Zum Hauptinhalt springen

Wenn der Datenschutz ausgehebelt wird

Von Barbara Wiesner

Gastkommentare

Wenn Behörden versuchen, verschlüsselte Informationen zu entziffern, dann ist das meist im Sinne der Bürger. Doch es ist meist nur eine Frage der Zeit, bis der Schlüssel in die falschen Hände gerät.

Hinweis: Der Inhalt dieser Seite wurde vor 2 Jahren in der Wiener Zeitung veröffentlicht. Hier geht's zu unseren neuen Inhalten.

Die Kommunikation über das Internet läuft heute zu großen Teilen verschlüsselt ab. Eine solche Verschlüsselung ist im Interesse der Bürger, der Wirtschaft und sogar der Behörden. Jedoch bereitet das den Geheimdiensten und Strafverfolgungsbehörden Probleme, weil sie nicht mehr mitlesen können. Sie versuchen deshalb immer wieder, an diese verschlüsselten Informationen zu gelangen.

Mit dem DES (Data Encryption Standard) wurde zum ersten Mal ein staatlicher Standard für Verschlüsselung geschaffen. Entwickelt wurde der Algorithmus in den 1970er Jahren von IBM-Forschern. Die NSA (National Security Agency) hat ihn dann als offiziellen Standard für die Verschlüsselung von Computerdaten der US-Regierung angenommen.

Bemerkenswert ist der Einfluss der NSA auf die Schlüssellänge des DES. Der ursprüngliche Entwurf von IBM sah einen 128-Bit-Schlüssel vor. Es ist bekannt, dass auf Betreiben der NSA die Schlüsselgröße schließlich auf 56 Bit reduziert wurde. Dies schwächte die Sicherheit von DES, denn je kleiner der Schlüssel, desto leichter ist der verschlüsselte Text zu entziffern. IBM argumentierte die Größenreduzierung damit, dass der Schlüssel auf einen Computerchip passen solle. Viele haben dies in Frage gestellt.

Eine Hintertür in vermeintlich sicherer Kommunikation

Mitte der 1990er Jahre wurde allgemein angenommen, dass die NSA in der Lage war, DES durch einen Brute-Force-Angriff - also durch reines Ausprobieren aller möglichen Schlüssel - zu knacken. Diese Fähigkeit wurde 1998 von der Electronic Frontier Foundation (EFF) demonstriert, die eine 220.000 Dollar teure Maschine baute, mittels derer sie eine mit DES verschlüsselte Nachricht innerhalb weniger Tage entschlüsseln konnte. Von da an galt der DES nicht mehr als sicher und musste durch andere Algorithmen ersetzt werden. Mit einer Schlüssellänge von 128 Bit wäre der Algorithmus sicherlich sehr viel länger einsetzbar gewesen.

2013 enthüllte Edward Snowden, dass die NSA in den NIST-Kryptostandard eine Hintertür eingebaut hatte, was eine einfache Entschlüsselung vermeintlich sicherer Kommunikation ermöglichte. Dieser Dual Elliptic Curve Pseudo Random Bit Generator (Dual_EC_DRBG) wurde zum Generieren von pseudo-zufälligen Zahlen auf Basis einer zufälligen Eingabe genutzt. Die daraus resultierenden Bit-Streams bildeten die Grundlage für viele kryptographische Algorithmen. Er lieferte "Zufallsbits" zur Bestimmung des Verschlüsselungsschlüssels. Aufgrund der Hintertür waren die vom Algorithmus erzeugten Bits für jeden, der die geheimen Informationen kannte, vorhersehbar, sodass die Schlüssel und damit die verschlüsselten Informationen offengelegt werden konnten.

