26.09.2001

Keine Angst vor Mathe

Trotz der Überwachung des Internets schlägt der Codemaker den Codebreaker.

Die sinnfreie Meldung »Nazis nutzen das Internet« lässt sich überbieten: »Ussama bin Laden nutzt Steganografie.« Man muss nur zwei Begriffe kombinieren, die scheinbar nicht zueinander gehören. Das kommt gut in den Medien. Das Klischee des Glatzkopfs, der als Synonym für »Nazi« durch die Medien geistert, passt nicht zum gar nicht mehr so neuen Internet. Und ein Turban- und Bartträger mit wilden und gefährlichen Ansichten, so er nicht in Indien lebt, sondern im ebenso wilden und gefährlichen Afghanistan, passt nicht zur High-Tech-Kryptografie und zu geheimnisvollen Dingen, die mit »Stegano« beginnen.

Schon im Februar spukte das Bild in einigen US-Medien herum. USA Today meldete, moslemische Terroristen nutzten populäre Webseiten, um verschlüsselte Botschaften weiterzugeben. Als Quelle wurden »US-Geheimdienste« angegeben. Ein »Experte« behauptete, der amerikanische Geheimdienst habe erhebliche Schwierigkeiten, diese Nachrichten abzufangen. Am 19. September goss dann die Washington Post Öl ins Feuer: Die US-amerikanische Regierung suche Experten, die dabei helfen können zu verstehen, wie Ussama bin Laden das Internet »benutzt haben könnte«, um verschlüsselte Botschaften an seine Gesinnungsgenossen zu schicken. In den letzten drei Jahren hätten Agenten der Geheimdienste Indizien dafür gefunden, dass die Terrorgruppe um bin Laden geheime Nachrichten im »Web« (gemeint ist das Internet) übermittelt hat. Der Versuch, diese Nachrichten zu entschlüsseln, sei fehlgeschlagen. Es gebe zahlreiche Programme, die die Kommunikation der Surfer vor den Augen des Gesetzes schützen. In einem waren sich auch deutsche Medien weitgehend einig: Ussama bin Laden benutze Satellitentelefone und moderne Kommunikationstechnik »auf höchster Verschlüsselungsstufe«. Und seitdem er wisse, dass er abgehört werde, immer öfter.

Die eigentliche Botschaft hinter diesen weitgehend frei erfundenen Meldungen ist klar: Das darf nicht sein. Nur wenige Stunden nach den Anschlägen tauchten Beamte des FBI bei großen Internetprovidern auf, um ihr umstrittenes Lauschsystem Carnivore zu installieren. AOL und Earthlink erklärten sich diensteifrig zur Zusammenarbeit bereit, bekundeten aber, dass sie Carnivore nicht brauchten, weil sie ihre Nutzer ohnehin überwachten. Mit Carnivore kann das FBI nach Angaben des Wall Street Journal Millionen von E-Mails in einer Sekunde kontrollieren sowie nach bestimmten Kriterien scannen und und damit verdächtige herausfiltern. Das ist nicht unrealistisch, denn schon das Vorgängermodell Omnivore überprüfte sechs Gigabyte in der Stunde. Der US-Kongress hat mit dem Combating Terrorism Act of 2001 am 13. September ein Gesetz verabschiedet, dass die totale Kontrolle der digitalen Kommunikation auch ohne richterliche Zustimmung erleichtert. Nicht nur der Austausch von E-Mails, sondern auch, wann welcher User welche Websites besucht hat, soll protokolliert werden.

Der britische Militärhistoriker John Keagan dachte sich im Daily Telegraph ein hübsches Szenario aus. Wenn Washington ernsthaft gegen den Terrorismus vorgehen wolle, »dann wird es Internetprovidern verbieten müssen, die Übertragung von verschlüsselten Botschaften zu erlauben, die jetzt mit öffentlichen Schlüsseln kodiert werden, die selbst von den Computern der National Security Agency nicht geknackt werden können, und es wird jeden Provider aus dem Verkehr ziehen müssen, der hier mitmacht. Sich verweigernde Provider im Ausland werden davon ausgehen müssen, dass ihre Gebäude durch Cruise Missiles zerstört werden.« Der republikanische Abgeordnete Judd Gregg forderte bereits dazu auf, die Verwendung starker Verschlüsselung erneut zu beschränken oder nur noch zu gestatten, wenn Hintertüren für die Sicherheitsbehörden eingebaut sind.

