Droht ein Verbot von Verschlüsselung?

Interview mit Mark Zorko vom Projekt „Ubuntu Privacy Remix“ zur aktuellen Debatte um mehr staatliche Überwachung

 

Nach den faschistischen Anschlä­gen in Paris sind Forderungen von Regierungspolitikern nach Verschärfung der staatlichen Überwachung laut geworden. Worum geht es?

Diese Leute missbrauchen die Anschläge, um ihre lang vorbereiteten Pläne wieder auf die Tagesordnung zu bringen. Der britische Premier Cameron, Oba­ma und der deutsche In­nenminister de Maizière waren die ersten: Der Untergang des Abendlandes sei eine ausgemachte Sache, wenn Polizei und Geheimdienste nicht in Zukunft auch verschlüsselte Kommunikation aller Bürger mitlesen könnten. Die zweite Hauptforderung ist, nach französischem Vorbild die Vorratsdatenspeicherung wieder einzuführen. Zyniker würden sagen: Damit auch bei uns Terroranschläge so erfolgreich verhindert werden können wie in Frankreich.

Es geht also nicht um Bekämpfung des Terrorismus?

Das kommt darauf an, wie man Terrorismus definiert. Bei praktisch jedem faschistischen Terroranschlag der letzten zehn Jahre waren die Attentäter bei Polizei und Geheimdiensten vorher bekannt. 3.000 registrierte faschistische IS-Terroristen konnten ungehindert nach Syrien ausreisen. Um die Verhinderung dieses Terroris­mus scheint es also nicht zu gehen. Als terroristisch diffamiert werden dagegen revolutionäre Befreiungsbewegungen wie die PKK. Auch Menschen, die sich der staatlichen Überwachung entgegenstellen, werden als Terroristen geführt. In den USA gibt es eine ganze Reihe mutiger politischer Gefangener, die wie Chel­sea Manning bis zu lebenslängliche Haftstrafen bekommen haben, weil sie der Öffentlichkeit Informationen über den Staatsterror von Obamas Militär und Geheimdiensten zugänglich gemacht haben.

Es gibt auch unter netzpolitisch aktiven Menschen zunehmend Fragen nach den tieferen Hintergründen der Überwachung. Frank Rieger, Sprecher des Chaos Computer Club, erklärte zum Beispiel vor wenigen Tagen: „Wofür großangelegte Metadatenspeicherung und Verschlüsselungsverbote ganz hervorragend geeignet sind, ist die Aufstandsbekämpfung und die Unterdrückung von organisiertem politischen Dissens. Sobald es Beziehungsgeflechte und Kommunikationsketten gibt, machen es Metadaten leicht, für eine Bewegung relevante Personen zu neutralisieren“. Es geht im Kern um die Verhinderung und Unterdrückung zukünftiger Revolutionen.

Besonders Cameron fordert ein Verbot von Verschlüsselung. Ist das wirklich zu befürchten?

In dieser Form sicher nicht. Die Lebens- und Produktionsweise in der heutigen Gesellschaft setzt starke Verschlüsselung voraus. Letztes Jahr gab es zum Beispiel einen Hackerangriff auf ein Stahlwerk in Deutschland. Dabei gelang es den Angreifern, mit Millionenschaden einen kompletten Hochofen zum unkontrollierten Runterfahren zu zwingen und erheblich zu beschädigen. Wenn die Konzerne ihre hochfliegenden Pläne von der vollständig vernetzten „Industrie 4.0“ und dem „Internet der Din­ge“ weltweit umsetzen wol­len, brauchen sie nicht weniger, sondern sehr viel mehr und bessere IT-Sicherheit und Verschlüsselung. Die Regierungen wissen das und wollen ihre Ziele anders umsetzen.

Auf welchem Wege wäre das möglich?

Zwei Ansätze werden bereits praktiziert: In Großbritannien wird die Herausgabe des Passworts gesetzlich erzwungen. Hier sitzen auch schon Leute im Gefängnis, weil sie das verweigert oder vielleicht ihr Passwort einfach vergessen haben. In den USA können Anbieter von Verschlüsselungsprogrammen unter Androhung von hohen Strafen von der NSA gezwungen werden, für staatliche Zugriffe Hintertüren in ihre Software einzubauen und darüber strengstes Stillschweigen zu wahren. Aber ich glaube, dass man die Entwicklung einordnen muss in die drei Stufen des Gesamtsystems von weltweiter Überwachung.