Die Nachrichtenagentur Reuters berichtete später, dass RSA, ein US-Computer- und Netzwerkunternehmen mit Spezialisierung auf Standards für Verschlüsselung und Entschlüsselung, zum wichtigsten Verteiler dieses Zufallszahlengenerators wurde. RSA brachte diesen Zufallszahlengenerator in sein Software-Tool Bsafe ein, das zur Verbesserung der Sicherheit von PCs und vielen anderen Produkten verwendet wurde. Dafür erhielt RSA 10 Millionen Dollar von der NSA. Diese in den Zufallszahlengenerator eingebaute Schwachstelle wurde von einem Dritten, nämlich den Chinesen, gehackt, sodass diese die verschlüsselte Netzkommunikation abhören konnten.

Dieses Vorkommnis wirft ein Licht auf eine vielfach insbesondere von Politikern vorgebrachte Forderung: Man möge doch einen Zweitschlüssel einführen, mit dem der Staat dann die verschlüsselte Information mitlesen könne. So verführerisch das sein mag, so zeigt obiges Beispiel, dass es nur eine Frage der Zeit ist, bis Unbefugte in den Besitz dieses Zweitschlüssels gelangen. Erwähnenswert ist in diesem Zusammenhang die Empfehlung von Susan Landau, einer bekannten US-Professorin und Expertin für Datensicherheitsfragen, die dafür plädiert, dass der Staat Kapazitäten ausbauen solle, um verschlüsselte Informationen gesetzeskonform entschlüsseln zu können. Das betrifft zum einen den internen Aufbau entsprechender Expertengruppen, bestimmte Aufträge könnten aber auch an Externe vergeben werden.

Dass eine solche Vorgehensweise durchaus erfolgversprechend sein kann, zeigt das Beispiel des Attentäters von San Bernardino. Nachdem Apple sich geweigert hatte, das FBI bei der Entschlüsselung seines iPhones zu unterstützen, beauftragte das FBI einen professionellen Hacker, dem Vernehmen nach die israelische Firma Cellebrite. Diese entdeckte, so wird berichtet, einen Software-Fehler im iPhone, der letztendlich das Knacken des Handy-Zugangscodes ermöglichte, ohne dabei Daten zu verlieren. Das FBI soll dafür 1,3 Millionen Dollar bezahlt haben.

In Kauf nehmen, dass man nicht alles aufdecken kann

Im Nachhinein hat sich die Weigerung von Apple, das FBI bei der Entschlüsselung zu unterstützen, als segensreich erwiesen. Das FBI hatte von Apple verlangt, auf dem iPhone des Attentäters eine Software zu installieren, die das Löschen der Daten nach einer gewissen Anzahl von Fehleingaben verhindern sollte. Eine solche Software ist aber so etwas wie ein Masterkey, der Zugang zu den verschlüsselten Daten verschafft. Es ist nur eine Frage der Zeit, bis sie in die falschen Hände gerät und damit die Sicherheit des gesamten Systems gefährdet.

Wie wichtig es für Strafverfolgungsbehörden ist, verschlüsselte Kommunikation mitlesen zu können, zeigt das Beispiel des Kryptodienstes Encrochat. 2020 gelang es Ermittlern, in einen der Server von Encrochat einzudringen. Genaueres darüber, wie dies die Ermittler bewerkstelligten, ist nicht bekannt. Der Bundesgerichtshof in Karlsruhe entschied, dass die hierbei gewonnenen Daten als Beweise vor deutschen Gerichten zulässig sind, wenn es um die Aufklärung schwerer Straftaten geht. Laut Bundeskriminalamt gelang damit ein wesentlicher Schlag gegen die organisierte Rauschgiftkriminalität. Allein in Deutschland wurden schon mehr als 2.250 Verfahren eingeleitet und rund 360 bestehende Verfahren wesentlich unterstützt.

Solche beachtlichen Erfolge dürfen jedoch nicht darüber hinwegtäuschen, dass viele verschlüsselte Nachrichten nicht entschlüsselt werden können und damit kriminelle Machenschaften nicht aufgedeckt werden können. Das sollte man notgedrungen in Kauf nehmen, da jede nicht gesetzeskonforme Vorgehensweise mit so erheblichen Risiken verbunden ist, dass ihr Einsatz nicht zu verantworten ist.