von Bruce Schneier
Gründer und CTO
Counterpane Internet Security, Inc.
schneier@counterpane.com
<http://www.counterpane.com/>
Ein kostenloser monatlicher Newsletter mit Zusammenfassungen, Analysen, Einsichten und Kommentaren über Computersicherheit und Kryptographie.
Ältere Ausgaben und die Möglichkeit des Abonnements stehen hier zur
Verfügung:
<http://www.schneier.com/crypto-gram.html>
Deutsche Übersetzung von Holger Hasselbach, galad.com
mit freundlicher Erlaubnis der Counterpane Internet Security, Inc.
h.hasselbach@galad.com
<http://www.galad.com/>
Dies ist eine vollständige Übersetzung des Newsletters.
Stand: 07.12.2001
Alle Übersetzungen stehen hier zur Verfügung:
<http://archiv.galad.com/cg/cg.htm>
Copyright (c) 2001 by Counterpane Internet Security, Inc.
Copyright (c) dieser deutschen Übersetzung 2001 by galad.com
Dies ist eine Sonderausgabe von Crypto-Gram über die Terrorangriffe vom 11. September und ihre Auswirkungen.
Bitte sorgen Sie für eine weite Verteilung dieser Ausgabe.
In dieser Ausgabe:
Als ich am 11. September Fernsehen geschaut habe, war meine primäre Reaktion Erstaunen.
Die Angriffe waren in ihrer Boshaftigkeit und Verwegenheit erstaunlich: vollgetankte Verkehrsflugzeuge zu entführen, sie in Gebäude zu fliegen und dabei tausende unschuldiger Zivilisten zu töten. Wir werden wahrscheinlich nie wissen, ob den Angreifern bewußt war, dass die Hitze des Treibstoffs die Stahlträger schmelzen und das World Trade Center einstürzen lassen würde. Es sieht wahrscheinlich so aus, dass sie kurz vor dem Angriff vorteilhafte Geschäfte auf den weltweiten Aktienmärkten plazierten. Niemand rechnete mit einem Angriff wie diesem. Wir denken gerne, dass Menschen keine Pläne wie diesen machen.
Ich war beeindruckt, als Al-Qaeda gleichzeitig auf zwei amerikanische Botschaften in Afrika Bombenanschläge verübte. Ich war noch beeindruckter, als sie ein 12-Meter-Loch in ein amerikanisches Kriegsschiff schlugen. Dieser Angriff lässt beides wie unbedeutendere Operationen aussehen.
Die Angriffe waren in ihrer Komplexität erstaunlich. Es wird geschätzt, dass der Plan über 50 Leute erforderte, mindestens 19 von ihnen bereit zu sterben. Er erforderte Training. Er erforderte logistische Unterstützung. Er erforderte Koordinierung. Der reine Umfang des Angriffs scheint jenseits der Fähigkeiten einer terroristischen Organisation zu liegen.
Die Angriffe schrieben das Regelbuch der Flugzeugentführungen neu. Reaktionen auf Entführungen bauen auf dieser Prämisse auf: Hol das Flugzeug auf den Boden, damit die Verhandlungen beginnen können. Das ist jetzt überholt.
Sie schrieben auch das Terrorismusbuch neu. Al-Qaeda erfand einen neuen Angreifer-Typ. Geschichtlich sind Selbstmordbomber jung, ledig, fanatisch und haben nichts zu verlieren. Diese Leute waren älter und erfahrener. Sie hatten marktfähige berufliche Fertigkeiten. Sie lebten in den Vereinigten Staaten: Schauten Fernsehen, aßen Fast Food, tranken in Bars. Einer hinterließ eine Frau und vier Kinder.
Es war zudem eine neue Art des Angriffs. Eine der schwierigsten Dinge bei einer terroristischen Operation ist das Entkommen. Dieser Angriff löste dieses Problem geschickt. Er löste außerdem das technologische Problem. Die Vereinigten Staaten geben Milliarden von Dollars für ferngesteuerte präzisionsgelenkte Rüstungsgüter aus; Al-Qaeda findet einfach Schwachköpfe, die bereit sind Flugzeuge in Wolkenkratzer zu fliegen.
Letztendlich waren die Angriffe in ihrem Erfolg erstaunlich. Sie waren nicht perfekt. Wir wissen, dass 100% der unternommenen Entführungen erfolgreich waren, und dass 75% der entführten Flugzeuge ihre Ziele erfolgreich getroffen haben. Wir wissen nicht, wieviele geplante Entführungen aus dem einen oder anderen Grund abgebrochen wurden. Was am erstaunlichsten ist, dass der Plan nicht aufgeflogen war. Niemand wechselte erfolgreich die Seite. Niemandem unterlief ein Versehen und eine Preisgabe des Plans. Al-Qaeda hatte für Monate in den U.S.A. Vermögenswerte und schaffte es, den Plan geheim zu halten. Die Strafverfolgung hat hierbei oft Glück gehabt; in diesem Fall hatten wir keines.
Man sieht selten einen Angriff, der die Konzeption der Welt darüber was ein Angriff ist ändert, so wie diese terroristischen Angriffe die Konzeption der Welt darüber geändert haben, was ein terroristischer Angriff anrichten kann. Nichts was sie machten war neuartig, obschon der Angriff völlig neu war. Und unsere Konzeption der Verteidigung muss sich ebenso ändern.
Experten für Computersicherheit haben eine Menge Fachwissen, dass auf die reale Welt angewendet werden kann. Zuallererst haben wir gut entwickelte Sinne dahingehend, wie Sicherheit aussieht. Wir können den Unterschied zwischen wirklicher Sicherheit und Snake Oil benennen. Und die nach dem 11. September eingeführten neuen Regeln zur Flughafensicherheit haben sehr stark das Aussehen und den Geruch von Snake Oil.
Alle Warnhinweise sind vorhanden: neue und nicht erprobte Sicherheitsmaßnahmen, keine wirkliche Analyse der Bedrohung, unbegründete Sicherheitsbehauptungen. Das Verbot von Schneideinstrumenten ist ein perfektes Beispiel. Es ist eine reflexartige Reaktion: Die Terroristen benutzten kleine Messer und Papierschneider, also müssen wir sie verbieten. Und Nagelklipper, Nagelfeilen, Feuerzeuge, Scheren (sogar kleine), Pinzetten, etc. Aber warum stellt niemand die wirklichen Fragen: Was ist die Bedrohung, und wie wird durch die Umwandlung eines Flugzeugs in einen Kindergarten-Klassenraum die Bedrohung reduziert? Wenn die Bedrohung die Entführung ist, dann schützen die Gegenmaßnahmen nicht gegen all die Myriaden an Wegen, wie jemand den Piloten und die Crew überwältigen kann. Hat noch niemand von Karate gehört? Oder zerbrochenen Flaschen? Man denke an im Gepäck versteckte kleine Klingen. Oder zusammengesetzte Messer, die von den Metalldetektoren nicht angezeigt werden.
Autos müssen nun 90 Meter von den Flughafeneingängen entfernt geparkt werden. Warum? Welches Sicherheitsproblem wird damit gelöst? Warum impliziert dasselbe Problem nicht, dass die Anfahrt und die Abholung der Passagiere in derselben Entfernung vorgenommen werden sollten? Die Curbside-Check-Ins sind beseitigt worden. Welche Bedrohung wurde mit dieser Sicherheitsmaßnahme gelöst? Warum sorgen wir uns plötzlich über Bomben, wenn die neue Bedrohung die Entführung ist?
