Die
Bedeutung des
Datenschutzes
nimmt zu
1998
wird zum entscheidenden Jahr der globalen Regelung des Datenschutzes. Bis
Oktober 1998 müssen die Mitgliedsstaaten der EU die Datenschutzrichtlinie
[200]
in nationale Gesetze umsetzen. Da die Richtlinie im IV. Kapitel den Transfer
personenbezogener Daten nur in Drittstaaten mit adäquatem Schutz
zuläßt, wird nun auf Druck der Wirtschaft auch in den Vereinigten
Staaten die Regelung des Datenschutzes erwogen. Die Diskussion dreht sich meist
um 2 Eckpunkte:
- Weltweit
operierende Unternehmen haben ein vitales Interesse am europäischen Markt
teilzunehmen. Damit sie nicht ihre europäischen Dependancen von ihren
globalen Computernetzen trennen müssen bzw. überhaupt am
europäischen Markt teilnehmen dürfen, üben sie Druck auf
Regierungen anderer Staaten aus, einen adäquaten Datenschutz in ihre
Gesetze aufzunehmen. Andererseits fallen durch Datenschutzmaßnahmen
zusätzliche Kosten an, sodaß die in Aussicht genommenen Regelungen
nicht zu restriktiv sein sollen.
- Von
Seiten der Bürger wird das Bedrohungspotential mangelnder
Datenschutzgesetzgebung meist nicht erkannt. Regierungen argumentieren oft mit
der Bekämpfung der organisierten Kriminalität, die die
Einschränkung des Datenschutzes rechtfertigen soll. Da diese kriminelle
Schicht aber ein sehr kleiner Personenkreis ist, geschehen diese Eingriffe
meist zu Lasten der überwiegenden Bevölkerungsmehrheit.
Schließlich wird auch oft auf das unqualifizierte Argument “Sie
haben doch nichts zu verbergen, oder?” verwiesen. Trotzdem sind der
überwiegende Teil aller Briefsendungen mit Kuverts und Türen mit
Schlösser verschlossen, ohne daß sich in oder hinter diesen
kriminelle Handlungen verbergen.
Jeder
Bürger kann sich aber bei Kenntnis der Sachlage selbst schützen.
Irrtümer bzw Fahrlässigkeit der Mitarbeiter und technische
Softwareprobleme stellen leider meist die wesentlichsten
Sicherheitsschwachstellen dar.
[201]
Besonders die Bereitschaft zur Sicherheitsschulung von Mitarbeitern und zum
Einsatz von Analysewerkzeugen ist unterentwickelt.
Daten
werden mit Hilfe des Internets grundsätzlich unverschlüsselt
übertragen.
[202]
Jede E-Mail wird am PC unverschlüsselt gespeichert und bei der
Übertragung auf jedem E-Mail-Server unverschlüsselt
zwischengespeichert. Diese Tatsache begründet einige wesentliche Gefahren:
- Der
Betriebsspionage ist Tür und Tor geöffnet, um an
Unternehmensgeheimnisse heranzukommen. Vor allem weltweit tätige
High-Tech-Konzerne sind von dieser Gefahr bedroht. Als Beispiel sei die Firma
Motorola angeführt, deren weltumspannendes Satellitentelefonsystem
“Iridium” 24 Stunden am Tag an verschiedenen Orten auf der Welt
entwickelt wird. Die Ergebnisse des Arbeitstages in Australien werden am Abend
via Internet nach Indien übertragen, wo diese Daten sofort
weiterbearbeitet werden. Nach Ende des indischen Arbeitstages werden die Daten
in die USA geschickt und nach Arbeitsschluß wieder nach Australien.
- Die
organisierte Kriminalität kann sich vom Privatleben bestimmter, für
sie interessanter Persönlichkeiten einen Überblick verschaffen und
dieses Wissen zur Erpressung benutzen.
- Alle
Daten werden digital erfasst und sind somit suchbar und sofort zuordenbar.
- Auch
für den Einzelnen scheinbar unwichtige Daten können in
Verknüpfung mit anderen Daten ungewollte Einblicke in das Privatleben
geben.
