Die Internet Engineering Task Force (IETF) hat am gestrigen Mittwoch ihre Antwort auf die Enthüllungen von Edward Snowden gegeben. Praktisch ohne Gegenstimmen verabschiedeten die 1500 Teilnehmer des 88. Treffens der Internet-Standardisierungsorganisation in Vancouver, dass sie künftig mehr Verschlüsselung, auch opportunistische - also weitgehend automatische - Verschlüsselung, in ihre Protokolle einbauen wollen. Außerdem sollen die Protokolle vor der Verabschiedung im Standardisierungsprozess auf ihre Anfälligkeit gegen "massenhafte, ubiquitäre Überwachung" überprüft werden. Geteilter Meinung war das voll gepackte Plenum des IETF-Treffens lediglich im Hinblick auf die Frage, ob man sichere Alternativen zu populären Protokollen und Anwendungen wie DropBox anbieten will.

Mit einem klassischen "Hum" verabschiedeten die Entwickler das seltene politische Statement und gaben damit auch dem Crypto-Experten Bruce Schneier eine Antwort. Schneier, der von Edward Snowden zur Verfügung gestellte Dokumente zu den Überwachungsprogrammen der NSA analysierte, hat die Entwickler im September mit einem Blogpost aufgefordert, sich das Internet zurückzuholen.

Das Internet zurückholen

Die NSA habe mit ihren Programmen von "Muscular" bis "Egotistical Giraffe" das Kommunikationsmedium Internet in eine "gigantische Überwachungsplattform" verwandelt, sagte Schneier in Vancouver. Über die vielen bereits bekannten Programme, die mit ihren Namen teilweise Hinweise auf Ziele geben, gebe es aber "noch viel, viel mehr, wie wir noch sehen werden", sagte Schneier und ergänzte: "Wir werden wahrscheinlich niemals genau wissen, welche Produkte alle manipuliert wurden." Die Überwachungsprogramme bezeichnete er "rechtlich, technisch und politisch" erschreckend robust.

Politische Antworten auf die Überwachung nutzten jedoch nichts, wenn es sich nur um US-Gesetze handelt, sagte Schneier. Diese schützten außerhalb der USA nicht und auch nicht gegen Überwachungsprogramme anderer Länder, obgleich deren Techniken nicht so weit gediehen sind. Es bedürfe auf jeden Fall eines neuen Systems der Netzverwaltung. "Das ist US-zentrisch, basierend auf dem Glauben, dass die USA irgendwie im Interesse der ganzen Welt handelt. Doch das ist vorbei", so Schneier. Es müsse ein kluges neues System her, mahnte er "oder es wird am Ende die ITU". Politische Lösungen würden dann möglich, wenn "wir jedermann davon überzeugen können, dass ein sicheres Internet im aller Interesse ist", sagte Schneier.

Vergesst die Motive, das ganze politische Zeugs

Nicht anders als eine Attacke und zwar als massive Attacke aufs Netz müsse die IETF die Massenüberwachung behandeln. "Vergesst die Motive, das ganze politische Zeugs. Wenn man sich die Aktionen der NSA und ihrer mehr oder weniger freiwilligen Partner ansieht, dann ist es ein mehrseitiger Angriff", sagte Stephen Farrell, Security Area Direktor der IETF. Farrell unterstrich auch noch einmal, dass viele der genutzten Techniken den Entwicklern bekannt waren, die Ausnutzung all dieser Möglichkeiten auf einmal und permanent, sei aber überraschend. Allein die Inhalte von Gmail habe sich die NSA auf drei verschiedene Arten beschafft, bekräftigte Schneier. Er warnte auch vor den Konsequenzen eines Internet of Things. Die Politik sei schlecht darin, das große Ganze im Auge zu behalten und diskutiere heute Drohnen, morgen Gesichtserkennung und dann Bewegungssensoren.

Als Antwort empfahlen Schneier ebenso wie Farrell viel mehr Kryptographie an allen möglichen Stellen. Die IETF habe teilweise vielleicht zu hoch gesteckte Ziele, denn vom Plaintext direkt zur vollen zweiseitig authentifizierten Verschlüsselung sei ein großer Sprung. Aber immerhin mehr opportunistische Verschlüsselung sei bereits in der HTTPBis-Arbeitsgruppe auf dem Weg, so Farrell. "Selbst schlechte Verschlüsselung", so Schneier, "erhöht schon die Kosten". Ein erschwerter Zugriff sei vielleicht das Beste, um die Geheimdienste dazu zu zwingen, sich wieder auf "Ziele von großem Interesse" zu konzentrieren.

In der ausführlichen Debatte mit dem Plenum rieten die Experten auch dazu, wieder viel stärker Ende-zu-Ende-Konzepte einzubeziehen und zentrale Server aus dem Spiel zu nehmen. E-Mail habe man bislang vor allem deshalb über einen Mailserver beim Provider abgewickelt, weil das Gegenüber nicht online war. Heute besäßen viele Leute Geräte, die immer online seien, sodass der zentralistische Ansatz nicht unbedingt notwendig sei.

Man kann technisch auf die Attacke antworten, also machen wirs

Der Vorsitzende der IETF, Jari Arkko, der in den vergangenen Wochen mehrfach zu den Snowden-Enthüllungen Stellung bezogen hatte, sagte in Vancouver, man habe möglicherweise jetzt eine einmalige Chance. Plötzlich mache es auch wirtschaftlich Sinn, mehr für die Sicherheit zu tun.

Den vielen IETF-Protokollen, die für mehr Sicherheit sorgen könnten, fehlt es an Verbreitung. Arkko kündigte an, die heutige Antwort der IETF-Community in einen RFC zu fassen. Farrell unterstrich, man könne "technisch auf die Attacke antworten", also "machen wirs". (dz)