China Internetsicherheit nur mit dem Segen der Zensoren

Ein Abgesandter der chinesischen Zensoren darf Internetnutzern jetzt bescheinigen, ob eine Verbindung sicher ist oder nicht. Aktivisten protestieren, Nutzer sind verunsichert. Man kann sich dagegen wehren - wenn man sich auskennt.

Minister Lu Wei: Zuständig für Internetzensur
DPA

Minister Lu Wei: Zuständig für Internetzensur

Von Katharin Tai, Peking


Das Vorhängeschloss soll Abhörsicherheit garantieren. Wer über das Internetprotokoll Hypertext Transfer Protocol Secure, besser bekannt als https, im Internet surft, sieht oft ein kleines Schlosssymbol in der Adressleiste seines Browsers. Es soll anzeigen, dass die Verbindung sicher ist und der Nutzer ihr wichtige Informationen anvertrauen kann. Verbindungen über https sind verschlüsselt und sollen dafür sorgen, dass beispielsweise die Daten, die man beim Onlinebanking eingibt, oder Log-in-Daten für Facebook und Google nicht von Dritten abgegriffen werden können.

Doch seit Anfang des Jahres kann auch der für Internetzensur zuständige Teil der chinesischen Regierung einer Verbindung offiziell bescheinigen, dass sie sicher ist. Viele chinesische Nutzer sind skeptisch, ob man ihr vertrauen sollte. Allein innerhalb des letzten Jahres wurde die "Cyberspace Administration of China" beschuldigt, bei Angriffen auf iCloud und Microsoft auf Nutzerdaten zugegriffen zu haben.

Warum also bekommt sie einen Vertrauensvorschuss, wenn es um verschlüsselte Internetverbindungen geht? Hintergrund ist die Funktionsweise des Systems, das um https herumgebaut ist, denn das Protokoll geht weit über die technische Ebene hinaus: Es ist auf einige Instanzen angewiesen, die Vertrauen vergeben können, die sogenannten Zertifizierungsstellen oder certificate authorities (CAs). Wer die Log-in-Daten für sein Onlinebanking eingibt und sie über https verschlüsselt verschickt, möchte sicher sein, dass der Empfänger wirklich seine Bank und nicht eine von Hackern aufgesetzte Seite ist, die nur so aussieht wie das Onlineportal der Bank. Hier kommen die Zertifizierungsstellen ins Spiel: Sie können Zertifikate vergeben, die Seiten bescheinigen, dass sie sind, wer sie vorgeben zu sein. Es handelt sich also um eine Art Personalausweis für Webseiten.

Chinesische Aktivisten protestieren

Wer diese Zertifikate vergeben kann, entscheiden für die meisten Nutzer faktisch ihre Browser. Die haben eine Liste von Zertifizierungsstellen, denen sie vertrauen - und diese Liste enthält bei den meisten Browsern auch das CNNIC, das Chinese Network Information Center. Offiziell ist es mit der Administrierung des Internets in China beauftragt und unterstand lange offiziell der Chinesischen Akademie der Wissenschaften. Mit der chinesischen Internetzensur hat es erst einmal nichts zu tun, auch in Deutschland gibt es ein Network Information Center.

Das hinderte chinesische Aktivisten - unter ihnen die Gründer des Antizensur-Projekts GreatFire - jedoch nicht daran, zu protestieren, als das CNNIC 2010 offiziell in die Liste der vertrauenswürdigen Zertifizierungsstellen von Mozillas Browser Firefox aufgenommen wurde. Damals fiel auch auf, dass viele andere Browser dem CNNIC längst vertrauten.

"Das CNNIC war an der Verbreitung von Malware beteiligt", schrieb ein Nutzer damals in den Mozilla-Foren, "man muss den Namen nur auf Chinesisch googlen und schon findet man Tausende von Leuten, die wissen wollen, wie sie den Virus des CNNIC wieder von ihren Computern entfernen können."

"Bisher gibt es keine Beweise"

Die Proteste 2010 hatten jedoch keine Konsequenzen - und das CNNIC blieb in der CA-Liste Mozillas und aller anderen Browser. Richard Barnes, Manager der Kryptografieabteilung bei Mozilla, erklärt, warum: "Wir hatten weitere Diskussionen und beschäftigen uns weiter mit der Frage regierungskontrollierter Zertifizierungsstellen. Wir gehen aber von der Annahme aus, dass Beschuldigungen alleine nicht ausreichen. Und bisher gibt es keine Beweise, dass das CNNIC an Attacken auf Nutzer beteiligt war oder seine Privilegien missbraucht hat."

Anfang des Jahres zog das CNNIC durch einen Führungswechsel erneut die Aufmerksamkeit chinesischer Internetaktivisten auf sich: Der neue Direktor wurde direkt von der Chinese Cyberspace Administration ernannt. Zusammen mit ihrem Minister Lu Wei, der nebenbei auch für die regierungseigene Propagandaabteilung arbeitet, ist diese Behörde für den Aspekt des chinesischen Internets zuständig, für den es notorisch ist: Zensur.

