Schlüssel zur Macht

Um das wichtigste Serversystem des Internets zu schützen, trifft sich eine Gruppe von Computerexperten alle paar Monate zu einer Zeremonie wie aus dem Agentenfilm: Nur wenn drei von ihnen gleichzeitig ein bestimmtes Schließfach öffnen, ist das Internet wieder für eine Weile sicher. Ein Besuch hinter den Stahltüren.

Das Terremark Building, eine Festung aus Beton und Stacheldraht, gelegen am 18155 Technology Drive in Culpeper, Virginia, ist eines der sichersten Rechenzentren der Welt. Es ist so gut geschützt, dass sogar die amerikanische Regierung hier ihre geheimen Dokumente speichert. In einem Seitentrakt liegt ein Raum, der auf dem offiziellen Gebäudeplan nicht eingezeichnet ist. Darin befinden sich, hinter Gittern aus Stahl, zwei Tresore. Ihr Inhalt ist der wohl am besten gehütete Schatz des Internets.

Culpeper liegt etwa 120 Kilometer südlich von Washington, weit genug, um einen Atomangriff auf die amerikanische Hauptstadt zu überstehen. »Wir rechnen immer mit dem Schlimmsten«, sagt Richard Lamb. Lamb, ein schmächtiger Mann mit Halbglatze, Hornbrille und Doktortitel in Elektrotechnik, arbeitet für die Internetverwaltung ICANN, Internet Corporation for Assigned Names and Numbers, die das technische Herz des Internets kontrolliert: das Domain Name System (DNS), eine Art Telefonbuch des weltweiten Datenverkehrs. Wer in seinen Browser www.sz-magazin.de tippt, wird durch DNS auf einen Server mit der IP-Adresse 195.50.177.184 umgeleitet, wo die Website eigentlich gespeichert ist. Ohne DNS wäre keine Seite auffindbar, und ein Chaos im Web wäre die Folge.

Meistgelesen diese Woche:

Dieses wichtige System gilt es zu schützen. Darum hat Lamb an diesem Tag im April zu einer Zeremonie geladen, die wirkt wie aus einem Agententhriller: Eine Gruppe von Technikern, genannt »Crypto Officers«, besitzt Schlüssel für ein Schließfach. Darin befinden sich Computer, die sich nur starten lassen, wenn eine bestimmte Zahl dieser Schlüsselträger anwesend ist. Die Schlüssel sind über die Welt verteilt, und die Schlüsselträger dürfen nie im selben Flugzeug reisen – damit im Falle eines Absturzes nicht alle tot sind. Sieben Schlüssel gibt es für Culpeper an der amerikanischen Ostküste. Zur Sicherheit steht an der Westküste ein fast identisches Datenzentrum mit sieben anderen Schlüsselträgern. Für die Zeremonie müssen mindestens drei Schlüsselträger alle drei Monate abwechselnd in Ost und West zusammenkommen, um einen sogenannten Masterschlüssel zu erzeugen, einen digitalen Code, der die Einträge des DNS-Servers aufs Neue absichert – sonst könnten Hacker Millionen von Websites kapern und Schadsoftware verbreiten.

Für den höchst unwahrscheinlichen Fall, dass allen 14 Schlüsselträgern etwas zustößt (oder beide Rechenzentren zerstört werden), gibt es noch sieben »Recovery Key Share Holders« mit speziellen Speicherkarten, die das System im Notfall an einem geheimen Ort wiederherstellen könnten.

Um die Schlüsselträger ranken sich wilde Gerüchte: Wären sie in der Lage, das Internet wieder neu zu starten, wenn es durch eine Naturkatastrophe oder einen Anschlag lahmgelegt wäre? Oder, noch wichtiger: Könnten sie das Internet abschalten?

Eins jedenfalls zeigt die Zeremonie: Damit das Internet funktioniert, ist viel Aufwand nötig. Denn die Infrastruktur des Webs ist, wie das Stromnetz oder die Wasserversorgung, sehr komplex – und lebenswichtig. Nur dass sich kaum jemand darüber Gedanken macht. »Wir wollen, dass die Leute uns vertrauen«, sagt Lamb. Es ist nicht klar, ob er damit ICANN meint oder das Internet insgesamt.

