FM4-Logo

jetzt live:

Aktueller Musiktitel:

gezeichnete türe

radio fm4

crypto wars

Geheimdienste wollen Hintertüren

Hintertüren, Generalschlüssel und absichtliche Schwachstellen: Geheimdienste wollen, dass verschlüsselte Apps und Websites für sie geschwächt werden.

Von Christoph Weiss

Die Allianz der Geheimdienste von Australien, Neuseeland, Großbritannien, Kanada und den USA wird „Five Eyes“ genannt. Ihr bekanntestes gemeinsames Projekt ist das weltweite Satelliten-Abhörsystem Echelon. Im August trafen sich die Innenminister der Five-Eyes-Staaten in Australien, um über das Thema Überwachung zu diskutieren. In mehreren Papieren, die sie dann veröffentlichten, beklagen sie den „Missbrauch von Online-Räumen“ und dass das „anonyme Wesen der Online-Umgebung“ eine Bedrohung sei (Five Country Ministerial Statement on Countering the Illicit Use of Online Spaces).

Internet-Serviceprovider und Telekoms sollen überall dort, wo Verschlüsselung eingesetzt wird, „freiwillig“ einen Zugang zur Entschlüsselung einbauen. Die Unternehmen sollen selbst „angepasste Lösungen“ entwickeln, die auf ihre jeweilige Systemarchitektur zugeschnitten sind. Sollten den Sicherheitsbehörden aber weiterhin Hürden bei der Überwachung in den Weg gelegt werden, behalte man sich vor, technische, gesetzliche oder andere Maßnahmen zur Rechtsdurchsetzung zu ergreifen. (Statement of Principles on Access to Evidence and Encryption)

Immer wenn wir eine Nachricht auf Whatsapp oder Telegram verschicken, oder wenn wir eine Website aufrufen die mit https beginnt, also SSL/TLS-verschlüsselt ist, benutzen wir sogenannte Ende-zu-Ende-Verschlüsselung. Es gibt also für niemanden eine Möglichkeit, die Kommunikation im Klartext mitzulesen – auch nicht für den Betreiber von Whatsapp oder der jeweiligen Website. Nur eine bewusst eingebaute Schwachstelle oder ein bei Behörden hinterlegter Generalschlüssel würde es ermöglichen, an die Informationen zu gelangen - oft wird dazu auch „Hintertür“ gesagt.

Wenn wir aber jetzt Hintertüren in verschlüsselte Systeme einbauen, werden sie uns in auch in ferner Zukunft noch Probleme bereiten. Das zeigt uns die Vergangenheit.

Zum Beispiel hat sich im Jahr 2016 herausgestellt, dass viele Websites noch den Verschlüsselungsalgorithmus SSLv2 benutzten - dieses wurde 1995 eingeführt und verwendet ein damals staatlich vorgeschriebenes, schwaches Verschlüsselungsverfahren. Über dieses absichtlich geschwächte Protokoll können Angreifer heute aber Servern ein wichtiges Geheimnis entreißen und damit auch andere, über eigentlich sichere Protokolle aufgebaute Verbindungen entschlüsseln. Bauen wir heute also Hintertüren in unsere Messenger, Social Networks und Smartphones ein, dann gefährden uns diese auch noch nach Jahrzehnten. Das ist das erste Problem.

„Responsible encryption“?

Das zweite Problem ist, dass man solche Hintertüren von vornhinein gar nicht sicher implementieren kann. Verschlüsselung und Hintertüren stehen im Widerspruch zueinander. Absichtliche Sollbruchstellen werden nicht nur von Geheimdiensten, sondern auch von Kriminellen benutzt. Bei Behörden hinterlegte Generalschlüssel werden kopiert und irgendwann geleakt.

Die Digitalwirtschaft soll es trotzdem irgendwie richten und einen „Zugang der berechtigten Behörden zu privaten Kommunikationsdaten der Bürger“ gewährleisten. Die Innenminister der Five-Eyes-Staaten haben sich auch einen hübschen Marketingbegriff dafür ausgedacht: „Responsible encryption“. Aber: Verschlüsselung mit Hintertür ist nicht verantwortungsvoll, sondern einfach nur unsicher.

Aktuell: