<kes>-Fachartikel: Kryptographie und NSA

Verschlüsselungsverfahren, die nach heutigem Wissensstand auch durch Geheimdienste nicht zu knacken sind

[datensicherheit.de, 05.03.2014]  Verschlüsselung schützt Geschäftsgeheimnisse und persönliche Daten – wirklich?! Gilt das noch im „Jahr 1“ nach Snowden? Angesichts der nach und nach veröffentlichten Informationen über die Aktivitäten von NSA & Co. konnte man schon den Eindruck gewinnen, gegen die Geheimdienste von heute sei kein Kraut gewachsen. Viele fragen sich, ob nicht gerade die USA ihre Finger überall so tief drin haben, dass man sich die Mühe auch gleich sparen kann, seine Daten schützen zu wollen.

Die gute Nachricht: Es gibt noch immer sichere Verschlüsselungs-Verfahren, die nach heutigem Wissensstand auch die Geheimdienste nicht knacken können. Zu diesem Schluss kommen Prof. Bernhard Esslinger (Uni Siegen), Dr. Martin Franz und Dr. Michael Schneider in einem Artikel für die Fachzeitschrift <kes>.

© <kes>

Titelbild der Ausgabe 1/2014

Als unsicher anzusehen sind demnach vor allem ältere Standards, die akademische Kreise schon länger als „gebrochen“ angesehen haben, die aber dennoch verbreitet im Einsatz sind. Zudem gilt als gesichert, dass in mindestens einem Fall eine Standardisierung im Sinne der Dienste beeinflusst und mit einer “Hintertür” versehen wurde. Trotzdem bleibt der Werkzeugkasten der Security-Industrie noch ausreichend gut gefüllt, um für ordentliche Sicherheit sorgen zu können.

Die schlechte Nachricht lautet indessen: Längst nicht jeder Anbieter agiert nur im Interesse seiner Kunden. Viele namhafte Soft- und Hardware-Hersteller arbeiten offenbar mit den Geheimdiensten zusammen: Entweder bauen sie gleich gezielte Schwachstellen ein oder programmieren zumindest in einer Art und Weise, die den Spionen das Leben leichter macht. Die Achillesferse der Sicherheit liegt also in den Systemen, Softwares und Dienstleistungen. Auch und gerade „in der Cloud“ ist anzunehmen, dass Sicherungen bewusst geschwächt oder Daten sogar direkt durchgereicht werden.

Ein wesentlicher Schritt zum besseren Schutz liegt daher in der Auswahl der genutzten Hard- und Software sowie Internetdienste. Hier steht zu befürchten, dass gerade Unternehmen, die in den USA ansässig oder stark vertreten sind, einem enormen Druck seitens der Sicherheitsorgane unterliegen – doch auch in anderen Teilen der Welt (inklusive Europa) gibt es äußerst aktive Geheimdienste. Neben der Bevorzugung nationaler Anbieter können auch Open-Source-Produkte oder unabhängige Prüfungen in gewissen Grenzen für ein Mehr an Sicherheit sorgen.

Zudem sollte man darauf achten, dass Produkte keine „alten“ Verfahren enthalten, die auch ohne aktives Zutun des Anbieters den Geheimdiensten Tür und Tor öffnen. Hier wird man zwar großteils auf die Aussagen der Hersteller vertrauen müssen, die es mit Empfehlungen der Fachleute abzugleichen gilt. Aber ohne fundierte Rückfragen und (Gegen-)Druck von Seiten der Kunden dürften sich mehr Hersteller klaglos den Wünschen von NSA & Co. unterwerfen als in einem Markt, der verstärkt Transparenz einfordert. Denn es ist eine Sache, stillschweigend mit den Geheimdiensten zu kooperieren, und eine andere, seine Kunden explizit zu belügen – schon gar, wenn man einer Gerichtsbarkeit untersteht, die womöglich zu Schadensersatz verpflichtet, wenn solche Lügen später auffliegen.

Weitere Informationen zum Thema:

<kes>
Der vollständige Artikel zum Thema „Krypto und NSA“ ist in <kes> Ausgabe 1/2014 zu finden
Gratis Ansichtsexemplar dieser Ausgabe erhält man unter: http://www.kes.info/probeheft

datensicherheit.de
<kes>, Die Zeitschrift für Informations-Sicherheit