Bruce Schneier zum NSA-Skandal: "Die US-Regierung hat das Internet verraten"

Nach der Enthüllung des NSA-Großangriffs auf Verschlüsselungstechnik geht der Security-Experte Bruce Schneier in einem Kommentar im Guardian hart mit den USA ins Gericht. Die US-Regierung habe das Internet und seine Nutzer verraten und fundamentale gesellschaftliche Vereinbarungen gebrochen, urteilt er. Ebensowenig könne man noch ethischen Standards der IT-Konzerne trauen, die die Infrastruktur des Netzes sowie Hardware und Software herstellten und oftmals die Hintertüren für die Geheimdienste bereits integrierten. Schneier konnte über den Guardian selbst die von Edward Snowden geleakten NSA-Dokumente studieren.

Er fordert dazu auf, das Internet, das von Geheimdiensten wie der NSA in eine gewaltige Überwachungsplattform verwandelt wurde, wieder zurückzuerobern – wobei er insbesondere an IT-Profis appelliert. So sollten Beschäftigte in Firmen, die zu einer Installation von Hintertüren in ihre Produkte gedrängt werden, den Mut haben, das publik zu machen. "Wir brauchen Whistleblower", betont Schneier. Dabei geht es ihm nicht nur darum, herauszufinden, wo überall Hintertüren stecken. Wir müssen genau verstehen, wie die NSA Hintertüren in Routern, Switches, dem Internet-Backbone, Verschlüsselungsverfahren und Cloud-Diensten platziert, fordert Schneier.

Ebenfalls müsse diese Rückeroberung des Internets sowohl technisch als auch politisch geführt werden. Es müssten neue Techniken entwickelt werden, offene Protokolle und Systeme, die private Kommunikation besser schützten. Auf politischer Ebene müsste größerer Druck auf Parteien und Regierungen ausgeübt werden, mehr Transparenz und Nachvollziehbarkeit zu schaffen. Auch die IETF sprach er an, sie solle das Thema auf die Agenda ihres Treffens November Anfang setzen und reagieren. „Den Überwachungsstaat zu entwaffnen wird nicht einfach sein. Hat jemals ein Staat, der Massenüberwachung betreibt, diese Möglichkeit freiwillig aufgegeben?“ Es sei eine moralische Pflicht, sich dennoch dafür einzusetzen, so Schneier.

Dabei belässt er es nicht bei Appellen, sondern befasst sich in einem zweiten Kommentar damit, ob sich private Schutzmaßnahmen angesichts der offenbarten Überwachungskapazitäten der NSA überhaupt noch lohnten. Seiner Ansicht nach ist das durchaus der Fall. So sei die NSA-Überwachungsstruktur auf automatisches Abgreifen und Analysieren von Daten im großem Maßstab ausgerichtet; insbesondere das Sammeln von Metadaten stehe dabei im Vordergrund. Wenn es jedoch um konkrete Inhalte und Zugriff auf individuelle Rechner gehe, werde es zumindest aufwendiger für die Geheimdienstler, mitunter sogar riskanter.

Natürlich könne die NSA praktisch jeden Rechner infiltrieren, wenn sie das wolle. Schneier nennt dabei die "TAO“-Abteilung (Tailored Access Operations) der NSA, denen praktisch für jedes Betriebssystem eine Auswahl an angreifbaren Sicherheitslücken und dafür maßgeschneiderten Tools zur Verfügung stünden. Doch diese Art von Angriffen kämen nur in Einzelfällen zum Einsatz, bei denen es um höchste wichtige Informationen gehe.

Als erste Empfehlung rät er zum Surfen über den Anonymisierungs-Dienst Tor. Obwohl sich Tor jüngst als unzuverlässig gezeigt hat und die NSA auch auf Tor-Nutzer ziele, sei es letztlich doch mit Aufwand verbunden, den Nutzern auf die Schliche zu kommen. Wer meint, er verfüge über besonders "heiße" Informationen, solle diese besser auf einem reinen Offline-Rechner ablegen. Schneier selbst habe für seine Arbeit mit den NSA-Dokumenten einen neuen Rechner gekauft, der noch nie mit dem Internet verbunden war. Wolle er Daten von dort transferieren, verschlüssele er sie und trage sie mit einem USB-Stick zum Internet-Rechner. Für die Entschlüsselung gehe die Reise dann wieder zurück.

Weiterhin empfiehlt er, die eigene Kommunikation generell verschlüsseln, etwa mit TLS und IPsec. Interessant für Insider: Schneier rät dabei von Verschlüsselung auf Basis Elliptischer Kurven (EC) ab; in den letzten Jahren ging der Trend eher hin zur Verwendung von EC-Verfahren, unter anderem weil sie deutlich kürzere Schlüssel ermöglichen und somit schneller und ressourcenschonenender sind. Insbesondere rät Schneier, Verfahren, die auf dem herkömmlichen Problem der diskreten Logarithmen beruhen wie klassisches RSA gegenüber denjenigen zu bevorzugen, die auf Elliptischen Kurven beruhen. Die EC-Verfahren enthalten eine Reihe von Parametern; Schneier befürchtet, dass die NSA deren Wahl gezielt beeinflusst, um sich Vorteile zu verschaffen. Das erinnert an den Verschlüsselungsstandard DES, in dessen Entwicklung sich die NSA gezielt eingeschaltet hatte

Was kommerzielle Anbieter von Verschlüsselungssoftware angeht, winkt Schneier ab. Er schätzt, dass die meisten Produkte großer US-Firmen NSA-Hintertüren haben, viele Produkte aus anderen Ländern ebenso – oder zumindest entsprechende Lücken für den jeweiligen Landesgeheimdienst. Closed-Source sei insgesamt anfälliger für Hintertüren als Open Source. So sei etwa TLS-Verschlüsselung empfehlenswert, hingegen proprietäre Dienste wie BitLocker eher nicht.

Selbst verwendet Schneier unter anderem GPG, Silent Circle, Tails Linux, OTR, TrueCrypt und BleachBit. Generell sei Linux Windows-Systemen vorzuziehen, wobei er selber "unglücklicherweise" noch schwerpunktmäßig Windows nutze. Alles in allem gelte: Auch wenn die NSA das Internet in eine gewaltige Überwachungsplattform verwandelt habe, könnten die Geheimdienstler dennoch nicht zaubern. Selbst deren enorme Kapazitäten haben ihre Grenzen. "Verschlüsselung ist dein Freund", so Schneier. (axk)