US-Geheimdienste wollen universale SSL-Schlüssel

“Die Regierung verlangt definitiv SSL-Schlüssel von Providern”, erklärt ein Informante, der solche Behördenanfragen bearbeiten musste. Dieser Informant will allerdings nicht namentlich genannt werden. Die Weitergabe dieser Schlüssel ist rechtlich mindesten zweifelhaft.

So erklärt die News.com-Quelle, dass sich jedoch große Internetfirmen gegen die Weitergabe entscheiden, da diese die Forderungen für gesetzlich nicht zulässig hielten. Anders sehe es aber vermutlich bei kleineren Firmen aus. Hier sei meist keine eigene Rechtsabteilung vorhanden und daher falle auch die Gegenwehr in solchen Fällen entsprechend niedriger aus. “Ich glaube, die Regierung geht auf die Kleinen los”, sagte er. “Die Behörden sehen es einfach so, dass sie alles erzwingen können, was immer ihnen einfällt.”

Microsoft und Google wollten solche Behördenforderungen weder bestätigen noch dementieren, bestritten aber die Herausgabe geheimer SSL-Schlüssel. ” Nein, wir tun das nicht, und wir können uns das auch unter keinen Umständen vorstellen”, versicherte ein Microsoft-Sprecher. Eine Sprecher von Google beteuerte ebenfalls, sein Unternehmen habe nie Schlüssel übergeben und prüfe sorgfältig jede einzelne Anfrage von Behördenseite: “Wir sehen uns pedantisch die Einzelheiten an – und weisen Anforderungen oft zurück, wenn kein konkreter Verdacht gegeben scheint oder die Verfahrensweise nicht korrekt ist.”

Facebook erklärte, weder die US-Regierung noch andere Regierungen hätten Chiffrierschlüssel verlangt. “Wir haben keine herausgegeben, und wir würden uns aggressiv gegen ein solches Verlangen wehren”, sagte Sprecherin Sarah Feinberg. Apple, Yahoo, AOL, Verizon, AT&T, Time Warner Cable und Comcast haben sich bislang zu diesen Vorgängen nicht geäußert.

Eine besonders deutliche Haltung ließ Richard Lovejoy erkennen, Manager der Opera-Software-Tochter, die FastMail betreibt. “Nach unserer Auffassung ist uns gesetzlich verboten, unseren SSL-Schlüssel preiszugeben”, sagte er. “Sollte das von uns verlangt werden, würden wir uns aus rechtlichen wie auch aus moralischen Gründen weigern.” Den SSL-Schlüssel herauszugeben, würde ihm zufolge “bedeuten, das Abhören all unserer Nutzer zuzulassen, was eindeutig illegal ist”.

“Die Anforderungen kommen deshalb, weil das Internet sich rasch zur Verschlüsselung hin entwickelt”, erklärte ein früherer Mitarbeiter des US-Justizministeriums dazu. “SSL hat sich wirklich auf die Möglichkeiten der amerikanischen Ermittlungsbehörden ausgewirkt. Deshalb gehen sie jetzt zum Application-Layer-Provider.” Ein FBI-Sprecher lehnte eine Stellungnahme ab und erklärte lediglich, seine Behörde erörtere “keine spezifischen Strategien, Techniken und Werkzeuge, die wir vielleicht einsetzen”.

Das verschlüsselte SSL/TLS-Protokoll schützt inzwischen viele Bereiche der Internetkommunikation vor unerwünschtem Mitlesen und Überwachung. 2010 aktivierte Google HTTPS standardmäßig für Gmail und die verschlüsselte Suche. Kurz darauf folgte Microsofts Hotmail, und 2012 führte Facebook die standardmäßige Verschlüsselung ein. Als Option bietet sie derzeit Yahoo an.

Mit den PRISM-Enthüllungen von Whistleblower Edward Snowden wurde öffentlich, dass sich die NSA und die Geheimdienste anderer Länder umfassenden Zugang zum weltweiten Internetverkehr verschafft haben. SSL-verschlüsselte Kommunikation sehen die Behörden jedoch offenbar als zunehmendes Hindernis für ihre Überwachungstätigkeit an. “Verschlüsselung ist ein Problem, und es ist ein Problem, das wir bei bestimmten Providern sehen”, erklärte 2011 die damalige FBI-Chefjustiziarin Valerie Caproni bei einer Kongressanhörung.

US-Rechtsexperten sind sich uneinig darüber, ob das Drängen auf die Herausgabe des SSL-Schlüssels legal ist. “Das ist eine unbeantwortete Frage”, sagte Jennifer Granick von der Stanford University. “Ich weiß nicht, ob man dazu gezwungen werden kann oder nicht.” Sie warnt aber eindringlich vor der Schlüssel-Herausgabe: “Eines der größten Probleme dabei ist, dass damit nicht nur die Kommunikation eines bestimmten Überwachungsziels zugänglich wird, sondern die gesamte Kommunikation, die durch ein System geht. Das ist außerordentlich gefährlich.”

[mit Material von Bernd Kling, ZDNet.de]