Was passiert denn in der ersten Stufe?

Hier wird mehr oder weniger der gesamte verfügbare Daten­verkehr weltweit von den Geheimdiensten abgehört und ausgewertet. Das macht nicht nur die NSA: Den weltgrößten Internetknoten DECIX in Frankfurt hat der BND im EIKONAL- Programm jahrelang gemeinsam mit der NSA illegal abgehört, persönlich genehmigt vom heutigen Außenminister Steinmeier. Die „ZEIT“ hat letzte Woche aus geleakten Dokumenten berichtet, dass alleine der BND 220 Millionen Telefon-Verbindungsdaten pro Tag sammelt. Das macht rund 80 Milliarden im Jahr! Und hier ist die ganze Internetüberwachung noch gar nicht dabei. Vergessen wird oft, dass die bewusst erzeugten Datenverbindungen wie Webseitenaufrufe nur ein Teil der digitalen Informationen eines Menschen sind. Bei seinen aktuellen Smart-TVs weist Samsung zum Beispiel darauf hin, dass man lieber keine privaten Gespräche in Gegenwart des Fernsehers führen solle, weil dessen Spracherkennung diese über das Internet weiterleiten könnte. Da fühlt man sich doch gleich viel wohler im Wohnzimmer, oder?

Der BND sagt, es handele sich bei den ausgewerteten Daten nur um sogenannten Routineverkehr.

Routineverkehr“ klingt ir­gendwie nach schlechtem Sex, gemeint ist aber, dass angeblich „nur“ Verbindungsdaten ausgewertet würden. Allein mit diesen kann man aber umfassende Beziehungsgeflechte, Persönlichkeitsanalysen und Verhaltensvorhersagen machen. Außerdem ist längst bekannt, dass auch Inhalte abgehört werden.

Das geht aber doch nur, wenn der Anwender nicht verschlüsselt?

Theoretisch ja, deshalb setzt hier die zweite Stufe an: Die Regierungen und Dienste betreiben riesigen Aufwand, um bestehende Verschlüsselung zu umgehen oder zu schwächen. Zum Beispiel werden Provider, die nicht so vollumfänglich kooperieren wie es Vodafone oder Telekom tun, einfach selbst von der NSA gehackt. Jede vierte Infektion mit deren Super-Trojaner REGIN traf Telekommunikationsunternehmen. Verschlüsselte Verbindungen zu deren Mail- oder Webservern können so auch ohne deren Mithilfe mitgelesen werden. Mit der TAO (Tailored Access Operations) hat die NSA eine eigene Abteilung für solche Attacken. 26 Milliarden US-Dollar hat Obama im Haushalt 2016 für Cyber-Angriffe und -verteidigung eingeplant, das ist mehr als die Hälfte des kompletten deutschen Militärhaushalts.

Mit dem Projekt „BULLRUN“ versucht die NSA seit Jahren, unerkannt Schwachstellen in die weltweit verwendeten kryptografischer Standards ein­zubauen. Dazu sitzen in allen wichtigen Gremien für deren Standardisierung wie IETF1 oder NIST2 NSA-Leute.

Aus all dem ergibt sich, dass nur eine wirkliche Ende-zu-Ende-Verschlüsselung3 mit bewährten Algorithmen und überprüfbarer Software wie GnuPG eine wirkliche Sicherheit bieten kann.

Dann müssten die Geheimdiens­te sich geschlagen geben?

Nein, dann beginnt die dritte Stufe: Die gezielte Trojanisierung der Zielrechner der betreffenden Person oder Organisation. Die Logik ist: Wenn wir die Nachrichten nicht entschlüsseln können, müssen wir zugreifen, bevor sie verschlüsselt werden. Also auf dem Rechner des Opfers. Das Überraschenste an den Snowden-Enthüllungen war für uns eigentlich, wie gut solche Angriffe inzwischen skalieren.

Was heißt das?

