Vertrauen im Netz

  • 15.04.2014
  • Autor: Harro Müller
Die Sicherheit im Internet basiert auf Vertrauen. Wieviel davon ist überhaupt noch übrig und was können wir tun, um das Vertrauen zu stärken?

Unbeschwert surfen

Die meisten Menschen machen sich keine Gedanken darüber, ob die von ihnen benutzte Software im Internet sicher ist. Das ist einerseits natürlich fahrlässig, andererseits bewegen sich diese Menschen unbeschwerter im Netz. Es kann auch nicht Aufgabe einer normalen Privatperson sein, alles über IT-Security zu wissen. Grundlage für diese Unbeschwertheit ist das Vertrauen in bestimmte Dinge oder Personen. Normale Anwender vertrauen den Software-Herstellern oder einer Zwischeninstanz, die diese Software empfiehlt, z.B. bestimmte Software-Verzeichnisse oder einem Bekannten, der sich "auskennt". Diese Zwischeninstanzen vertrauen wiederum auch auf irgendetwas, z.B. einem automatischen Virentest der angebotenen Software. Oder sie vertrauen, wenn sie der Entwickler der Software sind, auf ihre Fähigkeiten.

Chain of Trust

Diese Abfolge von Instanzen nennt man auch "Chain of Trust", eine Vertrauenskette also. Jede weitere Instanz vertraut immer darauf, dass die davor vertrauenswürdig ist und so weiter. Eine solche Kette ist also immer nur so stark wie ihr schwächstes Glied, das gilt auch im Internet. Und je länger die Kette, desto unsicherer kann sie sein. Nun fällt es spätestens seit Snowden und allerspätestens seit Heartbleed sehr schwer, ins Netz und im Netz zu vertrauen. Das dürfte zumindest allen so gehen, die sich etwas tiefer mit der Materie beschäftigen. Denn das Chain-of-trust-Prinzip ist auch die technische Grundlage für Verschlüsselung und Identifizierung im Netz.

Root Certificate Authorities

Ein Server im Internet, der seinen Besuchern Verschlüsselung per SSL/TLS anbieten möchte, braucht dazu ein Zertifikat. Das erhält er von einer Certificate Authority (CA), also einer Zertifizierungsstelle. Von den grundlegenden CAs, den Root CAs, gibt es nur eine Handvoll. Eine dieser CAs prüft dann z.B., dass die Domain www.facebook.com auch wirklich von Facebook betrieben wird und verbürgt sich letzten Endes dafür. Wenn ein Internetnutzer jetzt Facebook mit seinem Browser besucht, prüft dieser das Zertifikat der Website anhand eines bestimmten kryptologischen Verfahrens. Dadurch kann ermittelt werden, ob eine der Root CAs das Zertifikat tatsächlich ausgestellt hat. Das gilt als mathematisch abgesichert, man darf dem Verfahren also gern vertrauen - zumindest technisch. Was aber, wenn eine der Zertifizierungsstellen beispielsweise von der NSA kompromittiert wurde? Es könnte sein, dass man dort eingedrungen ist und bestimmte Master-Keys gestohlen hat. Dann könnte die NSA sich selbst Zertifikate ausstellen und sich letzten Endes als Facebook im Netz ausgeben. Technisch ist das nicht trivial, aber bekanntermaßen verfügt der Geheimdienst ja über unglaubliche Mittel. Dann würde die schöne Vertrauenskette wie ein Kartenhaus in sich zusammenfallen. Gleiches gilt, wenn in einem Webbrowser etwas eingebaut wäre, das behauptet, eine Website wäre vertrauenswürdig, obwohl sie es offiziell gar nicht ist.

Letzte Hoffnung Open Source

Wie kommen wir darauf, unserem Webbrowser zu vertrauen? Weil wir vielleicht den Hersteller schon gut kennen und seine Qualität schätzen oder weil ihn so unglaublich viele Leute nutzen? Oder weil er von einem Softwareverzeichnis empfohlen wird? Die beste Sicherheit geben derzeit Open-Source-Produkte. Hier arbeiten viele Entwickler unentgeltlich an einem Produkt, dessen Quellcode offenliegt und theoretisch jederzeit auf Schwachstellen oder absichtliche Hintertüren überprüft werden kann. Natürlich nur von Technikern. Dass Open-Source-Code nur dann etwas wert ist, wenn er auch vernünftig kontrolliert wird, zeigte unlängst Heartbleed, die eklatante Sicherheitslücke in der Verschlüsselungsbibliothek OpenSSL. Hier wurde zwar ein Programmierfehler begangen, aber er wurde bei der Sicherheitsüberprüfung auch nicht entdeckt. Wie man es dreht und wendet, aus irgendeiner Quelle müssen wir unser Vetrauen beziehen. Am besten ist aber, in ein nicht-kommerzielles Kollektiv zu vertrauen, das ausgereifte Kontrollmechanismen entwickelt hat und diese offen auslebt. Das kann ein normaler Anwender natürlich nicht überprüfen. Für ihn bleibt es dabei, dass er einer anderen Person oder Institution vertrauen muss.