Die Regel, die den Zugang zur Wartehalle auf Passagiere mit Ticket beschränkt, ist eine weitere die mich verwirrt. Was genau ist hier die Bedrohung? Entführer müssen im Flugzeug sein, das sie versuchen zu entführen um ihren Angriff durchzuführen, also müssen sie Tickets haben. Und jeder kann Priceline.com abrufen und zum Wartehallenzugang "ihren eigenen Preis nennen".
Erhöhte Kontrollen -- vom Gepäck, den Flugzeugen, den Flughäfen -- scheinen eine gute Idee zu sein, obwohl dies weit entfernt von Perfektion ist. Das größte Problem dabei ist die schlechte Bezahlung der Kontrolleure und, größtenteils, ihre schlechte Ausbildung und ihr schlechtes Training. Andere Probleme beinhalten die Myriaden an Wegen zum Umgehen der Checkpunkte -- zahlreiche Studien haben viele mögliche Verstöße gefunden -- und die Unmöglichkeit, jeden wirksam zu kontrollieren und gleichzeitig den geforderten Durchsatz zu gewährleisten. Unidentifizierte bewaffnete Wachen auf ausgewählten Flügen sind eine weitere Idee mit geringer Wirksamkeit: sie sind eine kleine Abschreckung, weil man nie wissen kann, ob einer mit im Flugzeug sitzt, das man entführen möchte.
Positive Taschenzuordnung -- sicherzustellen, dass ein Gepäckstück nicht in das Flugzeug geladen wird, solange dessen Besitzer nicht an Bord ist -- ist tatsächlich eine gute Sicherheitsmaßnahme, aber unter der Annahme dass die Bomber die Selbsterhaltung als führende Kraft ansehen. Gegen Selbstmordbomber ist sie komplett nutzlos.
Die schlimmste Sicherheitsmaßnahme von allen ist die Erfordernis einer Photo ID. Dies löst kein Sicherheitsproblem, das ich mir vorstellen kann. Es identifiziert nicht mal die Leute; jeder Highschool-Student kann sagen, wie man an eine gefälschte ID kommt. Die Anforderung für diese einschneidende und unwirksame Maßnahme ist geheim; die FAA wird Ihnen auf Anfrage keine Kopie der Vorschriften schicken. Tatsächlich sind die Fluggesellschaften darin strikter als die FAA vorschreibt, weil die "Sicherheits"-Maßnahme für sie ein geschäftliches Problem löst.
Der eigentliche Punkt bei der Erfordernis einer Photo ID ist es, die Leute am Wiederverkauf der Tickets zu hindern. Nicht erstattungsfähige Tickets werden gewöhnlich in den Zeitungs-Kleinanzeigen annonciert. Die Annonce liest sich etwa "Rundreise, Boston nach Chicago, 22.11. - 30.11., Frau, $50." Weil die Fluggesellschaften nicht die ID geprüft hatten, aber das Geschlecht bemerken könnten, könnte jede Frau das Ticket kaufen und die Route fliegen. Jetzt funktioniert dies nicht. Die Fluggesellschaften lieben dies; sie lösten eines ihrer Probleme und können die Schuld für diese Lösung den Sicherheitsanforderungen der FAA zuschieben.
Sicherheitsmaßnahmen der Fluggesellschaften sind primär dazu entworfen, eher den Anschein von guter Sicherheit als das wirkliche Vorhandensein zu vermitteln. Dies macht Sinn, sobald einem klar geworden ist, dass es nicht so sehr das Ziel der Fluggesellschaften ist, die Flugzeuge schwer entführbar zu machen, sondern die Passagiere zum Fliegen gewillt zu machen. Natürlich würden die Gesellschaften es bevorzugen, wenn alle ihre Flüge perfekt sicher wären, aber wirkliche Entführungen und Bombenanschläge sind seltene Ereignisse, und das wissen sie.
Dies soll nicht heißen, dass die gesamte Flughafensicherheit nutzlos ist, und dass wir mit Nichtstun besser dran wären. Alle Sicherheitsmaßnahmen haben Nutzen und alle haben Kosten: Geld, Unbequemlichkeit, etc. Ich würde gerne einige rationale Analysen über die Kosten und den Nutzen sehen, damit wir aus den Mitteln, die wir zur Verfügung haben, die größte Sicherheit ziehen können.
Ein grundlegendes Warnsignal für Snake Oil ist die Verwendung von selbst entwickelten Sicherheitsmaßnahmen anstelle von solchen, die von Experten analysiert und von der Zeit getestet wurden. Das nächstliegende, was die Fluggesellschaften zu erfahrener und fachkundiger Analyse haben, ist El Al. Seit 1948 haben sie ihre Linien innerhalb und außerhalb der heftigsten terroristischen Gebiete des Planeten betrieben, mit phänomenalem Erfolg. Sie wenden einige ziemlich heftige Sicherheitsmaßnahmen an. Als eine der Maßnahmen haben sie verstärkte verschlossene Türen zwischen dem Flugzeugcockpit und der Passagierabteilung. (Es sei angemerkt, dass diese Sicherheitsmaßnahme 1) teuer, und 2) für die Passagiere nicht unmittelbar wahrnehmbar ist.) Eine andere Maßnahme vor dem Abbflug ist das Plazieren der Fracht in Dekompressionskammern, um Bomben mit Höhenmessern auszulösen. (Dies ist wiederrum 1) teuer, und 2) nicht wahrnehmbar, also für amerikanische Fluglinien unattraktiv.) Einige der Dinge, die El Al durchführt, sind aufdringlich wenn nicht sogar in den U.S.A. verfassungswidrig, aber sie lassen einen das Taschenmesser mit an Bord nehmen.
Flugsicherheit:
<http://www.time.com/time/covers/1101010924/bsecurity.html>
<http://www.accessatlanta.com/ajc/terrorism/atlanta/0925gun.html>
FAA über die neuen Sicherheitsvorschriften:
<http://www.faa.gov/apa/faq/pr_faq.htm>
Ein Bericht über die Wirksamkeit der Vorschriften:
<http://www.boston.com/dailyglobe2/266/nation/
Passengers_say_banned_items_have_eluded_airport_monitors+.shtml>
Die Sicherheitsmaßnahmen von El Al:
<http://news.excite.com/news/ap/010912/18/israel-safe-aviation>
<http://news.excite.com/news/r/010914/07/international-attack-israel-elal-dc>
Weitere Gedanken zu diesem Thema:
<http://slate.msn.com/HeyWait/01-09-17/HeyWait.asp>
<http://www.tnr.com/100101/easterbrook100101.html>
<http://www.tisc2001.com/newsletters/317.html>
Zwei geheime Dokumente der FAA über die Erfordernis der Photo IDs in Text
und GIF:
<http://www.cs.berkeley.edu/~daw/faa/guid/guid.txt>
<http://www.cs.berkeley.edu/~daw/faa/guid/guid.html>
<http://www.cs.berkeley.edu/~daw/faa/id/id.txt>
<http://www.cs.berkeley.edu/~daw/faa/id/id.html>
Passagier-Profile:
<http://www.latimes.com/news/nationworld/nation/la-091501profile.story>
Ein Bericht des CATO-Instituts: "The Cost of Antiterrorist Rhetoric,"
vor dem 11. September geschrieben:
<http://www.cato.org/pubs/regulation/reg19n4e.html>
Ich weiß nicht ob dies eine gute Idee ist, aber zumindest denkt jemand über
das Problem nach:
<http://www.zdnet.com/anchordesk/stories/story/0,10738,2812283,00.html>
Man muß zugeben, es klingt wie eine gute Idee. Man bringt überall in Flughäfen und an anderen öffentlichen Versammlungsplätzen Kameras an und läßt die Menschenmenge permanent mit automatischer Software zur Gesichtserkennung nach verdächtigen Terroristen absuchen. Wenn sie einen findet, alarmiert die Software die Behörden, die heranstürmt und die Bastarde festnimmt. Voila, wir sind wieder einmal sicher.
