Version 1.0, 24.09.2013
Es ist ein eigener kleiner Skandal, dass die investigativen deutschen Medien bisher nicht mit einer gemeinsamen Erklärung (oder wenigstens mit einzelnen) zu der für sie vitalen Frage reagiert haben, wie ihr technischer Informantenschutz in Zukunft aussehen soll. Einer der Gründe dafür dürfte sein, dass die Verantwortlichen die technischen Implikationen der NSA-Enthüllungen nicht verstanden haben:
Es wird keinen Snowden 2 geben, solange die Medien ihre Hausaufgaben nicht machen!
Der Grund dafür ist, dass Kryptografieexperten klar ist, wie sich die Welt dadurch geändert hat:
Glenn Greenwald (Snowdens Kontakt beim Guardian) hatte keine Ahnung von Kryptografie und wohl auch nicht von IT-Sicherheit im allgemeinen. Entsprechend stümperhaft wird er die Technik genutzt haben.
Kryptografie ist kein Schutz vor der NSA, wenn sie nicht auf höchstem Niveau (das bezieht sich primär auf das Drumherum; die Kryptografie an sich ist leicht sicher zu verwenden) angewendet wird.
Der Kontakt Snowdens zu Greenwald war nicht deshalb unentdeckt möglich, weil die beiden mit toller Technik die technisch mächtigste Organisation der Welt ausgetrickst hätten, sondern nur, weil der NSA zu dem Zeitpunkt nicht klar war, wonach sie (auch) suchen muss! Diesen Fehler wird sie kein zweites Mal machen.
Auf dem technischen Niveau von Greenwald wird sich kein Wistleblower bei klarem Verstand mehr auf einen Kontakt einlassen.
Einer der ganz großen Gurus der IT-Sicherheits-Szene, Bruce Schneier, sagt: if the NSA wants in to your computer, it's in. Period.
Er sagt zwar auch, This kind of thing is only done against high-value targets
, aber wer, wenn nicht ein Snowden wäre ein high value target für die US-Behörden?
Zumindest diejenigen Medien, die sich als potentielles Ziel für Leute mit derart heiklen Informationen sehen, müssen sich belastbare technische Vorgaben von Experten machen lassen, wie sie die Technik gestalten sollten, über die sie von solchen Leuten erreichbar sein sollten. Wenn sie eine Empfehlung von Experten bekommen, die sowohl das BSI als auch der CCC öffentlich absegnen, dann hat man nicht nur die nötige technische Sicherheit, sondern auch die nötige Transparenz darüber.
Der zweite Schritt ist, dass sich sinnvollerweise die Chefredakteure und Verlagsleiter der betroffenen Medien eine gemeinsame Erklärung veröffentlichen, dass sie dafür sorgen innerhalb einer konkreten Zeitspanne diese Sicherheit bieten zu können. Ergänzend sollte angekündigt werden, dass die Redaktionen auch auf einem niedrigeren, alltagstauglichen Niveau mit Kryptografie ausgerüstet werden (nicht nur für E-Mail, sondern auch für Chat).
Eine Folge dessen sollte sein, dass jedes Printmedium die Fingerprints seiner wichtigsten Schlüssel (Zertifizierungsschlüssel) und der Serverzertifikate (Web, Mail, Chat) in jeder Ausgabe abdruckt.