News
06.09.2013, 12:07 Uhr
NSA trägt die Privatsphäre zu Grabe
Die NSA und ihr britisches Pendant, das GCHQ, haben den Grossteil aller verfügbaren Verschlüsselungsmethoden geknackt. Das geht aus einem Dokument des Whistleblowers Edward Snowden hervor.
Hunderte Millionen von Menschen vertrauen im Internet auf Verschlüsselungen. Zum Schutz ihrer Privatsphäre, zur sicheren Abwicklung von Bank- und anderen Geschäften oder für den Mailversand. Dokumente, welche die britische Tageszeitung The Guardian von Whistleblower Edward Snowden erhielt, zeigen, wie die NSA und das GCHQ diese Verschlüsselungen geknackt hatten. Das Versprechen vieler Internetanbieter, die privaten Daten ihrer Kunden zu schützen, wurde systematisch untergraben. Beide Sicherheitsagenturen greifen dabei auf ein ganzes Arsenal an Methoden zurück, um gegen den «allgegenwärtigen Gebrauch von Verschlüsselung im Internet» vorzugehen.
Zu den Methoden gehören verdeckte Massnahmen zur Kontrolle über internationale Verschlüsselungsstandards, die Verwendung von Supercomputern zum Knacken von Verschlüsselungen mit dem Brute-Force-Verfahren und Zusammenarbeit mit Tech-Konzernen und Internetdienstanbietern. Laut dem Guardian wurden durch diese Zusammenarbeit Backdoors und andere Sicherheitslücken in kommerzielle Verschlüsselungs-Software eingebaut.
Die Dokumente, die der Guardian erhalten hat, legen folgende Fakten offen:
- Ein zehnjähriges NSA-Programm gegen Verschlüsselungstechnologien schaffte 2010 eine bahnbrechende Entdeckung, die «gewaltige Mengen» gesammelter Daten neu verwertbar machten.
- Die NSA gibt jährlich rund 250 Millionen US-Dollar für ein Programm aus, das unter anderem mit Technologieunternehmen zusammenarbeitet, um deren Produktdesign «heimlich zu beeinflussen».
- Die Geheimhaltung der Fähigkeiten gegenüber Verschlüsselungen wird eng überwacht. Analysten wurden gewarnt, nicht nach Quellen oder Methoden zu fragen oder darüber zu spekulieren.
- Die NSA nennt starke Verschlüsselungsprogramme als «Eintrittspreis für die USA, um uneingeschränkten Zugriff auf den Cyberspace beizubehalten».
- Ein Team des GCHQ hat an einer Methode gearbeitet, den verschlüsselten Traffic der «grossen vier» Dienstanbieter zu knacken. Die «grossen Vier» sind laut den Dokumenten Hotmail (Microsoft), Google, Yahoo und Facebook.
Kampf gegen den Terrorismus
NSA und GCHQ insistieren, dass das Knacken von Verschlüsselungen für den Kampf gegen den Terrorismus unerlässlich sei. Sicherheitsexperten sehen das jedoch anders. Im Gegenteil: Die durch die versteckten Hintertüren verursachten Sicherheitslücken in den kommerziellen Verschlüsselungsmethoden schwächen die Sicherheit nur weiter.
«Hintertüren sind grundsätzlich in Konflikt mit guter Sicherheit», sagt Christopher Soghoian von der America Civil Liberties Union. «Die Hintertüren gefährden alle Nutzer des betroffenen Systems, nicht nur Ziele der Sicherheitsagenturen.» Dem stimmt auch eine aktuelle Arbeit von Stephanie Pell vom Zentrum für Internet und Sicherheit an der Stanford Universität zu. «Ein verschlüsseltes System mit einer Hintertür zum Abfangen von Daten ist einem höheren Risiko ausgesetzt, einen katastrophalen Vertraulichkeitsverlust der Kommunikation zu erfahren, als ein System, das gar nie verschlüsselt wurde», schreibt Pell.
Grossunternehmen als Schlüssel
Die Schlüssel zum Erfolg im Kampf gegen die Verschlüsselung bilden die Partnerschaften mit grossen Technologieunternehmen. In der Budgetanfrage der US Intelligence Community für das Jahr 2013 werden die Kollaborationen aufgeführt. Das Gesamtbudget für diese Partnerschaften beträgt 254,9 Millionen US-Dollar alleine für dieses Jahr. Zum Vergleich: Das Prism-Programm kostete lediglich 20 Millionen pro Jahr. Das unter dem Namen Sigint bekannte Programm verschlang seit 2011 über 800 Millionen US-Dollar.
Sigint soll «aktiv US- und fremde IT-Industrien angehen, um deren Produktdesign zu beeinflussen». Laut den veröffentlichten Dokumenten sollen mit Sigint Sicherheitslücken in kommerziell genutzte Verschlüsselungsmethoden eingebaut werden. Diese sollen ausschliesslich der NSA bekannt sein. Der Endkunde weiss nichts davon. Passenderweise wird der Kunde im Dokument als «Widersacher» bezeichnet: «Diese Designänderungen machen das betroffene System durch für Sigint-Datensammlungen nutzbar. Für den Nutzer oder andere Widersacher bleibt die Systemsicherheit jedoch intakt.»
Die Sprache des Krieges
Besonders fällt die von NSA und GCHQ verwendete Sprache auf. Nicht nur die Bezeichnung «Widersacher» für den Endnutzer verschlüsselter Systeme stösst bei vielen Internetnutzern auf Widerstand. Der Projektname für das Entschlüsselungsprojekt der NSA lautet Bullrun, benannt nach einer grossen Schlacht im Amerikanischen Bürgerkrieg. Das britische Äquivalent des GCHQ heisst Edgehill. Dieser Name stammt von der ersten Schlacht im Englischen Bürgerkrieg, rund 200 Jahre davor. Einige Leser des Guardian und der New York Times verstehen die Codenamen als Kriegserklärung der Regierung gegen das eigene Volk.
Das Ende der Privatsphäre ist zwar noch nicht gekommen, viele Verschlüsselungsdienste sind nach wie vor sicher. Die Absicht und die Fähigkeiten der NSA und des GCHQ liegen jedoch offen genug auf dem Tisch, um die Zukunft der Verschlüsselung zumindest teilweise vorauszusehen.
06.09.2013