Fünf Gefahren für Ihre IT: Teil 2 – Staatliche Hintertüren

Zweiter Teil einer fünfteiligen Serie über die größten Gefahren für Business IT-Sicherheit.

Verfasser: York Albrecht
Datum: 31. Mai 2016
Lesedauer: 5 Minuten

Cloud-Services, Internet of Things, Industrie 4.0 – die Zukunft der Wirtschaft ist digital. Für Unternehmen bedeutet dies, dass auch die Gefahr immer größer wird, Opfer von Cyberangriffen zu werden. In der Serie „Fümf Gefahren für Ihre IT“ beleuchten wir die größten Gefahren für die Sicherheitsstruktur Ihres Unternehmens. In Teil 1 ging es um Ihre Mitarbeiter, nun um die Gefahren durch staatliche Organe.

Firmen schützen ihre Netzwerke, damit Kriminelle keine Kundendaten stehlen oder dem Unternehmen finanziellen Schaden zufügen können. Doch heutzutage sollte die Sicherheitsstrategie nicht nur Cyberkriminelle von Missetaten abhalten, sondern auch potenziell deutlich mächtigere Angreifer: Staaten.

Aus Angst vor Terroranschlägen haben besonders westliche Geheimdienste umfangreiche Überwachungsbefugnisse von ihren Regierungen erhalten. Allen voran die NSA und das britische GCHQ sind zu einer umfangreichen Überwachung des weltweiten Datenverkehrs fähig, wie wir seit den Enthüllungen Edward Snowdens im Jahr 2013 wissen. Dabei geht es den Geheimdiensten aber längst nicht nur darum, potenzielle Anschläge zu verhindern. Snowdens Dokumente machten auch Industriespionage der NSA in verbündeten Staaten wie Frankreich oder Deutschland öffentlich.

Seit den Snowden-Enthüllungen ist die Verschlüsselung von Kommunikation zu einem Kernthema der netzpolitischen Debatten geworden – mal wieder. Denn die Diskussion um staatliche Hintertüren in Tech-Produkten ist so alt wie die Industrie selbst. In den 1970er Jahren begannen die so genannten Crypto Wars: zu Zeiten des Kalten Krieges entwickelten die westlichen Bündnisstaaten unter Führung der USA Exportbeschränkungen für kritische Technologien, um den Klassenfeinden des Warschauer Pakts keine Ergebnisse der eigenen technologischen Entwicklung in die Hand zu geben. Diese Exportbeschränkungen umfassten militärisches Gerät wie beispielsweise Fahrzeuge oder Munition, wurden aber auch immer weiter auf Verschlüsselungstechnologien ausgeweitet. Diese hatten durch den starken Anstieg von Finanztransaktionen auch für die Privatwirtschaft enorm an Bedeutung gewonnen – Kreditinstitute wollten ihren Kunden sichere Überweisungen garantieren. Für international agierende Unternehmen bedeutete dies, dass die Ausfuhr jeder Art von Verschlüsselungstechnologie einer behördlichen Sondergenehmigung bedurfte.

Mit dem Aufkommen der Personal Computer stieg der Bedarf an verschlüsselter Kommunikation durch Millionen Privatanwender noch einmal sprunghaft an. Die US-Behörden setzten Hersteller jedoch weiter unter Druck, um die Ausbreitung starker Verschlüsselung zu verhindern und somit die Aufklärungskapazitäten der eigenen Geheimdienste zu erhalten. In den 1990er Jahren war es US-Unternehmen nur erlaubt, 40-Bit-Verschlüsselungen zu exportieren, die schon damals innerhalb kurzer Zeit geknackt werden konnten. Im heimischen Markt durften 128-Bit-Verschlüsselungen genutzt werden – diese wären noch im Jahr 2014 eine hohe Hürde gewesen.

