NSA-Hauptquartier in Fort Meade, Maryland, 2013.
Foto: © wikipedia

Snowden und die Folgen

Von Florian Oelmaier und Friedrich Wimmer

Edward Snowden (Oktober 2013)
Foto:© youtube.com/user/TheWikiLeaksChannel, wikimedia
Edward Snowden hat mit seinen Enthüllungen ein Umdenken angestoßen, auch in Deutschland. Die Sicherheit von Daten im Land prägt mittlerweile viele Diskussionen – und diese werden inzwischen in aller Öffentlichkeit und nicht nur zwischen Computerfreaks und Sicherheitspolitikern geführt.

Mit den bisherigen Enthüllungen ist ein enormer Vertrauensverlustgegenüber den USA einhergegangen. Dies zeigt sich beispielsweise im massiven Widerstand gegen die geheim verhandelten Freihandelsabkommen TTIP und CETA. Die freiwillige, teilweise auch unfreiwillige Zusammenarbeit von nationalen Kommunikationsbetreibern und IT-Produzenten mit der NSA war in diesem Ausmaß vorher nur denjenigen bekannt, die spezielle Literatur über die NSA verfolgten.

US-amerikanische Soft- und Hardwareprodukte, die den Markt weltweit dominieren, werden zunehmend kritischer bewertet. Das Silicon Valley fürchtet dauerhaften Schaden durch den entstandenen Vertrauensverlust. Daten werden im großen Stil von US-Clouds weg verlagert. Selbst die private Kommunikation wird heute teilweise unter einem neuen Aspekt gesehen: Kommunizierte man bisher nach dem Motto „Ich habe ja nichts zu verbergen“, spielen heute Verschlüsselung und Sicherheitsapplikationen eine immer wichtigere Rolle, um staatlichen Stellen die Einschränkung der informationellen Selbstbestimmung zu erschweren.

Im Rahmen der Snowden-Veröffentlichungen kam der Begriff „digitale Souveränität“ auf, der seither die Diskussionen immer wieder prägt. In der Politik sind die anfänglichen Spannungen (Kanzlerin Merkel: „Ausspähen unter Freunden, das geht gar nicht!“) mittlerweile völlig abgeflaut. Selbst der Parlamentarische Untersuchungsausschuss wird zu einem Ergebnis kommen, das kaum neue Spannungen aufkommen lassen wird. Eine Befragung Snowdens wurde vermieden, um die USA nicht zu verprellen. Diese betrachten ihn als Landesverräter, der die nationale Sicherheit untergraben hat. Im NATO-Bündnisrahmen wird man aus strategischen Gründen kein dauerhaft abgekühltes Verhältnis zu den USA riskieren wollen. Aufgrund der traditionell engen Zusammenarbeit der „Five-Eyes-Staaten“ (USA, Großbritannien, Kanada, Australien und Neuseeland) wird Kontinentaleuropa durch den „Brexit“ noch stärker in den Fokus dieser Nachrichtendienste treten.

Die Aufklärungsbemühungen des britischen GCHQ gegen EU-Einrichtungen sind bekannt und werden zukünftig sicherlich intensiviert werden. Während in der öffentlichen und privatwirtschaftlichen Diskussion die Bemühungen um „digitale Souveränität“ oft als Streben nach mehr Unabhängigkeit von staatlicher Kontrolle aufgefasst werden, verstehen deutsche Sicherheitspolitiker diesen Begriff etwas anders: Hier wird eher das Ungleichgewicht zwischen den Möglichkeiten der „Five Eyes“ und den eigenen Diensten betont. Ziel dieser Diskussion ist eine Stärkung der eigenen Fähigkeiten.

Offensichtlich sind die beiden Ziele gegenläufig und die Suche nach dem Ausgleich gestaltet sich so schwierig wie eh und je. Neu ist lediglich, dass die Diskussion mehr im Licht der Öffentlichkeit und unter Einbeziehung vieler gesellschaftlicher Gruppierungen geführt wird und nicht – wie vor Snowden – nur zwischen Computerfreaks und Sicherheitspolitikern.

Direkte Veränderungen durch Snowden

  • Bundesregierung beendet Vertrag mit Provider Verizon
  • Bundestag verabschiedet das IT-Sicherheitsgesetz
  • Bundesregierung setzt ein BND-Gesetz mit klaren Befugnissen in Kraft
  • Aufbau der neuen „Entschlüsselungsbehörde“ ZITIS in Deutschland
  • In Deutschland wurde für sicherheitsrelevante öffentliche Aufträge eine No-Spy-Klausel eingeführt
  • Brasilien kündigt Vertrag über die Lieferung von 36 Kampfjets mit Boeing
  • Indien kündigt Zusammenarbeit mit Google zur Wählerregistrierung
  • Cisco-Verkaufszahlen in China fallen um 10 %
  • China nennt das iPhone eine „Bedrohung der nationalen Sicherheit“.
  • Russland plant, Intel- und AMD-Prozessoren durch BAIKAL-CPUs sowie Windows durch Linux zu ersetzen.

