NSA und FBI fordern von Providern die Herausgabe von SSL-Schlüsseln

MarketingSicherheitSoziale Netzwerke
Der GCHQ hat offenbar Kunden und Technologien der deutschen Firmen Stellar, Cetel und IABG ausgespäht (Bild: Shutterstock/Brian A ).

US-Experten streiten darüber, ob diese Anfragen rechtmäßig sind. Große Firmen verweigern die Herausgabe der Schlüssel anscheinend erfolgreich. Kleinere Provider können sich dagegen nur schlecht gegen die Behörden zur Wehr setzen.

Der US-Geheimdienst NSA und die Bundespolizei FBI verlangen von Internetfirmen offenbar trotz zweifelhafter rechtlicher Voraussetzungen immer wieder die Herausgabe von SSL-Schlüsseln, mit denen diese ihre Serververbindungen und die Internetkommunikation ihrer Nutzer sichern. Das erfuhr News.com von einem Informanten, der auf solche Behördenanfragen reagieren musste. “Die Regierung verlangt definitiv SSL-Schlüssel von Providern”, sagte er. Er möchte allerdings nicht namentlich genannt werden.

verschlüsselung-schlüssel

Dem Informanten zufolge weigerten sich große Internetfirmen jedoch, da sie die Forderungen für gesetzeswidrig hielten. Anders sehe es vermutlich aber bei Firmen aus, die nicht über eine gut besetzte Rechtsabteilung verfügten und sich daher schlechter wehren können. “Ich glaube, die Regierung geht auf die Kleinen los”, sagte er. “Die Behörden sehen es einfach so, dass sie alles erzwingen können, was immer ihnen einfällt.”

Microsoft und Google wollten solche Behördenforderungen weder bestätigen noch dementieren, bestritten aber die Herausgabe ihrer geheimen SSL-Schlüssel. ” Nein, wir tun das nicht, und wir können uns das auch unter keinen Umständen vorstellen”, versicherte ein Microsoft-Sprecher. Ein Google-Sprecher beteuerte ebenfalls, sein Unternehmen habe nie Schlüssel übergeben und prüfe jede einzelne Behördenanfrage sorgfältig: “Wir sehen uns pedantisch die Einzelheiten an – und weisen Anforderungen oft zurück, wenn kein konkreter Verdacht gegeben scheint oder die Verfahrensweise nicht korrekt ist.”

Facebook erklärte, weder die Regierung der USA noch anderer Länder hätten Chiffrierschlüssel verlangt. “Wir haben keine herausgegeben, und wir würden uns aggressiv gegen ein solches Verlangen wehren”, sagte Sprecherin Sarah Feinberg. Apple, Yahoo, AOL, Verizon, AT&T, Time Warner Cable und Comcast wollten zu solchen Behördenforderungen keine Stellung nehmen.

“Nach unserer Auffassung ist uns gesetzlich verboten, unseren SSL-Schlüssel preiszugeben”, sagte Richard Lovejoy, Manager der Opera-Software-Tochter, die FastMail betreibt. “Sollte das von uns verlangt werden, würden wir uns aus rechtlichen wie auch aus moralischen Gründen weigern.” Den SSL-Schlüssel herauszugeben, würde ihm zufolge “bedeuten, das Abhören all unserer Nutzer zuzulassen, was eindeutig illegal ist”.

Zunehmende SSL-Verschlüsselung macht Geheimdiensten Sorgen

“Die Anforderungen kommen deshalb, weil das Internet sich rasch zur Verschlüsselung hin entwickelt”, erklärte ein früherer Mitarbeiter des US-Justizministeriums dazu. “SSL hat sich tatsächlich auf die Möglichkeiten der amerikanischen Ermittlungsbehörden ausgewirkt. Deshalb gehen sie jetzt zum Application-Layer-Provider.” Ein FBI-Sprecher lehnte eine Stellungnahme ab und erklärte lediglich, seine Behörde erörtere “keine spezifischen Strategien, Techniken und Werkzeuge, die wir vielleicht einsetzen”.

Das verschlüsselte SSL/TLS-Protokoll schützt inzwischen viele Bereiche der Internetkommunikation vor unerwünschtem Mitlesen und Überwachung. 2010 aktivierte Google HTTPS standardmäßig für Gmail und die verschlüsselte Suche. Kurz darauf folgte Microsofts Hotmail, und 2012 führte Facebook die standardmäßige Verschlüsselung ein. Als Option bietet sie derzeit Yahoo an.

US-Rechtsexperten sind sich uneinig darüber, ob das Drängen auf die Herausgabe des SSL-Schlüssels legal ist. “Ich weiß nicht, ob man dazu gezwungen werden kann oder nicht”, sagte etwa Jennifer Granick von der Stanford University auf Anfrage von News.com. Sie warnt aber eindringlich davor: “Eines der größten Probleme ist, dass damit nicht nur die Kommunikation eines bestimmten Überwachungsziels zugänglich wird, sondern die gesamte Kommunikation, die durch ein System geht. Das ist außerordentlich gefährlich.”

[mit Material von Bernd Kling, ZDNet.de]

Umfrage

Welche Konsequenzen ziehen Sie persönlich aus dem PRISM-Skandal?

  • Keine, fühle mich dadurch nicht betroffen. (6%, 32 Stimme(n))
  • Ich glaube nicht, dass es etwas nützt, sein Online-Verhalten zu ändern. (16%, 88 Stimme(n))
  • Ich werde mir künftig genauer überlegen, welche Online-Dienste ich nutze. (29%, 160 Stimme(n))
  • Ich habe mein Nutzungsverhalten bei Online-Diensten bereits geändert. (49%, 264 Stimme(n))

Gesamt: 544

Loading ... Loading ...
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen