Seit dem 17. Juli fordern die Internetanbieter in Kasachstan von den NutzerInnen, ein Zertifikat zu installieren, das den Behörden ermöglicht, sie zu überwachen. Ein präzedenzloser Eingriff, der die internationale Gemeinschaft beunruhigt.

Ist Kasachstan dabei, seine gesamte Bevölkerung im Internet zu überwachen? Dies ist auf jeden Fall die Befürchtung vieler internationaler und spezialisierter Medien, angesichts der Tatsache, dass einige Betreiber Ihre Kunden auffordern oder zwingen, eine staatliche Software auf ihren Geräten zu installieren.

Seit dem 17. Juli haben mehrere kasachstanische Internetanbieter ihren KundInnen Nachrichten geschickt, um sie über die „Notwendigkeit“ zu informieren, auf ihren Telefonen ein bestimmtes Sicherheitszertifikat herunterzuladen um „Probleme beim Zugang zu bestimmten Internetressourcen“ zu vermeiden.

Lest auch auf Novastan: Wie das Internet in Zentralasien blockiert wird

„Man-in-the-Middle-Angriff“ – so nennt man diese häufig von Hackern verwendete Technik, die die Regierung Kasachstans mit diesem Zertifikat anwenden will. Die Internet-Kommunikation der BürgerInnen wird dabei überwacht, indem sich die Behörden zwischen die Internet-NutzerInnen und die Server der Websites stellen.

Ein „Sicherheits“-Zertifikat um das Internet auszuspionieren

Das so genannte „Quaznet“-Zertifikat ist ein Root-Zertifikat. Das heißt, es kann Zertifikate ausstellen, die den Zugriff auf mehrere Websites ermöglichen. Der Benutzer erkennt nichts, aber seine Verbindung erfolgt über Server der Regierung. Dieses Vorgehen der Regierung zielt potentiell auf eine Vielzahl von Websites ab, insbesondere auf Messenger und soziale Netzwerke.

Zum Schutz der NutzerInnen verfügen die meisten Websites über ein Hypertext Transfer Protocol Secure – besser bekannt unter dem Kürzel HTTPS, das am Anfang von Links zu finden ist. Dieses Protokoll wurde mit Zertifikaten aktiviert, die größtenteils bereits auf den Geräten installiert sind. Es ermöglicht den sicheren Zugang zu den Websites und  wird von den Zertifizierungsstellen anerkannt.

Doch auch wenn es von den Internetanbietern als „nationales Sicherheitszertifikat“ bezeichnet wird: Internationale Zertifizierungsstellen erkennen das von Quaznet Trust Network ausgestellte kasachstanische Root-Zertifikat nicht an. Ein nicht zertifiziertes Zertifikat kann jedoch von den Servern akzeptiert werden, wenn es vom Benutzer selbst heruntergeladen wird. Sobald es installiert ist, kann Quaznet Trust Network die Internetkommunikation abfangen und entschlüsseln.

Obwohl es schwer zu beweisen ist, glauben viele Fachleute, dass Quaznet Trust Network von der Regierung gegründet wurde. „Wenn alle Anbieter dasselbe Zertifikat verwenden, muss es von der Regierung kommen“, meint Mohit Kumar, Experte für Cyber-Sicherheit und Gründer der Internetseite The Hacker News, auf Nachfrage von Novastan. Darüber hinaus soll laut Factcheck.kz Askar Diusekejew, ein Mitarbeiter des kasachstanischen Geheimdienstes, die (dazugehörige, Anm. d. Ü.) Website am 20. Juni in Nur-Sultan registriert haben.

Nur ein Anbieter blockiert HTTPS

Bisher hat nur der Internetanbieter Tele2 damit begonnen, alle sicheren HTTPS-Verbindungen auf eine Seite mit der Anleitung für das Herunterladen des nationalen Zertifikats umzuleiten und damit das Internet zu blockieren. Tele2-KundInnen haben keine andere Wahl, denn es ist in der Tat sehr schwierig, ohne Zertifikat zu surfen, da viele Websites die Verwendung einer nicht gesicherten Verbindung nicht zulassen.

Derzeit können die AbonnentInnen anderer Anbieter die Nachrichten ignorieren, die die Installation des Zertifikats verlangen. Der Betreiber Kcell teilte jedoch mit, dass ohne das Zertifikat Probleme mit dem Internetanschluss auftreten könnten. ExpertInnen für Cyber-Sicherheit vermuten, dass der Betreiber absichtlich die Verbindung verhindert, damit die NutzerInnen das Zertifikat herunterladen.

Ein „Pilotprojekt“ für die Hauptstadt

Während einer Pressekonferenz am 19. Juli erklärte der stellvertretende Minister für digitale Entwicklung, Innovation und Luftfahrtindustrie Ablaychan Ospanow, dass das Herunterladen des Root-Zertifikats „freiwillig“ sei. Nach seiner Auffassung muss die Regierung „ihre Bürger vor unsicheren Internetressourcen schützen, um ein Datenleck zu vermeiden“, einschließlich Bankdaten.