Wer die technischen Voraussetzungen für die Lieblingsidee aller Geheimdienste und innenpolitischen Hardliner, die prophylaktische und totale Kontrolle aller Bürger, realistisch einschätzen kann, wird nur mit dem Kopf schütteln. Zwar hat die US-amerikanische Regierung immer wieder versucht, den Export von Verschlüsselungssoftware zu verbieten, zu behindern oder wenigstens zu kontrollieren - sie blieb aber ohne Erfolg.

Daran wird sich nichts ändern, auch wenn jetzt Gesetze hysterisch durchgepeitscht werden, die alles unter pauschalen Terrorismusverdacht stellen, was mit dem kreativen Gebrauch mathematischer Formeln zusammenhängt. Die Europäsische Union hatte schon vor den Anschlägen in den USA ihren Terrorismusbegriff erweitert auf »Angriffe durch die Verwendung eines Informationssystems«.

Die Obrigkeiten und Geheimdienste aller Länder stehen mit dem Rücken an der Wand. Es merkt nur kaum jemand, dass das Publikum sich jetzt schon ohne großen Aufwand erfolgreich davor schützen kann, ausspioniert zu werden, trotz Carnivore, trotz Telekommunikations-Überwachungsverordnung, trotz Echelon. Die öffentliche Diskussion über die Überwachung der Kommunikation der Bürger, entbehrt jeder sachlichen Grundlage. David Kahn, der Nestor der Kryptografie, fasste die Situation 1996 schlicht zusammen: »Das Wettrennen der Codemaker mit den Codebreakern ist entschieden, die Codemaker haben gewonnen.«

Seitdem es asymmetrische Kryptografie gibt, d.h.seitdem Verschlüsselungsverfahren ohne einen Generalschlüssel auskommen, der irgendwo hinterlegt werden könnte, ist es aus mathematischen Gründen nicht mehr möglich, die Algorithmen zu knacken, mit denen z.B. Pretty Good Privacy (PGP), der weltweite Standard für E-Mail-Verschlüsselung, arbeitet.

Das stärkste Argument, das die Befürworter des Überwachungsstaates haben, wird jedoch noch viele Jahre ziehen: die Dummheit und Trägheit der User. Obwohl PGP schon seit mindestens einem halben Jahrzehnt frei verfügbar ist und jetzt sogar mit grafischer Benutzeroberfläche, die selbst einen Windows-Nutzer nicht erschreckt, wird es nur von einem verschwindend geringen Prozentsatz derjenigen benutzt, die meinen, sie schrieben elektronische Briefe. E-Mails sind Postkarten - jeder, der Zugriff auf einen Rechner hat, über den die Mails laufen, kann sie lesen. Wegen der geringen Anzahl von Netzknoten in Deutschland ist es kein allzu großer Aufwand, den Datenverkehr zu scannen, auch ohne Carnivore.

Genauso lange wie PGP existieren kostenlose steganografische Programme. Sie schmuggeln kodierte oder unkodierte Texte in Bilddateien und entfernen sogar alle Indizien, dass es sich - falls jemand die Datei überprüft - bei dem scheinbaren Datensalat um eine verschlüsselte Nachricht handelt. Sogar für DOS-Rechner gab es so etwas schon. Usama bin Laden könnte also in den afghanischen Bergen selbst mit einem 386er-PC, besäße er ein Satellitentelefon samt Modem, geheime Mails schreiben und diese Anwendung verbergen.

Vor ein paar Tagen musste das FBI kleinlaut zugeben, dass die des Terrorismus Verdächtigten offenbar ihre E-Mails nicht verschlüsselt haben. Alles war nur heiße Luft. Der Bürgerrechtler Kristian Köhntop hat die Diskussion um »böse« Software« schon vor Jahren resümiert: »Das einzig wirklich gefährliche Tool sitzt zwischen den Ohren und vor dem Bildschirm.« Aber die Gesetze zur Kontrolle werden durchgewinkt. Sie wirken wie Drogenprophylaxe: Alle haben ein gutes Gewissen, aber die Wirkung bleibt aus.

www.burks.de