Daß
es sich hierbei nicht um paranoide Gedanken sondern um eine reale Bedrohung
handelt zeigt der Bericht “Assessing the Technologies of Political
Control”, den das Komitee für Bürgerrechte des Europaparlaments
verfaßt hat. Darin wird erstmals von offizieller Seite das Bestehen eines
weltweiten Abhörnetzes namens “Echelon”, das vom
US-Geheimdienst NSA betrieben wird, bestätigt. Echelon verarbeitet wahllos
riesige Informationsmengen aus digital vorliegenden Telefongesprächen,
E-Mails oder Telex-Kommunikationen, die mittels MEMEX, einem Analyseprogramm
der Künstlichen Intelligenz, auf Schlüsselwörter hin untersucht
werden. Dazu greift das Spionagesystem auf nationale Wörterbücher
zurück, die jeweils mit länderrelevanten Informationen versehen sind.
[203] Wegen
der plötzlichen Popularität des Internets, hat sich das Thema
Computersicherheit von einem Randthema für Techniker zu der Spitze der
unternehmensinternen Prioritätsliste gewandelt, meint Michael R. Anderson,
der 25 Jahre lang an der Spitze der US Bundespolizei für Bekämpfung
der Computerkriminalität zuständig war, in einem Beitrag zum
Government Internet Guide der USA.
[204]
Er zitiert Jim Settle, den pensionierten Direktor der FBI-Abteilung für
Computerkriminalität, der meint, daß er mit einer ausgewählten
Gruppe von Hackern das ganze Land, gemeint sind die USA, in die Knie zwingen
kann.
Bei
der Geburt des Internets, Anfang der siebziger Jahre, war von elektronischem
Handel noch lange keine Rede. Das Internet wurde nicht geschaffen, um sicher zu
sein.
Das
einzige sichere Computersystem kann nur in einem versperrten Raum ohne die
Anwesenheit von Menschen und Verbindung zu anderen Computern existieren. Da
solch eine Sicherheitstaktik aber sehr unpraktisch ist, ist es notwendig,
andere Sicherheitsstrategien anzuwenden. Dazu zählen sogenannte Firewalls
und vor allem die Verschlüsselung sensitiver Daten. Selbst für
Michael R. Anderson ist es schwer, gut verschlüsselte Computerdateien zu
knacken, ja manchmal sogar unmöglich. Sobald sich der mystische Nebel um
Spionagegeschichten gelegt hat erkennt man, daß Verschlüsselung
nicht mehr ist, als Daten vor unbefugten Zugriffen zu schützen.
Es
gibt gute und schlechte Verschlüsselung. Vereinfacht kann man sagen,
daß je länger der geheime Schlüssel ist, desto höher die
Sicherheit und der Aufwand ist , den Schlüssel zu knacken. Dies
unterstellt die Verwendung sicherer Verschlüsselungsalgorithmen. Davon
gibt es mehrere.
Die
sicherste Verschlüsselungsart, die zur Zeit auf dem US-Softwaremarkt zu
bekommen ist, arbeitet mit einem Schlüssel in der Länge von 128 Bit.
Dies ist zum Beispiel IDEA, Triple DES, 128-bit RC4 und 128-bit SEAL. Weniger
starke, aber immer noch sichere Systeme sind zum Beispiel 80-Bit RC5 und 64-Bit
RC5 Verschlüsselungsschemata.
Relativ
unsichere Systeme sind das DES (Data Encryption Standard) Schema, mit dem
österreichische Bankomatkarten geschützt werden, und die 40-bit
Verschlüsselungssysteme. Ein 40-bit Schlüssel wurde von der Firma
Netscape in ihre weit verbreitete Browser-Software eingebaut und leicht
gebrochen. Auch der DES-Code ist bereits gebrochen worden.
[205] Wie
schwierig ist es nun wirklich, Verschlüsselungsmechanismen zu brechen?
