Sicherheitslücke in Cryptocat "Ein absolutes Desaster"

Online sicher chatten - genau das sollte mit Cryptocat möglich sein. Doch eine Sicherheitslücke zeigt, dass Unterhaltungen über einen Zeitraum von sieben Monaten relativ einfach zu entschlüsseln waren. Der Macher des Programms entschuldigt sich auf einer Hacker-Konferenz und erhält Hilfsangebote von vielen Seiten.

Von Hakan Tanriverdi, Köln

Nadim Kobeissi schaut ungläubig in die Runde, stupst sich die Brille zurück auf die Nase und fragt: "Warum seid ihr denn alle so nett?" Kurz vor seiner Präsentation wurde bekannt, dass seine Browser-Erweiterung namens Cryptocat vergleichsweise einfach zu knacken war. "Was passiert ist, ist ein absolutes Desaster", sagt Kobeissi, und weiter: "Es stellt sich die Frage, ob ich die richtige Person für diesen Job bin."

Cryptocat ist ein Chatprogramm, das nur ein Ziel hat: Es soll Menschen die Möglichkeit geben, online sicher zu chatten. Sicher heißt in diesem Fall: Verschlüsselt, so dass die Nachrichten nicht mitgelesen werden können. Cryptocat wirbt damit, dass Journalisten das Tool nutzen, um ihre Gesprächspartner zu schützen; auch lesbische und schwule Aktivisten würden so ihre Diskussionen an einem sicheren Ort führen, sagt Kobeissi, der 1990 im Libanon geboren wurde und heute in Kanada lebt.

Aber genau dieser sichere Ort war Cryptocat nicht - mit der Folge, dass die Verschlüsselungsmechanismen vergleichsweise simpel zu decodieren waren. Über einen Zeitraum von sieben Monaten waren die Unterhaltungen unsicher - Cryptocat hat damit eines seiner Kernversprechen nicht einhalten können. In einem Blogbeitrag vom vierten Juli schreiben die Macher: "Bitte nutzen Sie die aktuellste Version." Dort sei dieser Fehler bereits bereinigt.

Kobeissi übernahm die volle Verantwortung und sagte, dass alleine er dafür verantwortlich sei, weil schließlich auch er einen Großteil des Programmcodes geschrieben habe. Als der Fehler bekannt wurde, habe Kobeissi über den Sinn des Projektes nachgedacht, aber sei zum Entschluss gekommen, dass Cryptocat weiter fortgeführt werden müsse. Dafür könne er Hilfe gebrauchen.

Das Ziel: Kinderleichte Bedienung, hohe Sicherheit

Denn das Hauptanliegen von Cryptocat sei unverändert akut: Viele Menschen verstünden nicht, wie sie im Internet sicher kommunizieren können. Schon das Befolgen einer einfachen Anleitung, um die eigenen E-Mails zu verschlüsseln, dauert minimal eine halbe Stunde und ist mit vielen Hürden verbunden.

Genau hier will Kobeissi mit Cryptocat ansetzen: "Ich will, dass ein verschlüsselter Chat genauso einfach zu benutzen ist wie die Chatfunktion in Facebook." Diese Forderung gelte für jeden Bereich der Online-Kommunikation. E-Mails sicher zu verschicken, anonym zu surfen: all das müsse kinderleicht in der Bedienung sein. Nur so, da ist sich Kobeissi sicher, werden diese Mechanismen auch von einer breiten Öffentlichkeit genutzt.

Denn die jüngsten Enthüllungen um die amerikanischen und britischen Abhörtaktiken Prism und Tempora sind in ihrer Drastik ohne Vergleich - jede Art der Online-Kommunikation wird potentiell abgehört. Wie sich der Einzelne dagegen schützen kann, ist hingegen unbekannt: Zumindest nicht in Laiensprache, Otto Normaluser versteht so gut wie nichts. Es sei jedoch die Aufgabe der Technik, genau das zu leisten.

Kobeissi betont, dass auch sein Dienst, also Cryptocat, nur ein erster Schritt sei und keine Finalversion. Mit Beginn des Erfolgs von Cryptocat hat Kobeissi bereits gewarnt, dass man in diesen Dienst nicht zu viel Schutz hineininterpretieren solle. Vor einem Trojaner, der zum Beispiel die Tastatureingaben mitliest, bietet Cryptocat keinen Schutz. Auf der Homepage schreiben die Macher: "Man sollte sein Leben niemals einem Stück Software anvertrauen." Gerade in Zeiten der Revolution im arabischen Raum wurde Cryptocat als Alternative genannt. Zu Unrecht, wie Kobeissi mehrfach wiederholte.

Die Präsentation von Kobeissi fand im Rahmen des gerade stattfindenden Kongresses Sigint statt, der vom Chaos Computer Club organisiert wird. Auch wenn man hätte meinen können, dass plötzlich viele Laien den Kongress besuchen würden, um sich von den versammelten Experten erklären zu lassen, welche Konsequenzen sie in Zeiten von Prism und Tempora ziehen sollten, war alles wie immer: Es kamen vor allem technikinteressierte Menschen nach Köln.

Das Bekanntwerden des Fehlers hatte zuvor auf Twitter harsche Kritik mit sich gebracht. Kobeissi hatte anscheinend damit gerechnet, dass diese Kritik auch von den Sigint-Teilnehmern geäußert werden würde. Stattdessen gab es Lob für Kobeissi und jede Menge Visitenkarten und Hilfsangebote. Sein Dienst sei allemal besser als Chatprogramme wie Skype - und sein Ansatz sei schließlich ebenfalls der richtige.

Anmerkung der Redaktion: Cryptocat wurde in der Diskussion über Internet-Überwachung oft als ein interessantes Projekt zum verschlüsselten Chatten genannt, auch in der SZ.