Die Realität ist wesentlich komplizierter; sie ist es immer. Biometrie ist ein wirksames Hilfsmittel zur Authentisierung, und ich habe darüber bereits geschrieben. Es gibt drei grundlegende Arten der Authentisierung: etwas das man weiß (Passwort, PIN-Code, geheimer Händedruck), etwas das man hat (Türschlüssel, physisches Ticket für ein Konzert, Siegelring), und etwas das man ist (Biometrie). Gute Sicherheitskonzepte verwenden mindestens zwei unterschiedliche Authentisierungs-Arten: eine ATM-Karte und einen PIN-Code, Computerzugriffe, die sowohl ein Passwort als auch einen Fingerabdruckleser benutzen, ein Sicherheitsausweis, der ein Bild beinhaltet, das sich eine Wache ansehen kann. Wird sie sauber implementiert, kann Biometrie ein wirksamer Teil eines Systems zur Zugriffskontrolle sein.
Ich denke, sie würde eine große Bereicherung der Flughafensicherheit darstellen: zur Identifizierung von Fluglinien- und Flughafenpersonal wie Piloten, Wartungspersonal, etc. Das ist ein Problem, zu dessen Lösung Biometrie beitragen kann. Der Einsatz von Biometrie zum Herauspicken von Terroristen aus einer Menschenmenge ist eine andere Party.
Im ersten Fall (Identifizierung von Mitarbeitern) hat das biometrische System ein geradliniges Problem: gehören diese Biometriedaten zu der Person, zu der sie angeblich gehören sollen? Im letzten Fall (Terroristen in einer Menschenmenge entdecken) muss das System ein wesentlich härteres Problem lösen: gehören diese Biometriedaten zu irgendjemandem in dieser großen Datenbank mit Leuten? Die Schwierigkeit des letzteren Problems erhöht die Komplexität der Identifikation und führt zu Identifizierungsfehlern.
Die Konfiguration des Systems ist für beide Anwendungen unterschiedlich. Im ersten Fall kann man unzweideutig wissen, dass die Referenz-Biometriedaten zur korrekten Person gehören. In letzterem Fall muß man sich ständig um die Integrität der biometrischen Datenbank sorgen. Was passiert, wenn jemand fälschlicherweise in die Datenbank aufgenommen ist? Welche Art von Berufungsrecht hat er?
Die Beschaffung der Referenzdaten ist ebenfalls unterschiedlich. Im ersten Fall kann man das System mit bekannten, guten Daten initialisieren. Wenn die Biometrie in der Gesichtserkennung besteht, kann man von neuen Angestellten bei ihrer Einstellung gute Fotos machen und sie in das System eingeben. Terroristen werden wahrscheinlich nicht für Fotoaufnahmen posieren. Man könnte ein körniges Bild eines Terroristen haben, aufgenommen vor fünf Jahren aus 1000 Meter Entfernung, als er einen Bart trug. Nicht annähernd so brauchbar.
Aber selbst wenn all diese technischen Probleme auf magische Weise gelöst würden, ist es trotzdem sehr schwierig, diese Art von System funktionsfähig zu bekommen. Das härteste Problem sind die Fehlalarme. Zur Erklärung muss ich in die Statistik abschweifen und die Grundfehlerrate erläutern.
Angenommen, die magisch wirksame Software zur Gesichtserkennung liefert 99,99 Prozent richtige Ergebnisse. Das heißt, wenn jemand ein Terrorist ist gibt es eine Chance von 99,99 Prozent, dass die Software "Terrorist" indiziert, und wenn jemand kein Terrorist ist gibt es eine Chance von 99,99 Prozent, dass die Software "kein Terrorist" indiziert. Angenommen, dass durchschnittlich einer aus zehn Millionen Fluggästen ein Terrorist ist. Ist die Software brauchbar?
Nein. Die Software wird 1000 Fehlalarme für jeden wirklichen Terroristen generieren. Und jeder Fehlalarm bedeutet, dass all die Sicherheitsleute durch all ihre Sicherheitsprozeduren gehen müssen. Weil die Bevölkerung der Nicht-Terroristen so viel größer wie die Anzahl der Terroristen ist, ist der Test nutzlos. Dieses Ergebnis ist gegen die Intuition und überraschend, aber es ist korrekt. Die Fehlalarme in dieser Art von System lassen es meistens nutzlos werden. Es ist "The Boy Who Cried Wolf" um das 1000-fache gesteigert.
Ich sage meistens nutzlos, weil es einige positive Effekte haben würde. Ab und zu würde das System einen häufig fliegenden Terroristen korrekt herausfinden. Aber es ist ein System mit enormen Kosten: Geld zum Installieren, Personal zum Betrieb, Unbequemlichkeiten für die Millionen Leute, die unkorrekt identifiziert werden, erfolgreiche Prozesse von einigen dieser Leute, und eine fortgesetzte Aushöhlung unserer Bürgerrechte. Und all die Fehlalarme werden unauswichlich die Betreiber des Systems dazu bringen, seinen Ergebnissen zu misstrauen, was zu Schlamperei und möglicherweise teuren Irrtümern führt.
Phil Agre über gesichtserkennende Biometrie:
<http://dlis.gseis.ucla.edu/people/pagre/bar-code.html>
Mein originales Essay über Biometrie:
<http://www.schneier.com/crypto-gram-9808.html#biometrics>
Gesichtserkennung in Flughäfen nutzlos:
<http://www.theregister.co.uk/content/4/21916.html>
Laut einer DARPA-Studie müsste zur Erkennung von 90 Prozent der Terroristen
für jede dritte Person, die den Flughafen durchläuft, ein Alarm ausgelöst
werden.
Eine Firma treibt diese Idee voran:
<http://www.theregister.co.uk/content/6/21882.html>
Eine Version dieses Artikels wurde hier publiziert:
<http://www.extremetech.com/article/0,3396,s%3D1024%26a%3D15070,00.asp>
Links vom Übersetzer:
The Boy Who Cried Wolf
<http://www.storyarts.org/library/aesops/stories/boy.html>
Es ist klar, dass die U.S.-Geheimdienste darin versagt haben, adäquate Warnungen vor den terroristischen Angriffen des 11. Sepembers zu liefern, und dass das FBI darin versagt hat, die Angriffe zu verhindern. Es ist ebenso klar, dass es viele unterschiedliche Hinweise auf die bevorstehenden Angriffe gab, und dass es alles mögliche gab, das wir hätten bemerken müssen, es aber nicht taten. Einige haben dies als massives Versagen der Geheimdienste bezeichnet, und dass wir darüber hätten Bescheid wissen müssen und die Angriffe hätten verhindern können. Ich bin nicht überzeugt.
Es gibt einen himmelweiten Unterschied zwischen Geheimdienst-Daten und Geheimdienst-Information. Die ich bin sicher Mutter aller Untersuchungen, die CIA, NSA und das FBI haben alle möglichen Daten aus ihren Dateien freigelegt, Daten die eindeutig darauf hinweisen, dass der Angriff geplant worden war. Eventuell haben sie sogar eindeutig auf die Art oder das Datum des Angriffs hingewiesen. Ich bin sicher, dass in den Dateien, abgefangenen Mitteilungen und den Computerspeichern eine Menge an Informationen steckt.
Mit der Übersicht, mit der man im Nachhinein bewaffnet ist, ist es einfach, all die Daten durchzusehen und auf das Wichtige und Relevante hinzuweisen. Es ist ebenso einfach, alle diese wichtigen und relevanten Daten zu nehmen und in Information umzusetzen. Und es ist wirklich einfach, alle diese Informationen zu nehmen und ein Gesamtbild der Vorgänge zu konstruieren.