Vor einer grauen Stahltür wartet Lamb zusammen mit einer Gruppe – 19 Männer und zwei Frauen – auf Einlass in den Tresorraum. Die meisten sind Mitte vierzig, tragen ausgebeulte Jacken und Joggingschuhe, in denen offenbar nie gejoggt wurde.

Was in den nächsten drei Stunden passieren wird, ist in einem 25-seitigen Dossier genau festgelegt, insgesamt 103 Schritte in drei Akten müssen befolgt werden, um den Superserver zu sichern. Um 12.03 Uhr tritt Richard Lamb vor einen Irisscanner, ein Lichtstrahl tastet sein Auge ab, mit einem Sirren geht die Tür auf. Die Zeremonie kann beginnen.

Akt 1, Schritt 1: Der Administrator prüft die Kameras. Jeder Schritt wird gefilmt, für die Archive. Die Zeremonie wird live ins Internet übertragen.

Der Zeremonienraum ist eine Mischung aus Wartezimmer und Fort Knox: Zirka 30 Quadratmeter groß, es gibt weder Fenster noch Handyempfang, auf grauem Teppich stehen fest montierte Stuhlreihen, an der Stirnseite ein Schreibtisch. Höchstens 24 Menschen sind in dem Raum zugelassen, außer den Schlüsselträgern noch Techniker, unabhängige Beobachter, sogar Wirtschaftsprüfer von PriceWaterhouseCoopers, die für viel Geld alles protokollieren. Rechts vom Schreibtisch befindet sich eine Art Stahlgitterkäfig, zehn Quadratmeter groß, darin stehen die Tresore. Nicht mal Reinigungspersonal darf hier rein, ein ICANN-Mitarbeiter hat den Raum vor der Zeremonie gefegt.

Auch für Journalisten ist kein Platz vorgesehen. Das SZ-Magazin war bei der Zeremonie dabei, weil sich eine Lücke fand: Wir haben uns als externe Zeugen angemeldet, eine im Ablaufplan fest vorgesehene Rolle, die jeder Mensch ausfüllen kann, der eine Sicherheitskontrolle besteht (wir mussten unsere Passdaten vorab nach Culpeper schicken). Doch der Umgang mit Journalisten klappt noch nicht reibungslos: Als unser Fotograf im Foyer des Zeremonienraums seine Kamera auspackt und ein paar Bilder macht, droht ein bewaffneter Sicherheitsmann, ihn aus dem Gebäude zu entfernen. Zum Glück greift Richard Lamb beschwichtigend ein.

»Ich will, dass das Netz unzerstörbar ist«

Akt 1, Schritte 4–7: Die Schlüsselträger werden in den Tresorraum eskortiert, um Safe #2 zu öffnen.

Einer der Schlüsselträger heißt Gaurab Upadhaya, ein Nepalese mit Seitenscheitel und Kordsakko, er sitzt bei der Zeremonie ganz vorn. Er saß für die Zeremonie 16 Stunden im Flugzeug und klingt ein bisschen aufgeregt, als er von seiner Aufgabe erzählt.

»Die Idee ist einfach«, sagt er: »Das Internet ist zu wichtig, um von einer Organisation kontrolliert zu werden.« Darum hat er sich vor vier Jahren beworben, nachdem ICANN eine Stellenausschreibung auf ihre Website gestellt hatte: Gesucht wurden unabhängige Computerexperten aus der ganzen Welt, die bereit sind, alle paar Monate zur Zeremonie zu reisen. Sie bekommen kein Geld, damit ihnen nicht Bestechlichkeit vorgeworfen werden kann. Warum macht er das? »Aus Überzeugung. Ich will, dass das Netz unzerstörbar ist«, sagt Upadhaya. Hat er Angst, dass ihm der Schlüssel geklaut werden könnte? »Nein. Nicht mal meine Frau weiß, wo ich ihn aufbewahre.« Er lacht. Ihm gefällt die Rolle als Gralshüter des Web.

