IT-Spionage mit Hilfe künstlicher Intelligenz Wie die NSA bald unsere Gedanken liest
Lauschangriff: Das Internet der Dinge gibt den Geheimdiensten ganz neue Möglichkeiten - wenn die Nutzer der Informationsgesellschaft nicht nachrüsten, wird das Thema Datensicherheit untergehen
Foto: Marijan Murat/ picture alliance / dpaDieter Kempf, Präsident des IT-Branchenverbands Bitkom, trommelte zum Auftakt der Computermesse Cebit für seine Branche: "Alles, was digitalisiert werden kann, wird auch digitalisiert", sagte Kempf und erinnerte mit dieser Aussage an die Allmachtsphantasien der IT-Fürsten aus dem Silicon Valley. Mit dem Begriff "Sicherheit" ist Kempf bei dieser Gelegenheit ebenso wenig aufgefallen wie Zuckerberg, Page & Co.
Nach dem jüngsten Hacker-Skandal beim Handykarten-Anbieter Gemalto wird aber deutlich: Sollten wir die Digitalisierung nicht beherrschen, werden die Themen Sicherheit und Datenschutz in der Datenflut untergehen - und technisch hochgerüstete Geheimdienste wie die NSA werden mit Hilfe künstlicher Intelligenz und des gepriesenen "Internet der Dinge" bald in der Lage sein, nicht nur unsere Gespräche, Handlungen und Bewegungen zu überwachen - sondern sogar in unsere Köpfe zu schauen und unsere Handlungen vorherzusagen. Ein Horrorszenario? Keineswegs.
Bereits im Jahr 1989 berichtete der SPIEGEL, dass US-Geheimdienste "jeden Piepser" in Deutschland abhören könne . Und auch dass Industrieunternehmen durch Wirtschaftsspionage enormen Schaden erleiden, ist nicht neu: Der Windanlagenbauer Enercon zum Beispiel will 1994 einen Schaden in Höhe von 100 Millionen Mark erlitten haben. In Großbritannien ist Wirtschaftsspionage sogar gesetzlich verankert. Auch das haben wir in Deutschland akzeptiert und damit unsere Verbündeten und Freunde beflügelt, noch größere Ziele in Angriff zu nehmen: Mit dem Programm AQUAINT ("Advanced QUestion Answering for INTelligence" - "fortgeschrittene Fragen und Antworten für Geheimdienste") sollen unsere Handlungen und Gedanken praktisch von den Geheimdiensten vorhersagt werden.
"Alles sammeln, was wir sammeln können"
Dazu sind viele Daten nötig: Vor zwei Jahren hat Ira Hunt, damals Chief Technology Officer der CIA, erklärt: "Mehr ist immer besser […] da man Punkte nicht verknüpfen kann, die man nicht hat, versuchen wir grundsätzlich alles zu sammeln, was wir sammeln können und behalten es für immer."
Am 9. Juni 2013 entpuppte sich Edward Snowden als Quelle für den Geheimdienstskandal. Einen Tag später prahlte Hunt damit, dass die Dienste in der Lage seien, nahezu "jede von Menschen generierte Information zu verarbeiten". Dazu gehört auch die Sprache: Am 19. Februar 2015 berichtete das Internetmagazin The Intercept , dass NSA und GCHQ dem Niederländischen Unternehmen Gemalto die Codes zur Verschlüsselung von Handy-SIM-Karten gestohlen hätten. Wer solche Codes hat, kann dem Telefonierenden zuhören. Wer solche Codes hat, kann dem Telefonierenden zuhören.
Informationen über Personen - noch bevor das Telefonat beginnt
Aus Überwachungsprogrammen wie "PRISM" oder "Tempora" wissen die Dienste bereits Einiges über die Zielperson, noch bevor das Telefonat überhaupt beginnt. Dazu gehören (Ab)Neigungen, Arbeitgeber, Bildungsstand, Gesundheit, Familie, Finanzen und soziale Herkunft. Diese Informationen lassen sich mit den digitalisierten und inhaltlich erkannten Sprachdaten kombinieren. Tonfall, Sprachmelodie, Dialekt, Satzrhythmus, Satzakzent und weitere Parameter bilden zusammen die 'Prosodie' der Sprache und ergänzen das Persönlichkeitsprofil.
