Als einer der letzten tritt der Informatiker Vinton Cerf durch die Tür - ein älterer Herr im eleganten, dunklen Anzug mit Bart und schütterem, grauem Haar. Unter dem Arm trägt er einen Stapel Akten. Die Augen hinter seiner Lesebrille blicken streng in den Raum. Man nennt ihn den "Vater des Internet". Später wird Cerf von einem "Meilenstein in der Geschichte des World Wide Web" sprechen.
Cerf ist der prominenteste Zeuge einer Zeremonie, bei der sieben Computerexperten Zugang zum Reset-Knopf des Internet erhalten: sieben codierte Chipkarten. Jede trägt einen Teil des digitalen Schlüssels zur neuen Hochsicherheitszone des Internet, DNSSEC. Die Spezialisten haben die Aufgabe, den wichtigsten Teil des Webs im Notfall neu zu starten. Was klingt wie das Drehbuch eines Agententhrillers oder eine zeitgenössische Variante des "Herr der Ringe" ist Wirklichkeit, wie Internetvideos der internationalen Computerverwaltung ICANN zeigen. Ein Mitglied der Siebener-Loge hat jetzt das Schweigen gebrochen und in britischen Medien geplaudert.
Der Code zum Neustart des Internet wurde am 16. Juni in einem fensterlosem Raum eines Hochsicherheits-Rechenzentrums in Culpepper (Virginia) erzeugt - eineinhalb Autostunden von der US-Hauptstadt Washington entfernt. Als Zeugen waren knapp 40 Internet-Experten geladen. Sie betreten den Raum durch einen mit dunkelgrauen Stahlgitterplatten armierten Gang und eine gesicherte Stahltür, wie das ICANN-Video zeigt.
Vinton Cerf verglich die Bedeutung des Ereignisses mit dem Start des Internet in den 90er-Jahren. "Hier ist mehr geschehen als es auf den ersten Blick den Anschein hat", sagte er. Und: "Es wurde eine Infrastruktur für ein hierarchisches Sicherheitssystem geschaffen". Dabei handelt es sich um die geschützte Root-Zone des Domain Name System (DNS) mit der Bezeichnung DNSSEC. Sie soll ermöglichen, dass jede Internetadresse einen geheimen Identifizierungscode erhält. Dieser Code erlaubt es dem Nutzer, die Echtheit einer Website zu erkennen. Seiten, die über diese Authentifizierung verfügen, sind vor Phishing-Attacken (bislang) sicher.
Smartcards für die sieben Internet-Experten
An der Stirnseite des Raumes prangt das Logo der Internetbehörde ICANN zwischen zwei Flatscreen-Monitoren. Sie zeigen abwechselnd Bilder der Überwachungskameras im Raum und die Protokolldatei der so genannten "Key Signing"-Zeremonie. Die Plastikstühle für die 30 bis 35 Zuhörer sind fest am Boden verschraubt. Licht fällt durch das Metallgitter der Deckenverkleidung. Auf dem Boden an der Seite des Raumes stehen zwei Safes, wie sie auch von der US-Regierung benutzt werden.
Die Panzerschränke sind mit Stahlbändern im Boden verankert. Sie enthalten das technische Equipment für die Zeremonie, die Smartcards für die sieben Internet-Experten und ein Geheimfach, von dem später noch die Rede sein wird. "Die Safes haben seismische und Tür-Sensoren", erklärt Zeremonienmeister Mehmet Akcin. Wenn die Elektronik scharf geschaltet ist, ist die Zugangstür des Raumes verriegelt, solange die Safetür nicht ordnungsgemäß verschlossen ist. Niemand könnte den Raum dann verlassen.
Auf einem Tisch stehen ein Laptop, das per LAN-Kabel mit zwei "Crypto Box" genannte Chiffriergeräten verbunden ist. Sie werden den digitalen Schlüssel erzeugen, den Assistenten in einer Kurzform ausdrucken und den Teilnehmer der Geheimrunde aushändigen. Später werden dann die Smartcards für die sieben Internetexperten codiert und verteilt.
Im Publikum sitzen Repräsentanten der Internet-Security-Communities. Sie sollen der Zeremonie als Zeugen beiwohnen. "Um Vertrauen zu bilden", wie Richard Lamb, Programm-Manager der DNSSEC, in einem Video sagt. Hinterher soll niemand sagen können, in diesem Raum sei es nicht mit rechten Dingen zugegangen. Sie sollen sehen, wie die Smartcards programmiert werden - die Schlüssel zum Kern des sicheren Internet.
Sicherheitssystem auf zwei Säulen
Das neue Sicherheitssystem steht auf zwei Säulen: den Crypto-Officers und den sieben Besitzern des Wiederherstellungsschlüssels (Recovery Key Share Holders). Nach einem Internet-Crash durch einen Terroranschlag, eine Cyber-Attacke oder eine Naturkatastrophe müssen sich die Recovery Key Share Holders an einem geheimen US-Ort treffen und ihre Chipkarten in ein Dechiffriergerät stecken. Fünf dieser Karten sind nötig, um den Master Key des DNSSEC zu rekonstruieren und das sichere Internet neu zu starten.
Für den extremen Notfall besitzen die Crypto-Officer physische Schlüssel zu einem der beiden Safes und einer darin enthaltenen Schatulle, die weitere Smart Cards enthält. So kann das DNSSEC-System im Falle eines Terrorangriffs auch dann gebootet werden, wenn die sieben Herren über das Internet nicht in das Rechenzentrum nach Culpepper oder einen geheimen Ort in den USA reisen können.
Der Brite Paul Kane von der Bath University hat jetzt über das Geheimnis der Smartcards geplaudert. Bewaffnete Wachleute hätten die Teilnehmer kontrolliert, sagte er der Zeitung "Metro". Netzhautscanner seien eingesetzt worden. Sechs Stunden habe die Zeremonie in dem Bunker gedauert. Er bewahre die Smartcard bombensicher in einem Tresor auf, sagte er anderen Medien. Je ein Internet-Experte aus den USA, Kanada, China, Burkina Faso, Trinidad und Tschechien besitzt einen weiteren Schlüssel.
Nach einem Angriff auf sicherheitsrelevante Teile des Web würde nicht das komplette Internet neu gebootet, schränkte Paul Kane gegenüber dem "Guardian" die Bedeutung des Events ein. Es beträfe nur die Seiten, die DNSSEC benutzen. "Der Rest des Internets würde weiter laufen wie normal", sagte der Informatiker. Überhaupt: Bis sich DNSSEC durchgesetzt hat, werden noch Jahre vergehen. Als Erster ist das Konsortium der .org-Seiten dem neuen Sicherheitsprotokoll beigetreten - immerhin weltweit die drittgrößte Domain.
