NSA totrüsten: Experten fordern Verschlüsselung und Schengen-Routing
Sicherheitsexperten empfehlen zum Schutz der Bürger vor der Ausspähung ihrer Daten eine obligatorische Ende-zu-Ende-Verschlüsselung der Kommunikation sowie ein regionaleres Routing. Man könne die NSA mit flächendeckender Verschlüsselung in fünf Jahren "totrüsten" , sagte Frank Rieger vom Chaos Computer Club in einer viereinhalbstündigen Anhörung vor dem NSA-Untersuchungsausschuss am Donnerstag in Berlin. Auch der Sicherheitsexperte Michael Waidner vom Fraunhofer-Institut für Sicherheitstechnologie (SIT) unterstützte diese Forderung und hält ein "Totrüsten" der NSA für möglich. Nach Ansicht des Sicherheitsexperten Sandro Gaycken von der TU Berlin würde auch ein Schengen-Routing die Massenüberwachung von Bürgern erschweren. Um eine Abwehr von direkten Spionageangriffen auf Unternehmen und Einrichtungen zu erreichen, sei deutlich mehr Forschung für Cybersicherheit erforderlich, sagte Waidner.
Die Experten zeigten sich von den bekanntgewordenen Abhörpraktiken der NSA im Einzelnen nicht überrascht. Diese entsprächen dem "Stand der schwarzen Kunst" , gingen aber nicht darüber hinaus, sagte Waidner. Rieger zeigte sich aber vom Grad der Industrialisierung überrascht, den die Überwachung angenommen habe. Die digitale Souveränität Deutschlands sei eine Illusion. "Wir stehen vor einem großen Scherbenhaufen" , sagte Rieger. Die Geheimdienste benähmen sich wie "eine Mafia mit Rechtsabteilung" . Sie versuchten, immer neue Wege zu finden, wie alles erfasst werden könne. Inzwischen herrsche die "Ideologie des Heuhaufens" vor, um aus der Masse der Daten irgendwelche Ergebnisse erzielen zu können.
Verschlüsselung muss "laientauglich" werden
Nach Ansicht Riegers ist es eine große, aber nicht unlösbare Aufgabe für die Technik, die IT-Sicherheit wieder neu aufzubauen. Dazu ist eine Kombination von rechtlichen Vorschriften und technischen Maßnahmen erforderlich. Zu Letzterem gehört beispielsweise ein Schengen-Routing und eine vorgeschriebene Ende-zu-Ende-Verschlüsselung. Um die Verschlüsselung stärker zu verbreiten, muss laut Gayken "ganz intensiv" an der Laientauglichkeit dieser Technik gearbeitet werden. Diese ist derzeit "so furchtbar nutzerfeindlich, dass es im Moment nicht benutzbar ist" .
Rieger hält eine einfache Ende-zu-Ende-Verschlüsselung für möglich, wenn genügend Aufwand hineingesteckt werde. Dass dies funktionieren könne, zeige das Beispiel Skype, erklärt er. Das Programm wäre eine sichere Software, wenn sie nicht korrumpiert worden wäre. Die Bundesregierung ist bezüglich der verpflichtenden Einführung von Ende-zu-Ende-Verschlüsselung noch uneins. Während das Verbraucherschutzministerium dies befürwortet, lehnt es das Innenministerium ab und setzt auf Hilfe zur Selbsthilfe. Nach Ansicht Waidners sollte der Staat, beispielsweise über das BSI, keine eigene Public-Key-Infrastruktur (öffnet im neuen Fenster) bereitstellen, sondern eher die Voraussetzungen für solche Dienstleistungen und Anonymisierungsdienste schaffen.
CCC: Telekom verhindert Schengen-Routing
Mit Blick auf die Wirksamkeit des Schengen-Routings gingen die Meinungen auseinander. Gaycken meinte, dies erschwere die Überwachung für die NSA erheblich, auch wenn das Verfahren durchaus in der Kritik stehe. Rieger verwies darauf, dass ein nationales oder europäisches Routing leicht umzusetzen sei, wenn die Deutsche Telekom ein kostenloses Peering mit kleineren Providern ermögliche. Wegen der Weigerung der Telekom existiere das Problem überhaupt erst. Wenn dies gelöst wäre, "dann wäre der Fisch geputzt" , sagte Rieger.
