Bundestrojaner: PGP-Schlüssel sind bei StartMail sicher
Staatstrojaner scheitert an StartMail-Sicherheitsmaßnahmen
Zeist (pts011/19.11.2015/09:30) Deutschland entwickelte einen Bundestrojaner, die Schweiz kaufte einen Staatstrojaner. In Österreich ist der Einsatz einer solchen Spionage-Malware im Gespräch. PGP-User, die ihre Schlüssel auf dem eigenen Computer verwalten und PGP über ein Add-On nutzen, sind einem hohen Risiko ausgesetzt.
Vor einiger Zeit wurde StartMail https://www.startmail.com von einem namhaften IT-Magazin kritisiert, weil die PGP-Schlüssel beim E-Mail-Service selbst gespeichert werden. Unabhängig von der mangelhaften Recherche (die StartMail-User können ihre Schlüssel sehr wohl selbst verwalten, wenn sie das möchten), haben die verantwortlichen Redakteure bei ihrer Kritik auch den Einfallsreichtum neugieriger Regierungsstellen oder den Einsatz von Malware außer Acht gelassen. Denn die Verwahrung und Verwaltung des privaten PGP-Schlüssels ist eine sehr sensible Angelegenheit, wie die aktuelle Debatte um den Bundestrojaner erneut beweist.
In der Schweiz wurde Regierungsrat Mario Fehr im Sommer dieses Jahres mit Negativ-Schlagzeilen konfrontiert. Er hatte den Kauf von Staatstrojanern um mehr als eine halbe Mio. Franken genehmigt, obwohl die rechtliche Grundlage für den Einsatz des Trojaners fehlte. In Deutschland hat das Bundeskriminalamt laut Innenministerium die erste eigene Späh-Software entwickelt; an der Entwicklung des "Folgeprodukts", einer Quellen-TKÜ-Software, ist angeblich sogar die Tochterfirma eines NSA-Dienstleisters beteiligt. In Österreich gibt man sich seitens der Regierung (noch) bedeckt
Bundestrojaner als Ermittler-Werkzeug
Derzeit liegt in Österreich ein Gesetzesentwurf für den Einsatz eines Staatstrojaners vor. Das Justizministerium dementiert zwar, dass solche Pläne in der aktuellen Gesetzesnovelle enthalten sind, jedoch nicht deren Existenz. In Kombination mit dem Staatsschutzgesetz, das höchstwahrscheinlich demnächst verabschiedet wird, ist der mögliche Einsatz eines Staatstrojaners jedoch höchst brisant.
Die Behörden dürfen - wenn das Gesetz in dieser Form verabschiedet wird - einen Rechner mit Schadsoftware infizieren und die Kontrolle übernehmen. Technisch gesehen bedeutet dies einen Vollzugriff auf alle Komponenten und Speichermedien. Da auch keine Beschränkung der sogenannten "Verwertbarkeit von Zufallsfunden" vorgesehen ist, sind auf dem PC verwahrte PGP-Schlüssel künftig ein begehrtes Gut bei Ermittlern.
PGP-Schlüssel und Add-Ons rücken ins Ziel der Ermittler
Es versteht sich von selbst, dass vor allem verschlüsselte Inhalte für staatliche Spitzel interessant sind. Wie sicher diese Schlüsselpaare auf dem eigenen Rechner überhaupt verwahrt werden können, ist derzeit schwer zu beantworten. Denn Hacker und staatliche Überwacher sind bekanntlich äußerst kreativ, wenn sie an Daten herankommen wollen. Die von vielen Usern verwendeten Add-Ons bzw. Plug-Ins sind natürlich ebenfalls angreifbar, wie die Erfahrung bereits gezeigt hat.
Aus diesem Grund ist beim E-Mail-Service StartMail die Speicherung und Verwaltung der PGP-Schlüsselpaare innerhalb des persönlichen User-Tresors eines jeden Kunden standardmäßig vorgesehen. Die gesamte Schlüsselverwaltung, alle Ver- und Entschlüsselungsprozesse und natürlich auch die Aufbewahrung des Schlüsselpaares findet im virtuellen Tresor statt (LUKS Volume 4096bit PGP-verschlüsselt). Nur auf ausdrücklichen Wunsch können Nutzer ihre Schlüssel selbst verwalten, womit sie sich jedoch einem unkalkulierbaren Risiko aussetzen - nicht nur in Hinsicht auf Bundestrojaner.
Jörg Bauer, DACH-Sprecher von StartMail, Ixquick und StartPage: "Natürlich muss man uns vertrauen. Aber eben nur uns und wir haben uns in den letzten 15 Jahren das Vertrauen einer riesigen weltweiten Gemeinschaft durch Fleiß und Ehrlichkeit erworben. Wir leben in Zeiten von BigData. Und wir sind der Meinung, es gibt einen gewissen Bereich in unserem Leben, in dem andere Menschen nichts zu suchen haben. Dazu gehören im Internet vor allem Suchmaschinen und unsere private Korrespondenz. Denn eine Suchmaschine belügt man nicht und das Briefgeheimnis muss eine Selbstverständlichkeit bleiben. Bei uns ist gewährleistet, dass eure Daten und eure Kommunikation nur euch etwas angeht. Deshalb speichern wir und loggen wir nichts und verhindern nach Leibeskräften, dass andere dies tun. "
(Ende)| Aussender: | StartMail BV |
| Ansprechpartner: | Jörg Bauer |
| Tel.: | +49 3222 109 51 30 |
| E-Mail: | jorg@startmail.com |
| Website: | www.startmail.com |