Die Schlüsselträger stammen unter anderem aus Brasilien, Benin und Mauritius, sie wechseln sich ab. Aus Deutschland kommt keiner, aus Europa sind nur Schweden und die Niederlande vertreten. Jeder besitzt zwei identische Schlüssel, einer muss immer in einem Banktresor liegen, einen anderen haben sie zu Hause. Fotos der Schlüssel dürfen nicht gemacht werden, die Schlüsselträger sind verschwiegen, kaum jemand in ihrem Umfeld weiß von ihrer Aufgabe. Wenn ihn jemand fragt, was er wieder in den USA treibe, sagt Upadhaya: Dienstreise. Für ihn ist es die dritte Zeremonie. Auf dem Weg zum Tresor hält er seinen Schlüssel fest in der Hand. Klein, silberglänzender Stahl, es könnte auch ein Briefkastenschlüssel sein.

Krachend fällt die Tür des Käfigs ins Schloss. Upadhayas Schließfach hat die Nummer 1261, er holt eine Speicherkarte heraus, die man braucht, um den Rechner zu starten, der den Master Key erzeugt. Die Karte steckt in einer versiegelten Tüte, wie Banken sie für Geldtransporte benutzen. Als Upadhaya die Tüte entgegennimmt, hält er sie in eine der Kameras, die die Seriennummer der Karte live ins Internet überträgt: BB21368996.

Akt 1, Schritte 14–15: Entfernen der technischen Ausrüstung aus Safe #1.

Wo hört notwendige Sicherheit auf, wo fängt Fetisch an? Bei der Zeremonie wird jedes Kabel und jeder Stecker vor Gebrauch inspiziert, die Seriennummer im Protokoll vermerkt. Die wichtigsten Teile – ein schwarzer Laptop der Firma Dell und ein supersicheres Laufwerk, das später den Code erstellt – werden so auf dem Tisch platziert, dass die Webcams alles im Bild haben.

Dass es diese bizarre Zeremonie überhaupt gibt, liegt daran, dass das Internet vor sechs Jahren knapp an einer Katastrophe vorbeigeschrammt ist. Damals hatte ein Hacker namens Dan Kaminsky eine gigantische Sicherheitslücke im DNS-System aufgedeckt. durch die es möglich war, Millionen Rechner auf manipulierte Websites umzuleiten, wo Viren lauern oder Bankdaten gestohlen werden können. Nur weil Kaminsky den Fehler brav meldete, blieb der Schaden aus. Für ICANN war es trotzdem ein digitales Desaster: Das Vertrauen in die wichtigste Infrastruktur des Internets stand auf der Kippe.

Lange lag die Kontrolle über DNS allein bei ICANN, was der Organisation viel Kritik eingebracht hat – schließlich sitzt ICANN in den USA und bezieht einen Teil seines Budgets vom US-Wirtschaftsministerium. Die wichtigste Infrastruktur des Internets in Händen der Amerikaner: Das war auch schon vor Edward Snowdens Enthüllungen über die NSA vielen suspekt. Die EU-Kommission fordert, dass die Schaltstellen des Internets von einer unabhängigeren Instanz betrieben werden. Der Schweizer Bundesrat hat schon angeboten, dass die Zeremonie in Genf stattfinden könnte.

Akt 1, Schritte 17–18: Tresor schließen und Tresorraum verlassen.

Um 12.53 Uhr wird die Routine unterbrochen. Der Tresorraum lässt sich nicht mehr öffnen, die Schlüsselträger sind mitsamt den Computern eingesperrt. Upadhaya, der Nepalese, schaut verstört, ein Wirtschaftsprüfer notiert Uhrzeit und Namen der Eingeschlossenen. Die Tür ist nur zu öffnen, wenn der Tresor verschlossen ist. Was würde passieren, wenn wir hier alle gefangen blieben? Richard Lamb runzelt die Stirn, blättert im Ablaufplan und murmelt etwas von Notfallevakuierung. Man wäre aber darauf eingerichtet, ein paar Stunden hier zu bleiben: Ein Erste-Hilfe-Kasten steht bereit, dazu Trinkwasser für einen halben Tag, Nüsse und Chips. Toiletten gibt es nicht.
Acht Minuten vergehen, bis ein ICANN-Mitarbeiter den Fehler findet: Jemand hat einen der Tresore nicht richtig geschlossen. Ein kräftiger Druck, und alles funktioniert wieder.

