Heute nacht wird es spannend und wir können mit Hochrechnungen und vielleicht sogar ersten Ergebnissen rechnen. Neben der Frage, wer gewinnt und damit mächtigster Mann der Erde wird, ist natürlich auch die Frage interessant, ob es wieder zu so heftigen Unregelmäßigkeiten kommt wie bei den vergangenen zwei Wahlen. In den USA sind ja sehr viele Wahlmaschinen im Einsatz, sowohl völlig veraltete Modelle als auch „modernere“ Wahlcomputer der Art, von der man sich im Heimatland Niederlande aus gutem Grund verabschiedet hat. Mal sehen, wie groß die Probleme damit werden.

Allen Bruce-Schneier-Fans und Anhänger fundierter statistischer Analysen möchte ich noch folgende Seite ans Herz legen:

http://nielsenhayden.com/makinglight/archives/010763.html

Hier bloggt und analysiert Bruce Schneier live.

Ein interessanter Artikel über kontraproduktives Sicherheitstheater, in diesem Fall in den USA, findet sich (wieder einmal) bei Bruce Schneier. Schneier beschreibt, unter Berufung auf aktuelle News-Artikel, das Vorgehen der amerikanischen Flugsicherheitsbehörde TSA, deren Bemühungen, Terroranschläge auf den Luftreiseverkehr zu verhindern, offenbar mehr Ärger machen, als sie wert sind.

So zitiert Schneier unter anderem Berichte aus der Flugzeugindustrie und des Nachrichtensenders ABC, laut denen ein „übereifriger TSA-Mitarbeiter“ um ein parkendes Flugzeug zu kontrollieren an Bauteilen herumgeklettert ist, die „unabdingbar für die Funktion der Bordcomputer“ sind und durch diesen Stunt ernsthaft beschädigt hätten werden können. Es dürfte nicht allzu schwierig sein, diese Aktion vom Sicherheitsaspekt her zu beurteilen. Wer, um das rechnerisch gesehen ohnehin verschwindend geringe Risiko eines Terroranschlages zu verringern, technische Probleme an Bord des betroffenen Flugzeugs riskiert, die unter ungünstigen Umständen ebenso fatal für Passagiere und Crew sein können (aber ungleich wahrscheinlicher sein dürften) würde wahrscheinlich auch Fliegen in seiner Wohnung mit einem Raketenwerfer bekämpfen. Was jemand mit einer solchen Risikoeinschätzung bei einer staatlichen Sicherheitsbehörde zu suchen hat, wird wohl ewig ein Rätsel bleiben.

Auch der Umgangston der TSA-Angehörigen wird von Schneier kritisiert. Endgültig absurd wird das Ganze aber, wenn man einen Blick auf die zunehmend ins unermessliche wachsenden und nach hoffnungslos untauglichen Kriterien gefüllten „No-Fly-Lists“ wirft, auf denen, wie man weiß, bereits tote Terroristen ebenso zu finden sind wie (ebenso unbescholtene wie hochdekorierte) amerikanische Kriegsveteranen, US-Senatoren und Grundschulkinder. Es dürfte so gut wie ausgeschlossen sein, dass eine derartige Liste bestimmungsgemäß bei einer effektiven Terrorismusbekämpfung hilft- umso mehr, als es für Betroffene relativ trivial ist, zu fliegen, obwohl sie auf der „No-Fly-List“ stehen. So berichtet Denise Robinson, die Mutter eines achtjährigen Jungen, der seit seinem fünften Lebensjahr die zweifelhafte Ehre hat, von der TSA für einen mutmaßlichen Terroristen gehalten zu werden, dass sie „den Verantwortlichen sagt, dass ihr Sohn auf der Liste ist, ein hohes Trinkgeld gibt und Bordkarten bekommt“ oder das Ticket für ihren Sohn einfach unter dem Namen „J. Pierce Robinson“ statt „James Robinson“ kauft.

Wir haben es hier also offenbar mit einer Behörde zu tun, die Unschuldigen das Leben schwermacht, dafür aber oft genug jede Form von Effektivität vermissen lässt und teilweise sogar das Sicherheitsniveau im Luftverkehr durch Übereifer und mangelnde Fachkompetenz verringert. Ein besseres Beispiel dafür, dass Maßnahmen, die vorgeblich unsere Sicherheit erhöhen, oft genug irgendwas zwischen „gar nichts“ und „dem genau gegenteiligen Effekt“ erreichen, kann es kaum geben. Es wird Zeit, dass die Verantwortungsträger sowohl in den USA als auch im Rest der von Terrorhysterie befallenen „westlichen Welt“ endlich den Unterschied zwischen Sicherheit und Sicherheitstheater lernen und auf dieser Basis effektive, sozialverträgliche Konzepte entwickeln.

Einen interessanten Kommentar veröffentlichte kürzlich der US-amerikanische Sicherheitsexperte Bruce Schneier. Unter der Überschrift Memo to Next President — How to Get Cybersecurity Right stellt Schneier in seinem Blog einige Ideen vor, wie ein Land (Schneier bezieht sich primär auf die USA, seine Ideen sind aber ohne Weiteres auf andere Länder übertragbar) eine tragfähige IT-Sicherheitspolitik für die nahe Zukunft umsetzen kann.

Schneier legt dabei drei grundlegende „Forderungen“ fest. Die erste ist, die „immense Kaufkraft“ der Regierung zu nutzen, um „die Sicherheit“ kommerzieller Produkte und Dienstleistungen zu verbessern“ indem für staatliche Verwendung nur Software gekauft wird, bei der explizite Sicherheitanforderungen erfüllt werden. Die zu diesem Zweck entwickelten Verbesserungen, so Schneier, würden danach auch kommerziell erhältlich sein und somit der Allgemeinheit zugute kommen. Dies wird um so wichtiger, je größer die Rolle ist, die Computer in unserem Leben spielen- und diese Rolle ist bereits jetzt groß genug, um die Absicherung von Computern unverzichtbar zu machen für sowohl gesellschaftliche Abläufe als auch die Wahrung individueller Rechte. Wenn der Staat hier Einfluss nimmt, ohne zu überreglementieren, einfach indem er sinnvolle Sicherheitsstandards für Software wirtschaftlich attraktiv macht, können wir davon alle nur profitieren. Wie so viele Vorschläge von Bruce Schneier hört sich auch dieser täuschend einfach und selbstverständlich an- wenn man einmal darauf gekommen ist. Sicherheit ist eben oft nicht kompliziert und unverständlich, sondern eine Frage des Blickwinkels und des Gespürs für Zusammenhänge und mögliche Beeinflussungswege.