Das Ergebnis dieser Kombination können sich die Abhörspezialisten in "Echtzeit" - also noch während des Telefonats - auf ihre Bildschirme holen. Sind womöglich noch Bilder oder gar Videos verfügbar? Umso besser! Die Schlußfolgerungen lassen sich mit den Standortdaten des Handys zum Zeitpunkt des Gesprächs und den Informationen über den Gesprächspartner verknüpfen. Am Ende könnte ein flächendeckendes Abbild eines ganzen Volkes und seiner Beziehungen mit Drittstaaten entstehen. Und alle Gespräche lassen sich wie mit einem Schieberegler vor- und zurückspulen.
Das von der Industrie beschworene "Internet der Dinge" bietet den Diensten weitere Informationsquellen: Im "Internet der Dinge" kommen dann noch die Daten aus den von uns benutzten Gegenständen hinzu - nicht nur von Autos und Häusern, sondern auch von Fernsehern, Waschmaschinen, von Unterhaltungs- und Lifestyle-Elektronik.
Auch für viele Topmanager aus Wirtschaft und Politik gehört es inzwischen zum guten Ton, ein "intelligentes" Fitness-Armband zu nutzen; damit lassen sich zurückgelegte Schritte zählen, Puls und Blutdruck messen und vieles mehr. Für Spione ist das äußerst praktisch - übers iArmband wissen die Beobachter dann auch gleich noch, wie bewegungsfreudig und stressresistent die Zielperson ist.
Fitness-Armbänder als Appetizer - und SIM-Karten als besonderer Leckerbissen
Die SIMKarten für Smartphones sind ein besonderer Leckerbissen. Der Hersteller Gemalto fertigt zwei Milliarden solcher Karten für 450 Telefonnetzbetreiber in 85 Ländern - darunter auch T-Online, Vodafone, E-Plus und O2 - an 40 Produktionsstandorten. Und schon sechs Tage nach der ersten Meldung über einen möglichen Datendiebstahl präsentierte das betroffene Unternehmen das Ergebnis einer "eingehenden Analyse".
Demnach sieht Gemalto "eine vernünftige Basis für die Annahme, dass wahrscheinlich ein Angriff durch NSA und GCHQ stattfand". 2010 und 2011 seien zwei Operationen festgestellt worden. Das Unternehmen, das auch die elektronische Gesundheitskarte für deutsche Krankenversicherte herstellt, verneinte jedoch, dass auch Codes zur Verschlüsselung von 3G- oder 4G-Karten (für UMTS- und LTE-Telefone) betroffen sein könnten. Und das Gesundheitsministerium in Berlin teilte ganz entspannt per Mail mit: "Mit der Presseeklärung des Unternehmens Gemalto steht fest, dass die elektronische Gesundheitskarte nicht von dem Hackerangriff betroffen ist."
15 Millionen dieser Karten hat Gemalto an die AOK Hamburg geliefert. Hinzu kommen EC- oder auch Kreditkarten für Commerzbank, Landesbanken, Postbank und die Sparkassen.
Die Argumentation von Gemalto kann jedoch nicht überzeugen: Der Konzern wusste bislang nicht einmal, dass die Aktionen vor Jahren auf das Konto der Geheimdienste gingen - und bis heute wollen sie das auch nicht bestätigen. Gleichzeitig will Gemalto in nur sechs Tagen eine "eingehende" Untersuchung durchgeführt und dokumentiert haben? Diese Behauptung gibt Anlass zur Sorge: Entweder der Schaden ist größer, als Gemalto bislang zugeben will - oder der Hersteller ist tatsächlich von den Ergebnissen seiner "eingehenden" Analyse überzeugt und geht bereits wieder zur Tagesordnung über. Und die Frage bleibt: Wurde nur Gemalto von den Geheimdiensten ins Visier genommen? Oder wurden auch die Wettbewerber attackiert?