Akt 2, Schritt 31: Verifizierung des Codes.

Die Zeremonie läuft seit fast zwei Stunden. Es zieht sich. Das endlose Abhaken von Tagesordnungspunkten, das Auf- und Abbauen von Rechnern erinnert an einen Besuch beim Notar, der jedes Vertragsdetail mit monotoner Stimme vorliest: je wichtiger das Ereignis, desto langwieriger die Umsetzung. Im Zeremonienraum sieht man müde Gesichter – die wacher werden, als der Höhepunkt erreicht ist: Jeder der Schlüsselträger hat seine Aufgabe erledigt, die Hardware erzeugt einen Code aus 32 scheinbar sinnlos aneinandergereihten Wörtern, die laut verlesen werden: Mit »prefer puberty« geht es los, es endet mit »beehive barbecue«. Kurzer Applaus brandet auf. Dann wird der Code auf einem verschlüsselten USB-Stick gespeichert und einem ICANN-Mitarbeiter übergeben – der sich leicht verbeugt, als er ihn entgegennimmt. Er wird ihn heute noch über eine sichere Verbindung auf die Server spielen. Damit ist das Internet für ein paar Monate gesichert, die Zeremonie vorbei. Fast: Ausstöpseln und Verpacken aller Geräte dauert noch mal eine halbe Stunde.

Akt 3, Schritt 44: Alle verlassen den Zeremonienraum.

»Schreiben Sie bitte nicht, dass Sie das alles für einen Zirkus halten«, sagt Richard Lamb zum Abschied. Er kann verstehen, dass Außenstehende das Brimborium übertrieben finden, die Safes, die Schlüssel, die abgesperrten Räume. Glaubt ICANN wirklich, dass sich hier jemand reinschleicht, um das Internet zu sabotieren? Lamb zuckt mit den Schultern, »möglich ist alles«. Er ist Kritik gewohnt, die Zeremonie ist auch fachlich umstritten. Ein renommierter Informatiker namens Daniel Bernstein hat ein konkurrierendes System entwickelt, das manche für sicherer halten, weil es sich weniger auf Schlüsselträger verlässt – sie könnten ja ihre Schlüssel verlieren, dann müsste mit viel Aufwand ein neues System geschaffen werden (einen genauen Plan dafür gebe es, sagt Richard Lamb). Johannes Naab vom Lehrstuhl für Netzarchitekturen der TU München hat einen anderen Einwand: Zwar gebe sich ICANN große Mühe, alles zu verschlüsseln, doch im Netz sei der Standard DNSSEC, den ICANN benutzt, noch nicht sehr verbreitet. »Wenn die Zeremonie nicht stattfinden würde, wäre das Internet immer noch funktionstüchtig, nur eben weniger abgesichert«, sagt Naab. Sein Fazit: »ICANN schießt mit Kanonen auf Spatzen.« Zumindest momentan. Bald könnte DNSSEC akzeptierter sein, dann sähe die Sache anders aus.

Am Ende der Zeremonie gibt es ein Ritual. Kurz bevor die Schlüsselträger sich wieder in alle Welt zerstreuen, liest Richard Lamb vor, wie viele Menschen sich die dreistündige Liveübertragung im Internet angeschaut haben.

Weltweit waren es diesmal zehn.

-

ICANN
Die Netzverwalter

Die Organisation ICANN (Internet Corporation for Assigned Names and Num-bers) gibt es seit 1998. Damals wurde das Web gerade zum Massenmedium. Die Non-Profit-Organisation mit Sitz in Kalifornien vergibt Internetadressen und betreut das Domain Name System, eine zentrale Infrastruktur des World Wide Web. Bisher kommt ein Teil des Budgets von der US-Telekommunikationsbehörde, was der Organisation viel Kritik eingebracht hat. Im März wurde bekannt, dass diese Förderung im Herbst 2015 auslaufen soll.

Illustration: Ryan Todd; Fotos: Jed Soares