Gabriel Yoran
Gabriel Yoran, Gründer und Geschäftsführer Steganos

Seit Monaten nun veröffentlichen der Guardian und andere Medien tröpfchenweise das Material des Ex-NSA-Zuarbeiters Edward Snowden. Diese andauernden Meldungen sind zu einem Hintergrundrauschen geworden – mittlerweile ist der Eindruck entstanden, die amerikanisch-britische Geheimdienstachse könne so ziemlich alles und nichts und niemand sei vor ihrem Zugriff sicher.

Als Hersteller von Sicherheitssoftware sehen wir uns in der Pflicht wenigstens zu versuchen, etwas Licht ins Dunkel zu bringen. Die Datenlage ist schwach, denn es ist davon auszugehen, dass in Absprache mit den betroffenen Regierungen bewusst Details zurückgehalten werden, um die nationale Sicherheit nicht zu gefährden.

Kann die NSA alle Verschlüsselungen knacken?

Die wichtigste Frage zuerst: Kann die NSA (oder ihre Partner) alle Verschlüsselungen knacken? Davon ist nicht auszugehen – aber das muss die NSA auch gar nicht: Ein Großteil ihrer Arbeit besteht daraus, vor oder nach dem Einsatz von Verschlüsselung Daten abzugreifen. Wenn die NSA Ihren PC verwanzt hätte (wovon in der Breite nicht auszugehen ist), wäre die beste Verschlüsselung der Welt nutzlos – weil die NSA-Trojaner die Daten vorher mitschneiden würden. Ein „sauberer“ PC ist also die Voraussetzung für den erfolgreichen Einsatz von Verschlüsselung.

Als weitere Maßnahme versucht die NSA anscheinend Unternehmen mit Geldzahlungen dazu zu veranlassen, absichtlich Fehler oder Hintertüren in ihre Produkte einzubauen. Derartiges ist bei Steganos nicht passiert. Steganos hat nicht nur keine derartigen Anfragen erhalten, sondern auch unabhängig davon keine Hintertüren, Masterpasswörter oder ähnliches eingebaut. Steganos ist eine deutsche GmbH mit Sitz in Berlin und unterliegt keinem Einfluss aus den USA, Großbritannien oder einem anderen Land. In Deutschland gelten generell strenge Datenschutzgesetze, zudem ist momentan auch keine Vorratsdatenspeicherung vorgeschrieben (eine entsprechende Klage der EU-Kommission gegen Deutschland ist noch nicht entschieden). Diese Situation macht Deutschland zu einem guten Standort für Anbieter von Sicherheitsprodukten. Wir hoffen sehr, dass sich die politische Lage hier nicht verschlechtert, sondern im Gegenteil dieser Standortvorteil erkannt und aktiv gefördert wird.

Persönliche Garantien der Mitarbeiter gegen Unterwanderung

Auf Basis dieser Rahmenbedingungen verpflichtet sich jeder Steganos-Mitarbeiter zusätzlich vertraglich (als Bestandteil seines Anstellungs- oder Dienstleistungsvertrages) dem deutschen Bundesdatenschutzgesetz und gibt persönliche Garantien in Bezug auf die Transparenzregelungen nach dem Muster der Vereinten Nationen ab, die Einflussnahme von außen und eine Unterwanderung des Unternehmens durch Dritte verhindern soll.

Desweiteren gibt sich Steganos strengste Datenschutzrichtlinien, die gleichzeitig auch für unsere Nutzer gut lesbar sein sollen: Die Richtlinien unseres VPN-Produkts Steganos Online Shield sind übrigens gerade erst von Magazin c’t (Ausgabe 20/2013) als „erfreulich konkret“ bezeichnet worden, das Produkt erhielt die besten Bewertungen im Test.

