Die Begehrlichkeiten an Daten von Internetnutzern und Bürgern zu gelangen, kennen offenbar keine Grenzen. Letzte Woche wurde bekannt, dass NSA & Co. angeblich auch an den „Master-“ Schlüssel für SSL / TLS Verbindungen kommen wollen.
Einmal in den Besitz dieses Schlüssels gelangt, könnten selbst verschlüsselte Verbindungen mitgelauscht und größtenteils sogar einmal aufgezeichnete Daten im Nachhinein entschlüsselt werden.
Der Inhalt im Überblick
SSL / TLS
Eine SSL / TLS Verbindung baut eine verschlüsselte Verbindung zwischen Browser und Server auf. Inzwischen unterstützt eine Vielzahl von Webseiten diese so geschützte Verbindung, so z.B. Facebook. Der wichtigste Anwendungsbereich ist dabei die Kommunikation für das Online Banking, den Bezahlvorgang beim Online Shopping oder auch die Übertragung von medizinischen Daten.
Je nach Browser wird dabei anhand von Zertifikaten auch ein Hinweis auf das Vorhandensein einer vertrauenswürdigen Seite angezeigt. Jedoch wird die SSL / TLS Verschlüsselung nicht nur für das Surfen im Netz, sondern für eine Vielzahl darüber hinausgehender Dienste verwendet, z.B. dem verschlüsselten Abruf von E-Mail via POP, SMTP, IMAP oder bei der Übertragung von Passwörtern.
Technischer Hintergrund
TLS bedeutet Transport Layer Security und ist die Nachfolgeversion von SSL, des Secure Sockets Layer. In der Regel wird immer noch die Bezeichnung SSL verwendet. Dabei entspricht die Version 1.0 TLS der Version 3.1 SSL. Nach dem Aufbau der Verbindung zum Webserver authentisiert sich dieser in der Regel über ein Zertifikat gegenüber dem Client. Danach wird ein geheimer Schlüssel für die folgende Kommunikation verwendet.
Der Mann in der Mitte
Die Hauptgefahr für eine so verschlüsselte Verbindung ist ein sogenannter „Man-In-The-Middle“ Angriff. Dabei erhält eine vielleicht fiktive Behörde den Schlüssel des Websitebetreibers und kann sich so in die Kommunikation einbinden. Das verschafft diesem die Möglichkeit, sämtliche übertragenen Daten im Klartext mitzuschneiden. Kein Wunder also, dass der Verschlüsselungsschlüssel einen Schlüssel zum Glück für datensammelnde Behörden darstellt.
Aktuelle Entwicklung
Von einem solchen Begehren betroffene Unternehmen werden möglicherweise Ihren Sitz in den USA haben, wie etwa Facebook, Apple, Google, Twitter, Yahoo und AOL.
Heise.de berichtet zudem in seiner aktuellen Ausgabe der Zeitschrift C’t über eine Hintertür in Microsofts SSL Zertifikatsverwaltung, mittels welcher dem Anwender Zertifikate untergeschoben werden könnten.
Abwehrmaßnahmen im Cyberkrieg
Einen wirksamen Schutz gegen das belauscht werden in einer vermeintlich sicheren Kommunikation gibt es nur sehr eingeschränkt. Die persönlichen und vor allem besonderen personenbezogenen Daten sollten nicht unbedingt ausgelagert werden.
Vermehrt könnte der Internetnutzer auch nationale Webdienste in Anspruch nehmen und ggf. auf VPN Verbindungen zurückgreifen. Letzteres funktioniert inzwischen sogar recht einfach und problemlos mit handelsüblichen Routern im Haushalt.