Systemische Fehler als Sicherheitslücken

Wien (pts009/09.10.2018/09:15) – Seit die Menschheit Nachrichten verschickt, versucht man, diese abzufangen. Die moderne Kommunikationsgesellschaft schreibt mehr auf kleine, digitale Zettel als man mitlesen kann. Geschützt wird alles mit den Methoden der Mathematik – Verschlüsselung ist im Internet allgegenwärtig. Der Stand der Sicherheitstechnik ist die sogenannte Ende-zu-Ende-Verschlüsselung, bei der nur die Kommunikationspartner Zugang zu den Gesprächsinhalten oder Nachrichten haben. Dritte können nicht mitlesen, ganz unabhängig von der Situation. Dieser Umstand führt seit Einführung der Technologie zu einem Kampf zwischen Sicherheitsforscherinnen, Datenschützern und Ermittlerinnen.

Geschlossene Türen mit Pferden einrennen

Bei Ende-zu-Ende-Verschlüsselung verbleiben die Schlüssel zu den Nachrichten, sowie die Inhalte selbst, auf den bei der Konversation beteiligten Endgeräten. Das ist das gewünschte Ziel, da diese Art der Kommunikation in Netzwerken Anwendung findet, die nicht vertrauenswürdig oder öffentlich sind, wie beispielsweise das Internet. Es gibt in diesen Umgebungen keine andere Möglichkeit zur sicheren Kommunikation. Die Ende-zu-Ende-Verschlüsselung ist alternativlos. Das wird auch durch die Geschichte belegt. Rechtliche Regelungen, die Anbieter von Kommunikationsdiensten verpflichten Regierungsbehörden Zugriff auf die Kommunikation der Nutzer zu gewähren, führten in den 1990er Jahren zur Entwicklung der Pretty Good Privacy (PGP) Software. Die damaligen Auseinandersetzungen tragen im englischsprachigen Raum daher die Bezeichnung Crypto Wars.

Man begegnet den Hürden der Mathematik mit Mitteln aus der Antike. Hintertüren oder trojanische Pferde, sprich eingeschleuste Software zum Lesen der Nachrichten vor Verschlüsselung, sollen auf den Endgeräten direkt eingesetzt werden, um an der Quelle mitlesen zu können. Sicherheitstechnisch stellen jedoch Hintertüren eine Schwachstelle in Hardware oder Software dar. Für den Einsatz der trojanischen Pferde muss eine Schwachstelle vorhanden sein, um die Applikation unbemerkt installieren zu können. Beide Ansätze stehen der Informationssicherheit diametral entgegen.

Eingebauter Missbrauch

Selbst wenn der Einsatz der sogenannten Staatstrojaner seitens der Behörden nur für die Ausforschung von Drogendelikten oder ähnlich schweren Fällen vorgesehen sein sollte, so ist es denkbar, dass eine solche Abhörsoftware entkommt und einem anderen Zweck zugeführt wird. Die Abhöraffäre in Griechenland im Jahre 2004 ist ein reales Beispiel. Damals wurden über die gesetzlich vorgeschriebenen Abhörschnittstellen im Mobilfunknetzwerk Telefonate und Nachrichten von griechischen Regierungs- und Behördenmitgliedern mitgeschnitten. Die Angreifern nutzten die bereits vorhandenen Schnittstellen aus. Kostas Tsalikidis, der Netzwerkplanungsmanager des Mobilfunkoperators, wurde zwei Tage nach Bekanntwerden der Lücke tot in seiner Wohnung aufgefunden. Die Täter des Abhörskandals wurden trotz jahrelanger Ermittlungen nie gefunden.

Zwar sind bei Software keine fest eingebauten Schnittstellen zur Überwachung per se aktiv oder vorgesehen, es gibt jedoch Voraussetzungen, die erfüllt sein müssen. Mit einem Staatstrojaner, manchmal auch Bundestrojaner genannt, nutzt der Staat aktiv Schwachstellen in Computerprogrammen oder Apps in Smartphones aus, um Einzelpersonen zu überwachen. Oft kauft er diese Schwachstellen sogar selbst für Steuergelder auf dem Schwarzmarkt ein und informiert die Entwicklerfirmen bewusst nicht über die ihm dann bekannten Fehler, um die Lücken möglichst lange für eigene Zwecke offen zu halten. Dabei wird die Sicherheit aller Menschen und Computersysteme aufs Spiel gesetzt. Im August 2018 wurde seitens der Abteilung Cyber- und IT-Sicherheit im Bundesinnenministerium auf einer Tagung bestätigt, dass das Wissen um unbekannte Sicherheitslücken bis zu einem gewissen Anteil vor der Öffentlichkeit zurückgehalten wird, um digitale Systeme anzugreifen.

