2019, Blog

Die Digitale Identität

Ein neues IT-Sicherheitsgesetz. Darauf hat Deutschland gewartet. Die Probleme im Zusammenleben sind alle gelöst, so können wir uns um die täglichen Megaprobleme kümmern. Und das größte Problem ist Euer Anspruch manchmal unbeobachtet und unerkannt zu sein. Das Seehofer-Ministerium hat deshalb einen Vorschlag gemacht. Die Jungs und Mädels von netzpolitik.org haben den Entwurf bereits veröffentlicht.

Der Referentenentwurf der Bundesregierung mit dem Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (Zweites IT-Sicherheitsgesetz – IT-SiG 2.0) zählt unter Artikel 5 einige Wunsch-Änderungen auf. Diese Änderungen muss man nun in den vorhandenen Gesetzen nachschauen und vergleichen. In der Regel sieht man als Laie nicht durch, weil bspw. eine Änderung lautet, Zitat: “Nach Buchstabe a wird eine weitere Aufzählung eingefügt: Zugänglichmachen von Leistungen zur Begehung von Straftaten nach § 126a“. Erst Wenn das Gesamtbild einer Gesetzesvorlage begutachtet wird, kann man durchschauen was gewünscht ist. Oder man schaut in die Begründung. Der Artikel 5 des Entwurfes enthält einige Änderungsvorschläge, die uns alle betreffen werden, da es um Telekommunikationsüberwachung und Verkehrsdatenerhebung geht. Als Totschlagargument, dem niemand widersprechen würde, wird wieder auf Bekämpfung von Kinderpornografie verwiesen. Damit machen es sich Überwachungsbefürworter seit vielen Jahren sehr leicht Unterstützung einzuholen. Selbst, wenn Bürgerrechte oder bürgerliche Freiheiten auf der Strecke bleiben.

Die Vorschläge zur Gesetzesänderung zitiere ich nicht, da das ein normal sterblicher Deutscher eh nicht in Kürze analysieren kann. Einen Teil der Begründung zu Artikelv5 findet Ihr hier auf netzpolitik.org. Es geht um Telekommunikationsüberwachung, Verkehrsdatenerhebung, Darknet, Darknethandelsplattformen, Kinderpornografie, Straftaten, Illegales, etc. Ziemlich viel Stoff. Aber es wird ersichtlich, dass es um die Übernahme von Konten und vielleicht Postfächern geht, die von verdächtigen Nutzern eingesetzt werden und nun von den Sicherheitsbehörden weitergeführt werden. Das Ziel ist kriminelle Aktivitäten aufzudecken und zu verhindern. Der Entwurf enthält noch ein bisschen mehr, aber ich möchte mich mal auf die Kommunikation konzentrieren.

Wird das Gesetz helfen?

Nicht bei den Profis.

Was kann man als Nutzer tun, um die Auswirkungen derartiger Gesetze zu umgehen? Geht das überhaupt? Wen betrifft es?

Nun, betroffen sind alle Leute, die einer Straftat nach dem Gesetz verdächtig sind. Das kann durchaus sehr schnell gehen. Sollten die Personen nun noch einige pseudonyme oder anonyme Identitäten im Darknet oder Clearnet besitzen und Dienste, wie bspw. Free-Mail-Angebote oder Nutzerkonten auf verdächtigen Plattformen dafür verwenden, können sie, um nicht im Gefängnis zu landen, gezwungen werden die Zugangsdaten bereitzustellen. Wenn sie es nicht tun, Strafe. Wenn sie es tun, vielleicht noch mehr Probleme, oder Wohlwollen. Wer in diese Zwickmühle kommt, wird sicher auch die Kontrolle über sein normales Postfach abgeben müssen. Ich glaube nicht, dass es bei Darknet-Geschichten bleibt.

Ein Problem haben die Ermittler natürlich. Ein anonymes oder pseudonymes Konto muss einer realen Person zugeordnet werden können. Diese Hürde ist schon hoch. Sie kann eigentlich nur genommen werden, wenn entweder die Plattform übernommen wurde und man sowieso Einblick in alles hat, oder wenn die Person bei einer Hausdurchsuchung Technik und Daten verliert, die besser gelöscht worden wären. Am Einfachsten für Ermittler ist es, wenn der Verdächtige seine Geschäfte eh über sein normales Konto abwickelt.

