Rückschritt für sichere Kommunikation um mehr als 40 Jahre
Hintertüren in Computersystemen bedrohen Wirtschaft und nationale Sicherheit
Kommunikation von A nach B (Bild: Project Runeberg, Wikimedia Commons) |
Wien (pts006/02.03.2023/09:00)
Die britische Regierung möchte mit dem Gesetzesentwurf "Online Safety Bill" den Stand der Technik für sichere Kommunikation um mehr als 40 Jahre zurückwerfen. Der Vorschlag enthält verpflichtende Hintertüren für Kommunikationsplattformen und führt zeitgemäße Verschlüsselungstechnologien in völlige Sinnlosigkeit. Der sichere Messenger Signal hat angekündigt, sich bei Umsetzung vom britischen Markt zurückzuziehen. Das Gesetz ist eine ernsthafte Bedrohung für Unternehmen und stellt ein ungeschütztes Einfallstor für Spionage dar.
"Crypto Wars" - Kampf gegen Sicherheit
Sichere Kommunikation ist seit ihrer Verbreitung ständig rechtlichen Angriffen ausgesetzt. Der sichere Austausch von Nachrichten wird als Bedrohung empfunden, weil technisch keine Überwachung der Korrespondenz implementiert werden kann. Die Verschlüsselungssoftware Pretty Good Privacy (PGP) wurde im Jahre 1991 von Phil Zimmermann erstellt. Nach der Publikation des Codes im Internet und der internationalen Verbreitung in den Folgejahren, wurde Zimmermann 1993 von den Vereinigten Staaten wegen Verstoß gegen die Exportbeschränkungen starker Verschlüsselung Ziel von Ermittlungen. Der legale Export von PGP gelang erst 1995 durch Veröffentlichung des Quellcodes in Buchform. PGP ist historisch, wird heute noch verwendet, und seine Geschichte illustriert sehr gut ein Kapitel der sogenannten "Crypto Wars" von Regierungen gegen Schutz vor Ausspähung.
In den letzten Dekaden haben EU, USA und Großbritannien immer wieder versucht den technischen Stand der 1980er Jahre wieder herzustellen. Die Diskussion um die kontroverse Chatkontrolle ist der nächste Versuch. Man versucht dieses Mal nicht die Verschlüsselungsalgorithmen zu beschränken, sonder man fordert gleich von Anfang an den Einbau von Hintertüren in Mobiltelefone und Computersysteme. Die Annahme ist dabei, dass nur Stellen mit guten Absichten, wie beispielsweise die Polizei oder ermittelnde Behörden, diese Hintertür nutzen werden. Diese fest eingebauten Schwachstellen werden aber in der Realität allen zur Verfügung stehen, die Kommunikation abhören oder Angriffe durchführen wollen. Man öffnet damit allen Angreiferinnen und Angreifern weltweit den Zugang zur eigenen Kommunikation.
Wirtschaftsspionage als Normalität
Alle Unternehmen, Organisationen und Behörden verlassen sich heutzutage auf sichere Kommunikation. Die Digitalisierung hat viele Wege und Abläufe erfasst. Dabei werden nicht nur Nachrichten, sondern auch Daten sicher zwischen verschiedenen Punkten transportiert. Speziell bei Mobiltelefonen haben sich verschiedene Messengersysteme etabliert, die eine abgesicherte Kommunikation zwischen zwei oder mehreren Endpunkte garantieren. Diese Ende-zu-Ende-Verschlüsselung ist ein wichtiger Baustein der Informationssicherheit im Allgemeinen. Sie entspricht auch dem Stand der Technik und wird von Behörden sowie Zertifizierungen empfohlen. Eine alternative Absicherung von Nachrichten sowie Daten bei Transport gibt es nicht.
Die bereits dokumentierten Fälle von Angriffen gegen Schwachstellen in Netzwerkinfrastruktur und anderen Systemen sind seit über 20 Jahren bekannt. Ein prominenter Fall ist die sogenannte "Athens Affair", in der über 100 Personen der griechischen Regierung von Unbekannten abgehört wurden. Der Angriff fand nach den olympischen Spielen im Jahre 2004 statt. Betroffen waren die rechtlich vorgeschriebenen Überwachungsschnittstellen des Mobilfunknetzwerks. Über diese Hintertüren konnten unbemerkt und ohne Spuren zu hinterlassen Telefonate und ausgetauschte Nachrichten mitgeschnitten werden. Die Täterinnen und Täter sind nach wie vor unbekannt. Der britische "Online Safety Bill" und die in der EU diskutierte "Chatkontrolle" fordert nun genau diese Bedrohungen rechtlich vorzuschreiben. Damit sind die Möglichkeiten für Wirtschaftsspionage gesetzlich verankert.
