Verschlüsselung zwecklos: Geheimdienste knacken jeden Code

Wie verschiedene Medien, unter anderem der "Guardian" oder die "New York Times", berichten, kann der US-Geheimdienst NSA auch einen Großteil der verschlüsselten Kommunikation im Internet mithören und mitlesen. Mit Supercomputern, technischen Tricks, Gerichtsbeschlüssen und einiger Überzeugungsarbeit bei IT-Unternehmen soll die Mehrheit der bekannten Verschlüsselungssysteme geknackt oder umgangen worden sein. Der Codename des milliardenschweren Programms lautet "Bullrun", benannt nach einer Schlacht im US-Bürgerkrieg. [...]

Bullrun gehöre zu den größten Geheimnissen der Behörde und sei nun durch die Enthüllungen des Whistleblowers Edward Snowden ans Tageslicht gekommen. Nur sehr wenige Mitarbeiter hätten Zugang zu den Top-Secret-Informationen – und nur die Partnerbehörden in Großbritannien, Kanada, Australien und Neuseeland wüssten davon. So sei auch der britische Geheimdienst GCHQ beim Code-Knacken sehr erfolgreich – der Name des britischen Pendants zu Bullrun lautet Edgehill. Die GCHQ-Analysten hätten es zuletzt besonders auf Ziele wie Google, Yahoo, Facebook und Microsoft abgesehen.

Den Informationen zufolge haben die beiden Geheimdienste Zugang zu Verschlüsselungszertifikaten, die Internetnutzern, die für die Datenübertragung eine SSL-Verbindung verwenden, eine sichere Datenverbindung ermöglichen sollen. Mit SSL kann man zum Beispiel die Datenübertragung im Browser verschlüsseln. SSL-Verschlüsselung kommt nicht nur bei bestimmten Webmailanbietern und Facebook standardmäßig zum Einsatz, sondern wird auch für Online-Banking verwendet. Das würde bedeuten, dass die beiden Geheimdienste auch Online-Banking überwachen können.

HINTERTÜREN FÜR NSA
Außerdem würde die NSA sogar Einfluss darauf nehmen, wie die Verschlüsselungssysteme programmiert werden, sprich: Die NSA könnte sich bewusst Hintertüren einbauen lassen. Diese wiederum könnten Hacker für Angriffe ausnutzen. Damit würde SSL aber generell unsicherer.
 
Snowden verriet zudem, wie die NSA überhaupt die SSL-Verschlüsselung überwinden konnte. So wurde etwa nicht nur das SSL-System gehackt, sondern die Geheimdienstler verschafften sich offensichtlich auch Zugang über die Firmen, die für die Zertifizierung und Umsetzung verantwortlich sind. Diese Firmen wurden offensichtlich mit Millionenbeträgen bestochen und/oder unter Druck gesetzt, damit sie mit den Geheimdiensten kooperieren.
 
Die Dokumente, die der Guardian erhalten hat, legen folgende Fakten offen:

  • Ein zehnjähriges NSA-Programm gegen Verschlüsselungstechnologien schaffte 2010 eine bahnbrechende Entdeckung, die „gewaltige Mengen“ gesammelter Daten neu verwertbar machten.
  • Die NSA gibt jährlich rund 250 Millionen US-Dollar für ein Programm aus, das unter anderem mit Technologieunternehmen zusammenarbeitet, um deren Produktdesign „heimlich zu beeinflussen“.
  • Die Geheimhaltung der Fähigkeiten gegenüber Verschlüsselungen wird eng überwacht. Analysten wurden gewarnt, nicht nach Quellen oder Methoden zu fragen oder darüber zu spekulieren.
  • Die NSA nennt starke Verschlüsselungsprogramme als „Eintrittspreis für die USA, um uneingeschränkten Zugriff auf den Cyberspace beizubehalten“.
  • Ein Team des GCHQ hat an einer Methode gearbeitet, den verschlüsselten Traffic der „grossen vier“ Dienstanbieter zu knacken. Die „grossen Vier“ sind laut den Dokumenten Hotmail (Microsoft), Google, Yahoo und Facebook.

NSA und GCHQ insistieren, dass das Knacken von Verschlüsselungen für den Kampf gegen den Terrorismus unerlässlich sei. Sicherheitsexperten sehen das jedoch anders. „Hintertüren sind grundsätzlich in Konflikt mit guter Sicherheit“, sagt Christopher Soghoian von der America Civil Liberties Union. „Die Hintertüren gefährden alle Nutzer des betroffenen Systems, nicht nur Ziele der Sicherheitsagenturen.“ Dem stimmt auch eine aktuelle Arbeit von Stephanie Pell vom Zentrum für Internet und Sicherheit an der Stanford Universität zu. „Ein verschlüsseltes System mit einer Hintertür zum Abfangen von Daten ist einem höheren Risiko ausgesetzt, einen katastrophalen Vertraulichkeitsverlust der Kommunikation zu erfahren, als ein System, das gar nie verschlüsselt wurde“, schreibt Pell.

Die Schlüssel zum Erfolg im Kampf gegen die Verschlüsselung bilden die Partnerschaften mit grossen Technologieunternehmen. In der Budgetanfrage der US Intelligence Community für das Jahr 2013 werden die Kollaborationen aufgeführt. Das Gesamtbudget für diese Partnerschaften beträgt 254,9 Millionen US-Dollar alleine für dieses Jahr. Zum Vergleich: Das Prism-Programm kostete lediglich 20 Millionen pro Jahr. Das unter dem Namen Sigint bekannte Programm verschlang seit 2011 über 800 Millionen US-Dollar.

KRIEGSRHETORIK
Sigint soll „aktiv US- und fremde IT-Industrien angehen, um deren Produktdesign zu beeinflussen“. Laut den veröffentlichten Dokumenten sollen mit Sigint Sicherheitslücken in kommerziell genutzte Verschlüsselungsmethoden eingebaut werden. Diese sollen ausschliesslich der NSA bekannt sein. Der Endkunde weiss nichts davon. Passenderweise wird der Kunde im Dokument als „Widersacher“ bezeichnet: „Diese Designänderungen machen das betroffene System durch für Sigint-Datensammlungen nutzbar. Für den Nutzer oder andere Widersacher bleibt die Systemsicherheit jedoch intakt.“

Besonders fällt die von NSA und GCHQ verwendete Sprache auf. Nicht nur die Bezeichnung „Widersacher“ für den Endnutzer verschlüsselter Systeme stößt bei vielen Internetnutzern auf Widerstand. Der Projektname für das Entschlüsselungsprojekt der NSA lautet Bullrun, benannt nach einer großen Schlacht im Amerikanischen Bürgerkrieg. Das britische Äquivalent des GCHQ heisst Edgehill. Dieser Name stammt von der ersten Schlacht im Englischen Bürgerkrieg, rund 200 Jahre davor. Einige Leser des Guardian und der New York Times verstehen die Codenamen als Kriegserklärung der Regierung gegen das eigene Volk. (apa/idg/rnf)


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*