Die Bedeutung des Datenschutzes nimmt zu

1998 wird zum entscheidenden Jahr der globalen Regelung des Datenschutzes. Bis Oktober 1998 müssen die Mitgliedsstaaten der EU die Datenschutzrichtlinie [200] in nationale Gesetze umsetzen. Da die Richtlinie im IV. Kapitel den Transfer personenbezogener Daten nur in Drittstaaten mit adäquatem Schutz zuläßt, wird nun auf Druck der Wirtschaft auch in den Vereinigten Staaten die Regelung des Datenschutzes erwogen. Die Diskussion dreht sich meist um 2 Eckpunkte:
Jeder Bürger kann sich aber bei Kenntnis der Sachlage selbst schützen. Irrtümer bzw Fahrlässigkeit der Mitarbeiter und technische Softwareprobleme stellen leider meist die wesentlichsten Sicherheitsschwachstellen dar. [201] Besonders die Bereitschaft zur Sicherheitsschulung von Mitarbeitern und zum Einsatz von Analysewerkzeugen ist unterentwickelt.
Daten werden mit Hilfe des Internets grundsätzlich unverschlüsselt übertragen. [202] Jede E-Mail wird am PC unverschlüsselt gespeichert und bei der Übertragung auf jedem E-Mail-Server unverschlüsselt zwischengespeichert. Diese Tatsache begründet einige wesentliche Gefahren:
Daß es sich hierbei nicht um paranoide Gedanken sondern um eine reale Bedrohung handelt zeigt der Bericht “Assessing the Technologies of Political Control”, den das Komitee für Bürgerrechte des Europaparlaments verfaßt hat. Darin wird erstmals von offizieller Seite das Bestehen eines weltweiten Abhörnetzes namens “Echelon”, das vom US-Geheimdienst NSA betrieben wird, bestätigt. Echelon verarbeitet wahllos riesige Informationsmengen aus digital vorliegenden Telefongesprächen, E-Mails oder Telex-Kommunikationen, die mittels MEMEX, einem Analyseprogramm der Künstlichen Intelligenz, auf Schlüsselwörter hin untersucht werden. Dazu greift das Spionagesystem auf nationale Wörterbücher zurück, die jeweils mit länderrelevanten Informationen versehen sind. [203]
Wegen der plötzlichen Popularität des Internets, hat sich das Thema Computersicherheit von einem Randthema für Techniker zu der Spitze der unternehmensinternen Prioritätsliste gewandelt, meint Michael R. Anderson, der 25 Jahre lang an der Spitze der US Bundespolizei für Bekämpfung der Computerkriminalität zuständig war, in einem Beitrag zum Government Internet Guide der USA. [204] Er zitiert Jim Settle, den pensionierten Direktor der FBI-Abteilung für Computerkriminalität, der meint, daß er mit einer ausgewählten Gruppe von Hackern das ganze Land, gemeint sind die USA, in die Knie zwingen kann.
Bei der Geburt des Internets, Anfang der siebziger Jahre, war von elektronischem Handel noch lange keine Rede. Das Internet wurde nicht geschaffen, um sicher zu sein.
Das einzige sichere Computersystem kann nur in einem versperrten Raum ohne die Anwesenheit von Menschen und Verbindung zu anderen Computern existieren. Da solch eine Sicherheitstaktik aber sehr unpraktisch ist, ist es notwendig, andere Sicherheitsstrategien anzuwenden. Dazu zählen sogenannte Firewalls und vor allem die Verschlüsselung sensitiver Daten. Selbst für Michael R. Anderson ist es schwer, gut verschlüsselte Computerdateien zu knacken, ja manchmal sogar unmöglich. Sobald sich der mystische Nebel um Spionagegeschichten gelegt hat erkennt man, daß Verschlüsselung nicht mehr ist, als Daten vor unbefugten Zugriffen zu schützen.
Es gibt gute und schlechte Verschlüsselung. Vereinfacht kann man sagen, daß je länger der geheime Schlüssel ist, desto höher die Sicherheit und der Aufwand ist , den Schlüssel zu knacken. Dies unterstellt die Verwendung sicherer Verschlüsselungsalgorithmen. Davon gibt es mehrere.
Die sicherste Verschlüsselungsart, die zur Zeit auf dem US-Softwaremarkt zu bekommen ist, arbeitet mit einem Schlüssel in der Länge von 128 Bit. Dies ist zum Beispiel IDEA, Triple DES, 128-bit RC4 und 128-bit SEAL. Weniger starke, aber immer noch sichere Systeme sind zum Beispiel 80-Bit RC5 und 64-Bit RC5 Verschlüsselungsschemata.