Michael
R. Anderson gibt als Richtlinien 3 bestimmende Faktoren vor:
1. Die Rechenleistung des zur Verfügung stehenden Computers.
2. Die Länge des zur Verschlüsselung verwendeten Schlüssels
3. Der Geldbetrag, der zur Verfügung steht, um das Problem zu lösen.
Mit
heutiger Technologie kann man 90 Millionen DES Schlüsselkombinationen oder
5 Millionen RC4 Kombinationen pro Sekunde durchprobieren. Anders
ausgedrückt dauert es ungefähr eine Sekunde, um
Verschlüsselungen mit einer Schlüssellänge von 26 Bits zu
knacken. Ein 40 Bit Schlüssel ist in 4 Stunden zu knacken, ein 48 Bit
langer Schlüssel in einem Monat und ein 56 Bit langer in 30 Jahren. Die
Kosten für Computerhardware um dies zu erreichen betragen zwischen 500.000
und 750.000 Schilling.
[206]
Je mehr Geld man aber in die Rechenleistung investiert, desto kürzer wird
auch die Rechenzeit. Wenn man 10 Millionen Schilling in Computerleistung
steckt, wird der 56 Bit lange Schlüssel schon in 10 Tagen geknackt.
Mit
Hilfe des Internets können diese Kosten aber sehr leicht reduziert werden.
Es arbeiten zentral gesteuerte Gruppen von handelsüblichen PCs an
demselben Problem. So wird deren Rechnerleistung gebündelt und man kann so
einen extrem teuren Rechner simulieren. So wurde beispielsweise der DES gebrochen
[207]. Manche
Länder, vor allem in Asien
[208],
versuchen das Internet zu zensurieren. Im Gegensatz zur bisherigen
Vorgangsweise - nicht angemeldete Radio- und Fernsehsender wurden angepeilt,
die Verantwortlichen verhaftet und das Equipment beschlagnahmt - ist ein
Computer und ein Telefonanschluß unverdächtig und auch nicht leicht
zu entdecken. Dies unterstreicht umsomehr, daß das Internet sowohl von
Kriminellen und Rassisten genützt werden kann, aber auch als Werkzeug der
Meinungsfreiheit und demokratischer Werte eine ernste Gefahr für
autoritäre Regime darstellt. Gleichzeitig erhöht sich die Bedeutung
des Datenschutzes, da es Oppositionspolitiker in autoritären Staaten meist
nur unter Pseudonymen oder anonymisiert wagen können, Kritik zu üben
und zu verbreiten.
[201]
Stand der IT-Sicherheit in Österreich, Studie der ARGE Daten, Kurzfassung,
März 1998; im Internet unter
https://keyserver.ad.or.at/security/oenb/berichtk.htm#ergebnisse
[202]
vgl. Jaburek/Wölfl, Cyber-Recht, S 27
[203]
Spies like US, Electronic Telegraph, 16.12.1997, im Internet unter
http://www.telegraph.co.uk:80/et?ac=000602131144806&rtmo=0sKsx2bq&atmo=0sKsx2bq&pg=/et/97/12/16/ecspy16.html [204]
Internet Security - A Cybercop´s Perspective, Government Internet Guide,
im Internet http://www.govtech.net/publication/govinternetguide/gigcybercop.shtm
[205]
DES geknackt, im Internet unter http://www.ad.or.at/office/news/des.htm
[206]
Man beachte dazu aber Moores Law, das besagt, daß sich alle 18 Monate die
Rechenleistung der populärsten Computerprozessoren verdoppelt, wobei der
Preis allerdings gleich bleibt. Definition im Internet unter
http://www.cs.washington.edu/homes/lazowska/inservice/drivers/ oder
http://www-sc.ucssc.indiana.edu/cgi-bin/jargon/00000462.html
Zur
Beständigkeit von Moore´s law “Can Moore's Law continue
indefinitely?”, im Internet unter
http://www.computerworld.com/search/AT-html/9607/960722LEADSL9607lead.html
[207]
DES geknackt, im Internet unter http://www.ad.or.at/office/news/des.htm
[208]
Vor allem Singapur und Vietnam tun sich hier hervor. Siehe zB CNET: Singapore
may shift censorship focus, im Internet unter
http://www.news.com/News/Item/0,4,14612,00.html