Vor den Fakten ist das wesentlich schwieriger durchzuführen. Die meisten Daten sind irrelevant und die meisten Hinweise sind falsch. Wie soll irgendjemand wissen welche die wichtigen sind, so dass die Anstrengungen für diese spezifische Bedrohung und nicht für die tausend anderen aufgewendet werden sollten?
Es werden so viele Daten gesammelt -- die NSA saugt sich eine nahezu unvorstellbare Menge elektronischer Kommunikation, das FBI erhält unzählige Hinweise und Tipps, und unsere Verbündeten leiten alle möglichen Informationen an uns weiter -- dass wir sie unmöglich alle analysieren können. Angenommen, Terroristen verstecken Pläne für ihre Angriffe im Text von Büchern in einer großen Universitäts-Bibliothek; man hat keine Ahnung, wieviele Pläne es gibt oder wo sie sind, und die Bibliothek dehnt sich schneller aus als man überhaupt lesen kann. Sich zu entscheiden was man sich ansieht ist eine unmögliche Aufgabe, so dass eine Menge guter Informationen ungelernt bleibt.
Außerdem verfügen wir nicht über einen Kontext zur Beurteilung der Bemühungen der Geheimdienste. Wie viele terroristische Unternehmungen sind im letzten Jahr vereitelt worden? Wie vielen Gruppen wird nachgespürt? Wenn die CIA, die NSA oder das FBI erfolgreich ist, erfährt dies niemand. Nur wenn sie versagen, wird die Aufmerksamkeit auf sie gelenkt.
Und es war ein Versagen. Über die letzten paar Jahrzehnte haben sich die U.S.A. mehr und mehr auf High-Tech-Abhöraktionen (SIGINT und COMINT) und immer weniger auf die altmodische Human Intelligence (HUMINT) verlassen. Dies macht das Analyse-Problem nur noch schlimmer: zu viele Daten zum Durchsuchen und nicht genug Realwelt-Kontext. Man betrachte sich das Versagen der Geheimdienste in den letzten paar Jahren: Versagen in der Voraussage von Indiens Nukleartests, oder der Angriff auf die USS Cole, oder die Bombenanschläge auf die beiden amerikanischen Botschaften in Afrika; konzentriert auf Wen Ho Lee unter Ausschluss der wirklichen Spione wie Robert Hanssen.
Aber was auch immer der Grund ist, wir haben darin versagt, den terroristischen Angriff zu verhindern. Aber post mortem bin ich sicher, dass es in der Art und Weise, wie wir anti-terroristische Daten sammeln und (sehr wichtig) analysieren, Änderungen geben wird. Aber wenn dies als massives Versagen der Geheimdienste bezeichnet wird, erweisen wir denen einen Bärendienst, die für die Erhaltung der Sicherheit unseres Landes arbeiten.
Das Versagen der Geheimdienste liegt in der Überbewertung der Abhöraktionen
und der Unterbewertung der Human Intelligence:
<http://www.sunspot.net/bal-te.intelligence13sep13.story>
<http://www.newscientist.com/news/news.jsp?id=ns99991297>
Eine andere Sicht:
<http://www.wired.com/news/politics/0,1283,46746,00.html>
Zu viel elektronisches Lauschen macht die Dinge nur noch schwieriger:
<http://www.wired.com/news/business/0,1367,46817,00.html>
Israel warnte die U.S.A. vor den Angriffen:
<http://www.latimes.com/news/nationworld/nation/la-092001probe.story>
Meistens widerrufen:
<http://www.latimes.com/news/nationworld/nation/la-092101mossad.story>
Im Kielwasser der verheerenden Angriffe auf New Yorks World Trade Center und das Pentagon ergriffen Senator Judd Gregg und andere hochrangige Regierungsbeamte schnell die Gelegenheit, die Einschränkungen der starken Verschlüsselung und Systeme zum Key Escrow wieder aufleben zu lassen, um den Zugriff der Regierung auf verschlüsselte Nachrichten sicherzustellen.
Ich denke dies ist ein schlechter Schritt. Er wird wenig zur Durchkreuzung terroristischer Aktivitäten beitragen, während er gleichzeitig die Sicherheit unserer eigenen kritischen Infrastruktur signifikant reduziert. Wir sind diese Argumente schon früher durchgegangen, aber die Gesetzgeber scheinen kurze Gedächtnisse zu haben. Hier steht, warum der Versuch der Einschränkung der Kryptographie schlecht für die Internet-Sicherheit ist.
Erstens kann man die Verbreitung der Kryptographie nicht einschränken. Kryptographie ist Mathematik, und man kann Mathematik nicht verbieten. Alles was man verbieten kann sind Produkte, die diese Mathematik benutzen, aber das ist etwas völlig anderes. Vor Jahren wurde während der Debatten über Kryptographie eine internationale Krypto-Untersuchung fertiggestellt; sie enthielt eine Liste mit nahezu tausend Produkten mit starker Kryptographie aus über hundert Ländern. Man mag in der Lage sein, kryptographische Produkte aus einer handvoll Industrieländern zu kontrollieren, aber das wird Kriminelle nicht an deren Import hindern. Sie muß in jedem Land verboten werden, und selbst dann wird das nicht genug sein. Jede terroristische Organisation mit einem Minimum an Fähigkeiten kann ihre eigene Krypto-Software schreiben. Und davon ab, welcher Terrorist wird ein gesetzliches Verbot beachten?
Zweitens verursacht jede Kontrolle der Verbreitung von Kryptographie mehr Schaden als das sie hilft. Kryptographie ist eines der besten Sicherheitswerkzeuge, das wir zum Schutz unserer elektronischen Welt vor Schaden haben: Abhören, unauthorisierter Zugang, Eindringung, Denial of Service. Sicher, mit der Kontrolle der Verbreitung von Kryptographie mag man in der Lage sein, einige terroristische Gruppen an der Benutzung der Kryptographie zu hindern, aber ebenso wird man Banken, Krankenhäuser und die Luftverkehrs-Überwachung an ihrer Benutzung hindern. (Und, zur Erinnerung, die Terroristen können die Tools immer woanders bekommen: siehe meinen ersten Punkt.) Wir müssen eine Menge elektronischer Infrastruktur schützen, und wir benötigen die gesamte Kryptographie die wir bekommen können. Wenn überhaupt irgendetwas, dann müssen wir die starke Kryptographie allgegenwärtiger werden lassen, wenn die Firmen weiterhin die kritische Infrastruktur unseres Planeten online stellen.
Drittens funktioniert Key Escrow nicht. Kurze Auffrischung: dies ist die Absicht, dass die Firmen zur Implementierung von Hintertüren in Kryptoprodukten gezwungen werden sollten, damit die Strafverfolgung, und nur die Strafverfolgung, nachsehen und verschlüsselte Nachrichten abhören kann. Terroristen und Kriminelle würden es nicht benutzen. (Siehe wiederrum meinen ersten Punkt.)
Außerdem macht Key Escrow die Sicherung der wichtigen Sachen für die guten Jungs schwerer. Alle Systeme zum Key Escrow setzen die Existenz eines hochsensiblen und hochverfügbaren geheimen Schlüssels oder einer Schlüsselkollektion voraus, die auf sichere Weise über eine lange Zeitperiode gewartet werden muss. Diese Systeme müssen die Entschlüsselungsinformationen für die Strafverfolgungsbehörden schnell verfügbar machen, ohne dass die Schlüsselbesitzer davon etwas mitbekommen. Glaubt irgendjemand ernsthaft, dass wir ein System dieser Art sicher aufbauen können? Es würde eine sicherheitstechnische Aufgabe unglaublicher Größenordnung sein, und ich denke nicht, dass wir den Hauch einer Chance haben, das richtig hinzubekommen. Wir können kein sicheres Betriebssystem entwickeln, geschweige denn einen sicheren Computer und ein sicheres Netzwerk.
