DeepSec: Geheimdienste wollen Informationssicherheit abschaffen

Seit es Sicherheitsmaßnahmen gibt, wird über ihren Nutzen und ihre Stärke diskutiert. Bei digitaler Kommunikation kommt stets das Thema der Hintertüren auf. Hochqualitative Schlösser sind in der analogen Welt erwünscht, um Werte vor Diebstahl zu schützen. In der digitalen Welt soll das anders werden. [...]

Die DeepSec-Konferenz findet in Wien am 29. und 30. November statt.
Die DeepSec-Konferenz findet in Wien am 29. und 30. November statt. (c) DeepSec GmbH

Die „Five Eyes“ (sprich die Geheimdienste der Vereinigten Staaten, Großbritanniens, Australiens, Neuseelands und Kanada) möchten alle Staaten der Welt bei verschlüsselter Kommunikation zum Einbau von Nachschlüsseln, also Hintertüren, zwingen. Dazu fand Ende August in Australien ein Treffen der Five Eyes Innenminister statt. Dieser Vorschlag birgt schwerwiegende Nachteile für die Wirtschaft und die nationale Sicherheit jedes Staates.

Messenger statt Mobilfunk

Als die Mobiltelefone ihren Siegeszug antraten, gab es nur unverschlüsselte Kurznachrichten (auch bekannt als SMS, Short Message Service). Vor der Ära der Smartphones haben einige Hersteller eigene proprietäre Formate entwickelt, um den Inhalt der Nachrichten zu schützen. In den letzten Jahren gab es einen Schwenk in Richtung Messenger Apps, die das Internet für die Nachrichtenübertragung nutzen. Damit konnten und können Entwicklerinnen offene Standards mit starker Verschlüsselung einsetzen, die nicht den gesetzlich vorgeschriebenen Schnittstellen zur Telekommunikationsüberwachung in den Mobilfunknetzwerken unterliegen.

Diese Telekommunikationsüberwachung (international auch „Lawful Interception“ genannt) ist fester Bestandteil der Netzwerkinfrastuktur und erfasst ständig Ortsdaten, Logins, Betriebszeiten, Adressen, Mobilfunkidentifikationen sowie weitere Daten. Moderne Messenger setzen daher meist das Prinzip der Ende-zu-Ende-Verschlüsselung ein, wo nur die kommunizierenden Endgeräte die Schlüssel zur Nachricht besitzen. Das Netzwerk kennt diese nicht und kann den Inhalt der Nachrichten nicht sehen. Dies ist nur über mobilen Datenzugang, sprich Internetzugriff, möglich.

Die Gefahren dieser Schnittstellen wurden durch die publizierten Dokumente von Edward Snowden im Jahre 2013 und die Abhöraffäre in Athen in den Jahren 2004 und 2005 illustriert. Bereits 2015 hielt James Bamford, US-amerikanischer Journalist und Nachrichtendienstexperte, den Eröffnungsvortrag zur DeepSec-Konferenz und erläuterte darin wie die Mobiltelefone der griechische Regierung über rechtlich geforderte Hintertüren von Unbekannten abgehört wurden. Kostas Tsalikidis, der zuständige Netzwerkverantwortliche, beging Tage nach Bekanntwerden der Abhörkonfigurationen Selbstmord. Die Täter der Abhöraktion wurden trotz größter langwieriger Ermittlungen nie ausfindig gemacht.

Mathematik ist in Australien nicht rechtskräftig

Sicherheitsforscher und Ingenieure sind sich der Gefahren schlecht implementierter und unsicherer Kommunikation sehr wohl bewusst. Aus diesem Grunde wird spätestens seit den Snowden Enthüllungen starke Kryptographie und sichere Kommunikation von Technologiefirmen und Entwicklerinnen forciert. Das Institute of Electrical and Electronics Engineers (IEEE) und die Internet Engineering Task Force (IETF) haben in allen Standards der letzten Jahre Protokolle standardisiert, die weder Hintertüren noch absichtlich geschwächte Algorithmen enthalten. Das moderne Internet, und damit unsere heutige Kommunikationsgesellschaft, basiert auf diesen Standards.

Die Techniker versuchen damit, das Pendant zu sicheren Brücken zu schaffen, die ja auch keine Sollbruchstelle haben dürfen. Infrastruktur muss verlässlich sein. Man darf dabei nicht vergessen, dass nicht nur Telefonate und Nachrichten von den gesetzlichen Schwachstellen betroffen sind. Forderungen nach Nachschlüsseln betreffen Finanztransaktionen, das komplette World Wide Web, sämtliche Anwendungen auf Smartphones, das Internet-der-Dinge, alle Smart-Technologien, kurzum alle Unternehmen und Märkte weltweit.

Der ehemalige australische Premierminister Malcolm Turnbull hat den Forderungen, weltweit immer und überall sämtliche Kommunikation mitlesen zu können, höchste Priorität gegeben. Er sagt im Juli diesen Jahres, dass das Gesetzbuch Australiens über der Mathematik stehe. Damit bezog er sich auf die Kritik von Forschern der Kryptographie, die ein Teilgebiet der Mathematik ist. Diese Logik ist fragwürdig, betonen die DeepSec-Konferenz-Veranstalter, denn niemand hat bisher die Gravitation für illegal erklärt, um Arbeitsunfälle zu verhindern oder leichter Berge besteigen zu können. Die Frage ist einzig und alleine, ob man echte Sicherheit haben möchte oder nicht. Der Brandschutz ist eine gute Analogie. Niemand möchte Schutzvorkehrungen gegen Brände, die nicht immer funktionieren. Genauso möchte auch niemand elektronische Zahlungsmittel nutzen, die bis auf Widerruf sicher sind.

