Sabotage der IT-Sicherheit bedroht heimische Wirtschaft

Wien (09.11.2020) –

Vor über 300 Jahren erlebte die Kryptoanalyse, sprich die Methode zum Entschlüsseln von Geheimcodes, eine Hochzeit in Europa. In sogenannten Schwarzen Kammern oder Schwarze Kabinette (auch als cabinet noir bezeichnet) wurden in Postämtern alle Briefe von bestimmten Personen im Geheimen geöffnet, eingesehen, abgeschrieben und wieder verschlossen. Die so abgefangenen Briefe wurden dann zugestellt. Der Zweck war es, gefährliche oder schädliche Nachrichten für die damaligen Regenten zu finden. Aktivste und effizienteste Kammer Europas war die Geheime Kabinettskanzlei in Wien. Beendet wurde die Abhörpraxis erst im 19. Jahrhundert. Dieses Szenario der kaiserlichen und königlichen Höfe steht jetzt allen europäischen Unternehmen und Privatpersonen bevor. Die Ende-zu-Ende-Verschlüsselung soll per Vorschlag des EU-Ministerrats auf Drängen der Geheimdienste mit Hintertüren versehen werden.

Krieg gegen die Mathematik

Algorithmen zur Verschlüsselung und zur Verwaltung von digitalen Schlüsseln sind längst fester Bestandteil des Alltags geworden. Webseiten, Apps auf Smartphones, der virtuelle Gang zur Bank, Kommunikation mit Behörden, das Streaming von Musik oder Videos, Computerspiele, Software Upgrades, das digitale Zeitungslesen sowie Bestellungen und Abrechnungen von Unternehmen verlassen sich alle auf die Integrität und den Schutz der im Internet transportierten Inhalte.

Der Begriff Ende-zu-Ende-Verschlüsselung beschreibt dabei eine Reihe von Verfahren, bei dem nur die Kommunikationspartner selbst die Schlüssel besitzen und niemand sonst. Spätestens seit der Dokumentation von Massenüberwachung und anderen illegalen Projekten von Geheimdiensten durch Edward Snowden haben IT-Unternehmen und Standardisierungsgremien Methoden zur Ende-zu-Ende-Verschlüsselung in viele Übertragungsprotokolle eingebaut, damit sich Firmen gegen Industriespionage und verwandte Angriffe wehren können. Der technologische Hintergrund für diese Implementationen ist Teil der Mathematik, die ganz ohne Informationstechnologie beschreibt wie Verschlüsselung, Entschlüsselung und die Schlüssel selbst aussehen.

Seit dem Kalten Krieg wurde die Mathematik der Kryptographie aktiv bekämpft. Die USA führten eine Liste mit gefährlichen Gütern, die nicht für den Export bestimmt waren. Darunter waren auch kryptografische Algorithmen. Starke Verschlüsselung war aus Angst vor der Sowjetunion selbst Unternehmen nicht zugänglich. In den 1990ern Jahren verschob sich der Krieg gegen die Kryptographie auf die Personal Computers (PCs). Bezahlbare Rechenleistung in den Händen aller wurde als existentielle Bedrohung wahrgenommen.

Den Höhepunkt dieser Auseinandersetzung mit IT-Experten und der US-amerikanischen Regierung gipfelte in dem Vorschlag über den sogenannten Clipper Chip sämtliche Sprach- und Datenübertragungen mit einer Hintertür für Behörden zu versehen. Das Projekt scheiterte aufgrund wirtschaftlicher Bedenken. Erst Präsident Clintons Executive Order 13026 nahm im Jahre 1996 kryptografische Algorithmen von der Liste der zu regulierenden Technologien. Diese Crypto Wars wiederholen sich seit dieser Zeit periodisch.

Kein Bezug zur Realität

Die Beschwörung des Bösen in allen Formen der Kryptografie hat keinen Bezug zur Realität. Der Anschlag vom 2. November 2020 in Wien war durch Fehler in der Ermittlung der Behörden möglich. Der britische investigative Journalist Duncan Campbell hielt zur DeepSec Konferenz im Jahre 2011 einen Vortrag mit dem Titel “How Terrorists Encrypt”. Er skizzierte Fälle und Verdächtige, die in den Jahren davor Ermittlungen ausgesetzt waren. Die Beispiele reichten bis zu den Attentätern vom 11. September in den USA. Keine Gruppe, kein Individuum benutzte moderne Verschlüsselung. Stattdessen wurden sehr alte Methoden wie Sprechtafeln (einfach Ersetzungen von Wörtern) zusammen mit unverschlüsselten E-Mail-Nachrichten verwendet.

