NSA und FBI verlangen geheime Schlüssel für SSL-Verbindungen

Trotz zweifelhafter rechtlicher Voraussetzungen verlangen der US-Geheimdienst NSA und das FBI von Internetfirmen die Herausgabe ihrer geheimen SSL-Schlüssel, mit denen sie ihre Serververbindungen und die Internetkommunikation ihrer Nutzer sichern. Das erfuhr News.com von einem Informanten, der auf solche Behördenanfragen reagieren musste und aus naheliegenden Gründen nicht namentlich genannt werden wollte. „Die Regierung verlangt definitiv SSL-Schlüssel von Providern“, sagte er.

Dem Informanten zufolge weigerten sich jedoch große Internetfirmen, da sie die Forderungen für gesetzlich nicht zulässig hielten. Anders sehe es aber vermutlich bei kleineren Firmen aus, die nicht über eine gut besetzte Rechtsabteilung verfügten und sich weniger gut wehren konnten. „Ich glaube, die Regierung geht auf die Kleinen los“, sagte er. „Die Behörden sehen es einfach so, dass sie alles erzwingen können, was immer ihnen einfällt.“

Microsoft und Google wollten solche Behördenforderungen weder bestätigen noch dementieren, bestritten aber die Herausgabe ihrer geheimen SSL-Schlüssel. “ Nein, wir tun das nicht, und wir können uns das auch unter keinen Umständen vorstellen“, versicherte ein Microsoft-Sprecher. Eine Sprecher von Google beteuerte ebenfalls, sein Unternehmen habe nie Schlüssel übergeben und prüfe sorgfältig jede einzelne Behördenanfrage: „Wir sehen uns pedantisch die Einzelheiten an – und weisen Anforderungen oft zurück, wenn kein konkreter Verdacht gegeben scheint oder die Verfahrensweise nicht korrekt ist.“

Facebook erklärte, weder die US-Regierung noch andere Regierungen hätten von ihm Chiffrierschlüssel verlangt. „Wir haben keine herausgegeben, und wir würden uns aggressiv gegen ein solches Verlangen wehren“, sagte Sprecherin Sarah Feinberg. Nicht zu solchen Behördenforderungen Stellung nehmen wollten Apple, Yahoo, AOL, Verizon, AT&T, Time Warner Cable und Comcast.

Eine besonders deutliche Haltung ließ Richard Lovejoy erkennen, Manager der Opera-Software-Tochter, die FastMail betreibt. „Nach unserer Auffassung ist uns gesetzlich verboten, unseren SSL-Schlüssel preiszugeben“, sagte er. „Sollte das von uns verlangt werden, würden wir uns aus rechtlichen wie auch aus moralischen Gründen weigern.“ Den SSL-Schlüssel herauszugeben, würde ihm zufolge „bedeuten, das Abhören all unserer Nutzer zuzulassen, was eindeutig illegal ist“.

„Die Anforderungen kommen deshalb, weil das Internet sich rasch zur Verschlüsselung hin entwickelt“, erklärte ein früherer Mitarbeiter des US-Justizministeriums dazu. „SSL hat sich wirklich auf die Möglichkeiten der amerikanischen Ermittlungsbehörden ausgewirkt. Deshalb gehen sie jetzt zum Application-Layer-Provider.“ Ein FBI-Sprecher lehnte eine Stellungnahme ab und erklärte lediglich, seine Behörde erörtere „keine spezifischen Strategien, Techniken und Werkzeuge, die wir vielleicht einsetzen“.

Das verschlüsselte SSL/TLS-Protokoll schützt inzwischen viele Bereiche der Internetkommunikation vor unerwünschtem Mitlesen und Überwachung. 2010 aktivierte Google HTTPS standardmäßig für Gmail und die verschlüsselte Suche. Kurz darauf folgte Microsofts Hotmail, und 2012 führte Facebook die standardmäßige Verschlüsselung ein. Als Option bietet sie derzeit Yahoo an.

Mit den PRISM-Enthüllungen von Whistleblower Edward Snowden wurde öffentlich, dass sich die NSA und die Geheimdienste anderer Länder umfassenden Zugang zum weltweiten Internetverkehr verschafft haben. SSL-verschlüsselte Kommunikation sehen die Behörden jedoch offenbar als zunehmendes Hindernis für ihre Überwachungstätigkeit an. „Verschlüsselung ist ein Problem, und es ist ein Problem, das wir bei bestimmten Providern sehen“, erklärte 2011 die damalige FBI-Chefjustiziarin Valerie Caproni bei einer Kongressanhörung.

US-Rechtsexperten sind sich uneinig darüber, ob das Drängen auf die Herausgabe des SSL-Schlüssels legal ist. „Das ist eine unbeantwortete Frage“, sagte Jennifer Granick von der Stanford University. „Ich weiß nicht, ob man dazu gezwungen werden kann oder nicht.“ Sie warnt aber eindringlich vor der Schlüssel-Herausgabe: „Eines der größten Probleme dabei ist, dass damit nicht nur die Kommunikation eines bestimmten Überwachungsziels zugänglich wird, sondern die gesamte Kommunikation, die durch ein System geht. Das ist außerordentlich gefährlich.“

[mit Material von Declan McCullagh, News.com]

ZDNet.de Redaktion

Recent Posts

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

1 Stunde ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

5 Stunden ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

6 Stunden ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

23 Stunden ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

2 Tagen ago

Bedrohungen in Europa: Schwachstellen in der Lieferkette dominieren

Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…

2 Tagen ago