© Andrey Prokhorov, Getty Images

Digital Life
11/14/2019

Gibt es einen Generalschlüssel für das Internet?

Sieben Schlüssel in den Händen von 14 Menschen: Sie haben eine wichtige Funktion, um Teile des Internets zu schützen.

Heute, am 14. November findet die 39. „Key Ceremony“ im Osten der USA statt. Die Zeremonie findet vier Mal pro Jahr statt, zwei Mal an der Ostküste, zwei Mal an der Westküste. Immer abwechselnd. Sieben Personen, die auf der ganzen Welt verteilt sind, fliegen auf ihre eigenen Kosten oder die ihres Arbeitgebers in die USA, um an der Schlüsselzeremonie teilzunehmen. Diese ist öffentlich, allerdings gibt es aufgrund des Platzlimits nur Zutritt für wenige Personen. Man muss sich 45 Tage vor der Zeremonie anmelden. In den Händen der sieben Personen liegt, setzt man alle Teile zusammen, ein wichtiger Teil, um das Internet zu kontrollieren.

Was passiert bei dieser Zeremonie?

Die Zeremonie wird von Mitarbeitern der Internet Corporation for Assigned Names and Numbers (ICANN) durchgeführt. Die Behörde ist dafür zuständig, dass numerische Internetadressen Websites und Computer zuzuweisen und diese in normale Webadressen zu übersetzen. ICANN kartiert dabei die Nummern mit Wörtern. Konkret geht es bei der Zeremonie um die Authentifizierung und Kontrolle der Daten im Domain Name System (DNS) und die Security Extensions (DNSSEC). Das sind Internetstandards, die das DNS um wichtige Sicherheitsmechanismen erweitern.

Der Zugriff aufs DNS muss geschützt sein, denn wenn ein Mensch, oder ein Kollektiv, ein einzelner Staat oder ein Geheimdienst die Kontrolle über die Datenbank erlangt, könnten diese Personen das gesamte Internet kontrollieren. Sie könnten die Namen anderen Nummern zuweisen und somit Menschen auf gefälschte Seiten locken, um ihre Daten zu stehlen.

Schlüsselbesitzer mit unterschiedlichen Rollen

Bei der ICANN hat nicht eine einzelne Person Zugriff auf dieses System, sondern diesen haben nur die sieben Schlüsselbesitzer - und jeweils sieben Ersatzpersonen für den Fall der Fälle, dass diesen etwas passiert - gemeinsam. Es gibt also unterschiedliche Rollen für die unterschiedlichen Personen. Sieben Personen besitzen einen klassischen Metallschlüssel, der zu einem Sicherheitstresor passt, in dem eine Smartcard liegt. Mit dieser Smartcard lässt sich der Generalschlüssel in Betrieb nehmen. Mit diesem Schlüssel wiederum, der einen Code enthält, lässt sich das DNS kontrollieren. Die sieben Backup-Personen haben andere Mechanismen, die im Ernstfall zum Einsatz kommen.

Die Schlüssel-Zeremonie dauert in etwa fünf Stunden, wie ein Journalist, der vor ein paar Jahren an der sonst geheimen Mission teilnehmen konnte, berichtet. Die Sicherheitsmaßnahmen bei der Zeremonie sind streng: Sie umfassen mehrere Checks. Zuerst müssen die Personen einen PIN-Code eingeben, dann werden sie einem Smartcard- und Biometrie-Check unterzogen. In einem weiteren Check in einem weiteren Raum, der von jedem nur einzeln betreten werden kann, werden noch einmal Smartcards, Fingerabdrücke und Codes notwendig, um sich auszuweisen.

Spezialwissen

Alle der Personen haben IT-Security-Hintergrundwissen und arbeiten schon lange in der Branche. Zusätzlich gibt es sieben Ersatzpersonen als Backup. Der Journalist beschreibt die Schlüsselbesitzer als „Männer im mittleren Alter, die T-Shirts und Jeans tragen.“ Einer von ihnen kommt aus Portugal, einer aus Spanien und einer aus Uruguay. Seit 2010 treffen sich die Schlüsselhalter vier Mal im Jahr. Nach rund fünf Stunden verlassen die Männer wieder einzeln durch die Sicherheitstüren den Raum - um sich zum Abendessen an einem weniger geheimen Ort erneut zu treffen.

Doch handelt es sich bei dem geheimen Treffen jetzt wirklich um einen "Generalschlüssel" für das gesamte Internet? Hier klärt die ICANN in einem Blogposting auf: "Das Internet ist mehr als DNSSEC. Es besteht aus verschiedenen Systemen und die DNS ist nur eine davon. Die Kontrolle über einen Aspekt des Internets, heißt nicht, dass man volle Kontrolle über die anderen Aspekte hat."

Anmerkung aus Gründen der Transparenz: Der Text wurde am 14.11. um 13.36 Uhr noch einmal bearbeitet und umgeschrieben. Wir haben vor allem das Blogposting der ICANN berücksichtigt und weisen darauf hin, dass es sich nicht um einen generellen "Generalschlüssel für das Internet" handelt.