Gierige Behörden und Geheimdienste

Hintertüren gefährden Verschlüsselung

16.12.2015
Marcel Mock ist CTO und Mitbegründer des Schweizer Sicherheitsexperten totemo. In dieser Funktion verantwortet er das gesamte technologische Portfolio und berät vorwiegend Großkunden. Davor war er als Head of Software Development bei WebSemantix AG tätig sowie als Consultant bei IBM Deutschland. Er ist Inhaber mehrerer Patente zum ThemaE-Mail-Verschlüsselung.
Mit dem Verweis auf kriminelle Machenschaften versuchen Gesetzgeber den Schutz zu durchlöchern, den starke Verschlüsselung bieten kann. Ein riskantes Vorgehen.
Vom uneingeschränkten Zugriff träumen Behörden und Geheimdienste.
Vom uneingeschränkten Zugriff träumen Behörden und Geheimdienste.
Foto: Sergey Nivens - shutterstock.com

Uneingeschränkter Zugriff auf verschlüsselte Inhalte – davon träumen Behörden und Geheimdienste. Denn prinzipiell müssen sich Regierungen und Strafverfolger mit dem Einsatz von Verschlüsselung abfinden, weil ein Mindestmaß an Privatsphäre bei der Kommunikation, im Internet und speziell auch zur Abwicklung von Geschäften notwendig ist. Allerdings wollen die Behörden die Verschlüsselung gezielt umgehen können, wenn höhere Interessen auf dem Spiel stehen -, Stichwort „Nationale Sicherheit“.

Jüngstes Beispiel ist die „Investigatory Power Bill“, die als Gesetzesentwurf Anfang November im Britischen Parlament eingebracht wurde. Sie fordert nicht nur, dass die Kommunikationsdienstleister Metadaten über die Internet-Nutzung zwölf Monate lang aufbewahren müssen, sondern will Unternehmen auch zur Mitwirkung verpflichten, wenn es darum geht, an die Inhalte einer verschlüsselten Kommunikation zu gelangen. Ein durchaus delikater Punkt, wie sich Ende Oktober vor einem amerikanischen Bundesgericht zeigte: Apple argumentierte dort, dass sich das Unternehmen nicht in der Lage sehe, die gewünschten Auskünfte über ein iPhone zu erteilen. Der Grund: Apple selbst besitze keine Schlüssel, um die Ende-zu-Ende-Verschlüsselung der Kunden zu brechen.

Verschlüsselung nicht aufweichen

Eine solche Mitwirkungspflicht würde Firmen wohl dazu zwingen, ihren Kunden nur Verfahren anzubieten, bei denen sie prinzipiell über einen Schlüssel verfügen. Oder sie bauen alternativ in eine an sich nicht abhörbare Kommunikation quasi eine „Sollbruchstelle“ ein. Abgesehen davon, dass Unternehmen auch dem Staat oder Apple gegenüber nicht alles offenlegen möchten, was nicht sein muss, bergen so genannte „Hintertüren“ in Verschlüsselungslösungen beträchtliche Risiken – gerade durch die Gruppe derjenigen, die man eigentlich mit dieser Maßnahme bekämpfen will: Cyberkriminelle und Terroristen. Bei einfachen Implementierungen besteht die Gefahr, dass Zugangsschlüssel entdeckt oder erpresst werden, argumentiert beispielsweise Sol Cates, der Chief Security Officer des kalifornischen Datensicherheitsspezialisten Vormetric. Methoden, die sicherer und komplexer sind, erfordern nach seiner Überzeugung dagegen einen so hohen infrastrukturellen Aufwand, dass er in der Praxis nicht zu leisten ist.

Prinzipiell sollte nur einer über den Schlüssel vérfügen und es keine Hintertüren geben.
Prinzipiell sollte nur einer über den Schlüssel vérfügen und es keine Hintertüren geben.
Foto: Maksim Kabakou - shutterstock