Abgelehnte bzw. nicht umgesetzte Vorschläge nach Snowden

  • „Schengen-Netz“: Innereuropäischer Datenverkehr darf nicht über das Ausland geroutet werden.
  • No-Backdoor-Klausel: IT-Hersteller dürfen keine geheimen Zugriffsmöglichkeiten in Produkte einbauen.
  • „Plattform vertrauenswürdige IT“: Deutschland baut eigene sichere IT-Produkte.
  • Verbindliche Einführung BSI-zertifizierter Lösungen für die Verwaltung
  • Deutschland wird zum Verschlüsselungsstandort Nr. 1.

Das Snoden Leak
Was können Unternehmen lernen?

Siegel der NSA
Foto: © wikipedia
Das war der Kern von Snowdens Interesse: aufzuzeigen, wie die NSA organisatorisch und technisch strukturiert ist – das heißt, wie sie arbeitet.

Die NSA sammelt und verwaltet in erheblichem Umfang sensible Daten und unternimmt große Anstrengungen, diese zu schützen. Dies trifft auch auf so manches Unternehmen zu. Es lohnt sich also ein näherer Blick, welche Schlüsse aus dem Datenabzug durch Edward Snowden für die Sicherung sensibler Informationen in Unternehmen gezogen werden können.

Die NSA beschäftigte im Mai 2013 rund 1.000 Systemadministratoren, welche zumeist externe Dienstleister waren. Nach Snowden kam der Gedanke auf, die Anzahl der Systemadministratoren radikal zu reduzieren und viele der administrativen Tätigkeiten zu automatisieren, statt durch Menschen ausführen zu lassen. Ferner sollte das Vier-Augen-Prinzip für bestimmte Tätigkeiten ausgeweitet werden.

Außerdem beschloss die NSA, technische Maßnahmen, wie das Zugriffsmonitoring oder die Überwachung der Zugangsschlüssel, zu verbessern. Aus unserer Sicht sind dies gute organisatorische und technische Maßnahmen, die jedoch auf Symptom- und nicht auf Ursachenebene ansetzen. Folgende Aspekte aus diesem Vorfall sind zu beachten, um auf Dauer wirksame Maßnahmen abzuleiten:

Nach den Anschlägen vom 11. September 2001 stellte die NSA fest, dass Hinweise übersehen bzw. nicht rechtzeitig ausgewertet worden waren. Eine Konsequenz daraus war, Analysten einfachen und schnellen Zugriff auf die zu analysierenden Daten zu ermöglichen, in der Hoffnung, dass dadurch weniger Hinweise übersehen werden – frei nach dem Motto: Mehr Augen sehen mehr. Diese Vorgabe hatte natürlich auch Auswirkungen auf die gesamte Organisation, beispielsweise darauf, wie mit Daten umgegangen wurde.

Die bereichsübergreifende Zusammenarbeit von Abteilungen wurde gestärkt und störende Einschränkungen teilweise gelockert. Der zunehmende Wissensaustausch über mehrere Abteilungen hatte augenscheinlich auch zur Folge, dass verstärkt bereichsübergreifende Dokumentationen erstellt wurden, um eine effiziente Zusammenarbeit zu ermöglichen.

Es ist festzuhalten, dass Snowden offenbar kaum Datenbanken mit sensiblen abgefangenen Überwachungsdaten mitgenommen hat. Viele der Informationen scheinen vielmehr aus den internen Wissensdatenbanken zu stammen, welche für die Zusammenarbeit größerer Gruppen gedacht sind. Das war der Kern von Snowdens Interesse: aufzuzeigen, wie die NSA organisatorisch und technisch strukturiert ist – das heißt, wie sie arbeitet.

Mit der „Öffnung nach innen“ erfolgte jedoch keine ausreichende Stärkung derjenigen Strukturen, an die sich Mitarbeiter mit Bedenken wenden konnten bzw. deren Aufgabe es war, auf Warnhinweise, so genannte Red Flags, angemessen zu reagieren. Zwar existierte eine Hotline für Whistleblower im Department of Defense Inspector General (DoD IG), diese konnte allerdings den zugesagten Schutz der Hinweisgeber (z. B. bei Thomas Drake) am Ende nicht einhalten und war offensichtlich auch nicht in der Lage, Probleme frühzeitig ordentlich zu behandeln.
99 Securitas 2 17
Dabei hätte auffallen können, dass verschiedene Personen faktisch gesehen wegen derselben Bedenken gegen die NSA zu Felde zogen – nämlich die überbordende Überwachung der amerikanischen Gesellschaft. William Binney, Kirk Wiebe, Edward Loomis und Diane Roark wandten sich 2002 gemeinsam an die Aufsichtsbehörde des

US-Verteidigungsministeriums (DoD IG), Russ Tice 2005 an den Kongress und die Medien, Thomas Drake und Mark Klein (Telefonanbieter AT&T) ebenfalls 2005 an die Medien. Wären effektive Strukturen zur Erkennung vorhanden gewesen und wären die richtigen Schlussfolgerungen gezogen worden, hätte es die Veröffentlichungen von Edward Snowden mit ziemlicher Sicherheit in dieser Form nicht gegeben.

