Kryptografie Schutz vor Hackern und Geheimdiensten?

AUTOR/IN

SWR2 Wissen. Von Kai Laufen

Schon die Spartaner haben Botschaften verschlüsselt, heute ist die Technik raffinierter. Kryptografische Verfahren stecken in Emails, Reisepässen und autonomen Autos.

Dauer

Digitale Verschlüsselung ist lange Zeit sehr kompliziert gewesen und wurde nur von wenigen im Internet genutzt. Aber durch die Enthüllungen von Edward Snowden wurde klar, dass Geheimdienste den gesamten Internetverkehr mitlesen, also beispielsweise auch Emails. Danach wuchs das Interesse an einfachem, aber wirksamem Schutz vor der Massenüberwachung.

Verschlüsselung schützt vor Überwachung

Auch wenn es extrem schwierig ist, Daten mittels Verschlüsselung wirklich abzusichern – die Kryptografie hat in den vergangenen hundert Jahren große Fortschritte gemacht. Der wichtigste Schritt war möglicherweise die Erfindung der asymmetrischen Verschlüsselung.

Dauer

Asymmetrisch deshalb, weil Sender und Empfänger nicht über dieselbe Information verfügen. In den 1970er Jahren begannen US-amerikanische Mathematiker mit Formeln zu experimentieren, die sich leicht in die eine, aber fast gar nicht in die andere Richtung auflösen lassen – es sei denn, man weiß, welche Zahlenwerte jeweils einzusetzen sind. Solche Einmalfunktionen erlauben es, einen Schlüssel öffentlich anzubieten und die Nachricht später mit einem privaten Schlüssel zu entschlüsseln.

Ziemlich gute Privatsphäre?

PGP steht für “Pretty Good Privacy”, also wörtlich übersetzt “ziemlich gute Privatsphäre” – dieses Verfahren ist 25 Jahre alt und bisher ist kein Fall bekannt geworden, bei dem PGP geknackt werden konnte. Damit PGP funktioniert, muss der einzelne Nutzer auf eine Public-Key-Infrastruktur zugreifen, mit der die öffentlichen Schlüssel verwaltet werden.

Personen Piktogramm wird mit einer Lupe näher betrachtet (Foto: Getty Images, Thinkstock -)
Datenschützer empfehlen allen Bürgern die verschlüsselte Kommunikation Thinkstock -

Damit kann der Sender die Botschaft auf seinem Computer verschlüsseln und schickt diese – für Außenstehende unlesbare – Email an den Empfänger. Der kann sie mittels seines privaten Schlüssels auf dem eigenen Rechner wieder öffnen. Die Email ist also auf ihrem ganzen Transportweg geschützt. Dieses Verfahren wird bereits von vielen privaten Internetnutzern in Deutschland eingesetzt.

Professor Christoph Krauß vom Fraunhofer-Institut für Sichere Informationstechnologie in Darmstadt befasst sich nicht mit Emails, sondern mit Autos. Die sollen immer schlauer werden, sollen autonom im Straßenverkehr fahren, und dazu müssen sie „miteinander reden“. Oder auch mit den Verkehrszeichen oder der Ampel.

Wer fährt das Auto?

Was passieren kann, wenn diese Kommunikation nicht 100 Prozent abgesichert ist, zeigt Christoph Krauß an einem Kleinwagen: Dieser hat eine elektronische Schnittstelle, etwa für Diagnosen in der Werkstatt. Auch Versicherungen nutzen sie, um per Mobilfunk das Fahrverhalten des Kunden zu überwachen und die Beiträge zu berechnen.

Ein Hacker könnte an diesen Schnittstellen die Kontrolle über ein Fahrzeug übernehmen und schweren Schaden anrichten. Er könnte beispielsweise die Geschwindigkeit beschleunigen oder das Auto gegen einen Baum steuern.

Am Frauenhofer SIT wird erforscht, inwieweit sich Autos durch Hacker-Angriffe von außen steuern lassen. (Foto: Fraunhofer SIT - Fraunhofer SIT)
Am Frauenhofer SIT wird erforscht, inwieweit sich Autos durch Hacker-Angriffe von außen steuern lassen. Fraunhofer SIT - Fraunhofer SIT

Ob es um die Kommunikation zwischen Fahrzeugen geht, um Emails oder geheime Botschaften: Stets soll Kryptographie helfen, Informationen vor fremdem Zugriff zu schützen. Aber was, wenn Straftäter die gleichen Techniken nutzen, um Verbrechen zu planen? Die Polizei beklagt, dass verschlüsselte Kommunikation immer öfter dazu führe, dass sie nicht ermitteln kann, selbst wenn sie die Kommunikation an sich abhört oder mitliest.

