Auf der Suche nach Schwachstellen
Den Berichten zufolge will der BND unter anderem externe Spezialisten anheuern, um Schwachstellen des Systems zu finden - und es ist gut möglich, dass sie erfolgreich sind. Denn dass SSL/TLS durchaus verwundbar ist, ist in Fachkreisen kein Geheimnis mehr.

Eines der Grundprobleme liegt im Konstruktionsprinzip der Technik: Sie sorgt nur für die Verschlüsselung von Daten beim Transport zwischen Rechnern und Servern, an beiden Enden aber werden diese wieder entschlüsselt und können somit abgefangen werden. Erlangt ein Geheimdienst Zugriff auf Speicherserver eines sozialen Netzwerks und werden die Informationen dort nicht gesondert gesichert, bräuchte er sich mit der SSL-/TLS-Verschlüsselung nicht aufzuhalten.

NSA und das Knacken in Echtzeit
Darüber hinaus gibt es diverse weitere Schwachpunkte: Schon länger diskutiert wird über die Qualität des Verschlüsselungs-Algorithmus im Herzen von SSL/TLS. Der US-Geheimdienst NSA soll nach Angaben des bekannten Internetaktivisten Jacob Appelbaum angeblich sogar in der Lage sein, die von Internetfirmen genutzte Algorithmus-Version in Echtzeit zu knacken.

Ein weiteres Thema sind die selbst für Profis oft nur schwer erkennbaren Sicherheitslücken in der komplexen Architektur der Verschlüsselungstechnik. Das jüngste Beispiel war der Programmfehler "Heartbleed" in der freien Verschlüsselungs-Software OpenSSL. Die Schwachstelle hatte zur Folge, dass ein Angreifer beim Aufbau einer sicheren Verbindung Zugriff auf Teile des Arbeitsspeichers eines Rechners erlangen konnte. Es dauerte Jahre, bis das Problem entdeckt wurde.

Bereits zuvor hatten Hacker andere Lücken mit Namen wie "Breach" und "Crime" gefunden. Diese nutzten Kenntnisse über die Datenkompression bei Internetverbindungen, um mithilfe aufwendiger Angriffszenarien aus dem Strom SSL/TLS-verschlüsselter Daten potenziell sensible Daten wie die Anmeldeschlüssel für Websites herauszufiltern.

Auch das System der Zertifikate-Vergabe an Websites ist ein Einfallstor. So ist denkbar, dass Hacker derartige Dokumente fälschen oder manipulieren, um Browsern die Echtheit eines Servers vorzutäuschen und sich dann in eine gesicherte Verbindung "einzuklinken" und mitzulesen.