Während viele derzeit zur IFA schauen und den dort vorgestellten neuen Gadgets, möchte man sich wegen der neuen Veröffentlichungen aus den Snowden-Dokumenten das Frühstück ein zweites Mal durch den Kopf gehen lassen. „Bullrun“ nennt sich nach diesen Informationen ein NSA-Programm, mit dem aktiv gegen Verschlüsselung im Netz gekämpft wird – und die Partner aus Großbritannien machen bei diesem Kampf wohl wieder fleissig mit.
Das Ziel der NSA und ihrer Partnerdienste ist ganz offensichtlich eine Totalüberwachung des gesamten Internets – und dafür ist denen jedes Mittel Recht. Aber überraschend kommt das alles ja dann auch wieder nicht, entsprechende Befürchtungen gab es schon seit Jahren, wurden aber regelmäßig in das Reich der Verschwörungstheorien abgeschoben. Und auch mir erschien es eher unwahrscheinlich, dass die NSA oder sonst ein Geheimdienst aktiv dafür sorgen würde, dass Schwachstellen in Sicherheitsprodukten eingebaute würden. Schließlich könnten ja auch andere diese Schwachstellen finden. Aber sie tun es.
Die NSA versucht nicht nur mit massivem Ressourcen-Einsatz jede Art der Verschlüsselung zu knacken, die NSA arbeitet auch aktiv am Einbau von Sicherheitslücken in Produkten und Protokollen – zusammen mit den Herstellern. Dabei spielt es keine Rolle, ob die beteiligten Unternehmen hier freiwillig mitarbeiten oder nicht, es gefährdet uns alle. Niemand kann so naiv sein und glauben, dass eingebaute Hintertüren nicht auch von anderen gefunden würden. Gerade nicht die Damen und Herren von den Geheimdiensten.
Es ist ein Ding, wenn Geheimdienste Verschlüsselungen mit Ressourcen bewerfen, um sie zu knacken, das erwartet man von ihnen, das ist ihr Job und war es auch immer. Klar sind das heute mehr Ressourcen, mehr Geld für mehr Supercomputer und alles. Das muss einem nicht gefallen, aber überraschen wird das keinen. Wenn ein Geheimdienst, dessen Aufgabe es mal war mindestens die Bevölkerung des eigenen Landes vor Gefahren wie Terrorismus zu schützen anfängt und dafür sorgt, dass Geräte, Software und Protokolle absichtlich geschwächt und unsicher werden und Hintertüren eingebaut werden, dann arbeitet dieser Dienst ganz offensichtlich und massiv gegen den eigenen Auftrag und die eigene Bevölkerung!
Spätestens jetzt – wenn nicht schon früher, es sind ja einige Lücken bekannt geworden – müssen wir davon ausgehen, dass SSL geknackt ist. Sei es durch die Herausgabe von Schlüsseln an die Geheimdienste oder durch absichtlich eingebaute Hintertüren. Wir müssen davon ausgehen, dass jede SSL-Verbindung abgehört werden kann und zwar eben nicht nur durch die NSA, BND, GCHQ und wie sie alle heißen, sondern auch durch ganz gewöhnliche Kriminelle, ohne einen Staat und dickes Budget im Rücken (wer in diesen Satz jetzt hineininterpretieren möchte, dass meiner Meinung nach Geheimdienstmitarbeiter ebenfalls – wenn auch keine gewöhnlichen – Kriminelle sind, der liegt damit richtig, sie sind es ja auch juristisch, zumindest in fast jedem anderen außer dem jeweiligen Heimatland). Jegliches Grundvertrauen, dass jeder von uns an irgendeiner Stelle irgendeinem Anbieter von Diensten und Produkten entgegen bringt ist spätestens jetzt ganz grundsätzlich in Frage gestellt.
Egal wie viel Geld da nun in welche Programme genau geflossen ist – das kann man beim Guardian und der New York Times nachlesen, auf deutsch auch bei Zeit online – Geheimdienste – die eigentlich für Sicherheit sorgen sollen – arbeiten aktiv daran, jedes bisschen Sicherheit im Netz zu zerstören, um aus dem Internet ihre allumfassende Überwachungsmaschine zu machen. Dabei werden sie – ob freiwillig oder nicht – von Unternehmen unterstützt, die sich nicht scheuen uns, ihren Kunden, zu erklären, wie sicher doch ihre Produkte und Dienste seien, obwohl sie eben erst eine NSA-Hintertür eingebaut haben, die jeder nutzen kann, der sie findet.
Mag man bei der Überwachung durch die Geheimdienste noch denken, dass die eigene Kommunikation ja harmlos sei und man ja nichts zu verbergen habe (womit im Allgemeinen illegale Aktivitäten gemeint sind), muss spätestens jetzt jedem klar sein, dass jeder etwas zu verbergen hat – vielleicht nicht vor den Geheimdiensten, aber vor anderen! Sei es der Zugang zur Bank, die nicht jugendfreien Video-Chats mit dem Lebenspartner, die eMails mit guten Freunden über persönliche Probleme… Alles das ist unsicher, theoretisch kann jeder mit dem richtigen Wissen, der nötigen Technik und der entsprechenden kriminellen Energie auch auf das alles zugreifen.
An vielen Stellen arbeiten Mitarbeiter der NSA ganz offen an den Standards des Internets mit, sie tragen Code zu Open Source Projekten bei – an diesen Stellen müssen diese Leute weg! Schmeisst sie raus aus Standarisierungsgremien, wo sie erkannt werden. Prüft jede Code-Zeile, die von einem NSA-Mitarbeiter in ein Open Source Projekt eingebracht wurde. Ach was, prüft jede einzelne Code-Zeile, egal von wem. Paranoia? Ja, vielleicht, aber nur weil man paranoid ist, bedeutet das nicht, dass SIE nicht trotzdem hinter einem her wären.
Wir haben doch nur zwei Möglichkeiten: Wir schmeissen die ganze moderne Technik weg, weg mit Handy, Computer, ec- und Kreditkarte, wir basteln uns Alu-Hüte, führen vertrauliche Gespräche nur noch im Badezimmer bei laufendem Wasser und lauter Musik oder wir tun unseren Teil, um den Aufruf von Bruce Schneider an seine Entwickler-Kollegen zu unterstützen:
This is not the internet the world needs, or the internet its creators envisioned. We need to take it back.
And by we, I mean the engineering community.
Yes, this is primarily a political problem, a policy matter that requires political intervention.
But this is also an engineering problem, and there are several things engineers can – and should – do.
Und wir alle, ob Entwickler oder Nutzer, können etwas tun: Setzt Eure Alu-Hüte auf, geht morgen zur Freiheit statt Angst in Berlin – die IFA kann auch mal einen Nachmittag ohne Euch klar kommen – besucht die Demos gegen diesen Überwachungswahn, die bundesweit stattfinden und geht verdammt noch mal wählen! Wählt die Parteien, die Euch glaubhaft versichern, dass sie alles versuchen werden, diese ganze Scheisse restlos aufzuklären, die Euch mindestens mal ein paar Ideen präsentieren können, was dagegen unternommen werden kann. Und egal wen Ihr wählt, gebt Eure Stimme nicht den Parteien, die alles nur unter den Teppich kehren wollen, die das Thema einfach für beendet erklären wollen.