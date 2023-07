Eine Dekade nach den Edward Snowdens Enthüllungen über die universelle Überwachung digitaler Kommunikation vor allem durch den US-Geheimdienst zieht die Internet Engineering Task Force (IETF) eine Zwischenbilanz. Eine Folge der Enthüllungen des Whistleblowers: Internetverkehr wird zunehmend verschlüsselt. Zugleich gegen den "Überwachungskapitalismus großer Plattformen" zu wenig getan worden, bedauerte der damalige IETF Security Area Director, Stephen Farrell, auf dem IETF-Treffen, das in dieser Woche in San Francisco stattfindet.

Ziemlich "angepisst" seien die bei der IETF aktiven Entwickler gewesen, als im Sommer vor zehn Jahren die von Snowden an Journalisten weitergegebenen Dokumente das Ausmaß der Schnüffelei gegen Internetnutzer in aller Welt offenbarten, berichtete Farrell am Mittwoch. "Natürlich wussten wir um die technischen Möglichkeiten. Das Ausmaß und die Nachhaltigkeit der Schnüffeltätigkeit, das sich uns offenbarte, war aber alarmierend."

2013 reagierte die Standardisierungsorganisation zunächst mit einigen Request for Comments (RFCs) auf Snowdens Enthüllungen: Sie schrieben sich buchstäblich den Ärger von der Seele. In kurzer Folge entstanden Dokumente, die die industrielle Ausspähung von Nutzern durch den Staat und die Kompromittierung des Standardisierungsprozesses als "Angriff" werteten (RFC 7258) oder eine omnipräsente Überwachung als neues Bedrohungsszenario festhielt (RFC 7624).

"Zeitenwende" für die IETF

Snowdens Enthüllungen markierten eine "Zeitenwende" für die IETF, sagte Cisco-Ingenieur Eliot Lear. Damit begann die IETF fieberhaft daran zu arbeiten, um Verschlüsselung quer durch den Protokollstack zu etablieren: Vom Transport über alte Basisprotokolle wie Mail (SMTP) oder dem für die Adressierung unverzichtbaren Domain Name System (DNS).

Die Erfolge können sich durchaus sehen lassen. 2013 war das Web weitgehend unverschlüsselt, obwohl HTTPS bereits als sichere Alternative vorhanden war. Die Initiative "Let’s Encrypt" bot kostenfreie Zertifikate und forcierte die Implementierung von HTTPS. Mail-Anbieter, die über die Komplexität verschlüsselten Mailtransports klagten, bedienen sich heute zu fast alle des SMTP MTA Strict Transport Security Standard.

Stück für Stück wurde Klartextkommunikation – etwa beim Verbindungsaufbau – in den verschlüsselten Austausch von Paketen gezogen. Paradebeispiele dafür sind die neue TLS-Version 1.3 (RFC 8446) und der TCP-Nachfolger Quic (RFC 9000). Dauerhafte Identifier wie etwa MAC-Adressen, die bisher eine Zuordnung und Profilierung individueller Geräte/Nutzer erlaubten, sollen künftig durch Randomisierung verschleiert werden.

Man könne sich fragen, warum noch nicht alle verschlüsseln oder warum laut Cloudflare erst 20 Prozent des DNS-Verkehrs tatsächlich verschlüsselt ist, sagte Farrell in San Francisco. Die IETF habe aber die Bausteine für mehr Vertraulichkeit geliefert – sie müssen nun auch genutzt werden.

Nicht nachlassen

Sicherheitsforscher Steve Bellovin warnte vor einem Wiederaufflammen der alten "Crypto Wars" als Reaktion auf die zunehmende Verschlüsselung und forderte die IETF auf, bei der Entwicklung sicherer Lösungen nicht nachzulassen.

Sein Kollege Bruce Schneier, sieht ebenfalls noch viel Arbeit. Snowdens Informationen über Techniken und Taktiken der NSA und andere Dienste seien längst veraltet. "Die NSA hat sich neu aufgestellt. Sie hat heute wieder Möglichkeiten, die wir wieder nur erahnen können." Auch die Regierungen haben ihren Job nicht gemacht, mahnte Schneier. Die US-Regierung etwa lasse der NSA weiterhin fast freie Hand.

Andere, auch die deutsche Regierung, waren kaum besser. Mit der vor dem Verfassungsgericht nach wie vor umstrittenen Neuregelung der Auslandsaufklärung des Bundesnachrichtendienstes (BND) hat die Bundesregierung ihrerseits versucht, zu legalisieren, was der BND bei der Überwachung von Feinden wie Freunden zuvor schlicht illegal getrieben hat.

Überwachungskapitalismus

Als größtes Versäumnis der IETF bezeichnet Farrell schließlich, dass sie nichts gegen den ungebremsten Überwachungskapitalismus getan hat. "Wir tun uns sehr viel leichter, die Regierungen als böse Akteure zu kritisieren, als unsere eigenen Arbeitgeber", sagte Farrell. Das sei verständlich, dennoch müsse sich die IETF mit diesem Punkt auseinandersetzen.

"Wir haben mehr Verschlüsselung heute, ja. Trotzdem haben wir ein schlechteres Netz", sagte Farrell. Die fortschreitende Zentralisierung und das Duopol mobiler Betriebssysteme seinen dafür mit verantwortlich, ebenso wie das allgegenwärtige Tracking zu Werbezwecken.

Bedarf es neuer Leaks, um Entwickler und Nutzer aufzurütteln? "Ich weiß nicht," meint Farrell gegenüber heise online. "Ich für meinen Teil würde es vorziehen, wenn Regierungen und große Unternehmen ihre Zeit auf die Entwicklung von Sicherheit für den Schutz der Nutzer aufwenden würden anstatt darauf, sie auszuspionieren."

