IETF-Streit über Verschlüsselung: Darfs ein bisschen weniger sein?
Nach den Snowden-Enthüllungen hat die Internet Engineering Task Force klar Stellung bezogen gegen das Unwesen allgegenwärtiger Überwachung. Nachdem die Anstrengungen für mehr Verschlüsselung erste Erfolge zeigen, kommt der Gegenschlag.
Bei der Internet Engineeering Task Force (IETF) schwelt ein Streit um die Konsequenzen der fortschreitenden Verschlüsselung der Datenströme im Netz. Die Organisation hatte sich die bessere Absicherung von Privatheit und Datenschutz nach den Enthüllungen von Edward Snowden auf die Fahnen geschrieben und in ihrer Standardisierungsarbeit vorangetrieben. Jetzt fürchten die Verschlüsselungsbefürworter in der IETF ein Einknicken vor den Wünschen einiger Netzbetreiber.
Ob bei der Entwicklung des TCP-Nachfolgers QUIC oder beim neuen TLS-Standard TLS 1.3, überall werden in den Arbeitsgruppen der IETF Vertreter von Netzbetreibern vorstellig. Die Verschlüsselung nicht nur von Paketinhalten, sondern zunehmend auch von Daten aus den Paketheadern würde ihnen die Suche nach Fehlerursachen, das Netzmanagement und dafür notwendige Messungen unmöglich machen.
Umstrittener Kompromiss
Während die Netzbetreiber-Fraktion, die von US-amerikanischen Unternehmen dominiert wird, in den betroffenen Arbeitsgruppen bislang noch wenig erfolgreich war, könnte ein abseits der Arbeitsgruppen diskutiertes Dokument ihnen mindestens einen Teilerfolg bescheren. Ein seit 2015 heftig umstrittener RFC-Entwurf soll die widersprüchlichen Interessen "ausbalancieren".
Der Entwurf anerkennt durchaus die Missbrauchsgefahr, die sich aus offenen Datenströmen ergibt. Gleichzeitig halten die Autoren fest: "Um Verschlüsselung effektiv zu implementieren und das Abhören zu verhindern, sollte die Aufgabe Netzwerkmanagement im Standardisierungsprozess berücksichtigt und eine Balance angestrebt werden."
Ethisch fragwürdige Mechanismen
Kathleen Moriarty, eine der Autorinnen und Bereichschefin für Sicherheit sagt es noch drastischer: "Wenn wir uns keine Strategie für den Widerspruch zurecht legen, wird Verschlüsselung, wie wir sie wollen, nicht in die Praxis umgesetzt werden." Die Fälle, in denen Provider etwa STARTTLS-Verschlüsselung verhinderten, um einen Supercookie setzen zu können, seien hinlänglich dokumentiert. Neben allerlei Tricks zum Aushebeln von Verschlüsselung könnten neue Standards auch einfach nicht umgesetzt werden.
Auf Seiten der IETF-Teilnehmer, die für die klare Priorisierung von Vertraulichkeit und Verschlüsselung eintreten, spricht man derweil schon von einer Art Erpressung, der die IETF nicht nachgeben sollte. Viele der im RFC Entwurf "neutral" dokumentierten Mechanismen, auf die die Netzbetreiber verzichten müssten, seien technisch und ethisch fragwürdig. Dazu gehören etwa Deep Packet Inspection für staatlich verordnetes Content Filtering, das Einpflanzen von Supercookies in HTTP-Header oder Fingerprinting, das laut dem Entwurf für die Abwehr von DDoS-Attacken wichtig sei.
Lästige Verschlüsselung
Stephane Bortzmeyer, DNS-Experte der französischen Internet-Registry Afnic fürchtet, der geplante RFC könne als Legitimation für Netzwerkmonitoring-Mechanismen herangezogen werden. Er warnt: "Man kann das leicht lesen als 'Verschlüsselung ist lästig, wir sollten es nicht so aggressiv vorantreiben'". Der Privacy-Arbeit der IETF könne das letztlich schaden, fürchtet Bortzmeyer.
Andere Beobachter fragten darüber hinaus, ob die Netzwerkmanagement-Aufgaben nicht doch mit anderen, weniger die Vertraulichkeit einschränkenden Techniken zu erledigen sind. "Natürlich geht das", sagt Hans-Peter Dittler, Experte der Braintec Netzwerk-Consulting GmbH und Mitglied im Vorstand des deutschen Zweigs der Internet Society ISOC, "es wird einfach teurer." Massenüberwachung ein wenig teurer zu machen, war indes ein Ziel der IETF-Verschlüsselungsinitiativen. (ea)