Sicher ist nicht mehr sicher: Die US-amerikanischen und britischen Geheimdienste arbeiten mit Hochdruck an der Dechiffrierung von Daten, auf deren Verschlüsselung sich Millionen Internetnutzer verlassen. Das zeigen neue Geheimdokumente.
Washington - Der US-Geheimdienst NSA kann offenbar einen Großteil der verschlüsselten Daten im Internet mitlesen - auch zum Beispiel solche, die über SSL verschlüsselt sind.
Die Behörde habe mit Supercomputern, technischen Tricks, Gerichtsbeschlüssen und einiger Überzeugungsarbeit bei IT-Unternehmen die Mehrheit der bekannten Verschlüsselungssysteme geknackt oder umgangen, berichten die "New York Times", der "Guardian" und das Online-Portal "ProPublica" am Donnerstag. Die Dokumente sind Teil der Enthüllungen des Whistleblowers Edward Snowden.
Das milliardenteure NSA-Programm mit dem Codenamen Bullrun gehört den Dokumenten zufolge zu den größten Geheimnissen der Behörde. Nur sehr wenige Mitarbeiter hätten Zugang zu den Top-Secret-Informationen - und nur die Partnerbehörden in Großbritannien, Kanada, Australien und Neuseeland wüssten davon. 254,9 Millionen US-Dollar wurden in diesem Jahr für das Projekt ausgegeben, das damit das "Prism"-Programm mit 20 Millionen jährlich weit in den Schatten stellt. Seit dem Jahr 2000 wurden insgesamt Milliarden von US-Dollar für das Entschlüsselungsprojekt ausgegeben.
Auch der britische Geheimdienst GCHQ sei beim Codeknacken sehr erfolgreich. Seine Analysten hätten es zuletzt besonders auf Internetriesen wie Google, Yahoo, Facebook und Microsoft abgesehen.
SSL soll geknackt sein
Wie viel genau die beiden Geheimdienste vom verschlüsselten Verkehr im Netz tatsächlich mitlesen können, ist nicht ganz klar. Doch die Berichte lassen erahnen, dass ein Großteil der Kommunikation und Datenübertragung im Internet nicht sicher ist, zumindest, was kommerzielle Dienste angeht. Auch in Fällen, in denen Firmen gegenüber ihren Kunden eine Transaktion als sicher bezeichnen, könnte diese löchrig sein - ob nun E-Mails, Chats, Online-Banking, Transaktionen oder Daten, die mit einer vermeintlich "sicheren" Verbindung von A nach B übermittelt werden. Der Geheimdienst verfüge zum Beispiel über Möglichkeiten, um viel genutzte Online-Protokolle wie HTTPS, Voice-over-IP und SSL zu knacken. Steht also oben in der Adresszeile des Browsers das Kürzel HTTPS - beispielsweise beim Eingeben eines Passwortes - ist das, anders als bisher weitgehend angenommen, kein Garant für eine sichere Datenübermittlung.
Laut den Papieren kommen die Spionagebehörden auf ganz unterschiedlichen Wegen an die geknackten Daten, auch unter aktiver Mithilfe vieler Firmen selbst, die allerdings namentlich nicht genannt werden. Die NSA habe sogar sicherstellen können, dass verbreitete Verschlüsselungssysteme bestimmte Schwächen aufweisen, die sich von Geheimdiensten ausnutzen lassen.
Die NSA will demnach nicht nur dekodieren können, sondern die Verschlüsselungsstandards selbst mitbestimmen. Die Dokumente zeigen, dass das Commercial Solutions Center der NSA - vordergründig die Stelle, durch die Technologie-Unternehmen ihre Produkte bewerten lassen und zukünftigen Käufern aus der Regierung vorstellen können - eine weitere heimliche Rolle spielt. Es wird von der NSA genutzt, um zusammen mit Partnern aus der Industrie Schwachstellen in Sicherheitsprodukte einzubauen. Laut Sicherheitsexperten ist dies vor allem deshalb so außerordentlich bedenklich, da eingebaute Hintertüren nicht nur den Geheimdiensten offenstehen.
Geheimdienstbeamte haben nach Angaben von "Guardian", "New York Times" und "ProPublica" die Medien gebeten, ihre Artikel nicht zu veröffentlichen. Dies könne nämlich Verdächtige veranlassen, sich auf neue Verschlüsselungs- und Kommuniktationstechnologie zu verlegen, die schwerer zu entziffern sind. Daraufhin seien ganz bestimmte Fakten aus den Texten entfernt worden. Man habe dann aber die Artikel wegen der Wichtigkeit einer Debatte über solche weitreichenden Regierungsprojekte veröffentlicht.