Auch NSA & Co. können nicht alles knacken

Die Enthüllungen von Whistleblower Edward Snowden haben das Vertrauen in die Wirksamkeit von Verschlüsselungsverfahren erschüttert. [...]

Angesichts der nach und nach veröffentlichten Informationen über die Aktivitäten von NSA & Co. konnte man schon den Eindruck gewinnen, gegen die Geheimdienste von heute sei kein Kraut gewachsen. Viele fragen sich, ob nicht gerade die USA ihre Finger überall so tief drin haben, dass man sich die Mühe auch gleich sparen kann, seine Daten schützen zu wollen.

Die gute Nachricht: Es gibt noch immer sichere Verschlüsselungs-Verfahren, die nach heutigem Wissensstand auch die Geheimdienste nicht knacken können. Zu diesem Schluss kommen Bernhard Esslinger (Uni Siegen), Martin Franz und Michael Schneider in einem Artikel für die Fachzeitschrift . Als unsicher anzusehen sind demnach vor allem ältere Standards, die akademische Kreise schon länger als „gebrochen“ angesehen haben, die aber dennoch verbreitet im Einsatz sind. Zudem gilt als gesichert, dass in mindestens einem Fall eine Standardisierung im Sinne der Dienste beeinflusst und mit einer „Hintertür“ versehen wurde. Trotzdem bleibt der Werkzeugkasten der Security-Industrie noch ausreichend gut gefüllt, um für ordentliche Sicherheit sorgen zu können, sind die Experten überzeugt.

Die schlechte Nachricht, die in dem Artikel veröffentlicht wurde, lautet indessen: Längst nicht jeder Anbieter agiert nur im Interesse seiner Kunden. Viele namhafte Soft- und Hardware-Hersteller arbeiten offenbar mit den Geheimdiensten zusammen: Entweder bauen sie gleich gezielte Schwachstellen ein oder programmieren zumindest in einer Art und Weise, die den Spionen das Leben leichter macht. Die Achillesferse der Sicherheit liegt also in den Systemen, Softwares und Dienstleistungen. Auch und gerade „in der Cloud“ ist anzunehmen, dass Sicherungen bewusst geschwächt oder Daten sogar direkt durchgereicht werden.

Ein wesentlicher Schritt zum besseren Schutz liegt daher in der Auswahl der genutzten Hard- und Software sowie Internetdienste. Hier steht zu befürchten, dass gerade Unternehmen, die in den USA ansässig oder stark vertreten sind, einem enormen Druck seitens der Sicherheitsorgane unterliegen – doch auch in anderen Teilen der Welt (inklusive Europa) gibt es äußerst aktive Geheimdienste. Neben der Bevorzugung nationaler Anbieter könnten auch Open-Source-Produkte oder unabhängige Prüfungen in gewissen Grenzen für ein Mehr an Sicherheit sorgen, sind die Experten überzeugt.

Zudem sollte man darauf achten, dass Produkte keine „alten“ Verfahren enthalten, die auch ohne aktives Zutun des Anbieters den Geheimdiensten Tür und Tor öffnen. Hier wird man zwar großteils auf die Aussagen der Hersteller vertrauen müssen, die es mit Empfehlungen der Fachleute abzugleichen gilt. Aber ohne fundierte Rückfragen und (Gegen-)Druck von Seiten der Kunden dürften sich mehr Hersteller klaglos den Wünschen von NSA & Co. unterwerfen als in einem Markt, der verstärkt Transparenz einfordert. Denn es ist eine Sache, stillschweigend mit den Geheimdiensten zu kooperieren, und eine andere, seine Kunden explizit zu belügen – schon gar, wenn man einer Gerichtsbarkeit untersteht, die womöglich zu Schadensersatz verpflichtet, wenn solche Lügen später auffliegen.
 
Der vollständige Artikel zum Thema „Krypto und NSA“ ist in Ausgabe 1/2014 zu finden. Ein gratis Ansichtsexemplar dieser Ausgabe erhält man unter http://www.kes.info/probeheft. (pi)