NSA-Affäre Wie die NSA gesicherte Verbindungen aushebelt

Die NSA spioniert auch Verbindungen mit SSL-Verschlüsselung aus. Wie das funktioniert und warum Verschlüsseln nicht sinnlos ist. Die wichtigsten Fragen und Antworten von 

Internet Cafe in Madrid

Internet Cafe in Madrid  |  © Andrea Comas/Reuters

Edward Snowden hat erneut ein Überwachungsprogramm des britischen und des amerikanischen Geheimdienstes öffentlich gemacht. NSA und GHCQ spähen damit Verbindungen aus, die bislang als relativ sicher galten, zum Beispiel jene, die fürs Onlinebanking genutzt werden.

Welche Kommunikationswege kann die NSA ausspionieren?

Betroffen ist vor allem das viel genutzte Onlineprotokoll TLS/SSL. Das schützt den Datenverkehr etwa bei einer HTTPS-Verbindung. Jeder Internetnutzer arbeitet mit diesen Protokollen, zum Beispiel wenn er Onlinebanking betreibt oder seine Kreditkarteninformationen in eine Maske eingibt, um sich bei Amazon ein Buch zu bestellen. In der Adresszeile des Browsers steht dann das Kürzel HTTPS statt HTTP. 

Anzeige

Außerdem kann die NSA wohl auch sogenannte Virtual Private Networks, kurz VPN, abhören, wie die New York Times berichtet. Die nutzen beispielsweise Unternehmen, damit Außendienstmitarbeiter Zugriff auf interne Mailserver oder Daten haben.

Die Geheimdienste sollen auch daran arbeiten, Mobilfunkverbindungen des modernen Standards 4G zu knacken, um Gespräche mithören zu können. Frühere Standards wie GSM können seit einiger Zeit bereits gehackt werden, neuere Datenübertragungswege im Mobilfunk aber galten bislang als sicher verschlüsselt.

Was ist SSL?

Um zu verstehen, wie die NSA vorgeht, muss man das Prinzip verstehen, wie SSL-Protokolle funktionieren. SSL ist die Abkürzung für Secure Sockets Layer. Wer eine Website aufruft, tut das normalerweise, indem er die Eingabe der Adresse mit den Buchstaben HTTP beginnt. Doch gibt es einen besonders gesicherten Weg, um sensible Daten vom Browser zum Server beispielsweise einer Bank zu schicken. Um den zu starten, muss die Adresse mit HTTPS beginnen. Der Browser weiß dann, dass für die Verbindung erhöhte Sicherheit gilt und er vom Server ein Zertifikat und einen öffentlichen Schlüssel anfordern muss. Der Browser prüft damit die "Identität" des Servers und ob er wirklich mit der Bank verbunden ist. Damit niemand diese Kommunikation ausspähen kann, wird sie verschlüsselt.  

Wie geht die NSA beim Ausspähen dieser Verbindungen vor?

Die NSA greift nicht die Verschlüsselung der SSL-Protokolle selbst an, sondern die Zertifikate. Die werden der Bank von einer Zertifizierungsstelle ausgestellt. Die NSA greift diese Zertifikate ab, manipuliert sie und tut anschließend so, als sei sie die Bank. Davon merken die beiden Kommunikationspartner nichts. Weil sich der Angreifer bei dieser Form der Manipulation zwischen Sender und Empfänger einschaltet, spricht man von einem "Man-in-the-middle"-Angriff.  

Wie die NSA Verschlüsselungen im Internet umgeht

Wie die NSA Verschlüsselungen im Internet umgeht  |  ©ZEIT ONLINE

Aber auch die Verschlüsselung ist das Ziel der Geheimdienste. Laut einem Medienbericht setzen Behörden in den USA dazu vor allem kleinere Unternehmen unter Druck, damit diese ihre Generalschlüssel für SSL-Verschlüsselung herausgeben. Mit dem Master-Key kann die gesamte SSL-Kommunikation, die über die Server eines Anbieters läuft, entschlüsselt werden. Bei SSL ist das besonders bequem, da die Master-Keys als sehr langlebig gelten, also selten geändert werden.

