Wenn eine Regierung Internetnutzer zwingt, Spionagebackdoors zu installieren

4. Dezember 2015, 10:38
10 Postings

Ab 1. Jänner müssen kasachische Internetnutzer ein "nationales Sicherheitszertifikat" herunterladen

Am 1. Jänner 2016 tritt in Kasachstan eine umstrittene Maßnahme in Kraft. Die KazakhTelecom spricht in einer Aussendung von einem "nationalen Sicherheitszertifikat" für alle Desktop-Computer und mobilen Geräten, um Bürger zu schützen, "wenn sie verschlüsselte Zugangsprotokolle zu fremden Internetressourcen" nützen. Für Kritiker ist allerdings klar, dass es sich dabei um eine Maßnahme zur Überwachung der Nutzer handelt.

Spionage statt Sicherheit

Nutzer müssen das "Sicherheitszertifikat" über die Website des Telekomunternehmens installieren. Es wird für iOS, Android, Windows und Macs veröffentlicht. Für Linux gibt es das Zertifikat nicht. Die Meldung wurde im Pressebereich des Telekomunternehmens veröffentlicht, nach mehreren Medienberichten inzwischen allerdings wieder von der Seite genommen. Die Gründe dafür sind unklar. Über den Google-Webcache findet man sie noch.

Laut Sicherheitsexperten soll es mit dem Zertifikat allerdings möglich sein, Kommunikation und Surfverhalten von Nutzern mitzulesen wenn sie über verschlüsselte Verbindungen surfen, berichtet die New York Times. Das wäre ein klassisches Man-in-the-middle-Angriffsszenario. Offenbar muss das Telekomunternehmen überwachen, ob seine Kunden das Zertifikat installiert haben.

Internetzensur

Kasachstan gilt bei der Internetfreiheit als einer der repressivsten Staaten. Laut Human Rights Watch werden seit 2012 verstärkt Nachrichtenwebsites blockiert. Der Computerwissenschaftler Steven M. Bellovin von der Columbia Universität geht davon aus, dass auch das Sicherheitszertifikat Teil dieses Zensurapparats ist. Es sei ein ernsthaftes Sicherheitsrisiko für kasachische Nutzer, keine private Nachrichten verschicken und empfangen zu können, sagt er zur New York Times. Außerdem könnte das Zertifikat von Hackern manipuliert werden.

Internetkonzerne wie Google, Facebook und Microsoft könnten den Aussteller des Sicherheitszertifikats auf eine Blacklist setzen, wie es bereits bei ähnlichen Fällen in der Vergangenheit geschehen ist. Damit wären zahlreiche Seiten für Nutzer in Kasachstan nicht mehr erreichbar. (br, 4.12.2015)

  • Die kasachische Regierung will Nutzer offenbar dazu zwingen ab 1. Jänner Zertifikate zu installieren, die eine Überwachung ermöglichen. (Im Bild die Hauptstadt Astana)
    foto: afp photo/brendan smialowski/pool

    Die kasachische Regierung will Nutzer offenbar dazu zwingen ab 1. Jänner Zertifikate zu installieren, die eine Überwachung ermöglichen. (Im Bild die Hauptstadt Astana)

Share if you care.