Der Hacker Claudio Guarnieri erzählt über sichere Mails, abgeklebte Kameras und Science-Fiction, die längst Alltag ist.
Es ist ja so bequem. Ein Klick, dann dieser Ton, der klingt, als fragte ein Außerirdischer in Zeitlupe "Hä?", Skype öffnet sich. Noch ein Klick, schon rede ich mit Claudio Guarnieri, von dem mich gerade 900 Kilometer trennen.
Guarnieri hat sich einen Namen als Hacker gemacht: Nex. Heute arbeitet er als Technologe und Sicherheitsforscher für Amnesty International. Er tritt dafür ein, dass Sicherheit im Netz kein Privileg der Wenigen ist, sondern ein Recht für alle.
Vor Kurzem gründete er die Organisation "Security Without Borders", die Opfern von Cyberattacken hilft. Jetzt sitzt er in einer Vorstadt Mailands, zu Besuch bei den Eltern. Seine Stimme knarzt digital, die Verbindung ist so dürftig, dass wir die Kameras ausschalten. Nicht so verkehrt, wie sich zeigen wird.
WerbungWERBUNG
Claudio, es war mein Vorschlag, dieses Gespräch über Skype zu führen. Gute Idee?
Geht so. Skype bietet nicht den Grad an Verschlüsselung, der ideal wäre. Angenommen, einer von uns beiden stünde in Konflikt mit dem Gesetz oder ein Hacker würde es schaffen, sich seinen Weg in die Infrastruktur von Skype zu bahnen, dann wäre es gut möglich, dass unser Interview jetzt abgehört wird.
Geht so. Skype bietet nicht den Grad an Verschlüsselung, der ideal wäre. Angenommen, einer von uns beiden stünde in Konflikt mit dem Gesetz oder ein Hacker würde es schaffen, sich seinen Weg in die Infrastruktur von Skype zu bahnen, dann wäre es gut möglich, dass unser Interview jetzt abgehört wird.
Könntest du dich einhacken?
Es würde mich sehr viel Zeit kosten zu versuchen, unautorisierten Zugang zu kriegen. Und das würde wohl Ermittlungen nach sich ziehen. Aber, prinzipiell: ja. Das wäre möglich. Eine bessere Verschlüsselung könnte das verhindern.
Es würde mich sehr viel Zeit kosten zu versuchen, unautorisierten Zugang zu kriegen. Und das würde wohl Ermittlungen nach sich ziehen. Aber, prinzipiell: ja. Das wäre möglich. Eine bessere Verschlüsselung könnte das verhindern.
Wo ist die Verschlüsselung stärker?
Bei Whatsapp zum Beispiel. Ja, das ist eine bessere Wahl als die meisten anderen Messagingsysteme. Whatsapp hat vor einiger Zeit eine starke Verschlüsselung eingeführt. Verglichen mit Skype ist das seitdem ein sicherer Ort.
Bei Whatsapp zum Beispiel. Ja, das ist eine bessere Wahl als die meisten anderen Messagingsysteme. Whatsapp hat vor einiger Zeit eine starke Verschlüsselung eingeführt. Verglichen mit Skype ist das seitdem ein sicherer Ort.
Frei von Kritik ist Whatsapp aber auch nicht.
Da geht’s vor allem um einen anderen Aspekt, die Metadaten. Also: Bin ich damit einverstanden, dass Whatsapp, das zu Facebook gehört, Daten sammelt, die meine Kommunikation zusammenfassen? Das ist nicht schön, hier bin ich auch skeptisch. Unter Privatsphäre-Aktivisten empfiehlt man daher auch andere praktikable Programme, Signal oder Wire etwa. Nur: Whatsapp hat als einer der großen Player einen wichtigen Schritt nach vorn gemacht, als plötzlich Milliarden Menschen eine stärkere Verschlüsselung nutzten teils ohne es zu merken.