Die Anhäufung von Schlüsseln an einem Ort ist ein großes Risiko und wartet nur auf einen Angriff oder Missbrauch. Wessen digitaler Sicherheit vertrauen Sie absolut und ohne Frage, um ihr den Schutz jedes größeren Geheimnisses der Nation anzuvertrauen? Welches Betriebssystem würden Sie benutzen? Welche Firewall? Welche Anwendungen? So attraktiv wie es klingen mag, der Aufbau eines funktionsfähigen Systems zum Key Escrow liegt jenseits der derzeitigen Möglichkeiten der Computertechnik.
Vor Jahren verfassten eine Gruppe Kollegen und ich ein Referat, in dem wir skizzierten, warum Key Escrow eine schlechte Idee ist. Die Argumente in dem Referat sind immer noch aktuell, und ich bitte jeden dringend, es zu lesen. Es ist keine besonders technische Abhandlung, aber es legt alle Probleme mit dem Aufbau einer sicheren, wirksamen und skalierbaren Key-Escrow-Infrastruktur dar.
Die Ereignisse des 11. Septembers haben viele Leute davon überzeugt, dass wir in gefährlichen Zeiten leben und mehr Sicherheit als jemals zuvor benötigen. Sie haben recht; Sicherheit ist in vielen Gebieten unserer Gesellschaft gefährlich lax gehandhabt worden, den Cyberspace eingeschlossen. Wenn mehr und mehr der kritischen Infrastruktur unserer Nation digital wird, müssen wir Kryptographie als Teil der Lösung und nicht als Teil des Problems erkennen.
Mein altes "Risks of Key Recovery"-Referat:
<http://www.schneier.com/key-escrow.html>
Artikel über dieses Thema:
<http://cgi.zdnet.com/slink?140437:8469234>
<http://www.wired.com/news/politics/0,1283,46816,00.html>
<http://www.pcworld.com/news/article/0,aid,62267,00.asp>
<http://www.newscientist.com/news/news.jsp?id=ns99991309>
<http://www.zdnet.com/zdnn/stories/news/0,4586,2814833,00.html>
Al-Qaeda benutzte zur Planung dieser Angriffe keine Verschlüsselung:
<http://dailynews.yahoo.com/h/nm/20010918/ts/attack_investigation_dc_23.html>
Eine Umfrage ergibt, dass 72 Prozent der Amerikaner glauben, dass Gesetze
gegen Verschlüsselung "irgendwie" oder "sehr" hilfreich
sein würden, um eine Wiederholung der terroristischen Angriffe auf New Yorks
World Trade Center und das Pentagon in Washington, D.C., zu verhindern. Kein
Hinweis, welcher Prozentsatz die Frage tatsächlich verstanden hat.
<http://news.cnet.com/news/0-1005-200-7215723.html?tag=mn_hd>
Ahnen Sie was? Al-Quaeda könnte Steganographie benutzen. Laut ungenannten "U.S.-Beamten und Experten" und "U.S.- und ausländischen Beamten" benutzen terroristische Gruppen "Sport-Chatrooms, pornographische Foren und andere Websites zum Verstecken von Karten und Fotographien von terroristischen Zielen sowie zum Übermitteln von Instruktionen für terroristische Aktivitäten."
Ich habe in der Vergangenheit über Steganographie geschrieben, und ich möchte nicht allzu viel Zeit für das Wiederkäuen alter Geschichten aufwenden. Einfach gesagt ist Steganographie die Wissenschaft des Versteckens von Nachrichten in Nachrichten. Typischerweise wird eine Nachricht (entweder Klartext oder, geschickter, verschlüsselter Text) in Form winziger Unterschiede in der Farbe der Pixel einer digitalen Fotographie kodiert. Oder in nicht wahrnehmbarem Rauschen in einer Audiodatei. Für den uneingeweihten Beobachter ist es lediglich ein Bild. Aber für den Sender und den Empfänger versteckt sich darin eine Nachricht.
Es überrascht mich nicht, dass Terroristen diesen Trick benutzen. Dieselben Aspekte der Steganographie, die sie für die normale Nutzung durch Firmen ungeeignet machen, machen sie für terroristische Benutzung ideal geeignet. Insbesondere kann sie in einem elektronischen toten Briefkasten benutzt werden.
Wenn man die eidesstattlichen Erklärungen des FBI gegen Robert Hanssen liest, kann man lernen wie Hanssen mit seinen russischen Kontaktleuten kommunizierte. Sie hatten sich nie getroffen, sondern deponierten Nachrichten, Geld und Dokumente für den jeweils anderen in einer Plastiktüte unter einer Brücke. Hanssens Kontaktmann würde dann ein Signal an einem öffentlichen Platz anbringen -- ein Kreidezeichen an einem Wegweiser -- um auf ein neues Paket hinzuweisen. Hanssen würde das Paket anschließend einsammeln.
Das ist ein toter Briefkasten. Er hat viele Vorteile gegenüber einem persönlichen Treffen. Erstens werden die beiden Parteien nie zusammen gesehen. Zweitens brauchen die beiden Parteien keine Verabredung zu koordinieren. Drittens und als wichtigstes muss eine Partei nicht mal wissen, wer die andere ist (ein definitiver Vorteil falls eine von ihnen verhaftet wird). Tote Briefkästen können zur Ermöglichung von völlig anonymer, asynchroner Kommunikation eingesetzt werden.
Die Benutzung von Steganographie zur Einbettung einer Nachricht in ein pornographisches Bild und dessen Veröffentlichung in einer Usenet-Newsgruppe ist das Cyberspace-Äquivalent eines toten Briefkastens. Für jeden anderen ist es lediglich ein Bild. Aber für den Empfänger gibt es darin eine Nachricht, die auf ihre Extraktion wartet.
Damit es in der Praxis funktioniert, müssten die Terroristen eine Art Code einrichten. So wie Hanssen wußte, dass er ein neues Paket einsammeln konnte, wenn er das Kreidezeichen sah, muss ein virtueller Terrorist wissen, wann er nach einer Nachricht Ausschau halten muss. (Es kann nicht erwartet werden, dass er jedes Bild untersucht.) Es gibt eine Menge Wege, ein Signal zu übermitteln: der Zeitstempel der Nachricht, ein ungewöhnliches Wort in der Betreffzeile, etc. Benutzen Sie hier Ihre Vorstellungskraft; die Möglichkeiten sind unbegrenzt.
Dies hat die Auswirkung, dass der Sender eine Nachricht übermitteln kann, ohne jemals direkt mit dem Empfänger zu kommunizieren. Es gibt keine E-Mail zwischen ihnen, keine Remote-Anmeldung, keine Instant Messages. Alles was existiert ist ein in ein öffentliches Forum gepostetes Bild, das von jedem runtergeladen wird, der von der Betreffzeile ausreichend neugierig gemacht wurde (sowohl Dritte als auch der beabsichtigte Empfänger der geheimen Nachricht).
Was muss eine Spionageabwehr also tun? Es gibt die Standardverfahren zum Auffinden von steganographische Nachrichten, die meisten beinhalten die Suche nach Änderungen in den Verkehrsmustern. Wenn Bin Laden für die Einbettung seiner geheimen Nachrichten pornographische Bilder benutzt, dann ist es unwahrscheinlich dass diese Bilder in Afghanistan aufgenommen wurden. Sie wurden wahrscheinlich aus dem Web geladen. Wenn die NSA eine Datenbank der Bilder aufbauen kann (wäre das nicht was?), dann können sie solche mit subtilen Änderungen in den unteren Bits finden. Sollte Bin Laden dasselbe Bild zur Übermittlung mehrerer Nachrichten verwenden, könnte die NSA dies bemerken. Ansonsten gibt es wahrscheinlich nichts, was die NSA tun kann. Tote Briefkästen, sowohl real als auch virtuell, können nicht verhindert werden.
