Wien (pts014/11.09.2018/09:25) – Seit es Sicherheitsmaßnahmen gibt, existiert die Diskussionen um ihre Nutzen und um ihre Stärke. Bei digitaler Kommunikation kommt immer wieder das Thema der Hintertüren auf. Hochqualitative Schlösser sind in der analogen Welt erwünscht, um Werte vor Diebstahl zu schützen. In der digitalen Welt soll das nun anders werden. Die Five Eyes (sprich die Geheimdienste der Vereinigten Staaten, des Vereinigten Königreichs, Australiens, Neuseelands und Kanada) möchten nun alle Staaten der Welt bei verschlüsselter Kommunikation zum Einbau von Nachschlüsseln, also Hintertüren, zwingen. Dazu fand Ende August in Australien ein Treffen der Five Eyes Innenminister statt. Dieser Vorschlag birgt schwerwiegende Nachteile für die Wirtschaft und die nationale Sicherheit jedes Staates.
Messenger statt Mobilfunk
Als die Mobiltelefone ihren Siegeszug antraten, gab es nur unverschlüsselte Kurznachrichten (auch bekannt als SMS, Short Message Service). Vor der Ära der Smartphones haben einige Hersteller eigene proprietäre Formate entwickelt, um den Inhalt der Nachrichten zu schützen. In den letzten Jahren gab es einen Schwenk in Richtung Messenger Apps, die das Internet für die Nachrichtenübertragung nutzen. Damit konnten und können Entwicklerinnen offene Standards mit starker Verschlüsselung einsetzen, die nicht den gesetzlich vorgeschriebenen Schnittstellen zur Telekommunikationsüberwachung in den Mobilfunknetzwerken unterliegen.
Diese Telekommunikationsüberwachung (international auch Lawful Interception genannt) ist fester Bestandteil der Netzwerkinfrastuktur und erfasst ständig Ortsdaten, Logins, Betriebszeiten, Adressen, Mobilfunkidentifikationen sowie weitere Daten. Moderne Messenger setzen daher meist das Prinzip der Ende-zu-Ende-Verschlüsselung ein, wo nur die kommunizierenden Endgeräte die Schlüssel zur Nachricht besitzen. Das Netzwerk kennt diese nicht und kann den Inhalt der Nachrichten nicht sehen. Dies ist nur über mobilen Datenzugang, sprich Internetzugriff, möglich.
Die Gefahren dieser Schnittstellen wurden durch die publizierten Dokumente von Edward Snowden im Jahre 2013 und die Abhöraffäre in Athen in den Jahren 2004 und 2005 illustriert. Bereits 2015 hielt James Bamford, US-amerikanischer Journalist und Nachrichtendienstexperte, den Eröffnungsvortrag zur DeepSec Konferenz und erläuterte darin wie die Mobiltelefone der griechische Regierung über rechtlich geforderte Hintertüren von Unbekannten abgehört wurden. Kostas Tsalikidis, der zuständige Netzwerkverantwortliche, beging Tage nach Bekanntwerden der Abhörkonfigurationen Selbstmord. Die Täter der Abhöraktion wurden trotz größter langwieriger Ermittlungen nie ausfindig gemacht.
Mathematik ist in Australien nicht rechtskräftig
Sicherheitsforscher und Ingenieure sind sich der Gefahren schlecht implementierter und unsicherer Kommunikation sehr wohl bewusst. Aus diesem Grunde wird spätestens seit den Snowden Enthüllungen starke Kryptographie und sichere Kommunikation von Technologiefirmen und Entwicklerinnen forciert. Das Institute of Electrical and Electronics Engineers (IEEE) und die Internet Engineering Task Force (IETF) haben in allen Standards der letzten Jahre Protokolle standardisiert, die weder Hintertüren noch absichtlich geschwächte Algorithmen enthalten. Das moderne Internet, und damit unsere heutige Kommunikationsgesellschaft, basiert auf diesen Standards.
Die Techniker versuchen damit, das Pendant zu sicheren Brücken zu schaffen, die ja auch keine Sollbruchstelle haben dürfen. Infrastruktur muss verlässlich sein. Man darf dabei nicht vergessen, dass nicht nur Telefonate und Nachrichten von den gesetzlichen Schwachstellen betroffen sind. Forderungen nach Nachschlüsseln betreffen Finanztransaktionen, das komplette World Wide Web, sämtliche Anwendungen auf Smartphones, das Internet der Dinge, alle Smart Technologien, kurzum alle Unternehmen und Märkte weltweit.