Schneiers zweiter Grundsatz ist, von staatlicher Seite Ergebnisse, aber keine Methoden vorzugeben. So wird die genaue Umsetzung den Experten überlassen, die in der Regel eher auf sinnvolle Lösungswege kommen als Politiker, für die IT-Sicherheit nur ein Thema unter vielen ist. Zuviel „Micromanagement“ von Seiten der Regierung trägt nicht dazu bei, die Kreativität der Fachleute zu fördern- teilweise kann sie diese sogar ernsthaft behindern, trotz wahrscheinlich bester Absichten der Verantwortlichen. „Ein schlechtes Gesetz ist schlimmer als gar kein Gesetz,“ betont Schneier- vor dem Hintergrund meiner Erfahrungen mit einigen Perlen der IT-Gesetzgebung (insbesondere §202c StGb) kann ich nur sagen: „Der Mann hat sowas von recht!“ Angetreten mit dem lobenswerten Ziel, die wachsende Cyberkriminalität zu bekämpfen, schafft dieser Paragraph (beziehungsweise seine mögliche, bisher nicht verlässlich auszuschließende Auslegung als Komplettverbot bestimmter Software) es statt dessen, die professionelle Arbeit, die Forschung Nachwuchsgewinnung der „White Hats“, der konstruktiv arbeitenden Sicherheitsexperten, zu erschweren, ohne die Kriminellen nennenswert zu beeindrucken. Auch hier wird statt eines Zieles („Einschränkung bestimmter Formen der Cyberkriminalität“) eine genaue Methode („Verbot bestimmter Tools“) vorgegeben.

Last but not least fordert Schneier als dritten Teil seines „Katalogs“, dass der Staat in Forschung, insbesondere die wirtschaftlich oft eher unattraktive und daher von kommerziellen Unternehmen vernachlässigte Grundlagenforschung, investiert. Dabei plädiert er (neben einer erneuten Betonung der Wichtigkeit wissenschaftlicher Freiheit) für eine möglichst breit angelegte Verteilung der Gelder, da man „nie vorhersehen kann, was einmal wofür nützlich sein wird“- eine Aussage, die gut zu Schneiers häufigen Plädoyers für die Einbeziehung von weit mehr verschiedenen Disziplinen und Blickwinkel in die Sicherheitsforschung passt und vor dem Hintergrund oft kontraproduktiver Animositäten und/oder Kommunikationsstörungen zwischen den Experten für verschiedene Themen und Fachbereiche wichtig bis überfällig ist. Allerdings erscheint es momentan doch etwas sehr optimistisch, auf mehr Gelder für Forschungsprojekte, insbesondere solche mit Bezug zum oft misstrauisch beäugten IT-Sicherheits-Bereich, zu hoffen. Schneiers Rat erscheint sinnvoll genug- ob irgendwer in der Politik darauf hören wird, steht leider auf einem anderen Blatt, auch weil, wie Schneier selbst im abschließenden Statement schreibt, effektive Sicherheitsmaßnahmen oft unpopulär sind und sich daher bei Politikern keiner allzu großen Beliebtheit erfreuen (insbesondere wenn sie Geld kosten).

Insgesamt hat Bruce Schneier hier einen sehr sinnvoll erscheinenden Maßnahmenkatalog zusammengestellt, über den wohl nicht nur amerikanische Politiker einmal ernsthaft nachdenken sollten. So könnte der Schritt vom durch Panikmache gerechtfertigten Sicherheitstheater hin zu sinnvolleren Maßnahmen gemacht werden- wenn das Interesse und die nötige Einsicht bestünden, das zu erreichen.

„Terrorism is perceived to be a major threat to society. Yet the actual damage done by terrorist attacks is dwarfed by the secondary effects as target societies overreact. There are many topics here, from the manipulation of risk perception to the anthropology of religion.“
(Bruce Schneier, Sicherheitsexperte)

„Trading privacy for security is stupid enough; not getting any actual security in the bargain is even stupider.“
(Bruce Schneier)

]]> http://freiheitblog.wordpress.com/2008/05/12/zitat-des-tages-12052008/feed/ 0 Annika http://freiheitblog.wordpress.com/2008/03/26/zitat-des-tages-26032008/ http://freiheitblog.wordpress.com/2008/03/26/zitat-des-tages-26032008/#comments Wed, 26 Mar 2008 03:46:51 +0000 Annika http://freiheitblog.wordpress.com/?p=372 ]]>

„Security requires a particular mindset. Security professionals — at least the good ones — see the world differently. They can’t walk into a store without noticing how they might shoplift. They can’t use a computer without wondering about the security vulnerabilities. They can’t vote without trying to figure out how to vote twice. They just can’t help it.“
(Bruce Schneier)

„Ignoranz ist Stärke“ lautet eine der Maximen des in George Orwells Roman „1984″ vorgestellten totalitären Überwachungsstaates. Wie so viele der in diesem Roman verwendeten Slogans der Überwacher, des „Großen Bruders“, will auch dieser den Leser zum Nachdenken bringen, will in seiner Gegensätzlichkeit auf einen realen Sachverhalt hinweisen: Darauf, dass die Menge und Qualität der Informationen, die uns Bürgern zur Verfügung stehen, und die Art und Weise wie wir mit diesen umgehen, einen sehr direkten Einfluss darauf haben, wie wir uns in Bezug auf unsere Rechte, unsere Freiheiten und unsere Partizipation an staatlichen Prozessen verhalten.

Das mag zunächst einmal trivial klingen- wer nicht ausreichend über politische Prozesse bescheid weiß, kann diese kaum mitgestalten, wer seine Rechte nicht kennt, kann sie nicht verteidigen, und wer allgemein wenig Bildung besitzt, schafft es nur selten, effektiv gegen ihm missfallende Meinungen und Entscheidungen zu argumentieren. Das alles ist bekannt und leuchtet ein, auch wenn es sicher nicht schadet, auch das im Hinterkopf zu behalten.

Weitaus brisanter und konkreter aber wird der Zusammenhang zwischen der Tatsache, wie gut wir informiert sind, und dem Staat, in dem wir letzten Endes leben werden, aber dann, wenn es um das Kernthema von Orwells Roman geht: Die Überwachung, die staatliche Kontrolle und den Verlust unserer Privatsphäre.

