Startseite > Smarter World > Smart Energy > Geheimdienste Amerikas und Englands knacken https, VOIP, SSL, TLS und VPN

Vulnerabilities in Protokolle, Standards und Software eingeschleust

Geheimdienste Amerikas und Englands knacken https, VOIP, SSL, TLS und VPN

6. September 2013, 17:20 Uhr | Hagen Lang

Laut der britischen Tageszeitung Guardian und der New York Times belegen neue Dokumente des NSA-Whistleblowers Edward Snowden, dass US- und britische Geheimdienste die Verschlüsselungsprotokolle und -mechanismen https, SSL, TLS, VOIP und VPN geknackt haben.

▶ Diesen Artikel anhören

Im geheimen Programm »Bullrun« haben die Signal Intelligence Geheimdienste National Security Agency (NSA) aus den USA und ihr britischer Partner Government Communications Headquarters (GCHQ) die Sicherheit von https, VOIP, Virtual Private Networks, Secure Socket Layer und der Transport Layer Security soweit kompromittiert, dass sie auf solcherart »geschützte« Daten jederzeit Zugang haben.

Besonders pikant ist, dass die NSA mit Erfolg Einfluss auf die internationalen Standardisierungs-Institutionen, -Normen und –Verfahren für Verschlüsselungen und die Internet-Sicherheit nahm, um Hintertüren für das Knacken von Verschlüsselungen einzuschleusen.

»Indem die NSA in einer kurzsichtigen Anstrengung zum Abhören die Online-Sicherheit bewusst unterminiert, untergräbt sie das Grundgefüge des Internets«, sagte Verschlüsselungsspezialist Bruce Schneier vom Bergman Center for Internet and Security der Harvard Universität dem Guardian. Zu den wenigen Mechanismen die noch als sicher gelten, gehört (bei der Verwendung potenter Passwörter) die Dateiverschlüsselung durch Public-Key-Verfahren wie mit »Pretty Good Privacy«, sowie das »Onion Routing«, wie es durch das Anonymisierungs-Netzwerk »Tor« realisiert wird.

Unter anderem betrieb die NSA seit 10 Jahren ein Programm gegen Verschlüsselungstechnologien, das 2010 einen »Durchbruch« in der Massenentschlüsselung von Daten erreichte und gibt jährlich 250 Millionen Dollar für die heimliche Beeinflussung des »Produktdesigns von Technologiefirmen« aus. Das Programm »stellt US und ausländische IT-Industrien aktiv in Dienst, um ihre kommerziellen Produkt-Designs verdeckt zu beeinflussen und/oder offen zu nutzen« zitiert der Guardian NSA-Unterlagen.

Das »Commercial Solutions Center« der NSA hat gemäß der Dokumente neben seiner offiziellen Rolle zur Sicherheitsüberprüfung von Technologieprodukten die geheime Aufgabe »sich sensitive, kooperative Beziehungen mit spezifischen Industriepartnern zu Nutze zu machen«, um »Schwachstellen« in die Sicherheitsprodukte einzubauen. In den Dokumenten wird gewarnt, diese Information müsse als »mindestens top secret« behandelt werden.

Den Zeitungen zugespielte Dokumente belegen erstmals, dass die NSA 2006 heimlich ihre eigenen Entwürfe für Sicherheitsstandards durch das US National Institute of Standards and Technology (NIST) zur Absegnung für die weltweite Nutzung veröffentlichen ließ. Bezüglich dieser NIST-Entwürfe für Internet-Sicherheitsstandards zitiert der Guardian ein Geheimdokument: »Schließlich wurde die NSA der einzige Redaktor.«

Der britische Geheimdienst GCHQ warnt in einem Papier, jegliche Enthüllungen könnten bedeutende Konsequenzen haben, insbesondere die «Beschädigung industrieller Beziehungen.« Das ursprüngliche Ziel der britischen Datenspione, 30 von Providern zur Absicherung ihrer Netzwerke genutzte VPN-Typen zu knacken, wurde wohl mehr als erreicht. Für 2015 hofft GCHQ jetzt die Verschlüsselung von 15 Internet-Providern und 300 VPNs gehackt zu haben.

Weitere Spezialitäten des GCHQ sind der Einsatz von Großcomputern zum Brute-Force-Entschlüsseln von Passwörtern, Konzentration auf die großen vier Kommunikationsprovider Hotmail, Google, Yahoo und Facebook und ein »Human Intelligence Operations Team (HOT)«, das mit althergebrachter menschlicher Spionage »verdeckte Agenten in der globalen Telekommunikationsindustrie identifiziert, rekrutiert und steuert.«

Geheimdienstoffizielle baten den Guardian, die New York Times und die Organisation ProPublica die Informationen nicht zu veröffentlichen, da sie ausländische Ziele veranlassen könnten, neue Verschlüsselungs- und Kommunikationsformen zu wählen, die schwerer zu sammeln und zu hacken wären.

IKT- und IP-basierte Technologie-Leitbilder wie Smart Home und Smart Grid müssen sicherlich um eine neue »Security-Komponente« erweitert werden. Sonst bestimmt der Regierungs-Hacker, wann zu Hause das Licht aus geht.