Keine 24 Stunden nach den Terroranschlägen von Paris am 13. November 2015 begann das US-amerikanische Wirtschaftsmagazin Forbes mit wilden Spekulationen: »Warum die Pariser ISIS Terroristen PlayStation4 benutzt haben, um die Angriffe zu planen«. Der Artikel behauptet, dass die Attentäter starke Verschlüsselung in ihrer Kommunikation benutzten. Nur deshalb wären die Anschläge möglich gewesen. Diese Behauptung wurde in sämtlichen Medien aufgegriffen – von der New York Times bis zum ARD Morgenmagazin. Auf allen Kanälen war davon die Rede, dass die starke Verschlüsselung die Arbeit der Geheimdienste sabotierte.
Keine 24 Stunden später begannen die Ersten zurückzurudern, ihre Aussagen abzuschwächen: Es gibt keinen einzigen Beleg, der ihre waghalsigen Behauptungen stützt. Einige Medien nahmen ihre Beiträge klammheimlich von ihren Websites, als sich herausstellt, dass die Terroristen schlicht unverschlüsselte SMS benutzten, um sich zu koordinieren. Sie waren sogar behördlich bekannt und wurden von Geheimdiensten überwacht. Der Gipfel des geheimdienstlichen Versagens ist, dass einer der Haupttäter von Paris, Abdelhamid Abaaoud, die Anschläge vorab im wichtigsten IS-Magazin, Dabiq, sogar angekündigte – und sich selbst mit einem Maschinengewehr in der Hand abbilden ließ.
Die Vorkommnisse werfen viele Fragen auf, was die Kompetenz der Sicherheitsbehörden betrifft. Aber die Situation gibt auch eine klare Antwort: Geheimdienste waren nicht durch Verschlüsselung oder einem Mangel an Informationen behindert. Seit Verschlüsselung – in Reaktion auf die Snowden-Veröffentlichungen über die NSA-Überwachung – als neuer Standard in der Kommunikation regelrecht populär geworden ist, haben die Geheimdienste eine Kampagne gestartet, die diese neue Praxis angreift. Sicherheitsexperten wie Bruce Schneier sehen diese Kampagne als Fortsetzung der Crypto Wars, der Auseinandersetzung um das Recht auf Verschlüsselung. Diese gipfelte einst in dem Versuch, die Verschlüsselungssoftware PGP (Pretty Good Privacy steht für »Ziemlich gute Privatsphäre«) zu verbieten und der Kriminalisierung des PGP-Entwicklers Phil Zimmermann durch US-Behörden 1991 bis 1993. Eigentlich, so dachte die Sicherheitscommunity, galten diese Crypto Wars im Jahr 2005 als gewonnen. Damals nahmen die US-Regierung und die britische Regierung Abstand davon, Verschlüsselung generell zu verbieten oder nur unter der Bedingung von Hintertüren für Strafverfolgung und Geheimdiensten zu erlauben.
Aber dann kam der Juni 2013 und dank Edward Snowden wurde das Geheimdienstprogramm Bullrun bekannt, das systematisch und im Geheimen Verschlüsselungen angriff, Algorithmen und deren Implementierung sabotierte und manipulierte. (Siehe ak 587) Schnell war klar, dass die Crypto Wars zu vorschnell als gewonnen erklärt wurden. Nachdem sich die Community vom ersten Schock erholt hatte und der Schaden begutachtet wurde, gab es dann auch massive Gegenwehr: Verschlüsselungsprogramme wurden verbessert, handhabbar für Endverbraucher gestaltet, neue Verschlüsselungsinitiativen und -projekte auf allen Ebenen der Kommunikation gestartet. Gelder wurden gesammelt, für neue Entwicklungen, verbesserte Implementierung, verbesserte Dokumentationen und öffentliche Überprüfungen. Forderungen nach standartmäßiger Verschlüsselung wurden vonseiten der Sicherheitscommunity, Verbraucher_innen aber auch der Wirtschaft laut, sie soll einfach, automatisch und überall stattfinden.
All diese Bemühungen zeigen schon nach zwei Jahren Resultate, die den Geheimdiensten ernsthafte Sorgen bereiten: Apple hat auf seinem Smartphone Verschlüsselungen standardmäßig eingerichtet, die nach eigenen Angaben nicht mal das Unternehmen selbst umgehen kann; dutzende Messenger-Dienste (von WhatsApp bis Signal) bieten Verschlüsselung an; Festplattenverschlüsselung können inzwischen auf allen Betriebssystemen und aktuellen Smartphones mit wenigen Klicks eingerichtet werden; die SSL-Initiative Let’s encrypt ist in einer ersten Version veröffentlicht und setzt dem kaputten Zertifikatssystem für Websites eine vernünftige vernetzte Alternative entgegen. Die Liste der Ergebnisse ist überwältigend lang.
