Gemeinhin Konsens der Sicherheitsexperten war bisher: Wer im Internet auf einige Details achten wollte, kann sich dort mit halbwegs gutem Gewissen bewegen. Doch ein gemeinsamer Bericht in der New York Times und im Guardian legt nun offen, dass die großen Geheimdienste, und dazu gehören natürlich die amerikanische NSA und der britische GCHQ, bereits längst alltägliche Sicherheitsprotokolle umgehen, unterminieren und / oder schlicht und ergreifend auch knacken.

Welches Interesse die Geheimdienste treibt, ist klar: Nicht nur offene Kommunikation soll einsehbar sein, sondern auch die verschlüsselte. Dazu startete die NSA das Projekt "Bullrun" und die britische GCHQ nennt sein Gegenstück "Edgehill". Beide Projekte sind den Informationen von Edward Snowden nach dazu ausgelegt, Sicherheitsmechanismen auszuhebeln. Das Budget beider Projekte ist weitaus größer, als in den bisher bekannt gewordenen Maßnahmen der Geheimdienste. 254,9 Millionen US-Dollar gibt die US-Regierung jährlich dafür aus, 10 Mal so viel wie für PRISM. Mehr als 30.000 Mitarbeiter beschäftigt alleine der amerikanische Geheimdienst in diesem Bereich.

Unterschiedliche Angriffsvektoren werden genutzt, um die Verschlüsselungen zu umgehen. So bricht die TAO (Tailored Access Operation) in Systeme ein, um die Kommunikation abzufangen, bevor sie überhaupt verschlüsselt wird. Betroffen sind davon vor allem Server, Router, Switches aber auch Endkunden-Hardware (also z.B. heimische Rechner). Viel Geld fließt offenbar auch für Zero-Day-Exploits, also bisher unbekannte Sicherheitslücken, die dann ausgenutzt werden. Das PPTP-Protokoll in VPNs gilt aufgrund diverser Sicherheitslücken schon längst als nicht mehr sicher - genutzt wird es dennoch.

Ist die Verschlüsselung als solche zu sicher, gehen die Geheimdienste offenbar andere Wege. Dazu werden notwendige Schlüssel entweder gestohlen oder es werden Hintertüren in Hard- und Software zur Verschlüsselung eingebaut. Diese sind natürlich nicht offensichtlich auf z.B. die NSA zurückzuführen, sondern als zufällige Sicherheitslücke getarnt. Eine noch so kleine Sicherheitslücke kann ein bombensicher wirkendes Verschlüsselungs-Konstrukt allerdings zum Einsturz bringen.

Die Frage ist dann nur noch: Arbeiten Entwickler von Hard- und Software mit den Geheimdiensten zusammen, um solche Hintertüren zu implementieren, oder sind die meisten Sicherheitslücken wirklich rein zufällig? Die Berichte der New York Times und des Guardian nennen keine konkreten Unternehmen, die Rede ist aber sehr wohl davon, dass vereinzelt eine Zusammenarbeit stattfindet.

Wie kann ich mich nun dagegen schützen und welche Maßnahmen können ergriffen werden?

Offenbar zielen die Geheimdienste im Speziellen auf Virtual Private Networks (VPN), Voice over IP und 4G-Netze. UMTS gilt bereits seit Jahren als geknackt, insofern sollte man sich gut überlegen, welche Kommunikation über die mobile Datenverbindung stattfindet. Für VPNs sollte nicht mehr das PPTP-Protokoll verwendet werden, sondern wenn möglich ein OpenVPN mit AES-256-CBC.

Es gilt sich die Verschlüsselung selbst genauer anzuschauen. Je offener diese protokolliert ist und nachvollzogen werden kann, desto geringer ist die Chance, dass ein Dritter sich in die Kommunikation mit einklinken oder diese später entschlüsseln kann. Snowden selbst sagt dazu: "Verschlüsselung funktioniert. Sauber implementierte, starke Verschlüsselung ist eines der wenigen Dinge, auf die man sich noch verlassen kann."