Internet-Verschlüsselung von NSA geknackt: Trügerische Sicherheit

Zehn Tipps für sicheres Internet-Banking hat die Berliner Volksbank für ihre Kunden zusammengestellt. An zweiter Stelle ist zu lesen, dass man unbedingt darauf achten sollte, die Adresse www.berliner-volksbank.de möglichst selbst einzugeben und zu prüfen, dass die Kommunikation verschlüsselt über das SSL-Protokoll stattfindet. „Dies können Sie daran erkennen, dass die Adresse mit https:// beginnt“, heißt es. Doch genau dieser Schutz ist möglicherweise trügerisch, wie der ehemalige NSA-Mitarbeiter Edward Snowden in seiner jüngsten Enthüllung behauptet. Demnach stellt eine der wichtigsten Verschlüsselungstechniken im World Wide Web für den US-Geheimdienst NSA und den britischen Dienst GCHQ kein Hindernis mehr dar.

Online-Banking soll nicht von der NSA geknackt worden sein

Die fünf deutschen Bankenverbände wiegeln indes ab: Die deutschen Online-Banking-Systeme seien „nicht ,geknackt’“, teilten sie am Freitag in einer gemeinsamen Stellungnahme mit – und gestehen zugleich ein: „Sollte die NSA diese Technik tatsächlich geknackt haben, könnte sie demnach allenfalls Kontoinformationen abrufen, nicht aber etwa selbst Geld von dem Online-Konto abzweigen.“ Nicht nur die Kunden von Banken und Sparkassen müssen sich nun Gedanken darüber machen, ob sie weiterhin ihre Geldgeschäfte über möglicherweise unsichere Kanäle führen wollen.

Wenn die Angaben des Ex-NSA-Mitarbeiters zutreffen, ist möglicherweise ein Großteil des elektronischen Datenaustauschs der Wirtschaft durch die Geheimdienstaktivitäten bedroht. Snowden zufolge ist es den Diensten ebenfalls gelungen, Hintertüren zu den sogenannten Virtual Private Networks, kurz VPN, zu schaffen. Ein VPN ist eine in sich geschlossene Verbindung, die über das Internet hergestellt wird. Experten sprechen von einem Tunnel, durch den die Daten geschickt werden. VPN-Tunnel werden vorwiegend im kommerziellen Einsatz genutzt. So kann ein Unternehmen mit seiner Filiale über ein solches virtuelles Privatnetz in Verbindung stehen. Oder ein Außendienstmitarbeiter kann vertrauliche Daten komplett vom restlichen Internet abgekapselt an den Firmenserver schicken. Aber auch Zuliefer-Unternehmen in der Just-in-Time-Industrieproduktion sind über VPN-Netze mit ihren Auftraggebern verbunden. Die starke Verschlüsselung sorgt dafür, dass kein Konkurrent oder Kunde diesen Tunnel überwachen kann – zumindest galt dies bislang.

Bundesamt will erst prüfen, wie groß das Sicherheitsleck ist

Wie stark die Bedrohung tatsächlich ist, dazu gibt es von offizieller Seite derzeit keinen abschließenden Kommentar. Das Bundesamt für die Sicherheit in der Informationstechnik will erst prüfen, wie groß das Sicherheitsleck ist und wer über die Fähigkeiten verfügt, sich die Schwachstellen zunutze zu machen. Der Sicherheitsexperte des IT-Branchenverbandes Bitkom, Marc Fliehe, verweist darauf, dass nun nicht zwangsläufig sämtliche Verschlüsselungstechniken im Internet korrumpiert seien. Für solche Angriffe würden andere Ressourcen benötigt als bei einem Hackerangriff. „Das ist eine ganz andere Liga“, sagte Fliehe dem Tagesspiegel. Allerdings könne es nötig sein, dass Unternehmen ihre Sicherheitskonzepte überprüfen müssen, um die eingesetzten Techniken neu zu bewerten und auszutauschen. So gebe es durchaus Alternativen wie etwa das erweiterte Verschlüsselungssystem AES (Advanced Encryption Standard), um zum Beispiel die Tunnelverbindungen zwischen Firmen besser als derzeit zu schützen.

In Deutschland herrscht Technologierückstand

Anders sieht es bei der im Internet weit verbreiteten SSL-Technik aus, für die ad-hoc keine Alternativtechnik zur Verfügung steht. Fest steht jedoch auch: In Deutschland besteht ein erheblicher Technologierückstand bei IT-Sicherheitsprodukten. Die beste Sicherheitstechnik nutzt nichts, wenn Geheimdienste Druck auf die nationalen Unternehmen ausüben können, damit diese Hintertüren in ihre Produkte einbauen.