US-Behörden suchen nach neuen Abhörmethoden

Nachdem das FBI kürzlich weitreichendere Abhörbefugnisse für das Internet gefordert hat, suchen die US-Behörden nun nach neuen Möglichkeiten, Verschlüsselungen zu umgehen. Laut Howard Cox von der Abteilung Computerkriminalität und Urheberrecht des US-Justizministeriums verfügen Ermittler über keine rechtliche Handhabe, Verdächtige zur Herausgabe von Passwörtern zu zwingen. „Das wäre eine erzwungene Aussage, das können wir nicht tun.“

Eine zuslässige Option sei, Software- und Hardwarehersteller um Unterstützung zu bitten. Solche Absprachen müssen Cox zufolge meist im Vorhinein getroffen werden.

„Jeder Anwärter, der die Akademie des Secret Service besucht, absolviert eine Woche Training in Computerforensik“, erklärt Stuart Van Buren, Agent des Secret Service. Mittlerweile gehöre es zum Standardrepertoire, Betreiber von Internetdiensten per Gerichtsbeschluss dazu zu bewegen, Passwörter von Verdächtigen herauszurücken.

„Wenn wir zwei oder drei Passwörter finden, können wir uns darauf einen Reim machen“, sagt Van Buren. „Da gibt es viel, was wir finden können.“ In manchen Fällen gebe es keine Alternative zu einer sogenannten Brute-Force-Methode: Man schreibt ein Programm, das alle möglichen Passwortkombinationen testet. Wenn das Passwort kurz genug und nur aus Klein-, Großbuchstaben sowie Zahlen zusammengesetzt sei, bestehe „eine begründete Chance, dass ich es finde“, so Van Buren.

Für ein siebenstelliges Passwort braucht Van Buren drei Tage, weil es 62 hoch 7, also rund 3,5 Billionen mögliche Kombinationen gibt (26 Groß- und 26 Kleinbuchstaben sowie zehn Ziffern). Ein achtstelliges Passwort würde 62-mal so lang dauern. „Auf einmal sehe ich mich einem Jahr Arbeit gegenüber. Das ist nicht machbar“, sagt Van Buren.

Anstatt in einen verschlüsseltes Computer einzubrechen, versucht der Secret Service, sich Zugriff zu verschaffen, während das Gerät noch in Betrieb ist – und so die Verschlüsselung zu umgehen. Van Buren skizziert eine Möglichkeit: Man müsse sicherstellen, dass der Verdächtige online ist – etwa mittels Internet-Chat – und ihn unter einem Vorwand zur Haustür locken. Der Verdächtige werde verhaftet und der Computer durchsucht.

Auch die heimliche Installation eines Keyloggers sei Usus. Eine weitere Option sind laut Cox vom Justizministerium Exploits, die sich über Peripheriegeräte nutzen lassen.