Um die Folgen solcher Hintertüren sorgen sich nicht nur IT-Security-Fachleute. Auch der Öffentlichkeit wird mehr und mehr bewusst, welche Risiken damit verbunden sind. Nicht so sehr auf der Britischen Insel selbst, wo nach der Präsentation des Gesetzentwurfs leichte Freude darüber vorherrscht, dass nun zum ersten Mal alle Begehrlichkeiten des Geheimdienstes auf dem Tisch liegen. Eine Änderung im Verhalten ist in Großbritannien aber nicht unbedingt zu erwarten. Anders als in Deutschland, wo das Abkleben der Kamera am Notebook oder die nur verschwommene Abbildung der Häuser bei Google Streetview zum Alltag gehören. Stärkere Vorbehalte gibt es auch in den USA. Dort haben mehr als neun von zehn Personen (91 Prozent) Bedenken gegenüber Hintertüren, wie eine kürzlich von Vormetric veröffentlichte Umfrage zeigt. Auch wenn einige Befragte unter bestimmten Umständen – etwa bei einer Bedrohung der nationalen Sicherheit – Hintertüren für gerechtfertigt halten, dominierten die Ängste vor Missbrauch durch Hacker (69 Prozent) und Regierungen (62 Prozent). Mehr als ein Drittel (34 Prozent) der befragten US-Amerikaner befürchtete außerdem, ein Mangel an sicherer Kommunikation könne US-Unternehmen im Wettbewerb behindern.

Schlüssel-Aufbewahrung schafft Angriffspunkte

Das führt zu einer wichtigen Frage in Bezug auf die Implementierung von Hintertüren: Wie sicher sind die Zugangsschlüssel aufbewahrt? Alleine in den USA gab es in den letzten Jahren eine Fülle an peinlichen und spektakulären Zwischenfällen, bei denen Informationen von Regierungsservern abgeflossen sind. Das weckt Zweifel an der Fähigkeit der Regierung, streng vertrauliche Informationen adäquat zu schützen. So erbeuteten im Sommer 2015 Hacker im US-amerikanischen Office of Personnel Management (OPM) Millionen persönlicher Datensätze. Darunter waren Adressen, Sozialversicherungsnummern, Geburts- und Gesundheitsdaten sowie Informationen zu den Finanzen zahlreicher Regierungsangestellter, die diese für Identitätsdiebstahl und sogar Erpressung anfällig machen.

Die Gefahren, die von Hintertüren ausgehen, lassen sich auch gut an den jüngsten Problemen der US-Behörde für Transportsicherung verdeutlichen. Seit Jahren ermutigt die Transportation Security Administration (TSA) Reisende, speziell entwickelte Schlösser für Gepäck zu verwenden. Sie lassen sich von der TSA mit Generalschlüsseln öffnen, wenn die Behörde den Gepäckinhalt untersuchen will. Im August wurde jedoch bekannt, dass dank eines im Internet vorübergehend veröffentlichten Fotos mit Hilfe von 3D-Druckern nun Kopien dieser Generalschlüssel erstellt werden können. Es bleibt zu hoffen, dass im Fall von digitalen Schlüsseln den Behörden nie ein ähnlicher Fauxpas unterläuft. Denn dies könnte zur Offenlegung von Millionen streng vertraulicher Dokumente führen. Jeder könnte sie dann entschlüsseln – egal ob Krimineller, Wettbewerber oder fremde Regierung.

Die Öffentlichkeit ist gefordert

Gelangen vertrauliche Informationen an die Öffentlichkeit, entsteht meist ein großer Schaden für die Unternehmen: sowohl finanziell und rechtlich als auch im Hinblick auf den guten Ruf. Unternehmen und Bürger machen sich also zu Recht Sorgen um die Schwächung von Verschlüsselungstechnologien, die eine entscheidende Rolle beim Schutz wichtiger Informationen spielen.

Dabei kann die Aufmerksamkeit der Bevölkerung durchaus entscheidend sein, wenn es gilt, rechtzeitig gegenzusteuern. So musste die indische Regierung im September einen Gesetzesentwurf aus dem Verkehr ziehen, der den Behörden den Zugriff auf verschlüsselte Kommunikation ermöglichen sollte und eine Aufbewahrungspflicht für E-Mails und WhatsApp-Nachrichten für 90 Tage forderte. Nachdem der Entwurf im Netz einen Sturm der Entrüstung ausgelöst hatte und auch bei Datenschützern auf Bedenken stieß, wurde er zurückgezogen.

Auch in England ist zu erwarten, dass Parlament und Öffentlichkeit sich die Wunschliste der Behörden in den nächsten Monaten sehr genau ansehen werden. Dabei hat das Parlament ausführlich Gelegenheit, darüber zu diskutieren und zu entscheiden, ob es den Behörden die Hintertüren öffnen will.