Mit leichter Überraschung reibt sich der Laie die Augen, wenn er die aktuellsten Nachrichten aus den USA vernimmt. Da erfährt man, dass die nationale Sicherheit heute offenbar zum grössten Teil von Subunternehmern geprägt wird, die ihrerseits mehr oder minder qualifiziertes Personal einsetzen, um die Überwachungsmaßnahmen im Auftrag des amerikanischen Staates auszuführen. Wie konnte es soweit kommen?
Das Outsourcing des Sicherheitsgeschäfts hat also selbst vor nationalen Institutionen nicht halt gemacht. Dass Outsourcing in den wenigsten Fällen wirklich funktioniert, zeigt sich an diesem Beispiel in einer geradezu orwellschen Absurdität. Oder wäre es denkbar gewesen, dass noch vor 20 Jahren ein nicht gerade an der Spitze stehender Mitarbeiter des Geheimdienstes Zugriff auf elementare und wichtigste Informationen des Überwachungssystems gehabt hätte? Genau wie in der Wikileaks Affäre hatte offenbar eine untere Charge Zugriff auf Daten, der ihm nie zugestanden hätte dürfen. Aber was sind die Gründe für diese Entwicklung?
Werfen wir einen Blick zurück auf die Geschehnisse der letzten 20 Jahre und wie die Weltmacht USA versucht hat, der Entwicklungen im Umfeld des Internets Herr zu werden. Bis Anfang der Neunzigerjahre war es ein einfaches, den Kommunikationsverkehr abzuhören. Mit dem Zugriff auf das zentrale Telefonsystem (Telefonzentrale) war es jederzeit möglich, jegliche Verbindungen abzuhören, sollte es denn notwendig sein. Wir wissen nicht, in wie vielen Fällen tatsächlich ein richterlicher Beschluss solchen Abhörmassnahmen zugrunde lag, doch ist davon auszugehen, dass selbst der amerikanische Staat damals die rechtsstaatlichen Prinzipien noch konsequent umsetzte. Verschlüsselungsalgorithmen waren in der Regel geheim und hardwaregebunden, d.h. man verfolgte konsequent den Ansatz „Security by Obscurity“. Durch das Geheimhalten der Verschlüsselungsalgorithmen versprach man sich einen Vorteil gegenüber möglichen Angreifern. Diese Strategie hatte in der Zeit des kalten Krieges durchaus funktioniert, wobei man dem Gegner immer einen Schritt voraus war, bzw. einen Schritt hinterherhinkte.
Dieses Katz- und Mausspiel endete abrupt mit dem Aufkommen des Internets. Sehr früh war erkennbar, dass die neuen Kommunikationsformen, wie E-Mail und bald auch Chat und Co. eine neue Herausforderung für den Staat darstellten. Es wurde auch bald erkannt, dass mit den neuen Internetprotokollen das Abhören in der klassischen Form ein Ende haben würde. Zudem wurde mit dem Aufkommen stärkerer Rechner etwas möglich, was bis dahin niemand für möglich gehalten hätte: Verschlüsselungsalgorithmen konnten nun plötzlich in Software abgebildet werden und damit gab man ein starkes Werkzeug für die Sicherheit in die Hand eines jeden Nutzers. Folglich begann der amerikanische Staat damit, Softwareprodukte, welche aus amerikanischer Hand stammten, mit so genannten Exportversionen auszurüsten. Exportversion bedeutete nichts anderes, als dass die eingebauten Schlüssel, bzw. Algorithmen weniger lang oder schwächer waren. Doch dieser Strategie war kein Erfolg beschieden.
Mit dem Aufkommen der Open Source Bewegung, der freien Verteilung von Daten und Programmen über das Internet, konnte bald jeder oder jede auf wichtige Sicherheitswerkzeuge zugreifen. Mit dem ersten, wirklich populären Verschlüsselungsprogramm PGP (Pretty Good Privacy) von Phil Zimmerman wurde erstmals ein Werkzeug für die breite Masse verfügbar, welches bis heute als Standard für die private Kommunikation gelten kann. Um sichere Kommunikation für das Internet Banking zu ermöglichen, haben wir (r3 Security) damals als eines der ersten Unternehmen weltweit einen Sicherheitsproxy entwickelt, mit dem man eine hohe Verschlüsselungsstärke erreichte und somit keine Hintertüren für das Eindringen fremder Augen und Ohren offen liess.
Die USA versuchten in der Folge weiter, Sicherheitsprodukte unter Kontrolle zu bekommen. Doch irgendwann in den Jahren 1997-99 schien mit einem Mal das Interesse an solchen Massnahmen einzuschlafen. Dem Insider wurde bald klar, welche Strategie die amerikanischen Behörden einschlugen. Kleine bis grosse Sicherheitsunternehmen, welche sich in diesen Jahren einen Namen gemacht hatten, wurden plötzlich durch grössere Konkurrenten mit amerikanischem Background aufgekauft. In den seltensten Fällen wurde bekannt, mit welchem Geld diese Übernahme stattfanden. Betrachtet man jedoch heute die Sicherheitsszene, dann ist auffällig, dass die marktbeherrschenden Unternehmen der Sicherheitsbranche nach wie vor im amerikanischen Raum angesiedelt sind. Auch in diese Zeit fielen verschiedene Aktionen, in denen bisher unabhängige Sicherheitsunternehmen plötzlich ihre Standorte änderten und ein Headquarter in den USA eröffneten. Durch die Übernahme der erwähnten Kleinunternehmen, waren die grossen Eigentümer nun in der Lage, den Programmcode (und die Backdoors) wieder geheim zuhalten.
