Der Chaos Computer Club hat auf seinem alljährlichen Kongress zum Jahresende „31C3“ wieder einmal die Überwachung zum Thema gemacht. Der Journalist und Netzaktivist Jacob Appelbaum sowie die Regisseurin Laura Poitras zeigten auf, welche Verschlüsselungsverfahren noch sicher – und welche von der NSA ein leichtes Unterfangen sind.
Ich hatte bereits darüber berichtet. Unternehmen wie auch Privatpersonen müssen sich vor Angriffen aus dem Netz rüsten. Doch besonders der Mittelstand hierzulande ist gegen Betriebsspionage noch recht unbeholfen. Dass es an allen digitalen Fronten brennt, zeigen die „neusten“ Snowden-Dokumente, die auf dem 31C3 in Hamburg erstmals live präsentiert worden sind. Snowden und Greenwald haben es bereits einige Monate vorher immer wieder angedeutet, nun zeigten Jacob Appelbaum und Laura Poitras auf der Bühne des Chaos Computer Clubs, welche Verschlüsselung überhaupt noch sicher sind.
Unsicher? SSL und VPN
Angefangen bei der Secure-Sockets-Layer-Technologie (SSL). Sie wurde mittlerweile von den Geheimdiensten geknackt. Die Technologie ist somit für die breite Masse nicht mehr sicher – auch Unternehmen sollten diese Sicherheitslücke in der Unternehmenskommunikation berücksichtigen, ihre Mitarbeiter sensibilisieren. Zur Info: SSL oder deren Weiterentwicklung TLS wird von allen gängigen Webbrowsern unterstützt und beispielsweise beim Onlinebanking, der Einwahl in große soziale Netzwerke oder beim Abwickeln von Einkäufen über Versandhändler (E-Commerce) eingesetzt.
Was mich persönlich erschütterte war zweifelsohne die Lücke bei einer VPN-Verbindung. Erst kürzlich schrieb ich, dass diese Art Verbindung sicher sei – ein Irrtum. Klar, die VPN-Entschlüsselung ist auch für Geheimdienste mit hohem Aufwand verbunden. Doch wenn die NSA und der britische Geheimdienst, der GCHQ, an die verschlüsselten Daten herankommen möchten, gibt es kaum ein digitales Entrinnen. Nach den Bekanntmachungen via Chaos Computer Club zog Spiegel Online nach und veröffentlichte sämtliche Dokumente zum Thema VPN sowie SSL; beziehungsweise TLS, TOR und SSH. Der Clou bei der VPN-Entschlüsselung: Das verbreitete VPN-Protokoll PPTP kann ohne Probleme vollständig entschlüsselt werden. Für die komplexeren IPSec-VPNS hat die NSA Techniken entwickelt, über die der private Schlüssel entwendet werden kann – erst danach können die Geheimdienste mitlauschen. Ebenfalls unsicher: Skype-Gespräche, Facebook-Chats, SSH-Verbindungen (Secure Shell).
Dagegen sind die Klassiker wie Tor sowie Pretty Good Privacy (PGP) noch immer sicher vor den Lauschangriffen der Geheimdienste. Auch das Festplatten-Verschlüsselungstool Truecrypt und das Off-the-record-Protokoll (OTR) zur Codierung von Chats, sind bisher eine unlösbare Herausforderung. Aber Vorsicht: Truecrypt wird nicht mehr weiterentwickelt und ist zudem kein OpenSource – kann somit von der Öffentlichkeit nicht auf Sicherheit geprüft werden. Andere „sichere“ Tools, beispielsweise für die mobile Kommunikation, habe ich bereits in dem Artikel „Sicher ist sicher: mobile Kommunikation in Unternehmen“ vorgestellt.
