“Google ist gut, die NSA ist böse – mich wundert das“
Jeff Moss ist Chef der wichtigsten Hackermesse der Welt. Er weiß, wie leicht unsere Daten geklaut werden können
Er weiß, wie Überwachung funktioniert: Jeff Moss gründete die beiden Konferenzen Def Con und Black Hat, zwei der wichtigsten Versammlungen der IT-Szene, und ist heute Sicherheitschef der Internetorganisation ICANN. Dass die USA überall herumschnüffeln, hat den Amerikaner nicht überrascht. Er war beim Forum Alpbach zu Gast und erzählte, dass er nicht nur der NSA, sondern auch Google misstraut. Er würde lieber Geld zahlen, als seine Daten herzuschenken.
Herr Moss, ich bin eine aktive Internetuserin, habe ein Smartphone, ein Blog, benutze Twitter und Facebook. Könnten Sie mich hacken?
Jeff Moss: Klar. Ich würde Ihnen auf Ihrem Blog einen Kommentar hinterlassen und schreiben: “Interessanter Beitrag, das erinnert mich an diesen anderen Text, den ich neulich las.” Dazu würde ich dann einen Link posten, der Sie aber auf eine Seite mit Malware, also schädlicher Software führt, und ihren Computer infiziert. Oder ich würde Ihnen das Ganze als E-Mail schicken und Sie zu überreden versuchen, auf diesen Link zu klicken. Und schon haben Sie Malware auf dem Rechner.
Wie funktioniert das genau?
Moss: Die meisten Menschen haben in ihrem Webbrowser Javascript aktiviert, das ist standardmäßig an, denn dank Javascript schaut das Web hübsch aus. Nur hat es immer wieder Sicherheitslücken. Wenn Sie Ihre Software nicht permanent aktualisieren, also immer auf dem aktuellen Stand sind, dann werden Sie verwundbar. Ich kann diese Schwachstellen finden oder fertige Tools herunterladen, die diese Schwachstellen ausnützen. Damit schleuse ich einen Trojaner auf Ihrem Computer ein und kann mich bei Ihnen einloggen oder alles aufzeichnen, was Sie tun. Kurz gesagt: Ich habe die Kontrolle über Ihr Gerät. Das ist ganz einfach, weil die meisten Menschen Javascript aktiviert haben und kaum einer permanent Updates macht.
Das heißt, ich sollte lieber nicht auf Links klicken, die Sie mir schicken?
Moss: Sie sollten auf viele Dinge nicht klicken: Wenn ein Link ungewöhnlich erscheint, zu einer seltsamen Webadresse führt, sollten Sie ihn lieber nicht öffnen – außer Sie schalten Javascript aus. Ich habe zum Beispiel ein Plugin in meinem Browser installiert, um Javascript standardmäßig auszuschalten. Dann schaut das Web zwar nicht ganz so hübsch aus, aber Sie können überall herumsurfen.
Sie kennen sich bei Sicherheitslücken aus, haben eine der wichtigsten Hackermessen der Welt gegründet, die Def Con. Heuer lernte die Weltöffentlichkeit auf der Def Con etwa, dass man auch schon Autos hacken kann.
Moss: So neu ist das übrigens gar nicht. Man kann die Kontrolle über einen Wagen übernehmen, die Bremsen ausschalten oder das Lenkrad kontrollieren, wenn man Zugang zum sogenannten CAN-Bus-System bekommt. Dafür braucht man in der Regel physischen Kontakt, muss etwa ein Kabel ans Auto anschließen. Aber bedenken Sie Folgendes: Autos werden immer vernetzter, verwenden zunehmend Bluetooth und WLAN-Verbindungen, auch gibt es diese GPS-Systeme, die automatisch einen Notruf aussenden, wenn Sie einen Unfall haben. Heutige Autos sind also bereits mit der Außenwelt verbunden, selbst wenn einem das nicht bewusst ist. Das macht sie zunehmend angreifbar.
