Die Enthüllungen basierend auf den Dokumenten von Edward Snowden haben wieder eine ganz neue Dimension erhalten.
Wie der Guardian und die New York Times berichten haben die NSA und der englische GHCQ in den letzten Jahren massive fortschritte beim brechen bzw. umgehen Grundlegender Verschlüsselungsstandards gemacht.
Diese basieren nicht nur darauf das den Geheimdiensten immer mehr Rechenleistung zur Verfügung steht um verschlüsselte Nachrichten per Brute-Force-Angriff zu knacken, sondern vor allem auf der Tatsache das sich Organisationen wie die NSA bei der Industrie einkaufen. Sei es mit Geld oder durch Druck mittels Gerichtsbeschlüssen und Einschüchterungsversuchen anderer Art.
Dies trifft zuerst natürlich das im Internet gebräuchliche SSL/TLS System zur Absicherung von Netzverbindungen. Ich habe schon des öfteren geschrieben das man dieses System als gebrochen ansehen muss, da es auf Vertrauen basiert. Und dieses Vertrauen kann man zumindest US amerikanischen Firmen dieser Tage nicht mehr entgegenbringen. Da eine kooperierende Zertifizierungsstelle immer noch der einfachste weg ist solch ein System auszuhebeln, wird die NSA sich dort sicherlich schon Zugang verschafft haben.
Diese Tatsache degradiert das, lange Zeit als sicher geltende, System der SSL Verschlüsselung nur noch zu einer weiteren Hürde für Scriptkiddies, damit diese an einem öffentlichen Wlan Hotspot keine Logins etc. mitlesen können. Gegen eine feindliche Regierung (vor allem gegen die USA und GB) richtet Sie nichts aus.
Noch wesentlich schlimmer ist jedoch die Tatsache das Großunternehmen mit den Geheimdiensten kooperieren, sei es für Geld oder weil Sie dazu gezwungen werden, und im Zuge dessen gezielt Schwachstellen in eigene Produkte einbauen. So ist es für die NSA bzw. die GHCQ ein leichtes in großem Umfang fremde Systeme zu übernehmen. In diesem Punkt unterscheiden sich die Geheimdienste nicht von gewöhnlichen Cyberkriminellen, ausser in dem Punkt das Sie bei weitem mehr Möglichkeiten haben und unter dem Deckmantel der Rechtsstaatlichkeit arbeiten.
Sie beschränken sich, den Dokumenten nach, hinsichtlich Ihrer Einflussname auf Großkonzerne der IT Branche nicht nur auf Software sondern beeinflussen auch Hardware Designs. Man muss sich also die Frage stellen inwiefern TPM Chips, welche in einem Großteil der Laptops heutzutage verbaut sind, oder Cryptotokens als vertrauenswürdig angesehen werden können.
Ein weiteres Standbein Ihrer Strategie besteht daran aktiv an neuen Verschlüsselungsstandard mitzuarbeiten um schon in der Entwicklungsphase Einfluss auf die Sicherheit dieser Standards nehmen zu können. Und das bestimmt nicht zum Vorteil der Öffentlichkeit. Inwiefern die Geheimdienste auch noch unerkannt an Projekten wie OpenSSL beteilig sind um deren Wirksamkeit zu schwächen wird wohl niemand ausser den beteiligten Geheimdiensten beurteilen können.
Das die NSA inzwischen auch einen großen Text- und Audiochat Anbieter abhören kann ist in diesen Dokumenten nur eine Randnotiz. Auch ohne das der Name genannt wird kann man darauf schließen das es sich hierbei um Skype handelt.
Und was bleibt uns nach dieser weiteren Enthüllung als Fazit? Eigentlich nur das ungute Gefühl das wir keinem Stück Software oder Hardware wirklich mehr vertrauen können. Weiss ich wie weit Apple mit NSA & Co zusammenarbeiten und inwiefern mein MacBook Daten nach Übersee schickt? Selbst wenn ich auf einem Laptop Linux installiere, kann ich sicher sein das nicht etwa der Ethernet Chip ungewünschte Funktionen enthält weil die Amerikaner Einfluss auf das Hardware Design genommen haben? Woher soll ich überhaupt wissen das Linux sicher ist?
Man macht seine eignen Online Welt garantiert ein wenig sicherer wenn man sich von US amerikanischen Services und Produkten fern hält (z.B. den Big Four ala Google, Yahoo, Facebook, Hotmail). Aber im Endeffekt haben die Amerikaner und die Briten inzwischen ein solch großes Spionage Netz etabliert wie man es eigentlich nur von China etc. erwartet hätte. Damit reicht Ihre Einflussnahme so weit das man sich Ihnen eigentlich nicht mehr entziehen kann.
Da tröstet einem auch nicht die aussage von Edward Snowden, das starke Verschlüsselung wenn Sie richtig implementiert ist immer noch sicher ist. Tja an der Implementierung hapert es offensichtlich wohl.