Verschlüsselung zwecklos: Geheimdienste knacken jeden Code

Wie verschiedene Medien, unter anderem der "Guardian" oder die "New York Times", berichten, kann der US-Geheimdienst NSA auch einen Großteil der verschlüsselten Kommunikation im Internet mithören und mitlesen. Mit Supercomputern, technischen Tricks, Gerichtsbeschlüssen und einiger Überzeugungsarbeit bei IT-Unternehmen soll die Mehrheit der bekannten Verschlüsselungssysteme geknackt oder umgangen worden sein. Der Codename des milliardenschweren Programms lautet "Bullrun", benannt nach einer Schlacht im US-Bürgerkrieg. [...]

Bullrun gehöre zu den größten Geheimnissen der Behörde und sei nun durch die Enthüllungen des Whistleblowers Edward Snowden ans Tageslicht gekommen. Nur sehr wenige Mitarbeiter hätten Zugang zu den Top-Secret-Informationen – und nur die Partnerbehörden in Großbritannien, Kanada, Australien und Neuseeland wüssten davon. So sei auch der britische Geheimdienst GCHQ beim Code-Knacken sehr erfolgreich – der Name des britischen Pendants zu Bullrun lautet Edgehill. Die GCHQ-Analysten hätten es zuletzt besonders auf Ziele wie Google, Yahoo, Facebook und Microsoft abgesehen.

Den Informationen zufolge haben die beiden Geheimdienste Zugang zu Verschlüsselungszertifikaten, die Internetnutzern, die für die Datenübertragung eine SSL-Verbindung verwenden, eine sichere Datenverbindung ermöglichen sollen. Mit SSL kann man zum Beispiel die Datenübertragung im Browser verschlüsseln. SSL-Verschlüsselung kommt nicht nur bei bestimmten Webmailanbietern und Facebook standardmäßig zum Einsatz, sondern wird auch für Online-Banking verwendet. Das würde bedeuten, dass die beiden Geheimdienste auch Online-Banking überwachen können.

HINTERTÜREN FÜR NSA
Außerdem würde die NSA sogar Einfluss darauf nehmen, wie die Verschlüsselungssysteme programmiert werden, sprich: Die NSA könnte sich bewusst Hintertüren einbauen lassen. Diese wiederum könnten Hacker für Angriffe ausnutzen. Damit würde SSL aber generell unsicherer.
 
Snowden verriet zudem, wie die NSA überhaupt die SSL-Verschlüsselung überwinden konnte. So wurde etwa nicht nur das SSL-System gehackt, sondern die Geheimdienstler verschafften sich offensichtlich auch Zugang über die Firmen, die für die Zertifizierung und Umsetzung verantwortlich sind. Diese Firmen wurden offensichtlich mit Millionenbeträgen bestochen und/oder unter Druck gesetzt, damit sie mit den Geheimdiensten kooperieren.
 
Die Dokumente, die der Guardian erhalten hat, legen folgende Fakten offen:

  • Ein zehnjähriges NSA-Programm gegen Verschlüsselungstechnologien schaffte 2010 eine bahnbrechende Entdeckung, die „gewaltige Mengen“ gesammelter Daten neu verwertbar machten.
  • Die NSA gibt jährlich rund 250 Millionen US-Dollar für ein Programm aus, das unter anderem mit Technologieunternehmen zusammenarbeitet, um deren Produktdesign „heimlich zu beeinflussen“.
  • Die Geheimhaltung der Fähigkeiten gegenüber Verschlüsselungen wird eng überwacht. Analysten wurden gewarnt, nicht nach Quellen oder Methoden zu fragen oder darüber zu spekulieren.
  • Die NSA nennt starke Verschlüsselungsprogramme als „Eintrittspreis für die USA, um uneingeschränkten Zugriff auf den Cyberspace beizubehalten“.
  • Ein Team des GCHQ hat an einer Methode gearbeitet, den verschlüsselten Traffic der „grossen vier“ Dienstanbieter zu knacken. Die „grossen Vier“ sind laut den Dokumenten Hotmail (Microsoft), Google, Yahoo und Facebook.

