Gastbeitrag von Oliver Dehning, Geschäftsführer, antispameurope GmbH
„NSA knackt systematisch Verschlüsselung im Internet“ – so stand es Ende vergangener Woche zu lesen. Nach Angaben der New York Times und des Guardian geht das aus Papieren hervor, dieEdward Snowden zugänglich gemacht hatte. Sind wir den Geheimdiensten also schutzlos ausgeliefert, wenn wir Internet-Services nutzen? Ist Verschlüsselung sinnlos? Liegen auchUnternehmensgeheimnisse offen zu Tage, wenn sie nur einmal die Grenzen des eigenen Rechners verlassen haben?
Nein, dem ist nicht so, da sind sich IT-Experten sicher. Wer die Geschichte um Edward Snowden aufmerksam verfolgt hat, kann aus seinen eigenen Worten ablesen, wo das eigentliche Problem besteht:„Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently findways around it.” Auch wenn es also sichere und weniger sichere Verschlüsselungsverfahren gibt und Länge und Zufälligkeit der benutzen Schlüssel eine wichtige Rolle spielen –Verschlüsselung funktioniert. Das eigentliche Problem liegt an den Endpunkten, also den Servern der Provider und den Rechnern der Nutzer.
Für kriminelle Angreifer sind die Rechner von Endnutzern ein lohnenswertes Ziel. Sie sind oft schlecht geschützt und enthalten Informationen und Daten, die für kriminelle Angreiferunmittelbar lukrativ sind – etwa Bankdaten oder Programme zum Zugang zu Bankkonten, die kompromittiert werden können.
Für Geheimdienste wie der NSA sind dagegen die Server der großen Betreiber attraktiver, weil sie Zugang zu großen Datenmengen erlauben, die von den Geheimdiensten systematisch nachfür sie interessanten Informationen durchsucht werden können. Wenn auf den Servern der Betreiber die Daten unverschlüsselt abgelegt werden, die Betreiber Zugang zu den benutztenSchlüsseln haben oder die Daten zwischen Transport und Speicherung kurzzeitig entschlüsselt und dann wieder verschlüsselt werden, dann bietet sich für Geheimdienste genau hier dieMöglichkeit zum Zugriff auf Daten, ohne dass die Verschlüsselung ein Hindernis darstellt. Leider ist das z.B. bei fast allen Cloud-Speicherdiensten der Fall: Daten werden dort zwar meistverschlüsselt auf den Datenspeichern abgelegt, die dazu notwendigen Schlüssel liegen aber in den Systemen des Providers. Die Daten sind damit für jeden offen, der Zugang zum internenBereich dieser Systeme hat.
Geheimdienste verschaffen sich deshalb Zugriff auf die Systeme der Provider und die dort gespeicherten oder übermittelten Daten. Während es aber grundsätzlich denkbar erscheint,dass Geheimdienste mit den ihnen zur Verfügung stehenden Mitteln einzelne Daten von einzelnen Systemen von Providern ohne deren Kenntnis abgreifen, erscheint ein massenhafter Abgriff in derPraxis kaum möglich, ohne dass der Provider davon Kenntnis erhält. Spätestens seit den Enthüllungen von Edward Snowden ist bekannt, was vorher nur vermutet wurde: es gibtmassenhafte Abgriffe von Daten durch die NSA bei großen amerikanischen Providern, mit deren Kenntnis. Grundlage dafür sind die amerikanischen Anti-Terror-Gesetze, namentlich der PatriotAct. Offenbar wurde den Providern dafür sogar finanzielle Kompensation gezahlt. Aus Deutschland sind solche massenhaften Zugriffe nicht bekannt, sie widersprächen auch hier geltendemRecht.
Dass hingegen tatsächlich Verschlüsselungen geknackt werden, etwa mit Hilfe großer und enorm leistungsfähiger Pools von Rechnern, dürfte die Ausnahme sein. Selbst beimangelhafter Anwendung von Verschlüsselung ist die Entschlüsselung ohne Kenntnis des Schlüssels normalerweise sehr aufwändig und teuer. Der hohe technische und damit finanzielleAufwand zur Entschlüsselung solcherart verschlüsselter Daten macht deshalb schon die gezielte Entschlüsselung nur geringer Datenmengen unattraktiv, bei Nutzung empfohlenerVerschlüsselungsverfahren mit entsprechenden Schlüssellängen praktisch unmöglich. Direkte mathematische Verfahren zum Aufbrechen empfohlener Verschlüsselungen wie etwaAES-265 sind nämlich nicht bekannt. Eine massenhafte Entschlüsselung solcher Daten ist derzeit völlig undenkbar.
Zum Schutz von in der Cloud gespeicherten Daten sollten Anwender und Unternehmen deshalb folgendes beachten:
- Auswahl eines Providers mit Sitz und Rechenzentrum in Deutschland, mindestens der EU. Damit gelten deutsche oder europäische Gesetze, die Anwendung amerikanischer Gesetze mit ihrenweitreichenden Rechten für Geheimdienste ist ausgeschlossen.
- Nach Möglichkeit Verschlüsselung der Daten vor der Übertragung in die Cloud. Dabei sollten empfohlene Verschlüsselungsverfahren wie AES-256 oder RSA-2048 eingesetzt werden.Genutzte Schlüssel müssen vor dem Zugriff Dritter geschützt an einem sicheren Ort aufbewahrt werden.
- Sicherung des eigenen Rechners durch Firewall, Virusschutz und die Anwendung aktueller Software-Updates.