Die Reaktionen der Whistleblower rühren unter anderem daher, dass der Grundsatz „Du sollst US-Personen nicht ohne FISA-Gerichtsbeschluss ausspionieren“ (abgeleitet aus dem 4. Zusatzartikel zur Verfassung der Vereinigten Staaten) den NSA Intelligence Officers immer wieder als eine der wichtigsten Richtlinien eingeschärft wurde. Aus Sicht der Whistleblower wie Snowden hatte die NSA-Führung ihre eigenen Prinzipien wiederholt gebrochen, war also nicht mehr glaubwürdig. Snowden zog seine Konsequenzen und wählte seinen eigenen Weg.

Für Unternehmen, die ebenfalls sensible Informationen schützen müssen, sind folgende einfache aber wichtige Leitgedanken festzuhalten:

  • Hinweisen auf einen Verstoß gegen Grundsätze sollte im Unternehmen angemessen nachgegangen werden bzw. es sollte aktiv nach Warnhinweisen gesucht werden.
  • Bei stichhaltigen oder mehrmaligen Hinweisen sollten entweder
  • die problematischen Prozesse eingestellt, also den Bedenken Rechnung getragen werden, oder
  • die problematischen Bereiche auf eine kleine Gruppe von Wissensträgern eingeschränkt und diese angemessen überwacht werden.

Die NSA wollte sich wegen konkurrierender Ziele nicht zu diesen Maßnahmen entscheiden, mit bekanntem Ausgang.

Welchen Trend setzen US-Präsidenten zur Nutzung der NSA_Kapazitäten zur wirtschaftlichen Vorteilsbeschaffung?

Die Mission wirtschaftlicher Vorteilsbeschaffung durch die NSA im Laufe der Präsidentschaft und im Vergleich zum vorhergehenden US-Präsidenten:

Foto: © N/A, likely POTUS, Wikimedia Foto: © Bob McNeely, The White House, Wikimedia Foto: © White house photo by Eric Draper., Wikimedia Foto: © Official White House Photo by Peter Souza, wikimedia Foto: © Wikipedia
George Bush
1989 - 1993
Bill Clinton
1993 - 2001
George W. Bush 2001 - 2009 Barack Obama 2009 - 2017 Donald Trump 2017 -
in Teilen durch eine strategische Schwerpunkt-verlagerung niedriger gewichtet in Teilen durch eine strategische Schwerpunkt-verlagerung stärker gewichtet im Wesentlichen nicht verändert im Wesentlichen nicht verändert in Teilen durch eine strategische Schwerpunkt-verlagerung stärker gewichtet
Über den Autor
Florian Oelmaier/Friedrich Wimmer
Autor: Florian Oelmaier/Friedrich Wimmer
Florian Oelmaier (Dipl. Inf.) leitet das Fachgebiet IT-Sicherheit und Computerkriminalität bei der Corporate Trust, Business Risk & Crisis Management GmbH und ist als Prokurist Mitglied der Geschäftsführung. Seine Spezialgebiete sind aktuelle Angriffe auf Applikationen und Netzwerke sowie Sicherheitskonzeptionen in Softwareprojekten. Nach seinem Informatikstudium war er an der Entwicklung von Sicherheitstechnologien am Fraunhofer Institut für Integrierte Schaltungen beteiligt und in der Folge als IT-Sicherheitsspezialist bei einer deutschen Großbank tätig.

Friedrich Wimmer (MSc) ist Leiter IT-Forensik und Cyber Security Research, ebenfalls wie sein Mitautor bei Corporate Trust. Seine Spezialgebiete sind die Aufklärung von Ermittlungsfällen im Bereich der Mitarbeiterkriminalität und Industriespionage, sowie die individuelle Konzeption und Etablierung effektiver Strukturen einer sicheren Unternehmensführung. Friedrich Wimmer besitzt einen Mastertitel im Bereich Secure Information Systems. Als Sicherheitsberater befasst er sich mit den Auswirkungen der Informationstechnologien auf Unternehmen und der strategischen Ausrichtung von Cybersicherheit in Unternehmen.