Sind auch andere Verschlüsselungssysteme betroffen?

Gleichzeitig arbeitete die NSA  daran, gängige Kryptografieprogramme mit einer Hintertür auszustatten. Statt bestehende Technik zu knacken, setzt die NSA früher an und beeinflusst die Entstehung solcher Software und der ihr zugrunde liegenden Standards.

Auch in das Brechen von Codes steckt die NSA viel Geld und investiert in extrem schnelle Computer, die Verschlüsselung knacken sollen. Seit dem Jahr 2000 wurden Milliarden Dollar für das Projekt namens Bullhorn ausgegeben – 255 Millionen waren es allein dieses Jahr.

Heißt das, dass Verschlüsselung nicht mehr sicher ist?

Nein. Die NSA hat nicht die Verschlüsselungstechnik an sich, die nach mathematischen Prinzipien funktioniert, geknackt. Das ist, wenn die Schlüssel entsprechend lang und komplex sind, noch immer unmöglich. Beziehungsweise mit sehr hohem Rechenaufwand verbunden.

Wer seine Mails oder seine Chats auf seinem Computer verschlüsselt und erst dann durchs Internet zum Empfänger schickt – Ende-zu-Ende-Verschlüsselung genannt –, kommuniziert nach aktuellem Wissensstand sicher. Selbst wenn die NSA den Verbindungskanal knackt, kann sie die Informationen darin nicht lesen. Hat die NSA allerdings den Computer eines Benutzers infiltriert und kann seine Daten vor der Verschlüsselung schon mitlesen, ist selbst eine Ende-zu-Ende-Verschlüsselung machtlos.

Zur Startseite
 
Leserkommentare
  1. Ich erlaube mir meinen Kommentar, den ich schon einmal zu einem anderen, ähnlichen Artikel geposted habe, wörtlich zu wiederholen. Wir befinden uns im Wahlkampf und auch hier lebt die Wahrheit nur von der Wiederholung immer gleicher Aussagen:
    Wir haben ganz aus dem Blick verloren, dass es bis vor kurzer Zeit immer die bösen, bösen, unartigen Chinesen waren, die wir mit "Ihr-seit-Hacker"-Kommentaren angespuckt haben. Wir haben bis vor Kurzem den Chinesen vorgehalten, dass sie ihre Presse kontrolliere und keine Meinungsfreiheit zulasse... .haha!! Die NSA hat sogar die Uni in Peking gehackt. Derzeit treten die USA uns Großbritannien Meinungsfreiheit mit Füßen (Guardian-Festplatten, Lavabit-Email-Schliessung, usw...). Die Chinesen haben es ja schon gesagt: die USA ist der grösse Schurke unserer Zeit:

    http://www.spiegel.de/pol...

    http://www.scmp.com/news/...

    In der Schweiz wendet man sich mit einem Freihandelsabkommen China zu noch bevor man sich um ein Freihandelsabkommen mit den USA bemüht. Vielleicht sind das weitere Anzeichen für einen Wendepunkt in der Geschichte.....

    3 Leserempfehlungen
  2. 2. Danke

    Guter Beitrag.
    Zum Stichwort Master-Key frage ich mich natürlich, wie sinnvoll es ist ein Amerikanisches Betriebssystem (Windows XY) einzusetzen. Kann man da überhaupt davon ausgehen, dass es keine Backdoors gibt?

    Auch zum Thema Verschlüsselung würde mich die Expertenmeinung interessieren: ist nach PGP 2.x PGP noch sicher und ohne Hintertürchen?
    Die Schlüssel sollte man dann wohl sinnvollerweise per Post versenden?

