Dow Jones hat von Pressetext eine Zahlung für die Verbreitung dieser Pressemitteilung über sein Netzwerk erhalten.
Wien (pts009/17.07.2020/09:00) - Seit den 1990er Jahren tobt ein ständiger Kampf
zwischen Behörden und Sicherheitsexperten. Eine Seite möchte digitale
Infrastruktur, allen voran den Datentransport und die Kommunikation, möglichst
sicher für Wirtschaft und Gesellschaft gestalten. Die andere Seite bemüht sich
stets um Hintertüren zum Abfangen von Daten und Korrespondenz. Der Kampf um
Zugriff auf sichere Datentransmissionen, ursprünglich als "Crypto Wars"
tituliert, geht in die nächste Runde. Die deutsche Bundesregierung hat einen
Gesetzesentwurf erstellt, welcher Internet-Provider und Firmen mit verwandter
Tätigkeit gesetzlich zum Verteilen von Schadsoftware und Manipulation von
Netzwerkverkehr zwingen soll. Künftig können also die Installation von Apps auf
dem Smartphone oder automatische Software-Updates Computersysteme
kompromittieren. Damit wird die Grundlage der Digitalisierung zerstört - mit
weitreichenden Folgen für Gesellschaft und Wirtschaft.
Das Öl des 21. Jahrhunderts schürt Gier
Daten sind nach stark vereinfachten Slogans das Öl des 21. Jahrhunderts.
Der Vergleich hinkt, denn aus Daten lässt sich keine Energie gewinnen; sie
verbrauchen bloß Energie. Beim deutschen Gesetzesentwurf geht es aber nicht
um den wirtschaftlichen Nutzen. Das Gegenteil ist der Fall. An der Oberfläche
wird diskutiert, dass Ermittlungsbehörden Zugriff auf Kommunikation zwischen
Personen und auf lokalen Geräten gespeicherte Daten benötigen. Die Dokumentation
staatlicher Maßnahmen zur Spionage durch Edward Snowden hab in den letzten
7 Jahren zu weitreichenden Verbesserungen in der Informationstechnologie
geführt. Die Verschlüsselung der eigenen Daten wurde in vielen Produkten
nachgerüstet.
Darüber hinaus haben Unternehmen sowie Privatpersonen ihre Korrespondenz und
Kommunikation zunehmend auf verschlüsselte Wege umgestellt. Kritischster Punkt
bei der Implementation ist die sogenannte Ende-zu-Ende-Verschlüsselung ("E2E
Encryption"). Wirklich sicher sind kryptografische Methoden nur, wenn es keine
Hintertür - in Form eines Nachschlüssels - oder keine Möglichkeit zum Erraten
des bzw. der Schlüssel gibt.
Die Hersteller der Smartphone-Betriebssysteme, die Methoden der
Softwareentwicklung und die Internet Engineering Task Force (IETF) haben
basierend auf Snowdens Enthüllungen sehr viele Verbesserungen in Protokolle und
Algorithmen eingebaut. Beispielsweise hat die IETF entgegen starkem Widerstand
von Lobbyisten bei der Spezifizierung der neuen Transport Layer Security (TLS)
Version 1.3 darauf geachtet, keine unsicheren Methoden mehr zuzulassen.
TLS ist die Basis für verschlüsselte Webseiten (erkennbar am HTTPS). Es ist
damit die Grundlage von Telebanking, Webshops, Kommunikation mit Behörden,
Portalen, E-Mail-Verkehr, Videostreaming, Telekonferenzen und vielem mehr. Alle
modernen Systeme unterstützen mittlerweile Ende-zu-Ende-Verschlüsselung. Genau
dies ist die Motivation für den Gesetzesvorschlag, um Hintertüren für all diese
Anwendungsbereiche zu fordern.
Weltweiter Angriff gegen E2E
Deutschland ist mit dem Angriff gegen sichere Systeme nicht alleine. In den USA
hat der republikanische Senator Lindsey Graham einen Gesetzesentwurf eingebracht,
welcher sichere Verschlüsselung in Chatsystemen und Messengern verbietet. Das
Verbot ist, wie so oft, nur indirekt ausgedrückt. Man verlangt den Zugang zu den
übermittelten und gespeicherten Daten durch Dritte. Diese Formulierung ändert
nicht den Zweck. Sowohl ein digitaler Angriff als auch die Bereitstellung der
Daten gemäß offiziellen Anfragen sind technisch ein und dieselbe
Vorgehensweise. Man schwächt tatsächlich mit diesen Gesetzen die
Informationssicherheit generell. Der deutsche Gesetzesentwurf sieht
beispielsweise vor, dass Schadsoftware über manipulierte Softwareupdates an
Endgeräte geliefert wird.
Abgesehen von den technischen Aspekten gibt es ungelöste rechtliche
Konsequenzen. Wer haftet für Schäden, die Staatstrojaner anrichten? Wer trägt
die Verantwortung, wenn dieser Mechanismus von Kriminellen ausgenutzt wird?
Diese Sollbruchstellen der Sicherheit würden dann für alle Bereiche gelten - vom
Krankenhaus über Firmen bis hin zu Privathaushalten. Man schafft de facto
Informationssicherheit national ab.
Infrastruktur, sei es digital oder analog, wird immer Teil von legalen und
illegalen Aktivitäten sein. Autobahnen werden sowohl von Rettungsdiensten als
auch für den Transport gestohlener Güter verwendet. Dasselbe gilt für die
Stromversorgung, das Internet, die Wasserversorgung, Verkehr, Transport,
Lebensmittelversorgung, das Bankenwesen oder Telefonie. Dennoch sind
Kommunikationsnetzwerke im Blickpunkt.
