Jetzt also die “non-US”- Rechenzentren yon Google und Yahoo. Egal wo, die NSA schneidet mit.
Nun braucht man ja beim Mitschneiden einen “Angiffsvector”, sprich einen Punkt in der Datenkommunikation, an der man die Informationen ungehindert, aber auch unerkannt ausleiten kann. Der Spiegel hat dazu einen interessanten Artikel, der zwischen den Zeilen ein paar bemerkenswerte Feinheiten enthält, da normalerweise die Konzepte in Rechenzentren die Zahl der Vectoren reduzieren swie den Zugang zu den verbleibenden Zielen reduzieren.
Die gängige Praxis, Datenverkehr auf weiten Strecken zu verschlüsseln, ist dabei ein Gewaltakt, der seines Gleichen sucht und daher werden insbesondere innerhalb privater Organisationen, wie z.B. Google die Verbindungen als direkte Glasfaserverbindungen ausgelegt.Solche Verbindungen werden zwar durch Telekomprovider angelegt, sind aber – bis auf Vertärkertechnik – aus Sicht der Nutzer passiv. Da diese Verbindungstechnik gemeinhin als nicht abhörbar gilt und auch der Overhead (Bandbreitenverlust, steigende Latenz, Fragmentierung) für die Verschlüsselung an dieser Stelle beträchtlich ist, wird das üblicherweise unterlassen.
Verschlüsselungstechnik beschränkt sich daher üblicherweise auf Verbindungen die öffentliche Teilstrecken enthalten. Beides hebelt man jedoch aus, wenn man die Endgeräte, egal ob Handy oder Server, kompromittiert.
Jetzt setzen an dieser Stelle allenthalben die üblichen Security- Mechanismen an wie Rechtekontrolle, Virenschutz, Releasmanagement und Installationsrestriktionen, der volle Werkzeugkasten den IT-Betriebsverantwortliche so haben. Und all das ist zwecklos, wenn das darunter liegende System schon beim Hersteller mit Schnittstellen versehen wurden, die privilegierten und verborgenen Zugriff gewähren. Die amerikanische Dominanz bei den Betriebssystemherstellern und dir unverholenen Eingriffe amerikanischer Behörden in den Unternehmen rechtfertigen hier gewisse Zweifel, ob alle Sicherheitsmechanismen so stringent implementiert sind, wie sie das sein sollten. Die Möglichkeit einer Implementierung schließt auch die Möglichkeit ein diese Maßnahmen zu verschleiern.
Aus diesem Grund bieten nur Quell- offene Betriebssysteme wie z.B. Linux, hier wirklichen Schutz und auch wenn nicht jeder Administrator vor der Installation die Quelltexte seiner Distribution liest, liefert alleine die Möglichkeit die erste Hilfe. Die zweite Hilfe kommt von der Community, die durchaus eben jede Stelle des Quellcodes irgendwann einmal liest und typischerweise werden hier Fragen gestellt, sollte einem das ein oder andere Dubios vor kommen. Jeder hat also auf einer Metaebene, sprich in den einschlägigen Medien, die Möglichkeit den Stand der Diskussion hier zu verfolgen und sich seine eigene Meinung, ja sein eigenes Vertrauen zu bilden.
Mir persönlich hilft das sehr.
kyp.f.