Im DarkNet ist nicht nur Vertrauen eine Währung. Es gibt auch Kommunikationsstrategien, die angepasst werden können und auch eingefordert werden. Wenn ich im Darknet recherchiere und mir Gesprächspartner suche, muss ich als Clearnet-Blogger transparent vorgehen. Da betrifft nicht nur die Herausgabe meiner Blogadresse, damit sich der potentielle Partner ein Bild machen kann, sondern auch gleich offenlegen, wie ich kommuniziere. Und die Art der Kommunikation hat sich erst durch die Arbeit im Darknet und durch die Kommunikation mit Darknetnutzern entwickelt. Meine ersten Versuche waren kläglich zum Scheitern verurteilt. Ich bin da schon froh gewesen, dass kein Kommunikationspartner, der wusste wer ich bin, aber dann doch nicht reden wollte, mir geschadet hat. Dafür auf alle Fälle Daumen hoch. Wie würde man den Versuch des Innenministeriums jetzt unterlaufen? Bzw. wie wird er definitiv von Profis unterlaufen, auch bereits jetzt schon?

Eigentlich mit relativ einfachen Mitteln.

Möglichkeiten:

  • Keine Adressbücher in entsprechenden Konten pflegen.

Wer seine Partner wichtig nimmt, pflegt keine Adressbücher in und auf Konten im Darknet. Ebenso nicht auf der im Büro oder daheim stehenden Technik. Diese Daten werden nach dem Prinzip Informationssicherheit durch Obskurität abgespeichert, aber auch auswendig gelernt. Wenn direkt abgespeichert, dann natürlich verschlüsselt und getarnt. Zugriff wird definitiv nicht jeder haben können und selbst der Inhaber nur nach einem für sich selbst festgelegten Verfahren, dass ihm erlaubt den Besitz abzustreiten bzw. niemanden auf die Idee kommen lässt danach auf diesem Wege zu suchen. Die amerikanische Politik hatte – so glaube ich mich zu erinnern – mal die Strategie erarbeitet: Absolut glaubwürdiges Dementi. Egal was man angestellt hat.

Wer derartige Daten ungeschützt auf Plattformen, die von anderen gehostet werden, ablegt, der hat es verdient erwischt zu werden. Und wenn man durch den Fehler eines anderen erwischt wird, dann hätte man nicht so viel Vertrauen haben sollen. Ist eben ein gefährliches Geschäft.

  • Nach abgeschlossenem Handel oder Vorgang alle Kommunikationsdaten löschen.

Auch das ist wichtig. Sind Vorgänge abgeschlossen, löschen Profis ihre Kommunikation. Punkt.

Ich mache nun keine kriminellen Sachen im Darknet, aber auch ich teile meinen Partnern mit, dass ich für die Kommunikation genau diese eine Adresse angelegt habe – bei einem Anbieter, der verschlüsselte E-Mail-Konten und verschlüsselte Kommunikation anbietet – und im Abschluss unserer Gespräche die E-Mails lösche und das Konto lösche. Das habe ich auch so kennengelernt. Mir hat sogar mal ein Gesprächspartner das Postfach und den Anbieter vorgegeben und mir Login und das Passwort mitgeteilt. Vertrauen ist nicht nur eine Währung. Man muss sich auch öffnen und Schritte aufeinander zugehen.

Das Löschen ist dahingehend auch notwendig, dass bei Übernahme des Kontos keine enthaltenen Daten ausgewertet werden können. Daten, die vielleicht sogar Anhaltspunkte über Kommunikationsstrategien enthalten.

  • Gemeinsame Schlüsselwörter nutzen, um die Identität während eines Vorganges zu bestätigen.

Diese Idee wurde bei amerikanischen E-Mail-Anbietern entwickelt. Wenn Sie eine geheimgerichtliche Aufforderung bekommen Daten herauszugeben, dann dürfen sie nicht darüber sprechen. Deshalb hatten einige eine Infobox auf ihre Webseite eingebaut, in denen die Kunden informiert wurden, dass keine Aufforderung vorliegt. War die Infobox weg, konnte der Kunde davon ausgehen, dass momentan geschnüffelt wird.

Genau dieses Vorgehen ist mir bereits im Darknet aufgefallen. Wenn ich Gesprächspartner entdeckt habe, wurde mir bereits mehrmals mitgeteilt, dass in jeder Nachricht ein bestimmtes Wort unscheinbar unterzubringen ist. Einmal war es ein Synonym, dann ein Wort mit zwei Schreibfehlern. Gleichzeitig sollte ich bei jeder Nachricht zwei zusätzliche Worte meiner Wahl falsch schreiben und einmal ein Komma in irgendeinem Satz zwischen zwei Worten ohne Leerzeichen einfügen. Relativ simple Botschaften. Würde ein Konto übernommen werden und der neue Inhaber sich nicht daran halten, wäre die Übernahme aufgeflogen.

