Statt wie andere Regierungsmitglieder eine offizielle state.gov-Adresse zu nutzen, griff die ehemalige US-Aussenministerin und mögliche demokratische Kandidatin für die nächste Präsidentschaftswahl, Hillary Clinton, zu einem privaten E-Mail-Server. Das Gerät stand über die gesamte Amtszeit bei ihr daheim und nutzte die Domain clintonemail.com.

Dieser nun bekannte Umstand sorgt nun für Kritik. Denn diese Praxis soll die von der Regierung auferlegten Regeln für Dokumentation und Transparenz verletzt haben, weil sie etwa die Erfüllung von Anfragen erschwert, die Journalisten unter Berufung auf den Freedom of Information Act stellen. Doch es gibt ein weiteres, großes Problem damit: Sicherheit.

Ressourcenunterschiede

So wie die NSA etwa weiß, welche indischen und spansichen Regierungsvertreter Gmail und Yahoo nutzen, dürften andere Geheimdienste mit an Sicherheit grenzender Wahrscheinlichkeit Kenntniss von Clintons unorthodoxer Lösung gehabt haben, schildert Chris Soghoian, Technikchef der American Civil Liberties Union gegenüber Wired. Private Lösungen für Politiker-E-Mails seien vergleichbar dazu, ein Haus außerhalb eines Sicherheitszauns zu errichten, gibt er zu bedenken.

Allein durch den Unterschied an verfügbarem Personal ergibt sich signifikantes Risikopotenzial, meint Soghoian. Die IT-Crew des Aussenministeriums prüft die Server im eigenen Haus regelmäßig auf Schwachstellen und mögliche Angriffe. Gleichzeitig ist auch die NSA in den Schutz der IT-Infrastruktur involviert.

Wer stattdessen auf Google, Microsoft oder einen anderen Dienstleister setzt, kann von diesen Ressourcen nicht profitieren, sich aber immerhin darauf berufen, dass auch bei diesen Unternehmen komptetentes Personal arbeitet. Die Sicherheit von Clintons E-Mails hing jedoch alleine von ihren eigenen Ressourcen ab.

Registrar mit Vorgeschichte

Die Domain clintonemail.com ist außerdem bei einem privaten Registrar namens Network Solutions angemeldet. Dieser 2010 bereits einmal Opfer eines großen Hacks geworden. Wenn es jemandem gelingt, die Domain zu kapern, könnte er auf diesem Wege Nachrichten abfangen, umleiten und E-Mails im Namen von Clinton verschicken.

Selbst wenn Clinton sich über diese Adresse nur privat ausgetauscht habe, ist dies eine beunruhigende Vorstellung, da selbst scheinbar triviale Kommunikationsinhalte für Geheimdienste von hohem Wert sein können. Ein Grund, warum die NSA über lange Zeit das Privathandy von Angela Merkel abgehört hat.

Ungültige TLS-Zertifikate

Es gibt bislang keine Hinweise, dass Clintons E-Mail-Konto jemals kompromittiert worden sei, trotzdem ist davon auszugehen, dass clintonemail.com leichter zu kapern ist, als eine state.gov-Adresse. Lücken existieren aber auf beiden Seiten, so stellte ein Experte noch vor wenigen Tagen fest, dass bei beiden aktuell ungültige TLS-Zertifikate verwendet werden.

Das US-Aussenministerium hatte 2014 temporär sein E-Mail-System stilllegen müssen, nachdem der Verdacht aufgekommen war, dass russische Hacker sich Zugriff auf Nachrichten – wenn auch keine unter erhöhter Geheimhaltungsstufe – verschafft hatten. Ob es eine derart schnelle Reaktion gegeben hätte, wäre ein versierter Hacker auf Clintons Server gelangt, darf angezweifelt werden. (gpi, derStandard.at, 05.03.2015)