Werbung
Gemeinhin Konsens der Sicherheitsexperten war bisher: Wer im Internet auf einige Details achten wollte, kann sich dort mit halbwegs gutem Gewissen bewegen. Doch ein gemeinsamer Bericht in der New York Times und im Guardian legt nun offen, dass die großen Geheimdienste und dazu gehören natürlich die amerikanische NSA und der britische GCHQ, bereits längst alltägliche Sicherheitsprotokolle umgehen, unterminieren und oder schlicht und ergreifend auch knacken.
Welches Interesse die Geheimdienste treibt ist klar: Nicht nur offene Kommunikation soll einsehbar sein, sondern euch die verschlüsselte. Dazu hat die NSA das Projekt "Bullrun" gestartet und die britische GCHQ nennt sein Gegenstück "Edgehill". Beide Projekte sind den Informationen von Edward Snowden nach dazu ausgelegt Sicherheitsmechanismen auszuhebeln. Das Budget beider Projekte ist weitaus größer, als in den bisher bekannt gewordenen Maßnahmen der Geheimdienste. 254,9 Millionen US-Dollar gibt die US-Regierung jährlich dafür aus, 10mal so viel wie für PRISM. Mehr als 30.000 Mitarbeiter beschäftigt alleine der amerikanische Geheimdienst in diesem Bereich.
Unterschiedliche Angriffsvektoren werden genutzt, um die Verschlüsselungen zu umgehen. So bricht die TAO (Tailored Access Operation) in Systeme ein, um die Kommunikation abzufangen, bevor sie überhaupt verschlüsselt wird. Betroffen sind davon vor allem Server, Router, Switches aber auch Endkunden-Hardware (also z.B. heimische Rechner). Viel Geld fließt offenbar auch für Zero-Day-Exploits, also bisher unbekannte Sicherheitslücken, die dann ausgenutzt werden. Das PPTP-Protokoll in VPNs gilt aufgrund diverser Sicherheitslücken schon längst als nicht mehr sicher - genutzt wird es dennoch.
Ist die Verschlüsselung als solches zu sicher, gehen die Geheimdienste offenbar andere Wege. Dazu werden notwendige Schlüsselt entweder gestohlen oder es werden Hintertüren in Hard- und Software zur Verschlüsselung eingebaut. Diese sind natürlich nicht offensichtlich auf z.B. die NSA zurückzuführen, sondern als zufällige Sicherheitslücke getarnt. Eine noch so kleine Sicherheitslücke kann ein bombensicher wirkendes Verschlüsselungs-Konstrukt allerdings zum Einsturz bringen. Die Frage ist dann nur noch: Arbeiten Entwickler von Hard- und Software mit den Geheimdiensten zusammen um solche Hintertüren zu implementieren oder sind die meisten Sicherheitslücken wirklich rein zufällig? Die Berichte in der New York Times und im Guardian nennen keine konkreten Unternehmen, die Rede ist aber sehr wohl davon, dass vereinzelt eine Zusammenarbeit stattfindet.
[h3]Wie kann ich mich nun dagegen schützen und welche Maßnahmen können ergriffen werden?[/h3]
Offenbar zielen die Geheimdienste im Speziellen auf Virtual Private Networks (VPN), Voice over IP und 4G-Netze. UMTS gilt bereits seit Jahren als geknackt, in sofern sollte man sich gut überlegen welche Kommunikation über die mobile Datenverbindung stattfindet. Für VPNs sollte nicht mehr das PPTP-Protokoll verwendet werden, sondern wenn möglich ein OpenVPN mit AES-256-CBC. Es gilt sich die Verschlüsselung selbst genauer anzuschauen. Je offener dieser protokolliert ist und nachvollzogen werden kann, desto geringer ist die Chance, dass ein Dritter sich in die Kommunikation mit einklinken oder diese später entschlüsseln kann. Snowden selbst sagt dazu: "Verschlüsselung funktioniert. Sauber implementierte, starke Verschlüsselung ist eines der wenigen Dinge, auf die man sich noch verlassen kann."