Wirtschaftskrieg: Wie manipulierte Daten Unternehmen schädigen
In der digitalen Welt eröffnen sich auch für Industriespionage ganz neue Möglichkeiten: Es geht nicht nur um Datenklau, sondern auch um die Manipulation von Informationen. Die US-Dienste haben laut "21 Century Wire" in internen Memos darüber informiert, wie Unternehmen am besten diskreditiert werden können - zum Beispiel durch das Veröffentlichen von geheimen Informationen, durch negative Einträge in Internetforen, durch das Torpedieren geplanter Deals sowie durch das "Ruinieren" von Geschäftsbeziehungen".
Beim Ruinieren helfen schon kleinste Manipulationen in den Datenbanken des Zielunternehmens: Wenn weniger Lohn ausgezahlt wird, verunsichert das die Belegschaft, und wenn das Bauteil nur einen Millimeter kleiner als geplant ausfällt, hat es nur noch Schrottwert. Der Vorteil für den Saboteur: Wenn der Angreifer es geschickt anstellt, merkt das Opfer nicht einmal, dass es Opfer ist, sondern glaubt, es habe an eigenen Fehlern gelegen. Und wer nicht pünktlich und korrekt liefert, ist raus aus dem Geschäft. Damit hat der Wettbewerber seine Chance.
Im "Internet der Dinge" läßt sich die Wucht der Angriffe steigern: Geht im Sommer die iHeizung an, kann in der Halle nicht mehr produziert werden, versagt das iAuto, hat der Referent ein Päuschen und sein Vortrag fällt aus.
Die Angreifer haben aufgerüstet - und wir Datennutzer müssen nachrüsten
Von den Angreifern wissen wir, dass sie nahezu beliebige finanzielle Mittel zur Verfügung haben - und ihre Leistungsfähigkeit in der Informationstechnik enorm gesteigert haben. Welche dieser Fähigkeiten zwischenzeitlich bei der organisierten Kriminalität gelandet sind, ist unbekannt.
Dem gegenüber stehen unsere Fähigkeiten als Teilnehmer der Informationsgesellschaft - das sind diejenigen, die Entscheidungen in Politik und Wirtschaft fällen, oder auf Basis der gefällten Entscheidungen Software entwickeln, implementieren, administrieren oder nutzen, um vernetzte Geräte zu steuern oder personenbezogene Daten zu verarbeiten.
In diesem Kräftemessen sieht es für uns bislang nicht gut aus: So eiert die Bundesregierung noch immer um die Frage herum, ob zum Beispiel die geplante Telematikinfrastruktur des Gesundheitswesens (TI), die zig Millionen vertrauliche Patientendaten verarbeitet, zu den Verpflichteten des geplanten IT-Sicherheitsgesetzes gehören soll. Dann müsste sie regelmäßig gegenüber dem Bundesamt für die Sicherheit in der Informationstechnik (BSI) nachweisen, dass die Gesundheitskarten wirklich sicher sind. Fällt sie nicht unter das IT-Sicherheitsgesetz, dann können die Patienten nur auf die Sicherheit der TI hoffen. Ähnlich verhält es sich mit der Verkehrstelematik oder unseren iStromnetzen. Schließen wir die Sicherheitslücken nicht, könnte uns jemand landesweit den Strom abstellen.
Der "IT-Grundschutz-Katalog" des BSI ist knapp 5000 Seiten dick. Dennoch oder gerade deshalb ist es entscheidend, die Schutzbestimmungen in den Behörden und Unternehmen anzuwenden - auch Anwälte, Arztpraxen und Steuerberater benötigen wenigstens eine abgespeckte Version. Je länger wir damit warten, desto komplizierter und teurer wird es.
Der Autor Joachim Jakobs ist Gründer von privatsphaere.org - Verein zur Förderung von Datenschutz und Datensicherheit
