Strategien


Forderungen nach Prism & Co.

CIOs reagieren auf Abhörskandal



Christoph Lixenfeld, seit 25 Jahren Journalist und Autor, vorher hat er Publizistik, Romanistik, Politikwissenschaft und Geschichte studiert.

1994 gründete er mit drei Kollegen das Journalistenbüro druckreif in Hamburg, schrieb seitdem für die Süddeutsche Zeitung, den Spiegel, Focus, den Tagesspiegel, das Handelsblatt, die Wirtschaftswoche und viele andere.

Außerdem macht er Hörfunk, vor allem für DeutschlandRadio, und produziert TV-Beiträge, zum Beispiel für die ARD-Magazine Panorama und PlusMinus.

Inhaltlich geht es in seiner Arbeit häufig um die Themen Wirtschaft und IT, aber nicht nur. So beschäftigt er sich seit mehr als 15 Jahren auch mit unseren Sozialsystemen. 2008 erschien im Econ-Verlag sein Buch "Niemand muss ins Heim".

Christoph Lixenfeld schreibt aber nicht nur, sondern er setzt auch journalistische Produkte ganzheitlich um. Im Rahmen einer Kooperation zwischen Süddeutscher Zeitung und Computerwoche produzierte er so komplette Zeitungsbeilagen zu den Themen Internet und Web Economy inklusive Konzept, Themenplan, Autorenbriefing und Redaktion.

4. Maßnahmen der CIOs

Was tun Sie selbst als Reaktion auf die Affäre? Welche konkreten Maßnahmen haben Sie ergriffen, welche sind geplant?

Hanno Thewes CIO, Saarland: "Die Politik muss international verbindliche Mindestanforderungen für den Datenschutz schaffen."
Hanno Thewes CIO, Saarland: "Die Politik muss international verbindliche Mindestanforderungen für den Datenschutz schaffen."
Foto: Finanzministerium Saarland

Natürlich kümmert sich kein CIO erst seit der PRISM-Affäre intensiv um das Thema Sicherheit. Oder wie es Saarland-CIO Hanno Thewes ausdrückt: "Dass bei uns Informationssicherheit höchste Priorität hat, brauchen wir nicht jetzt zu reagieren, wie sind schon länger präventiv aktiv." Auch Thales Deutschland hat "als High-Tech-Unternehmen langjährige und ausgeprägte Erfahrungen in der IT-Security. Weil man nicht ausschließen kann, dass große Anbieter Backdoors einbauen und mit Regierungsorganisationen kooperieren, haben wir eigene Lösungen für IT-Security entwickelt. Die aktuelle Lage ermuntert uns, diese Lösungen auszubauen und auch auf dem Markt anzubieten. Eine dieser Lösungen ist unser Produkt Teopad zur abhörsicheren Übertragung von E-Mails und Telefonaten", sagt CIO Till Rausch.

Hans-Joachim Popp vom DLR geht noch weiter: "Wir werden vor diesem Hintergrund die Passwort-Policy noch einmal erheblich verschärfen müssen. Außerdem planen wir die grundsätzliche Überarbeitung des Administrationskonzepts für alle Dienste externer Anbieter. Wir werden mit allen Möglichkeiten, die heute da sind, konsequent das Least-Privilege-Verfahren durchsetzen." Least Privilege bedeutet, die Zugriffsrechte und -möglichkeiten von System-Admins externer Dienstleister stark einzuschränken, ihnen also ein möglichst kleines ('least') Zugriffsprivileg zu gewähren, das nur jene Rechte einräumt, die für eine bestimmte Aufgabe unerlässlich sind. "Darum haben wir uns in der Vergangenheit zu wenig gekümmert", sagt Popp. Ähnliches gelte für den Einsatz der vorhandenen Verschlüsselungsinfrastruktur, die bisher nur im begrenzten Maße genutzt worden sei.

5. Folgen für Cloud Computing

Welchen Einfluss wird die Affäre Ihrer Meinung nach insgesamt auf die Entwicklung des Marktes für Cloud Computing und Outsourcing haben?