Die amerikanischen Geheimdienste hatten also gelernt. Es wurde klar, dass das Internet durch seine weltweite Verbreitung jeglichen klassischen Kontrollmechanismen den Boden entzogen. Es mussten also neue Strategien entwickelt werden, um die Zugriffe auf die Daten sicherzustellen und die Sicherheitsindustrie in den Griff zu bekommen. Es darf daran erinnert werden, dass zu diesem Zeitpunkt noch nicht wirklich von Sicherheitshysterie gesprochen werden kann. Eine erste Sensibilisierung für Sicherheitsfragen fand in den Jahren 99/2000 statt, als die sich die ersten Viren massiv verbreiteten. Damit wurde die Diskussion für mehr als 10 Jahre in eine völlig andere Richtung gedrängt. Es ging in erster Linie um die Bedrohung durch Viren, die aber in 99 % der Fälle für den echten Sicherheitsexperten keine ernsthafte Bedrohung darstellten. Interessant wurde die Diskussion erst wieder mit dem Aufkommen des so genannten Staatstrojaners, also eines mehr oder weniger bekannten Spionageprogrammes, welches im Auftrag der Geheimdienste in der Lage gewesen wäre oder ist, befallene Rechner auszuspionieren. Doch auch diese Diskussion wurde in der Öffentlichkeit so breit geführt, dass einem schnell klar wurde, dass dies nicht die wirklich ernsthafte Bedrohung für die Privatsphäre des Bürgers und für die Unternehmen sein kann.
Schon immer bekannt war die Tatsache, dass die Geheimdienste aktiv dabei waren, die Kommunikationsströme zu überwachen. Bereits in den neunziger Jahren war das System Echelon bekannt, mit welchem der Kommunikationsverkehr auf sehr vielen Kanälen überwacht werden konnte. Doch mit dem 11. September 2001 und den darauf folgenden Gesetzen (Patriot Act), entwickelte sich eine völlig neue Dimension des Überwachungsstaates. Mit der Absegnung der Behörden wurden die amerikanischen Geheimdienste ermächtigt, jede Kommunikation mit allen erdenklichen Mitteln zu überwachen. Dies erklärtermassen unter Aushebelung der am Anfang erwähnten rechtsstaatlichen Prinzipien, also der normalerweise benötigten Erfordernis eines richterlichen Beschlusses. Dies ermöglichte nun eine massive Verbreiterung und Investitionstätigkeit in Technologien, die der Überwachung dienten. Gleichzeitig wurden die Bestrebungen weitergeführt, die populärsten Produkte der Kommunikation mit Mitteln auszustatten, die ein einfaches Abhören erlaubten. Sogenannte Backdoors, und darüber wurde schon seit vielen Jahren gemunkelt, hatten offenbar in verschiedenen kommerziellen Programmen Einzug gehalten. Dies war der Hauptgrund, wieso die Sicherheits-Community nach wie vor auf Open Source Produkte setzte.
Durch die Massenkommerzialisierung der neuen Kommunikationsmittel („Cloud“) wurde zudem der Faktor Geld (=IT-Kosten) immer wichtiger. Damit befinden wir uns bereits in der heutigen Zeit, d.h. in der Phase des Outsourcing. Ob in die Cloud (= grosser amerikanischer Internetkonzern) oder nicht, spielt zuerst eine geringe Rolle. Sobald ich meine Daten an einen Dritten übergebe, verlagere ich die Hoheit darüber an eine Instanz, die ich nur beschränkt kontrollieren kann. Befindet sich dieser jedoch in einem Rechtsraum, der es verunmöglicht, die erforderliche Eigenkontrolle wahrzunehmen und damit die in Europa geltenden Datenschutzvorschriften unterläuft, kann der Anbieter mit den Daten tun und lassen was er will. Oder anders formuliert: Der Preis für Cloud/Outsourcing Leistungen definiert sich nicht mehr nur über die Nutzung von Ressourcen, sondern durch die Freigabe von Daten. Dies ist bei privaten Diensten schon lange der Fall und für die meisten Nutzer mittlerweile wohl auch klar. Bei Diensten für Unternehmen verhält es sich genauso: Bezahlt wird mit dem Zugriff auf die Unternehmensdaten.
Durch die Massenkommerzialisierung der neuen Kommunikationsmittel („Cloud“) wurde zudem der Faktor Geld (=IT-Kosten) immer wichtiger. Damit befinden wir uns bereits in der heutigen Zeit, d.h. in der Phase des Outsourcing. Ob in die Cloud (= grosser amerikanischer Internetkonzern) oder nicht spielt zuerst eine geringe Rolle. Sobald ich meine Daten an einen Dritten übergebe, verlagere ich die Hoheit darüber an eine Instanz, die ich nur beschränkt kontrollieren kann. Befindet sich dieser jedoch in einem Rechtsraum, der es verunmöglicht, die erforderliche Eigenkontrolle wahrzunehmen und damit die in Europa geltenden Datenschutzvorschriften unterläuft, kann der Anbieter mit den Daten tun und lassen was er will. Oder anders formuliert: Der Preis für Cloud/Outsourcing Leistungen definiert sich nicht mehr nur über die Nutzung von Ressourcen, sondern durch die Freigabe von Daten. Dies ist bei privaten Diensten schon lange der Fall und für die meisten Nutzer mittlerweile wohl auch klar. Bei Diensten für Unternehmen verhält es sich genauso: Bezahlt wird mit dem Zugriff auf die Unternehmensdaten.