Warum kann dies nicht geschäftlich genutzt werden? Der Hauptgrund ist, dass für legitime Geschäfte keine toten Briefkästen benötigt werden. Ich erinnere mich an eine Firma, die von einem anderen Unternehmen erzählt hat, das steganographische Nachrichten an die Vertriebsleute in einem Foto auf der Firmenwebseite eingebettet hat. Warum nicht einfach eine verschlüsselte E-Mail schicken? Weil jemand die E-Mail bemerken könnte und damit weiß, dass die Vertriebsleute eine verschlüsselte E-Mail erhielten. Also sendet man jeden Tag eine Nachricht: eine echte Nachricht wenn es nötig ist, ansonsten eine Dummy-Nachricht. Dies ist ein Problem der Verkehrsanalyse, und es gibt andere Techniken zu dessen Lösung. Steganographie passt hier einfach nicht hin.
Steganographie ist für terroristische Zellen ein guter Kommunikationsweg, der die Kommunikation ohne die Kenntnis der Identität der anderen ermöglicht. Es gibt andere Wege zum Aufbau eines toten Briefkastens im Cyberspace. Ein Spion kann sich zum Beispiel einen kostenlosen, anonymen E-Mail-Account besorgen. Bin Laden benutzt diese wahrscheinlich auch.
News-Artikel:
<http://www.wired.com/news/print/0,1294,41658,00.html>
<http://www.usatoday.com/life/cyber/tech/2001-02-05-binladen.htm>
<http://www.sfgate.com/cgi-bin/article.cgi?file=/gate/archive/2001/09/20/sigintell.DTL>
<http://www.cnn.com/2001/US/09/20/inv.terrorist.search/>
<http://www.washingtonpost.com/wp-dyn/articles/A52687-2001Sep18.html>
Mein altes Essay über Steganographie:
<http://www.schneier.com/crypto-gram-9810.html#steganography>
Studie behauptet: Keine Steganographie auf eBay:
<http://www.theregister.co.uk/content/4/21829.html>
Erkennung von Steganographie im Internet:
<http://www.citi.umich.edu/techreports/reports/citi-tr-01-11.pdf>
Eine Version dieses Essays erschien bei ZDnet:
<http://www.zdnet.com/zdnn/stories/comment/0,5859,2814256,00.html>
<http://www.msnbc.com/news/633709.asp?0dm=B12MT>
Ich bin nicht dagegen, Gewalt gegen die Terroristen einzusetzen. Ich bin nicht dagegen, in den Krieg zu ziehen, -- für Vergeltung, als Abschreckung und für die Wiederherstellung des Gesellschaftsvertrags -- davon ausgehend, dass ein geeigneter Feind identifiziert werden kann. Gelegentlich ist Frieden etwas, für das man kämpfen muss. Aber ich denke, der Einsatz von Gewalt ist wesentlich komplizierter als die meisten Leute realisieren. Unsere Handlungen sind wichtig; hierbei unordentlich vorzugehen wird die Dinge nur schlimmer machen.
Geschrieben vor dem 11. September: Ein ehemaliger CIA-Mitarbeiter erklärt, warum
der Terrorist Usama Bin Laden wenig vor den amerikanischen Geheimdiensten zu
befürchten hat.
<http://www.theatlantic.com/issues/2001/07/gerecht.htm>
Und ein russischer Soldat erörtert, warum Krieg in Afghanistan ein Alptraum sein
wird.
<http://www.latimes.com/news/printedition/asection/la-000075191sep19.story>
Ein britischer Soldat erklärt dasselbe:
<http://www.sunday-times.co.uk/news/pages/sti/2001/09/23/stiusausa02023.html?>
Lektionen aus Britannien zur Terrorismusbekämpfung:
<http://www.salon.com/news/feature/2001/09/19/fighting_terror/index.html>
1998 Esquire Interview mit Bin Ladin:
<http://www.esquire.com/features/articles/2001/010913_mfe_binladen_1.html>
Phil Agres Kommentare zu diesen Themen:
<http://commons.somewhere.com/rre/2001/RRE.War.in.a.World.Witho.html>
<http://commons.somewhere.com/rre/2001/RRE.Imagining.the.Next.W.html>
Warum Technologie uns nicht schützen kann:
<http://www.osopinion.com/perl/story/13535.html>
Hacktivismus fordert Vergeltung für die terroristischen Angriffe:
<http://news.cnet.com/news/0-1003-201-7214703-0.html?tag=owv>
FBI erinnert jeden daran, dass es illegal ist:
<http://www.nipc.gov/warnings/advisories/2001/01-020.htm>
<http://www.ananova.com/news/story/sm_400565.html?menu=>
Hacker werden unter dem Anti-Terror-Gesetz mit lebenslanger Haft konfrontiert:
<http://www.securityfocus.com/news/257>
Besonders angsteinflößend sind die Teile zu "Hinweise und Beihilfe". Ein
Sicherheitsberater könnte mit lebenslanger Haft konfrontiert werden, ohne Bewährung,
wenn er ein Sicherheitsloch entdeckt und veröffentlicht, das später von jemand
anderem für einen Exploit genutzt wird. Schließlich würde der Hacker ohne den
"Hinweis" auf die Natur des Sicherheitslochs seinen Hack niemals
vollbracht haben.
Firmen befürchten Cyberterrorismus:
<http://cgi.zdnet.com/slink?140433:8469234>
<http://computerworld.com/nlt/1,3590,NAV65-663_STO63965_NLTSEC,00.html>
Sie investieren in Sicherheit:
<http://www.washtech.com/news/software/12514-1.html>
<http://www.theregister.co.uk/content/55/21814.html>
Upgrade der Regierungsrechner zum Bekämpfen des Terrorismus:
<http://www.zdnet.com/zdnn/stories/news/0,4586,5096868,00.html>
Risiken von cyberterroristischen Angriffen gegen unsere elektronische
Infrastruktur:
<http://www.businessweek.com/bwdaily/dnflash/sep2001/nf20010918_8931.htm?&_ref=1732900718>
<http://cgi.zdnet.com/slink?143569:8469234>
Jetzt wird beklagt, dass Bin Laden KEINE High-Tech Kommunikation benutzt:
<http://www.theregister.co.uk/content/57/21790.html>
Larry Ellison ist bereit, die Software zur Implementierung von nationalen
ID-Karten zu verschenken:
<http://www.siliconvalley.com/docs/news/svfront/ellsn092301.htm>
Die Sicherheitsprobleme beinhalten: ungenaue Informationen, Insider, die gefälschte
Karten ausstellen (dies passiert bei staatlichen Führerscheinen), Angreifbarkeit
der großen Datenbank, möglicher Missbrauch privater Informationen, etc. Und natürlich
würde kein multinationaler Terrorist in so einem System verzeichnet sein, weil er
kein U.S.-Bürger sein würde. Was erwartet man von einer Firma, deren Ursprünge mit
der CIA verflochten sind?
Viele Amerikaner haben sich erschüttert von den kürzlichen Entführungen dazu bereit erklärt, Bürgerrechte im Namen der Sicherheit aufzugeben. Sie haben dies so lautstark erklärt, dass dieser Kompromiss eine vollendete Tatsache zu sein scheint. In einem Artikel nach dem anderen wird über die Balance zwischen Privatsphäre und Sicherheit geredet und darüber diskutiert, ob verschiedene Zunahmen an Sicherheit die Verluste an Privatsphäre und Bürgerrechten wert sind. Ich sehe selten eine Diskussion darüber, ob dies eine zutreffende Verknüpfung ist.