Unter Lu Wei wurde die im letzten Jahr auch noch deutlich angezogen. Das neue Jahr feierte die Behörde mit der endgültigen Sperrung aller Gmail-Dienste und vieler Tunnelprogramme (VPNs), die besonders Ausländer, die in China arbeiten, nutzten, um auf gesperrte Seiten wie Facebook oder Gmail, aber auch firmeneigene Netzwerke zuzugreifen.

Trotz Beschwichtigungen misstrauen viele User der Regierung

Nachdem es unter Lu Wei 2014 angeblich auch zahlreiche Angriffe seitens der chinesischen Regierung auf Dienste wie iCloud gab, beklagte GreatFire im Januar, die Internetzensurbehörde kontrolliere nun faktisch die chinesische Zertifizierungsstelle: "Wie wir in der Vergangenheit berichtet haben, war das CNNIC direkt in Attacken auf Seiten wie Apple, Google, Yahoo und Microsoft beteiligt oder hat diese autorisiert." GreatFire befürchtet, dass die Behörde ihre so neu gewonnene Kontrolle nutzen könnte, um Nutzer effektiver auszuspionieren und beispielsweise Log-in-Daten für die E-Mail-Konten von Dissidenten abzugreifen.

Peter Eckersley von der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) kann die Skepsis verstehen, mahnt aber: "Eine Institution wie die chinesische Regierung hat so viele Ressourcen, dass sie es gar nicht nötig hat, sich so offensichtlich an einer Attacke zu beteiligen." Er findet auch die Forderung, das CNNIC nun aus der Liste vertrauenswürdiger Zertifizierungsstellen zu streichen, problematisch. Mit einem Mal würden Browser vielen Seiten nicht mehr trauen, eine solche Maßnahme könne zahllose falsche Sicherheitswarnungen verursachen.

Auch Richard Barnes von der Mozilla Foundation hält die Forderung für überzogen: "Allein ein Wechsel in der Kontrolle einer Zertifizierungsstelle ist noch kein Grund, ihr nicht mehr zu trauen. Bei kommerziellen Anbietern kommt das dauernd vor." Stattdessen verweist er erneut darauf, dass Mozilla das Thema im Auge behalte und erst handeln werde, wenn es stichhaltige Beweise für Fehlverhalten des CNNIC gebe.

Viele chinesische Nutzer trauen ihrer Regierung jedoch trotz dieser Beschwichtigungen nicht. Ein User meinte schon während der Diskussion 2010: "Ich für meinen Teil habe CNNIC direkt manuell aus der Liste vertrauenswürdiger CAs gelöscht." Gut, dass das geht - schade, dass es nur Nutzer tun können, die sich mit dem Thema besser auskennen.



Forum - Diskutieren Sie über diesen Artikel
insgesamt 8 Beiträge
Alle Kommentare öffnen
Seite 1
hermannheester 08.02.2015
1. Jeder ist sein eigener Zensor?
Die Zensur ist im Internet keine rein chinesische Erfindung. Wieviele wohlgemeinte und wohlformuliert-durchdachte Beiträge verschwinden im deutschen Internet. Wer sich nicht als Hofberichterstatter oder Trittbrettfahrer eignet, wird totgeschwiegen. Internet machts möglich.
Baribal 09.02.2015
2.
"schade, dass es nur Nutzer tun können, die sich mit dem Thema besser auskennen."? Ernsthaft? Ich hab' mal absichtlich nicht gegoogled, sondern einfach blind 'drauflosgeklickt. Edit -> Preferences -> Advanced -> Certificates -> View Certificates -> Authorities. Voila, da ist die Liste aller CAs. Hat etwa zwei Minuten gedauert, sie zu finden. CNNIC zu entfernen ist eine Sache von anklicken und "Delete or Distrust" klicken. Damit sollten heutzutage wirklich nur noch die allerletzten Neuländler Probleme haben.
multi_io 09.02.2015
3.
Zitat von hermannheesterDie Zensur ist im Internet keine rein chinesische Erfindung. Wieviele wohlgemeinte und wohlformuliert-durchdachte Beiträge verschwinden im deutschen Internet. Wer sich nicht als Hofberichterstatter oder Trittbrettfahrer eignet, wird totgeschwiegen. Internet machts möglich.
Wenn Forumsbetreiber XY Ihre Beiträge nicht veröffentlichen will, hat das mit Zensur nix zu tun. Machen Sie einen Blog auf oder verbreiten Sie sich über Facebook oder Youtube, wenn Sie meinen, dass es wichtig ist.
hansgustor 09.02.2015
4. Ca
Die größten Zertifizierungstellen sind in den USA ansässig, zum Glück muss man sich da nicht um seine Datensicherheit sorgen. *hust* NSA *hust*
hansgustor 09.02.2015
5. @baribal
Es war nicht gemeint, dass die Einstellung so kompliziert ist, sondern dass der normale Internetnutzer das System nicht kennt und nicht weiß dass er unnötige CAs entfernen sollte.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.