Seit langem spielt die NSA eine große Rolle im Kampf der Regierungen gegen starke Verschlüsselung. Während der ersten Amtszeit Bill Clintons versuchte die US-Regierung die Hersteller dazu zu bringen, den von der NSA entwickelten Clipper Chip standardmäßig in Mobiltelefonen zu verwenden. Dieser hatte eine eingebaute Hintertür, da die US-Behörden zwei Teilschlüssel besaßen, die auf gerichtliche Anordnung das vollständige Abhören eines betroffenen Geräts erlaubten. Es stellte sich jedoch heraus, dass die eingebaute Hintertür im Clipper Chip vielmehr ein offenes Tor für Brute Force-Attacken darstellte und der Chip somit eine eingebaute Schwachstelle aufwies, die nicht nur Behörden, sondern auch Kriminellen das Abhören erlaubt hätte.

Nachdem die Etablierung des Clipper Chips scheiterte, versuchte die US-Regierung mit ihrer „Key Escrow Policy“ durchzusetzen, dass alle Verschlüsselungssysteme einen Ersatzschlüssel bei „vertrauenswürdigen Dritten“ speichern sollten. Bei gerichtlicher Anordnung hätten diese dem FBI zur Verfügung gestellt werden sollen. Gegen Hersteller, deren Produkte diese Forderung nicht umsetzten, wurde hart vorgegangen, beispielsweise gegen den PGP-Erfinder Phil Zimmermann. Pretty Good Privacy (PGP) ist die meistgenutzte Verschlüsselungssoftware für E-Mails weltweit. Als diese 1991 frei im Internet erhältlich wurde, ermittelte die US-Regierung drei Jahre lang gegen ihn – er habe die bereits beschriebenen Exportbeschränkungen für kryptografische Software verletzt.

Auch heutzutage sind eingebaute Hintertüren für Behörden weiterhin eine oft gestellte Forderung. Erst zu Beginn diesen Jahres verlangte das FBI von Apple eine Lösung zur Umgehung des AES-Schlüssels beim Betriebssystem iOS, um das iPhone eines der Attentäter von San Bernardino zu entsperren. Mit dieser neuen iOS-Version – von Apple-CEO Tim Cook in einem offenen Brief an die Kunden als „GovtOS“ bezeichnet – hätten die US-Regierungsbehörden allerdings einen Universalschlüssel, um jedes iPhone bei Bedarf zu entsperren. Und dieser Bedarf scheint zu existieren, denn momentan sind mehr als 15 Verfahren zur Entsperrung von Geräten vor US-Gerichten anhängig.

Das FBI entsperrte das betroffene iPhone schließlich ohne Apples Hilfe, indem es eine Lösung zum Entsperren des Gerätes mutmaßlich aus Israel einkaufte. Diese ist jedoch nur für die gleiche Geräteklasse mit der gleichen iOS-Version geeignet – andere Geräte kann das FBI noch immer nicht knacken. Und die Reaktion des Chiefs of Detectives des Chicago Police Department, John Escalante, zeigt, wie sehr das US-Offizielle zu nerven scheint: er bezeichnete das iPhone als Gerätewahl für Pädophile. Der Ruf nach Hintertüren in den Produkten von Tech-Konzernen im Namen der nationalen Sicherheit bleibt also auch in Zukunft laut. Dass die Schlüssel dafür auch bei staatlichen Akteuren nicht unbedingt sicher vor dem Zugriff von Kriminellen (oder auch anderen Staaten) sind, zeigen Vorkommnisse wie der Bundestags-Hack.

Was also ist die Lehre für Ihre Unternehmens-IT? Zu allererst das Bewusstsein, dass Ihnen nicht nur Gefahr durch Kriminelle droht, sondern auch Staaten sich für Ihre Geschäftsgeheimnisse interessieren können. Eine intakte, gut gewartete Sicherheitsarchitektur ist daher unumgänglich. Darüber hinaus sollten Sie Richtlinien für das ganze Unternehmen entwickeln und genau evaluieren, welche Hersteller, Geräte und Software für sensible Geschäftsdaten verwendet werden dürfen. Letztlich müssen Sie selbstredend stets auch die aktuellen Entwicklungen im IT-Sektor im Auge behalten – womöglich knicken Apple, Microsoft und Co. doch noch vor den US-Behörden ein. Eine Hintertür in deren Systemen ist auch eine Hintertür in Ihren Systemen.


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s