Sowohl die Regierung als auch die Betreiber rechtfertigen die Maßnahme mit einer Änderung des Kommunikationsgesetzes aus dem Jahr 2015. Gemäß Artikel 26 dieses Gesetzes sind alle Anbieter von Kommunikationsdiensten verpflichtet, den verschlüsselten Internetverkehr Ihrer KundInnen zu kontrollieren. Das Gesetz sagt jedoch nicht, ob es sich dabei um staatliche Zertifikate handeln muss.

Darüber hinaus erklärte Opanow, dass es sich um ein Pilotprojekt für die Hauptstadt Nur-Sultan handele. Novastan stellte jedoch fest, dass die Nachrichten der Betreiber auch an Internet-NutzerInnen aus anderen Regionen gesendet wurden. Die Anbieter Beeline, K-Cell, Active, Altel, Kazaktelecom haben auf Ihren Websites die Verpflichtung zum Herunterladen des Root-Zertifikats veröffentlicht, ohne aber darzulegen, dass dies lediglich für Nur-Sultan gelte.

Nur Olschas Bibanow, Leiter der PR-Abteilung von Tele2 Kasachstan, sagte gegenüber Tengrinews, dass die Maßnahme lediglich die Hauptstadt betreffe. „Die zuständigen Behörden haben uns gebeten, die Abonnenten von Nur-Sultan über die Notwendigkeit zu informieren, ein Sicherheitszertifikat herunterzuladen“, erklärte Bibanow.

Überwachung in der „Testphase“

Aber warum wird dieses Überwachungsinstrument nicht im ganzen Land eingesetzt? Für Mohit Kumar sind die von Tele2 verschickten Nachrichten und das Blockieren der HTTPS-Websites Teil einer „Testphase“. „Sie versuchen wahrscheinlich einen Weg zu finden, um Billionen über Billionen Datenpakete pro Minute abzufangen und zu scannen – um dann nur die Informationen zu erhalten, die sie interessieren“, sagt der Experte gegenüber Novastan.

Es ist nicht das erste Mal, dass die Regierung versucht, das Internet im Land zu kontrollieren. Neben regelmäßigen Blockaden bestimmter Websites oder Medien hatte die Regierung bereits 2015 versucht, den gesamten HTTPS-Verkehr des Landes mit der Man-in-the-Middle-Technik zu blockieren. Angesichts mehrerer Klagen, die von Internetanbietern, Banken und ausländischen Regierungen eingereicht wurden, nahm man aber von dem Vorhaben wieder Abstand.

Die internationale Gemeinschaft ist empört

Das Vorgehen der kasachstanischen Regierung sorgt für Empörung in der internationalen Netzgemeinschaft. Diese sieht darin einen Versuch, nach den regierungskritischen Demonstrationen im Umfeld der Präsidentschaftswahl vom 9. Juni die Kontrolle über die Gesellschaft auszubauen.

„Diese so genannte Sicherheitsmaßnahme ist eher ein Versuch seitens der Regierung, die Zensur und die Kapazitäten zur Überwachung auszubauen“, meint Courtney Radsch vom Komitee zum Schutz von Journalisten.

Die Kritik kommt aber nur von einer kleinen, gut informierten Gemeinschaft. Die meisten kasachstanischen BürgerInnen, mit denen Novastan Kontakt aufnehmen konnte, wussten nichts von dem Versuch, ihre Kommunikation zu überwachen.

Eine Premiere in der Geschichte des Internets

Es handelt sich jedoch um einen beispiellosen Angriff in der Geschichte des Internets. Zwar wurden Sicherheitszertifikate bereits genutzt, um DissidentInnen auszuspionieren, insbesondere im Iran 2011. In den meisten Fällen wurden aber Zertifizierungsstellen gehackt und das Vorgehen richtete sich zielgerichtet gegen eine Handvoll von Personen. Im Fall von Kasachstan warnen ExpertInnen vor der Möglichkeit, die gesamte Bevölkerung zu kontrollieren.

Um die private Kommunikation der BürgerInnen zu schützen und eine sichere Verbindung zu erhalten, wäre eine deutliche Reaktion seitens der Webgiganten notwendig. Diese könnten die kasachstanischen Zertifikate blockieren, selbst wenn sie von den NutzerInnen installiert wurden. Die internen Diskussionen bei Mozilla zielen darauf ab, „festzustellen, ob dieses Root-Zertifikat auf eine schwarze Liste gesetzt werden soll“, sagte ein Sprecher der Stiftung, der den Webbrowser verwaltet, gegenüber Novastan. Von Google und Microsoft haben wir bis zur Veröffentlichung unseres Artikels keine Antwort erhalten.

Auf einem der ersten Mozilla-Foren, auf denen der Angriff gemeldet wurde, war ein Internetnutzer bereits am Tag nach dem Verschicken der Nachrichten über den „gefährlichen Präzedenzfall“ besorgt, den Kasachstan schaffen könnte, wenn die Webgiganten nicht reagieren: „Wenn Kasachstan damit Erfolg hat, werden immer mehr Regierungen (Russland, Iran usw.) derartige Angriffe starten.“

Clara Marchaud für Novastan

Aus dem Französischen von Robin  Roth

Noch mehr Zentralasien findet ihr auf unseren Social Media Kanälen, schaut mal vorbei bei Twitter, Facebook, Telegram, Linkedin oder Instagram. Für Zentralasien direkt in eurer Mailbox könnt ihr euch auch zu unserem wöchentlichen Newsletter anmelden.