Da geht’s vor allem um einen anderen Aspekt, die Metadaten. Also: Bin ich damit einverstanden, dass Whatsapp, das zu Facebook gehört, Daten sammelt, die meine Kommunikation zusammenfassen? Das ist nicht schön, hier bin ich auch skeptisch. Unter Privatsphäre-Aktivisten empfiehlt man daher auch andere praktikable Programme, Signal oder Wire etwa. Nur: Whatsapp hat als einer der großen Player einen wichtigen Schritt nach vorn gemacht, als plötzlich Milliarden Menschen eine stärkere Verschlüsselung nutzten teils ohne es zu merken.
Das klingt aber auch recht unmündig und erinnert mich an den deutschen Medientheoretiker Friedrich Kittler, der Anfang der Nullerjahre schrieb: "Der Computeranalphabet als solcher ist (...) zum Subjekt oder Untertan einer Corporation geworden."
So traurig das ist, ich würde ihm auch heute zustimmen. Ich wünsche mir, dass Menschen sich gar nicht mehr darüber informieren müssten, was im Netz wie sicher ist. Jegliche Technologie sollte das automatisch leisten. Die Unternehmen sollten selbst den Anspruch haben, ihren Konsumenten so gut es geht zu dienen. So weit sind wir aber noch nicht.
So traurig das ist, ich würde ihm auch heute zustimmen. Ich wünsche mir, dass Menschen sich gar nicht mehr darüber informieren müssten, was im Netz wie sicher ist. Jegliche Technologie sollte das automatisch leisten. Die Unternehmen sollten selbst den Anspruch haben, ihren Konsumenten so gut es geht zu dienen. So weit sind wir aber noch nicht.
WerbungWERBUNG
Die meisten Unternehmen machen genau das Gegenteil. Sie verdienen Geld, indem sie Daten sammeln, um gezielt Werbung schalten zu können, auf Kosten von Sicherheit und Privatsphäre. Die Nutzer müssen sich sehr bewusst durchs Netz bewegen, um ein annehmbares Level an Sicherheit für sich selbst zu gewährleisten. Sie müssen also Widerstandskämpfer in diesem System werden. Und das ist Quatsch.
Mein Eindruck ist, dass viele gar keinen Widerstand leisten wollen. Ein Satz, der oft wiederkehrt, ist doch: "Ich habe nichts zu verbergen." Was antwortest du darauf?
Unter Privatsphäre-Aktivisten gibt es schon Standardantworten darauf, etwa: "Du trägst doch Kleidung, wenn du auf die Straße gehst, aha, und du hast also nichts zu verbergen?" Man könnte den Leuten auch antworten: "Dann lass mich deine SMS lesen. Zeig mir alle Fotos auf deinem Smartphone. Gib mir all deine Passwörter. "
Unter Privatsphäre-Aktivisten gibt es schon Standardantworten darauf, etwa: "Du trägst doch Kleidung, wenn du auf die Straße gehst, aha, und du hast also nichts zu verbergen?" Man könnte den Leuten auch antworten: "Dann lass mich deine SMS lesen. Zeig mir alle Fotos auf deinem Smartphone. Gib mir all deine Passwörter. "
Das beliebteste Passwort ist ja nach wie vor 123456. Was sagt das über den Stand der Sicherheit im Netz aus?
Das zeigt, dass Medienkompetenz immer noch rar gesät ist. Dieses Problem sitzt tief. Und es hängt zusammen mit anderen Schlagworten, die wir in letzter Zeit immer wieder hören: Fake News zum Beispiel.
Das zeigt, dass Medienkompetenz immer noch rar gesät ist. Dieses Problem sitzt tief. Und es hängt zusammen mit anderen Schlagworten, die wir in letzter Zeit immer wieder hören: Fake News zum Beispiel.
Der Grund, weshalb Menschen schlechte Passwörter haben oder Fake News auflaufen, liegt in einem Mangel an Medienkompetenz. Ich fiebere dem Tag entgegen, wenn in der Schule endlich gelehrt wird, welche Sicherheitsrisiken mit welcher Technologie im Netz verbunden sind. Das mag nach Cyberpunk klingen. Aber für mich ist es nicht weit entfernt von Sexualkunde, wo uns schon lange beigebracht wird, wie wir zugleich intim und sicher sein können.