Lücken schließen statt darauf aufzubauen

Die DeepSec Sicherheitskonferenz beschäftigt sich seit dem ersten Tag mit dem Thema Sicherheitslücken. Es wurden in den vergangenen Jahren die Sicherheit von Mobilfunknetzen, Internet Infrastruktur, mobilen Geräten, Applikationen aller Art, Softwarekomponenten von Betriebssystemen und vieles mehr eingehend analysiert. Schwachstellen eignen sich nicht als Fundament, auf dem man ein Haus sicher bauen kann.

Sicherheitsforscherinnen weltweit sind sich einig, dass ausschließlich die Publikation von Fehlern (in Zusammenarbeit mit daran interessierten Herstellern) zu deren Behebung führt. In Zeiten der Diskussion um Wahlkampfmanipulation, Bedrohungen für kritischer Infrastrukturen, steigende Vernetzung in sensitiven Wirtschaftsbranchen und militärische Nutzung von Software ist ein möglichst hohes Maß an Informationssicherheit bedeutender denn je. Daher gibt es auf der DeepSec Konferenz im November diesen Jahres wieder Präsentationen und Trainings zu diesem Thema.

Besonders empfohlen sind die Vorträge, die sich gezielt mit den Tätern auseinandersetzen. Edith Huber und Bettina Pospisil präsentieren die Ergebnisse ihrer Recherche zu Profilen von Tätern und Opfern im Bereich Cybercrime. Dr. Silke Holtmanns thematisiert in ihrem Vortrag den Stand der Technik in Bezug auf Sicherheit in Mobilfunknetzen sowie die Herausforderungen für 5G. Mark Baenziger nimmt die Spannungen zwischen Überwachern und Überwachten zum Anlass, um die Tätigkeiten in einem IT Security Team unter beiden Gesichtspunkten zu beleuchten.

Privacy Week: Vorträge zum Thema

Zum Themenkomplex Staatstrojaner gibt es auf der PrivacyWeek gleich zwei Vorträge. Andre Meister, langjähriger Redakteur bei netzpolitik.org, gibt in seinem Vortrag einen Überblick zum Stand der Technik welche bei Staatstrojanern eingesetzt wird, zu den sie vermeintlich regelnden Gesetzen und den zahlreichen Problemen bei deren Umsetzung. Seine Präsentation trägt den Titel des Themas – „Staatstrojaner“.

Lukas Gahleitner von Amnesty International Österreich hält einen Vortrag mit dem Titel „Menschenrechtliche Schutzpflichten von Staaten oder Was haben Seeminen vor der albanischen Küste mit dem Staatstrojaner zu tun?“, der die völkerrechtliche Dimension des Themas veranschaulicht. Letztlich sind Sicherheitslücken eine Gefahr für Infrastruktur und die eigenen Bürgerinnen. Was ist also zu tun, wenn ein Staat von Schwachstellen weiß? Lukas Gahleitner hat diesbezüglich Vorschläge und stellt diese zur Diskussion.

Programme und Buchung

Die DeepSec Konferenztage sind am 29. und 30. November. Die Trainings finden an den zwei vorangehenden Tagen, dem 27. und 28. November statt. Der Veranstaltungsort ist das Hotel The Imperial Riding School Vienna – A Renaissance Hotel, Ungargasse 60, 1030 Wien. Sie finden das aktuelle Programm unter dem Link: https://deepsec.net/schedule.html

Tickets für die DeepSec Konferenz und die Trainings können Sie jederzeit unter dem Link https://deepsec.net/register.html bestellen.

Die Privacy Week findet vom 22. bis 28. Oktober 2018 im Volkskundemuseum im 8. Bezirk in Wien statt. Das Programm findet sich unter https://fahrplan.privacyweek.at . DieTickets für die Privacy Week können Sie online unter diesem Link https://privacyweek.at/tickets bestellen.

(Ende)

Aussender: DeepSec GmbH Ansprechpartner: René Pfeiffer Tel.: +43 676 5626390 E-Mail: deepsec@deepsec.net Website: deepsec.net