Überwachung
© jeffschuller / cc by 2.0 flickr.com/photos/jeffschuler/2585181312Das FBI will auch bei Onlinekommunikation mithören
Internetkommunikation soll bei Bedarf einfach "mitgeschnitten" werden können

Mit beunruhigenden Forderungen lässt erneut das FBI aufhorchen. Überwachung, wie man sie dort heute schon bei Telefonie bedarfsmäßig durchführen kann, soll in einer ähnlichen Form auch auf Online-Kommunikation ausgedehnt werden. Dafür soll die bestehende Gesetzesgrundlage, "CALEA 2" (Communications Assistance Law Enforcement Act) ausgeweitet werden.

Überwachung über Provider-Schnittstelle nicht effektiv

Die Idee ist, so berichtet FM4, offenbar, dass bei einem Verdacht gegen einen Nutzer, via Schnittstelle unkompliziert dessen Gebahren im Internet mitverfolgt werden können soll. Diese Hintertür kann praktisch aber nur auf zwei Arten implementiert werden - die beide problematisch sind.

In ersterem Fall wird eine https-Verbindung (Secure HTTP) über gefälschte Zertifikate vom Provider an einen bestimmten Rechner weitergeleitet, der sie ungesichert an den Endpunkt weiterleitet und ausliest. Auf diesem Wege wäre eine Überwachung möglich, von welcher der Nutzer nichts mitbekommt.

Diese Methode gelangt jedoch an ihre Grenzen, wenn besser geschulte User ein VPN verwenden. In diesem Falle ließe sich eine Manipulation der Verbindung erkennen. In Sachen Internettelefonie wäre diese Art der Überwachung bei moderneren Systemen überhaupt wirkungslos, da Verschlüsselung und Kommunikation nicht unmittelbar über den Provider laufen.

Hintertür beim User hochgefährlich

Dieser Schwächen ist sich auch das FBI bewusst und hält daher eine Automatisierung der Überwachung für einen ebenfalls gangbaren Weg. Statt wie bei GSM-Überwachung einen zentralen Punkt beim Provider zu verwenden, soll die Schnittstelle bereits am Rechner der Zielperson vorhanden sein. Dies bedeutet, dass im Browser oder anderer Software eine Möglichkeit für umfassenden Fernzugriff geschaffen werden müsste.

Problematisch ist dies, weil die Strafverfolger damit einerseits zu Methoden greifen würden, die sonst von Cyberkriminellen genutzt werden und andererseits, weil eine auf diesem Wege geschaffene Schwachstelle für selbige einladender sein könnte, als eigene Malware zu entwickeln und zu verbreiten. Einmal geknackt könnten ihnen Tür und Tor zu sensiblen Daten von Millionen Usern offen stehen.

Dementsprechend warnt ein Expertengremium vor den Plänen und schlägt im Gegenzug vor, die Vorgehensweise je nach Bedarf im Einzelfall zu wählen, anstatt eine Universallösung anzustreben. Ein Gutachten (PDF), das die Probleme der Gesetzesausweitung in Form einer Überwachungsschnittstelle beim User aufzeigt, wurde von 20 namhaften Personen aus dem Bereich der IT-Sicherheit unterschrieben - darunter PGP-Erfinder Phil Zimmermann.

Umsetzung schwierig

Bislang, so FM4 weiter, gar nicht in die Diskussion eingebracht wurde, dass es wohl einfacher wäre, große US-basierte Plattformen wie Facebook zur Implementation eines Überwachungszugangs zu verpflichten. Dass ein solcher unbemerkt bei Browsern wie Chrome oder Firefox - die beide quelloffen sind - eingerichtet werden kann, ist nämlich anzuzweifeln.

(red)

Links

FM4
Gutachten zu CALEA 2 (PDF)