Bericht: Geheimdienste tarnten sich bei Spionage manchmal als Google

Der US-Geheimdienst NSA und die britische geheimdienstliche Abhörzentrale GCHQ setzen auch auf Man-in-the-Middle-Angriffe (MITM), um die Inhalte verschlüsselter Kommunikation auszuspähen. Die für ihre enge Zusammenarbeit bekannten Behörden sollen sich dabei den Kommunikationsteilnehmern gegenüber als Google und möglicherweise auch andere bekannte Internetfirmen ausgegeben haben. Das geht aus Präsentationsfolien hervor, die der Schulung von Geheimdienstmitarbeitern dienten.

Enthüllt wurde es durch eine Sendung des brasilianischen Fernsehsenders Globo, die auch NSA-Spionage gegen das Bankennetz SWIFT und den brasilianischen Erdölkonzern Petrobas enthüllte. Auf die Informationen stieß Glenn Greenwald in den Tausenden von Dokumenten, die er von Whistleblower Edward Snowden erhielt. Die MITM-Angriffsmethode wurde aber in den ersten Berichten dazu nicht thematisiert.

Einem GCHQ-Dokument zufolge benutzen die Geheimdienstmitarbeiter dafür einen Internet-Router und leiten den Traffic von überwachten Google-Nutzern zu einer Site um, die als „Mann in der Mitte“ fungiert und sich als der eigentlich vorgesehene Kommunikationspartner ausgibt. Sie fängt die übermittelten Inhalte ab, bevor diese an das jeweilige Ziel weitergereicht werden. Theoretisch ist damit eine vollständige Kontrolle über den Datenverkehr zwischen Netzwerkteilnehmern möglich. Vor allem aber kann man damit auch eine eigentlich sichere Verschlüsselung umgehen, ohne den Code selbst knacken zu müssen.

Webbrowser versuchen solche Angriffe durch die Überprüfung von digitalen Zertifikaten zu vereiteln. Aber auch das bietet nur einen begrenzten Schutz, da nicht allen Zertifikatsausstellern vollständig zu vertrauen ist. An Zertifikate sei sogar relativ leicht zu kommen, meint der Kryptografie-Experte Matthew Green von der John Hopkins University. Es gebe so viele von diesen Stellen, nämlich zwischen 100 und 200. „Wenn man groß genug ist und genug Geld dafür ausgibt, kann man sie sogar dazu bringen, ihren eigenen Signaturschlüssel zu überlassen“, zitiert ihn das Magazin Mother Jones. Damit wiederum wäre es möglich, Zertifikate für jede beliebige Website zu fälschen, was auch die Verkörperung von Google ermöglichte. Zum Einsatz kamen aber auch schon digitale Zertifikate, die bei einem Hackerangriff auf einen Aussteller gestohlen wurden.

„Was kürzliche Berichte angeht, dass die US-Regierung Wege zur Umgehung unserer Sicherheitssysteme gefunden hat, verfügen wir über keine Hinweise darauf, dass so etwas jemals geschehen ist“, erklärte Google-Sprecher Jay Nancarrow dazu. „Wir geben Nutzerdaten nur in Übereinstimmung mit dem Gesetz an Regierungen weiter.“ Die NSA wollte zu einer Anfrage von News.com nicht Stellung nehmen.

Eines der GCHQ-Spähprogramme wird in den Geheimdokumenten als „Flying Pig“ bezeichnet. Da sowohl ein Prisma als auch ein fliegendes Schwein Motive bekannter Albumhüllen der Gruppe Pink Floyd sind, suchte EFF-Anwalt Kurt Opsahl per Tweet nach einer Deutung: „PRISM, Flying Pig. Im Überwachungsstaat scheint es jemanden zu geben, der es mit Albumhüllen von Pink Floyd hat.“ Die englische Redewendung „when pigs fly“ bezieht sich außerdem auf ein gewagtes und nicht realisierbares Vorhaben – auf etwas, das niemals geschieht.

[mit Material von Edward Moyer, News.com]