Wien (17.07.2020) –
Seit den 1990er Jahren tobt ein ständiger Kampf zwischen Behörden und Sicherheitsexperten. Eine Seite möchte digitale Infrastruktur, allen voran den Datentransport und die Kommunikation, möglichst sicher für Wirtschaft und Gesellschaft gestalten. Die andere Seite bemüht sich stets um Hintertüren zum Abfangen von Daten und Korrespondenz. Der Kampf um Zugriff auf sichere Datentransmissionen, ursprünglich als “Crypto Wars” tituliert, geht in die nächste Runde. Die deutsche Bundesregierung hat einen Gesetzesentwurf erstellt, welcher Internet-Provider und Firmen mit verwandter Tätigkeit gesetzlich zum Verteilen von Schadsoftware und Manipulation von Netzwerkverkehr zwingen soll. Künftig können also die Installation von Apps auf dem Smartphone oder automatische Software-Updates Computersysteme kompromittieren. Damit wird die Grundlage der Digitalisierung zerstört – mit weitreichenden Folgen für Gesellschaft und Wirtschaft.
Das Öl des 21. Jahrhunderts schürt Gier
Daten sind nach stark vereinfachten Slogans das Öl des 21. Jahrhunderts. Der Vergleich hinkt, denn aus Daten lässt sich keine Energie gewinnen; sie verbrauchen bloß Energie. Beim deutschen Gesetzesentwurf geht es aber nicht um den wirtschaftlichen Nutzen. Das Gegenteil ist der Fall. An der Oberfläche wird diskutiert, dass Ermittlungsbehörden Zugriff auf Kommunikation zwischen Personen und auf lokalen Geräten gespeicherte Daten benötigen. Die Dokumentation staatlicher Maßnahmen zur Spionage durch Edward Snowden hab in den letzten 7 Jahren zu weitreichenden Verbesserungen in der Informationstechnologie geführt. Die Verschlüsselung der eigenen Daten wurde in vielen Produkten nachgerüstet.
Darüber hinaus haben Unternehmen sowie Privatpersonen ihre Korrespondenz und Kommunikation zunehmend auf verschlüsselte Wege umgestellt. Kritischster Punkt bei der Implementation ist die sogenannte Ende-zu-Ende-Verschlüsselung (“E2E Encryption”). Wirklich sicher sind kryptografische Methoden nur, wenn es keine Hintertür – in Form eines Nachschlüssels – oder keine Möglichkeit zum Erraten des bzw. der Schlüssel gibt.
Die Hersteller der Smartphone-Betriebssysteme, die Methoden der Softwareentwicklung und die Internet Engineering Task Force (IETF) haben basierend auf Snowdens Enthüllungen sehr viele Verbesserungen in Protokolle und Algorithmen eingebaut. Beispielsweise hat die IETF entgegen starkem Widerstand von Lobbyisten bei der Spezifizierung der neuen Transport Layer Security (TLS) Version 1.3 darauf geachtet, keine unsicheren Methoden mehr zuzulassen.
TLS ist die Basis für verschlüsselte Webseiten (erkennbar am HTTPS). Es ist damit die Grundlage von Telebanking, Webshops, Kommunikation mit Behörden, Portalen, E-Mail-Verkehr, Videostreaming, Telekonferenzen und vielem mehr. Alle modernen Systeme unterstützen mittlerweile Ende-zu-Ende-Verschlüsselung. Genau dies ist die Motivation für den Gesetzesvorschlag, um Hintertüren für all diese Anwendungsbereiche zu fordern.
Weltweiter Angriff gegen E2E
Deutschland ist mit dem Angriff gegen sichere Systeme nicht alleine. In den USA hat der republikanische Senator Lindsey Graham einen Gesetzesentwurf eingebracht, welcher sichere Verschlüsselung in Chatsystemen und Messengern verbietet. Das Verbot ist, wie so oft, nur indirekt ausgedrückt. Man verlangt den Zugang zu den übermittelten und gespeicherten Daten durch Dritte. Diese Formulierung ändert nicht den Zweck. Sowohl ein digitaler Angriff als auch die Bereitstellung der Daten gemäß offiziellen Anfragen sind technisch ein und dieselbe Vorgehensweise. Man schwächt tatsächlich mit diesen Gesetzen die Informationssicherheit generell. Der deutsche Gesetzesentwurf sieht beispielsweise vor, dass Schadsoftware über manipulierte Softwareupdates an Endgeräte geliefert wird.
Abgesehen von den technischen Aspekten gibt es ungelöste rechtliche Konsequenzen. Wer haftet für Schäden, die Staatstrojaner anrichten? Wer trägt die Verantwortung, wenn dieser Mechanismus von Kriminellen ausgenutzt wird? Diese Sollbruchstellen der Sicherheit würden dann für alle Bereiche gelten – vom Krankenhaus über Firmen bis hin zu Privathaushalten. Man schafft de facto Informationssicherheit national ab.
Infrastruktur, sei es digital oder analog, wird immer Teil von legalen und illegalen Aktivitäten sein. Autobahnen werden sowohl von Rettungsdiensten als auch für den Transport gestohlener Güter verwendet. Dasselbe gilt für die Stromversorgung, das Internet, die Wasserversorgung, Verkehr, Transport, Lebensmittelversorgung, das Bankenwesen oder Telefonie. Dennoch sind Kommunikationsnetzwerke im Blickpunkt.
