«Alle bespitzeln alle»

E-Mail, Skype und sogar der Virenscanner: Alles ist unsicher. Das sagt Nicolas Mayencourt, Gründer der Berner Firma Dreamlab. Er und seine Mitarbeiter testen als Auftragshacker, ob Netzwerke sicher sind.

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Erledigen Sie Ihre privaten Zahlungen per E-Banking?
Nicolas Mayencourt: Ja, es geht schliesslich fast nicht mehr anders. Ich nutze E-Banking aus zwei Gründen sogar mit einem guten Gefühl: Einerseits weiss ich, dass die Bank einen allfälligen Schaden übernehmen würde, weil sie keine negativen Schlagzeilen will. Andererseits habe ich meine IT-Sicherheit gut im Griff.

Hat ein normaler Nutzer den Computer gut genug im Griff?
Nein. Deshalb kümmern sich die Banken selbst stark um die Sicherheit beim E-Banking. Nachdem das «Russian Business Network» vor einigen Jahren Millionenschäden verursacht hat, haben die Banken ein gutes Frühwarnsystem aufgebaut.

Bezahlen Sie in Onlineshops mit Ihrer Kreditkarte?
Die Kreditkarte benutze ich nur, wenn es nicht anders geht. Die Geschichte zeigt, dass kein Unternehmen davor gefeit ist, gehackt zu werden. Mit dabei ergatterten Kreditkartendaten wird reger Handel betrieben – ein blühendes Geschäft übrigens. Bei der Beurteilung der Vertrauenswürdigkeit eines Anbieters ist zudem gesunder Menschenverstand nötig. Im Zweifelsfall sollte man auf einen Kauf verzichten – beziehungsweise eine Prepaid-Kreditkarte oder eine Karte mit ganz tiefer Limite verwenden.

Kann ich beim E-Mailen und Skypen abgehört werden?
Ja, sicher. In Ländern wie den USA, England oder China sind Politik und Wirtschaft sehr eng verzahnt. Wer sich das ansieht, kann nicht mit gutem Gewissen Gratisdienste wie Gmail oder Skype benutzen. Denn in Wahrheit gibt es nichts gratis. In den Nutzungsbedingungen von Skype steht schwarz auf weiss: Wird Skype installiert, darf die Firma auf die Ressourcen des Computers zugreifen. Nutzen Sie Skype also nur, wenn Sie kein Problem damit haben, nackt durch die Stadt zu gehen. Das Gleiche gilt fürs unverschlüsselte E-Mailen.

Sie malen schwarz.
Ich galt 20 Jahre lang als paranoid. Seit Edward Snowden die Abhörpraktiken des US-Geheimdienstes enthüllt hat, bin ich als Realist rehabilitiert. Danke, Herr Snowden, dass Sie es bekannt gemacht haben: Alle bespitzeln alle.

Viele Nutzer argumentieren, sie hätten nichts zu verbergen.
Es gibt ein Recht auf Privatsphäre. Viele Menschen geben dieses freiwillig auf: Sie stecken sozialen Netzwerken wie Facebook private Daten zu – und schieben gleich noch jene ihrer Bekannten hinterher. Was man dazu wissen muss: Nach Schweizer Auffassung gehören die hochgeladenen Daten dem Nutzer. Nach US-Recht hingegen besitzt sie der Plattformbetreiber.

Bei sozialen Netzwerken nehme ich dies in Kauf. Beim Versand von E-Mails gehe ich aber nicht davon aus, dass jemand mitliest.
Unverschlüsselte E-Mails können mit Postkarten verglichen werden: Wer sie transportiert, kann sie lesen. Zwar ist es in der Schweiz illegal, wenn ein Anbieter stets mitliest. Ausgeschlossen werden kann dies aber nicht. Und in anderen Ländern sind die Regeln weitaus lascher.

Bei Gmail wird jede E-Mail für die Suche und zur Einblendung der passenden Werbung indexiert – also automatisch gelesen.
Google deklariert dies in den Nutzungsbedingungen auch so. Dienste wie Gmail dürfen kostenlos benutzt werden. Bezahlt wird dort mit der Privatsphäre.

Was machen Sie, wenn Sie sensible Informationen per E-Mail verschicken möchten?
Ich verschlüssle die E-Mail einfach. Das Verschlüsselungsprogramm PGP – «Pretty good privacy» – gibt es schon seit 15 Jahren. Es ist kostenlos und sehr sicher.

Das Verschlüsseln von E-Mails kann aber recht kompliziert sein.
Das Prinzip ist eigentlich einfach: Bevor kommuniziert wird, muss einmalig der öffentliche Schlüssel ausgetauscht werden. Für mündige Konsumenten ist es eine Pflicht, dies zu verstehen. Der Rest ist simpel: Bei einigen Mail-Programmen ist bereits ein Verschlüsselungsknopf eingebaut.