Deutschland ist kein totalitärer Staat und unsere Regierung kein großer Bruder, aber eine erschreckende Anzahl der von Orwell vorausgesehenen und in seinem Roman beschriebenen Probleme findet in den letzten Jahren zunehmend den Weg in unseren Alltag- falls man von Alltag überhaupt noch sprechen kann in einer Zeit, in der so normale Dinge wie telefonieren, durch die Fußgängerzone gehen oder jemandem eine Mail schreiben in unterschiedlicher Form bereits Objekt staatlicher Kontrolle sind; in der, wie Ex-Bundesinnenminister Gerhart Baum es einmal sehr treffend ausdrückte, „der Ausnahmezustand zur Realität wird“ und sich so die Maßstäbe dessen, was als normal und akzeptabel angesehen wird, immer wieder verschieben. Meine Besorgnis angesichts dieser Tendenzen dürfte den meisten Lesern bekannt sein- was genau aber hat Information und Wissen damit zu tun?

Nun, ich bin davon überzeugt, dass die Wahrung unsere Privatsphäre und ein möglichst hoher Sicherheitsstandard für die Bürger unseres Landes nicht, wie oft angenommen und auch in zahlreichen Quellen behauptet wird, Gegensätze sind. Meiner Meinung nach sind sie eher zwei Seiten desselben Problems, zwischen denen man mit gesundem Menschenverstand, Kreativität und dem Engagement von Experten aus verschiedenen Fachrichtungen eine Balance schaffen kann, die ein größeres Ausmaß von beidem bietet, als es die aktuelle auf mehr staatliche Kontrolle abzielende Politik kann (ich werde hier nicht näher darauf eingehen, wie ich zu dieser These komme und welche Argumente es dafür gibt; wer sich dafür interessiert sei hiermit auf meine entsprechenden Beiträge verwiesen).

Also, um es noch einmal zu wiederholen: Privatsphäre und Sicherheit sind keine Gegensätze, die wir nur auf Kosten des jeweils anderen Wertes bekommen können, sondern zwei Werte, die beide unerlässlich für die Aufrechterhaltung wirklicher Freiheit in einem Staat sind und die daher nicht eingeschränkt und gegeneinander aufgerechnet, sondern so gut wie möglich kombiniert werden müssen.

Hier aber ergibt sich ein nicht zu unterschätzendes Problem: Die Mehrheit der Bevölkerung glaubt genau jenes Konzept von Sicherheit und gewissen individuellen Freiheiten (konkret vor allem Datenschutz und informationelle Selbstbestimmung), nach dem die beiden Gegensätze sind. So wird es ihnen ja auch von den Medien und führenden Politikern seit den Terroranschlägen des 11. September 2001 immer wieder suggeriert. Was diese damit bezwecken ist im Einzelfall wohl schwer feststellbar- teilweise dürften diese Personen selbst fehlinformiert und/oder schlecht beraten sein, teilweise gehen sie einfach den Weg des geringsten Widerstandes und lassen die Bevölkerung in genau jenem Glauben, den sie mittlerweile verinnerlicht hat. Es muss leider auch festgestellt werden, dass mitunter die Angst der Bevölkerung vor Kriminalität und Terroranschlägen und der daraus entstehende Wunsch, beschützt zu werden, ausgenutzt werden um eigene politische Ziele durchzusetzen und ein größeres Ausmaß an Macht und Kontrolle zu erlangen. So verachtenswert eine solche Handlungsweise ist- sie ist leider traurige Realität in Deutschland im Jahr 2008.

An genau diesem Punkt kommt die Notwendigkeit ins Spiel, die Bürger möglichst gut und umfassend über die Implikationen heutiger Sicherheitspolitik (die leider oft den Namen nicht verdient) zu informieren. Die Realität sieht folgendermaßen aus: Die Mehrzahl der auch von Datenschützern wegen massiver Eingriffe in die Privatsphäre kritisierten Sicherheitsmaßnahmen ist nach Ansicht der meisten Experten nicht effektiv- sie können von Kriminellen umgangen werden, haben zum Teil gefährliche konzeptionelle Mängel und Missbrauchsmöglichkeiten und schränken gleichzeitig die Grundrechte unschuldiger Bürger in drastischer Art und Weise ein.

Trotzdem werden diese Maßnahmen aufrecht erhalten und die Mehrheit der Bürger akzeptiert sie, heißt sie teilweise sogar gut- wieso? Die Mehrzahl dieser Maßnahmen ist reiner Aktionismus; sie sehen spektakulär aus und greifen zum Teil ganz erheblich in unseren politischen und gesellschaftlichen Alltag ein, haben aber einen sehr geringen, keinen oder sogar einen „negativen“ Nutzen. Trotzdem erfüllen sie eine Funktion, aufgrund derer sie gesellschaftlich akzeptiert werden: Sie befriedigen das Sicherheitsbedürfnis vieler Menschen zumindest in subjektiver Art und Weise. Subjektive Sicherheit (im Gegensatz zu objektiver, also wissenschaftlich und statistisch nachweisbarer Sicherheit) bedeutet, dass man glaubt, sicher zu sein, dass man sich geschützt fühlt und möglichst angstfrei lebt, dass man das Gefühl hat, nichts zu befürchten zu haben. Über die Bedeutung subjektiver Sicherheit in der Gesellschaft sagte der bekannte US-amerikanische Sicherheitsexperte Bruce Schneier vor Kurzem während eines Vortrags: „It’s not enough to make someone secure, that person needs to also realise they’ve been made secure. If no-one realises it, no-one’s going to buy it.“ Diese Aussage lässt sich ohne Weiteres auch auf die Sicherheitspolitik eines Staates übertragen: Die meisten Menschen werden sich nach ihrem Gefühl von Sicherheit richten und sich im Zweifelsfall für jene Maßnahme entscheiden, bei der sie sich sicherer fühlen. Wenn durch Maßnahmen wie beispielsweise die bessere Absicherung kritischer Infrastrukturen und den Verzicht auf exzessive Überwachung, die nur neue Probleme schafft, die Sicherheitslage in Deutschland verbessert werden könnte, ist das schön und gut- diese Maßnahmen wird aber niemand vorantreiben, solange er sich dabei nicht auch sicher fühlt.

Aus genau diesem Grund ist die Aufklärung der Bevölkerung so ein zentrales Thema für den Erfolg der Datenschutzbewegung. Solange die meisten Bundesbürger glauben, dass Sicherheit und Privatsphäre Gegensätze sind und man im „Kampf gegen den Terror“ bereit sein muss, seine persönlichen Freiheiten zum Wohle der Gesellschaft einzuschränken, werden sie genau diese Art von Maßnahmen erwarten- sie werden sich sicherer fühlen, wenn ihre Rechte eingeschränkt werden, ohne zu realisieren, dass objektiv und auf längere Sicht das Gegenteil der Fall ist.