Sicherheit muss sicher bleiben
Der Umstand, dass Kommunikation sicher sein muss, hat pikanterweise auch@das britische Verteidigungsministerium festgestellt. Die Firma Element, welche sichere Kommunikationsdienste anbietet, hat ihren Sitz im Vereinigten Königreich. Firmensprecher haben verkündet, dass Element in Erwartung des "Online Safety Bill" bereits Kunden verloren hat. Darunter ist auch das britische Verteidigungsministerium. Wird das geplante Gesetz umgesetzt, so betreffen die drin geforderten Hintertüren Privatpersonen, Unternehmen, Behörden und die Regierung in gleichem Maße. Damit sind staatliche Organe ebenso Spionage ausgesetzt und können belauscht werden. Darüber hinaus ist es denkbar, dass die Hintertüren zusätzliche Schwachstellen mit sich bringen, die jetzt noch nicht absehbar sind. Selbst die Generalstaatsanwaltschaft Köln sieht laut einer Pressemeldung keinen Bedarf an der Zerstörung von Ende-zu-Ende-Verschlüsselung, weil die eigentlichen Behinderungen im Mangel an Personal bestehen.
Die Konsequenzen des "Online Safety Bill" und der Chatkontrolle sind das Abwandern der Kommunikation auf sichere Alternativen. Die Gesetze haben damit dann nicht den gewünschten Effekt, denn diese Ausweichmaßnahmen wurden in der Vergangenheit schon wirksam. Letztlich werden Kommunukationsplattformen den britischen oder den EU-Markt verlassen. Meredith Whittaker, die Präsidentin von Signal, hat bereits angekündigt, dass der Signal Messenger in den betroffenen Ländern nicht mehr zur Verfügung stehen wird, wenn das Überwachungsgesetz umgesetzt wird. WhatsApp hat Ähnliches verkündet.
Das Perfide an den Gesetzesvorschlägen ist die Attacke auf die Geräte und Betriebssysteme selbst. Bis zu den 1990ern hatte man noch die mathematischen Algorithmen bzw. deren Schlüssellängen auf Verbotslisten gesetzt. Die neuen Vorstöße kompromittieren nun das komplette System, welches zum Versenden und Empfangen von Nachrichten verwendet wird. Den Personalmangel und den Rückstau bei forensischen Auswertungen werden die Gesetze jedenfalls nicht beheben.
Programme und Buchung
Die DeepSec 2023-Konferenztage sind am 16. und 17. November. Die DeepSec Trainings finden an den zwei vorangehenden Tagen, dem 14. und 15. November statt. Alle Trainings (bis auf angekündigte Ausnahmen) und Vorträge sind als Präsenzveranstaltung gedacht, können aber aufgrund von möglichen zukünftigen COVID-19-Maßnahmen teilweise oder komplett virtuell stattfinden. Für registrierte Teilnehmer und Teilnehmerinnen wird es einen Stream der Vorträge auf unserer Internetplattform geben. Die DeepINTEL Security Intelligence Konferenz findet am 15. November statt. Da es sich um eine geschlossene Veranstaltung handelt, bitten wir um direkte Anfragen zum Programm an unsere Kontaktadressen. Wir dafür stellen starke Ende-zu-Ende Verschlüsselung bei Kommunikation zur Verfügung: https://deepsec.net/contact.html
Tickets für die DeepSec Konferenz und die Trainings können Sie jederzeit online unter dem Link https://deepsec.net/register.html bestellen. Ermäßigungscodes von Sponsoren stehen Ihnen zur Verfügung. Bei Interesse melden Sie sich bitte unter deepsec@deepsec.net. Bitte beachten Sie, dass wir wegen der Planungssicherheit auf rechtzeitige Ticketbestellungen angewiesen sind.
(Ende)Aussender: | DeepSec GmbH |
Ansprechpartner: | René Pfeiffer |
Tel.: | +43 676 5626390 |
E-Mail: | deepsec@deepsec.net |
Website: | deepsec.net/ |