pts20240609003 Technologie/Digitalisierung, Unternehmen/Wirtschaft

Staatliche Attacken auf Informationssicherheit gehen unvermindert weiter

Ende-zu-Ende-Verschlüsselung bleibt wichtige und bedrohte Komponente für die Sicherheit


Analoges W48-Telefon ohne Verschlüsselung (Foto: Wikipedia)
Analoges W48-Telefon ohne Verschlüsselung (Foto: Wikipedia)

Wien (pts003/09.06.2024/09:00)

Die Einführung starker Verschlüsselung hat in der Vergangenheit immer wieder zu Auseinandersetzungen mit Behörden und Regierung geführt. Egal, ob es um Mobilfunknetze, E-Mail-Systeme, Messenger oder das World Wide Web geht, bei jeder Iteration der technischen Protokolle werden Hintertüren eingefordert, die die komplette Kommunikationsinfrastruktur gefährden. Die DeepSec Konferenz warnt davor, Spionage Tür und Tor zu öffnen.

Sicher oder unsicher, das ist die Frage

Verschlüsselung hat unweigerlich mit Mathematik zu tun, und die bei Verschlüsselungstechnologien eingesetzten Algorithmen stammen fast immer aus mathematischer Forschung. Für IT-Infrastrukturen gibt es fertige und gut getestete Komponenten, die frei verfügbar sind. Der kritische Punkt bei der Absicherung von Kommunikation ist immer, das Mithören von Nachrichten zu vermeiden. Die einzige Möglichkeit dazu ist die sogenannte Ende-zu-Ende Verschlüsselung ("end-to-end encryption", EE2E). Dabei verbleiben die beteiligten Schlüssel ausschließlich bei Sender und Empfänger. Alle Stellen, die an der Weiterleitung der Nachricht beteiligt sind, können auf die Inhalte nicht zugreifen. Die Implementation von EE2E ist immer das Ziel in der Informationssicherheit. EE2E-Konfigurationen sind Teil unseres täglichen Lebens, sei es im Privatbereich oder in Unternehmen. Messenger auf Smartphones, Videokonferenzen, Home Office, sicherer Zugriff auf Portale und viele andere Applikationen verwenden die sichere Form der Verschlüsselung.

Es ist dabei wichtig festzuhalten, dass die kryptographischen Algorithmen keine Ausnahme kennen. Entweder man möchte die maximale Sicherheit durch EE2E oder man möchte sie nicht. Sicherheitsstandards wie ISO 27001 oder Datenschutzanforderungen kennen ebenso keine Ausnahme. Möchte man Sicherheitsgarantien implementieren, so gibt es keine Ausnahmen. Der Zugriff auf die Inhalte ist bei Verwendung von EE2E nicht unmöglich. Er beschränkt sich nur auf die Sendungs- oder Empfangsseite.

Einflüsterungen und Drohungen

Die US-Regierung mit Präsident Bill Clinton hat schon 1993 versucht, Verschlüsselung zu sabotieren. Man versuchte damals, durch Einführung eines offiziellen Computerchips alle verschlüsselten Kommunikationen mit Hilfe von Zweitschlüsseln durchsuchbar zu gestalten. Die technische Implementation ist an vielen Widersprüchen gescheitert. Tatsächlich hat sich an der Mathematik und der Implementation nichts geändert. Alle Ansätze müssen zwangsweise die Sicherheit kompromittieren. Gesetzlich vorgeschriebene Hintertüren gibt es bereits in Mobilfunknetzwerken. Im Jahre 2005 brachen Unbekannte in ein griechisches Mobilfunknetzwerk ein. Im Zuge des Angriffs wurden über 100 Regierungsmitglieder abgehört. Die Spuren wurden verwischt, und die Ermittlungen kamen zu keinem Ergebnis. Der Vorfall ist unter dem Namen "The Athens Affair" dokumentiert. Mobilfunk folgt nicht demselben Sicherheitsmodell wie Internetprotokolle, aber die Aufhebung bzw. das Verbot für EE2E böte Angreifern ähnliche Möglichkeiten.