Sicherheit und Privatsphäre sind nicht zwei Seiten einer Wippe. Diese Assoziation ist zu simpel und in hohem Maße trügerisch. Die Erhöhung der Sicherheit durch Wegnahme der Freiheit ist einfach und schnell, aber wenig effektiv. Wie auch immer, die besten Wege zur Erhöhung der Sicherheit gehen nicht auf Kosten der Privatsphäre und der Freiheit.
Die Widerlegung der Ansicht, dass jede Sicherheit auf Kosten der Freiheit geht, ist einfach. Die Bewaffnung von Piloten, die Verstärkung der Cockpit-Türen und das Karatetraining für das Flugpersonal sind alles Beispiele für Sicherheitsmaßnahmen, die keine Auswirkungen auf die individuelle Privatsphäre und die individuellen Freiheiten haben. Genauso wie eine bessere Authentisierung des Flughafenpersonals, oder Dead-Man-Schalter, die die Flugzeuge zur automatischen Landung auf dem nächstgelegenen Flughafen zwingen, oder bewaffnete Luftpolizisten, die auf den Flügen mitreisen.
Freiheitsberaubende Sicherheitsmaßnahmen finden sich meistens, wenn es die Designer des Systems versäumt haben, Sicherheit von Anfang an mit einzubeziehen. Es sind Pflaster und der Beweis für schlechte Sicherheitsplanung. Wenn die Sicherheit im Systementwurf mit berücksichtigt wurde, kann es funktionen, ohne die Leute zur Aufgabe ihrer Freiheiten zu zwingen.
Hier ist ein Beispiel: die Sicherung eines Raums. Option eins: Man wandelt den Raum in einen uneinnehmbaren Tresor um. Option zwei: Man bringt an den Türen Schlösser und an den Fenstern Gitter an und versieht alles mit Alarmanlagen. Option drei: Man kümmert sich nicht um die Sicherung des Raums; stattdessen postiert man einen Wachmann im Raum, der die ID von jedem Eintretenden notiert und sicherstellt, dass er zum Betreten befugt ist.
Option eins ist die beste, ist aber unrealistisch. Es gibt ganz einfach keine uneinnehmbaren Tresore, soweit es geht daran heranzukommen wird durch die Kosten verhindert, und die Umwandlung eines Raums in einen Tresor stellt eine enorme Verminderung seiner Brauchbarkeit als Raum dar. Option zwei ist die realistische beste; die Kombination der Stärken der Prävention, der Erkennung und der Reaktion zum Erreichen einer stabilen Sicherheit. Option drei ist die übelste. Sie ist erheblich teurer als Option zwei sowie die eingreifendste und am leichtesten zu umgehende aller drei Optionen. Sie ist ebenfalls ein sicheres Zeichen für schlechte Planung; der Raum wurde gebaut, und erst danach wurde der Bedarf für Sicherheit erkannt. Anstatt die Mühe zur Installation von Türschlössern und Alarmanlagen aufzuwenden, wird der einfache Weg gegangen und in die Privatsphäre der Leute eingegriffen.
Ein komplexeres Beispiel ist die Internetsicherheit. Präventive Gegenmaßnahmen helfen erheblich gegen Script Kiddies, versagen aber gegen gewiefte Angreifer. Seit einigen Jahren habe ich zur Gewährleistung der Sicherheit im Internet Erkennung und Reaktion verfochten. Dies funktioniert; meine Firma erwischt die ganze Zeit Angreifer -- sowohl Hacker von außen als auch Insider. Wir erreichen dies durch Beobachtung der Audit-Logs der Netzwerkprodukte: Firewalls, IDSs, Router, Server und Anwendungen. Wir hören nicht die legitimierten Benutzer ab oder lesen den Netzwerkverkehr. Wir brechen nicht in die Privatsphäre ein. Wir kontrollieren Daten über Daten und finden auf diese Weise Hinweise auf Missbrauch. Es werden keine Bürgerrechte verletzt. Es ist nicht perfekt, aber nichts ist perfekt. Dennoch ist es, kombiniert mit präventiven Sicherheitsprodukten, wirksamer und kostengünstiger als alles andere.
Die Parallelen zwischen Internetsicherheit und globaler Sicherheit sind stark. Alle Ermittlungen über Kriminalität greifen auf Überwachungsaufzeichnungen zurück. Die Lowest-Tech-Variante davon ist die Befragung von Zeugen. In den aktuellen Ermittlungen untersucht das FBI die Flughafenvideos, Aufzeichnungen über die Flugpassagiere, Aufzeichnungen der Flugschulen, Aufzeichnungen über Bilanzen, etc. Und je besser sie ihren Job bei der Untersuchung dieser Aufzeichnungen machen können, desto effektiver werden ihre Ermittlungen sein.
Es gibt trittbrettfahrende Kriminelle und Terroristen, die nachmachen was sie vorher gesehen haben. Die hastig implementierten Sicherheitsmaßnahmen haben in großem Umfang versucht, dies zu verhindern. Und es gibt die schlauen Angreifer, die neue Wege zum Angreifen der Leute erfinden. Dies haben wir am 11. September erlebt. Es ist teuer, aber wir können zum Schutz gegen die gestrigen Angriffe eine Sicherheit aufbauen. Aber wir können keinen Schutz gegen die Angriffe von Morgen garantieren: den Hackerangriff, der noch nicht erfunden wurde, oder den terroristischen Angriff, der noch konzipiert wird.
Forderungen nach noch mehr Überwachung gehen am Thema vorbei. Das Problem ist nicht die Erlangung von Daten, sondern das Treffen der Entscheidung welche Daten der Analyse wert sind, um sie dann zu interpretieren. Jeder hinterläßt bereits eine breite Spur während wir durchs Leben gehen, und die Ermittlungsbehörden können bereits auf diese Aufzeichnungen mit Gerichtsbeschlüssen zugreifen. Das FBI konnte schnell die Identität der Terroristen ermitteln und die letzten paar Monate ihres Lebens rekonstruieren, nachdem sie einmal wussten wo sie suchen müssen. Wenn sie ihre Hände gehoben und gesagt hätten, dass sie nicht herausfinden könnten, wer es tat oder wie, könnten sie ein Argument für den Bedarf an mehr Überwachungsdaten haben. Aber sie machten es nicht, und sie machen es nicht.
Mehr Daten können sogar kontraproduktiv sein. Die NSA und die CIA wurden dafür kritisiert, dass sie sich zu sehr auf die Auswertung der Kommunikation (Signal Intelligence) und nicht genug auf die Human Intelligence verlassen haben. Die ostdeutsche Polizei sammelte Daten über vier Millionen Ostdeutsche, ungefähr ein Viertel ihrer Bevölkerung. Dennoch haben sie den friedlichen Umsturz der kommunistischen Regierung nicht vorausgesehen, weil sie sehr stark in die Datensammlung statt in die Datenauswertung investierten. Wir benötigen mehr Geheimdienstagenten, die im Mittleren Osten auf dem Boden hockend den Koran erörtern, nicht in Washington sitzend die Abhörgesetze.
