So knackt die NSA Verschlüsselungen
28. Oktober 2013Die Wirtschaft zeigt sich vom Ausmaß der amerikanischen Überwachung verunsichert: Ein Drittel aller Kunden verzichtet laut Angaben des Branchenverbandes Bitkom derzeit auf Onlinebanking - aus Sicherheitsgründen. "Verrat des Internets", "Onlinekommunikation trotz Verschlüsselung nicht mehr sicher" und "Geheimdienste spähen Finanztransaktionen aus" lauten die Schlagzeilen der letzten Tage.
Britische und US-amerikanische Geheimdienste sollen die Hersteller von Betriebssystemen für Computer und Smartphones angehalten haben, systematisch digitale Einfalltore in ihre Produkte eingebaut zu haben, durch die sensible Informationen ausgelesen werden können. Nicht nur der private Mailverkehr, sondern auch Onlinebankinggeschäfte und Industriegeheimnisse können so ausgespäht werden - wenigstens theoretisch.
Kryptographie - eine "Waffentechnologie"
Tatsächlich ist IT-Sicherheit ein relativer Begriff - was der Öffentlichkeit lediglich lange nicht bewusst war. "Es gibt kein Verschlüsselungsverfahren, das mathematisch bewiesen sicher ist", erklärt der Leiter des Kölner Labors für Kommunikationstechnik und Datensicherheit, Stefan Karsch, im Gespräch mit der DW. "Wenn die besten Kryptographen der Welt, die sich auf Kongressen treffen, keinen Weg finden, ein Verfahren zu entschlüsseln, dann wird es als sicher angesehen."
Die Verschlüsselung kann auf zwei Arten erfolgen: symmetrisch, sodass Sender und Empfänger den gleichen Schlüssel benutzen, oder asymmetrisch, wobei die Botschaft durch einen Schlüssel verfremdet wird, den der Empfänger dem Sender vorab zur Verfügung stellt. Zur Dechiffrierung wird dann ein komplementärer Schlüssel benutzt, der nur dem Empfänger bekannt ist.
Für das Ausspähen der verschlüsselten Daten gibt es ebenfalls zwei Möglichkeiten: Entweder liest ein Angreifer Daten aus, bevor sie durch ein mathematisches Prinzip, den Verschlüsselungsalgorithmus, verändert worden sind - oder er besorgt sich den Schlüssel.
Angst vor Industriespionage berechtigt
Derzeit liegen "noch keinerlei Erkenntnisse vor, die die These einer Wirtschaftsspionage aus dem Westen stützen könnten", beruhigt der Präsident des Bundesamtes für Verfassungsschutz, Hans-Georg Maßen, in einem Gastbeitrag für das "Handelsblatt".
Umgekehrt kann man das Risiko technisch nicht ausschließen. "Wenn eine deutsche Firma, die in Konkurrenz zu US-amerikanischen Unternehmen steht, US-Produkte benutzt, um ihr Netz abzusichern - also zum Beispiel eine Firewall von einem US-Hersteller, eine Verschlüsselungssoftware von einem US-Hersteller oder US-Betriebssysteme", so Karsch, "muss man sich als Unternehmensverantwortlicher fragen: 'Bin ich bereit, der amerikanischen Regierung so weit zu trauen, dass sie nicht in meine Rechner reinguckt?' Technisch ist das problemlos möglich."
Der Grund liegt in einer vom Hersteller vorgegebenen Software, wie sie alle Betriebssysteme enthalten. Dort werden sogenannte Verarbeitungsalgorithmen verwendet, die zur Absicherung von Verbindungen ebenfalls die symmetrisch-asymmetrische Kryptographie benutzen. "Diese Software, die diese Hardwarekomponenten enthalten, programmiert natürlich auch der Hersteller", so Karsch - wodurch ein Einfalltor für externe Institutionen wie Geheimdienste geschaffen werden könnte, sofern die wiederum den Hersteller kontrollieren.
Mitte der Neunzigerjahre galt Kryptographie in den USA noch als Waffentechnologie, erläutert Karsch, "das heißt, sie war exportbeschränkt. Man durfte bei Strafe keine kryptographischen Produkte exportieren". Ende der Neunzigerjahre sei diese Beschränkung weggefallen. "Wahrscheinlich hatte man damals bereits andere Wege gefunden, um auf verschlüsselte Informationen zuzugreifen", vermutet Karsch.
Sicheres Onlinebanking?
Die Furcht der Privatanwender, dass digitale Geschäfte wie Paypal oder Onlinebanking ebenfalls vom US-Geheimdienst ausgespäht werden könnten, schätzt er als wenig begründet ein: "Für das Onlinebanking eines normalen Anwenders ist das alles egal, denn das wird die NSA nicht interessieren."
Deutscher Bankenverband und Deutsche Kreditwirtschaft versuchen unterdessen, die Kunden zu beruhigen. "Die deutschen Onlinebankingsysteme sind nicht geknackt", heißt es in einer Stellungnahme der beiden Lobby-Organisationen.
Sicher scheint allerdings auch: Wer die vorherrschenden Betriebssysteme und ihre Hersteller dominiert - der kontrolliert heute auch den weltweiten Informationsfluss im Internet.