NSA, FBI und Co.: US-Behörden fragen angeblich nach Master-Keys für SSL

Einem Medienbericht zufolge setzen Behörden in den USA vor allem kleinere Unternehmen unter Druck, damit diese Generalschlüssel für SSL-Verschlüsselung herausrücken. Die großen wie Google und Facebook sollen da aber angeblich nicht mitspielen.

24. Juli 2013 um 17:16 Uhr / Nico Ernst

54 Kommentare News folgen (öffnet im neuen Fenster)

NSA-Programme wie Upstream hören den Internetverkehr ab, manches davon ist aber verschlüsselt. (Bild: Washington Post) — NSA-Programme wie Upstream hören den Internetverkehr ab, manches davon ist aber verschlüsselt. Bild: Washington Post

Es ist ein ganz neuer Aspekt in der aktuellen Diskussion um Datensicherheit, den Cnet in einer ausführlichen Reportage(öffnet im neuen Fenster) ins Spiel bringt: Selbst der weitgehend als sicher angesehenen SSL-Verschlüsselung vom Browser bis zum Server kann man angeblich nicht mehr trauen. SSL kommt insbesondere für E-Mails neue Bedeutung zu , weil die meisten Maildienstleister auch verschlüsselte Verbindungen zu ihren Webfrontends anbieten, so dass Anwender auch ohne lokale Tools zumindest bis zum Server des Anbieters von einer Verschlüsselung ausgehen können.

Es zeigt sich aber wieder einmal, dass das System SSL durch seine langlebigen Master-Keys angreifbar ist: Diese Keys, die wie ein Generalschlüssel eines Anbieters arbeiten, sollen nämlich von US-Behörden bei den Providern eingefordert werden. Ein Mitarbeiter eines Onlineunternehmes, der entsprechende Anfragen beantworten musste, sagte Cnet: "Die Regierung verlangt definitiv SSL-Keys von Providern." Mit einem Master-Key kann dann die gesamte SSL-Kommunikation, die über die Server eines Anbieters läuft, entschlüsselt werden.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Leitung – Amt für Digitalisierung und IT (Wirtschaftsinformatik, angewandte Informatik oder Verwaltungsinformatik) Landkreis Rotenburg Haupt- und Personalamt, Rotenburg (Wümme),Homeoffice (öffnet im neuen Fenster)

KeyUser SAP für die Sparte Bundesforst (w/m/d) Bundesanstalt für Immobilienaufgaben, Bonn (öffnet im neuen Fenster)

Data Engineer / Datenbankentwickler (m/w/d) inpraxi GmbH & Co. KG, Osnabrück (öffnet im neuen Fenster)

IT Administrator m/w/d RUD Ketten Rieger & Dietz GmbH u. Co. KG, Aalen (öffnet im neuen Fenster)

Werksstudent oder Praktikant (m/w/d) für das Projekt S/4 HANA-Einführung Hochtaunuskreis Der Kreisausschuss Der Landrat, Bad Homburg vor der Höhe (öffnet im neuen Fenster)

Beraterin / Berater bzw. IT-Anwendungsbetreuerin / IT-Anwendungsbetreuer für das Finanzwesen (m/w/d) Landkreis Harburg, Winsen (öffnet im neuen Fenster)

Fachbereichsleiter Meterdatamanagement (m/w/d) Städtische Werke Netz + Service GmbH, Kassel (öffnet im neuen Fenster)

Area Vice President Enterprise Development (m/f/d) CGM Clinical Europe GmbH, Koblenz (öffnet im neuen Fenster)

Das ist, nach Meinung von ebenfalls befragten Rechtsexperten, eine Grauzone. Bei einer strafrechtlichen Ermittlung etwa durch die Bundespolizei FBI sollen solche Anfragen nicht gedeckt sein, bei Aktionen nach den Fisa-Regeln – auf die sich auch die NSA beruft – aber seien solche Zugriffe auf Generalschlüssel rechtens.

Dabei sollen vor allem kleinere Unternehmen leicht nachgeben, berichtet Cnet. Die Großen der Onlinewelt, die auch gezielt befragt wurden, behandeln solche Anfragen offenbar kritischer. So sagte ein Sprecher von Google, das Unternehmen habe der Regierung "niemals irgendwelche Schlüssel übergeben" . Facebook äußerte sich nicht direkt, aus dem Unternehmen sei aber zu hören, dass solche Anfragen entschieden abgewehrt werden würden.

Die Onlineunternehmen setzen zunehmend nicht mehr nur auf SSL allein, sondern auch auf das nicht mit Generalschlüsseln arbeitende Verfahren PFS . Es wird unter anderem von Google bei manchen Diensten eingesetzt, aber auch nicht bei allen, weil sowohl Browser wie Server es vollständig unterstützen müssen.

Zur Startseite 54 Kommentare

Reklame Hier geht es zur AVM Fritzbox 7590 AX bei Amazon

Relevante Themen