Vorsicht bei Five-Eyes-Ländern – und generell auch

Doch all diese Maßnahmen können nur greifen, wenn unverschlüsselte Daten nicht arglos auf Servern in den USA, in Kanada, Großbritannien, Frankreich, Australien oder Neuseeland gespeichert oder über selbige geleitet wird. In diesen Ländern gilt das sogenannte Five-Eyes-Abkommen, das eine enge Zusammenarbeit der Geheimdienste vorsieht. Möchte man hier auf Nummer Sicher gehen, sollte man folgendes beachten:

a) Falls man ein VPN-Produkt einsetzt, in den Steganos-Produkten Steganos Online Shield und OkayFreedom Server auswählen, die nicht in diesen Five-Eyes-Ländern stehen (es gibt eine große Auswahl an Alternativen). Denn selbst wenn die Steganos-Server in den dortigen Rechenzentren sicher sind, kann nicht mit Sicherheit gesagt werden, was nach der Ausleitung der Daten in diesen Ländern passiert. In der Natur der Sache liegt, dass auch nicht vollkommen klar ist, was in anderen Ländern geschieht, weshalb sich neben einer Verschlüsselung des Transportwegs generell eine Verschlüsselung der Nutzdaten empfiehlt.

b) Setzen Sie Verschlüsselungs-Software ein, um E-Mails, Cloud-Inhalte und Dateien zu verschlüsseln, zum Beispiel die Steganos Privacy Suite. Damit werden Daten bereits auf dem heimischen PC verschlüsselt, also bevor sie ins Internet gelangen.

Verschlüsselung ist Ihr Freund

Egal ob E-Mail, Anhänge oder Nutzung von Cloud-Speichern: Verschlüsselung ist Ihr Freund. Vertrauen Sie der Mathematik, wie die Security-Legende Bruce Schneier sagt. Es gibt keine bekannten Angriffe auf korrekt implementierte moderne Verschlüsselungsverfahren (wie AES 256 Bit). Auch Edward Snowden erklärte im Guardian: „Verschlüsselung funktioniert.“ Anders lässt sich auch der hohe Aufwand, Unternehmen absichtlich Hintertüren einbauen zu lassen (und dafür zu bezahlen) kaum rechtfertigen. Gute Verschlüsselung (mit guten Passwörtern) zu knacken, ist sehr sehr aufwändig und dauert. Es braucht riesige Mengen in Reihe geschalteter Supercomputer und selbst dann ist der Ausgang solcher Attacken ungewiss.

Doch oft ist der Aufwand gar nicht nötig, da die meisten Nutzer ihre Daten nicht verschlüsseln. Die NSA ist nicht nur an Sicherheitsfirmen herangetreten, sondern auch an E-Mail-Anbieter, Cloud-Speicherdienste und soziale Netzwerke. Die US-Unternehmen, die auf irgendeine Weise der NSA helfen (müssen), dürfen nicht darüber sprechen. Nicht nur über die Art und Weise wie sie helfen, sondern ob sie es überhaupt tun. Gegen diese Regelung klagen gerade Google, Microsoft, Yahoo und jetzt auch Facebook. In Deutschland gibt es derartige Regelungen nicht.

Unabhängigkeit von Staaten und Diensten

Eine weitere Möglichkeit für Geheimdienste an Daten zu kommen, ist sie entweder aus einem lokalen (W)LAN, in Kooperation mit Netzprovidern aus deren Rechenzentren oder direkt von Tiefseekabeln abzugreifen. In all diesen Fällen wäre eine gute Verschlüsselung anzuraten, die mindestens die Daten, aber idealerweise auch den Transportweg verschlüsselt. TLS/SSL ist für letzteren Fall ein geeignetes Verfahren, wie es zum Beispiel auch im Steganos Online Shield, Steganos Internet Anonym oder OkayFreedom zum Einsatz kommt. Hier legen die Snowden-Berichte nahe, dass die NSA die für eine sichere Verschlüsselung mit diesem Verfahren notwendigen Zertifikate kompromittiert hat. Steganos signiert daher die in den obengenannten Produkten eingesetzten Zertifikate selbst – ohne auf amerikanische oder sonstige Dienstleister angewiesen zu sein, die möglicherweise zur NSA-Kooperation gezwungen sind.

Wir hoffen, etwas Klarheit in diese komplexe Materie gebracht zu haben. Die andauernden Horrormeldungen über geheimdienstliche Methoden dürfen uns jedenfalls nicht davon abbringen, unsere Daten mit den besten verfügbaren Methoden zu schützen. Und weiter daran zu arbeiten, diese komplexen Techniken für so viele Menschen wie möglich verständlich und verfügbar zu machen – frei von politischer Einflussnahme, Hintertüren und Sollbruchstellen.