INTERNET. (hpd) Ich wurde vor einigen Tagen von der "IT security research group" der Leibniz Universität Hannover via E-Mail gebeten, an einer Befragung bezüglich Einsatz von X.509-Zertifikaten teilzunehmen. Dabei ist mir besonders eine Frage sauer aufgestoßen, die ein grundsätzliches Problem tangiert: Wem/welcher Institution können wir vertrauen?

Please rate the following statement, "Any SSL certificate will encrypt the connection. A trusted CA-signed certificate is not necessary for security."

Ein “trusted CA-signed certificate” ist ein digitales Zertifikat, welches von einer „vertrauenswürdigen Zertifizierungsstelle“ herausgegeben wurde. Offenbar wollen die Fragesteller von der Uni Internet-Service Anbieter zum Einsatz von „vertrauenswürdigen Zertifikaten“ motivieren. Wer das in ihren Augen nicht tut, legt nach deren Denken auf Sicherheit seiner Webseitenbenutzter keinen gesonderten Wert und will nur Geld sparen. Das erinnert mich fatal an Christen, die ihre jeweilige Kirche als „vertrauenswürdigen Zertifizierungsstelle“ für moralische Fragen ansehen. Zertifikat „christlich“, „Nächstenliebe“ und alles andere ist nicht vertrauenswürdig, bestenfalls dubios, da nicht von einer „vertrauenswürdigen Zertifizierungsstelle“ beglaubigt.

Um unsere hpd-Leser nicht mit technischen Details zu langweilen, nur soviel zum Thema X.509 Zertifikate. Sie sind die technische Basis der sicheren Kommunikation im Internet, sei es beim Online-Banking oder Einkäufen. Sie sichern neben der Verschlüsselung vor allem aber auch die Authentizität von Webserver. Damit soll sichergestellt werden, dass der Internetnutzer tatsächlich mit seiner Bank/Webshop und keiner betrügerischen Webseite verbunden ist. X.509 Zertifikate sind in eine hierarchische Struktur integriert und benötigen zwingend eine vertrauenswürdige Instanz als „Certificate Authority“.

Und hier sind wir beim eigentlichen Thema. Vertrauen – wer ist vertrauenswürdig im Cyberspace? Wem können wir als säkulare Internetnutzer vertrauen? Dies ist eine grundsätzliche Frage, die nicht primär technisch determiniert ist. Wo ist das relevant, wird sich der eine oder andere hpd-Leser fragen. Zum Beispiel in der Türkei. Dort hat vor einigen Monaten die  „vertrauenswürdige Zertifizierungsstelle“ TürkTrust es ermöglicht, dass unautorisierte X.509-Zertifikate für die Internet Domain „*.google.com“ ausgestellt werden konnten. Mit solchen Zertifikaten kann man türkische Google Nutzer mit einem „Man in the Middle“ Angriff abhören. Natürlich nur, wenn man an der richtigen Stelle sitzt. Daher lohnen sich solche Zertifikate eher für staatliche Stellen mit Zugriff auf die zentrale Internet-Infrastruktur eines Landes, als für gewöhnliche Internetkriminelle. Zufall? Verschwörungstheorie?

Lenin: „Vertrauen ist gut, Kontrolle ist besser“

Wir sind im Leben gezwungen, unterschiedlichen Menschen und Institutionen zu vertrauen. z.B. dem Chirurgen, der einen operiert, dem Babysitter, dem Lebenspartner. Dem Anlageberater bei der Bank? Dem Zahnarzt, der einem Privatpatienten eine zusätzliche Behandlung vorschlägt? Vertrauen kann man einer Person/Institution im realen Leben wie auch im Cyberspace nur für einen eingegrenzten Bereich, in dem es keine signifikanten Interessenskonflikte gibt. Der Anlageberater wird letztendlich immer die Interessen seines Arbeitgebers gegenüber Kundeninteressen präferieren. Der Zahnarzt ist auch Unternehmer.

Kann man Firmen wie Microsoft und Apple hinsichtlich Kunden Datenschutz trauen? Teilweise schon, solange es sich ökonomisch auszahlt. Firmen haben kein originäres Interesse daran, ihre Kunden auszuspionieren. Sie wollen Geld verdienen und Gewinne für ihre Aktionäre erwirtschaften! Schwierig wird es für Firmen mit hohen Datenschutz-Anstrengungen, wenn den Kunden der Datenschutz egal ist und die Konkurrenz Produkte dadurch billiger anbieten kann. Gerade bei der Gratis-Kultur im Internet kann man davon ausgehen, das manches Angebot von Big Brother gesponsert wird. Kleine Firmen, die vom Staat dazu genötigt werden, Abhörschnittstellen in ihre Software einzubauen, können sich dagegen schwerlich wehren. Große international aufgestellte Internetkonzerne haben da mehr Chancen. Das Thema Wirtschaftsspionage lasse ich an dieser Stelle außen vor, da es für uns säkulare Internetuser weniger relevant ist.

