Vortrag: „Facebook, stop following me! - Online-Nutzerdaten als sicherheitspolitische Herausforderung

Der Facebook-Skandal im Frühling dieses Jahres offenbarte, dass man mit Online-Nutzerdaten womöglich sogar Präsidentschaftswahlen manipulieren kann. Daher stellt sich mehr denn je die Frage: Was wissen andere über mich, wenn ich im Internet unterwegs bin.

Um diese Frage zu beantworten und auch kleine Empfehlungen zur Selbstverteidigung im Netz zu geben, hat die Hochschulgruppe für Außen- und Sicherheitspolitik der Universität Mannheim des Bundesverbandes für Sicherheitspolitik an den Hochschulen (BSH) am 02.05.2018 zwei Hacker des Chaos Computer Club Mannheim eingeladen.

 

Die Referenten 'HASH1' (links) und 'stean' (rechts)

Der Vergleich der Datensammlung von 'Stasi' und NSA

Gemäß den Referenten ‚stean‘ und ‚HASH1‘ ist anlasslose Daten- und Informationssammlung über Bürger an sich kein neues Phänomen. Denn den Referenten zufolge wurde schon im Deutschen Kaiserreich eine Liste von allen Homosexuellen im Land angefertigt. Die sogenannten ‚Rosa-Listen‘ galten zunächst als unbedenklich, bis sie in Nazi-Deutschland zur Verfolgung und Vernichtung eingesetzt wurden. Mit diesem erschreckenden Beispiel konnten die Referenten die Brisanz der digitalen Datenspeicherung deutlich machen – was heute noch nach unwichtigen Daten aussieht, kann in ein paar Jahren vielleicht für noch ungeahnte Dinge verwendet werden.

Der größte Unterschied von damals zu heute sei ‚stean‘ und ‚HASH1‘ zufolge jedoch, in welcher Größe und Menge Informationen gespeichert werden können. Während die von der ‚Stasi‘ gesammelten Daten ausgedruckt etwa 48.000 Aktenschränke entsprächen, ist die NSA im Besitz von 5 Zettabytes Daten - was ausgedruckt in etwa 42 Billionen Aktenschränke füllen würde.

Die zuvor genannten Beispiele der beiden Hacker sind Programme von staatlicher Seite. Doch wie verhält es sich mit kommerziellen Beobachtern, wie Facebook einer ist? „Während der Staat zur Datensammlung einen enormen Aufwand betreibt, sitzen Social-Media-Unternehmen direkt an der Quelle“, führte ‚HASH1‘ an. Diese seien auch weniger an der direkten Überwachung, als an sogenannten Meta-Daten interessiert. Es würden keine direkten Inhalte gespeichert, sondern vielmehr „Daten über die Daten“, also wo, wann und wie die Nachricht verfasst wurde. Am Beispiel eines Instant-Messaging-Dienstes zeigten die Referenten, was alles beobachtbar ist. Von Abrufzeiten über Konversationen, bis hin zu Arbeitszeiten, all diese Informationen ließen sich aus den Daten gewinnen. „Durch eine Analyse der Nachrichtenseite Spiegel kannte ein CCC-Hacker am Ende die gesamte Belegschaft, ohne jemals mit ihnen in Kontakt gewesen zu sein“, merkte einer der beiden Hacker an.

Eine zusätzliche Gefahr geht von Beobachtern dritter Art aus. Durch Phishing E-Mails versuchen kriminelle Banden, Geld von ahnungslosen Nutzern zu erwirken. Wie leicht so etwas geht, zeigten die Referenten direkt vor Ort. Mithilfe eines selbstgeschriebenen Programms bekam die ausgewählte E-Mail-Adresse binnen Sekunden eine Nachricht von Angela Merkel angezeigt. Dass die Nachricht ein Fake ist, ist nur auf den zweiten Blick ersichtlich. „Das Problem ist, dass es keinem auffällt“, so ‚HASH1‘.

Neben all den Beispielen, die die Gefahren der Datenspeicherung verdeutlichen, gaben die Hacker auch eine Empfehlung, wie solche Risiken minimiert werden können.
Unmittelbar an den theoretischen Teil anknüpfend, erläuterte ‚stean‘ die Funktionsweisen der asymmetrischen Verschlüsselung beim E-Mail-Verkehr und wie man sie nutzen kann. Schritt für Schritt installierte sich jeder Besucher daraufhin das Programm Enigmail, welches PGP-Verschlüsselung unterstützt und so vor Fake-Emails schützen kann.