Darüber hinaus wurden auch Telefonate und Treffen eingesetzt. Alle diese Methoden sind wesentlich unauffälliger und leichter anzuwenden. Je komplexer ein Kommunikationssystem ist, desto mehr Abhängigkeiten ergeben sich. Das erschwert teilweise die Verwendung und führt zu leichterer Aufklärung, weil man verschlüsselte Kommunikation zwischen Endpunkten sehr leicht entdecken kann (die Tatsache, dass Verschlüsselung verwendet wird, nicht die Inhalte). Dadurch ist eine Metadatenanalyse viel leichter möglich als bei harmlosen Verabredungen zu Kaffee oder Kino.

Künstliche Schaffung eines Untergrunds

Das Fazit aus den Crypto Wars lässt sich mit einer Aussagen zusammenfassen: Wenn man Kryptographie kriminalisiert, dann besitzen nur noch Kriminelle kryptographische Mittel. Die Basis für Verschlüsselung liegt in der Mathematik. Die Umsetzung geschieht in Software. Es ist also jederzeit möglich verbotene Algorithmen auf einem universellen Computer, beispielsweise Laptop/Smartphone, zum Einsatz zu bringen. Das ist kein akademisches Beispiel. Das Los Zetas Kartell in Mexiko unterhält eine eigene Kommunikationsinfrastruktur inklusive eigenem Mobilfunknetzwerk mit Funkzellen. Mobilfunknetzwerke enthalten serienmäßig Überwachungsschnittstellen. Das ist den Experten sowie Gegenspielern bekannt. Vertrauliche Kommunikation findet daher ausschließlich über Lösungen statt, die sichere Verschlüsselung verwenden. Die Los Zetas zeigen die natürliche Reaktion, die auf Verbote und Überwachung stattfindet.

Der Vorschlag des EU-Ministerrats wird daher in letzter Konsequenz einen Untergrund schaffen, in dem die verbotenen Methoden weiter angewendet werden. Darin werden sich dann auch Unternehmen finden, die ihre Geschäftsgeheimnisse nicht mehr anders schützen können. Die Sinnhaftigkeit dieses Konzepts ist daher zu hinterfragen. Weiterhin ist nicht berücksichtigt, dass hinter den Terroranschlägen der letzten Jahrzehnte keine weltweit agierende Organisation mit Niederlassungen steckt. Es sind Ideen, die über Social Media, Unterhaltungen und Treffen weitergegeben werden. Diese stark dezentrale Struktur lässt sich durch ein Verbot der Ende-zu-Ende Verschlüsselung oder den Einbau von Hintertüren nicht behindern, aber die Arbeit von Unternehmen und der Alltag von Privatpersonen sehr wohl. Die digitale Wirtschaft, wie wir sie jetzt kennen, wäre ohne starke IT-Sicherheit nicht möglich.

Verfassungskonformität fraglich

Die Einführung von Hintertüren in verschlüsselter Kommunikation ist rechtlich sehr fraglich und gesellschaftlich bedenklich. Die Vorratsdatenspeicherung gehört ebenso zu den Maßnahmen, die ständig vorgebracht werde und wiederholt gegen geltendes Recht verstoßen. Ganz abgesehen davon betrifft eine Abschaffung sicherer Kommunikation Regierungen und Behörden gleichermaßen. Eine Schwächung von Sicherheitsmaßnahmen wird immer ausgenutzt werden. Der Abhörskandal in Griechenland 2005 oder die kürzlich wieder diskutierten Hintertüren in Netzwerkausrüstung der US-amerikanischen Firma Juniper sind ausgewählte Beispiele dafür. Beides und vieles mehr wurde auf vergangenen DeepSec-Sicherheitskonferenzen ausgiebig diskutiert. Es bleibt zu hoffen, dass die Wirtschaft sich zukünftig trotz aller Panik legal vor digitalen Bedrohungen schützen darf. Der Wirtschaftsstandort Europa wäre es wert.

Programme und Buchung

Die DeepINTEL Security Intelligence Konferenz findet am 18. November statt. Da es sich um eine geschlossene Veranstaltung handelt, bitten wir um direkte Anfragen zum Programm. Wir stellen starke Ende-zu-Ende Verschlüsselung bei Kommunikation zur Verfügung: https://deepsec.net/contact.html

Die DeepSec 2020 Konferenztage sind am 19. und 20. November. Die DeepSec Trainings finden an den zwei vorangehenden Tagen, dem 17. und 18. November statt. Aufgrund der aktuellen COVID-19-Maßnahmen sind alle Trainings und alle Vorträge virtueller Natur.

Tickets für die DeepSec Konferenz selbst und die Trainings können Sie jederzeit unter dem Link https://deepsec.net/register.html bestellen. Ermäßigungscodes von Sponsoren stehen noch zur Verfügung. Melden Sie sich unter deepsec@deepsec.net bei Interesse. Bitte beachten Sie, dass wir aufgrund Planungssicherheit nach wie vor auf rechtzeitige Ticketbestellungen angewiesen sind.

DeepSec GmbH,
René Pfeiffer

Leave a Reply

Your email address will not be published.