Hamburg. Der Wettlauf um den Schutz der Privatsphäre geht in eine neue Runde. Sicherer Internetverkehr auf der einen, trifft auf geheimdienstliche Interessen auf der anderen Seite. Im Mittelpunkt steht die Entschlüsselung der "SSL-Nuss". Dieser Standard sichert die Verbindung zwischen Webseiten und kommt unter anderem beim Online-Handel für Bezahlen und Verifizieren zum Einsatz. Was für den Online-Handel also unentbehrlich, ist den Geheimdiensten ein Dorn im Auge.
Der deutsche Bundesnachrichtendienst (BND) will Medienberichten zufolge seine Fähigkeiten zur Überwachung des Internets deutlich ausbauen. Ginge es allein nach dem Willen des deutschen Auslandsgeheimdienstes, sollen demnach bis 2020 rund 300 Millionen Euro in neue Technologie und den Ankauf zusätzlicher Expertise fließen. Ein Ziel sei das Entschlüsseln gesicherter SSL-Internetverbindungen.
Die Technik ist keineswegs fehlerfrei und bietet Profis eine Vielzahl möglicher Ansatzpunkte für Spähattacken. SSL ist eine weitverbreitete Technik, die Verbindungen zwischen Internetseiten und den Rechnern von Nutzern während des Transportwegs durch das Netz verschlüsselt und damit gegen unbefugtes Mitlesen sichern soll. SSL oder deren Weiterentwicklung TLS wird heute nach Angaben des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) von allen gängigen Webbrowsern unterstützt und beispielsweise bei der Online-Kontaktaufnahmen zu Banken, der Einwahl in große soziale Netzwerke oder beim Abwickeln von Einkäufen über Versandhändler eingesetzt.
Das bekannte "https"
Nutzer erkennen den Aufbau einer SSL/TLS-gesicherten Verbindung unter anderem daran, dass die Internetadresse mit "https" beginnt. Oft ändert sich auch die Farbe der Adresszeile in grün oder es erscheint ein Schloss, um die erreichte Sicherheitsstufe optisch hervorzuheben.
Über SSL/TLS wird automatisch eine Art verschlüsselter Kanal zwischen dem Rechner des Nutzers und dem Server aufgebaut, auf dem die aufgerufene Internetseite liegt. Bestandteil des Systems ist ein dem Server zugeordnetes Zertifikat, das dessen Authentizität bestätigen soll und vom Browser am anderen Ende überprüft wird. Kann er die Echtheit bestätigen, wird durch einen Algorithmus ein sogenanntes kryptografisches Schlüsselpaar erzeugt und zwischen beiden Seiten verschlüsselt ausgetauscht. Mit diesem werden dann sämtliche Datenpakete beim Versand über das Internet für Außenstehende unkenntlich gemacht.
Auf der Suche nach Schwachstellen
Den Berichten zufolge will der BND unter anderem externe Spezialisten anheuern, um Schwachstellen des Systems zu finden - und es ist gut möglich, dass sie erfolgreich sind. Denn dass SSL/TLS durchaus verwundbar ist, ist in Fachkreisen kein Geheimnis mehr.
Eines der Grundprobleme liegt im Konstruktionsprinzip der Technik: Sie sorgt nur für die Verschlüsselung von Daten beim Transport zwischen Rechnern und Servern, an beiden Enden aber werden diese wieder entschlüsselt und können somit abgefangen werden. Erlangt ein Geheimdienst Zugriff auf Speicherserver eines sozialen Netzwerks und werden die Informationen dort nicht gesondert gesichert, bräuchte er sich mit der SSL-/TLS-Verschlüsselung nicht aufzuhalten.
NSA und das Knacken in Echtzeit
Darüber hinaus gibt es diverse weitere Schwachpunkte: Schon länger diskutiert wird über die Qualität des Verschlüsselungs-Algorithmus im Herzen von SSL/TLS. Der US-Geheimdienst NSA soll nach Angaben des bekannten Internetaktivisten Jacob Appelbaum angeblich sogar in der Lage sein, die von Internetfirmen genutzte Algorithmus-Version in Echtzeit zu knacken.
Ein weiteres Thema sind die selbst für Profis oft nur schwer erkennbaren Sicherheitslücken in der komplexen Architektur der Verschlüsselungstechnik. Das jüngste Beispiel war der Programmfehler "Heartbleed" in der freien Verschlüsselungs-Software OpenSSL. Die Schwachstelle hatte zur Folge, dass ein Angreifer beim Aufbau einer sicheren Verbindung Zugriff auf Teile des Arbeitsspeichers eines Rechners erlangen konnte. Es dauerte Jahre, bis das Problem entdeckt wurde.
Bereits zuvor hatten Hacker andere Lücken mit Namen wie "Breach" und "Crime" gefunden. Diese nutzten Kenntnisse über die Datenkompression bei Internetverbindungen, um mithilfe aufwendiger Angriffszenarien aus dem Strom SSL/TLS-verschlüsselter Daten potenziell sensible Daten wie die Anmeldeschlüssel für Websites herauszufiltern.
Auch das System der Zertifikate-Vergabe an Websites ist ein Einfallstor. So ist denkbar, dass Hacker derartige Dokumente fälschen oder manipulieren, um Browsern die Echtheit eines Servers vorzutäuschen und sich dann in eine gesicherte Verbindung "einzuklinken" und mitzulesen.
