Verschlüsselung zwecklos: Geheimdienste knacken jeden Code

Wie verschiedene Medien, unter anderem der "Guardian" oder die "New York Times", berichten, kann der US-Geheimdienst NSA auch einen Großteil der verschlüsselten Kommunikation im Internet mithören und mitlesen. Mit Supercomputern, technischen Tricks, Gerichtsbeschlüssen und einiger Überzeugungsarbeit bei IT-Unternehmen soll die Mehrheit der bekannten Verschlüsselungssysteme geknackt oder umgangen worden sein. Der Codename des milliardenschweren Programms lautet "Bullrun", benannt nach einer Schlacht im US-Bürgerkrieg. [...]

Bullrun gehöre zu den größten Geheimnissen der Behörde und sei nun durch die Enthüllungen des Whistleblowers Edward Snowden ans Tageslicht gekommen. Nur sehr wenige Mitarbeiter hätten Zugang zu den Top-Secret-Informationen – und nur die Partnerbehörden in Großbritannien, Kanada, Australien und Neuseeland wüssten davon. So sei auch der britische Geheimdienst GCHQ beim Code-Knacken sehr erfolgreich – der Name des britischen Pendants zu Bullrun lautet Edgehill. Die GCHQ-Analysten hätten es zuletzt besonders auf Ziele wie Google, Yahoo, Facebook und Microsoft abgesehen.

Den Informationen zufolge haben die beiden Geheimdienste Zugang zu Verschlüsselungszertifikaten, die Internetnutzern, die für die Datenübertragung eine SSL-Verbindung verwenden, eine sichere Datenverbindung ermöglichen sollen. Mit SSL kann man zum Beispiel die Datenübertragung im Browser verschlüsseln. SSL-Verschlüsselung kommt nicht nur bei bestimmten Webmailanbietern und Facebook standardmäßig zum Einsatz, sondern wird auch für Online-Banking verwendet. Das würde bedeuten, dass die beiden Geheimdienste auch Online-Banking überwachen können.

HINTERTÜREN FÜR NSA
Außerdem würde die NSA sogar Einfluss darauf nehmen, wie die Verschlüsselungssysteme programmiert werden, sprich: Die NSA könnte sich bewusst Hintertüren einbauen lassen. Diese wiederum könnten Hacker für Angriffe ausnutzen. Damit würde SSL aber generell unsicherer.
 
Snowden verriet zudem, wie die NSA überhaupt die SSL-Verschlüsselung überwinden konnte. So wurde etwa nicht nur das SSL-System gehackt, sondern die Geheimdienstler verschafften sich offensichtlich auch Zugang über die Firmen, die für die Zertifizierung und Umsetzung verantwortlich sind. Diese Firmen wurden offensichtlich mit Millionenbeträgen bestochen und/oder unter Druck gesetzt, damit sie mit den Geheimdiensten kooperieren.
 
Die Dokumente, die der Guardian erhalten hat, legen folgende Fakten offen:

  • Ein zehnjähriges NSA-Programm gegen Verschlüsselungstechnologien schaffte 2010 eine bahnbrechende Entdeckung, die „gewaltige Mengen“ gesammelter Daten neu verwertbar machten.
  • Die NSA gibt jährlich rund 250 Millionen US-Dollar für ein Programm aus, das unter anderem mit Technologieunternehmen zusammenarbeitet, um deren Produktdesign „heimlich zu beeinflussen“.
  • Die Geheimhaltung der Fähigkeiten gegenüber Verschlüsselungen wird eng überwacht. Analysten wurden gewarnt, nicht nach Quellen oder Methoden zu fragen oder darüber zu spekulieren.
  • Die NSA nennt starke Verschlüsselungsprogramme als „Eintrittspreis für die USA, um uneingeschränkten Zugriff auf den Cyberspace beizubehalten“.
  • Ein Team des GCHQ hat an einer Methode gearbeitet, den verschlüsselten Traffic der „grossen vier“ Dienstanbieter zu knacken. Die „grossen Vier“ sind laut den Dokumenten Hotmail (Microsoft), Google, Yahoo und Facebook.

NSA und GCHQ insistieren, dass das Knacken von Verschlüsselungen für den Kampf gegen den Terrorismus unerlässlich sei. Sicherheitsexperten sehen das jedoch anders. „Hintertüren sind grundsätzlich in Konflikt mit guter Sicherheit“, sagt Christopher Soghoian von der America Civil Liberties Union. „Die Hintertüren gefährden alle Nutzer des betroffenen Systems, nicht nur Ziele der Sicherheitsagenturen.“ Dem stimmt auch eine aktuelle Arbeit von Stephanie Pell vom Zentrum für Internet und Sicherheit an der Stanford Universität zu. „Ein verschlüsseltes System mit einer Hintertür zum Abfangen von Daten ist einem höheren Risiko ausgesetzt, einen katastrophalen Vertraulichkeitsverlust der Kommunikation zu erfahren, als ein System, das gar nie verschlüsselt wurde“, schreibt Pell.

Die Schlüssel zum Erfolg im Kampf gegen die Verschlüsselung bilden die Partnerschaften mit grossen Technologieunternehmen. In der Budgetanfrage der US Intelligence Community für das Jahr 2013 werden die Kollaborationen aufgeführt. Das Gesamtbudget für diese Partnerschaften beträgt 254,9 Millionen US-Dollar alleine für dieses Jahr. Zum Vergleich: Das Prism-Programm kostete lediglich 20 Millionen pro Jahr. Das unter dem Namen Sigint bekannte Programm verschlang seit 2011 über 800 Millionen US-Dollar.

KRIEGSRHETORIK
Sigint soll „aktiv US- und fremde IT-Industrien angehen, um deren Produktdesign zu beeinflussen“. Laut den veröffentlichten Dokumenten sollen mit Sigint Sicherheitslücken in kommerziell genutzte Verschlüsselungsmethoden eingebaut werden. Diese sollen ausschliesslich der NSA bekannt sein. Der Endkunde weiss nichts davon. Passenderweise wird der Kunde im Dokument als „Widersacher“ bezeichnet: „Diese Designänderungen machen das betroffene System durch für Sigint-Datensammlungen nutzbar. Für den Nutzer oder andere Widersacher bleibt die Systemsicherheit jedoch intakt.“

Besonders fällt die von NSA und GCHQ verwendete Sprache auf. Nicht nur die Bezeichnung „Widersacher“ für den Endnutzer verschlüsselter Systeme stößt bei vielen Internetnutzern auf Widerstand. Der Projektname für das Entschlüsselungsprojekt der NSA lautet Bullrun, benannt nach einer großen Schlacht im Amerikanischen Bürgerkrieg. Das britische Äquivalent des GCHQ heisst Edgehill. Dieser Name stammt von der ersten Schlacht im Englischen Bürgerkrieg, rund 200 Jahre davor. Einige Leser des Guardian und der New York Times verstehen die Codenamen als Kriegserklärung der Regierung gegen das eigene Volk. (apa/idg/rnf)


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*