Verschlüsselungssoftware soll verhindern, dass weder Geheimdienste und noch sonstwer unbefugt und ungefragt in unserer privaten Kommunikation herumschnüffeln kann. Doch die geheimen Dienste möchten nicht ausgesperrt werden.
Dass die Benutzung von Krypto-Software völlig legal ist, wurde zu verschiedensten Zeitpunkten vor diversen Gerichten getestet. Schon in den ersten „Crypto Wars“ der 1990er Jahre versuchten US-Regierungsbehörden, per gesetzlichem Zwang Hintertüren in die Kryptosoftware einzubauen, oder den Export besonders guter Technologien zu verbieten.
Die Geschichte wiederholt sich: im September 2013 riet das US-amerikanische National Institute of Standards and Technology (NIST) vom Zufallszahlenstandard Dual_EC_DRBG ab, wegen Verdacht auf eine Hintertür der NSA. Bis 2013 verließen sich die Internet-Entwickler IETF noch auf die Expertise des NIST. Die NIST musste jedoch gestehen, dass sie NSA systematisch Mitspracherechte einräumte.
NSA kriegt die Curve
Nun wurde unter anderem die Curve22519 vom US-Kryptoforscher Dan Bernstein Teil der IETF-Transport Layer Security-Protokolle (TLS) – statt „ECC“ von NSA und NIST. Von Curve22519 profitiert vor allem das bekannte HTTPS für sichere Webseiten sowie Mails via POP/IMAP im Moment des Übertrags vom Mailserver auf den heimischen Rechner.
Das Vertrauen in irgendwelche offiziellen Behördencrypto geht nach diesen Machenschaften sowieso stetig gegen Null. Auch unser Bundesamt für Sicherheit in der Informationstechnik (BSI) werkelt an der Überwachung mit. Es begutachtete jüngst die neueste Ausgabe des Staats-Trojaners.
Nun also, in 2015, ist es wohl wieder soweit für eine neue Runde in den Krypto-Kriegen: in letzter Zeit häufen sich kritische Berichte zu wirksamen Verschlüsselungs-Technologien für Endverbraucher.
Die Kritik kommt meist aus der Ecke der Sicherheitsbehörden. Ein Nachbeben von der CeBIT, wo Sicherheit mit „Snowden-Approval“ wie nie im Focus stand? Edward Snowden war per Videostream auf der CeBIT präsent und fand dort aufmerksame Zuhörer.
Snowdens diverse Enthüllungen zeigten nicht nur die diversen Abhörmaßnahmen auf, sondern auch Aktivitäten im Vorfeld: Verschlüsselungsverfahren wurden von der NSA durch gezielte Maßnahmen so geschwächt und verwässert, so dass sie mit nunmehr überschaubarem Rechenaufwand die geheime Nachricht entziffern kann.
Terror im Dark Net
Europol-Direktor Rob Wainwright klagt gegenüber der BBC über den zunehmenden Einsatz von Kryptosoftware. Das erschwert Europol die Telekommunikationsüberwachung. Verschlüsselungsprodukte seien derzeit das „größte Problem“ der Ermittler bei der Terrorbekämpfung. Traditionell sei die Telekommunikation gut überwachbar gewesen, das ist nun vorbei. Selbst schuld. Terroristen bewegen sich durch das „Dark Net“, in dem sie sich anonym und geschützt durch Verschlüsselung den Sicherheitsbehörden entziehen könnten, so Wainwright.
PIRATEN: „Geheimdienste totrüsten“
Stefan Körner, Bundesvorsitzender der Piratenpartei:
„Da weder unsere Bundesregierung noch die amerikanische und britische Regierung ernstzunehmende Konsequenzen aus dem NSA-Überwachungsskandal gezogen haben, bleibt uns praktisch auch nur der Weg, die Geheimdienste totzurüsten, indem wir ihnen das Herumspionieren so schwer wie möglich machen.
Deshalb kann ich nur jeden dazu ermutigen, sich nicht von den Droh- und Angstszenarien der Polizei- und Geheimdienstchefs kirre machen zu lassen und selbst auf verschlüsseltes E-mailen, Telefonieren und Surfen umzusteigen.“
NSA-Hardware-Direktzugriff
Wie lange Kryptosoftware ausreicht, bleibt offen. Trend der geheimen Massenüberwachung ist, Rechner auf unterster Hardwareebene zu infizieren: sei es direkt in der Festplatten- oder in der Rechnersteuerung. Die NSA hat da ein Forschungsprojekt.
Besonders attraktiv: der direkte Zugriff auf Speicherinhalte, unter anderem die im flüchtigen Speicher abgelegten Kryptoschlüssel, aber auch Tastatur, Mikrofon und Kamera im Computer. Die Automatisierung solcher Angriffe erfolgt über das NSA-Programm „Turbine“.
Mit Terrorstaat-Vorhaben wie „Turbine“ lässt sich jede noch so gute Verschlüsselung und Virenscanner unterlaufen. Die Rede ist sogar davon, Rechner massenhaft automatisiert und auf Vorrat zu infizieren, unabhängig, ob jemand verdächtig ist oder nicht. Die Sicherheitsbehörden sorgen in ihrem Sicherheitswahn so für noch mehr Unsicherheit.
