Nach NSA-Enthüllungen: Private Daten verschlüsseln
Darmstadt (dpa/tmn) - Angesichts der aktuellen Enthüllungen um Überwachungspraktiken der NSA gilt mehr denn je: Private Daten, die keiner sehen soll, sollten Internetnutzer verschlüsseln, bevor sie sie ins Netz stellen.
Der US-Geheimdienst klinkt sich nach einem Bericht der „Washington Post“ in die Google- und Yahoo-Leitungen ein, die Daten zwischen Rechenzentren transportieren. „Wenn sie E-Mails konsequent verschlüsseln, wird es für die Sicherheitsbehörden deutlich schwieriger, Daten mitzulesen“, sagte Stefan Katzenbeisser vom Center for Advanced Security Research (CASED) an der Technischen Universität Darmstadt.
Die Umsetzung in der Praxis ist allerdings eher schwierig. Denn E-Mail-Verschlüsselung funktioniert nur, wenn Sender und Empfänger dabei die gleiche Methode einsetzen. Außerdem braucht es für die Verschlüsselung sogenannte Zertifikate, die für Privatnutzer nur schwer zu bekommen sind. „Für den Massenmarkt fehlt da zurzeit einfach die Infrastruktur“, klagte Katzenbeisser. Hinzu kommt, dass viele E-Mail-Programme von sich aus keine Verschlüsselungsfunktion anbieten - Sicherheitsbewusste Nutzer müssen sich also erst ein Plug-in installieren.
Abseits von E-Mails sind auch andere Daten von den NSA-Angriffen betroffen, die zum Beispiel in den Cloud-Speichern großer US-Konzerne liegen. Die lassen sich ebenfalls verschlüsseln, Programme dafür heißen zum Beispiel Truecrypt, Cloudfogger oder Boxcryptor. Das macht das Hoch- und Herunterladen zwar oft etwas umständlicher, die Bedienung der Programme ist im Gegensatz zur E-Mail-Verschlüsselung aber auch für Laien zu schaffen.
Neben der Verschlüsselung von Daten und E-Mails sollten Nutzer außerdem immer darauf achten, dass auch der Übertragungsweg geschützt ist. Dabei kommt das sogenannte SSL-Protokoll zum Einsatz. Ob es aktiviert ist, verrät ein Vorhängeschloss in der Adressleiste des Browsers oder das Kürzel „https“ vor einer Webadresse.
NSA-Angriffe auf Rechenzentren werden damit zwar nicht ausgehebelt - trotzdem sollten Surfer weiter darauf achten, rät Katzenbeisser: „Wenn sie zum Beispiel in einem öffentlichen WLAN surfen, kann sonst jeder mitlesen.“ Das müssen nicht unbedingt Behörden sein - Gefahr droht auch durch Kriminelle, die zum Beispiel Bankdaten ausspionieren.
Nutzer großer Internetdienste könnten vor dem Hintergrund der NSA-Angriffe natürlich auch zu einem anderen Anbieter wechseln, dessen Server nicht in den USA stehen. „Für US-Behörden ist es offenbar einfacher, auf US-Dienste zuzugreifen“, erklärte Katzenbeisser. Ganz sicher seien Daten in Deutschland oder anderswo aber auch nicht: „Ich weiß nie, ob vielleicht nicht auch da spioniert wird, zum Beispiel von hiesigen Sicherheitsbehörden.“
Außerdem verhalten sich auch einige deutsche E-Mail-Provider in Sachen E-Mail-Sicherheit nicht gerade vorbildlich. Das hat die Computerzeitschrift „c't“ (Ausgabe 18/2013) in einem Test mehrerer Dienste herausgefunden. Viele von ihnen verzichten demnach auf ein wenig bekanntes Feature namens Forward Secrecy. Es verhindert, dass in der Vergangenheit aufgezeichneter, verschlüsselter Datenverkehr nachträglich entschlüsselt werden kann - etwa wenn die Server des Anbieters beschlagnahmt werden.