Relativ unsichere Systeme sind das DES (Data Encryption Standard) Schema, mit dem österreichische Bankomatkarten geschützt werden, und die 40-bit Verschlüsselungssysteme. Ein 40-bit Schlüssel wurde von der Firma Netscape in ihre weit verbreitete Browser-Software eingebaut und leicht gebrochen. Auch der DES-Code ist bereits gebrochen worden. [205]
Wie schwierig ist es nun wirklich, Verschlüsselungsmechanismen zu brechen?
Michael R. Anderson gibt als Richtlinien 3 bestimmende Faktoren vor:
1. Die Rechenleistung des zur Verfügung stehenden Computers.
2. Die Länge des zur Verschlüsselung verwendeten Schlüssels
3. Der Geldbetrag, der zur Verfügung steht, um das Problem zu lösen.
Mit heutiger Technologie kann man 90 Millionen DES Schlüsselkombinationen oder 5 Millionen RC4 Kombinationen pro Sekunde durchprobieren. Anders ausgedrückt dauert es ungefähr eine Sekunde, um Verschlüsselungen mit einer Schlüssellänge von 26 Bits zu knacken. Ein 40 Bit Schlüssel ist in 4 Stunden zu knacken, ein 48 Bit langer Schlüssel in einem Monat und ein 56 Bit langer in 30 Jahren. Die Kosten für Computerhardware um dies zu erreichen betragen zwischen 500.000 und 750.000 Schilling. [206] Je mehr Geld man aber in die Rechenleistung investiert, desto kürzer wird auch die Rechenzeit. Wenn man 10 Millionen Schilling in Computerleistung steckt, wird der 56 Bit lange Schlüssel schon in 10 Tagen geknackt.
Mit Hilfe des Internets können diese Kosten aber sehr leicht reduziert werden. Es arbeiten zentral gesteuerte Gruppen von handelsüblichen PCs an demselben Problem. So wird deren Rechnerleistung gebündelt und man kann so einen extrem teuren Rechner simulieren. So wurde beispielsweise der DES gebrochen [207].
Manche Länder, vor allem in Asien [208], versuchen das Internet zu zensurieren. Im Gegensatz zur bisherigen Vorgangsweise - nicht angemeldete Radio- und Fernsehsender wurden angepeilt, die Verantwortlichen verhaftet und das Equipment beschlagnahmt - ist ein Computer und ein Telefonanschluß unverdächtig und auch nicht leicht zu entdecken. Dies unterstreicht umsomehr, daß das Internet sowohl von Kriminellen und Rassisten genützt werden kann, aber auch als Werkzeug der Meinungsfreiheit und demokratischer Werte eine ernste Gefahr für autoritäre Regime darstellt. Gleichzeitig erhöht sich die Bedeutung des Datenschutzes, da es Oppositionspolitiker in autoritären Staaten meist nur unter Pseudonymen oder anonymisiert wagen können, Kritik zu üben und zu verbreiten.

[200] siehe dazu näher unter 3.3.6.3, EU-Datenschutzrichtlinie
[201] Stand der IT-Sicherheit in Österreich, Studie der ARGE Daten, Kurzfassung, März 1998; im Internet unter https://keyserver.ad.or.at/security/oenb/berichtk.htm#ergebnisse
[202] vgl. Jaburek/Wölfl, Cyber-Recht, S 27
[203] Spies like US, Electronic Telegraph, 16.12.1997, im Internet unter http://www.telegraph.co.uk:80/et?ac=000602131144806&rtmo=0sKsx2bq&atmo=0sKsx2bq&pg=/et/97/12/16/ecspy16.html
[204] Internet Security - A Cybercop´s Perspective, Government Internet Guide, im Internet http://www.govtech.net/publication/govinternetguide/gigcybercop.shtm
[205] DES geknackt, im Internet unter http://www.ad.or.at/office/news/des.htm
[206] Man beachte dazu aber Moores Law, das besagt, daß sich alle 18 Monate die Rechenleistung der populärsten Computerprozessoren verdoppelt, wobei der Preis allerdings gleich bleibt. Definition im Internet unter http://www.cs.washington.edu/homes/lazowska/inservice/drivers/ oder
http://www-sc.ucssc.indiana.edu/cgi-bin/jargon/00000462.html
Zur Beständigkeit von Moore´s law “Can Moore's Law continue indefinitely?”, im Internet unter
http://www.computerworld.com/search/AT-html/9607/960722LEADSL9607lead.html
[207] DES geknackt, im Internet unter http://www.ad.or.at/office/news/des.htm
[208] Vor allem Singapur und Vietnam tun sich hier hervor. Siehe zB CNET: Singapore may shift censorship focus, im Internet unter http://www.news.com/News/Item/0,4,14612,00.html