Editorial: Verschlüsseln oder nicht?
Verschlüsselung hilft mehrfach
Bild: teltarif.de
NSA-Enthüller und Snowden-Vertrauter Glenn Greenwald hat anlässlich
der Vorstellung seines Buches erklärt,
dass Nutzer, die starke Verschlüsselung verwenden, zwar
eine große Mauer zwischen sich und die NSA bauen würden, sich aber
dadurch auch verdächtig machen würden, und so erst recht ins
Fadenkreuz des Geheimdienstes gerate. Letzteres dürfte tatsächlich
einer der Gründe sein, warum viele Nutzer recht lethargisch auf die
NSA-Enthüllungen reagieren und z.B. weiterhin unsichere Messenger
und unverschlüsselte E-Mail verwenden. Wer intensiv Facebook und
Twitter nutzt, fürchtet sich möglicherweise schon deswegen nicht vor
dem Abfangen der privaten Kommunikation, weil sich darin eh kaum mehr
Informationen befinden, als schon öffentlich im Netz abrufbar sind.
Andererseits gilt: Je mehr Privatpersonen und Firmen ihre Internet-Kommunikation standardmäßig verschlüsseln, desto schwerer haben es die Geheimdienste, die für sie besonders interessanten Geheimnisträger zu identifizieren. Einer verschlüsselten Nachricht sieht man ja nicht an, ob sie belanglosen oder für die Geheimdienste interessanten Inhalt hat. Das gilt übrigens auch für die jeweiligen Absender einer Nachricht: Ein pharmazeutischer Großhändler mag die Information, wie viel Schmerz- oder Beruhigungsmittel in welche Regionen geliefert werden, für wenig schutzwürdig halten. Für einen Geheimdienst, der eine versteckte Operation zur Destabilisierung einer verfeindeten Nation vorbereitet, mag sie dennoch besonders wichtig sein. Auch das ist ein Argument, die Kommunikation standardmäßig zu verschlüsseln.
Kann die NSA trotzdem mithören?
Verschlüsselung hilft mehrfach
Bild: teltarif.de
Der Heartbleed-Fehler hat jüngst
wieder vor Augen geführt,
wie verwundbar die Verschlüsselungs-Infrastruktur ist. Den wichtigsten
Krypto-Algorithmen, RSA und AES, vertrauen Milliarden von Menschen.
Beide sind aber jeweils von einigen wenigen Wissenschaftlern entworfen
worden. Auf der Website der wichtigsten Krypto-Bibliothek, openssl,
werden nicht einmal ein Dutzend aktive Software-Autoren aufgeführt,
und selbst von denen arbeiten die meisten wahrscheinlich nur nebenher
an dem Projekt mit. Diesen stehen hunderte, wenn nicht gar tausende gut
ausgebildete und sehr gut mit Ressourcen (z.B. Supercomputern)
ausgestattete Kryptologen und Programmierer bei der NSA gegenüber.
Und es reicht, dass die NSA einen Fehler vom Kaliber des
Heartbleed-Bugs findet, um große Teile der Internet-Sicherheit
auszuhebeln!
Ist das jetzt ein Grund, das Verschlüsseln sein zu lassen, weil es eh nicht vor den Geheimdiensten schützt? Ich glaube nicht. Denn selbst, wenn die NSA viele Codes knacken kann, hat sie damit einen zusätzlichen Aufwand im Vergleich zu von vornherein unverschlüsselter Kommunikation. Zudem erhöht die Verschlüsselung die Hemmschwelle für die NSA, die abgefangenen Informationen auch zu nutzen. Denn jedesmal, wenn die NSA eine von ihnen entschlüsselte Nachricht verwertet, besteht die Gefahr, dass publik wird, was die NSA kann, was meist dazu führen dürfte, dass die Schwächen in den Krypto-Algorithmen und/oder den Krypto-Bibliotheken geschlossen werden.
Mehr Verschlüsselung bedeutet somit auf jeden Fall mehr Sicherheit. Leider bedeutet mehr Verschlüsselung auch mehr Rechenaufwand für Server und Client, größere Programme und Apps, sowie mehr Fehlerquellen und mehr Datenübertragung. Die zusätzliche Sicherheit kommt also nicht ohne zusätzlichen Aufwand. Da ein erheblicher Teil des Aufwands nur einmalig entsteht, lohnt er sich meist. Zahlreiche Backbone-Betreiber melden bereits, dass der Anteil der verschlüsselten Kommunikation in den letzten Monaten gestiegen ist. Hoffen wir, dass er weiter wächst!