Hanno Thewes, CIO des Saarlandes, glaubt, "dass das Vertrauen in Cloud und OutsourcingOutsourcing an Intensität verlieren wird". Till Rausch sagt dagegen interessanterweise: "Outsourcing wird attraktiver, da Skaleneffekte die Kosten von Absicherung reduzieren." Beim Cloud ComputingCloud Computing sieht er als wichtigste Qualitätsmerkmale der Anbieter. Und: "Open-Source-Sicherheitsprogramme werden als Schutz vor Backdoors an Wichtigkeit gewinnen." Alles zu Cloud Computing auf CIO.de Alles zu Outsourcing auf CIO.de

Damit hat Rausch die wichtige Frage angestoßen, was wirklich hilft gegen Ausgespähtwerden und gegen Backdoors; also gegen die Gefahr, jene Daten, die durch die Vordertür vom Kunden zum Cloud-Dienstleister gelangen, könnten durch die - geheime - Backdoor an die Geheimdienste weitergereicht werden. Open SourceOpen Source? Solche Lösungen müssten dann aber auch mehr Verantwortliche einkaufen, finden Hans-Joachim Popp vom Deutschen Zentrum für Luft- und Raumfahrt: "Was bei näherem Hinsehen sofort auffällt, ist der stark eingeschränkte Wettbewerb in fast allen Herstellerbranchen der IT. Deshalb sind wir CIOs in der Durchsetzung unserer Anforderungen nicht gerade in einer starken Position. Wir müssen dringend mehr alternative Anbieter am Markt unterstützen, auch wenn dies zu einer Torpedierung unserer eigenen Standardisierungspolitik führen kann." Alles zu Open Source auf CIO.de

Nach Ansicht von Popp brauchen wir in Deutschland und Europa stärkere eigene Aktivitäten auf dem Herstellermarkt, die Hörigkeit gegenüber bestimmten Herstellern müsse endlich aufhören. Auch bei den IT-Dienstleistern vertraut der DLR-CIO eher einheimischen als internationalen Anbietern. "Einige Cloud Provider aus den USA sind nicht Herr ihres Handelns, sie werden dazu gezwungen, Daten herauszugeben, und sie dürfen auch nichts darüber sagen. Im Gegensatz dazu halte ich in Deutschland ein nicht-anlassbezogenes, also permanentes, systematisches Mitschneiden von Nutzerdaten für sehr unwahrscheinlich." So etwas würde laut Popp auch nicht geheim bleiben, das würde hier seiner Ansicht nach mit Sicherheit irgendwann herauskommen.

Gründe, eher auf deutsche Anbieter zu setzen, haben die Amerikaner sogar selbst geliefert. In jener Präsentation von Edward Snowdon, in der zu Beginn der PRISM-Affäre die Rolle von Google, MicrosoftMicrosoft, Yahoo, Apple und anderen beleuchtet wurde, wiesen die US-Geheimdienste ausdrücklich darauf hin, dass die USA einen "Heimvorteil" hätten, weil die weltweit wichtigsten Provider-Unternehmen amerikanisch seien. Alles zu Microsoft auf CIO.de

Foto: cio.de

Dieser Heimvorteil schützt allerdings nicht davor, selbst ausgespäht zu werden. Anfang Oktober wurde bekannt, dass der Quellcode für Adobes Entwicklungsumgebung Cold Fusion und von anderen Programmen entwendet worden war. Außerdem sollen den Angreifern auch User-IDs, verschlüsselte Passwörter und Kreditkartendaten in die Hände gefallen sein. Die betroffenen Programme werden von mindestens elf US-Regierungsbehörden eingesetzt, und zwar auch in sicherheitskritischen Bereichen. Auf detaillierte Nachfragen des Wall Street Journals dazu antworteten weder die National SecuritySecurity Agency (NSA) noch das US-Energieministerium. Alles zu Security auf CIO.de

Die Chronologie des Skandals
Dies ist ein Auszug aus der Chronologie von tagesschau.de. Letzter Stand war der 31. Oktober 2013.

06.06. - NSA-Zugriff auf US-Telefondaten
Auftakt des NSA-Skandals ist ein Bericht im "Guardian", wonach Verizon der NSA Rufnummern, Dauer und Uhrzeit zur Verfügung stellen muss.

07.06. - NSA-Zugriff auf Internet-Giganten
"Guardian" und "Washington Post" berichten über Zugriff auf Server von neun Internet-Firmen, um Kontakte und Bewegungen einer Person nachzuvollziehen.

09.06. - Snowden tritt in die Öffentlichkeit
Der damals 29-jährige Ex-NSA-Mitarbeiter Edward Snowden enttarnt sich in einem "Guardian"-Interview selbst. Das Gespräch findet in Hongkong statt.