Dass es relativ egal ist, ob sie das mit 200 oder mit 2 Millionen Rechnern machen, weil der Prozess schon so weitgehend automatisiert ist. Das NSA-Projekt QUANTUMTHEORY ist dabei derzeit am weitesten: Ruft ein als Ziel markierter Mensch eine Website wie zum Beispiel Wikipedia auf, bekommt er von einem NSA-Server eine mit Schadsoftware verseuchte Kopie dieser Seite ausgeliefert, die dann den Computer infiziert und unbemerkt unter die Kontrolle der Angreifer bringt. Das ist möglich, weil die NSA-Server we­gen der großen Kontrolle der Behörde über die entscheidenden Knotenpunkte des Netzes schlicht ein paar Millisekunden schneller antworten können als der eigentlich vom Benutzer angeforderte. Zur Zielperson kann man automatisiert werden, zum Beispiel eben weil man starke Verschlüsselung verwendet und vielleicht noch Kontakt mit den „falschen“ Leuten oder Websites hat. Diese Trojanisierungen auch offiziell zu legalisieren, ist das eigentliche heimliche Ziel der Bundesregierung in der aktuellen Debatte um „Verschlüsselungsverbote“.

Die wichtigsten Dienstleister der Bundesregierung beim Einsatz des Staatstrojaners sind übrigens CSC und Gamma. CSC ist eine private NSA-Firma, die in schwerste Fälle von Staatsterrorismus verwickelt ist, wie die Entführung des Deutschen Kahled al-Masri in ein geheimes US-Folterlager in Afghanistan. Gamma unterstützte schon den inzwischen gestürzten Dik­tator Husni Mubarak in Ägypten bei dem Versuch, den „Arabischen Frühling“ im Blut zu ersticken. Beide Firmen gehen im Innenministerium ein und aus und erhalten Millionenaufträge aus Steuergeldern.

Ist die Verwendung von OpenSource Software4 ein Schutz vor der Infiltrierung durch Trojaner?

Allein das nicht. Kein für den Angreifer erreichbares Ziel kann dauerhaft vor solchen Angriffen geschützt werden, weil es immer Sicherheitslücken in der Software gibt. Die meisten entstehen einfach durch Programmierfehler. Wenn große Teams an verschiedenen Teilen von Millionen von Zeilen Programmcode arbeiten, ist das nicht absolut zu vermeiden. Oft sind das nur Kleinigkeiten. Die unscheinbare Zeile „goto fail;“ in Apples Implementierung der SSL-Verschlüsselung hat beispielsweise das gesamte Sicherheitsmodell von zig Millionen Computern und Smartphones zusammenbrechen lassen. Die einen Entdecker solcher Sicherheitslücken machen sie öffentlich bekannt, um sie zu beheben. Die anderen verkaufen sie an Angreifer. Eine gute Sicherheitslücke in weit verbreiteter Software kann einem auf dem Schwarzmarkt sechsstellige Beträge einbringen, wo die besten Kunden die organisierte Kriminalität und Geheimdienste sind.

Open Source Software ist natürlich trotzdem unverzichtbar für sichere Systeme, weil nur da solche Sicherheitslücken überhaupt unabhängig vom Hersteller gefunden werden können. Entscheidend ist aber, dass der Angreifer ein verschlüsselndes System gar nicht erreichen sollte. Das ist der Grundgedanke unseres UPR-Projekts.5

Das Wichtigste ist aber, dass eine starke politische Bewegung gegen die staatliche Bespitzelung entstehen muss.

Wie entwickelt sich das Bewusst­sein über die schnell wachsende Bedrohung durch Massenüberwachung?

Die Herrschenden haben faktisch die ganze Weltbevölkerung zu potenziellen Terroristen erklärt, die es zu überwachen und gegebenenfalls zu bekämpfen gilt. Gemessen an der Dimension dieser Kriegserklärung sind die Proteste dagegen noch auf niedrigem Niveau. Man kann die Überwachung nicht sehen und anfassen, das macht es schwieriger, das Problem zu erfassen. Trotzdem wächst das Bewusstsein darüber, gerade in Deutschland. Edward Snowden ist 94 Prozent der Deutschen ein Begriff, sehr viel mehr als in den USA. Lediglich 15 Prozent meinen hierzulande, dass private Informationen im Netz gut aufgehoben sind. In keinem Land miss­trauen die Nutzer den Onlinedienstleistern stärker.

Vielen Dank für das Gespräch.

 

1 Internet Engeneering Task Force

2 National Institute of Standards and Technology

3 Vom Absender verschlüsselte Nachrichten werden erst am Ziel entschlüsselt

4 Software, deren Bauplan öffentlich einsehbar und kontrollierbar ist

4 näheres unter www.privacy-cd.org

Artikelaktionen