Nutzer, die bereits Vertrauen aufgebaut haben, können derartige Strategien schnell umsetzen. Bei neuen Nutzern ist natürlich viel mehr nötig.

  • Nicht immer das gleiche Postfach verwenden.

Werden bestimmte Hinweise innerhalb eines Textes versteckt, ist man Postfach unabhängig. Mit einem Hacker, der am Ende doch kein Interview geben wollte, musste ich für drei E-Mails drei Postfächer nutzen und entsprechend die Texte markieren. Ich hätte das Postfach einer fremden Person nutzen können und sie hätte gewusst, dass ich es bin. Er hat mich ziemlich gescheucht. Sie wusste wie es geht.

9ea2ea050357388cdcda3c993c79b5e41da94e9c9a1c2987e69e4fe063e5634f

  • Mit Werkzeugen arbeiten.

Email-Verschlüsselung ist das eine. Aber auch da weichen viele Darknet-Nutzer von ab. Meist aus Bequemlichkeitsgründen. Steganographie ist möglich. Der Aufwand ist aber höher.  Einfacher ist die Arbeit mit Hash-Algorithmen. Vor einer Weile war ich auf der Suche nach Informationen zu einem Thema. Der Kommunikationspartner verlangte von mir, dass ich meine Nachricht in einem bestimmten Hash-Algorithmus verstecke. Er gab mir an welchen Algorithmus und das zu verwendende Salz bzw. den Schlüssel.

Beispielsweise würde eine base64 Encodierung für die Nachricht:

Hallo. Ich bins, Kowa. Wie geht es Dir? Viele Grüße

wie folgt aussehen:

SGFsbG8uIEljaCBiaW5zLCBLb3dhLiBXaWUgZ2VodCBlcyBEaXI/IFZpZWxlIEdyw7zDn2U=

Damit könnte man erst mal nichts anfangen.

Oder die gleiche Nachricht in Okto3:

-54337.402106392389
-54233.368462033849
-54187.593658516091
-54187.593658516091
-54175.109621193066
-54445.597096525271
-54503.855937366053
-54333.240760618047
-54225.045770485165
-54204.239041613457
-54503.855937366053
-54229.207116259507
-54200.077695839116
-54179.270966967408
-54158.464238095238
-54453.919788073954
-54503.855937366053
-54324.918069069364
-54175.109621193066
-54141.818854997871
-54233.368462033849
-54445.597096525271
-54503.855937366053
-54274.981919777265
-54200.077695839116
-54216.723078936482
-54503.855937366053
-54208.400387387799
-54216.723078936482
-54204.239041613457
-54154.302892320896
-54503.855937366053
-54216.723078936482
-54158.464238095238
-54503.855937366053
-54354.047489489755
-54200.077695839116
-54162.625583870041
-54374.854218361463
-54503.855937366053
-54279.143265551606
-54200.077695839116
-54216.723078936482
-54187.593658516091
-54216.723078936482
-54503.855937366053
-54341.56345216673
-54162.625583870041
-53588.359867009975
-53709.038894466343
-54216.723078936482

Es gibt natürlich noch viele weitere Möglichkeiten.

Wenn sich Gesprächspartner geeinigt haben, darf davon nicht abgewichen werden. Wird abgewichen, ist die Kommunikation beendet.

Ich bin seit gut 4 Jahren intensiver im Darknet unterwegs. Die genannten Möglichkeiten sind bereits in Nutzung und werden auch bei einem neuen Sicherheitsgesetz als Verteidigungslinie in die Kommunikation eingebaut und erfolgreich sein. Von Kriminellen, aber auch von Leuten, die einfach nur unbeobachtet sein wollen. So einfach, wie sich die Verantwortlichen die Ermittlungen vorstellen, ist es nicht. Die kleinen Fische sind kein Problem. Die unerfahrenen Nutzer ebenfalls nicht. Gerade aber, weil es einfach ist an normale Bürger*innen heranzukommen, die derartiges Wissen nicht haben, ist natürlich die Kritik aus Sicht von Bürgerrechtsorganisationen an jedem neuen Überwachungsgesetz nachvollziehbar. Das Vertrauen in den Staat ist in den letzten Jahren massiv erodiert.

-.- — .– .- -… .. – .-.-.- -.. .

Tagged , , , , , , , ,