Seither streben die Geheimdienste wieder verstärkt an, Verschlüsselung zu verbieten oder staatliche Hintertüren zu verordnen. Es wird nicht mehr nur hinter verschlossenen Türen gemosert, sondern ganz aktiv Öffentlichkeits- und Lobbyarbeit betrieben. Offensichtlich ist, dass es den Geheimdiensten dabei nicht darum geht, Terroranschläge zu verhindern, sondern dass sie grundsätzlich einem Machtverlust entgegenwirken wollen. Das Verhältnis der Geheimdienste zu Terroranschlägen ist dabei mindestens taktisch: In einem von der Washington Post veröffentlichten internen Schreiben des Chefjuristen Robert S. Litt beim obersten US-Geheimdienstdirektor (Director of National Intelligence) heißt es, dass man vielleicht die ablehnende Position der Legislative gegenüber gesetzlichen Hintertüren dann umdrehen könne, wenn bekannt werde, dass bei einem terroristischen Angriff starke Verschlüsselung die Strafverfolgung behindert hätte. Daher müsse man sich alle Optionen offen halten, für den Fall, dass eine solche Situation eintritt. Für einen solchen Fall steht man nicht nur in den USA in den Startlöchern. In der EU wurde direkt nach den Pariser Anschlägen über angebliche Notwendigkeit von Hintertüren fabuliert. In Frankreich diskutierte das Parlament sogar darüber, ob Hintertüren nicht gesetzlich vorgeschrieben werden sollten. In der Europäischen Agenda zum Thema Sicherheit, die die Europäische Kommission am 17. November 2015 verabschiedete, wird zwar die Wichtigkeit von Verschlüsselung für die Sicherheit und das Vertrauen im Internet gewürdigt, dennoch solle die Benutzung von Verschlüsselung kompetente Institutionen nicht davon abhalten, wichtige öffentliche Interessen im Rahmen der Gesetze abzusichern. (1)
Dabei sind Hintertüren in Verschlüsselungssoftware nicht nur ein demokratisches Problem, sondern auch ein technisches – und damit vor allem ein Sicherheitsproblem. Denn bei einer echten Ende-zu-Ende-Verschlüsselung sind Hintertüren, Generalschlüssel oder ähnliche Lösung auf Serverseite nicht möglich. (2) Man müsste die Verschlüsselung kaputtmachen, um jemanden mitlesen zu lassen. Damit würde dann de facto überhaupt keine Ende-zu-Ende Verschlüsselung mehr stattfinden. Aber auch bei anderen Verschlüsselungen, in denen Generalschlüssel theoretisch zumindest möglich wären, gäbe es ein Problem. Was, wenn die Hintertür oder der Generalschlüssel in die falschen Hände gerät? Wenn es eine Hintertür einer Hintertür gibt?
Was bislang als theoretisches Hintertürproblem angesehen wurde, ist seit dem 17. Dezember 2015 nun auch in der Praxis bekannt – und dann noch direkt im Hause der US-Sicherheitsbehörden: Der Softwarehersteller Juniper, der unter anderem das US-Heimatschutzministerium und den US-Geheimdienstkomplex mit Firewallsoftware versorgt, gab bekannt, dass alle seine Firewallsysteme mit unautorisiertem Code versehen wurden. Angreifer_innen können sich damit Administratorenrechte verschaffen. Damit sind sämtliche interne Netzwerke angreifbar, die diese Firewall verwenden. Das Peinliche daran: Durch die Snowden-Veröffentlichungen ist bekannt, dass gerade die NSA Hintertüren in die Juniper-Firewalls eingebaut hatten, weil diese eines der am meisten verbreitetsten Firewallsysteme im professionellen Bereich weltweit sind. Es könnte also durchaus sein, dass die von der NSA gebauten Hintertüren von anderen wiederum mit eigenen Hintertüren versehen wurden.
Aktuell scheint die Kampagne der Geheimdienste in ziemlicher Rechtfertigungsnot zu stecken. Aber die Erfahrungen der letzten Jahre zeigen, dass sie das vermutlich immer noch nicht abhalten wird, auf anderen Ebenen zu agieren: Firmen direkt unter Druck setzen oder finanzielle Anreize bieten, Schadsoftware unterjubeln – die Praktiken der NSA sind ja inzwischen zur Genüge bekannt. Eine Legislative, die Verschlüsselung schützt, ist zwar enorm wichtig, um Produktionsbedingungen und Massenverbreitung von Verschlüsselung zu garantieren, aber sie wird die Geheimdienste von Sabotage und Manipulation solcher Software nicht abhalten. Darum ist heute wichtiger denn je, dass Verschlüsselungssoftware Open Source ist und eine große internationale Entwickler-Community hat, die auch regelmäßige Sicherheitsüberprüfungen der Software vornehmen kann.
————
Anmerkungen:
1) Im Original heißt es: „However, the use of encryption should not prevent competent authorities from safeguarding important public interests in accordance with the procedures, conditions and safeguards set forth by law.“
2) Unter Ende-zu-Ende-Verschlüsselung versteht man, wenn nicht nur die Verbindung verschlüsselt ist, sondern die übertragenen Daten über alle Übertragungsstationen hinweg verschlüsselt bleiben, d.h. diese auf der Senderseite ver- und erst beim Empfänger wieder entschlüsselt werden.
Dieser Artikel erschien offline in ak 612.
[…] Datenschutzaufsicht nach eigenen Tests und Messungen im September 2017). Grundsätzliches über Hintertüren, die neuen Cryptowars und was man dagegen tun kann, hat Susanne Lang auf diesem Blog bereits geschrieben. In der Praxis […]