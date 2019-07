In Kasachstan zwingt die Regierung des Landes offenbar ihre Internet-Nutzer auf Provider-Ebene zur Installation eines staatlichen TLS-Zertifikats, worüber sich sämtlicher per HTTPS verschlüsselter Internet-Verkehr abfangen und entschlüsseln lässt. Alle Internet-Nutzer des zentralasiatischen Landes werden von den lokalen Internet Service Providern (ISP) seit Kurzem angehalten, ein von der Regierung herausgegebenes Zertifikat auf ihren Geräten und in den Browsern zu installieren, damit das Surfen im Netz weiterhin möglich ist, berichtet ZDnet.

User sollen Root-Zertifikat vertrauen

Laut dem ZDnet-Bericht sind die örtlichen ISPs angewiesen, seit Mittwoch dieser Woche ihre Benutzer zur Installation eines vom kasachischen Staat herausgegebenen TLS-Zertifikats als Root-CA (Certificate Authority) in den Pool vertrauenswürdiger Zertifikate zu zwingen. Damit lässt sich aller verschlüsselter Verkehr dechiffrieren und vom Staat filtern (zumindest alle Websites, an denen die Regierung interessiert ist, wie Soziale Medien und Suchmaschinen), was einem Man-in-the-Middle-Angriff (MITM) auf die Netzkommunikation gleichkommt.

Der kasachische Provider Kcell etwa schreibt auf einer englischsprachigen Webseite zur Begründung, die Maßnahme diene dem Schutz des lokalen Internets vor Hackern, Online-Betrügern und anderen Cyber-Bedrohungen. Damit würden die Internetnutzer des Landes vor Hackerangriffen sowie vor dem "Betrachten illegaler Inhalte" geschützt, was eine verklausulierte Formulierung für das Spionage-Interesse des Staates ist.

Installiere man das Zertifikat nicht, könne es "zu Problemen beim Zugriff auf manche Webseiten" kommen, schreibt Kcell in seinen FAQ. Nutzer ohne dieses Zertifikat würden auf eine Webseite mit einer entsprechenden Installationsanweisung umgeleitet, schreibt ZDnet. Auf die Frage in den Kcell-FAQ, ob das Zertifikat den Schutz der persönlichen Daten beeinträchtige, lautet die irreführende Antwort, das Sicherheitszertifikat habe "keinen Zugriff auf persönliche Daten" – tatsächlich haben die kasachischen Behörden damit jeden Zugriff auf vertrauliche Daten, die durch HTTPS-Verbindungen geleitet werden.

Zweiter Versuch Kasachstans nach 2015

Die kasachische Regierung hat zudem versucht, über Mozilla ihre Root-CA in den Pool vertrauenswürdiger CA-Zertifikate des Firefox-Browsers aufnehmen zu lassen. Im Mozilla-Bugtracker wird dieser Versuch abgelehnt, weil er de facto ein MITM-Angriff sei. Dort wird zudem vorgeschlagen, das Zertifikat auf eine Sperrliste zu setzen, damit auch das manuelle Installieren durch den Browser-Benutzer abgelehnt wird. Bereits 2015 unternahm Kasachstan den Versuch, eine eigene Spionage-CA in Firefox zu integrieren, was in Diskussionen einhellig verworfen wurde.

Der Versuch einer quasi 'offiziellen' Spionagemaßnahme des HTTPS-Traffics im eigenen Land per Anweisung an die ISPs wirkt eher hilflos, wenn man ihn mit dem weitaus subtileren Vorgehen von Geheimdiensten und Security-Unternehmen weltweit vergleicht, die eigene CA-Zertifikate zu platzieren versuchen, wie etwa vor einiger Zeit der Fall Darkmatter zeigte. (tiw)