taz.de -- Mehr Verschlüsselung im Netz: Datenskandal zeigt Wirkung

Nach der massenhaften Überwachung nimmt die Verschlüsselung von Daten im Internet zu. Die Banken haben aber noch Nachholbedarf.

BERLIN taz | Die Erkenntnisse über massenhafte Überwachung durch Geheimdienste zegen Wirkung: Der Anteil von Daten, deren Transport durch das Internet verschlüsselt wird, nimmt zu. So zeigt eine Auswertung des Technologiekonzerns Google, dass immer mehr E-Mails auf dem Weg von einem Server zum anderen verschlüsselt werden. Geheimdienste, die Daten an den Verbindungskabeln abzapfen, sehen dann nur unverständliche Zeichenketten. Das betrifft sowohl den Inhalt der E-Mail als auch Anhänge und Metadaten, also etwa Sender und Uhrzeit.

Zur Verschlüsselung gehören immer zwei: Arbeitet entweder der Server des Senders oder der des Empfängers ohne Verschlüsselung, wird die E-Mail im Klartext gesendet. Der Nutzer kann das nicht beeinflussen – im Unterschied zur Ende-zu-Ende-Verschlüsselung, bei der beide Nutzer ihre Kommunikation mit einer speziellen Software für Dritte komplett – also auch für den Provider und legal zugreifende Behörden – unlesbar machen.

Den Angaben von Google zufolge liefen im vergangenen Dezember um die 30 Prozent der über andere Anbieter eingehenden E-Mails über verschlüsselte Verbindungen. Bei den ausgehenden war der Anteil ein paar Prozentpunkte höher. Mittlerweile sind von den eingehenden Nachrichten über 50 Prozent, von den ausgehenden über 70 Prozent verschlüsselt. Die Unterschiede zwischen ein- und ausgehenden E-Mails kommen laut einem Google-Sprecher unter anderem dadurch zustande, dass Nachrichten wie Newsletter häufig von unverschlüsselten Servern kommen und und meist unbeantwortet bleiben.

Andere Provider, sowohl die Telekom als auch web.de und GMX, die erst vor einem Jahr eine Transportverschlüsselung einführten, wollten auf Anfrage keine Daten nennen, genauso wenig wie Yahoo. Zahlen des kleineren Providers JP-Berlin bestätigen die Tendenz der Google-Auswertung jedoch: „Aktuell werden rund eineinhalb mal mehr E-Mails TLS-verschlüsselt verschickt als noch vor einem Jahr“, sagt Peer Heinlein, Geschäftsführer der JPBerlin. Rund 70 Prozent der Mailserver würden derzeit die Verschlüsselung unterstützen.

Veraltete Standards

Verschlüsselte Verbindungen spielen nicht nur bei E-Mails eine Rolle, sondern auch beim Aufrufen von Internetseiten. Ein Bereich, in dem es besonders wichtig ist, dass Dritte nicht mitlesen können, sind Bankgeschäfte im Internet. Auch eine zwar vorhandene, aber schlechte Verschlüsselung ist hier eine Gefahr. Sie macht es Betrügern leicht, die übertragenen Daten wie PIN und TAN mitzulesen und damit das Konto abzuräumen. Bei einer [1][Recherche der taz im vergangenen Dezember] zeigte sich, dass eine Reihe von Instituten ihr Online-Banking nur mit dem veralteten Standard namens RC4 absichern, der als geknackt gilt.

Mittlerweile hat sich da einiges getan: Unter den hundert größten Banken setzt keine mehr ausschließlich auf RC4. Dennoch unterscheiden sich die verwendeten Sicherheitsstandards stark: So können Angreifer bei den meisten Banken immer noch erzwingen, dass der unsichere Verschlüsselungsstandard verwendet wird – und diesen dann leicht knacken. Zudem fehlt etwa bei vielen Internetseiten der Sparkassen noch eine Ergänzung, die verhindert, dass einmal gespeicherte Kommunikation mit einem nachträglich abgefangenen Schlüssel dekodiert wird. Ein Sprecher des Sparkassenverbandes sagte, das neue System werde „schrittweise“ eingeführt. Positiv fallen GLS-Bank, Deutsche Bank und Ethik-Bank mit hohen Verschlüsselungsstandards auf.

Auch bei mancher Behörde gibt es Nachholbedarf: Wer eine E-Mail etwa an das Finanzamt Kempten oder die bayerische Polizei schickt, kann nicht sicher sein, dass Dritten das Mitlesen unterwegs nicht möglich ist. Das zuständige IT-Dienstleistungszentrum des Freistaats Bayern teilte zwar mit, dass man Transportverschlüsselung verwende, doch Tests zeigen, dass zumindest ein Teil der Verbindungen unverschlüsselt erfolgt.

Das Behördenportal der Stadt Stuttgart läuft nach einer Anfrage der taz verschlüsselt. Laut einem Sprecher hatte es eine Serverumstellung gegeben – daher seien die Dienste temporär nicht verschlüsselt gewesen.

21 Jul 2014

LINKS

AUTOREN

TAGS

ARTIKEL ZUM THEMA

Facebook hat 60 Hardwareherstellern jahrelang umfassenden Zugang zu Nutzer*innendaten gewährt. Ein neuer Skandal droht.

Betrüger nutzten eine Spähsoftware, um sich den Zugang zu Kundenkonten zu sichern. Betroffen sind Mobilfunkkunden der Deutschen Telekom.

Die Ankündigung von Google und Yahoo ist vielversprechend. Dennoch besteht Manipulationsgefahr. Die Frage nach dem Vertrauen bleibt.

Die US-Konzerne arbeiten an einer Möglichkeit zur Verschlüsselung von E-Mails. Damit würden sie einen Teil ihres Geschäftsmodells auf Spiel setzen.

Mit Gesundheitsdaten kann man viel Geld machen. Doch der Vorschlag, sie mit Pin und Tan zu verschlüsseln, führt in die falsche Richtung.

Seit der Veröffentlichung der ersten Snowden-Infos ist ein Jahr vergangen. Wie berichten die hiesigen Medien zum Jahrestag? Eine Presseschau.

„Prism ist nun in der Lage, Skype-Kommunikation zu sammeln“, zitiert Glenn Greenwald ein Schreiben der NSA. Und was weiß Skype davon?

Beim Datenschutz in Kliniken besteht Nachholbedarf. Patientendaten könnten für immer verloren gehen und auch die Vertraulichkeit ist oftmals nicht gewährleistet.

Verschlüsselung ist oft von „Geeks für Geeks“ konzipiert und für Laien schwer zu verstehen. Dabei wären auch einfache Lösungen möglich.