WerbungWERBUNG
Ein Thema, bei dem wir offen bar noch Nachhilfe bräuchten, sind E-Mails. Die erste E-Mail in Deutschland wurde vor über 30 Jahren verschickt, aber auch heute noch werden Accounts gehackt; teils im großen Stil. Was rätst du?
E-Mails sind seltsame Wesen, die wir zwar seit Jahrzehnten nutzen, aber nicht auf eine sichere Art. Mails zu verschlüsseln ist viel komplizierter, als es sein sollte. In das Standardprogramm PGP (Pretty Good Privacy) kann sich jeder mal einlesen. Generell gilt: Halte digital Hygiene. Aktualisiere deine Software, sobald ein Update da ist, nutze nicht für alles dasselbe Passwort und am besten einen Passwortmanager. Sei dir bewusst, dass du dich im Internet auf feindlichem Gebiet befindest.
E-Mails sind seltsame Wesen, die wir zwar seit Jahrzehnten nutzen, aber nicht auf eine sichere Art. Mails zu verschlüsseln ist viel komplizierter, als es sein sollte. In das Standardprogramm PGP (Pretty Good Privacy) kann sich jeder mal einlesen. Generell gilt: Halte digital Hygiene. Aktualisiere deine Software, sobald ein Update da ist, nutze nicht für alles dasselbe Passwort und am besten einen Passwortmanager. Sei dir bewusst, dass du dich im Internet auf feindlichem Gebiet befindest.
Was, wenn der Passwortmanager gehackt wird?
Das ist in der Tat ein Problem. In den vergangenen Monaten gab es ein paar Fälle von Online-Passwortmanagern, die gesprengt wurden. Nutze so was deshalb nur offline. Pack deine Passwörter nicht irgendwo ins Netz. Ein Offline-Passwortmanager, der die Daten auf deiner Festplatte speichert, ist zum Beispiel Keepass X.
Das ist in der Tat ein Problem. In den vergangenen Monaten gab es ein paar Fälle von Online-Passwortmanagern, die gesprengt wurden. Nutze so was deshalb nur offline. Pack deine Passwörter nicht irgendwo ins Netz. Ein Offline-Passwortmanager, der die Daten auf deiner Festplatte speichert, ist zum Beispiel Keepass X.
Die Festplatte verschlüsselst du am besten auch. Nun müsste jemand schon deinen Rechner hacken, um an deine Passwörter zu kommen. Unwahrscheinlich, aber wenn das einmal passiert ist, dann gibt’s keine Rettung mehr.
Düster. Apropos: Als wir vorhin die Kameras ausschalteten, musste ich an eine Episode der britischen Science-Fiction-Serie "Black Mirror" denken: Darin filmen Hacker durch die Kameralinsen fremde Personen dabei, wie sie etwas Intimes oder Geheimes tun. Anschließend erpressen sie die Opfer mit der Drohung, die Videos online zu stellen. Für wie realistisch hältst du dieses dystopische Szenario?
Das ist kein dystopisches Szenario, das ist Wirklichkeit.
Das ist kein dystopisches Szenario, das ist Wirklichkeit.
WerbungWERBUNG
Ernsthaft?
Ja, ich arbeite mit Menschen, denen genau das passiert ist. Ihre Webcams wurden während intimer Momente gehackt und die Filme anschließend geleakt, um diese Leute, oft öffentliche Personen, vor den Augen der Welt bloßzustellen. "Black Mirror" wird immer mehr zu einem Spiegel der Wirklichkeit, scheint mir.
Ja, ich arbeite mit Menschen, denen genau das passiert ist. Ihre Webcams wurden während intimer Momente gehackt und die Filme anschließend geleakt, um diese Leute, oft öffentliche Personen, vor den Augen der Welt bloßzustellen. "Black Mirror" wird immer mehr zu einem Spiegel der Wirklichkeit, scheint mir.
