Generalschlüssel? Internet-Security-Experten haben Zweifel

Fulda. Die Internet Security-Spezialisten der "PSW GROUP" (www.psw.net) treten Medienberichten entgegen, wonach "NSA" und "FB

Fulda. Die Internet Security-Spezialisten der "PSW GROUP" (www.psw.net) treten Medienberichten entgegen, wonach "NSA" und "FBI" über Master- oder Generalschlüssel SSL-gesicherte Kommunikation ausspähen könnten.

Unterschiedliche Medien hatten in den vergangenen Wochen übereinstimmend berichtet, dass die US-Sicherheitsbehörden Internet-Unternehmen angeblich dazu drängen, entsprechende Schlüssel herauszugeben. "PSW"-Geschäftsführer Christian Heutger zweifelt an dieser Darstellung: "Zunächst einmal ist festzustellen, dass es so etwas wie Generalschlüssel, mit denen sich die SSL-gesicherte Kommunikation jeglicher Nutzer entschlüsseln ließe, gar nicht gibt."

Stattdessen wäre aber denkbar, dass "SSL-Zertifizierungsstellen" eigene Root-Schlüssel oder Zwischenzertifikate an Behörden herausgeben, um darüber "Man-in-the-Middle Attacken" auf den geschützten Datenaustausch zu ermöglichen. "Das Prinzip gleicht dem Verfahren, welches "Firewall"-Filter nutzen. Sie lesen den "https-Verkehr" mit, indem sie die Kommunikation des Benutzers terminieren und eine weitere verschlüsselte Verbindung bis zum angefragten Server als Stellvertreter aufbauen", informiert Heutger.

"Facebook", "Microsoft" & Co. könnten den Sicherheitsbehörden jedoch einen solchen "Root-Schlüssel" überhaupt nicht aushändigen, da es sich bei den Unternehmen nicht um autorisierte "SSL-Zertifizierungsstellen" handelt. Und würde eine solche dahingehend mit der "NSA" oder dem "FBI" kooperieren, drohe ihr das Aus. Ihre SSL-Zertifikate wären kompromittiert und würden von den gängigen Webbrowsern nicht mehr unterstützt.

"Wir halten es daher für absolut unwahrscheinlich, dass eine solche Zusammenarbeit stattfindet. Wer trotzdem Zweifel hat, sollte bei der Wahl des SSL-Zertifikats eine Zertifizierungsstelle ohne jeglichen Einfluss der USA wählen. Hier bietet sich unter anderem ,SwissSign’ an", empfiehlt der Internet Security-Experte. Internet-Diensteanbietern rät er außerdem dazu, auf die "SSL"-Funktion "Perfect Forward Secrecy" (PFS) zurückzugreifen. Sie realisiert eine zukunftssichere Verschlüsselung, in dem sie verhindert, dass bereits abgeschlossene aber verschlüsselt aufgezeichnete Kommunikation durch nachträgliches Bekanntwerden des geheimen Schlüssels kompromittiert wird. "Google" ist einer der wenigen großen Anbieter, die das Verfahren bereits konsequent einsetzen.

"Heute aufzeichnen, morgen knacken – mit ,Perfect Forward Secrecy’ können, "NSA" & Co. dieser Devise nicht mehr folgen", betont Heutger.

Weitere Informationen gibt es unter www.psw.net .

+++   +++   +++

Selbst aktiv werden"PSW Group" fordert Grundrecht Datenschutz

Von Christian Heutger

Fulda. Die Abhörskandale, die Whistleblower Edward Snowden ans Licht gebracht hat, haben unsere Kunden (der "PSW-Group", d. Red.) zu Recht verunsichert. Dass soziale Netzwerke nicht für ihren Datenschutz bekannt sind, ist die eine Sache. Man kann sich freiwillig entscheiden, ob soziale Netzwerke genutzt werden oder nicht und welche Daten preisgegeben werden. Dass aber Nutzer ausgespäht werden, die schlichtweg E-Mails versenden wollen oder müssen, stellt einen immensen Eingriff in die Privatsphäre jedes Einzelnen dar.

Der Schutz der eigenen Daten ist ein Grundrecht für Verbraucher. Bundesinnenminister Hans-Peter Friedrich (CSU) ist hingegen überzeugt: Datenschutz ist kein Recht, sondern jeder Bürger, der darauf besteht, ist selbst in der Pflicht, seine Daten zu schützen, wenngleich er fordert, auf internationaler Ebene über den Datenschutz zu diskutieren.Die Machtlosigkeit der Politik

Es sei dahingestellt, ob die Politik tatsächlich machtlos ist oder sich so gibt – Fakt ist: Aktuell sind Verbraucher, aber auch Unternehmen selbst gefordert, sich um den Datenschutz zu kümmern. Unter dem Deckmantel der Terrorabwehr ist es keineswegs ausgeschlossen, dass Bürger-, Industrie- und Wirtschaftsspionage stattfindet. Neben Metadaten und Telefonverbindungen werden hauptsächlich E-Mails abgefangen und ausspioniert. Deshalb ist der ungesicherte E-Mailversand in heutigen Zeiten ein No-Go. Werden E-Mails verschlüsselt, bleiben ihre Inhalte und Anhänge geheim.