Ist das Ziel der Def Con zu zeigen, wie gefährlich Technologie ist? Oder worum geht’s denn bei der Hackermesse?
Moss: Ich will zeigen, was alles möglich ist. Die Autohersteller, die Ingenieure sollten wissen, was mit ihrer Technik passieren kann, wo Schwachstellen sind. Die Bad Guys wissen ohnehin darüber Bescheid, auch Geheimdienste wissen solche Dinge. Warum sollte die Öffentlichkeit das nicht wissen? Sicherheitslücken kann man bekämpfen, wenn sie einem bewusst sind.
Apropos Geheimdienste: Normalerweise sind auch viele Agenten der NSA oder des FBI auf Ihrer Hackermesse. Diesmal haben Sie die Behörden gebeten fernzubleiben. Warum?
Moss: Viele Hacker sind furchtbar angefressen. Die unzähligen Enthüllungen zur Spionage, die Geschwindigkeit, mit der die ganzen Überwachungsprogramme bekannt wurden, hat viele frustriert. Man bekam den Eindruck: Die Regierung steckt unheimlich viel Geld in Spionage, in Angriff, aber wenig in Verteidigung (von Daten, Anm.). Da wäre es komisch gewesen, so zu tun, als sei nichts passiert.
Waren Sie selbst auch schockiert?
Moss: So überrascht war ich nicht. Spionagedienste spionieren, das ist ihr Job. Aber viele Amerikaner hatten das Gefühl, dass ein Deal gebrochen wurde. Es hieß immer: Die NSA schaut, welche Bedrohungen von außerhalb kommen, sitzt an der Grenze und wehrt Attacken ab; und das FBI arbeitet innerhalb der Landesgrenzen. Jetzt fanden wir heraus: Auch die NSA schaut sehr stark ins Inland. Das hat viele schockiert, auch im Kongress, denn das war nicht der Deal.
Für uns Europäer ist die US-interne Debatte skurril, weil es immer nur um die Rechte der Amerikaner geht. Aber was ist mit den Rechten von uns Europäern? Wir können ohne richterlichen Befehl von der NSA überwacht werden.
Moss: Stimmt, weil Sie keine amerikanische Staatsbürgerin sind. Nur gibt es derartige Überwachung in vielen Ländern. Wir in den USA haben nun wenigstens eine Debatte darüber. Das finde ich gut, weil man könnte jetzt einiges tun.
Was denn?
Moss: Man könnte einen genauen Zeitrahmen vorgeben, wie lange Daten gespeichert werden dürfen, oder klarer einschränken, wer Zugriff darauf hat. Derzeit fehlen die Möglichkeiten, mit denen sich Firmen gegen solchen Anfragen wehren können. Es sollte mehr Transparenz geben, wie oft Behörden tatsächlich auf solche Daten zugreifen. Dann sehen wir auch, ob die Behörden hier tatsächlich fischen oder die Anfragen viel seltener sind, als viele derzeit fürchten.
Vertrauen wir da den Firmen nicht zu sehr? Offensichtlich wissen wir nicht, was alles mit unseren Daten passiert.
Moss: Ein Widerspruch fasziniert mich total: Die NSA sammelt Daten und wertet diese mit Algorithmen aus, zum Beispiel, um Personen zu finden, die eine Bombe bauen wollen. Google wiederum verwendet ebenfalls Algorithmen. Redet man in einem E-Mail über Griechenland, wird mir Google vielleicht Werbung mit Flügen nach Griechenland anbieten. Bei Google hat niemand ein Problem damit, dass all unsere E-Mails ausgewertet werden, bei der NSA allerdings schon. Google ist gut, die NSA ist böse – mich wundert das. Oder nehmen wir Facebook: Wenn ich versehentlich alle in meinem Handy gespeicherten Telefonnummern mit Facebook teile, gibt es keinen Knopf, der sagt: ‚Hoppla, lösch diese Nummern‘. Die sind auf Ewigkeiten in Facebook und die kartografieren damit sämtliche menschliche Verbindungen. Ich würde mir eine Debatte über all diese Aspekte wünschen.