Das Sicherheitsbedürfnis des Menschen spielt eine wichtige Rolle in seinem Denken und Handeln; es ist zwar nicht bei jedem Menschen gleich stark ausgeprägt, beeinflusst aber jeden von uns maßgeblich in seinen Entscheidungen. Niemand wird freiwillig in ständiger Unsicherheit und Angst leben und bei den meisten Menschen werden „abstraktere“ soziale Bedürfnisse wie das Bedürfnis nach Privatsphäre und individueller Freiheit hinter dem Sicherheitsbedürfnis zurücktreten, wenn man sie zwingt, sich zu entscheiden- insbesondere wenn im Moment dieser Entscheidung Angst im Spiel ist. Genau die Situation also, die wir in den vergangenen gut sechs Jahren nur allzu oft erleben, ist dazu prädestiniert, das Bedürfnis der Menschen nach Sicherheit sehr stark in den Vordergrund treten zu lassen.

Gegen dieses Bedürfnis zu argumentieren ist sehr schwierig bis unmöglich. Da es aber noch dazu sachlich falsch ist, das im hier angesprochenen Kontext zu tun (da der Gegensatz zwischen Privatsphäre und Sicherheit ja ein rein künstlicher ist) ist dies kein wirklicher Nachteil für unser Anliegen- das wird es erst, wenn übereifrige und fehlinformierte Datenschützer Forderungen wie „Freiheit statt Sicherheit“ oder „Privatsphäre ist wichtiger als Sicherheit“ aufstellen. Diese Menschen machen auf ihre Art denselben Fehler wie die politische Gegenseite- auch sie argumentieren mit einem Gegensatz, der de facto nicht vorhanden ist und dessen Effekt auf die Argumentation beider Seiten im wesentlichen der ist, sie von vorneherein in eine Sackgasse zu führen.

Akzeptiert man aber Sicherheit als ein erstrebenswertes Ziel und sucht nach sinnvollen Maßnahmen, um genau dieses Ziel zu erreichen, stellt man fest, dass die Einschränkung der Privatsphäre auch in dieser Hinsicht in aller Regel alles andere als wünschenswert ist- man beginnt sich vom konstruierten Gegensatz der beiden Aspekte zu lösen. Dann wird man eher bereit sein, sich technische und sonstige Hintergrundinfos zu besorgen und den Nutzen bestimmter Maßnahmen für die eigene Sicherheit und die der Gesamtbevölkerung anhand dieser Informationen objektiver einzuschätzen.

Genau dazu müssen wir den Menschen, wenn wir unser Anliegen an sie herantragen, das Handwerkszeug in die Hände geben. „The goal must be to get the reality and perception matching up — so that security solutions aren’t lulling users into a false sense of security, or letting them exist in an unnecessary climate of fear. How do you stop the stupid stuff from outweighing the reality? The way to get people to notice that reality and feeling haven’t converged is information. Information is the best weapon we have. [...] If there’s enough information out there, you get a natural convergence between feeling and reality,“ schreibt Schneier zu diesem Thema- eine wie ich finde exzellente Zusammenfassung. Gelingt es uns, die Bundesbürger so sachlich und umfassend wie möglich zu informieren, werden sie beginnen, Risiken realistisch einzuschätzen und sich weder von übertriebenen Gefahrendarstellungen noch von unrealistischen Sicherheitsversprechen in eine bestimmte Richtung drängen lassen- dann werden sie bereit sein, ihre Rechte aktiv gegen eine verfehlte und für die freiheitlich demokratische Grundordnung auf lange Sicht gefährliche Sicherheitspolitik zu verteidigen. Besser kann man es kaum ausdrücken: Im Kampf für unsere Freiheit sind Informationen unsere beste Waffe.

Ignoranz nämlich ist wirklich Stärke- die Stärke derjenigen, die unsere Gesellschaft hassen und sie durch Gewalt und Angst vernichten wollen und die Stärke derer, die uns manipulieren und unsere Rechte einschränken. Diese Stärke, diese Macht über uns alle gilt es ihnen zu nehmen- mit Hilfe von Wissen und Informationen, Dingen, die schon oft starke Waffen im Kampf gegen Angst und Unfreiheit waren und die die Entwicklung einer fortschrittlichen und freien Gesellschaft wie der unseren überhaupt erst ermöglicht haben. Nutzen auch wir diese Waffe- nutzen wir sie weise, denn nur sie kann es letzten Endes sein, die unseren Sieg, unseren Erfolg bringt und die Werte, für die wir eintreten, wieder eine größere Rolle in unserer Gesellschaft einnehmen lässt.

Die größte Herausforderung der sogenannten „westlichen Welt“ zu Beginn des 21. Jahrhunderts ist wohl, da sind sich die meisten Menschen einig, der Terrorismus- beziehungsweise der sinnvolle Umgang damit, der Versuch, Risiken zu minimieren, sich vorzubereiten, Antworten zu finden, etwas zu kontrollieren das an sich nicht zu kontrollieren ist- der Versuch, mit der Bedrohung zu leben, ohne sie untätig hinzunehmen, der Versuch, sich zu schützen, ohne dabei allzu viel von unserem Lebensstandard und unserer Freiheit aufzugeben, die uns zu nehmen der Terrorismus ja eigentlich abzielt. Die Thematik ist komplex, die Einsätze fast unerträglich hoch, der Gegner nur sehr schwer einschätzbar und vollkommen skrupellos- alles andere als ideale Bedigungen für diejenigen, die in irgendeiner Form daran beteiligt sind, Lösungen zu finden.

