Die NSA-Behörde habe mit Supercomputern, technischen Tricks, Gerichtsbeschlüssen und einiger Überzeugungsarbeit bei IT-Unternehmen die Mehrheit der bekannten Verschlüsselungssysteme geknackt oder umgangen. Dies berichten jetzt die «New York Times» und der «Guardian».
Das milliardenteure NSA-Programm gehöre zu den grössten Geheimnissen der Behörde, berichten die Zeitungen weiter. Das Programm soll nach einer Schlacht im amerikanischen Bürgerkrieg mit dem Codenamen «Bullrun» versehen sein. Es sei nun durch die Enthüllungen des Whistleblowers Edward Snowden ans Tageslicht gekommen.
SSL-Sicherung aufgebrochen
Den Angaben zufolge können die Geheimdienste Datenübertragungen mitlesen, die via SSL verschlüsselt sind. Mit dieser Technik werde die Kommunikation des Browsers mit Websites codiert. In der Adresszeile wird dann das Kürzel «https» angezeigt.
Diese Verbindungssicherung zu torpedieren sei den US-Spähern gelungen, wie die neuen Dokumente nahelegen. Der «Bullrun»-Dienst hat, gemäss den aktuellen Veröffentlichungen, Fähigkeiten, um weitverbreitete Onlineprotokolle wie HTTPS, Voice-over-IP und SSL zu überwinden. Ziel sei es, «in kommerzielle Verschlüsselungssysteme Hintertüren einzubauen».
Zugriff auf Verschlüsselungs-Design
Damit aber nicht genug. Offenbar ist es ihnen gelungen, auf das Design von Verschlüsselungstechniken Zugriff zu bekommen. So hätten sie inzwischen Einfluss auf globale Standards, nach denen solche Sicherheitsprogramme entwickelt werden, was die «versteckte Beeinflussung» von Programmentwicklungen erlaube. Die Dienste nutzten ihre Macht, um von den Anbietern deren Schlüssel zu erpressen.
Den amerikanischen und britischen Spähtrupps von NSA und GCHQ ist es, nach Darstellung der Zeitungen, ferner gelungen, durch Kontakte zu den vermeintlich vertrauenswürdigen Verschlüsselungsanbietern Hintertüren in die sicheren Verbindungen einzubauen.
Für das Programm «Bullrun» würden allein in diesem Jahr 254,9 Millionen Dollar bereitstehen, heisst es in den Berichten. Seit 2011 sollen mehr als 800 Millionen Dollar dafür ausgegeben worden sein. Die Ausgaben für die Spähsoftware «Prism» nehmen sich dagegen mit etwa 20 Millionen Dollar pro Jahr vergleichsweise gering aus.
London mit eigenem Projekt
In Grossbritannien ist laut «Guardian» ein eigenes Datenspäh-Projekt gestartet worden: Codename «Edgehill».
Ziel des Projekts war oder ist es, den gesicherten Datenverkehr von drei grossen, nicht namentlich genannten Betreibern zu knacken. Auch 30 Virtual Private Networks seien im Visier gewesen. Das sind Anbieter, die ihren Kunden garantieren, dass sie über eine sogenannte VPN-Verbindung unbeobachtet surfen. Viele Firmen nutzen VPN, um Mitarbeiter im Aussendienst mit den eigenen Servern zu verbinden.
Keine Sicherheit mehr
Kein Internet-Nutzer kann mit Blick auf die jüngsten Enthüllungen seine Daten mehr in Sicherheit wägen, befürchten Experten. Die Zeitungen berichten ferner, dass Mitarbeiter der Geheimdienste darum gebeten hätten, die neuesten Erkenntnisse nicht zu publizieren. Man befürchte, dass dann unter Umständen neue Verschlüsselungstechniken installiert werden und damit der Zugang der Dienste zu Informationen erschwert werde. Darauf hätten sich «Guardian», «New York Times» und «ProPublica» aber nicht eingelassen. Auch wenn manche Fakten nicht erwähnt wurden.
Nur sehr wenige Mitarbeiter in den Diensten hätten, wie es heisst, Zugang zu den Top-Secret-Informationen der USA. Und nur die Partnerbehörden in Grossbritannien, Kanada, Australien und Neuseeland seien im Bilde. Der britische Geheimdienst GCHQ habe es beim Code-Knacken in jüngster Zeit besonders auf Ziele wie Google, Yahoo, Facebook und Microsoft abgesehen gehabt.