11.06. - Überraschte Bundesregierung
Regierung und Geheimdienste wissen angeblich nichts PRISM. Innenminister Friedrich will Fragen in die USA schicken - bis heute ist keine Antwort bekannt.

21.06. - Britische Spionage Tempora
Der "Guardian" schreibt über umfangreiche Internet-Überwachung durch den britischen Geheimdienst GCHQ.

22.06. - Anzeige gegen Snowden
Das US-Justizministerium zeigt Snowden wegen Spionage, Diebstahl und Weitergabe von Regierungseigentum an. Ihm drohen bis zu zehn Jahre Haft.

23.06. - Snowden verlässt Hongkong
Der inzwischen 30-Jährige setzt seine Flucht fort. Er soll sich seitdem im Transitbereich eines Moskauer Flughafens aufhalten.

30.06. - NSA-Überwachung in Deutschland
Die NSA überwacht laut "Spiegel" in Deutschland deutlich mehr Daten als in jedem anderen Land: monatlich eine halbe Milliarde Kommunikationsdaten.

08.07. - NSA in Lateinamerika
Auch in Brasilien sollen NSA und CIA mindestens bis 2002 eine Spionagebasis betrieben haben, berichtet die brasilianische Zeitung "O Globo".

12.07. - Überwachung von Microsoft-Diensten
Die NSA habe stets Zugang zu den Mails bei den Microsoft-Diensten Hotmail, Live und Outlook.com gehabt - noch vor der Verschlüsselung der Mails.

17.07. - Nach PRISM kommt PRISM II
Es wird bekannt, dass auch die Bundeswehr ein Spähprogramm mit dem Namen PRISM benutzte - und zwar in Afghanistan.

21.07. - In Erklärungsnot
Bundesnachrichtendienst und Verfassungsschutz räumen ein, eine NSA-Spähsoftware eingesetzt zu haben.

25.07. - Pofalla vor Kontrollgremium
Kanzleramtschef Ronald Pofalla steht dem Parlamentarischem Kontrollgremium Rede und Antwort. Er ist der Ansicht, alle Fragen beantwortet zu haben.

26.07. - Bundespräsident Gauck
Joachim Gauck warnt vor Gefahren für die Freiheit. Die USA müssten akzeptieren, dass Deutschland beim Datenschutz sehr sensibel reagiere.

01.08. - Snowden bekommt Asyl
Snowden erhält Asyl für ein Jahr in Russland und verlässt den Flughafen. Die USA reagieren enttäuscht auf die russische Entscheidung.

04.08. - BND und NSA arbeiten zusammen
Laut "Spiegel" greift der US-Dienst in großem Maßstab auf BND-Material zurück. Die Bundesregierung dementiert, es handle sich um Einzelfälle.

18.08. - Affäre beendet
Kanzlerin Angela Merkel erklärt die Affäre für beendet. Alle Fragen seien geklärt, sagt sie im ZDF.

23.08. - Internet-Konzerne verwickelt
Im "Guardian" veröffentlichte NSA-Dokumente untermauern den PRISM-Einsatz für das Filtern des Datenverkehrs über Firmen wie Yahoo, Facebook und Google.

13.09. - Deutsche Zusammenarbeit
Ein Papier, das dem NDR vorliegt, belegt, dass die Beziehung zwischen Bundesamt für Verfassungs-schutz und NSA offenbar intensiver ist als gedacht.

15.10. - Weltweite Mail-Kontrolle
Die "Washington Post" berichtet, der US-Spionagedienst NSA greife weltweit Angaben aus E-Mail-Accounts und Messaging-Programmen ab – auch von US-Bürgern.

23.10. - USA überwachen Merkels Handy
Das Handy von Kanzlerin Angela Merkel sei möglicherweise von US-Geheimdiensten überwacht worden, teilt Regierungssprecher Seibert mit.

28.10. - Verdacht gegen US-Botschaft
Infrarotaufnahmen des NDR-Magazins "Panorama" nähren den Verdacht, dass die Berliner US-Botschaft benutzt wird, um das Regierungsviertel auszuspionieren.

31.10. - Yahoo und Google angezapft
Die NSA soll die Leitungen zwischen den Serverzentren von Yahoo und Google angezapft haben - im Gegensatz zu PRISM ohne Kenntnis der Konzerne.

Zur Startseite