Da bleibt es nicht aus, dass Emotionen, Fehleinschätzungen und Überreaktionen sich in die Debatte einschleichen, dass Missverständnisse auftreten und plötzlich alle sehr fest von etwas überzeugt sind, das so gar nicht stimmt, aber intuitiv und emotional zunächst einmal zutreffend erscheint. Ein solcher weit verbreiteter (und für den produktiven öffentlichen Dialog zur Terrorproblematik wohl sehr kontraproduktiver) Irrtum ist meines Erachtens die Annahme, dass Sicherheit (im Sinne von Sicherheit vor körperlichem Schaden oder anderen unzumutbaren Einschränkungen der Lebensqualität oder, letzten Endes, dem gewaltsamen Tod) und die Wahrung der Privatsphäre sich ausschließen. Sicher, zunächst erscheint es „logisch“, diese Gegensätzlichkeit anzunehmen, und prominente Politiker, Ermittler und Experten (für was auch immer) lassen ja auch kaum eine Gelegenheit aus, immer wieder zu betonen, dass es keine Sicherheit geben kann, ohne dass wir zumindest einen Teil unserer Privatsphäre opfern, uns kontrollieren lassen, dem Staat Einblick gewähren. Aber muss dieser Gedankegang zutreffen, nur weil er die momentan vorherrschende Meinung repräsentiert? Meine Antwort (und die einiger anderer Menschen, darunter durchaus ernstzunehmender Experten) ist nein. Sicherheit und Privatsphäre sind keine Gegensätze, kein Entweder-Oder, keine sich gegenseitig ausschließenden Konzepte. „Wer Sicherheit für sich und seine Mitmenschen will muss einen Teil seiner Rechte im Bereich Privatsphäre und individuelle Freiheiten opfern“ ist daher genausowenig ein zielführender Ansatz für eine Diskussion wie die manchmal von Übereifrigen der entgegengesetzten Fakultät geäußerte Meinung „Mir ist Sicherheit völlig egal, wenn ich für meine Freiheit Opfer bringen muss, ist es eben so“ (auf die These, dass der ganze Terrorismus ohnehin eine erfundene Bedrohung ist, werde ich hier gar nicht näher eingehen- ab einem gewissen Maß von Realitätsfremdheit lohnt die Diskussion einer Theorie einfach nicht mehr. Nur soviel: Nur weil etwas teilwiese instrumentalisiert oder übertrieben dargestellt wird, ist es noch lange keine Erfindung der CIA, der Illuminaten, „des Staates“ oder sonst irgendwelcher finsteren Mächte, so schön das auch wäre). Meines Erachtens muss die „richtige“, die konstruktive Fragestellung lauten: „Wie bekommen wir soviel Sicherheit wie möglich, ohne die Privatsphäre und individuellen Freiheiten einzuschränken?“ Das mag jetzt zunächst einmal wie eine Einschränkung der Sicherheitsmaßnahmen klingen, aber wer diesen Ansatz konsequent verfolgt, wird am Ende nicht nur mehr Freiheit als momentan haben, sondern auch wesentlich mehr Sicherheit.

Sehen wir die beiden Werte als Gegensätze, gehen wir fest davon aus, das eine nur um den Preis des anderen haben zu können, blockieren wir uns selbst, verhindern sinnvolle und innovative Problemlösungsstrategien und laufen darüber hinaus Gefahr, dass fundamentale Grundsätze unseres Rechtsstaates bei diesem Prozess auf der Strecke bleiben.

Vor kurzem sagte der ranghohe US-Sicherheitsberater Ed Giorgio über Pläne der US-Regierung zur Internet-Überwachung: „We have a saying in this business: ‘Privacy and security are a zero-sum game.“ Der Ausdruck „zero-sum game“ bedeutet, dass man sozusagen immer „bei Null herauskommt“, also nur eine gegebene Menge an Sicherheit und Freiheit „hat“ und wenn man versucht, mehr von einem dieser Werte zu erreichen, automatisch einen Teil des anderen aufgibt.

Wird man vor die Wahl zwischen seiner Privatsphäre und einem mehr an Sicherheit gestellt, ist die Entscheidung für die meisten Menschen klar: Sicherheit wird höher bewertet als Privatsphäre, da sie das fundamentalere Bedürfnis ist. Bruce Schneier hat es in seinem Blog-Eintrag Security vs. Privacy sehr gut auf den Punkt gebracht, so dass ich ihn an dieser Stelle einfach zitiere: It should be no surprise that people choose security over privacy: 51 to 29 percent in a recent poll. Even if you don’t subscribe to Maslow’s hierarchy of needs, it’s obvious that security is more important. Security is vital to survival, not just of people but of every living thing. Privacy is unique to humans, but it’s a social need. It’s vital to personal dignity, to family life, to society — to what makes us uniquely human — but not to survival. Besser kann man es denke ich kaum ausdrücken: Sicherheit ist ein Bedürfnis, das wir alle schon als Teil unseres Dranges zu überleben in uns tragen- Privatsphäre gehört zu jenen Bedürfnissen, die mit unserem humanistischen Menschenbild einhergehen- einem Menschenbild, das ja nicht zuletzt auch Grundlage des deutschen Grundgesetzes ist.

Trotzdem, vor die Wahl gestellt, wird zunächst die Mehrheit der Menschen sich für die Sicherheit entscheiden. Das führt dann dazu, dass Regierungen an sich freier und demokratischer Länder Maßnahmen beschließen und durchsetzen können, die mit Achtung der der Würde der Betroffenen nicht mehr viel zu tun haben. In Deutschland gibt es ja bereits die Vorratsdatenspeicherung, aber wer glaubt, es ginge nicht mehr extremer, unterliegt einem Irrtum. Da ist beispielsweise die heimliche Online-Durchsuchung, die viele unserer einflussreichen Politiker befürworten, die in letzter Zeit öffentlich diskutierte heimliche Durchsuchung und Überwachung von Wohnungen durch Ermittlungsbehörden oder die bereits kurz angesprochene Überwachung sämtlicher Internet-Kommunikation, die in den USA momentan zur Diskussion steht Weitere erschreckende Beispiele liefert auch der (wie ich finde sehr lesenswerte) Spiegel Online-Artikel Invasion der Freiheitsfresser. Dort heißt es beispielsweise: Nachdem [Bundesinnenminister Schäuble] erfolgreich Schutzrechte von Ärzten und Journalisten einschränken, Abhör-Befugnisse dagegen ausbauen ließ, wagte er Anfang Januar den nächsten Vorstoß. Bald sollen, wenn es nach ihm geht, sogar Priester abgehört werden können. [...] Ein Blick über die Grenzen sorgt fast für Erleichterung: Im Vergleich zu ihren Kollegen sind hiesige Innenminister geradezu bescheiden. Schon jetzt gelten laut einer aktuellen Studie von Privacy International neben China und Russland auch Großbritannien und die USA als Staaten, in denen die Überwachung der Bürger „endemisch“ sei – was hier so viel wie heimisch, fest verwurzelt bedeuten soll. Deutschlands Datenschutz bekam 2007 das Prädikat „verfallend“ verpasst. [...] Im Zweifelsfall ist alles nur noch eine Frage der Zusammenführung verschiedener Datenbestände. Das dürfte zu einem der Haupt-Trends des Jahres 2008 werden: Der zunehmend kollegiale Austausch von Know-how über alle Grenzen hinweg. Deutschland tauscht zwar keine DNA-Daten mit den USA, aber mit Österreich, die dann wieder mit den Amerikanern tauschen. Wer sich in ein Flugzeug setzt, dessen Daten werden zum Bestandteil des internationalen Bürgerdaten-P2P, wer international telefoniert, wird erfasst, national dagegen angeblich nur von den eigenen Lauschern.