Waidner präsentierte den acht Ausschussmitgliedern einen Katalog mit zehn Forderungen. Dazu zählte unter anderem eine Förderung von Sicherheitstechnik und der Überprüfbarkeit von IT-Sicherheit. Kompetenzen sollten in Europa aufgebaut werden, beispielsweise für die Standardisierung von Cybersicherheit, wie sie in den USA von der NIST wahrgenommen werden. Außerdem solle in Hersteller von IT in Europa investiert werden. Zudem sei es essentiell, Cybersicherheit in Deutschland zu fördern und auszubauen. Dazu sei es sinnvoll, entsprechende Forschungszentren zu erweitern.
Bessere Informatiker-Ausbildung gefordert
Deutlich schwieriger als der Schutz vor Massenüberwachung ist laut Gaycken die Abwehr gezielter Spionageangriffe. In diesem Bereich seien auch in der Wirtschaft größere Schäden zu erwarten. "Die Industriespionage hat das Niveau der NSA erreicht" , sagte Gayken. Die Angreifer kämen inzwischen von überall und arbeiteten an der Persistierung der Angriffe. Dabei könnten die Kriminellen und Geheimdienste auf mehrere Faktoren zurückgreifen, unter anderem auf unsichere Hardware, geschwächte Standards und Innentäter. Um Abhilfe zu schaffen, seien neue systematische und strategische Ansätze erforderlich. Man müsse einen Markt für IT-Hochsicherheitsprodukte schaffen, sagte Gaycken. "Wir können das machen, aber wir brauchen skalierbare Produkte."
Gayckens Vorschlag, für die Mitarbeiter von IT-Firmen Sicherheitsüberprüfungen einzuführen, lehnte Rieger ab. Eine solche Überprüfung bringe wenig bei der NSA. Stattdessen müssten die Prozesse so sicher gemacht werden, "dass wir möglichst wenig Probleme bekommen" . Die meisten Backdoors basierten auf Softwarefehlern, sogenannten Bugdoors. Dagegen hälfen Audits. Zudem müssten die angehenden Informatiker in der Ausbildung lernen, Code zu lesen, auch Binärcode, sicher zu programmieren und Fehler im Code zu finden. "Viele Leute müssen in der Lage sein, Sourcecode anzugucken" , sagte Rieger. Hilfreich sei dabei auch Open-Source-Software, sagte Waidner. Deren Kernprojekte seien sicherer als kommerzielle Projekte, aber nicht sicher genug.
Kritik äußerten die Experten an den gegenwärtigen gesetzlichen Vorgaben, wonach der Bundesnachrichtendienst (BND) für die sogenannte strategische Fernmeldeaufklärung 20 Prozent der Übertragungskapazität des internationalen Fernmeldeverkehrs zwischen Deutschland und dem Ausland überwachen darf. Waidner bezeichnete diese Grenze als "unsinniges Maß" . Diese Frage würde aber verschwinden, wenn es eine Ende-zu-Ende-Verschlüsselung gäbe. In der ersten Anhörung des Ausschusses hatten Verfassungsexperten die Auslandsaufklärung des BND bereits für unzulässig erklärt .
Staat will keine Verschlüsselung
Der ebenfalls als Sachverständiger geladene US-Sicherheitsexperte Christopher Soghoian konnte am Donnerstag nicht anreisen. Er veröffentlichte jedoch seine Stellungnahme(öffnet im neuen Fenster) im Internet und schlug darin vor, mit Hilfe von Verschlüsselung gegen die Überwachung vorzugehen. Allerdings verwies er darauf, dass vor allem staatliche Ermittlungsbehörden kein Interesse an einer flächendeckenden Verschlüsselung hätten.
Aber auch viele Wähler würden es möglicherweise nicht gut finden, wenn Terroristen, Drogenhändler und Pädophile nicht mehr im Netz überwacht werden könnten. "Es gibt keine Kommunikationstechnik, die einen hochentwickelten Geheimdienst außen vor halten kann und gleichzeitig die legalen Zugriffe nationaler Ermittlungsbehörden erlaubt" , schrieb Soghoian. Bislang habe Deutschland überwachungsfreundliche Kommunikationsnetzwerke bevorzugt. Dies könne sich nur dann ändern, wenn akzeptiert würde, dass dadurch die Ermittlungsbehörden legitime Ziele nicht mehr überwachen könnten.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.