Die aktuellen Gesetzesentwürfe zeigen, wie wenig man von der Geschichte der
Überwachung und der analogen Welt versteht. Die US-Regierung hat in den
1990er Jahren die Überwachung von Mobilfunknetzen rechtlich und technisch
implementiert. Der Anlass war das Vorgehen gegen organisierte Kriminalität,
allen voran den Drogenschmuggel. Der Effekt war, dass die organisierte
Kriminalität auf alternative Kommunikationsmethoden ausgewichen ist. Der Schaden
bleibt denen, die sich nicht selbst schützen können und Schutzbedarf haben. Im
konkreten Fall wird es die eigenen Bürgerinnen, Bürger und Unternehmen treffen,
die der Staat eigentlich mit gesetzlichem Auftrag schützen muss.
Einfallstor für Wirtschaftsspionage
Der systematische Einbau von Hintertüren und der Abbau von
Sicherheitsmaßnahmen hat noch wesentlich weitreichendere Folgen. Die seit
Jahren andauernde Diskussion über die kommende 5G-Technologie zeigt es deutlich.
Der Firma Huawei wird von den USA vorgeworfen ihre 5G-Produkte mit nicht
dokumentierten Zugriffsmöglichkeiten auf die Mobilfunknetzwerke auszuliefern. Im
Brennpunkt ist der Vorwurf der Spionage. Im gleichen Atemzug entwerfen westliche
Regierungen Gesetze, um die eigene digitale Infrastruktur zu schwächen und
Dritten uneingeschränkten Zugang zu den Daten zu gewähren. Selbst die
österreichische Bundesregierung hat die Prüfung des Einsatzes von staatlicher
Schadsoftware zur Überwachung im Regierungsprogramm.
Und es bleibt nicht bei nur nationalen Anstrengungen. Ein Dokument aus dem
EU-Ministerrat datiert mit 8. Mai 2020 beschreibt die Strategie für Europa. Dort
werden verschlüsselte Datenträger, Ende-zu-Ende Verschlüsselung,
plattformübergreifende Verschlüsselung, selbst entwickelte Software und
verschlüsselte Internetprotokolle als kritische Barriere für
Behördenermittlungen angeführt. Genau diese Komponenten sind allerdings das
Fundament einer implementierten Informationssicherheit.
Der Verzicht auf grundlegenden Technologien, um Daten und Korrespondenz zu
sichern, basiert auf den mathematischen Methoden der Kryptografie. Sie sind aus
moderner IT Infrastruktur - sowohl bei Behörden als auch bei Unternehmen - nicht
wegzudenken.
Rückkehr zur Realität
Personen benötigen Privatsphäre, daher haben sie rechtlichen Anspruch darauf.
Unternehmen benötigen Rechtssicherheit für ihre Projekte, Produkte und
Dienstleistungen. Das schließt jegliche Kommunikation mit ein. Fernarbeit
und Telekonferenzsysteme sind durch Covid-19 Schutzmaßnahmen zu kritischen
Werkzeugen geworden. Auch Betreiber von Rechenzentren dürfen nicht gezwungen
werden, Hintertüren in Systeme einbauen zu müssen.
Rechtlich angeordnetes Aushebeln von Sicherheitsstandards gefährdet darüber
hinaus Europa als Technologiestandort. Britische und australische Gesetze haben
schon dafür gesorgt, dass man aufgrund von rechtlich vorgeschriebenen Zugriffen
durch Dritte Softwareprodukte, die in diesen Ländern entwickelt wurden, nicht
sicher einsetzen kann.
Die Diskussion behandelt einen wichtigen Aspekt, den Ermittlungsbehörden und
Sicherheitsexperten teilen, in keinster Weise. Auch die Informationssicherheit
muss sich gegen Angriffe verteidigen und muss Hinweise auf kompromittierte
Systeme finden. Dennoch setzen Firmen auf starke Verschlüsselung. Das ist kein
Widerspruch. Auf der diesjährigen DeepSec In-Depth Security Konferenz im
November werden wieder Ansätze besprochen und Erfahrungen ausgetauscht.
Kryptografie ist ein fundamentales Thema und muss ohne Hintertüren Teil sicherer
Infrastruktur bleiben.
Pikantes Detail am Rande: Das deutsche Bundesland Schleswig-Holstein und die
deutsche Bundeswehr möchten die Freie Software Matrix für ihre Kommunikation
nutzen. Letztere möchte Matrix explizit für Nachrichten verwenden, die
Verschlusssache sind. Da stellt sich die berechtigte Frage, wie der konzertierte
Angriff auf IT-Sicherheit anderer Behörden ins Bild passt.
Programme und Buchung
Die DeepSec 2020 Konferenztage sind am 19. und 20. November. Die
DeepSec-Trainings finden an den zwei vorangehenden Tagen, dem 17. und 18.
November, statt. Die DeepINTEL Security Intelligence Konferenz findet am 18.
November statt.
Der Veranstaltungsort für die DeepSec-Veranstaltung ist das Hotel The Imperial
Riding School Vienna - A Renaissance Hotel, Ungargasse 60, 1030 Wien.
Tickets für die DeepSec Konferenz selbst und die Trainings können Sie jederzeit
unter dem Link https://deepsec.net/register.html bestellen. Bitte beachten Sie,
dass wir aufgrund Planungssicherheit auf rechtzeitige Ticketbestellungen
angewiesen sind.
(Ende)
Aussender: DeepSec GmbH
Ansprechpartner: René Pfeiffer
Tel.: +43 676 5626390
(MORE TO FOLLOW) Dow Jones Newswires
July 17, 2020 03:00 ET (07:00 GMT)
© 2020 Dow Jones News