Die Frage, ob diese Gesetze und Maßnahmen unsere Privatsphäre respektieren, muss man sich denke ich kaum noch stellen. Eine Frage aber, die man sich durchaus stellen sollte: Machen sie unser Leben in irgendeiner Form sicherer? Schützen sie uns vor Terroranschlägen? Bekommen wir, die Bürger, für die Opfer, die wir bringen, irgend etwas zurück?

Regierungspolitiker aller in dieser Spirale befindlichen Länder werden jedenfalls nicht müde, genau das zu betonen. So äußerte CDU-Politiker Hans-Peter Uhl einmal, die SPD wäre, wenn sie sich gegen die heimliche Online-Durchsuchung ausspräche „moralisch mit Schuld an eventuellen Terroranschlägen“, Bundesinnenminister Wolf*an* Schäuble bezeichnet seine Gegner sowieso gerne als verantwortungslos, und über besagten Ed Giorgio gibt es bei Spiegel Online folgendes zu lesen: Wahrscheinlich, mutmaßt der oberste US-Geheimdienstler, werde man [die komplette Überwachung des Internets] erst durchsetzen können, wenn wieder „etwas Fürchterliches“ passiere. Es ließen sich beliebig weitere Beispiele für diese Argumentationsweise anführen.

Ist man erst einmal über den Schreck und die Schuldgefühle, die blinde, erschrockene Zustimmung hinaus, die solche Behauptungen auslösen, ist diese Form der Rhetorik vor allem eines: Vollkommen verantwortungslos und Menschen, die uns in diesen Zeiten anführen sollen, unwürdig. Erstens aus dem Grund, dass es schlicht und ergreifend extrem schlechter Stil (vorsichtig ausgedrückt) ist, bei derartig sensiblen und bedeutsamen Themen quasi mit der großen moralischen Keule zu argumentieren und diese so rücksichtslos zur Durchsetzung eigener Interessen einzusetzen, dass man dabei die Bevölkerung in Angst und Schrecken versetzt. Zweitens deswegen, weil man damit eine sachliche Debatte schon im Vorfeld verhindert, eine unvoreingenommene Analyse der Situation durch Angst, Schuldgefühle und falsche Gewissheiten ersetzt und so letzendlich, um es in aller Deutlichkeit zu sagen, die Sicherheit der Menschen, die einem anvertraut sind, in hohem Maße gefährdet.

Denn, und das ist ein Punkt, der vielen Menschen leider nach wie vor nicht klar ist: Maßnahmen wie die Online-Durchsuchung, die Vorratsdatenspeicherung oder eine Antiterrordatei mit wahrscheinlich zur Hälfte unschuldigen Menschen machen unser Leben nicht sicherer- im Gegenteil. Sie sorgen dafür, dass wir uns in einer falschen Sicherheit wiegen, die im Notfall gefährlich sein kann, dass wir riesige Mengen Geld, Zeit und Arbeitskraft in Projekte investieren, die nicht oder kaum helfen, während andere Maßnahmen, die dringend notwendig (und effektiv!) wären vernachlässigt werden. Oft ist es sogar so, dass die Nebenwirkungen und das Missbrauchspotential dieser Maßnahmen unsere Sicherheit ganz konkret gefährden.

Beispiele dafür gibt es genug. So berichtet Ars Technica in dem Artikel Metcalfes Law and Real ID: more crime, less safety darüber, wie biometrische Ausweise und das Anlegen riesiger Datenbanken anstatt größerer Sicherheit für die Bürger zusätzliche Risiken bringen . Dort heißt es: Here’s an ugly prediction that you can take to the bank: as the amount of data that the feds collect on innocent civilians grows, so will the number of people who are victims of crimes that were made possible by unauthorized access to a government database. Diese Schlussfolgerung erscheint logisch: Wo Daten angesammelt werden, werden sie für Kriminelle attraktiv; wächst die Versuchung, der mögliche Gewinn und die Gelegenheit, sich diese Daten illegal zu verschaffen- und mit ihrer Hilfe den Bürgern zu schaden. Ähnliches dürfte wohl beispielsweise für die heimliche Online-Durchsuchung gelten- wer glaubt, dass Cyberkriminelle kein Interesse daran hätten, mit dem „Bundestrojaner“ zu experimentieren, ist entweder weltfremd oder zumindest wenig bewandert in Sachen IT-Security. Der Staat schafft hier selbst Instrumente, die in ihrer Macht und ihren destruktiven Möglichkeiten im heutigen Informationszeitalter faktisch nichts anderes als Waffen sind- und er hat keine wirksamen Konzepte, den Missbrauch dieser Waffen zu verhindern, ob er nun durch „normale“ Kriminelle, Terroristen oder sogar ihre Macht missbrauchende Autoritäten geschieht. Nicht gerade das, was man unter Verbesserung der Sicherheit verstehen würde, oder?

Die Schlussfolgerung, die wir aus diesen Berichten ziehen können, ist eigentlich auf der ganzen Linie ermutigend: Wir müssen uns nicht zwischen Sicherheit und Freiheit entscheiden. Wir haben nicht die Wahl, entweder in einem Überwachungsstaat zu leben oder unser Leben und das unserer Familie, Partner und Freunde (sowie sämtlicher anderen Menschen in diesem Land) aufs Spiel zu setzen. Im Gegenteil. Schützen wir die Privatsphäre unserer Bürger, machen wir gleichzeitig auch den Weg frei für sinnvolle, undramatische, unsere Freiheit respektierende Sicherheitsmaßnahmen. In dieser Hinsicht gibt es genug zu tun. So ist beispielsweise ein Teil unserer wichtigen Infrastruktur (beispielsweise im Bereich Kommunikation und Energieversorgung) nur sehr unzureichend gegen Angriffe aus dem Bereich „Cyber Warfare“ abgesichert. Was hier helfen würde sind sinnvolle technische Konzepte, ist auf die Experten zu hören. Ohne pauschale Verdächtigungen, ohne Verlust der Privatsphäre, dafür mit einem realen Sicherheitsgewinn. Bruce Schneier bringt weitere Beispiele: Think of a door lock, a burglar alarm and a tall fence. Think of guns, anti-counterfeiting measures on currency and that dumb liquid ban at airports. Security affects privacy only when it’s based on identity, and there are limitations to that sort of approach. Since 9/11, approximately three things have potentially improved airline security: reinforcing the cockpit doors, passengers realizing they have to fight back and — possibly — sky marshals. Everything else — all the security measures that affect privacy — is just security theater and a waste of effort.

