Blog: „Konsequente Verschlüsselung“ funktioniert

21.01.2015

Konsequente Verschlüsselung ist das Mittel der Wahl zum Schutz der Kommunikation, denn sogar die NSA kann gewisse Technologien nicht knacken

In Folge der Enthüllungen 2013 durch Edward Snowden waren viele Unternehmen geschockt, wie viele ihrer Systeme anfällig für Schnüffelei sind. Es entstand das Bewusstsein, dass Organisationen wie die NSA in der Lage sind, sich Zugriff zu einer grossen Anzahl von Kommunikationskanälen zu verschaffen.

Daher müssen Unternehmen die Lösungen überdenken, die sie zum Teilen von Daten nutzen und um mit Kollegen weltweit in Kontakt zu bleiben. Die Snowden-Enthüllungen zeigen aber auch, dass manche Lösungen wesentlich effektiver sind als andere.

Vorsicht vor Verbraucherlösungen

Einige Dokumente von Snowden wurden vor kurzem durch den SPIEGEL gesichtet. Zu den Koautoren des Artikels zählen Laura Poitras und Jacob Appelbaum, beide haben in der Vergangenheit eng mit Snowden zusammengearbeitet. Appelbaum hat Zugriff auf die Dokumente des Whistleblowers und Poitras ist Regisseurin einer Oscar-nominierten Dokumentation über die Enthüllungen.

Die Dokumente zeigen wie gefährlich es ist, auf Verbraucherlösungen zu vertrauen. Diese waren nie für die Nutzung durch Unternehmen gedacht und haben oft nicht die Sicherheitsmerkmale, auf die Unternehmen Wert legen sollten. Aber da sie bequem und günstig sind, kommt es oft dazu, dass sie doch am Arbeitsplatz Einzug halten – ob nun mit oder ohne Erlaubnis der zuständigen Sicherheitsfachleute.

Ein gutes Beispiel für eine solche Lösung ist Skype. Das Videokonferenz-Tool hat mehr als 300 Millionen Nutzer weltweit, aber seine Verschlüsselungsfunktionen werden durch die Snowden-Veröffentlichungen in Frage gestellt. Die dem SPIEGEL vorliegenden Dokumente offenbaren, dass die NSA schon im Februar 2011 mit der ‚dauerhaften’ Sammlung von Skype-Daten begann.

Laut SPIEGEL melden die Codeknacker nur ein halbes Jahr später, im Herbst 2011, das erfolgreiche Ende ihres Vorhabens. Seit diesem Zeitpunkt haben die Schnüffler der NSA Zugriff auf Skype-Daten.

Das ist bei weitem nicht das einzige Tool, das von der NSA erfolgreich angezapft wird. Die Dokumente zeigen auch, dass die Aufzeichnung eines Facebook Chats nur als ‚geringes’ Problem gesehen wird, während das Entschlüsseln von über den russischen Internet-Anbieter mail.ru versandten E-Mails ‚mässigen’ Aufwand verlangt.

Es gibt immer noch sichere Lösungen

Aber trotz alledem zeigen die Enthüllungen auch, dass es immer noch Lösungen gibt, die anonymes Browsen und Kommunizieren möglich machen und den Geheimdiensten Kopfschmerzen verursachen. Zu denen, die der NSA nach eigenen Angaben ‚grosse’ Probleme bereiten, gehört das Tor-Netzwerk.

Truecrypt, eine Lösung für die Verschlüsselung von Daten auf Computern, macht der NSA ebenfalls Probleme, genau wie E-Mail-Verschlüsselung mit PGP.

Im Fall von Truecrypt wurde die Technologie 2014 ganz plötzlich eingestellt – die Website des Projekts warnte, die Lösung sei ‚nicht sicher’. Dies führte angesichts der Probleme, die Geheimdienste offensichtlich mit dem Knacken der Verschlüsselung hatten, zu Spekulationen, es stünden eventuell andere Gründe hinter dem Ende der Technologie. Könnte die NSA die Entwickler zum Einstellen gedrängt haben? Wir werden es wohl nie erfahren.

PGP bleibt für die NSA zu schwierig zu knacken, obwohl die Technologie bereits mehr als 20 Jahre alt ist. Das ergibt eines der Dokumente, das sich im Besitz des SPIEGEL befindet. Über E-Mails, die die NSA mittels Yahoo erhalten hat, ist darin folgendes zu lesen: „Für diese PGP-verschlüsselte Nachricht ist keine Entschlüsselung verfügbar“.

Der Erfinder von PGP, Phil Zimmermann, war auch bei der Entwicklung von ZRTP beteiligt, das der sicheren Verschlüsselung von Gesprächen und Chats auf Mobiltelefonen dient. Wird es mit anderen Tools wie Tor verwendet, kommt es laut NSA-Dokumenten zu einem „fast vollständigen Verlust von Erkenntnissen über die Kommunikation“.

Was bedeutet das für Unternehmen?

Diese Dokumente machen deutlich, dass starke Verschlüsselungstechnologie immer noch sehr wertvoll für Firmen ist, die ihre Informationen vor neugierigen Blicken schützen wollen – ob nun vor Kriminellen, Wettbewerbern oder eben Regierungen, die dafür massive Ressourcen mobilisieren können.

„Wir schlagen Kryptografie vor, also konsequente Verschlüsselung,“ sagt Michael Hange, der Präsident desdeutschen Bundesamts für Sicherheit in der Informationstechnik (BSI).

Was bedeutet konsequente Verschlüsselung? Ein umfassendes System von Ende-zu-Ende-Verschlüsselung, das Informationen auf allen Stationen des Wegs schützt. Denn die richtigen Werkzeuge können zwar sicherstellen, dass die Kommunikation kaum zu knacken ist, aber jede noch so kleine Lücke lässt Unternehmen dennoch schutzlos dastehen.

Es ist daher entscheidend, Mitarbeiter zu informieren, wie wichtig die Nutzung solcher Technologien ist – und dass einfach zu entschlüsselnde Verbraucherlösungen unbedingt gemieden werden sollten. Zusätzlich spielt die Einführung benutzerfreundlicher Lösungen eine wichtige Rolle, da mangelnde Benutzerfreundlichkeit oft dazu führt, dass zugelassene Unternehmenslösungen ungenutzt bleiben.

Die Snowden-Enthüllungen zeigen, dass man mit einfach zu nutzender Ende-zu-Ende-Verschlüsselung nach wie vor sicher kommunizieren kann. Unternehmen sollten sich erkundigen, welche Optionen für sie passend sind.


von Marcel Mock, CTO

Marcel