netzpolitik.org

Sprechblasen-Aktion von Tripwire Inc auf der RSA-Konferenz 2013. Wie würden die Antworten dieses Jahr wohl aussehen? CC-BY-NC-ND 2.0 via Flickr/tripwireinc

Anfang der Woche hatten wir über den offenen Brief von anfänglich 207 Wissenschaftlern gegen Massenüberwachung berichtet. Aber nicht nur durch Briefe, sondern auch durch Boykotts kann man klar Stellung beziehen. Das geschieht jetzt vermehrt in Bezug auf die RSA-Konferenz, die Ende Februar in San Francisco stattfinden wird.

Grund ist ein Bericht der Nachrichtenagentur Reuters vom 20. Dezember. In diesem wurde über einen 10 Millionen US-Dollar schweren Vertrag zwischen der NSA und RSA Security berichtet. RSA Security ist ein 1982 von Rivest, Shamir und Adleman gegründetes IT-Sicherheitsunternehmen, zu dessen bekanntesten Produkten die Programmbibliothek BSAFE zählt. Die soll eigentlich für Sicherheit sorgen, wurde aber durch die NSA kompromittiert. Das deutete sich schon im September an – da warnte RSA bereits vor ihrem eigenen Produkt, oder besser gesagt vor einem darin als Standardeinstellung enthaltenen Zufallsgenerator. Das zugrunde liegende Verfahren wurde damals auch von der Standardisierungsbehörde NIST als potentiell unsicher deklariert.

Dass RSA Security sich in Kooperation mit der NSA daran beteiligten, dieses kompromittierte Verfahren als Standard zu setzen, war damals jedoch noch nicht bekannt. Und selbstverständlich bestreitet RSA auch heute noch eine geheime Abmachung zur wissentlichen Schwächung der Sicherheitsbibliothek. Natürlich habe es eine Zusammenarbeit mit der NSA gegeben, aber immer in transparenter Form und um bestmögliche Kryptoverfahren zu entwickeln.

Viele Wissenschaftler halten dieses Dementi für scheinheilig und ziehen nun Konsequenzen, indem sie die kommende RSA-Konferenz boykottieren. Auch eingeladene Sprecher haben bereits abgesagt, darunter Sicherheitsexperten von Google, der Datenschutzbeauftragte von Mozilla und  der Forschungsleiter von F-Secure, Mikko Hypponen, der mit seinem offenen Brief vom 23. Dezember der erste war, der diese Konsequenz öffentlich gezogen hat.

Spannend ist in diesem Zusammenhang auch eine Abstimmung bei OWASP, ob ein von ihnen geplanter Workshop angeboten werden soll oder nicht. Die laufenden Abstimmungsergebnisse sind leider nicht öffentlich sichtbar, aber wir warten gespannt auf die Endergebnisse am 14. Januar – vor allem, da OWASP auch (noch) zu den Sponsoren der Konferenz gehört.

Es ist zu begrüßen, dass sich immer mehr Gruppen öffentlich positionieren. Und auch wenn damit noch lange nicht die Geheimaktivitäten der NSA gestoppt werden, kann man vielleicht den öffentlichen Druck auf die aktiven Kollaborateure erhöhen. Denn wer weiß, über welche Zusammenarbeit wir im Laufe der nächsten Veröffentlichungen von Snowden-Dokumenten als nächstes erfahren.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.