Internet-Historie Unter Verschluss

Ein kurioses Kapitel Browser-Geschichte: In den Neunzigern wachte die US-Regierung eifersüchtig über die SSL-Verschlüsselung. Eine spezielle Exportvariante von Internet Explorer und Navigator war die Folge.

Von Christian Wölbert

Ohne SSL-Verschlüsselung käme Online-Shopping russischem Roulette für das eigene Bankkonto gleich: Es wäre lediglich eine Frage der Zeit, bis etwas schief geht. Denn sobald Name und Kreditkartennummer eingetippt sind und der Internet-Einkäufer auf den "Absenden"-Button klickt, wandern die sensiblen Informationen über eine Unzahl von Rechnern: Vom eigenen Provider zum Telekom-Proxy-Server, dann vom größten deutschen Internetknoten "DE-CIX" in Frankfurt nicht selten über einen amerikanischen Knotenpunkt zurück nach Deutschland. Das Internet ist aufgebaut wie ein Spinnennetz, und Datendiebe können unterwegs an vielen Punkten lauern und mitlesen.

SSL steht für Secure Socket Layer

(Foto: Foto: Istock)

Um eine sichere Punkt-zu-Punkt-Verbindung, einen vor Lauschern geschützten Tunnel mitten durch das Spinnennetz, einrichten zu können, entwickelte die amerikanische Firma Netscape schon in der Frühzeit des Internet den SSL-Standard ("Secure Socket Layer").

SSL kann zweierlei: Erstens schützt es vertrauliche Informationen durch Verschlüsselung. Zweitens überprüft SSL, ob sich hinter der angezeigten Webseite wirklich der erwartete Anbieter verbirgt oder ob es sich um eine gefälschte Seite handelt ("Phishing"). Dieser Vorgang wird auch als "Händeschütteln" zwischen dem Browser des Kunden und dem Webserver bezeichnet.

Das von Netscape propagierte SSL setzte sich schnell durch. Zwar hatte Microsoft 1995 für den ersten Internet Explorer ein hauseigenes Pendant mit dem Namen PCT entwickelt ("Private Communication Technology"), bald darauf wurde jedoch SSL zum Industriestandard ernannt. Für den Surfer erkennbar sind die SSL-gesicherten Websites an der mit "https" beginnenden Adresse.

SSL gilt als elegante Lösung, selbst Pragmatiker kommen bei der Technik ins Schwärmen: "SSL ist besonders schön, weil es so flexibel ist", sagen Sicherheitsexperten.

Hintertür für CIA & Co.

Weniger schön ist jedoch ein Teil der Historie dieser Verschlüsselungstechnologie: Mitte bis Ende der neunziger Jahre war SSL alles andere als sicher, zumindest außerhalb der USA. Denn die fortschrittliche Krypto-Technik unterlag Exportbeschränkungen der US-Regierung - genauso wie Waffen sollte sie nicht in die Hände von "ausländischen Personen" gelangen.

Netscape und Microsoft mussten daher jeweils zwei Varianten ihrer Browser anbieten - eine "Heimatversion" für amerikanische Surfer und eine "Exportversion" für den Rest der Welt. Bei den US-Varianten von Internet Explorer und Navigator kam eine 128-Bit-SSL-Verschlüsselung zum Einsatz. Ausländer mussten mit einer Schlüssellänge von 40 Bits Vorlieb nehmen, gleiches galt für die internationale Version des E-Mail-Programms Lotus Notes. Von Hackern mit genügend Know-How und den passenden Werkzeugen konnten die kürzeren Codes innerhalb eines Tages geknackt werden.

Die Logik hinter dem Ausfuhrverbot für die 128-Bit-Verschlüsselung: US-Geheimdienste sollten die verschlüsselte Kommunikation von Terroristen und Schurkenstaaten ohne allzu großen Aufwand dechriffieren können. Das Gesetz war natürlich nur solange sinnvoll, bis es anderen Ländern gelang, ähnlich sichere Schlüssel zu entwickeln.

Etwas nachgeholfen hat dabei der amerikanische Programmierer Phil Zimmermann. Seine Verschlüsselungssoftware mit dem ironischen Namen "Pretty Good Privacy" unterlag aufgrund seiner 128-Bit-Technologie ebenfalls dem Exportverbot. Doch Zimmermann nutzte eine Gesetzeslücke und veröffentlichte 1995 den kompletten Quellcode als Buch. Dieses durfte legal exportiert werden und wurde dann von einer Armada von Freiwilligen abgetippt.

Es dauerte jedoch bis zum Januar 2000, bis die US-Regierung die Bestimmungen zum Krypto-Export lockerte. Berühmt geworden ist in diesem Zusammenhang ein weiterer Amerikaner, der Juraprofessor Peter Junger: Er hatte erfolgreich gegen das Exportverbot geklagt, da das Gesetz ausländische Studenten daran hinderte, seine Vorlesungen zu besuchen.