Der Summer of Snowden und kein Ende. Die nächsten Dokumenten wurden geleakt und diesmal wird offengelegt, dass die NSA mit dem Projekt „Bullrun“ die Verschlüsselung digitaler Kommunikation umgeht. Hauptsächlich geht es hier um SSL/TSL („https“ bzw. das Mail-Pendant dazu), VPN, Voice-over-IP und LTE. Das haben die New York Times und der Guardian veröffentlicht. Der britische Geheimdienst GCHQ hat ein ähnliches Programm, bei ihm heißt das dann „Edgehill“.
Von direktem „Knacken“ der Verschlüsselung kann allerdings weniger die Rede sein: was die Sache aber nicht besser macht:
Everyone needs to calm down: The National Security Agency HAS NOT „cracked“ common internet encryption.
„Cracking“ conveys that they have found a way to break down encryption codes […]
What the NSA has done, according to leaked documents, is (1) undermine encryption by coercing companies to put backdoors into their software and (2) hack into tech company servers to steal encryption keys.
Mittels „Bullrun“ nutzt die NSA Schwachstellen („exploits“) aus, sucht nach entsprechenden Schlüsseln oder beschafft sich die Schlüssel durch Einbrüche in fremde Computer. Außerdem nimmt die NSA Einfluss auf Verschlüsselungsstandards, um sie gezielt zu schwächen. Der Knaller aber: die NSA arbeitet mit Unternehmen zusammen, um Hintertüren in ihre kommerziellen Programm einzubauen. Das wurde zwar in der Vergangenheit immer mal wieder behauptet. Wer das aber sagte, wurde gleich als Verschwörungstheoretiker abgestempelt. Ein Grund mehr, auf Open-Source-Software (= jeder [Fachmann] kann in den Quellcode reingucken und evtl. Backdoors erkennen) zu setzen.
Wer die Unternehmen sind, steht in den Artikeln der NYT oder des Guardian nicht drin. Kann gut sein, dass diese Informationen aus den Veröffentlichungen wieder getilgt wurden. Die NSA hat ja versucht, die ganze Veröffentlichung zu unterbinden. NYT und Guardian haben sich teilweise darauf eingelassen, sind der NSA ein Stück entgegengekommen und haben einige Details aus den Artikeln entfernt. Ich gehe davon aus, dass alle großen Software- und Hardwarekonzerne mitmachen, einige sind ja bei PRISM schon mit von der Partie.
Kurz: geknackt sind mit SSL/TLS verschlüsselte Internetverbindungen oder mit PGP verschlüsselte E-Mails nicht, aber dran kommen würde die NSA schon, wenn sie wollte, weil bei Otto-Normalanwender immer Software bzw. Hardware läuft, die durch Hintertüren kompromittiert ist. Oder die Kommunikation läuft über Server, z.B. beim Mailprovider, die unsicher sind. Mit anderen Worten: in den meisten Fällen ist es gar nicht nötig die Verschlüsselung an sich nicht zu knacken, weil sie sie umgehen können.
Demonstratives Desinteresse der Bundesregierung
Und was sagt dazu unsere Regierung? Das, was sie seit den Snowden-Leaks immer sagt: dass es sich unbewiesene Behauptungen handelt und alles sei sowieso nicht weiter schlimm. Innenminister Friedrich (jaja, ich weiß, der kapiert nix, aber noch ist er Minister) ließ verlautbaren, dass
die wirkliche Bedrohung unserer Freiheit nicht vom amerikanischen, britischen oder französischen Geheimdienst [ausgeht], es sind vielmehr die großen weltweit operierenden Internetkonzerne, die unsere Daten massenhaft auswerten, analysieren und verkaufen.
Angesicht von „Bullrun“ ist das eine absurde Aussage. Und überhaupt stört mich die zur Schau getragende Unwissenheit und das demonstrative Desinteresse der Bundesregierung.
„Wenn man hier und da mal eine Computerzeitschrift liest, wird man feststellen, dass dieser Verdacht nicht neu ist“, sagte Vize-Regierungssprecher Georg Streiter am Freitag in Berlin. „Sie können davon ausgehen, dass die Bundesregierung auch diesen Dingen nachgeht.“ Danach gefragt, was Kanzlerin Angela Merkel (CDU) zum Schutz der Privatsphäre der Bürger unternehme, sagte Streiter, sie sei hier zunächst einmal nicht gefragt.
Das Bundesinnenministerium will seine Haltung zu Verschlüsselungen nicht überdenken. „Wir haben keine Anhaltspunkte dafür, dass die Behauptungen von Herrn Snowden zutreffend sind; insofern raten wir weiter zur Verschlüsselung“, sagte Sprecher Jens Teschke. Es gebe sicher Geheimdienste, die E-Mails ausspähen, allerdings nicht Dienste befreundeter Länder.
Jaha, hin und wieder eine Computerzeitschrift lesen. Wer eine solche Backdoorgeschichte verbreitet hätte, der wäre doch als Aluhutträger und Verschwörungstheoretiker verlacht worden. Und plötzlich heißt es, „Hey, was wollt ihr denn? War doch alles bekannt!“. Und der Innenministeriumssprecher konterkariert das dann gleich, indem er den Wahrheitsgehalt von Snowdens Leaks infrage stellt und eben doch wieder den Aluhut rauskramt.
Die wollen nicht verstehen, wo das Problem liegt. Und das schlimme daran ist: die werden damit durchkommen. Die meisten Leute stören sich tatsächlich nicht sonderlich daran, dass die Geheimdienste alles überwachen können.
Nun kann man sagen, dass jeder einzelne verschlüsseln soll. Das ist sicher richtig, aber in erster Linie ist es eine politische Aufgabe, die Sicherheit und Vertrauenswürdigkeit ins Kommunkationssystem wiederherzustellen. Es die die Aufgabe der Politik, den Geheimdiensten das Herumwüten abzugewöhnen. Und es ist unsere Aufgabe als Bürger, der Politik das zur Aufgabe zu machen. Der amerikanische Kryptologe und Informatiker Bruce Schreier hat im Guardian dazu geschrieben (die Zeit hat es dankenswerter Weise auch übersetzen lassen):
The US government has betrayed the internet. We need to take it back. The NSA has undermined a fundamental social contract. We engineers built the internet – and now we have to fix it.
Schreier sieht hier in erster Linie die technische Seite. Aber der Bürger muss sicher sein, dass er von seiner Regierung/seinem Geheimdienst nicht ausgeforscht wird. Er muss sich sicher sein, dass die Geheimdienste nicht Hard- und Softwarehersteller nötigen, Backdoors in ihre Produkte einzubauen. Sonst brauchen wir das Gebilde, in dem wir leben, nicht mehr Demokratie zu nennen.