Der Grund, warum es momentan mehr Debatten über die Innere Sicherheit als wirkliche Fortschritte in diesem Bereich gibt, liegt zu einem großen Teil in diesem Gegensatz begründet. Politiker und Ermittler, die es entweder nicht besser wissen oder diese fehlerhafte Denkweise für ihre Zwecke nutzen, fahren damit fort, uns einzureden, dass Privatsphäre und Sicherheit Gegensätze sind. Solange wir an diesen Gegensatz glauben, können wir die Situation nicht rational beurteilen und nicht die sinnvollste Lösung für anstehende Probleme finden. Statt dessen steuern wir immer weiter darauf zu, unsere Freiheiten zu verlieren ohne eine auch nur annähernd angemessene Gegenleistung zu erhalten.

Daher kommt auch der leider häufiger anzutreffende Eindruck, Datenschützer wären per se egoistisch oder realitätsfern oder hätten zumindest keinerlei Interesse an Sicherheitsfragen. Oft ist das Gegenteil der Fall. Das allerdings ist schwer zu vermitteln, wenn die meisten Menschen den Gegensatz „Privatsphäre/Sicherheit“ als gegeben annehmen. Wenn die Datenschutzbewegung wirklich an Einfluss gewinnen und etwas positives bewirken soll, ist eine der vordringlichen Aufgaben die Vermittlung der Tatsache, dass wir eben nicht Privatsphäre auf Kosten von Sicherheit wollen, sondern ineffektive Sicherheitsmaßnahmen, die dazu der Privatsphäre schaden, ablehnen. Wie in einem Gespräch an unserem Info-Stand, bei dem mir eine Dame sagte, sie wäre „gegen Terroristen“ und fände daher die Vorratsdatenspeicherung gut. Ich antwortete ihre „Wir sind alle gegen Terroristen“. Wir sind keine verantwortungslosen Traumtänzer, die mit dem Leben ihrer Mitmenschen spielen, wir versuchen lediglich, klarzumachen, dass man sowohl Sicherheit als auch Privatsphäre haben kann. Oder, um noch einmal Bruce Schneier zu zitieren: If you set up the false dichotomy, of course people will choose security over privacy — especially if you scare them first. But it’s still a false dichotomy. There is no security without privacy. And liberty requires both security and privacy.

Also, lassen wir uns keine Angst mehr machen, befreien wir uns von dem Pseudo-Gegensatz zwischen Lebensgefahr und Unfreiheit. Dann werden wir in diesem Staat einen Schritt weiter sein- wir werden die terroristische Bedrohung zwar nicht besiegt haben, aber wir werden einem sinnvollen Umgang damit ein bedeutsames Stück näher sein- und vor allem werden wir noch in einem Staat leben, der es wert ist, geschützt zu werden, weil er genau jene Werte hochhält, die uns von Terroristen und Freiheitsfeinden unterscheiden.

„The surest defense against terrorism is to refuse to be terrorized. Our job is to recognize that terrorism is just one of the risks we face, and not a particularly common one at that. And our job is to fight those politicians who use fear as an excuse to take away our liberties and promote security theater that wastes money and doesn’t make us any safer.“ (Bruce Schneier)

Über eine beunruhigende Entdeckung berichtet der bekannte IT-Security-Experte und Kryptologe Bruce Schneier auf seinem Blog. Unter dem Titel The Strange Story of Dual_EC_DRBG berichtet er über einen gleichnamigen Algorithmus zum Erzeugen von Pseudozufallszahlen auf dem Computer.

Bei Pseudozufallszahlen handelt es sich um möglichst unvorhersehbare Zahlen, die generiert werden, um sie für verschiedene sicherheitsrelevante Funktionen auf dem Computer einzusetzen (mehr davon später). Von Pseudozufallszahlen spricht man deshalb, weil diese Zahlen zufälliges Verhalten an den Tag legen sollen, in ihrer Entstehung aber nicht zufällig sind (anders als beispielsweise Zahlenfolgen, die anhand von natürlichen Phänomenen wie Meteoritenschauern, natürlichen Radiowellen oder Atomzerfall generiert werden; diese finden aber aufgrund des erhöhten Aufwands allenfalls beim Militär und bei Geheimdiensten Anwendung). Pseudozufallszahlen werden durch verschiedene Mechanismen erzeugt. Sie alle benötigen einen sogenannten „Seed“, also eine Eingabe, anhand derer dann die herauskommenden (zufällig wirkenden) Zahlen anhand spezieller Algorithmen berechnet werden. Gebräuchlich sind beispielsweise Benutzeraktivitäten wie die Bewegung des Mauszeigers, Netzwerk-Traffic oder andere System-Parameter.

Benötigt werden diese Pseudozufallszahlen als „Seed“ für Verschlüsselungen. Eine Verschlüsselung wird um ein vielfaches sicherer, wenn man einen zufälligen (beziehungsweise eben pseudozufälligen) Wert, den sogenannten „Salt“ mit einrechnet. Dieser macht Angriffe wie Known Plaintext Attacks (bei denen zu bestimmten, bekannten oder wahrscheinlichen, Klartexten das verschlüsselte Gegenstück gebildet und dies mit dem verschlüsselten Text, der bereits vorliegt, verglichen wird) oder dessen Weiterentwicklungen wie Rainbow Tables wirkungslos. Arbeitet man beim Verschlüsseln mit Salting, kann ein verschlüsselter Text jeden beliebigen Klartext ergeben, je nachdem, welche Zahl als Salt benutzt wurde.

