Privacy-Expertin: „Die NSA hat die Verschlüsselungen selbst nicht geknackt“
Wie konnte die NSA eigentlich die ganzen Verschlüsselungen umgehen? Wo klaffen die grössten Sicherheitslücken? Und was kann man gegen die digitale Überwachung tun?
Antworten auf diese und andere Fragen gab die Informatikerin und Privacy-Expertin Seda Gürses jüngst in einem Interview mit Valie Djordjevic für die Publikation „Das Netz – Jahresrückblick Netzpolitik 2013-2014„. Wir haben die wichtigsten Punkte für Sie zusammengefasst.
Die Snowden-Enthüllungen haben einiges losgetreten, da ist sich auch Seda Gürses sicher. Was früher nur politischen Aktivisten in autoritär regierten Ländern bewusst war, realisieren jetzt auch normale Internetnutzer: dass die Überwachung über blosses Datensammeln von Firmen wie Google, Facebook oder Amazon hinausgeht, weil diese Unternehmen selbst zur Herausgabe von Daten gezwungen wurden. Eine grössere Sensibilität gebe es auch im Umgang mit „Real Name-Policies“, also wenn Anmeldungen bei Webdiensten mit der Nennung des Echtnamens verknüpft werden.
Zivilisierte Welt? Eher „Wilder Westen“!
Haben sich Bewohner der westlichen, demokratischen Staaten bisher noch in relativer Sicherheit gewiegt, so scheint dieses Trugbild langsam zu bröckeln. Gürses meint sogar, ein Aufweichen der althergebrachten Unterscheidung in „zivilisierte“ und „diktatorische“ Staaten sei wünschenswert. Die Zustände im Westen seien nämlich kaum besser als in einschlägigen Überwachungsstaaten – Zeit, dass eine breite Mehrheit dies realisiert.
Dabei hat die NSA gar keine neue Entschlüsselungsmethode entwickelt, so die Privacy-Expertin. Die Verschlüsselungen seien mathematisch gesehen einwandfrei, ihre einzige Schwachstelle seien die Schlüssel, die man zum Umwandeln in Klartext braucht. Hier hätten die Geheimdienste durch Repressalien die Herausgabe der entsprechenden Daten erzwungen, falls die Unternehmen sie nicht freiwillig herausgegeben hätten. „Mit Kryptografie verschiebt man das Problem der Geheimhaltung der Inhalte auf die Geheimhaltung der Schlüssel“ fasst Gürses die Problematik zusammen. Als Beispiel führt sie die Firma Lavabit an – im Übrigen Edward Snowdens ehemaliger E-Mail-Provider – deren Betreiber Ladar Levison als einer der wenigen die Geheimdienst-Praktiken öffentlich machte.
Was kann der kleine Surfer dagegen machen?
Wenn also nicht einmal mehr SSL & Co sicher sind, wie kann man „Big Brother“ dann entfliehen? Gürses weist darauf hin, dass es bereits heute Werkzeuge gibt, anonym im Internet zu kommunizieren. Im Bereich des Surfens bietet sich das Netzwerk Tor an, für E-Mail-Kommunikation PGP und S/MIME. Seda Gürses macht jedoch Einschränkungen für diese Dienste. Tor etwa könne, das hätten mathematische Modelle gezeigt, bei starker Verbreitung wiederum den Nutzern gegenseitiges Ausspionieren ermöglichen. Die E-Mail-Verschlüsselungen hätten dieses Problem zwar nicht, doch dürfe ihre Verwendung nur von bestimmten Personen nicht zu einer Zweiklassen-Netzgesellschaft führen. Denn Kryptografie-Nutzer würden sich schon als solche verdächtig machen, auch wenn die Geheimdienste ihre Kommunikation nicht lesen könnten. Nötig sei deshalb laut Gürses eine Art Verschlüsselungs-Solidarität im Internet: Nur wenn viel mehr Menschen über verschlüsselte E-Mails miteinander kommunizierten, könnte der Zugriff von NSA & Co auf Nutzerdaten deutlich geschwächt werden.
Riesige Sicherheitslücke: Mobile Endgeräte und Clouds
Doch was nützt das Schliessen des einen Lecks, wenn woanders sich ein noch grösseres auftut? Genau diesem Problem sieht sich die Internetgemeinde derzeit gegenüber, so Seda Gürses. Denn die mobilen Endgeräte, über die immer mehr Datenverkehr läuft, hätten katastrophale Sicherheitsstandards, die allesamt unter der Kontrolle der Hardware- und Softwarehersteller stünden. Abhilfe könne man nur schaffen, indem man ein neues Betriebssystem auf seinem Android-Smartphone installiert. Das allerdings reduziere die Bedienbarkeit und den Nutzen der Geräte deutlich. Hier hofft die Expertin auf Verbesserungen seitens der Industrie , zumal Mobiltelefone auch das Erstellen von genauen Bewegungsprofilen ermöglichten.
Gürses geht auch auf die Bedeutung der Cloud-Dienste in der Überwachung ein. Diese hätten zwar schon eine grosse Rolle bei der Datenhamsterei der „Big Five“ gespielt, ihr Ersatz durch lokale Festplatte bringe aber nur wenig Verbesserung. Denn auch solche Datenträger seien prinzipiell überwachbar, solange sie in irgendeiner Weise Zugang zum Internet hätten. Im Grunde genommen, so Seda Gürses, „müsste man einen Zweitrechner haben, der nicht ans Internet angeschlossen ist, auf dem man die Daten verschlüsselt“. Dass dies eine kaum praktikable Arbeitsweise sei, liege auf der Hand.
Fazit: Eine Lösung des Problems kann wahrscheinlich nicht nur auf technischem Wege erfolgen – auch die Politik ist gefragt. Im Dezember haben sich einige IT-Riesen in einem offenen Brief an die US-Regierung gewandt. Was das bringen wird, bleibt abzuwarten. Seda Gürses. „Wir werden 2014 sehen, in welche Richtung es geht.“
Titelbild: © jebediah – Fotolia