Und was wäre die Lösung? Sollen wir den Einsatz von Algorithmen verbieten?
Moss: Nein, aber wir bräuchten mehr Kontrolle durch Konsumenten. Ich würde Facebook fünf Euro im Monat zahlen, nur damit sie sich nicht all meine Daten krallen.
Verwenden Sie Facebook?
Moss: Ja, aber ganz vorsichtig. Man muss davon ausgehen, dass alles, was man auf Facebook sagt, öffentlich ist. Wie es so schön heißt: Wenn du nichts zahlen musst, bist du das Produkt. Deswegen sage ich: Lasst mich doch zahlen, ich will nicht das Produkt sein! Aber leider schaut das Geschäftsmodell der sozialen Netzwerke so aus, dass man selbst das Produkt ist.
In Europa gibt es nun auch die Idee, dass sich europäische Internetfirmen damit hervortun könnten, besonders datenschutzfreundlich und transparent zu sein.
Moss: In Europa fehlen allerdings die großen Rechenzentren, das ist einer der Gründe, warum das bisher nicht der Fall ist.
Wie? Uns fehlen die Server und die Kapazitäten für solche Firmen?
Moss: Ja. Warum liegen so viele Daten in den USA? Weil wir die Kapazitäten dafür haben. Wenn Europa riesige Rechenzentren bauen würde, könnte sich das ändern. Es ist ja schon jetzt der Fall, dass einige große Internetfirmen in Europa riesige Rechenzentren bauen, dadurch wird die Verbindung für den Kunden schneller, das gefällt den Leuten.
Wie Sie schon sagten, steckt die US-Regierung viel mehr Geld in den Angriff auf Daten als in deren Verteidigung. Ist das generell ein Problem, dass wir viel besser im Datenklauen als im Datenbeschützen sind?
Moss: Klar, Angriff ist sexy. Wenn man in ein fremdes System einbricht, kriegt man sofort Bestätigung. Verteidigt man das eigene System, wehrt man also einen Angriff ab, bekommt man kaum eine Bestätigung. Oft braucht es nur einen Hacker, der dann doch eine Lücke findet, und man verliert schon den Job. Ich berate auch Firmen und höre immer wieder: “Warum sollte ich in Abwehr Geld investieren? Bei mir wurde letztes Jahr nicht eingebrochen, vorletztes auch nicht.Nur, woher wissen diese Firmen, dass nicht bei ihnen eingebrochen wurde, wenn sie nicht einmal ihr eigenes Netzwerk analysieren? Es ist oft schwierig, Firmen zu so etwas zu überreden, wenn sie nicht vertraglich dazu verpflichtet sind oder dies reguliert wird.
Sollte der Staat da mehr tun?
Moss: Der Staat könnte zumindest Standards vorgeben. Allerdings schaut es eher so aus, als würden die sehr viel Zeit darin investieren, alles Mögliche zu beobachten, selbst überall einzubrechen, und nur wenig Zeit darin, alles zu verteidigen.
Wie könnte man denn diese Haltung verändern?
Moss: Das ist wirklich schwierig. Ein Kernproblem sind Features. Ein Gerät mit fünf Funktionen ist sicherer als eines mit 100. Menschen wollen allerdings möglichst viele Funktionen, das liegt in unserer Natur. Wer am Schutz von Daten arbeitet, hat also ganz schlechte Karte. Da müsste die Politik ein paar Entscheidungen der härteren Art treffen. In den USA überlassen wir das aber ganz dem freien Markt und der freie Markt ist furchtbar, wenn es um den Schutz von Daten geht.
Was könnte die Regierung denn tun?
