Er ist NetBSD-Entwickler, hat das Usenet mit geschaffen und 1994 das erste Buch über Firewalls geschrieben. Fünf Jahre später riet er ab und empfahl, alles Monitoring direkt auf die Endpunkte zu verteilen. Damit war der mit zahlreichen Preisen ausgezeichnete Informatiker Steven Bellovin der Diskussion um Sicherheit im Internet fast 30 Jahre voraus. Heute lehrt und forscht er an der Columbia Universität und versucht Brücken zu schlagen zwischen Politik und Technik. 2015 sagte er auch im Verfahren Amnesty gegen die NSA zur Überwachung von US-Amerikanern durch FISA aus, als Kronzeuge der Bürgerrechtler. Im Interview am Rande der Internet Engineering Task Force in Montreal spricht er über die erneut aufflammende Verschlüsselungsdebatte und Vertraulichkeit im Netz.

Die englische Originalversion dieses Interviews ist ebenfalls auf heise online nachzulesen.

Wenn Regierungen über Nachschlüssel verfügen

"Missing Link" Was fehlt: In der rapiden Technikwelt häufig die Zeit, die vielen News und Hintergründe neu zu sortieren. Am Wochenende wollen wir sie uns nehmen, die Seitenwege abseits des Aktuellen verfolgen, andere Blickwinkel probieren und Zwischentöne hörbar machen. Mehr zum Feuilleton "Missing Link" mehr anzeigen

heise online: US Justizminister William Barr hat auf einer Cyber-Security-Konferenz in New York gerade angedroht, dass Facebook und anderen Plattformen nicht mehr viel Zeit bleibt, um Hintertüren für die Strafverfolgung in ihrem Service zu bieten. Ist dies einfach nur eine weitere Welle in der bekannten Kryptodebatte, oder ist es dieses Mal anders?

Steven M. Bellovin (Bild: columbia.edu)

Steven Bellovin: Teilweise ist es einfach eine neue Welle. In einem bemerkenswerten Detail greift Barr aber zugleich auch auf eine frühere Phase zurück. In den letzten paar Jahren ging es stets um verschlüsselte Geräte, aber Barr hat in seiner Rede auch über verschlüsselte Kommunikation gesprochen. Das ist ein ganz anderes Problem, ein Problem von ganz anderem Kaliber. Ich halte es letztlich für ein unlösbares Problem, wegen der diplomatischen Hürden. Wenn die Vereinigten Staaten über Nachschlüssel verfügen, wie kann man dann dem Vereinigten Königreich – unserem engsten Verbündeten – solche Schlüssel verwehren? Was ist mit den anderen Five-Eye-Partnerländern, was mit der NATO, China, Russland, Israel und so weiter und so weiter. Und wenn man das macht, welcher Regierungsschlüssel ist dann jeweils maßgeblich für eine Kommunikation?

Sagen wir mal, die chinesische Regierung kommt zur US-Regierung und sagt, hier ist eine verschlüsselte Kommunikation, bitte entschlüsselt das mal für uns. Ist das der Terrorist, gegen den die USA Ermittlungen selbst befürwortet? Ist es ein Uigure aus Chinas Nordwesten? Ist es ein Demonstrant für mehr Demokratie in Hongkong? Oder ist es ein amerikanischer Geschäftsreisender? Wie will man das diplomatisch geregelt bekommen? Ich halte das für unlösbar. Wenn wir zur Entschlüsselung der Kommunikationsströme zurückkehren, dann ist das ganz klar eine Eskalation.

heise online: Worin unterscheiden sich Barrs Aussagen sonst?

Steven Bellovin: Die andere interessante Aussage Barrs kann man so zusammenfassen: Also so sicher sind eure Systeme ja doch nicht, was macht da ein bisschen mehr Unsicherheit schon aus? Also, mit der Absicherung der Kommunikation haben wir einen der wenigen Security-Mechanismen, der wirklich funktioniert. Warum sollten wir den wieder schwächen? Vor allem, wenn es sehr ernst zu nehmende Bedrohungen durch Kriminelle gibt. Die meisten Kriminellen geben sich aktuell noch nicht damit ab, die Verschlüsselung von Kommunkation zu brechen. Aber das werden sie tun. Vor zwanzig Jahren oder so habe ich mit einer Ermittlerin aus dem Bereich Narkotika gesprochen. Sie hatte einen regelrechten Horror vor den damals unter Clipperchip bekannt gewordenen Plänen. Sie dachte an südamerikanischen Drogenbanden, die genug Geld und genug kriminelle Energie besaßen, um sich gewaltsam Zugang zu den entsprechenden Datenbanken zu verschaffen. Sie würden einfach Ermittler unter Druck setzen oder jemanden bestechen oder erpressen und sich so Zugang verschaffen. Damit hätten wir eine Riesenschwachstelle, die die Kartelle ausnutzen würden – genau die Leute, die man festnageln will, raffinierte Kriminelle der Oberklasse. Sie war entsetzt. Man kann sich kaum vorstellen, dass ein solcher Vorschlag aus dem Justizministerium kommt. Und da sind wir nun wieder angelangt. Natürlich gibt es Sicherheitsmechanismen für solche Systeme, klar, und die meisten Angreifer werden nicht versuchen, die verwendete Krypto zu brechen. Aber die cleveren schon und vielleicht schaffen sie es. Beispielsweise der Iran.

"Meine Bilanz als Prophet ist lausig"

heise online: Die Forderungen nach Hintertüren und Nachschlüsseln wurden bislang noch jedes Mal wieder abgeschmettert. Erwarten sie, dass es dieses Mal anders sein könnte?

Steven Bellovin: Meine Bilanz als Prophet ist lausig. Ich versuche deshalb erst gar nicht, Vorhersagen zu machen. Halte ich Barrs Ideen für falsch? Auf jeden Fall. Werde ich mich weiter dagegen aussprechen? Auf jeden Fall, ja. Wer wird gewinnen? Es ist kein Kampf, den man ein für alle Mal gewinnt oder verliert. Wir dachten im Jahr 2000, die Schlacht um Verschlüsselung sei gewonnen, nachdem die USA ihre Forderungen nach Exportkontrolle und Schlüsselhinterlegung hatten fallen lassen. 10 Jahre später stand das FBI da und jammerte über „going dark“ und wieder ein paar Jahre später waren es die verschlüsselten iPhones, die das ganze wieder aufs Tapet brachten, und jetzt ist es erneut ein heißes Eisen. Das hört nicht auf. Man kann den Kampf um die Verschlüsselung genau genommen bis in die 70er Jahre zurück verfolgen, als Diffie und Hellman rumgelaufen sind und über Verschlüsselung gesprochen haben. Damals schrieb ein NSA-Mitarbeiter, angeblich in seiner Freizeit und in eigener Regie einen Drohbrief, dass sie mit ihren Vorträgen gegen die Exportkontrollregeln verstoßen würden. Es gab damals ein Programm, sich freiwillig der Zensur zu unterwerfen. Man ermunterte Wissenschaftler, ihre Beiträge vorzuglegen. Aber es hat nicht so richtig funktioniert, nur wenige Leute haben das gemacht. Es gab Geheimhaltungsauflagen für Patente. Das war 1970. Also der Kampf ist nicht neu und man kann ihn nicht ein für alle Mal gewinnen.