Im April 2024 haben verschiedene Strafverfolgungsbehörden Meta aufgefordert, den Einsatz von EE2E aufzugeben. Das Argument war, dass sichere Verschlüsselung die Ermittlungen behindere. Laut den Behörden sei nur eine unsichere Verschlüsselung sicher für die Nutzung. Diese Formulierung wurde absichtlich so gewählt, weil sie den technischen Tatsachen entspricht. Ein oft vorgebrachtes Argument ist der Begriff "going dark", sprich die Möglichkeit, dass Kommunikationsparteien bei Verschlüsselung plötzlich "unsichtbar" werden. Belastbare Zahlen werden dabei nicht angeführt. Laut einem Interview mit Robin Wilton, dem Direktor der Internet Society, hat die Einführung von sicherer Kommunikation seit 2015 durch Edward Snowdens Enthüllungen stark zugenommen. Umgekehrt gab es aber keinen scharfen Einbruch bei den Ermittlungsergebnissen. Wäre EE2E der entscheidende Faktor, dann dürfte es gar keine Anklagen oder Verurteilungen bei mit Verschlüsselung verknüpften Straftaten mehr geben. Abseits der Ermittlungsbehörden müsste die Ende-zu-Ende Verschlüsselung auch zu Probleme in der IT-Sicherheit führen, weil Inhalte angeblich nicht mehr inspiziert werden können (beispielsweise für Inhaltsüberprüfung auf Schadsoftware). Das ist aber ebenso nicht der Fall.

Verschlüsselung bleib Grundbaustein für Sicherheit

Ohne sichere Verschlüsselungsalgorithmen lässt sich IT-Sicherheit nicht umsetzen. Der Versuch, EE2E zu verbieten oder Hintertüren auf Clients/Servern einzubauen, greift viel zu kurz. Die Konsequenzen betreffen nur die Anwender, welche dann zu Opfern werden. Kriminelle werden die bisher verwendeten Kommunikationsprotokolle als unsicher ansehen und auf andere Wege ausweichen. Das ist ein bekannter Effekt, den Ermittlungsbehörden schon vor 30 Jahren im Drogenkrieg mit den Kartellen erfahren haben. Speziell bei der aktuellen Bedrohungslage durch Wirtschaftsspionage und Angriffe auf kritische Infrastruktur sowie Unternehmen, ist die gesetzliche Schwächung von IT-Sicherheitsmaßnahmen grob fahrlässig.

Fälle von Spionage wurden in den vergangenen Jahren auf der DeepINTEL Konferenz diskutiert. Die Erfahrung mit Sicherheitslücken oder Schwächen in der Absicherung hat gezeigt, dass diese immer für Angriffe ausgenutzt werden.

Programme und Buchung

Die DeepSec 2024-Konferenztage sind am 21. und 22. November. Die DeepSec-Trainings finden an den zwei vorangehenden Tagen, dem 19. und 20. November statt. Alle Trainings (bis auf angekündigte Ausnahmen) und Vorträge sind als Präsenzveranstaltung gedacht, können aber im Bedarfsfall teilweise oder komplett virtuell stattfinden. Für registrierte Teilnehmer und Teilnehmerinnen wird es einen Stream der Vorträge auf unserer Internetplattform geben.

Die DeepINTEL Security Intelligence Konferenz findet am 20. November statt. Da es sich um eine geschlossene Veranstaltung handelt, bitten wir um direkte Anfragen zum Programm an unsere Kontaktadressen. Wir stellen dafür starke Ende-zu-Ende-Verschlüsselung bei Kommunikation zur Verfügung: https://deepsec.net/contact.html

Tickets für die DeepSec Konferenz und die Trainings können Sie jederzeit online unter dem Link https://deepsec.net/register.html bestellen. Ermäßigungscodes von Sponsoren stehen Ihnen zur Verfügung. Bei Interesse melden Sie sich bitte unter deepsec@deepsec.net. Bitte beachten Sie, dass wir wegen der Planungssicherheit auf rechtzeitige Ticketbestellungen angewiesen sind.

(Ende)
Aussender: DeepSec GmbH
Ansprechpartner: René Pfeiffer
Tel.: +43 676 5626390
E-Mail: deepsec@deepsec.net
Website: deepsec.net/
|