Moss: Nehmen Sie Facebook. Das gesamte Geschäftsmodell dreht sich darum, dass man sein ganzes Leben in das soziale Netzwerk stecken soll. Nun wird Facebook auch für politische Kampagnen eingesetzt, für Dinge, die mehr Konsequenzen haben, als wenn man Katzenbilder hochlädt. Da sollte es ein Mindestmaß an Sicherheit geben, etwa könnte die Verbindung verschlüsselt werden. Dann ist es schwieriger, dass man vom Arbeitgeber oder vom Geheimdienst überwacht wird. (Auch wenn die NSA viele Verschlüsselungen knacken kann, ist dies wohl nicht bei allen der Fall, Anm.)
Wollen Sie dafür ein Gesetz?
Moss: Vielleicht könnte man Mindeststandards einführen. Viele dieser Firmen sind an der Börse, da könnte man ab einer gewissen Größe Sorgfaltspflichten für Firmen bestimmen. Wer die Daten von zehn oder 100 Millionen Usern hat, hat auch eine ganz andere Verantwortung.
Ist das realistisch? In den USA ist die Regulierung des IT-Markts sehr verpönt.
Moss: Wir führen jetzt wenigstens eine Debatte, meine Eltern wollen mittlerweile mit mir über diese Dinge sprechen. Wenn einmal meine Eltern darüber reden, dann ist das wirklich ein Thema. Ich wäre nicht überrascht, wenn es auch bei der nächsten Präsidentenwahl eine Rolle spielt. Die Leute fragen mittlerweile Politiker, wie sie darüber denken. Das war früher definitiv nicht der Fall.
Jeff Moss ist auch unter seinem Hackernamen The Dark Tangent bekannt. Er gründete im Jahr 1992 die Hackerveranstaltung Def Con und 1997 die IT-Security-Messe Black Hat, beide Events finden jährlich in Las Vegas statt und sind der Treffpunkt schlechthin für Hacker und Experten aus der IT-Sicherheitsbranche. Seine Rechte an der Black-Hat-Konferenz hat Moss mittlerweile an einen Medienkonzern verkauft, angeblich um etwa 14 Millionen US-Dollar. Er arbeitet heute als Sicherheitschef der Internet-Organisation ICANN. Dieses Gespräch fand im Rahmen des Forum Alpbach statt, bei dem er über Internetregulierung sprach.
Dieses Interview erschien in Falter 37/13. Fotos: Flickr-User Jef Pearlman (oben), Petrit Rrahmani (unten, mit freundlicher Genehmigung des Forum Alpbach)
View Comments
Hallo,
werden Kommentare mit Links nicht angenommen? Ich hätte da noch einen Knaller.
Gruss G.
Man muss anscheinend ohne links auskommen. Aber ich habe auch noch etliche Beispiele, wo sich auch noch so mancher selbst zuerst einmal an die Nase fassen sollte, bevor er die schräge Argumentation von anderen kritisiert. So argumentieren z.B. etliche Politiker damit, dass die Klimakrise einfach nur durch freiwilligen Verzicht in den Griff zu bekommen wäre, weil das ja beim Ozonproblem angeblich auch ganz ohne Verbote funktioniert hat. In Wirklichkeit trat am 1. August 1991 trat in Deutschland eine Verordnung zum Verbot von bestimmten die Ozonschicht abbauenden Stoffen in Kraft. Und noch ein aktuelles Beispiel. Aktuell wird in Deutschland von einigen Politikern andauernd behauptet, dass OP-Masken hinsichtlich Eigenschutz vollkommen wirkungslos wären und dass der Normalbürger die ja sowieso unmöglich richtig anlegen könne. In Wirklichkeit sind die aber nur halt nicht in ausreichender Anzahl verfügbar. Das Problem ist von selbigen hausgemacht. Es ist ja verständlich, dass die knappen Masken dann dem Klinik-/Pflegepersonal vorbehalten sein müssen. Ich glaube aber nicht, dass die Verbreitung von solchen Falschmeldungen da weiterhilft. Es bestärkt lediglich die Leute, die oft mit den eigenen „Fake-News“ ja auch nur die Welt verbessern wollen. Es gibt zu dem Thema noch etliche weitere Beispiele.
