NSA-Ausschuss: Experten fordern Ende-zu-Ende-Verschlüsselung ein

IT-Sicherheitsforscher drängen nachdrücklich auf durchgehende kryptographische Lösungen, um das massenhafte Abhören durch Geheimdienste zu erschweren. Außerdem müssten Software-Audits ausgebaut werden.

In Pocket speichern vorlesen Druckansicht 218 Kommentare lesen
Lesezeit: 5 Min.
Inhaltsverzeichnis

Eine Ende-zu-Ende-Verschlüsselung sei das Mittel der Wahl gegen das massive Abhören durch gut ausgestattete Angreifer, waren sich Sachverständige bei einer Anhörung im NSA-Untersuchungsausschuss am Donnerstag einig. Eine solche Lösung sei "allen anderen bekannten anderen Ansätzen deutlich überlegen", erklärte Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie. Den zugehörigen Aufbau technischer Vertrauensinfrastrukturen bezeichnete er als "genauso wichtigen Aspekt der Grundversorgung einer digitalen Gesellschaft wie den Breitbandausbau".

NSA-Skandal

Die NSA, der britische GCHQ und andere westliche Geheimdienste greifen in großem Umfang internationale Kommunikation ab, spionieren Unternehmen sowie staatliche Stellen aus und verpflichten Dienstleister im Geheimen zur Kooperation. Einzelheiten dazu hat Edward Snowden enthüllt.

Mit einem solchen durchgehenden Verschlüsselungsansatz, den der Gesetzgeber bei De-Mail noch außen vor gelassen hat, könne man die Kosten für die NSA und andere Spione deutlich nach oben treiben und diese ein Stück weit "totrüsten". Darüber war sich Waidner mit Frank Rieger vom Chaos Computer Club (CCC) einig. Sandro Gaycken, Professor für IT-Sicherheit an der FU Berlin, plädierte ebenfalls für "harten technischen Schutz". Er gab aber zu bedenken, dass die "Laientauglichkeit" dabei wichtig sei. Bislang sei Kryptographie vielfach noch "nutzerfeindlich". Rieger hielt dagegen, dass Skype prinzipiell eine leicht bedienbare Ende-zu-Ende-Verschlüsselung biete, aber diese nachträglich durch Hintertüren für Sicherheitsbehörden unterwandert worden sei.

Gaycken brach parallel eine Lanze für das umstrittene Schengen-Routing als Instrument gegen das permanente massenhafte Ausleiten von Datenverkehr. Auch das "große Leck für unsere Privatheit" sei zu schließen, nämlich die Tatsache dass internationale Dienstleister wie Google oder Facebook Daten deutscher Nutzer bislang nicht im Lande halten müssen. Rieger bezeichnete den Versuch, den Netzverkehr weitgehend zu regionalisieren, als "klitzekleinen Baustein" in einem möglichen Schutzsystem. Es könne Sinn machen, große Provider wie die Deutsche Telekom hierzulande zum Datenaustausch mit kleineren Internetanbietern zu verpflichten, um Umleitungen etwa über günstigere Knotenpunkte in den USA zu verhindern. Waidner kritisierte, dass Datenverkehre trotz einschlägiger Vorgaben weiter leicht umzulenken wären.

Der Faunhofer-Forscher warb allgemein für ein Vorantreiben einer proaktiven IT-Sicherheit durch "Security und Privacy by Design". Zudem müsse die Politik die Voraussetzungen dafür schaffen, dass IT-Produkte hinsichtlich Sicherheit besser überprüft werden könnten. Dafür gebe es einen großen Markt, der durch gezielte Vergabeverfahren zu lenken sei. Audits könnten helfen, Schlampereien oder bewusste kleine Modifikationen in Softwarecode zu finden, befand auch Rieger. Damit sei der Staat etwa auch in der Lage, die große Open-Source-Szene und Entwicklungen wie OpenSSL hierzulande zu fördern.

Waidner regte an, die europäische Cybersicherheitsforschung deutlich auszubauen und "Standards mit Hintertüren" durch eine eigenständige Normierung entgegenzuwirken. Insgesamt sei eine bessere Verzahnung von Recht und Technik anzustreben, wobei letztere schwerer zu korrumpieren sei. Generell entsprächen die vom NSA-Enthüller Edward Snowden aufgedeckten Angriffstechniken der NSA und ihrer Partner dem Stand der "Schwarzen Kunst" der Sicherheitsforschung. Such- und Filterinstrumente wie XKeyscore entsprächen in ihren Funktionen kommerziellen Big-Data-Lösungen. Er sei eher überrascht gewesen, in welchem Umfang die Instrumente angewandt würden.

Im NSA-Untersuchungsausschuss ging es diesmal um technische Gegenwehr.

(Bild: Deutscher Bundestag / Simone M. Neumann / NSA)

"Geheimdienste benehmen sich wie eine Mafia mit einer Rechtsabteilung", konstatierte der Hacker Rieger. Sie seien darauf aus, "industrialisiert" Angriffe durchzuführen, sämtliche juristischen oder technischen Hürden zu umgehen und gemäß der Ideologie des Heuhaufens möglichst alle greifbaren Informationen zu erfassen. Zugänge und Schnittstellen etwa, die für gezielte Ermittlungen von Strafverfolgern gelegt worden seien, würden missbraucht. Daher müsse etwa die Kooperation des Bundeskriminalamts mit dem FBI hinterfragt und das "Primat der Politik" wiederhergestellt werden. Auch Deutschland stehe in Punkto digitaler Souveränität vor einem Scherbenhaufen, vor allem auch durch die "unregulierte Datenaustauscherei" des Bundesnachrichtendiensts mit der NSA.

Gaycken ergänzte, dass neben der Massenüberwachung das gezielte Ausspähen von Nutzern oder Unternehmen im Blick zu halten sei. In Bereich der Industriespionage hätten andere Länder wie Russland oder China längst das technische Niveau der NSA erreicht, gingen aber rücksichtsloser vor. Auch bei Angriffen auf der Hardware-Ebene oder durch Innentäter helfe Verschlüsselung wenig. Hier gelte es, die über Jahre vernachlässigten strukturellen Defizite im Bereich IT-Sicherheit auszumerzen. Die "Safety-Anforderungen für Maschinen" etwa müssten "auch für IT gelten, die raufgeschraubt wird" unter dem Motto Industrie 4.0.

Die Anhörung startete mit über einer Stunde Verspätung, da die Ausschussmitglieder zunächst hinter verschlossenen Türen Umstände einer möglichen Zeugenvernehmung Snowdens sowie die jüngsten Berichte über die umfassende Kooperation des BND mit der NSA erörtern wollten. Hier gibt es laut dem Vorsitzenden Patrick Sensburg (CDU) weiteren Beratungsbedarf. (mho)