Die aktuellen Gesetzesentwürfe zeigen, wie wenig man von der Geschichte der Überwachung und der analogen Welt versteht. Die US-Regierung hat in den 1990er Jahren die Überwachung von Mobilfunknetzen rechtlich und technisch implementiert. Der Anlass war das Vorgehen gegen organisierte Kriminalität, allen voran den Drogenschmuggel. Der Effekt war, dass die organisierte Kriminalität auf alternative Kommunikationsmethoden ausgewichen ist. Der Schaden bleibt denen, die sich nicht selbst schützen können und Schutzbedarf haben. Im konkreten Fall wird es die eigenen Bürgerinnen, Bürger und Unternehmen treffen, die der Staat eigentlich mit gesetzlichem Auftrag schützen muss.
Einfallstor für Wirtschaftsspionage
Der systematische Einbau von Hintertüren und der Abbau von Sicherheitsmaßnahmen hat noch wesentlich weitreichendere Folgen. Die seit Jahren andauernde Diskussion über die kommende 5G-Technologie zeigt es deutlich. Der Firma Huawei wird von den USA vorgeworfen ihre 5G-Produkte mit nicht dokumentierten Zugriffsmöglichkeiten auf die Mobilfunknetzwerke auszuliefern. Im Brennpunkt ist der Vorwurf der Spionage. Im gleichen Atemzug entwerfen westliche Regierungen Gesetze, um die eigene digitale Infrastruktur zu schwächen und Dritten uneingeschränkten Zugang zu den Daten zu gewähren. Selbst die österreichische Bundesregierung hat die Prüfung des Einsatzes von staatlicher Schadsoftware zur Überwachung im Regierungsprogramm.
Und es bleibt nicht bei nur nationalen Anstrengungen. Ein Dokument aus dem EU-Ministerrat datiert mit 8. Mai 2020 beschreibt die Strategie für Europa. Dort werden verschlüsselte Datenträger, Ende-zu-Ende Verschlüsselung, plattformübergreifende Verschlüsselung, selbst entwickelte Software und verschlüsselte Internetprotokolle als kritische Barriere für Behördenermittlungen angeführt. Genau diese Komponenten sind allerdings das Fundament einer implementierten Informationssicherheit.
Der Verzicht auf grundlegenden Technologien, um Daten und Korrespondenz zu sichern, basiert auf den mathematischen Methoden der Kryptografie. Sie sind aus moderner IT Infrastruktur – sowohl bei Behörden als auch bei Unternehmen – nicht wegzudenken.
Rückkehr zur Realität
Personen benötigen Privatsphäre, daher haben sie rechtlichen Anspruch darauf. Unternehmen benötigen Rechtssicherheit für ihre Projekte, Produkte und Dienstleistungen. Das schließt jegliche Kommunikation mit ein. Fernarbeit und Telekonferenzsysteme sind durch Covid-19 Schutzmaßnahmen zu kritischen Werkzeugen geworden. Auch Betreiber von Rechenzentren dürfen nicht gezwungen werden, Hintertüren in Systeme einbauen zu müssen.
Rechtlich angeordnetes Aushebeln von Sicherheitsstandards gefährdet darüber hinaus Europa als Technologiestandort. Britische und australische Gesetze haben schon dafür gesorgt, dass man aufgrund von rechtlich vorgeschriebenen Zugriffen durch Dritte Softwareprodukte, die in diesen Ländern entwickelt wurden, nicht sicher einsetzen kann.
Die Diskussion behandelt einen wichtigen Aspekt, den Ermittlungsbehörden und Sicherheitsexperten teilen, in keinster Weise. Auch die Informationssicherheit muss sich gegen Angriffe verteidigen und muss Hinweise auf kompromittierte Systeme finden. Dennoch setzen Firmen auf starke Verschlüsselung. Das ist kein Widerspruch. Auf der diesjährigen DeepSec In-Depth Security Konferenz im November werden wieder Ansätze besprochen und Erfahrungen ausgetauscht. Kryptografie ist ein fundamentales Thema und muss ohne Hintertüren Teil sicherer Infrastruktur bleiben.
Pikantes Detail am Rande: Das deutsche Bundesland Schleswig-Holstein und die deutsche Bundeswehr möchten die Freie Software Matrix für ihre Kommunikation nutzen. Letztere möchte Matrix explizit für Nachrichten verwenden, die Verschlusssache sind. Da stellt sich die berechtigte Frage, wie der konzertierte Angriff auf IT-Sicherheit anderer Behörden ins Bild passt.
Programme und Buchung
Die DeepSec 2020 Konferenztage sind am 19. und 20. November. Die DeepSec-Trainings finden an den zwei vorangehenden Tagen, dem 17. und 18. November, statt. Die DeepINTEL Security Intelligence Konferenz findet am 18. November statt.
Der Veranstaltungsort für die DeepSec-Veranstaltung ist das Hotel The Imperial Riding School Vienna – A Renaissance Hotel, Ungargasse 60, 1030 Wien.
Tickets für die DeepSec Konferenz selbst und die Trainings können Sie jederzeit unter dem Link https://deepsec.net/register.html bestellen. Bitte beachten Sie, dass wir aufgrund Planungssicherheit auf rechtzeitige Ticketbestellungen angewiesen sind.
DeepSec GmbH,
René Pfeiffer