Letzte Woche hat, zumindest bei den interessierten Kreisen, die Cryptoleaks-Angelegenheit für Aufruhr gesorgt. Es ist durch ein Geheimdienstpapier glaubhaft bestätigt worden, was manche schon seit Jahrzehnten vermutet haben: Die Verschlüsselungsmaschinen Schweizer Bauart hatten eine Hintertür. In der Operation Rubikon haben der deutsche BND und die US-amerikanische CIA die Crypto AG aus dem Schweizer Ort Steinhausen bei Zug verdeckt übernommen und die Mechanismen der Maschine manipuliert. Daraufhin konnte die vermeintlich geheime Kommunikation von mehr als hundert Staaten während Jahrzehnten abgehört werden.
Das war ein grosser Coup; gemäss einem Experten, der sowohl beim ZDF als auch beim Schweizer Fernsehen SRF zu Wort gekommen ist, die grösste Geheimdienstaktion überhaupt. Es ist mit solchen Superlativen natürlich so eine Sache – aber dass die USA und Deutschland mehr als Hundert Länder dazu bringen, sich abhören zu lassen und dafür auch noch Milliarden zu bezahlen, ist ein dickes Stück.
Für mich bleibt eine Frage: Was sind die Lehren, die man für die Gegenwart ziehen kann?
Heute gibt es die mechanisch-analogen Maschinen zwar noch, und Botschaften, Militärs und andere Organisationen setzen sie noch ein. Doch davon abgesehen, findet Kommunikation heute digital statt und das gilt auch für die Verschlüsselung. Doch zwei Grundsätze bleiben bestehen. Erstens: Verschlüsselung funktioniert, egal ob digital oder analog. Kronzeuge dafür ist Edward Snowden:
Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it.
Zweitens: Geheimdienstler und viele Politiker lieben solche Hintertüren. Das war schon vor Cryptoleaks klar. Doch die Enthüllungen lassen keinen Zweifel daran, wie viel es für klandestin operierende Organisationen zu gewinnen gibt und wie gross die Versuchung ist, sichere Verschlüsselungsmechanismen zu brechen. Es gibt zwar nicht den geringsten Zweifel daran, dass das ein Spiel mit dem Feuer ist: Hätte jemals ein feindlicher Mitspieler die Hintertür in den Verschlüsselungsmaschinen entdeckt, hätten die Folgen dramatisch sein können – zumal CIA und BND nicht auch die eigenen Partner in der Nato mit den korrumpierten Maschinen beliefert haben.
Weil Verschlüsselung heute nicht durch teure Hardware abgewickelt wird, ergibt sich erstens ein riesiger Vorteil:
Verschlüsselung ist von einem schwierigen, teuren Spezialfall zur Normalität geworden. Die allermeisten Websites kommunizieren abgesichert, ebenso jeder vernünftige Online-Shop und alle brauchbaren Kommunikations-Apps. Es gibt Standard-Softwarepakete, die jedermann in seine Produkte einbauen kann. Das erhöht den Sicherheitsstandard massiv für jedermann, der solche Produkte verwenden will. Da es quelloffene Verschlüsselungsbibliotheken gibt, kann auch jedermann mit der entsprechenden Expertise nach Hintertüren suchen und sich davon überzeugen, dass keine vorhanden ist.
Das ist in der Theorie ein riesiger Vorteil, der eine Wiederholung der Cryptoleaks-Affäre unmöglich macht. In der Praxis ist die Sache doch nicht so einfach: Verschlüsselung ist und bleibt eine komplexe Angelegenheit. Nur wenige Experten sind in der Lage, Fehler zu finden. Das führt dazu, dass Lücken unter Umständen jahrzehntelang unentdeckt bleiben. Das zeigte 2018 die Lücke in OpenSSH.
Ein Vor- und gleichzeitig ein Nachteil ist, dass die Verschlüsselungsalgorithmen nicht mehr in Hardware implementiert. In der Software kann eine Hintertür durch ein simples Update eingebaut oder entfernt werden. Ehemals sichere Produkte lassen sich unterwandern und die Absicherung ist eine kontinuierliche Herausforderung. Gleichzeitig haben Geheimdienste die Möglichkeit, Hintertüren nach Bedarf einzubauen und zur Spurenverwischung auch wieder zu entfernen.
Fazit: Ein Staat hat heute die Möglichkeit, seine Bedürfnisse in Sachen sicherer Kommunikation selbst zu gewährleisten; eine Abhängigkeit von einer einzelnen Firma, die wie die Crypto AG unterwandert werden kann, gibt es nicht mehr. Für uns Nutzer ist das ungleich schwieriger: Wir haben nicht die Möglichkeit, eben mal schnell ein Sicherheits-Audit unserer Lieblings-Kommunikations-App zu veranlassen und das nach einem .1-Update zu wiederholen. Aber die Gefahr für unsere Datensicherheit liegt weniger in den Sicherheitslücken als vielmehr in der bewussten und gewollten Kooperation der privaten Unternehmen mit Geheimdiensten und Ermittlungsbehörden. Denn so weitreichend die Affäre um die Crypto AG auch ist – für uns Privatanwender ist sie irrelevant. Ganz anders als die Überwachung, die Snowden aufgedeckt hat.
Beitragsbild: Alex Motoc, Unsplash-Lizenz