„Russischer Geheimdienst will Dienste wie Skype, Gmail oder Hotmail kontrollieren“ las ich gerade in einer Nachricht auf „Heise-Online“. Und weiter „Dem FSB bereite der massenhafte Einsatz solcher Services, die ausländische Verschlüsselungstechnologien einsetzten, zunehmend schlaflose Nächte“. Und noch weiter „die Anbieter sollten offenbar dazu gedrängt werden, in ihre Kryptographielösungen Hintertüren für den FSB einzubauen“. Und
„Vertreter des russischen Parlaments, der Duma, und Sicherheitsexperten vermuteten gegenüber der Moscow Times, dass der Geheimdienst reguläre Verschlüsselungsmechanismen bereits knacken könne. Dies gehe häufig aber nicht schnell genug. Vertreter von Google und Microsoft versicherten gegenüber der Zeitung ihre Bereitschaft, mit den Behörden eng zusammenarbeiten zu wollen.“
Solche Forderungen sind nicht wirklich neu und nicht auf Russland beschränkt, sie führen jedoch erneut vor Augen,
- wie stark Geheimdienste auf jegliche Kommunikation zugreifen wollen, aber auch,
- dass aktuelle Verschlüsselungstechnik einen Schutz davor bietet.
Man kann in Russland, wie in den meisten, auch westlichen, Ländern der Welt davon ausgehen, dass es einen regen Austausch von Informationen zwischen den Geheimdiensten und der jeweils heimischen Wirtschaft gibt. Wenn also ein Geheimdienst – und ausdrücklich sind hier nahezu alle westlichen Dienste eingeschlossen – Informationen enthält, die der heimischen Wirtschaft nützen könnten, so werden diese Informationen genutzt werden.
Mögliche Hintertüren in Verschlüsselungsprodukten stellen also für Unternehmen große Risiken dar, die zu erheblichen wirtschaftlichen Schäden führen können. Die Kooperationsbereitschaft der großen Hersteller von Verschlüsselungstechnologie und die fehlende Offenlegung der Produkte deutet nicht auf eine hohe Schutzwirkung hin.
Der Verlass auf ein einzelnes, proprietäres Verschlüsselungsprodukt muss daher als Schutzmechanismus vor ausländischen Konkurrenten als Leichtsinn bezeichnet werden. Dies weniger, weil die Konkurrenten die Möglichkeiten hätten, den Schutz auszuhebeln, sondern vielmehr, weil die Konkurrenten von den Ergebnissen der jeweils heimischen Dienste profitieren könnten.
Ob der pragmatische Ansatz „Man nehme ein amerikanisches, ein französisches und ein chinesisches Produkt in Kombination“ sicher ist, sei einmal dahingestellt. Und auch der Einsatz von Open-Source-Verschlüsselungstechnologien (bzw. deren Implementierungen) birgt das Risiko, dass Hintertüren nicht entdeckt wurden. Trotzdem ist ein Vertrauen auf viel genutzte und weltweite verbreitete Open-Source-Lösungen sicherlich berechtigt, da diese Lösungen von allen, eben den konkurrierenden Diensten und Experten begutachtet werden. Und solange ein Produkt von diesen noch eingesetzt wird, kann man fast davon ausgehen, dass sie noch keine Lücke gefunden haben.