SSL & Co. unsicher?

Nachdem das Ausmaß der Überwachung der Internetkommunikation durch NSA (PRISM) und GCHQ (Tempora) immer deutlicher wird, bleibt bei vielen Menschen ein Gefühl großer Unsicherheit zurück.

Mit den letzten Meldungen, nach denen sogar verschlüsselte Kommunikation (zum Beispiel über SSL, welches viele unserer Kunden im Bereich E-Commerce einsetzen) angeblich mitgelesen werden kann, ist die nächste Stufe der Verunsicherung erreicht. Unser Sicherheitsexperte Jörg Emmerich (JE) erklärt im Interview, was tatsächlich Sache ist.

interface medien: Jörg, stimmt es, dass ich mich im Internet nun auch mit Verschlüsselung nicht mehr unbeobachtet fühlen kann?

JE: Das stimmt so nicht und muss als Panikmache angesehen werden. Fakt ist, dass die Verschlüsselung zum derzeitigen Stand der Technik sicher vor Abhörmaßnahmen ist. Die Ressourcen selbst der NSA (und die sind nicht unerheblich) reichen nicht aus, aktuelle Verschlüsselungen zu knacken.

interface medien: Kannst Du möglichst einfach erklären, wie?

JE : Kryptografie basiert – ganz stark verkürzt – auf dem Prinzip, dass es stets vielfach einfacher ist, das Passwort zu erraten, als das Verfahren selbst anzugreifen. Und das gilt weiterhin. „Interessierte“ werden daher also immer versuchen müssen, das Passwort zu erahnen oder stumpf „alles“ auszuprobieren (Brute-Force; d. Red.). Also kann man über die Wahl des Passworts die Sicherheit selbst mitbestimmen.

interface medien: Und worauf muss man achten, um auf der sicheren Seite zu sein?

JE: Zum einen ist es wichtig, aktuelle Verschlüsselungsmethoden  zu benutzen. Ältere Verfahren (z.B. DES) gelten mittlerweile nicht mehr als sicher und sind geknackt. Desweiteren würde ich empfehlen, auf freie Software zurückzugreifen. Bei vielen Programmen von kommerziellen Anbietern kann man nicht sicher sein, dass nicht doch eine Hintertür für NSA und Co. eingebaut ist. Bei freier Software würde so etwas sofort auffallen. Das wichtigste aber immer ist die Wahl des Passwortes. Dieses sollte nicht in einem Lexikon zu finden sein, aus Buchstaben, Zahlen und Sonderzeichen bestehen und mindestens 8 Zeichen lang sein.

interface medien: Noch was?

JE: Ja. Verliere nie Dein „Schlüsselbund“! Schreib die Passwörter also möglichst gar nicht erst auf. Wenn doch, dann bitte nicht im Portemonnaie oder unter der Tastatur. Und auf überhaupt gar keinen Fall als Klartextdatei auf den Computer oder dem USB-Stick am Schlüsselbund ablegen.

interface medien: Ist das schon alles?

JE: Wenn zudem die eingesetzte Software stets auf dem neusten Stand ist, ist prinzipiell erst einmal alles in Ordnung, ja. Ist die Kommunikation vernünftig verschlüsselt, ist sie Stand heute auf Jahrzehnte sicher. Dass Geheimdienste offensichtlich Mittel und Wege kennen, in konkreten Fällen dennoch Kommunikation abzuhören, steht auf einem ganz anderen Blatt, hat aber nichts mit der „Knackbarkeit“ von aktuell starker Kryptografie zu tun. Die ist nicht gegeben.

interface medien: Danke für die Erklärung!