NSA-Affäre und IETF: "Das Internet braucht einen Sicherheitscheck"
Innerhalb des Netz-Standardisierungsgermiums IETF haben die Enthüllungen über die Nutzung von Schwachstellen in den technischen Standards durch die NSA und Vorwürfe gezielter Manipulation der Standardisierungsprozesse zu erheblichen Diskussionen geführt.
Die in den vergangenen Monaten bekannt gewordene umfassende Überwachung des Internets durch die NSA und andere Geheimdienste macht eine neuerliche Bestandsaufnahme der Sicherheit im Netz erforderlich. Dies sagte Jari Arkko, Chef der Internet Engineering Task Force (IETF) beim 67. Treffen der IP-Adressverwalter des RIPE. "Wir sollten klar verstehen, wo die Gefahren für unsere Pakete liegen und wie die Technologie sich entwickeln muss, damit Nutzer ein sicheres und vertrauliches Internet nutzen können." Zugleich warnte Arkko vor zu hohen Erwartungen an die Ingenieure, sprach von einem "Rüstungswettlauf" und mahnte: Ungesicherte Kommunikation im Netz sei offen einsehbar.
Innerhalb der IETF haben insbesondere Enthüllungen über die Nutzung von Schwachstellen in den technischen Standards und Vorwürfe gezielter Manipulation der Standardisierungsprozesse zu erheblichen Diskussionen geführt. Auch wenn Arkko Gerüchte über Hintertüren im IPSec-Standard als falsch bezeichnete – die Kompromittierung von TLS-Zertifikaten über Provider und Zertifikatsanbieter oder auch durch das Knacken älterer Verschlüsselungsstandards hält er für sehr bedenklich. Wenn die Generierung von Zufallszahlen nicht ganz so zufällig sei wie gedacht, stiegen die Chancen von Angreifern, sagte Arkko mit Blick auf die vom National Institute of Standardization (NIST) angekündigte Überprüfung ihrer einschlägigen Special Publication 800-90. Das gelte letztlich nicht nur für die Geheimdienste, sondern auch für andere Angreifer.
Technische Antwort auf Überwachung
Die IETF, lautete Arkkos Plädoyer, kann auf die Massenüberwachung vor allem eine technische Antwort geben. Eine ganze Reihe von "Sicherheitsupdates", etwa die Arbeit an TLS 1.3 oder HTML5, sei ohnehin bereits auf dem Weg, sagte Arkko. "Da sind viele Veränderungen im Gange." Beim bevorstehenden IETF-Treffen in Vancouver kommen überdies die Mitglieder der Perpass-Mailingliste erstmals zusammen: Die Liste platzt angesichts der Vorschläge, wie technisch auf die Massenüberwachung geantwortet werden soll, schon jetzt aus allen Nähten. Ideen reichen von mehr Verbindlichkeit für existierende Sicherheitsoptionen bis hin dazu, wie das Hinterlassen von digitalen "Fingerabdrücken" und damit die unwillkürliche Identifizierung im Netz besser vermieden werden kann.
Randy Bush von der Internet Initiative Japan verwies auch darauf, dass es an nachweislich sicherer Hardware fehle. "Noch nicht einmal das Torprojekt", erklärte Bush, könne auf Hardware laufen, die insgesamt und in ihren Einzelteilen nachweislich sicher sei. Bush spielte damit auf die massive Abhängigkeit von US-Netzwerkausrüstern und Hardwareprovidern an. Auch die starke Nutzung der DNS-Server von Google, von den anderen Diensten des Internet-Riesen mal ganz abgesehen, ist ein Aspekt mangelnder Diversität im Netz, warnten verschiedenen Teilnehmer.
Durch die NSA-Affäre ausgelöste Überlegungen, nationale Infrastrukturen im Netz zu stärken, nannte Arkko einerseits gut, da sie für mehr Diversifizierung sorgen könnten. Eine Fragmentierung des Netzes sei dagegen schlecht. Auch Auswirkungen der Enthüllungen auf andere Geheimdienste seien besorgniserregend: Es gebe einen regelrechten Neid auf die Möglichkeiten der NSA, warnte Arkko.
An einem Internetaustauschknoten abzuhören gehört da ganz offensichtlich mittlerweile schon zum Mindeststandard, den man auch öffentlich einräumt. Gegenüber Journalisten des Wall Street Journal räumte der Sprecher des BND, Ralph Schlitt, per E-Mail ein, dass man den Datenverkehr am DE-CIX abhöre. Dabei sei Kommunikation deutscher Bürger natürlich tabu. (jk)