Wie viel unserer Privatsphäre geht verloren, weil wir massenhaft «Postkarten» verschicken?
In den letzten 10 Jahren hat die westliche Welt fast jede Errungenschaft aufgegeben, die zuvor über Jahrzehnte erkämpft worden war. Die meisten Leute sind blinde Nutzer von Gratisdiensten. Diese häufen Unmengen von Daten an. Von der Privatsphäre bleibt nicht mehr viel übrig.

Ist Transparenz nicht auch eine Chance für eine Gesellschaft?
In Utopia, wenn alle Menschen gut wären und gemeinsam das Beste für alle erreichen möchten, wäre Transparenz eine grosse Chance. Ich glaube aber nicht, dass alle Menschen gut sind, geschweige denn die Staaten.

Wie kompliziert ist es, die eigene Partnerin zu überwachen?
Sie haben mit Ihrem Mobiltelefon Ihre Wanze mit dabei. Es gibt diverse 5-Franken-Lösungen, die sich einfach konfigurieren lassen. Das schafft jedermann.

Wie begegnen Private den Gefahren, die im Internet lauern?
Sie sollten komplexe Passwörter verwenden. Apropos: Vor 10 Jahren war das am häufigsten eingesetzte Passwort 1234. Heute ist es 123456. Das reicht schlicht nicht! Die Nutzer sollten zudem ihre E-Mails verschlüsseln und ein alternatives Betriebssystem wie Linux benutzen. Mit Windows oder OS X haben sie schon verloren. Zumindest geben sie damit einer US-Firma Zugriff auf den eigenen Computer. Ein gutes Antivirenprogramm kann auch Sinn machen. Allerdings schützen diese nur vor weit verbreiteten, bekannten Viren. Viel wichtiger ist deshalb die Selbstkontrolle. Ich kenne Leute, die Windows und ein Antivirusprogramm verwenden – und trotzdem keine Probleme haben. Denn sie öffnen nicht jedes beliebige Attachment und meiden dubiose Websites.

Müsste IT-Sicherheit in der Schule gelehrt werden?
Eine Sicherheitsausbildung gehört in den Lehrplan; darauf weisen wir schon lange hin. Seit 10 Jahren engagieren wir uns in der Initiative Hackerhighschool.org, die Jugendliche für Gefahren im Netz sensibilisieren soll. Auch vielen Erwachsenen würde es guttun, dort vorbeizuschauen.

Wir verschlüsseln in Zukunft also sensible E-Mails. Darüber hinaus schützen wir unseren PC mit Sicherheitssoftware...
...womit Sie sich wieder in US-amerikanischen, russischen oder deutschen Gefilden bewegen.

Schon wieder ein Problem?
Ja, natürlich! Wir Schweizer sind oft sehr naiv. Die meisten Länder verfolgen längst eine geostrategische Agenda, wobei die Wirtschaft und der Staat eng zusammenarbeiten. Es mag gute Sicherheitssoftware ausländischer Hersteller erhältlich sein. Trotzdem ist es nicht gescheit, diese für den Schutz von Geheimnissen in der Schweiz zu nutzen.

Sie suggerieren, dass Virenscanner und andere Sicherheitsprogramme Hintertürchen haben.
Jede Software hat zumindest Schwachstellen, die sie angreifbar macht. Die Frage ist, wie die Hersteller damit umgehen. Ein Beispiel: Aus den Snowden-Dokumenten geht hervor, dass US-Hersteller Sicherheitslücken in ihren Programmen lange nicht stopfen. Sie informieren aber den Staat darüber. Bis die Lücke öffentlich bekannt und dann in der Regel rasch ausgebessert wird, ist ein staatlicher Zugriff möglich.

Wenn man dies hört, fragt man sich: Sollten die Behörden etwa auf Microsofts Windows und Office setzen, wie sie es heute tun?
Dass die Bundesverwaltung so stark auf die Produkte der US-Firma Microsoft setzt, ist fahrlässig, wenn nicht grobfahrlässig. Wie gesagt: Wir sind extrem naiv.

Sie sprechen, als befänden wir uns mitten in einem Cyberwar.
Seit über 10 Jahren tobt ein schlimmer Wirtschaftskrieg. Allerdings wollte dies bislang kaum jemand wahrhaben – zumindest bis Edward Snowden seine Dokumente veröffentlicht hat.