Bruce Schneier über die Bedeutung von Pseudozufallszahlen: „Zufallszahlen haben eine wichtige Bedeutung für die Kryptographie: für Schlüssel, zufällige „Authentication Challenges“, Initialisierungsvektoren [wichtig beispielsweise bei der Verschlüsselung von WLANs], um Primzahlen zu generieren und so weiter. Knacke den Zufallszahlengenerator und du knackst in den meisten Fällen das ganze Sicherheitssystem.“

Dementsprechend problematisch ist es natürlich, wenn die generierten „Zufallszahlen“ nicht ganz so zufällig ausfallen. Dies ist offenbar der Fall bei einem der neuen Zufallszahlengeneratoren, die die NSA in Auftrag gegeben hat- besagtem Dual_EC_DRBG, der seine Zahlen mit Hilfe von elliptischen Kurven generiert. Dies haben nun zwei von Bruce Schneiers Kollegen herausgefunden. Zwei Kryptoanalysten namens Nils Ferguson und Dan Shumow beschrieben auf der Konferenz Crypto 2007 eine Schwäche des Generators (für ganz hartgesottene Nerds: nachzulesen hier) beschrieben.

Die Ergebnisse des Generators „korrespondieren mit einem zweiten Wertepaar“. Wer im Besitz dieses zweiten Wertepaares ist, könnte mit wesentlich geringerem Aufwand den Algorithmus berechnen und somit die Verschlüsselung knacken. Kryptologen sprechen in solchen Fällen von einer „Backdoor“, da ein Algorithmus auf wesentlich einfachere als die übliche Weise berechnet wird. Im beschriebenen Fall wäre der Vorteil, den man aus dem Besitz des zweiten, geheimen Zahlensatzes ziehen könnte, immens. Bruce Schneier berichtet, dass man lediglich 32 Bytes vom Output von Dual_EC_DRBG mitlesen müsste, um dessen weitere Ergebnisse berechnen zu können. Dies entspricht nach Schneiers Aussagen „einer TLS-Verbindung„. Wer jemals mit einem Packet Sniffer gearbeitet hat, weiß, dass es nicht sehr schwer ist, an eine derartige Datenmenge heranzukommen. Gelegenheiten gibt es genug, beispielsweise im Firmennetz oder auch unterwegs in nicht oder schlecht verschlüsselten WLANs – beziehungsweise für die NSA direkt auf dem Server.

Eine solche Backdoor ist natürlich nicht erwünscht, wenn es einem darum geht, seine Daten möglichst effektiv vor dem Zugriff Dritter zu schützen. Geht es einem allerdings darum, möglichst viel von der Konversation anderer Leute mitzulesen, ist man natürlich über eine solche Möglichkeit alles andere als böse- vorausgesetzt, man hat selbst den „Generalschlüssel“ oder rechnet sich aus, an diesen herankommen zu können. Und genau das könnte eine mögliche Motivation der NSA sein, die weitere Verbreitung von Dual_EC_DRBG trotz der Sicherheitslücken vorantreiben zu wollen.

Dies ist natürlich reine Spekulation, aber, wie Schneier laut The Register zusammenfasst: „Wir haben keine Möglichkeit, herauszufinden, ob die NSA die geheimen Zahlen kennt, mit denen man Dual_EC-DRBG knacken kann… Wir wissen nicht, wo die Konstanten hergekommen sind. Wir wissen nur, dass derjenige, der sie erstellt hat, den Schlüssel zu dieser Backdoor haben könnte. Und NIST- oder die NSA- haben keine Möglichkeit, das Gegenteil zu beweisen.“

Die Geschichte der NSA spricht dabei gegen sie, hat man doch schon oft (teilweise mit Hilfe der US-Regierung) versucht, den privaten Gebrauch von Kryptographie einzuschränken. So machte man sich beispielsweise für den sogenannten „key escrow“ stark, der besagte, dass sämtliche Schlüssel bei der Regierung „hinterlegt“ werden, oder sprach sich für Verschlüsselungschips aus, die Regierungsbehörden den Zugriff erlaubten. Auch gegen den Export von Kryptographie und die Veröffentlichung bestimmter Forschungsergebnisse setzte man sich ein. Wäre es da wirklich erstaunlich, wenn die NSA nun mit Absicht einen Algorithmus mit einer Backdoor fördern würde? Private Verschlüsselung, einer der wenigen effektiven Wege, seine Sicherheit und Privatsphäre bei der Computernutzung zu schützen, erschwert der NSA ihre Arbeit- wieso also nicht einen „Super Top-Trumpf“ in der Hinterhand behalten?

Allein dies macht den vorgestellten Algorithmus indiskutabel. Niemand möchte wohl, dass die NSA seine Daten mitliest, sonst würde er kaum Verschlüsselung einsetzen. Außerdem besteht ja auch noch das Risiko, dass die Daten in falsche Hände gelangen, wie beispielsweise auch Markus vom Open Mind Blog, unter Bezugname auf die in letzter Zeit immer wieder fehlerhaften IT-Sicherheits-Konzepte von US-Behörden, schreibt. Einmal in der Hand von Kriminellen wäre der Schlüssel dann schnell in der Szene verbreitet und auf Dual_EC-DRBG basierende Verschlüsselungen „nur noch so sicher wie eine Postkarte“.

Bruce Schneier fasst es folgendermaßen zusammen: „Selbst wenn niemand die geheimen Zahlen kennt, macht die Tatsache, dass die Backdoor existiert, Dual_EC_DRBG sehr verwundbar. Wenn jemand nur eine Instanz von dem im Algorithmus vorkommenden Problem elliptischer Kurven löst, würde er im Endeffekt die Schlüssel zum Königreich in der Hand halten. Er könnte sie für jeden kriminellen Zweck benutzen, der ihm einfällt. Oder er könnte sie veröffentlichen und jede Implementierung des Zufallszahlengenerators komplett unsicher machen.“

Das alles ist wirklich, wie Schneier es nennt, „scary stuff“. Die geforderten Erklärungen aber werden wir alle wohl nie bekommen, immerhin handelt es sich hier um die NSA (also „Never Say Anything“). Wenn es sich hier, wie es momentan den Anschein hat, um einen Versuch dieser Behörde handelt, die User-Community für dumm zu verkaufen und zu Opfern zu machen, kann man glücklicherweise sagen, dass dieser Versuch misslungen ist. Dank der Arbeit einiger hervorragender Experten wurde die Lücke aufgedeckt und bekannt gemacht, bevor der Algorithmus weitreichende Verbreitung fand. Bitte mehr Leute wie Schneier, Ferguson und Shumow im Netz, die durch Neugier und Fachkenntnisse Sicherheitslücken aufdecken und User vor ihnen schützen- und bitte weniger von der Regierung aufgezwungene Kontrolle, die das Medium letzten Endes, wie man hier sieht, nur unsicherer macht.