Der ehemalige australische Premierminister Malcolm Turnbull hat den Forderungen, weltweit immer und überall sämtliche Kommunikation mitlesen zu können, höchste Priorität gegeben. Er sagt im Juli diesen Jahres, dass das Gesetzbuch Australiens über der Mathematik stehe. Damit bezog er sich auf die Kritik von Forschern der Kryptographie, die ein Teilgebiet der Mathematik ist. Diese Logik ist fragwürdig, denn niemand hat bisher die Gravitation für illegal erklärt, um Arbeitsunfälle zu verhindern oder leichter Berge besteigen zu können. Die Frage ist einzig und alleine, ob man echte Sicherheit haben möchte oder nicht. Der Brandschutz ist eine gute Analogie. Niemand möchte Schutzvorkehrungen gegen Brände, die nicht immer funktionieren. Genauso möchte auch niemand elektronische Zahlungsmittel nutzen, die bis auf Widerruf sicher sind.
Nationale Sicherheit schafft sich international ab
Die Forderung der Five Eyes lässt sich auch umformulieren. Da die Dienste ebenso die Mathematik zum Schutz ihrer Länder einsetzen, müssten sie sich selbst schwächen. Das betrifft dann insbesondere Wirtschaftsspionage, die sehr oft Ländergrenzen überquert. Eine komplette Zerstörung bzw. die Sabotage von wichtigen Komponenten der Informationssicherheit ist ein kurzsichtiger Reflex. Es geht nicht nur um die Vorzeigefirmen im Silicon Valley. Hintertüren und Nachschlüssel belasten jedwede Kommunikation über Geschäftsgeheimnisse bis hin zur sicheren elektronische Kommunikation von Rechtsanwälten mit der Justiz und Behörden.
Man darf dabei nicht vergessen, dass diese Forderung nicht nur von den Five Eyes gestellt werden wird, sollte es zu einer Umsetzung durch Regierungen kommen. Die Vereinten Nationen führen momentan eine Liste von 206 Mitgliedsstaaten. Die Forderungen der Five Eyes werden dann von den „206 Eyes“ auch gestellt werden. Politisch Verantwortliche sind sehr gut beraten, die Warnungen von Expertinnen nicht zu ignorieren. Stimmt man der Forderung nach Hintertüren zu, so müssen die Geheimdienste der Five Eyes dann auch den Diensten Europas, Russlands, Chinas und Nordkoreas jeweils ihre eigene nationale Kommunikation offenlegen, denn die Mathematik der Sicherheit oder Unsicherheit gilt für alle gleichermaßen. Die Forderung hat daher mit der Realität rein gar nichts zu tun, mit Informationssicherheit schon gar nicht.
Lösungen nicht im Monolog möglich
Sicherheitsforscher sitzen im selben Boot wie die Behörden. Auch sie müssen Angreifer finden und müssen mit oder gegen Schutzmaßnahmen arbeiten. Dennoch rücken IEEE, IETF und alle technischen Organisationen nicht von der Forderung nach starker Sicherheit ab. Da die Five Eyes Forderungen explizit legislative Maßnahmen ansprechen, ist das ein wertvolles Kompliment für die Techniker. Das bedeutet, dass die technische Umsetzung nur sehr schwer oder mit den derzeit verfügbaren Mitteln nicht angreifbar ist.
Die Implementation von Sicherheit ist immer ein Ergebnis interdisziplinärer Zusammenarbeit. Genau aus diesem Grund möchte die DeepSec Konferenz jährlich Vertreter aus Forschung, Behörden, Wirtschaft und der internationalen Hacker Community an einen Tisch bringen. Eine vernetzte Welt benötigt vernetztes Denken. Insellösungen oder kurzfristige Maßnahmen sind nicht zukunftsgerichtet. Daher hat die diesjährige DeepSec Konferenz ihren Schwerpunkt auf Infrastruktur, Internet der Dinge, Mobilität (sei es Funk, Gerät oder Transport) und auch Kryptographie gelegt. Spezialisten aus vier Kontinenten tauschen sich im November in Wien aus, um Bedrohungen der Zukunft zu begegnen. Wir freuen uns auf konstruktive Zusammenarbeit und Ihren Besuch.
Quellen, Programm und Buchung
Die DeepSec Konferenztage sind am 29. und 30. November. Die Trainings finden an den zwei vorangehenden Tagen, dem 27. und 28. November statt. Der Veranstaltungsort ist das Hotel The Imperial Riding School Vienna – A Renaissance Hotel, Ungargasse 60, 1030 Wien.
Sie finden das aktuelle Programm unter dem Link: https://deepsec.net/schedule.html
James Bamford hat in der Publikation „In-Depth Security – Proceedings of the DeepSec Conferences Volume 2“ seinen Vortrag als Artikel mit dem Titel „A Death in Athens – The Inherent Vulnerability of „Lawful Intercept““ zusammengefasst. Das Buch ist im Handel und über die DeepSec Konferenz zu beziehen (es kann direkt bei der DeepSec GmbH bestellt werden). Sein Vortrag ist online unter https://vimeo.com/150691584 als Video einsehbar.
Tickets für die Konferenz und die Trainings können Sie unter dem Link https://deepsec.net/register.html bestellen.
(Ende)
Aussender: DeepSec GmbH
Ansprechpartner: René Pfeiffer
Tel.: +43-676-5626390
E-Mail: deepsec@deepsec.net
Website: deepsec.net