    Eine Leserempfehlung
    • scngmbh
    • 07. September 2013 17:53 Uhr

    Das Abhören der verschlüsselten Datenströme ist dann einfach, wenn die zertifizierenden Firmen unterwandert werden. (Weniger Technisch: Zur Absicherung der Datenströme sind Zertifikate erforderlich mit denen die Daten verschlüsselt werden. Diese Zertifikate werden in der Regel von spezialisierten Firmen verkauft.) Im Klartext: Wenn Firmen wie Verisign/Symantec und Andere diese Zertifikate vergebenden Unternehmen von den Sicherheitsdiensten korrumpiert werden, dann sind alle Zertifikate von diesem Unternehmen wertlos weil der Datenstrom durch die Sicherheitsbehörden ohne besonderen Aufwand mitgelesen werden kann.

    Als Konsequenz ist eine eigene Instanz im Unternehmen welches solche Zertifikate erstellt sinnvoll. Dies ist mit Linux und Windows Servern einfach möglich. Wichtig ist, das diese sog. PKI nicht direkt mit dem Internet verbunden ist sondern entsprechend geschützt wird.

    Da Microsoft immer wieder von der NSA kompromittiert wird, ist Linux als Basis die Empfehlung. Die kostenfreie Software kommt von http://www.ejbca.org/.

    Nachteil: die Zertifikate dieser eigenen PKI sind den Browsern zunächst nicht bekannt. Diese müssen die Zertifikate als Vertrauensvoll lernen. Bei den Zertifikaten der bekannten Zertifikatsgeber, die dies kommerziell betreiben, sind die Zertifikate automatisch als vertrauensvoll eingestuft (und darin besteht das Problem).

    Quelle: http://scngmbh.de/service...

    Eine Leserempfehlung
    Reaktionen auf diesen Kommentar anzeigen

    Entfernt. Bitte verzichten Sie in den Kommentarbereichen auf jegliche Form von Werbung. Auf Ihr privates Blog können Sie in Ihrem Profil einen Hinweis platzieren. Danke, die Redaktion/jk

    Ein sinnvoller Vorschlag, der jedoch aus Akzeptanzgründen nur in Intranets und anderen geschlossenen Benutzergruppen funktionieren kann.

  3. Der Herr Snowden hat nichts erneut öffentlich gemacht!

    Bitte korrigiert mich, wenn diese Aussage nicht korrekt ist:

    Ich dachte, er hätte eine Menge von Dokumenten an Journalisten weitergegeben und diese werden nun häppchenweise veröffentlicht, wobei er hier keinen direkten Einfluss mehr nehmen kann.

    Eine Leserempfehlung
  4. 5. [...]

    Entfernt. Bitte verzichten Sie in den Kommentarbereichen auf jegliche Form von Werbung. Auf Ihr privates Blog können Sie in Ihrem Profil einen Hinweis platzieren. Danke, die Redaktion/jk

    • Konos
    • 10. September 2013 9:40 Uhr

    Technisch gesehn ist der Artikel einigermassen richtig. Aber warum wird immer nur die NSA benannt? Auch zB der BND wird wahrscheinlich ähnlich vorgehen, solange es um die Entschlüsselung von Auslandsdatenverkehr geht, und die Daten deutscher Staatsbürger ausgefiltert werden. Das fällt schliesslich unter den gesetzliche Auftrag des BND (siehe BND Gesetz, Absatz 1). Analog gehört es zum Auftrag der britischen, französischen, ... Geheimdienste nach den jeweiligen nationalen Gesetzen. So gesehen ist der Artikel wieder nur einer von vielen voller unsachlicher anti-USA Polemik.

  5. Ein sinnvoller Vorschlag, der jedoch aus Akzeptanzgründen nur in Intranets und anderen geschlossenen Benutzergruppen funktionieren kann.

Bitte melden Sie sich an, um zu kommentieren

  • Quelle ZEIT ONLINE
  • Schlagworte Edward Snowden | Bank | Chat | Computer | Geheimdienst | Mobilfunk
Service