Nationale Sicherheit schafft sich international ab

Die Forderung der Five Eyes lässt sich auch umformulieren. Da die Dienste ebenso die Mathematik zum Schutz ihrer Länder einsetzen, müssten sie sich selbst schwächen. Das betrifft dann insbesondere Wirtschaftsspionage, die sehr oft Ländergrenzen überquert. Eine komplette Zerstörung bzw. die Sabotage von wichtigen Komponenten der Informationssicherheit ist ein kurzsichtiger Reflex, sind die Experten der DeepSec-Konferenz überzeugt. Es gehe nicht nur um die Vorzeigefirmen im Silicon Valley. Hintertüren und Nachschlüssel belasteten jedwede Kommunikation über Geschäftsgeheimnisse bis hin zur sicheren elektronische Kommunikation von Rechtsanwälten mit der Justiz und Behörden.

Man darf dabei nicht vergessen, dass diese Forderung nicht nur von den Five Eyes gestellt werden wird, sollte es zu einer Umsetzung durch Regierungen kommen. Die Vereinten Nationen führen momentan eine Liste von 206 Mitgliedsstaaten. Die Forderungen der Five Eyes werden dann von den „206 Eyes“ auch gestellt werden. Politisch Verantwortliche sind sehr gut beraten, die Warnungen von Experten nicht zu ignorieren. Stimmt man der Forderung nach Hintertüren zu, so müssen die Geheimdienste der Five Eyes dann auch den Diensten Europas, Russlands, Chinas und Nordkoreas jeweils ihre eigene nationale Kommunikation offenlegen, denn die Mathematik der Sicherheit oder Unsicherheit gilt für alle gleichermaßen. Die Forderung hat daher mit der Realität rein gar nichts zu tun, mit Informationssicherheit schon gar nicht.

Lösungen nicht im Monolog möglich

Sicherheitsforscher sitzen im selben Boot wie die Behörden. Auch sie müssen Angreifer finden und müssen mit oder gegen Schutzmaßnahmen arbeiten. Dennoch rücken IEEE, IETF und alle technischen Organisationen nicht von der Forderung nach starker Sicherheit ab. Da die Five-Eyes-Forderungen explizit legislative Maßnahmen ansprechen, ist das ein wertvolles Kompliment für die Techniker. Das bedeutet, dass die technische Umsetzung nur sehr schwer oder mit den derzeit verfügbaren Mitteln nicht angreifbar ist.

Die Implementation von Sicherheit ist immer ein Ergebnis interdisziplinärer Zusammenarbeit. Genau aus diesem Grund möchte die DeepSec-Konferenz jährlich Vertreter aus Forschung, Behörden, Wirtschaft und der internationalen Hacker-Community an einen Tisch bringen. Eine vernetzte Welt benötigt vernetztes Denken. Insellösungen oder kurzfristige Maßnahmen sind nicht zukunftsgerichtet. Daher hat die diesjährige DeepSec-Konferenz ihren Schwerpunkt auf Infrastruktur, Internet der Dinge, Mobilität (sei es Funk, Gerät oder Transport) und auch Kryptographie gelegt. Spezialisten aus vier Kontinenten tauschen sich im November in Wien aus, um Bedrohungen der Zukunft zu begegnen.

Details und Programm der DeepSec-Konferenz

Die DeepSec-Konferenztage sind am 29. und 30. November. Die Trainings finden an den zwei vorangehenden Tagen, dem 27. und 28. November statt. Der Veranstaltungsort ist das Hotel The Imperial Riding School Vienna – A Renaissance Hotel in der Ungargasse 60, 1030 Wien.

Das aktuelle Programm kann unter dem Link https://deepsec.net/schedule.html eingesehen werden. Tickets für die Konferenz und die Trainings können Interessierte unter dem Link https://deepsec.net/register.html bestellen.

James Bamford hat in der Publikation „In-Depth Security – Proceedings of the DeepSec Conferences Volume 2“ seinen Vortrag als Artikel mit dem Titel „A Death in Athens – The Inherent Vulnerability of „Lawful Intercept““ zusammengefasst. Das Buch ist im Handel erhältlich oder kann direkt über die DeepSec GmbH bezogen werden. Nachfolgend Bamfords Vortrag auf Video:

A Death in Athens: The inherent Vulnerability of “Lawful Intercept” Programs – James Bamford from Deepsec Conference on Vimeo.


Mehr Artikel

Stijn Bannier, Digital Product Manager, Open API.
News

Air France-KLM erklimmt mit API neue Höhen

Air France-KLM hat mit TIBCO Cloud Integration und TIBCO Cloud Mashery Software eine API-geführte, kundenzentrierte Strategie umgesetzt. Sie verknüpfte ihre riesige Anwendungs- und Datenumgebung, um Partnern, Entwicklern und Endbenutzern ein reibungsloses Erlebnis zu bieten – und dem Unternehmen die Fähigkeit zur agilen Veränderung. […]

Palo Stacho, Mitgründer und Head of Operations bei Lucy Security (c) Lucy Security
Kommentar

Die fünf Mythen von simulierten Phishing-Nachrichten

Das Schweizer Unternehmen Lucy Security hat in einer weltweiten Onlinestudie „Nutzen und Herausforderungen von Cybersecurity-Awareness 2020“ im Juni 2020 Unternehmen nach dem praktischen Nutzen und den Herausforderungen von Cybersecurity-Awareness befragt. Aufgrund dieser Studie räumt Palo Stacho, Mitgründer und Head of Operations bei Lucy Security, mit fünf Mythen auf. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*