentlichten Informationen laut Meldungen vom 13/14. 06. nur die "Spitze des Eisberges".

 

Welche Schlüsse lassen die bisherigen Veröffentlichungen zu?

  • Potenziell werden alle Daten, sofern sie in Reichweite der USA, GB etc. geraten, abgegriffen.
  • Möglicherweise gibt es in Softwareprodukten von Herstellern aus diesen Ländern Hintertüren oder Key Escrow Funktionen wie sie vor 2001 üblich waren.
  • Wie schon die EU im Januar 2013 warnte, haben US Behörden jederzeit die Möglichkeit auf bei US Anbietern gespeicherte oder durchgeleitete Daten zuzugreifen. Ganz offensichtlich machen die Behörden von dieser Möglichkeit auch Gebrauch.
  • Die technische Entwicklung und die Kapazität der NSA und anderer ist weit höher als vermutet.

 

Meines Erachtens stellen sich dabei folgende Fragen:

  • Kann man Providern, Softwareherstellern, Cloud-Diensteanbietern, Dienstleistern etc. aus diesen Ländern trauen?
  • Kann man diese Anbieter und ihre Produkte „mit gutem Gewissen“ den deutschen Kunden verkaufen bzw. empfehlen?
  • Was soll man bei Bedenken unserer Kunden gegen diese und andere Firmen antworten?
  • Ermöglicht uns dieser Skandal nicht ein neues Geschäft und einen anderen Ansatz der IT-Security Betrachtung und Beratung?
  • Wie sollte jeder von uns persönlich mit diesem Wissen umgehen