Einige Medien, darunter etwa der "Spiegel", kritisieren, dass Verschlüsselungen künftig ausgehebelt werden könnten. Grundlegend ist festzuhalten: es gibt keine Master- bzw. Generalschlüssel, schon gar nicht in der wohl etwas schwammig formulierten Form. Der Artikel erweckt den Anschein, als könne man mit einem einzigen Schlüssel die Kommunikation jeglicher Benutzer entschlüsseln. Eine Variante wäre es allerdings, dass eine Zertifizierungsstelle ihren eigenen "Root-Schlüssel" oder Zwischenzertifizierungsstellen herausgeben, um darüber "Man-in-the-Middle-Attacken" zu ermöglichen. Das Prinzip gleicht dem Verfahren, welches "Firewall"filter nutzen, die den "https-Verkehr" mitlesen, indem sie die Kommunikation des Benutzers terminieren und eine weitere verschlüsselte Verbindung bis zum angefragten Server als Stellvertreter aufbauen. Da Zwischenzertifizierungsstellen für eben diese Zwecke aber nicht mehr ausgestellt werden dürfen, sollte eine solche "Root-CA", die es trotzdem tut und "NSA", "FBI" oder weitere Behörden unterstützt, bekannt werden. Es verhält sich dann wie beim "DigiNotar-Vorfall" und eine solche "CA" wird umgehend aus den Browsern entfernt und kann den Betrieb einstellen.

Es ist daher absolut unwahrscheinlich, dass eine solche Zusammenarbeit stattfindet. Wer trotzdem Zweifel hat, sollte eine "CA" ohne jeglichen Einfluss der USA wählen, hier bietet sich unter anderem "SwissSign" als gute Wahl an.

Was tun gegen  Überwachung?

"Verschlüsselung" heißt das Zauberwort. Sie haben verschiedene Möglichkeiten, Ihre berufliche und private Kommunikation zu verschlüsseln:

Verschlüsseln Sie E-Mails nach den Standards "S/MIME" sowie "OpenPGP". Ihr Kommunikationspartner ist sich Ihrer Identität sicher und erkennt, dass Sie Daten vertraulich behandeln. Mittels Signatur werden die Echtheit und Herkunft einer Person bestätigt und die Verschlüsselung gewährleistet die Vertraulichkeit aller versendeten Informationen. Anbieter sind beispielsweise "Zertificon", "GlobalSign", "Trustwave", "SwissSign" oder "Signtrust".Mittels vollautomatischem Schlüssel- und Zertifikate-Management wird die durchgängige Verschlüsselung (so genannte Ende-zu-Ende-Verschlüsselung) zur Übertragung beliebiger Dateien geregelt. Schlüssel beziehungsweise Zertifikate müssen nicht erstellt und installiert werden – Voraussetzung ist aber, dass Sender und Empfänger zum Start der Kommunikation einen "Public- und Private-Key" besitzen. Ein Anbieter ist beispielsweise "FTAPI" mit dem Produkt "SecuPass": Die Keys werden generiert und gespeichert, der Schlüsselaustausch erfolgt voll automatisiert.

Sichere und verbindliche E-Mailkommunikation sowie der rechtskonforme Versand von vertraulichen Dokumenten wie Gehaltsabrechnungen oder Rechnungen mittels Ende-zu-Ende-Verschlüsselung bietet auch "Regify". Mit regimail werden verschlüsselte Mails mit jeder beliebigen E-Mail-Adresse ohne weiteren Aufwand versendet. Die Lösung ist in zahlreichen E-Mail-Programmen integrierbar oder online nutzbar, außerdem auch für mobile Geräte verfügbar, darunter gängige "Apple-Devices", aber auch "Android"- und "BlackBerry"-Geräte.

Das könnte Sie auch interessieren

Meist Gelesen

Hünfeld lädt wieder zur "Landpartie"
Fulda

Hünfeld lädt wieder zur "Landpartie"

Verkaufsoffener Sonntag und Musikprogramm in der Haunestadt.
Hünfeld lädt wieder zur "Landpartie"
Landesweite Aktionswoche der Polizei Osthessen
Fulda

Landesweite Aktionswoche der Polizei Osthessen

Fußgänger, Radfahrer und Fahrer von Elektrokleinstfahrzeugen sind im Straßenverkehr tagtäglich erhöhten Gefahren ausgesetzt. Insbesondere bei Kindern und lebensälteren …
Landesweite Aktionswoche der Polizei Osthessen

Kommentare

Hinweise für das Kommentieren

Von Mo. bis Fr. in der Zeit von 18 bis 9 Uhr und am Wochenende werden keine neuen Kommentare freigeschaltet.
Bitte bleiben Sie fair und sachlich - keine Beleidigungen, keine rassistischen, rufschädigenden und gegen die guten Sitten verstoßenden Beiträge. Kommentare, die gegen diese Regeln verstoßen, werden von der Redaktion kommentarlos gelöscht.