Also: Sticker auf die Linse!
Absolut. Ich mache alle Kameras und Mikrofone, die ich um mich herum finde, so schnell und gut es geht unschädlich. Für Webcams gibt’s auch praktikablere Lösungen, so Plastiksticker, die man über die Linse packt und leicht wieder entfernen kann. Blöd ist nur, dass es so was für Mikros nicht gibt. Und die sind im Grunde überall.
Absolut. Ich mache alle Kameras und Mikrofone, die ich um mich herum finde, so schnell und gut es geht unschädlich. Für Webcams gibt’s auch praktikablere Lösungen, so Plastiksticker, die man über die Linse packt und leicht wieder entfernen kann. Blöd ist nur, dass es so was für Mikros nicht gibt. Und die sind im Grunde überall.
Wikileaks berichtete vor Kurzem, dass die CIA eine Hackersoftware namens Weeping Angel entwickelt habe, die es möglich macht, über Mikros und Kameras von Smart-TVs die Zuschauer daheim auszuspionieren.
Ja, und kurz danach bewies ein Sicherheitsforscher, dass er sich ohne viel Aufwand in Smart-TVs einhacken kann. Ich verstehe ja schon den Vorteil eines Smart-TVs: einfach Netflix installieren und auf dem Fernseher schauen, das ist sehr bequem. Aber Bequemlichkeit geht oft mit dem Tod der Privatsphäre einher. Leider werden alle möglichen Technologien in letzter Zeit "smart" . Tatsächlich werden sie aber dümmer. Diverse Fälle zeigen, wie lächerlich leicht es ist, sich da einzuhacken.
Ja, und kurz danach bewies ein Sicherheitsforscher, dass er sich ohne viel Aufwand in Smart-TVs einhacken kann. Ich verstehe ja schon den Vorteil eines Smart-TVs: einfach Netflix installieren und auf dem Fernseher schauen, das ist sehr bequem. Aber Bequemlichkeit geht oft mit dem Tod der Privatsphäre einher. Leider werden alle möglichen Technologien in letzter Zeit "smart" . Tatsächlich werden sie aber dümmer. Diverse Fälle zeigen, wie lächerlich leicht es ist, sich da einzuhacken.
Man geht davon aus, dass in drei Jahren rund 30 Milliarden Geräte auf der Welt vernetzt sein sollen. Was hältst du vom sogenannten Internet der Dinge?
Es ist unverantwortlich, alle möglichen Geräte, die gar nicht online sein müssten, mit dem Internet zu verbinden. Eine Spülmaschine, die online ist, wer braucht so was? Vielleicht schleicht sich jemand dann durch die Spülmaschine in mein Heimnetzwerk ein und kann dort sehen, was ich sonst noch so mit meiner Internetverbindung treibe.
Es ist unverantwortlich, alle möglichen Geräte, die gar nicht online sein müssten, mit dem Internet zu verbinden. Eine Spülmaschine, die online ist, wer braucht so was? Vielleicht schleicht sich jemand dann durch die Spülmaschine in mein Heimnetzwerk ein und kann dort sehen, was ich sonst noch so mit meiner Internetverbindung treibe.
Das sind sie wieder, die dystopischen Bilder: eine Online-Spülmaschine, in der mein Kopf eingequetscht wird? Der vernetzte Staubsauger, der im Wohnzimmer Amok saugt?
Wenn es so weitergeht wie gerade, halte ich diese Bilder für gar nicht so unrealistisch. Es gibt ja jetzt schon alles, von smarten Autos bis Barbiepuppen, die man hacken kann. Momentan wird alles digitalisiert und mit dem Netz verbunden. Und das macht mir ganz schön Angst.
Wenn es so weitergeht wie gerade, halte ich diese Bilder für gar nicht so unrealistisch. Es gibt ja jetzt schon alles, von smarten Autos bis Barbiepuppen, die man hacken kann. Momentan wird alles digitalisiert und mit dem Netz verbunden. Und das macht mir ganz schön Angst.