Vielleicht noch eine herrliche Blüte, die man auch der Nachwelt nicht vorenthalten sollte.
Frank Ulrich Montgomery bei Maybrit Illner spezial am 17. März 2020 zur einfachen Mundschutz-Maske: „Schützt nicht. … und dass die Asiaten die tragen, das hat etwas mit deren Schönheitsideal zu tun ...“
Bei vielen asiatischen Frauen gilt helle Haut tatsächlich als Schönheitsideal. Aber einmal abgesehen davon, dass die Männer dort genau so häufig Masken tragen wie die Frauen, dürfte ein aufgehelltes Rechteck im Gesicht auch bei asiatischen Frauen nicht unbedingt als Schönheitsmerkmal gelten. Die Asiaten haben wohl eher aus der Erfahrung heraus gelernt. Nach dem Vogelgrippe-Ausbruch 2006, hat die Stadtverwaltung in Hongkong an etliche Haushalte Masken verteilt. Die Aktion hat anscheinend erfolgreich gegen die Verbreitung der Viren gewirkt. Die WHO hat offensichtlich auch daraus gelernt. Drei Jahre später hat dann auch die WHO das Tragen von Masken als Prophylaxe gegen eine H1N1-Infektion in belebten öffentlichen Räumen ganz offiziell empfohlen und auch beschrieben wie die Masken anzuwenden sind (Advice on the use of masks1 in the community setting in Influenza A (H1N1) outbreaks 1 May 2009 ).
Ich bin einfach nicht perfekt, beabsichtigter Link - WELT: https://www.welt.de/vermischtes/article207221877/Corona-Pandemie-Sterberate-bei-Beatmungspatienten-gibt-Raetsel-auf.html
Hätte mich ja gewundert, wenn in den üblichen Kreisen die Kriese nicht für die Vermarktung von MMS genutzt würde. Das Video mit dem Titel "Endlich wissenschaftlich erklärt - Warum ClO2 gegen Covid 19 hilft" ist alleine schon deshalb sehenswert, weil der Vortragende mit jeder Menge wissenschaftlich anmutender Fachausdrücke herumwirft, die oft noch nicht einmal selbst richtig aussprechen kann. Ich kann mir alleine von daher schon nicht vorstellen, dass der weiß, was er da redet. Ich kenne den Kanal ganz gut, weil er seit geraumer Zeit altes Videomaterial mit neuerem Material vermischt und dann unter die Leute bringt. Gespickt mit Halbwahrheiten zum Implizieren von Falschinformationen. Längst widerlegtes wird einfach neu verpackt unter die Leute gebracht. Verweise auf längst gelaufene entsprechende Untersuchungen dazu werden zensiert. Dazu gibt es gut dokumentierte Fälle. Es gibt auch noch einen gut dokumentierten Fall, wo die Kanalbetreiber zwei fachlich zu kompetente Kommentatoren, eine anstehende Sperrung angekündigt hat bevor die dann vollzogen wurde. Sollte wohl der Abschreckung dienen.
Über den Blog der Kanalbetreiber wird übrigens auch die am Adalbert Stifter Gymnasium verfasste vorwissenschaftliche Arbeit, “Freie Energie Eine unbekannte Quelle” vermarktet. Wer das abschreckend Beispiel lesen will, der findet die Arbeit aber auch als pdf im Netz.
Unter dem Video ist jetzt der folgende Eintrag zu finden:
COVID-19
Aktuelle, wissenschaftliche Informationen finden Sie bei der Bundeszentrale für gesundheitliche Aufklärung.
Das dürfte jetzt so manchem Zuschauer implizieren, dass das Video von der Bundeszentrale für gesundheitliche Aufklärung stammt und unter dem zugehörigen Link ergänzende Infos zu finden sind. Über die Unwirksamkeit von MMS ist dort nichts zu finden. Ich verstehe nicht, warum man solche Videos nicht einfach sperrt. Beim Sperren von Posts von Aufklärern tut sich YT deutlich leichter, offensichtlich weil die die Klickrate bremsen. Auch darüber gibt es dokumentierte Fälle.
