Business-Reisende beschweren sich, denn Notebook und PDA sind bei einer Einreise in die USA dem willkürlichen Zugriff der Behörden ausgesetzt. Deshalb empfehlen IT-Sicherheitsexperten, probate Gegenmaßnahmen zu ergreifen.
 |
In der New York Times und anderen amerikanischen Medien haben derartige Vorfälle ein breites Leserecho[2] gefunden.
"Den Betroffenen bleibt im Moment nur die Hoffnung, dass die Daten vertraulich behandelt werden", sagt Utimaco[3]-Sicherheitsexpertin Rieke Bönisch. Das Unternehmen empfiehlt Geschäftsreisenden daher, vertrauliche Inhalte auf Notebooks, PDAs und Smartphones generell zu verschlüsseln, damit Außenstehende keinen Zugriff auf die Daten haben und diese auch nicht weiterverwenden können.
Aufgrund der jüngsten Vorfälle diskutierten mehr als 1000 Vertreter der Reisebranche - und somit auch Business-Vielflieger - das Thema auf der diesjährigen ACTE-Konferenz in Barcelona. Die Organisation zeigte sich besorgt darüber, dass der Umgang mit den privaten und geschäftlichen Informationen an der US-Grenze meist völlig im Dunkeln bleibe und konkrete Verdachtsmomente von den Behörden kaum begründet werden müssen (siehe PDF-Whitepaper von ACTE: Enhanced US Border Security and its Implications[4]).
Notorische Vielflieger laufen somit Gefahr, immer häufiger zur willkürlich ausgewählten Zielscheibe verschärfter Einreisebestimmungen zu werden. ACTE berichtet sogar von Fällen, in denen Notebooks von Geschäftsreisenden samt ihrem Inhalt für ein Jahr einbehalten werden. Die Privatsphäre und die Geschäftsgeheimnisse der Reisenden seien bei der Einreise dadurch erheblich bedroht, warnt die Organisation. "Hinzu kommt, dass völlig unklar bleibt, was mit den Daten in den US-Behörden geschieht", ergänzt Rieke Bönisch von Utimaco.
 |
Im Detail bietet der Sicherheitsanbieter eine große Bandbreite an Lösungen. Damit lassen sich sowohl Dateien auf dem PDA, Notebook oder dem Desktop-PC speichern. Zusätzlich können Geschäftspartner ihre Daten verschlüsselt per E-Mail austauschen, ohne dass der Adressat dieselbe Lösung auf seinem Endgerät installiert hat. Selbst extrahierende Dateien machen spezielle Software auf Seiten des Empfängers überflüssig.
Der Nutzer befindet sich aber trotz der Möglichkeit, sich mit Hilfe von E-Tokens oder sonstigen biometrischen oder kryptographischen Schutzvorkehrungen gegen das Ausspionieren zu wehren, in der permanenten Defensive. Ein Recht auf grundsätzlichen Schutz der Privatsphäre besteht an der US-Grenze nicht. Deshalb tendieren Reisende bereits dazu, sensible Businessdaten vorher ganz vom Laptop zu entfernen. Doch kann dies nach Auffassung von Experten keine wirkliche Lösung sein.
Erschwerend kommt die schwache Position der Europäischen Union hinzu. Nach einem jüngsten Beschluss des Ministerrats kooperieren die US-Sicherheitsbehörden künftig noch enger mit der europäischen Strafverfolgungsbehörde Eurojust[5]. Die Einschnitte in die Privatsphäre der Einreisenden verschärfen sich somit schleichend. So sind weder die Flugdaten der Passagiere vor dem Zugriff der US-Behörden geschützt noch die Wege zur Speicherung sensibler Informationen transparent. Mit den künftig obligatorischen biometrischen Funktionen im Reisepass dürfte sich der Trend zum gläsernen Businessflieger weiter verstärken.
 |
Der Datenschützer empfiehlt zwei Methoden, um sich gegen willkürliche staatliche Übergriffe durch US-Grenzbehörden zu schützen. Entweder man reise einfach nicht mehr in die USA, oder man verschlüssele nicht nur die Datenbestände auf dem eigenen Laptop, sondern verschleiere deren Existenz durch Einbinden in mit Zufallsdaten gefüllten Containern, "so dass man auch nicht gezwungen werden kann, die Schlüssel herauszugeben oder eine Entschlüsselung vorzunehmen", argumentiert Weichert.
Helmut Dansachmüller, Leiter Global Alliance bei Utimaco, empfiehlt den Reisenden vor allem, sichere Passwortzugänge zu wählen - mit über sechs Zeichen langen Werten. "Damit ist die Wartezeit für die Geheimdienste zu lang, um diese allzu leicht auszuspionieren." Eine Möglichkeit zum privaten Passwortcheck bietet etwa die Seite des Datenschutzbeauftragten[7] des Schweizer Kantons Zürich.
Auch ein guter Zufallsgenerator für Einmalpasswörter ist nach Auffassung von Helmut Dansachmüller ein probates Mittel, da die Geheimdienste in der Regel keine Brute-Force-Attacken[8] durchführten. Des Weiteren sollten die Nutzer darauf achten, eine einseitige Abhängigkeit von Sicherheitsanbietern aus den USA oder Israel zu vermeiden und globaler aufgestellte Unternehmen beim Desktopschutz und mobilen Endgeräten zu bevorzugen.Eine hundertprozentige Sicherheit bleibt aber eine Illusion, das bestätigt auch Sicherheitsexperte Felix Lindner von der Berliner Sabre Labs[9]. Die Sicherheit von kryptographischen Methoden basiere auf einem bekannten Algorithmus und einem geheimen Schlüssel. Solange Sicherheitsanbieter keine Hintertüren in ihre Software eingebaut hätten, was nicht nachprüfbar sei, seien verschlüsselte Laptops zwar relativ sicher vor den Behörden. "Doch können die Behörden den Besitzer mit verschiedenen unangenehmen Mitteln zwingen, das Passwort herauszugeben", gibt Lindner zu bedenken.
Sabre Labs verweist zudem neben Windows auch auf Open-Source-basierte Lösungen, die einerseits einsehbaren Quellcode und damit mehr Sicherheit vor Hintertüren bieten, andererseits so genannte "plausible Abstreitbarkeit[10]" offerieren. Damit ist gemeint, dass sich der verschlüsselte Laptop nicht gleich mit einer Passwortabfrage meldet, die den Schutzmechnismus verrät. "Die Benutzbarkeit solcher Lösungen ist mittlerweile gut und somit auch für Business-Kunden geeignet", sagt Lindner. Trotz dieser Möglichkeiten plädiert auch er für das derzeit probateste Schutzmittel, um gegen das Prozedere zu demonstrieren, nämlich einfach keine Reisen in die USA zu unternehmen.
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = https:/
[8] = http:/
[9] = http:/
[10] = http:/