Die Leute sind bereit, die Freiheiten für vage Versprechungen der Sicherheit aufzugeben, weil sie denken dass sie keine Wahl haben. Was ihnen nicht gesagt wird ist, dass sie beides haben können. Es würde von den Leuten erfordern, dass sie zu den Ermächtigungsbestrebungen des FBI nein sagen. Es würde von uns erfordern, die einfachen Antworten zugunsten bedachter Antworten zu verwerfen. Es würde erfordern, Anreize zur Verbesserung der Gesamtsicherheit zu gestalten statt einfach deren Kosten zu reduzieren. Die Berücksichtigung der Sicherheit im Systementwurf von Anfang an statt des Dranheftens am Ende würde uns die Sicherheit geben, die wir brauchen, und gleichzeitig die Bürgerrechte erhalten, die wir hochhalten.
Etwas ausgedehnte Überwachung, unter eingeschränkten Umständen, könnte als temporäre Maßnahme berechtigt sein. Aber wir müssen vorsichtig sein, dass sie temporär bleibt, und dass wir die Überwachung nicht in unsere elektronische Infrastruktur einfügen. Thomas Jefferson sagte einst: "Ewige Wachsamkeit ist der Preis der Freiheit." Historisch sind die Freiheiten immer ein Opfer des Kriegs gewesen, aber ein temporäres Opfer. Dieser Krieg -- ein Krieg ohne klaren Feind und ohne Endbedingung -- hat das Potential, sich zu einem permanenten Zustand der Gesellschaft zu wandeln. Wir müssen unsere Sicherheit dementsprechend entwerfen.
Die Ereignisse des 11. Septembers demonstrierten den Bedarf Amerikas, die öffentliche Infrastruktur unter Einbeziehung der Sicherheit neu zu entwerfen. Diesen Bedarf zu ignorieren wäre eine weitere Tragödie.
Zitate von U.S.-Regierungsvertretern zum Bedürfnis, die Freiheit während
dieser Krise zu bewahren:
<http://www.epic.org/alert/EPIC_Alert_8.17.html>
Zitate aus Leitartikeln zum selben Thema:
<http://www.epic.org/alert/EPIC_Alert_8.18.html>
Ausgewählte Leitartikel:
<http://www.nytimes.com/2001/09/16/weekinreview/16GREE.html>
<http://www.nytimes.com/2001/09/23/opinion/23SUN1.html>
<http://www.freedomforum.org/templates/document.asp?documentID=14924>
Schneiers Kommentare in GB:
<http://www.theregister.co.uk/content/55/21892.html>
Krieg und Freiheiten:
<http://www.salon.com/tech/feature/2001/09/22/end_of_liberty/index.html>
<http://www.washingtonpost.com/wp-dyn/articles/A21207-2001Sep12.html>
<http://www.wired.com/news/politics/0,1283,47051,00.html>
Mehr über Ashcrofts Initiativen gegen die Privatsphäre:
<http://www.theregister.co.uk/content/6/21854.html>
Cartoon im Leitartikel:
<http://www.claybennett.com/pages/latest_08.html>
Terroristen hinterlassen eine breite elektronische Spur:
<http://www.wired.com/news/politics/0,1283,46991,00.html>
National Review Artikel von 1998: "Know nothings: U.S. intelligence
failures stem from too much information, not enough understanding"
<http://www.findarticles.com/m1282/n14_v50/21102283/p1/article.jhtml>
Eine vorhergehende Version dieses Essays erschien im San Jose Mercury News:
<http://www0.mercurycenter.com/premium/opinion/columns/security27.htm>
Wie können Sie helfen? Sprechen Sie über diese Themen. Schreiben Sie Ihrem gewählten Vertreter. Unterstützen Sie Organisationen, die an diesen Themen arbeiten.
Diese Woche wird der Kongress der Vereinigten Staaten über die umfassendsten Anträge zur Erweiterung der Überwachungsbefugnisse der Regierung seit Ende des kalten Krieges verhandeln. Wenn Sie die Privatsphäre schätzen und in den U.S.A. leben, sollten Sie drei Schritte durchführen, bevor Sie Ihre nächste E-Mail öffnen:
1. Bitten Sie Ihre Vertreter im Kongress dringend, die Privatsphäre zu
schützen.
- Rufen Sie die Telefonzentrale des Kapitols unter 202-224-3121 an.
- Bitten Sie um eine Verbindung zum Büro ihres Kongressabgeordneten.
- Wenn Sie durchgestellt werden, sagen Sie "Könnte ich bitte mit
dem Mitarbeiter sprechen, der am Anti-Terror-Gesetz arbeitet?"
Wenn diese Person nicht zur Verfügung steht, um mit Ihnen zu sprechen, sagen Sie
"Könnte ich bitte eine Nachricht hinterlassen?"
- Erklären Sie kurz, dass Sie für die Bemühungen ihres Vertreters bezüglich der
durch die Tragödie des 11. Septembers verursachten Herausforderungen dankbar sind,
es aber Ihrer Meinung nach ein Fehler sein würde, irgendwelche Änderungen in den
staatlichen Abhörgesetzen durchzuführen, die nicht auf "die unmittelbaren
Belange der Ermittlungen gegen terroristische Aktionen und deren Verhinderung"
ausgerichtet sind.
2. Rufen Sie die Website In Defense of Freedom auf und bestätigen Sie die Erklärung: <http://www.indefenseoffreedom.org/>
3. Leiten Sie diese Nachricht an mindesten fünf andere Personen weiter.
Wir haben weniger als 100 Stunden, bevor der Kongress an einer Gesetzgebung arbeitet, die (a) den Einsatz von Carnivore erheblich ausweiten wird, (b) das Hacken von Computern zu einer Form des Terrorismus machen wird, (c) die elektronische Überwachung in Routine-Ermittlungen zur Kriminalität ausweiten wird, und (d) die Verantwortlichkeit der Regierung reduzieren wird.
Bitte handeln Sie jetzt.
Allgemeiner gesagt erwarte ich, viele Teile der Gesetzgebung zu sehen, die diese Angelegenheiten ansprechen werden. Besuchen Sie die folgenden Websites für aktuelle Informationen über die Vorgänge und darüber, was Sie machen können, um zu helfen.
Das Electronic Privacy Information Center:
<http://www.epic.org/>
Das Center for Democracy and Technology:
<http://www.cdt.org/>
Die American Civil Liberties Union:
<http://www.aclu.org/>
Electronic Frontier Foundation:
<http://www.eff.org/>
Crypto-Gram ist ein kostenloser monatlicher Newsletter mit Zusammenfassungen,
Analysen, Einsichten und Kommentaren über Computersicherheit und Kryptographie.
Ältere Ausgaben und die Möglichkeit des Abonnements stehen hier zur
Verfügung:
<http://www.schneier.com/crypto-gram.html>
Die deutschen Übersetzungen stehen hier zur Verfügung:
<http://archiv.galad.com/cg/cg.htm>
Die deutsche Übersetzung von Crypto-Gram darf an interessierte Kollegen und Freunde weiterverteilt werden. Die Erlaubnis zum Nachdruck der deutschen Übersetzung von Crypto-Gram ist gewährt, solange die Wiedergabe als Gesamtheit erfolgt. Die LinkMap kann selbstverständlich entfernt werden.
Bruce Schneier ist der Verfasser von Crypto-Gram. Schneier ist der Gründer und CTO der Counterpane Internet Security Inc., der Autor von "Secrets and Lies" und "Applied Cryptography", und ein Erfinder der Blowfish-, Twofish- und Yarrow-Algorithmen. Er ist ein Mitglied des Beraterboards des Electronic Privacy Information Centers (EPIC). Er ist ein regelmäßiger Autor und Dozent über Computersicherheit und Kryptographie.
Deutsche Übersetzung von Holger Hasselbach, galad.com, mit freundlicher Erlaubnis der Counterpane Internet Security, Inc.
Copyright (c) 2001 by Counterpane Internet Security, Inc.
Copyright (c) dieser deutschen Übersetzung 2001 by galad.com