1823162

NSA liest verschlüsselte SSL-Verbindungen mit

06.09.2013 | 08:53 Uhr |

Der NSA-Prism-Skandal nimmt ungeahnte Ausmaße an: Der US-Geheimdienst kann offensichtlich sogar bisher als sicher geltende SSL-Verbindungen mitlesen. Damit wäre auch das Online-Banking nicht mehr sicher vor neugierigen Blicken.

Edward Snowden hat wieder zugeschlagen und neue Details zur Überwachungspraxis der NSA und deren Kooperationspartner, dem britischen Geheimdienst GCHQ verraten. Demnach haben die beiden Geheimdienste Zugang zu Verschlüsselungszertifikaten, die Internetnutzern, die für die Datenübertragung eine SSL-Verbindung verwenden, eine sichere Datenverbindung ermöglichen sollen. Mit SSL kann man zum Beispiel die Datenübertragung im Browser verschlüsseln. Man erkennt die aktivierte Verschlüsselung daran, dass in der Adresszeile des Browsers ein „https“ anstelle des sonst üblichen „http“ angezeigt wird. Die SSL-Verschlüsselung kommt nicht nur bei bestimmten Webmailanbietern und Facebook standardmäßig zum Einsatz, sondern wird auch für das Online-Banking verwendet. Das würde bedeuten, dass die beiden Geheimdienste auch das Online-Banking überwachen können. Https kann man übrigens im Firefox bequem über das Tool HTTPs Everywhere aktivieren, sofern die besuchten Webseiten SSL unterstützen.

Dass die NSA per SSL verschlüsselte Daten mitlesen kann, berichten übereinstimmend The Guardian, die New York Times und ProPublica unter Berufung auf Edward Snowden. Die NSA würde den Zugriff auf die SSL-Verschlüsselung extrem vertraulich behandeln, so dass selbst innerhalb der NSA nur wenige Personen davon wüssten.

 

Der Codename für das Knacken von SSL lautet laut The Guardian „Bullrun“ (eine Schlacht im US-Bürgerkrieg). Außerdem würde die NSA sogar Einfluss darauf nehmen, wie die Verschlüsselungssysteme programmiert werden, sprich: Die NSA könnte sich bewusst Hintertüren einbauen lassen. Diese wiederum könnten Hacker für Angriffe ausnutzen. Damit würde SSL aber generell unsicherer.

 

Snowden verriet zudem, wie die NSA überhaupt die SSL-Verschlüsselung überwinden konnte. Die Schlapphüte hackten nicht etwa „nur“ das SSL-System, sondern verschafften sich offensichtlich auch Zugang über die Firmen, die für die Zertifizierung und Umsetzung verantwortlich sind. Diese Firmen wurden offensichtlich mit Millionenbeträgen bestochen und/oder unter Druck gesetzt, damit sie mit den Geheimdiensten kooperieren.

 

Der britische Geheimdienst GCHQ wiederum startete laut Snowden ein eigenes Hackerprogramm namens Edgehill, um ebenfalls den gesicherten Datenverkehr zu knacken und zusätzlich auch VPN-Verbindungen auszuhebeln. Der GCHQ soll sich vor allem darum bemühen in den verschlüsselten Datenverkehr von Google, Yahoo, Facebook und Hotmail einzudringen.

Update: Das System der SSL-Verschlüsselung ist nicht einheitlich. Es gibt SSL-Verbindungen mit einem recht schwachen Schutz sowie welche, mit einem bewährtem und sehr gutem Verschlüsselungsverfahren.

Die Frage ist: Wer hat den Schlüsse zur verschlüsselten SSL-Verbindung? Im einfachsten Fall generiert eine Zertifizierungsstelle, etwa Verisign , einen Schlüssel und verkauft Ihn zum Beispiel an den Betreiber eines Online-Shops. Der Online-Shop kann mit dem Schlüssel eine SSL-gesicherte Webseite für den Bezahlvorgang einrichten.

Wenn ein Geheimdienst an diesen SSL-Schlüssel kommt, kann er die Verbindung zumindest im Nachhinein entschlüsseln - unter Umständen auch live mithören.

 Es gibt aber auch bewährte und sichere Schlüssel-Systeme für SSL-Verbindungen. Das beginnt mit einem Schlüssel nach dem AES-Standard mit 256 Bit, der nicht von der Zertifizierungsstelle kommt, sondern vom Online-Shop-Betreiber verwaltet wird.

Am besten ist aber eine Verschlüsselung nach dem System mit perfect forward secrecy (PFS). Bei diesem System wir der Schlüssel für die Verbindung zwischen beiden Teilnehmern jeweils neu ausgehandelt, er geht aber niemals über die Leitung. Wie das funktioniert verrät zum Beispiel dieser Beitrag .

 An einer SSL-Verbindung nach PFS wird sich nach bisherigem Kenntnisstand auch die NSA sehr, sehr schwer tun. Allerdings wird PFS kaum genutzt. Von den großen Firmen hat nur Google PFS aktiviert und das auch nur auf einigen seiner Server. Einen aktuellen Überblick über PFS finden Sie in diesem englischsprachigen Beitrag .

  Test: Welche SSL-Verbindung nutze ich?

Ob Sie aktuell mit einer PFS-geschützten SSL-Verbindung surfen, kann übrigens nur Google Chrome anzeigen. Klicken Sie dafür auf das Schlüsselsymbol in der Adressleiste und wählen Sie das Register „Verbindung“. Dort wir die Verschlüsselungsmethode angezeigt.

  Ihr Schutz gegen NSA & Co.

Es bleibt die Frage, ob man sich gegen die Überwachung durch NSA & Co. schützen kann? Die Antwort lautet wohl: Wenn man gute Verschlüsselungsmethoden nutzt, dann kann man es der NSA zumindest verdammt schwer machen.

Wenn Sie Ihre Daten so gut wie irgend möglich durch Verschlüsselung schützen wollen, dann haben wir hier den richtigen Beitrag für Sie.

 

 

0 Kommentare zu diesem Artikel
1823162