Verschlüsselung: Banken und Geheimdienste wollen die Krypto-Hintertür

Daten auf ihrem Weg durch das Internet zu verschlüsseln, gehört mittlerweile zum Standard, der Nutzern täglich begegnet. Nur noch wenige Angebote bedienen sich bei der Abwicklung von Kreditkartendaten, aber auch beim einfachen Besuch einer Webseite der Übertragung mittels ungesichertem HTTP. Verwendet wird stattdessen HTTPS, das mit Transport Layer Security (TLS) abgesicherte Verfahren. Nach den Enthüllungen von Edward Snowden im Sommer 2013 hat TLS einen Siegeszug angetreten. Und die für HTTP und das angehängte "s" zuständige Standardisierungsorganisation die Internet Engineering Task Force (IETF) versprach sogar noch mehr.

Doch Geheimdiensten und Unternehmen gefällt das nicht. Sie wollen Nachschlüssel und innerhalb von Unternehmen Daten entschlüsseln können. ETSI, die europäische Schwesterorganisation der IETF, arbeitet an einem solchen, schlechteren Standard. Die IETF wirft ihr daher vor, die Verschlüsselung im Netz bewusst zu schwächen.

Einigen Banken und der britischen National Cyber Security Agency ist das nagelneue Verfahren TLS 1.3 der IETF zu sicher. Dafür soll das nachgeschobene "Enterprise TLS" (eTLS) Nachschlüssel vorsehen, außerdem ließen sich damit auch Daten innerhalb von Firmennetzen entschlüsseln. Doch die IETF-Experten sind anderer Ansicht. Wo TLS draufsteht, müsse auch die geplante strikte Sicherheit drin sein. Nachträglich dahinter zurückzufallen, wäre hoch gefährlich, warnt auch die Kieler Landesbeauftragte für den Datenschutz, die Informatikerin Marit Hansen.

Lehren aus der NSA-Affäre

Die IETF drängt auf eine wesentlich stärkere Verschlüsselung. Nie wieder wollten die Netz-Ingenieure zulassen, dass man Nachlässigkeiten im Design der Verschlüsselung würde ausnützen können. Auch wenn etwa die Geheimdienste behaupteten, sie seien "die Guten" und würden das nur auf der Basis verhältnismäßiger Eingriffe tun.

Um das Abhören unmöglich zu machen, sieht die geplante neue Transportsicherung fürs Netz, TLS 1.3, daher unter anderem den Einsatz temporärer Schlüssel vor. Wenn Schlüssel nach jeder Verbindung verworfen werden, nutzt es Angreifern nichts, Schüssel zu stehlen oder zu knacken. Weder gespeicherte noch künftige Datenverkehre lassen sich mit einem einzelnen Schlüssel kompromittieren. Perfect Forward Secrecy nennen Verschlüsselungsexperten dieses Konzept.

Eine Reihe von Beratern, die nach eigenen Aussagen vor allem für den US-Bankensektor vertraten, beschwor die IETF bis zuletzt, Ausnahmen von dieser strikten Art der Verschlüsselung vorzusehen. Weder könnten sie bei durchgängiger Verschlüsselung ihre eigenen Netze gut überwachen, noch den Anforderungen an Compliance-Vorschriften nachkommen, lautete die Klage. Dauerhafte Schlüssel wie sie in früheren Versionen von TLS üblich waren und Nachschlüssel seien dafür unverzichtbar.

Die Geheimdienste behaupten, sie seien die Guten

Die IETF lehnte jedoch ab und stellte sich auch gegen das in der Sache eigens aktiv gewordene britische National Cyber Security Center (NCSC), ein Arm des britischen Geheimdienstes General Communications Headquarters (GCHQ). Die britischen Geheimdienstler waren nach der Abfuhr mit von der Partie, als es darum ging, doch noch ein System mit Nachschlüsseln für TLS zu standardisieren, und zwar bei der europäischen Standardisierungsorganisation ETSI.

Nun tobt ein Streit zwischen beiden Organisationen. Natürlich stehe es der ETSI frei, selbst Standards zu verabschieden, wie Unternehmen ihre Netze sichern, teilte die IETF mit, verbittet sich aber zugleich die Betitelung des ETSI-Produkts als "TLS". Schon das Ziel des ETSI-Standards sei ein ganz anderes: "Die IETF fühlt sich der Förderung der Ende-zu-Ende-Verschlüsselung verpflichtet", heißt es in einem der vielen Briefe, die man mittlerweile ausgetauscht hat.

"Nach unserem Verständnis zielt ETSI darauf, ein Monitoring durch Dritte zu ermöglichen." Anwender des Protokolls, Endnutzer und auch Regierungen könnten sich täuschen lassen und wegen der Bezeichnung "TLS" annehmen, dass kein Außenstehender Einblick in ihre Kommunikation mit dem Gegenüber habe.

Datenschützer des Bundes und der Länder haben schon in einem Beschluss 2014 dringend Perfect Forward Secrecy empfohlen. TLS 1.3, das das nun umsetzt, begrüße sie daher ausdrücklich, sagt Marit Hansen, Landesbeauftragte für Datenschutz in Schleswig-Holstein. "Jeder, der versucht, da nun wieder Hintertüren einzubauen oder Schwächen für diese Sicherheit, der hat gerade nicht verstanden, dass es uns um eine starke Absicherung geht", sagt Hansen, "der sabotiert die Infrastruktur, auf die wir unsere Informationsgesellschaft aufgebaut haben und ich halte diejenigen auch für Hasardeure."

Das BSI kann beide Seiten verstehen

Das Bundesamts für Sicherheit in der Informationstechnik (BSI) erklärt ebenfalls, TLS 1.3 sei die logische Weiterentwicklung und werde die Vorgängerversion 1.2 in der technischen Richtlinie "Kryptographische Verfahren" ablösen. Allerdings antwortet ein Sprecher auf die Frage, ob man eTLS befürworte, mit einem emphatischen "Jein". Die TLS-Experten im Haus seien zwar klar für die temporären Schlüssel, die das strikte Ende-zu-Ende-Prinzip ermöglichen. Die mit Industriesteuerungen befassten Abteilungen aber seien entsetzt ob der Vorstellung. Aus deren Sicht brauche es eTLS, und auch die Argumentation der Bankenvertreter sei nachvollziehbar. Nur auf eines legt sich der Sprecher fest: "Im Internet hat eTLS nichts zu suchen." Es gelte zu unterscheiden zwischen externem und internem Netz.

Nur, wo verläuft die Grenze? Muss ein Bankkunde wissen, dass der Kontozugriff von Dritten überwacht werden kann? Aus Sicht vieler Experten ist die Crux nicht ein internes Monitoring. Das Hin- und Herschieben von Schlüsseln und deren Weitergabe an Dritte macht ihnen Sorgen. Ganz ausschließen, dass Schlüsseldaten auch in unbefugte Hände gelangen, kann man nicht, gab auch Russ Housley zu. Der Zugriff auf den festen Schlüssel erlaubt diesem Dritten auch, sich als der ursprüngliche Gesprächspartner auszugeben.

Housley ist ehemaliger Vorsitzender der IETF, ein ausgewiesener Sicherheitsexperte. Er hatte sich für den Einbau der Sonderlösung für die Banken in TLS1.3 stark gemacht. Er weiß aber auch, dass sich Angreifer solche Sollbruchstellen zunutze machen können, denn immerhin berät er von Zeit zu Zeit auch die NSA.