Aus dem Maschinenraum: Eine Frage des Vertrauens

Es geht doch immer nur ums Geld: das gilt auch fürs Netz

In der digitalen Welt begegnet uns tagtäglich die Frage, wem wir eigentlich vertrauen können: E-Mails, Websites, den Apps auf unserem Telefon - überall kann die Gefahr lauern, ausspioniert oder ausgetrickst zu werden. Für die wichtigen Geschäfte - etwa das Online-Banking - wurde uns anerzogen, darauf zu achten, dass oben im Browser ein kleines geschlossenes Schloss zu sehen sein sollte. Damit wird signalisiert, dass zwischen dem eigenen Computer und dem Webserver der Bank eine verschlüsselte, authentifizierte Verbindung hergestellt worden ist, SSL-Verbindung genannt.

Im Laufe der vergangenen Monate wurde jedoch die zugrundeliegende Struktur dieses Verschlüsselungssystems als das enttarnt, wovor Experten schon lange gewarnt hatten: als ein in keiner Weise vertrauenswürdiger Mechanismus, der primär den Zweck hat, Geld zu generieren. Die Institutionen, die die für die Verwendung der SSL-Verschlüsselung verwendeten Zertifikate ausstellen, sind in der Regel private Firmen, manche sind im Auftrag ihres Heimatstaates aktiv. Auf den Websites dieser Firmen ist viel von Sicherheit die Rede, von Vertrauen, visualisiert mit einer Ikonographie aus High-Tech-Schlössern, Burgwällen und kompetent dreinblickenden Menschen in seriösen Anzügen. Technisch gesehen, ist so eine „Zertifikat-Autorität“ jedoch nichts weiter als ein mehr oder weniger gut weggeschlossener Computer, auf dem die Software und die algorithmischen Stempel zum Erstellen der digitalen Beglaubigungen liegen.

Viele wurden Opfer digitaler Einbrüche

Wie viel Geld nun eine solche Zertifikatsbeglaubigerei für ihre Tätigkeiten nimmt, ist ausschließlich ihr überlassen. Welche Maßstäbe sie an die Nachweise legt, dass jemand, der seinen Schlüssel beglaubigen lässt, wirklich der ist, der er vorgibt zu sein, kann ebenfalls weitgehend die Firma selbst festlegen. In der Industrie wird die Branche gelegentlich zynisch als „Bitvergoldung“ bezeichnet. Ebenfalls jeder Firma selbst überlassen ist, welche Sicherheitsmaßnahmen sie ergreift, um das missbräuchliche Ausstellen von Beglaubigungszertifikaten durch unbefugte Dritte zu verhindern.

Sicherheit kostet Geld, und sei es nur, weil sie die Prozesse verlangsamt und besser ausgebildete Mitarbeiter erfordert, die ein genaues Auge darauf haben. Doch es gilt das Primat der Controller: Es wird gern gespart, was zu sparen ist, um mehr Gewinn zu machen und die Kosten zu drücken. So kam es, wie es kommen musste: Nacheinander wurde eine lange Reihe von Zertifikatsschmieden Opfer digitaler Einbrüche, bei denen die Angreifer wahlweise entweder gleich den digitalen Beglaubigungsstempel erbeuteten oder sich Schlüssel für Banken, große Internetunternehmen, Softwarekonzerne und sogar staatliche Stellen beglaubigten. Jeder Software, die noch die geknackten Zertifikate akzeptiert, können sie nun vorgaukeln, zum Beispiel Google oder Microsoft zu sein. Besonders hart erwischte es die Niederlande, die dortige Firma DigiNotar hatte auch Zertifikate für viele Regierungsstellen ausgestellt, die dann allesamt nicht mehr vertrauenswürdig waren.

Die Nachbarn tauschen sich aus

Eigentlich, so könnte der geneigte Beobachter denken, sollte doch dieses ominöse Beglaubigen eine hoheitliche Aufgabe sein oder jedenfalls staatlich reguliert, schützt es doch nicht selten kritische Infrastrukturen. Es gibt jedoch gute Gründe, Zertifikate nicht von staatlichen Stellen ausstellen zu lassen. Denn wenn die ausstellende Behörde auf kurzem Dienstwege Strafverfolgern oder Geheimdiensten die Möglichkeit zur Infiltration von geschützter Kommunikation mit von ihr signierten Schlüsseln geben kann, ergeben sich zwangsläufig neue Vertrauenssorgen.

Wem soll so viel Macht anvertraut werden?

Der Mechanismus, mit dem sich die Vermittlungssysteme erzählen, wer ihre Nachbarn sind, heißt BGP - Border Gateway Protocol. Er stammt aus einer Zeit, als sich im Internet noch alle Techniker der Internet-Anbieter kannten und man sich gegenseitig vertrauen konnte. Mittlerweile ist die Situation bekanntlich eine andere. China hat in den vergangenen Jahren Testreihen gestartet, bei denen größere Teile des Netzverkehrs der Vereinigten Staaten für einige Stunden durch China umgeleitet wurden. Dazu hat einfach ein chinesischer Internet-Anbieter den anderen Vermittlungssystemen auf dem Planeten erzählt, dass der beste und schnellste Weg, Pakete in die Vereinigten Staaten zu senden, über ihn geht. Prompt schwenkten die Pfade der Datenübertragung so um, dass sie über China liefen. Dort konnten sie dann im Vorbeigehen ausgewertet und analysiert werden.

Als Gegenmittel soll nun ein Verfahren eingeführt werden, bei dem solche Änderungsmitteilungen für die Datenpfade kryptographisch beglaubigt werden müssen - mit Zertifikaten. Auch hier stellt sich die Frage, wem man so viel Macht anvertrauen möchte. Wer in der Lage ist, diese Datenweg-Signaturen zu manipulieren, kann ganze Länder offline nehmen, ohne dass es effektive Gegenwehr gäbe. Weder Staaten mit ihrem inhärenten Schnüffel- und Machtinteressen noch private Firmen mit ihrer sicherheitsgefährdenden Profitmotivation sind jedoch geeignet.

Es ist dringend notwendig

Was es brauchte, wäre - wie auch an etlichen anderen Stellen der digitalen Welt - eine Institutionsform, die vielleicht am ehesten mit einer öffentlich-rechtlichen Stiftung vergleichbar wäre, die nur ihrer Satzung und den Interessen der Nutzer verpflichtet ist und keinen Profit machen darf und kann. Begehren der Staaten müssten den normalen Rechtsweg nehmen, denn Gefallen auf dem kleinen Dienstweg würden das Vertrauen zerstören.

Solche vertrauenswürdigen, unabhängigen Entitäten zu errichten wird nicht einfach, aber notwendig. Auch bei Fragen des Datenschutzes, der IT-Sicherheit, der Netzneutralität und der Kommunikationssicherheit wäre es an der Zeit, für ein nachhaltig freies und sicheres Netz von Staat und Unternehmensinteressen unabhängige Instanzen zu schaffen.

Quelle: F.A.Z.
Hier können Sie die Rechte an diesem Artikel erwerben