Seit Jahren probt Russland regelmäßig die Abtrennung des eigenen Landes vom Internet – und dann das: Die infolge des Einmarsches russischer Truppen in die Ukraine verhängten Sanktionen haben in den vergangenen Tagen deutlich gezeigt, dass das russische Netz bei weitem nicht so unabhängig ist, wie man es gerne hätte. Gerade der Rückzug großer Firmen hat einige Probleme verursacht, auch gegen Angriffe ist man offenbar nur begrenzt gewappnet – eben weil man viele wichtige Infrastrukturdienste gar nicht selbst im Griff hat.

Maßnahmenpaket

Aktuell versucht die russische Regierung diese Defizite also mit Hochdruck auszuräumen. Nachdem Regierungsseiten bereits vor wenigen Tagen die Nutzung von ausländischem Hosting sowie von in anderen Ländern angesiedelten DNS-Diensten verboten wurde, folgt nun der nächste Streich. Und zwar einer, der dem Staat auch weitreichende Überwachungsmöglichkeiten eröffnet.

Der russische Staat hat in den vergangenen Tagen eine eigene "Certificate Authority" (CA) gestartet. Solche Stellen sind dafür gedacht, um TLS-Zertifikate für Webseiten auszustellen, die dann zur Verschlüsselung des Datenverkehrs am Weg zwischen Nutzer und dem jeweiligen Server verwendet werden. Sie stellen also einen zentralen Punkt moderner Sicherheit im Internet dar, in dem sie sicherstellen, dass am Transportweg der Daten niemand mitlesen kann.

Ein logischer Schritt

An sich ist dieser Schritt durchaus logisch. Immerhin waren schon vorher Befürchtungen laut geworden, dass viele russische Webseiten infolge der Sanktionen ihre Zertifikate verlieren könnten, was für russische Nutzer verheerend wäre. Immerhin hieße das, dass dann all die Kommunikation zu den betroffenen Servern nur mehr unverschlüsselt klappt, im schlimmsten Fall also jemand am Weg selbst die Kommunikation mit Banken einsehen und sogar manipulieren könnte.

Um das zu verhindern, sollen die Nutzer nun das sogenannte Root-Zertifikat der neuen staatlichen Certification Authority installieren. Das ist notwendig, damit die betreffenden TLS-Zertifikate überhaupt vom jeweiligen Browser akzeptiert werden, ansonst verweigert dieser die Verbindung. Eine Ausnahme bildet der Yandex Browser, bei dem besagtes Root-Zertifikat in der aktuellsten Version offenbar schon vorinstalliert ist.

Ein gefährlicher Schritt

Klingt alles nachvollziehbar, hat aber ein nicht gar so kleines Problem. Genau das öffnet nämlich den Weg zur Totalüberwachung des russischen Internets. Theoretisch kann der Staat damit nämlich dann Zertifikate für beliebige Seiten ausstellen und so für "Man in the Middle"-Attacken nutzen. Also den Datenverkehr über eine eigene Zwischenstelle umleiten und dort mitlesen. Die Nutzer würden davon nichts merken, da ihr Browser das falsche Zertifikat für echt hält – nachdem zuvor das Root-Zertifikat akzeptiert wurde.

Es gibt Vorbilder

Einen Beleg dafür, dass dies auch tatsächlich für Überwachung genutzt wird, gibt es bisher nicht. Dass diese Befürchtung mehr als nur ein theoretisches Szenario darstellt, zeigt aber ein Blick in eines der Nachbarländer Russlands. Die Regierung Kasachstans hat nämlich in den vergangenen Jahren bereits mehrfach genau solch eine Methode angewandt, um die eigene Bevölkerung auszuspionieren. (Andreas Proschofsky, 11.3.2022)