Warum nicht gleich so:
Dieses Video wurde entfernt, weil es gegen die Community-Richtlinien von YouTube verstößt.
Inzwischen ist ganz weg. Jedenfalls an der Stelle.
Dezeit wird mal wieder haarsträubendes an Verschwörungstheorien und Falschmeldungen verbreitet.
Wolfgang Kubicki bezweifelt anscheinend, dass das Robert-Koch-Institut bei der Reproduktionsrate mit offenen Karten spielt. Wenn er das ernst meinen würde, dann hätte er längst selbst nachgerechnet oder wenigstens nachrechnen lassen. Die erforderlichen Daten sind alle über gleich mehrere Quellen frei verfügbar.
Christian Lindner versucht offensichtlich mit Halbwahrheiten Falschmeldungen zu implizieren.
30. April 2020 Christian Lindner bei Maybrit Illner 35:45. Wenn man den Medien glauben kann hat H. Drosten gestern gesagt:“Kinder sind so infektiös wie Erwachsene und heute sagt er, nur ein drittel so gefährlich wie unlängst berichtet worden ist. Also zwei gegenteilige Aussagen innerhalb von 24 Stunden“.
Er bezieht sich da offensichtlich auf den am Nachmittag des gleichen Tages veröffentlichten Prodcast vom NDR.
30. April 2020 Podcast 37 H.Drosten zu einer ganz aktuellen Untersuchung von seinem Team: “Wir können in Kindergruppen nicht nachweisen, dass die unterschiedliche Viruskonzentrationen in den Atemwegen haben, gegenüber Erwachsenen. .. Es gibt keine nachweisbaren Unterschiede in der Viruslast .. Es könnte gut sein, dass die genau so infektiös sind wie Erwachsene.“. Also genau das Gegenteil von dem, was H. Lindner zu verbreiten versucht. Das angesprochene Drittel bezieht sich auf eine Empfänglichkeit die man über Kontaktbereinigungen aus anderen Untersuchungen herleiten kann. Stark vereinfacht ausgedrückt ist das Risiko einer eingehenden Infektion dort bei Kindern ein Drittel und bei Älteren 1.5 mal so hoch wie bei Erwachsenen. Das sagt aber nichts darüber aus, wie ansteckend die verschiedenen Gruppen sind.
Erschreckend ist, dass jetzt offensichtlich einige Politiker mit ziemlich fragwürdigen Methoden versuchen die Naturwissenschaftler zu spalten. Die waren sich aber praktisch immer in allen wesentlichen Punkten einig.
Achtung, zwischen den Punkten Anzahl registrierter User und Umsatz ist ein und, kein oder.
Zuerst: Danke für den Hinweis! Ich habe das ursprünglich auch so gelesen, aber mir wurde erklärt, dass diese Formulierung im Gesetz sinngemäß wie ein "oder" zu lesen ist, weil nicht aufgezählt wird, wer inkludiert ist, sondern weil aufgezählt wird, wer exkludiert ist. Und diese Formulierung wirkt sich nach dieser Auskunft so aus, dass man erfasst ist, wenn man nur einen der Punkte erfüllt. Das Ganze ist jedenfalls sehr kompliziert formuliert, weil nicht aufgelistet wird, wer inkludiert ist, sondern in welcher Konstruktion man exkludiert ist.
Im Großen und Ganzen ist bekannt, was kommen soll: Das „Upskirting“-Verbot etwa, also das Verbot, mit oder ohne Kleidung bedeckte Geschlechtsteile heimlich zu fotografieren oder diese Aufnahmen zu verbreiten, was eben jener Fußballtrainer tat. Oder dass Kommunikationsplattformen künftig einen Ansprechpartner im Land haben und Transparenzberichte abliefern müssen.