Handelsblatt

MenüZurück
Wird geladen.

06.06.2014

19:11 Uhr

Snowden-Serie, Teil 5

Verschlüsselung gegen die dunklen Künste

VonChristof Kerkmann

Verschlüsselung ist der einzig wirksame Schutz gegen Schnüffler und Spione. Doch die meisten Programme sind kompliziert, manche sogar unsicher. Was Politik und Wirtschaft tun können – und wie Nutzer davon profitieren.

Zugang nur mit Passwort: Verschlüsselung schützt Daten vor neugierigen Augen. dpa

Zugang nur mit Passwort: Verschlüsselung schützt Daten vor neugierigen Augen.

DüsseldorfDas jüngste Ärgernis für den US-Geheimdienst NSA besteht nur aus ein paar Zeilen Programmiersprache. Der Suchmaschinen-Anbieter Google will mit dem kleinen Programm „End-to-End“ für mehr Vertraulichkeit im Internet sorgen: Die Erweiterung für den Browser Chrome erlaubt es, E-Mails mit ein paar Mausklicks zu verschlüsseln und so vor den Augen neugieriger Mitleser und den Datenmaschinen der Geheimdienste zu verbergen. Seit dieser Woche gibt es eine Testversion, die nun Experten auf Sicherheitslücken überprüfen sollen, wie das Unternehmen in seinem Blog schreibt.

Die Enthüllungen von Edward Snowden haben die Welt erschüttert. Sie zeigen: Die NSA und ihre Partner haben ein System der Überwachung aufgebaut, dem Nutzer kaum entgehen können. Was aber leise Hoffnung macht: Der frühere Spion, der den Apparat von innen kennt, hält es für möglich, sich zu schützen. Verschlüsselung sei die „Verteidigung gegen die dunklen Künste“ in der digitalen Welt, sagte er in Anlehnung an einen Kurs des Zauberlehrlings Harry Potter aus der beliebten Buchreihe. Das Beispiel „End-to-End“ zeigt, wie das gehen könnte – aber auch welche Tücken die Technologie hat.

Schutz auf dem ganzen Transportweg

Der Name des Google-Programmes sagt es: „End-to-End“ soll die E-Mail auf dem gesamten Transportweg sichern, vom einen bis zum anderen Ende. Dafür wird der Text mit einem kryptografischen Schlüssel gesichert, also unleserlich gemacht. Weder die NSA noch andere Schnüffler sollen ihn entziffern können. Das ist ein Grundprinzip der Verschlüsselung, ob es um private Nachrichten, eine Bestellung oder Kontonummern geht. Nicht alle beherzigen es: Beim Projekt „E-Mail made in Germany“ etwa sind die Nachrichten nur auf dem Transportweg verschlüsselt, nicht aber auf den Servern von Telekom, Web.de und Co.

Google will nun den Aufwand für die Verschlüsselung reduzieren: Eine Browser-Erweiterung ist mit wenigen Klicks installiert, auch die Codierung von E-Mails soll keinen großen Aufwand bereiten. Damit stößt das Unternehmen in eine Lücke. Eine Ende-zu-Ende-Verschlüsselung bieten die großen deutschen Internetunternehmen nicht an. Andere Lösungen wie das offene Programme PGP sind kompliziert: Wer sie verwenden will, benötige „ein erhebliches Know-how“ und müsse einen hohen Aufwand betreiben, schreibt der Google-Manager Stephan Somogyi im Firmenblog. Viele Nutzer sparen sich die Arbeit (wie es geht, lesen Sie hier).

Verschlüsselung

Unsicheres Internet

Daten, die übers Internet übertragen werden, sind per se ungeschützt. Auf dem Weg durchs Netz können sie gelesen und verändert werden. Das lässt sich verhindern, indem man die elektronische Kommunikation signiert und verschlüsselt.

Algorithmus plus Software

Für die Verschlüsselung im Internet sind zwei Elemente notwendig: ein kryptografischer Algorithmus, der die Informationen verschlüsselt, also unleserlich macht; und ein Programm, dass dieses Verfahren umsetzt, etwa in E-Mails. Beides muss sicher sein. Sonst ist es wie bei einem Haus, das ein Sicherheitsschloss an der Tür hat, aber einen offenen Seiteneingang: Man kommt trotzdem rein.

Sicherheit ist relativ

Verschlüsselung bietet keine 100-prozentige Sicherheit. Erstens sind nicht alle Verschlüsselungsalgorithmen sicher – die NSA soll auf bestimmte Verfahren Einfluss genommen haben. Zweitens müssen die Programmierer die Verschlüsselungstechnik richtig anwenden. Und drittens muss der Rechner des Nutzers sauber sein. Wenn ein Schnüffler dort mitlauscht, bringt alle Verschlüsselung nichts.

Symmetrisch vs. asymmetrisch

Bei symmetrischen Verschlüsselungsverfahren benutzen beide Seiten den gleichen Schlüssel. Bei asymmetrischen Verfahren wie PGP hat dagegen jeder Nutzer ein Schlüsselpaar, das aus einem geheimen und einem öffentlichen Teil besteht. Der Vorteil: So können Nutzer einander Mails schreiben, ohne sich vorher auf einen Schlüssel einigen müssen. Und sie haben keine Probleme bei Austausch des geheimen Codes.

Von einem zum anderen Ende

Daten sollten auf allen Übertragungswegen gesichert werden – Experten sprechen von einer Ende-zu-Ende-Verschlüsselung. Das bedeutet, dass beispielsweise die E-Mails chiffriert auf dem Server des Anbieters liegen und erst auf dem Rechner des Nutzers dechiffriert werden.

DE-Mail hält Versprechen nicht

Auch die De-Mail wird als verschlüsselte Kommunikation beworben. Datenschützer kritisieren jedoch, dass die Nachrichten beim Dienstanbieter kurzzeitig entschlüsselt, auf Schadsoftware untersucht und dann wieder verschlüsselt werden. Bei sensiblen Inhalten wie Gesundheitsdaten müssten verantwortliche Stellen für eine Ende-zu-Ende-Verschlüsselung sorgen, forderte der Bundesdatenschutzbeauftragte Peter Schaar Ende 2011, als das De-Mail-Gesetz in Kraft trat.

Doch „End-to-End“ ist ein pures Google-Produkt, es erweitert nur den E-Mail-Dienst Gmail und funktioniert nur im Browser Chrome – beides stammt vom Internetkonzern. Daher bedarf es anderer Produkte, um breite Nutzergruppen zu schützen. Das Problem: „In der Hacker-Community werden Designer oft belächelt – das führt dazu, dass Open Source Software oft so aussieht, wie sie aussieht“, sagt der IT-Sicherheitsexperte Dirk Engling, der im Chaos Computer Club (CCC) aktiv und unter dem Hackernamen erdgeist bekannt ist.

Die Programmierer müssten Design als ein wichtiges Werkzeug begreifen, um Software unter die Nutzer zu bringen, sagt Engling. Dass es funktioniert, zeigen Smartphone-Apps wie Threema: Sie sind sicher und trotzdem bequem. „Es ist möglich, kryptografisch solide Software aufzubauen, ohne dass der Nutzer damit Ärger hat.“

Verschlüsselung bietet indes nur Schutz, wenn sie gut umgesetzt ist. Kriminelle und Geheimdienste können mit ihren dunklen Künsten durchaus Sicherungen aushebeln. Wie können sich Firmen schützen – und wie kann die Politik helfen?

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×