PRISM, Tempora & Co.: Wie sicher kann Surfen sein?

Spätestens seit den Enthüllungen von Whistleblower Edward Snowden über angezapfte Glasfaserkabel und gigantische Spähprogramme des amerikanischen und britischen Geheimdienstes stellt sich Unternehmen wie privaten Nutzern eine brennende Frage: Wie sicher kann Surfen im Internet eigentlich sein? In einer dreiteiligen Serie klären wir im ersten Teil grundsätzliche Zusammenhänge, widmen uns im kommenden Teil den konkreten Risiken und betrachten die Situation in anderen Ländern, um im letzten Teil konkrete Handlungsempfehlungen zu geben.

Private/Public-Key Verschlüsselungsverfahren und CA – was ist das eigentlich?

Um das Ausspionieren versendeter Daten zu verhindern, gibt es verschiedene kryptographische Verfahren: das symmetrische und das asymmetrische. Bei der symmetrischen Verschlüsselung werden die Daten mithilfe eines geheimen Schlüssels ver- bzw. entschlüsselt. Der Schlüssel muss dabei dem Sender und Empfänger bekannt sein und dazu vorher persönlich ausgetauscht werden. Von Vorteil ist dabei die relativ geringe benötigte Rechenleistung. Das Problem ist allerdings, dass es keine große Herausforderung ist, die Nachricht zu entschlüsseln, wenn der Private-Key von Dritten entdeckt oder abgehört wird. Deshalb setzen viele auf die sogenannte “Public-Key-Infrastruktur” (PKI).
Diese asymmetrische Verschlüsselung basiert auf der Verwendung eines zusammengehörenden Schlüsselpaares, wobei ein Schlüssel zur Ver- und einer zur Entschlüsselung genutzt wird. Beim Public-Key-Verfahren wird nun einer der Schlüssel veröffentlicht und kann von jedem Sender dazu genutzt werden, eine Nachricht an den Empfänger zu verschlüsseln. Nur der Empfänger, der im Besitz des zweiten Schlüssels (Private-Key) ist, kann die Nachricht entschlüsseln.
Die asymmetrische Verschlüsselung kann auch zur digitalen Authentifizierung von Einzelpersonen und Firmen genutzt werden. Dazu gibt eine Zertifizierungsstelle (Certificate Authority, CA) digitale Zertifikate heraus und beglaubigt diese. Ein solches Zertifikat integriert den Public-Key oder Informationen über diesen. Eine Registrierungsstelle (Registration Authority, RA) nimmt für die CA Prüfungen vor, bevor das Zertifikat zum Antragsteller gelangt. Ein (oder mehrere) Verzeichnungsdienst(e) bewahren die Zertifikate mit den Public-Keys auf und das Zertifikat-Management-System verwaltet die Zertifikate.

PRISM & Tempora – worum geht es?

PRISM ist ein Programm des amerikanischen Geheimdienstes NSA, Tempora eine britische Geheimdienstoperation des GCHQ. Beide dienen – kurz gesagt – der Überwachung des weltweiten Internet- und Telekommunikationsdatenverkehrs. Der US-Provider AT&T bildet einen der relevantesten Knotenpunkte bezüglich des globalen Internetverkehrs und stellte der NSA in hauseigenen Gebäuden einen Raum zur Verfügung, in dem es dem Geheimdienst möglich war, sich ins Netz einzuklinken. So wurden die Daten aus 1,7 Milliarden E-Mails und Telefonanrufen täglich gesammelt. Der Geheimdienst-Experte Erich Schmidt-Eenboom sieht als Ziel der NSA die Totalkontrolle der Telekommunikation weltweit. Dadurch sollen der Landesregierung Informationen über Politik, Wirtschaft und Terrorismus bereitgestellt werden, so die offizielle Erklärung. Deutschlands Datenschutzbeauftragter Peter Schaar sieht es kritisch, dass hierzulande behauptet wird, die deutsche Regierung sei auf Daten aus PRISM angewiesen, obwohl solcherart Abhörungen nach unserer Verfassung unzulässig wären. Die Bundesregierung hingegen streitet das Wissen um die Abhörung ab – man habe das Wissen um PRISM und Tempora nur aus Presseberichten (Quelle: Frontal21).

Abhörskandale – ein amerikanisches Problem?

Europaweit wollen die Abhörskandale nun diskutiert werden – in Brüssel verhandelt man seit einigem Monaten über die EU-Datenschutzreform. Leider ist die Annahme naiv, eben diese Datenschutzgrundverordnung könne Spähprogrammen wie PRISM oder Tempora Einhalt gebieten. Werden Geheimdiensttätigkeiten legitimiert, geschieht das immer auf Basis des jeweils nationalen Rechts. Denn es ist zwangsläufig notwendig, sich über rechtliche Beschränkungen anderer Staaten hinwegzusetzen, wenn eben diese und deren Bürger ausspioniert werden sollen. US-Dienste interessiert es also kaum, wenn die EU oder auch nur ein europäischer Staat entsprechende Richtlinien erlässt. Selbstredend gilt das umgekehrt genauso. Nehmen wir das inländische Beispiel, den Bundesnachrichtendienst (BND): Es gibt keine nennenswerten Hürden, der BND hat recht freie Hand. Ausführlich erklärt das ein Beitrag auf cr-online.de. Weiter plant der BND laut Frontal21, 100 Millionen Euro in ein eigenes Abhörprogramm á la PRISM zu investieren.

Nur eines kann letztlich gegen das Abhören helfen: Das Verantwortungsbewusstsein jedes einzelnen und der Politik gegenüber seinen Bürgern. Da sich zweiteres aufgrund nationaler Rechtslagen als schwierig gestaltet, ist die Verschlüsselung mithilfe von europäischen Zertifizierungsstellen, die nach geltenden EU-Bestimmungen und -Richtlinien agieren, für den Verbraucher selbst das effizienteste Mittel, der Überwachung Einhalt zu gebieten.