Geheimdienste und ihr Know-how

Verschlüsselung ist nicht mehr sicher

06.09.2013
Geheimdienste wollen selbst verschlüsselt kommunizieren, doch sie hassen es, dass auch ihre Gegner diese Werkzeuge nutzen. Nach neuen Unterlagen aus dem Fundus von Edward Snowden sind auch verschlüsselte Daten nicht mehr sicher.
Wer kann was mitlesen? Anbieter von Sicherheitslösungen kommen in Erklärungsnotstand.
Foto: S. Gladwell, Fotolia.com

Im Internet suchen nicht nur Bösewichte wie Terroristen, Drogenhändler oder pädophile Kriminelle nach einem Schutz ihrer Kommunikation vor dem Zugriff von außen. Jeder ehrliche Bankkunde, der über das Web eine Überweisung vornimmt oder den Stand seines Kontos abfragt, verlässt sich auf die Wirksamkeit moderner Verschlüsselungsverfahren.

Mit diesen Werkzeugen kann man beim Shopping im Web Kreditkarteninformationen eingeben, ohne befürchten zu müssen, dass die halbe Welt mitliest. Und Online-Telefondienste wie Skype oder Facetime, Chat-Plattformen wie AIM und Facebook oder Web-Mail-Dienste wie GMail und Web.de werden von den Usern bislang auch deswegen massenhaft genutzt, weil sie den Kunden versprechen, dass Verschlüsselungstechnologien wie SSL eingesetzt werden, um die Privatsphäre zu bewahren.

Den jüngsten Enthüllungen von Edward Snowden zufolge arbeiten die angloamerikanischen Geheimdienste NSA und GCHQ mit Hochdruck daran, die gängigen Verschlüsselungsverfahren und geschütze Datentunnel auszuhebeln oder mit Hintertüren zu versehen. Viele Bürger müssen demnach davon ausgehen, dass die Dienste häufig technisch in der Lage sind, ihnen über die Schulter zu schauen.

Laut Snowden verfügt die NSA außerdem über einen Etat von 250 Millionen Dollar, um Soft- und Hardwarehersteller dazu zu bewegen, Hintertüren und verdeckte Sicherheitslücken in ihre Produkte einzubauen. "Das ist natürlich die große Gefahr, dass Hintertüren, die eingebaut werden, auch von Kriminellen genutzt werden", sagte Thorsten Urbanski, Sprecher des deutschen Antivirenherstellers G Data. Professionelle Hacker seien hinter solchen Sicherheitslücken her. "Das ist ein Profigeschäft."

Angriff auf SSL-Technologie

Den Geheimdiensten geht es aber nicht nur darum, "Backdoors" einzubauen, sondern um die Verschlüsselungstechnologien selbst: Mit gigantischen technischen und finanziellen Mittel haben sie den Versuch unternommen, die Technologie "Transport Layer Security" (TLS) anzugreifen, die auch unter der alten Bezeichnung SSL (Secure Sockets Layer) bekannt ist.

TLS/SSL wird vor allem beim sicheren Übertragungsprotokoll HTTPS eingesetzt. Web-User erkennen die Verwendung von HTTPS unter anderem daran, dass in der Adresszeile des Browsers ein Vorhängeschloss eine "sichere" Verbindung signalisiert. Es geht aber auch um sichere Datentunnel, die mit sogenannten Virtual Private Networks (VPN) hergestellt werden, sowie um Internet-Telefonie (Voice over IP) und LTE-Netze für Smartphones.

Was bei diesen Verbindungen unter dem Wort "sicher" zu verstehen ist, muss nun wohl neu definiert werden. Der renommierte amerikanische Sicherheitsexperte Bruce Schneier, der für die britische Zeitung "Guardian" an der Aufklärung der Spionage-Affäre mitarbeitet, fühlt sich zumindest von den Aktivitäten der Geheimdienste verraten.

Trotz der Angriffe auf die Technologie TLS/SSL rät Schneier den Internet-Anwendern aber dazu, diese Verschlüsselungstechnologien weiter massenhaft einzusetzen, weil damit den Geheimdiensten die Arbeit erschwert werde. Außerdem empfiehlt Schneier, bestimmte Sicherheitslösungen zu meiden. "Ich gehe davon aus, dass die Verschlüsselungsprodukte von großen US-Firmen NSA-freundliche Hintertüren haben." Er setze seit Beginn seiner Arbeit an den Snowden-Dokumenten Verschlüsselungsprogramme wie PGP und TrueCrypt ein – und "ein paar weitere Dinge", die er lieber nicht nennen möchte. (dpa/tö)

Die größten Passwort-Sünden: Was Sie niemals tun s
Niemals über ein offenes WLAN auf einen Account mit einem Passworte zugreifen.
Wenn Sie sich in einem offenen WLAN oder einem ähnlich unsicheren Netzwerk befinden, sollten Sie Passwörter ausschließlich auf Seiten eingeben, die HTTPS-Verschlüsselung (Hypertext Transfer Protocol Secure) verwenden oder noch besser nur via VPN (Virtual Private Network) auf die entsprechenden Accounts zugreifen.
Keine Passwort-Eingabe auf Webseiten, die Sie über einen Link in einer E-Mail erhalten haben.
Die Gefahr ist zu groß, dass es sich hier um eine Phishing-Mail handelt. Geben Sie die URL von Bank- und Shop-Webseiten immer direkt in Ihrem Browser ein und wechseln dann dort zu der entsprechenden Eingabe.
Keine Passwort-Eingabe auf "unbekannten" Systemen und Seiten
Geben Sie Ihre Passworte nicht auf Systemen ein, deren Sicherheitseinstellungen Sie nicht kontrollieren: Das gilt für den PC im Internet-Café ebenso wie für das System eines Kollegen oder Freundes.
Verwenden Sie grundsätzliche keine "Automatik-Funktionen"
Erlauben Sie keiner Webseite, dass sie Ihren Namen und Ihr Passwort speichert ("remember me"). Vermeiden Sie es ebenfalls, dass sich Ihr System beim Start automatisch bei den diversen Online-Konten wie etwa Web-Mail anmeldet.
Verwenden Sie nie das gleiche Passwort auf mehreren Internet-Seiten.
Ist eine derartige Seite kompromittiert, sind gleich alle Ihre Accounts gefährdet.
Verwenden Sie nie Passworte, die Namen, Geburtstage, Adressen oder andere persönliche Informationen beinhalten.
Solche persönlichen Informationen sollten auch teilweise nicht in Ihren Passworten zu finden sein. Das gilt auch für alle Worte, die sie in einem Lexikon finden können und für Zahlen- oder Buchstabenwiederholungen wie 222 oder Folgen wie ABCD und qwertz.
Verwenden Sie nie das gleiche Passwort über einen längeren Zeitraum.
Auch wenn es zunächst mühsam erscheint: Wechseln Sie Ihre Passworte gerade bei Online-Accounts regelmäßig. Wenigstens alle sechs Monate, besser alle drei Monate oder immer dann, wenn Sie sich auf einer Seite einloggen, die Sie schon lange nicht mehr besucht haben.