NSA und GCHQ insistieren, dass das Knacken von Verschlüsselungen für den Kampf gegen den Terrorismus unerlässlich sei. Sicherheitsexperten sehen das jedoch anders. „Hintertüren sind grundsätzlich in Konflikt mit guter Sicherheit“, sagt Christopher Soghoian von der America Civil Liberties Union. „Die Hintertüren gefährden alle Nutzer des betroffenen Systems, nicht nur Ziele der Sicherheitsagenturen.“ Dem stimmt auch eine aktuelle Arbeit von Stephanie Pell vom Zentrum für Internet und Sicherheit an der Stanford Universität zu. „Ein verschlüsseltes System mit einer Hintertür zum Abfangen von Daten ist einem höheren Risiko ausgesetzt, einen katastrophalen Vertraulichkeitsverlust der Kommunikation zu erfahren, als ein System, das gar nie verschlüsselt wurde“, schreibt Pell.

Die Schlüssel zum Erfolg im Kampf gegen die Verschlüsselung bilden die Partnerschaften mit grossen Technologieunternehmen. In der Budgetanfrage der US Intelligence Community für das Jahr 2013 werden die Kollaborationen aufgeführt. Das Gesamtbudget für diese Partnerschaften beträgt 254,9 Millionen US-Dollar alleine für dieses Jahr. Zum Vergleich: Das Prism-Programm kostete lediglich 20 Millionen pro Jahr. Das unter dem Namen Sigint bekannte Programm verschlang seit 2011 über 800 Millionen US-Dollar.

KRIEGSRHETORIK
Sigint soll „aktiv US- und fremde IT-Industrien angehen, um deren Produktdesign zu beeinflussen“. Laut den veröffentlichten Dokumenten sollen mit Sigint Sicherheitslücken in kommerziell genutzte Verschlüsselungsmethoden eingebaut werden. Diese sollen ausschliesslich der NSA bekannt sein. Der Endkunde weiss nichts davon. Passenderweise wird der Kunde im Dokument als „Widersacher“ bezeichnet: „Diese Designänderungen machen das betroffene System durch für Sigint-Datensammlungen nutzbar. Für den Nutzer oder andere Widersacher bleibt die Systemsicherheit jedoch intakt.“

Besonders fällt die von NSA und GCHQ verwendete Sprache auf. Nicht nur die Bezeichnung „Widersacher“ für den Endnutzer verschlüsselter Systeme stößt bei vielen Internetnutzern auf Widerstand. Der Projektname für das Entschlüsselungsprojekt der NSA lautet Bullrun, benannt nach einer großen Schlacht im Amerikanischen Bürgerkrieg. Das britische Äquivalent des GCHQ heisst Edgehill. Dieser Name stammt von der ersten Schlacht im Englischen Bürgerkrieg, rund 200 Jahre davor. Einige Leser des Guardian und der New York Times verstehen die Codenamen als Kriegserklärung der Regierung gegen das eigene Volk. (apa/idg/rnf)


Mehr Artikel

img-3
News

Schulungsbedarf in den Bereichen KI, Cybersecurity und Cloud

Der IT Skills & Salary Report 2024 unterstreicht den wachsenden Bedarf an Weiterbildung und Umschulung von Arbeitskräften, um mit dem technologischen Fortschritt Schritt zu halten. Künstliche Intelligenz steht bei Entscheidungsträgern ganz oben auf der Liste der Investitionsschwerpunkte, da hier die Team-Kompetenzen am niedrigsten eingestuft werden. […]

img-5
News

KI-gestützte Effizienzoptimierung im Lager

Die österreichische TeDaLoS GmbH, Anbieter von smarten Lagerstandsüberwachungssystemen, hat ein Kapital-Investment erhalten, mit dem das Unternehmen eine beschleunigte internationale Expansion und den Ausbau von KI-gestützten Lösungen zur Optimierung der Materialbewirtschaftung vorantreiben will. […]

Helmut Reich, Managing Director proALPHA Software Austria (c) Erich Reismann
Interview

ERP auf dem Weg zum Digital Twin

Die in einem ERP-System hinterlegten Daten spiegeln in der Regel die Wirklichkeit nur bedingt wider. Mit Hilfe der künstlichen Intelligenz soll sich das bald ändern. proALPHA entwickelt seine Kernapplikation im Zusammenspiel mit seiner schnell wachsenden ERP+-Familie in Richtung eines Digital Twin weiter. Das Ziel: die 1:1-Abbildung der realen Wirtschaftswelt. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*