Kann man dem Staat, Politikern  und seinen Institutionen in Sachen Datenschutz trauen? Nein. Denn hier gibt es im Gegensatz zu gewinnorientierten Unternehmen signifikante Interessenskonflikte. Politiker wollen wieder gewählt werden und da hilft es in der Regel auch, wenn man die Konkurrenz aushorchen kann (Watergate). Religiöse Politiker (nicht nur die Fundamentalisten) werden ihre Mittel auch für den vermeintlich notwendigen Schutz ihrer Religion („christliche Werte“) oder mit ihnen verbundener religiöser Organisationen (Missbrauchsskandal Kirche) einsetzen. Und natürlich will der Staat potentielle Terroristen finden.

Die Staatsgewalt in einer Demokratie wird zum Zwecke der Machtbegrenzung üblicherweise klassisch in  Gesetzgebung (Legislative), Vollziehung (Exekutive) und Rechtsprechung (Judikative) aufgeteilt. Schon Locke und Montesquieu wollten mit diesem Konzept die Machtkonzentration im Absolutismus begrenzen. Wie ist das nun aber im Cyberspace? Wer regiert bzw. kontrolliert das Internet? Wo gibt es hier die Machtbegrenzung? Nach den Enthüllungen von Edward Snowden könnte man der NSA unterstellen, in einer Art Gott-Modus überall Zugriff zu haben. Wer kontrolliert Big Brother? Politiker, die erfolgreich die Ochsentour durch die Partei- und Staatshierarchie absolviert haben und deren Hauptqualifikation Opportunismus ist? Oder PolitikerInnen, die „Neuland“ betreten?

Kann man als Privatperson oder als Unternehmen in Deutschland dem „Bundesamt für Sicherheit in der Informationstechnik (BSI)“ trauen? Dem „Schlüsselpartner“ der NSA (Süddeutsche Zeitung) und frühere Zentralstelle für das Chiffrierwesen, einer geheime Dienststelle des BND? Das BSI zertifiziert IT-Produkte von Softwarefirmen und gibt sich als Helfer für den einfachen Internetanwender. Vertrauenswürdig? Zumindest gibt es hier einen starken Interessenskonflikt.

Was kann der Internetnutzer selber tun, um sich vor Ausspähung zu schützen? Auf trendige „Cryptopartys“ gehen?

Ich empfehle die Konzentration auf die „low hanging fruits“. Das heißt, man kann schon mit sehr wenig Aufwand viel bewirken.

• mehrere E-Mailadressen nutzen (Berufliches und Privates konsequent trennen)
• auch in Sozialen Netzwerken Berufliches und Privates konsequent trennen
• in Sozialen Netzwerken nur das preisgeben, was man nicht auch in der Firma auf dem schwarzen Brett veröffentlichen könnte
• in Sozialen Netzwerken oder in der „Cloud“ nicht die Adressdaten anderer Personen ungefragt hochladen/synchronisieren
• im privaten Bereich das sogenannte „Web of Trust“ mit OpenPGP zur Verschlüsselung von E-Mails nutzen

Jenseits der „low hanging fruits“ muss man leider auf Bequemlichkeit verzichten, wenn man sich vor Ausspähung schützen will. Paranoide Zeitgenossen sollten konsequent auf Produkte von Microsoft, Apple, Google und Co. komplett verzichten. Nur Linux und Open Source Software bietet überhaupt den Hauch einer Chance, Big Brother ein Schnippchen zu schlagen.

Ein potentielles Spionageprogramm hat die Öffentlichkeit scheinbar noch nicht im Blickfeld, die Antivirenprogramme. Wenn einer ungehinderten Zugang zu allen Dateien auf dem PC mit auffällig regelmäßiger Außenkommunikation hat, dann diese. Das betrifft leider auch nicht quellenoffene Antiviren-Programme für Linux. Wäre ich NSA Chef, ich würde bei marktbeherrschenden Antiviren-Unternehmen einsteigen.

ATHMATRIX