Polizei umgeht Verschlüsselung

So wäre es auch im Fall der rechtsextremen Gruppierung Old School Society gewesen, deren Mitglieder sich über die Nachrichtenplattform Telegram austauschten. Doch das BKA konnte über einen einfachen Anmeldecode die Chats mitlesen – aber auch in der Historie zurückgehen und den gesamten Chatverlauf nachvollziehen. Und das, obwohl die Chatteilnehmer sich sicher fühlten – ihre Kommunikation war ja schließlich weiterhin verschlüsselt. Aber da die Anwender oft Fehler bei der Verschlüsselung machen, haben Ermittler doch eine Chance.

Diesen Umstand will Bundesinnenminister Thomas de Maizière nun systematisch nutzen und hat zum Jahresbeginn die „Zentrale Stelle für Informationstechnik im Sicherheitsbereich“ – ZITiS – ins Leben gerufen.

Bald schon sollen 400 staatliche Hacker in München die Schwachstellen von Messengerdiensten wie Telegram und Whatsapp ausleuchten und die Information darüber allen Sicherheitsbehörden zugänglich machen. Doch aus diesem Auftrag ergeben sich mögliche Konflikte: Was tun die staatlichen Hacker von ZITiS, wenn sie auf Schwachstellen in Verschlüsselungsprogrammen stoßen, die noch nicht bekannt sind?

Lücken müssen geschlossen werden

Es gibt einen grauen Markt für solche Informationen. Auch für Informationen über Schwachstellen in Software oder Hardware. Soll der Staat, darf der Staat hier zugreifen?

Es sind solche Überlegungen, die Datenschützern wie Constanze Kurz vom Chaos Computer Club Sorgen machen. Denn der Staat hat natürlich auch indirekt ein Interesse, dass Sicherheitslücken nicht geschlossen werden, da er sie somit weiterhin ausnutzen könnte. Und Constanze Kurz sieht nicht nur die konkrete Arbeit der ZITiS kritisch. Sie weist grundsätzlich darauf hin, wie viele persönliche Daten über jeden Einzelnen ohnehin schon im Umlauf sind.

Krypto (Foto: SWR, SWR - Kai Laufen)
Die Hagelin-Maschine aus dem Kalten Krieg wurde vom Geheimdienst in Moskau genutzt, um feindliche Botschaften zu entschlüsseln. SWR - Kai Laufen

Die Bundesdruckerei in Berlin steht im Besitz des Bundes und stellt Banknoten und Steuerzeichen her. Dazu komplette Pass-und Ausweissysteme, die heutzutage ebenfalls kryptografische Produkte sind, etwa weil biometrische Daten auf einem Chip gespeichert werden. Für die Personalausweise und Reisepässe hat das Tochterunternehmen D-Trust der Bundesdruckerei eine Public-Key-Infrastruktur aufgebaut.

Quantencomputer knacken alles

Kim Nguyen ist Geschäftsführer der D-Trust. Er ist daran beteiligt, die Zertifikate für digitale Identitäten zu erstellen, mit denen dann verschlüsselt und signiert werden kann. Man dürfe bei der Kryptografie nie locker lassen, meint Kim Nguyen: Techniken, die gestern noch als utopisch galten, werden heute selbstverständlich in unsere Personalausweiskarten eingebaut.

Weil diese Sicherheitsarchitektur in absehbarer Zukunft wieder veraltet sein wird, müssen neue Verfahren entwickelt werden. Große Herausforderungen stellen neuartige Computer dar, deren Leistung einen großen Sprung machen werden, erklärt Walter Fumy. Er ist Chief Scientist bei der Bundesdruckerei und international tätig im ISO-Komitee, das Sicherheitsstandards erarbeitet. Von diesen sogenannten Quantencomputer existieren bisher allerdings nur Prototypen.

Da, wo bisher ein Bit eindeutig für eine 1 oder eine 0 stand, steht künftig ein Qubit für eine ganze Reihe möglicher Zustände. Quantencomputer könnten selbst asymmetrische Verschlüsselungen knacken. Die Public-Key-Infrastruktur, wie sie für Reisepässe, autonome Autos, Online-Banking sowie für die Emailverschlüsselung eingesetzt wird, wäre nutzlos.

Die Europäische Union hält die Quantentechnologie für so bedeutsam, dass sie im Mai 2016 das „Quantum Manifest“ vorgestellt hat: Ein milliardenschweres Forschungsprojekt soll das volle Potenzial dieser Technologie ausschöpfen, so die offiziellen Erklärungen. Die Zeit drängt, denn es könnte sein, dass andere Staaten insgeheim längst weiter sind mit der Entwicklung von Quantencomputern. Neue Verfahren müssen also stets weiter entwickelt werden, damit Verschlüsselung auch in Zukunft der Garant für Authentizität, Integrität und Vertraulichkeit im Datenverkehr bleibt.

AUTOR/IN
STAND