Sicherheit

Ende des Vertrauensvorschusses

Was war das für ein Schock: Die ausländischen Geheimdienste greifen Informationen direkt an den Kabeln ab, werten sie aus und speichern verschlüsselte Nachrichten so lange bis sie in der Lage sind diese zu entschlüsseln. Jeden Tag lesen sich die Artikel renommierter Zeitungen wie die Inhalte von Verschwörungswebseiten. Welchen Standpunkt auch immer man für sich persönlich in Anspruch nimmt, ich denke eine Sache ist klar: Jeder muss etwas tun um seine Privatsphäre zu schützen.

Unverschlüsselte Kommunikation vermeiden

Unverschlüsselt sollte nun gar nichts mehr durch das Netz gehen. Ich denke es ist klar geworden, die Emails werden überwacht, analysiert und ggfs. sogar gespeichert, gedruckt – vielleicht sogar in Berichtsakten abgelegt. Und das alles nur weil ich vom „Bombenwetter“ oder einer „Hochzeit“ geschrieben habe? Das ist komplett unangemessen, aber man kann sich ja wehren:

Für Windows gibt es die Verschlüsselungssoftware Gpg4win, für den Mac die GPGTools. Die Softwarepakete sind schnell installiert, die Beschreibungen findet man auf deren Webseiten. Sie integrieren sich in die meisten Emailprogramme und ein Schlüssel ebenfalls schnell erstellt, zumeist bereits während der Installation.

SSL und S/MIME Zertifikate

Eine ganz üble Geschichte: Die amerikanischen Dienste verlangen die Herausgabe der gemeinen Schlüssel der amerikanischen Zertifikatsanbieter. Mit dieser Forderung und der aktuellen amerikanischen Gesetzeslage (Stichwort: Anti-Terror-Gesetz) sind SSL und S/MIME Zertifikate grundsätzlich kompromittiert. Persönlich gehe ich davon dass die geheimen Schlüssel der Zertifikate bereits in Teilen seit spätestens 2008 den Behörden zugänglich sind.

Das bedeutet das die Kommunikation per Man-in-the-Middle-Angriff abgehört werden kann und das auch noch nahezu mit Leichtigkeit, an den Verteilerknoten des Internets sind die Behörden ja anscheinend bereits vertreten. Selbst wenn die verschlüsselte Kommunikation mit einem Web- oder Mailserver nicht direkt abgehört werden kann, so wird sie doch zumindest aufgezeichnet, ganz nach dem Motto „Verschlüsselt ist verdächtig“.

Für Serverbetreiber empfiehlt es sich ab sofort zumindest (Perfect) Forward Secrecy zu unterstützen, einen Artikel zum Einstieg in das Thema stellt Heise bereit mit vielen nützlichen Links.

SSL Zertifikate kann man immerhin aus anderen Ländern erwerben. Meine eigene Wahl fällt auf StartSSL (aus Israel), von Dauer kann das aber auch nicht sein. Trau, schau, wem? Eine Alternative scheint mir ein Zertifikat der Deutschen Telekom zu sein denn selbst ein Zertifikat der Deutschen Post stammt von dem (amerikanischen) Anbieter Comodo – na Danke. Die Bundesnetzagentur liefert ein Verzeichnis von in Deutschland akkreditierten Zertifizierungsstellen.

Kompromittierte Dienste und Dienstleister

Nach der aktuellen Nachrichtenlage kann man getrost jedes amerikanische und jedes englische Kommunikations- oder IT Unternehmen als nicht-vertrauenswürdig einstufen, alleine dadurch das Programme wie PRISM und Tempora ans Licht gekommen sind. Wer in diesen Tagen SSL Kommunikation vertraut, Daten in der Cloud eines amerikanischen oder englischen Unternehmens speichert oder Emails im Klartext versendet dem ist nicht zu helfen.

Der Vertrauensvorschuss in ausländische IT Dienstleistungen der notwendig war um die komfortablen Angebote zu nutzen ist – zumindest für mich – am Ende. Ich empfehle auch allen Bekannten, Verwandten, Freunden und natürlich der Familie ihr Kommunikationsverhalten nochmals zu überdenken und ich wünsche mir für die Zukunft der deutschen IT mehr eigene vertrauenswürdige und kostengünstige Zertifizierungsstellen, einen starken Gegenpol zu den bekannten Suchmaschinen (was macht eigentlich MetaGer?) und vor allem neue, einfach zu bedienende und leistungsfähige Verschlüsselungslösungen.

Die Frage ist nicht, ob du paranoid bist, die Frage ist: Bist du paranoid genug!?!“ (aus Strange Days)