Wie gut ist die Wissensnation Schweiz gewappnet?
Die Schweiz ist in diesem Wirtschaftskrieg bedenklich schlecht aufgestellt. Eigentlich müssten wir unser Wissen schützen. Und nicht nur unseres: Die Schweiz beherbergt diverse UN-Organisationen. Entsprechend stünde sie in der Pflicht, für eine abhörsichere Infrastruktur zu sorgen. Zudem haben hierzulande Unternehmen wie Novartis und Roche ihren Sitz. Glauben Sie wirklich, dass niemand Interesse an deren Forschungsresultaten hat? Und weder für den Rohstoffgiganten Glencore Xstrata noch für die Bank für Internationalen Zahlungsausgleich soll sich jemand interessieren? Das Netobservatory, das wir gemeinsam mit der Uni Freiburg betreiben, untersucht diese Angriffsflächen. Die Schweiz hätte viel zu tun

Sollten wir auf die Gripen-Jets verzichten und stattdessen eine Cyberarmee aufbauen?
Ich bin kein Militär- und Waffenexperte. Deshalb kann ich nicht beurteilen, ob wir diese Jets benötigen. Sicher ist aber, dass wir im Informatikbereich mit wenig Geld sehr viel erreichen könnten. Noch fehlt aber das Bewusstsein dafür. Da lagert Sunrise ihr Netz zu Huawei aus, und der Bund sagt, das sei in Ordnung. Auch die Swisscom lässt Infrastruktur von diesem chinesischen Hersteller betreiben. Weshalb das bedenklich ist? Die Schweizer Regierung und die Armee telefonieren über diese zwei Mobilfunknetze Da kann ich nur den Kopf schütteln.

Plädieren Sie dafür, dass die kritische Infrastruktur von einheimischen Firmen betrieben wird?
Ja, unbedingt! Warum sind wir mit Dreamlab in die Telekommunikationsüberwachung eingestiegen? Nicht, weil wir das unbedingt wollten, sondern weil die entsprechenden Aufträge sonst an Amerikaner, Israelis oder Chinesen vergeben worden wären.

Sie sagen, dass sich die Schweiz schlecht schützt. Was könnte denn passieren?
Ein Grossteil der kritischen Infrastruktur ist nicht adäquat gesichert. Angreifer könnten Störfälle in Atomkraftwerken provozieren, Schleusen vor Stauseen öffnen, das Telefonnetz lahmlegen Versierten Angreifern gelingen rasch solche Coups. Die Verantwortlichen wissen dies zwar. Sie nehmen die Bedrohung aber schlicht nicht ernst genug.

Mit Ihrem Wissen haben Sie Macht – und Verantwortung.
Jeder, der irgendwo einen Knopf hat, hat eine gewisse Macht. Das gilt für den Gefängniswärter wie für den Zugführer. In unserer arbeitsteiligen Welt hat fast jeder solch einen Knopf. Doch auch wir IT-Sicherheitsleute sind letztlich Handwerker. Wir sind glücklich, wenn der Tisch am Schluss gemäss der Spezifikation steht.

In einem Thriller versuchten Kriminelle Sie dazu zu bringen, Informationen auszuspähen, Banken lahmzulegen oder das Land zu fluten. Hatten Sie schon solche oder ähnliche Anfragen?
Wir machen nichts Illegales und werden dies nie tun. Weil dies genügend bekannt ist, halten sich die Belästigungen in Grenzen.

Im Thriller würde jemand Sie auf dem Heimweg entführen. Lebt ein Profihacker gefährlich?
Ich hoffe nicht. Wir sichern uns aber ab. So gilt bei heiklen Operationen stets ein Mehraugenprinzip. Eine Person alleine kommt nicht an kritische Infrastruktur heran. Unsere Daten sind zudem verschlüsselt, und ein externer Zugriff ist nur bedingt möglich.

Lesen Sie hier welche heiklen Geschäfte Dreamlabs in Teufels Küche gebracht haben und was Nicolas Mayencourt zu den Vorwürfen sagt.

Lesen Sie hier das ausführliches Wikileaks-Interview mit Dreamlab-Chef Nicolas Mayencourt. (Berner Zeitung)

Erstellt: 29.01.2014, 07:14 Uhr

Artikel zum Thema

Wikileaks bringt Berner IT-Firma in Teufels Küche

Geheime Dokumente belegen Verbindungen von Dreamlab nach Turkmenistan und Oman. «Der Bund weiss über jedes internationale Geschäft von uns Bescheid», sagt Dreamlab-Chef Nicolas Mayencourt. Mehr...

«Wir haben nie mit Waffen gehandelt»

Dreamlab liefere Abhörtechnik an Unrechtsstaaten. Mit diesem Vorwurf sah sich das Berner Unternehmen nach der Veröffentlichung der Spy Files auf Wikileaks konfrontiert. Der Firmengründer Nicolas Mayencourt wehrt sich. Mehr...

NSA spioniert «Angry-Birds»-Nutzer aus

Auf der Jagd nach Informationen fischen Geheimdienste offenbar auch Smartphone-Apps ab. Das geht aus weiteren Geheimdokumenten von Edward Snowden hervor. Mehr...

Service

Auf die Lesezeichenleiste

Hier lesen Sie unsere Blogs.

Kommentare

Die Welt in Bildern

Und die Haare fliegen hoch: Besucher des Münchner Oktoberfests vergnügen sich auf einem der Fahrgeschäfte. (22. September 2018)
(Bild: Michael Dalder ) Mehr...