DeepSec: Geheimdienste wollen Informationssicherheit abschaffen

Seit es Sicherheitsmaßnahmen gibt, wird über ihren Nutzen und ihre Stärke diskutiert. Bei digitaler Kommunikation kommt stets das Thema der Hintertüren auf. Hochqualitative Schlösser sind in der analogen Welt erwünscht, um Werte vor Diebstahl zu schützen. In der digitalen Welt soll das anders werden. [...]

Die DeepSec-Konferenz findet in Wien am 29. und 30. November statt.
Die DeepSec-Konferenz findet in Wien am 29. und 30. November statt. (c) DeepSec GmbH

Die „Five Eyes“ (sprich die Geheimdienste der Vereinigten Staaten, Großbritanniens, Australiens, Neuseelands und Kanada) möchten alle Staaten der Welt bei verschlüsselter Kommunikation zum Einbau von Nachschlüsseln, also Hintertüren, zwingen. Dazu fand Ende August in Australien ein Treffen der Five Eyes Innenminister statt. Dieser Vorschlag birgt schwerwiegende Nachteile für die Wirtschaft und die nationale Sicherheit jedes Staates.

Messenger statt Mobilfunk

Als die Mobiltelefone ihren Siegeszug antraten, gab es nur unverschlüsselte Kurznachrichten (auch bekannt als SMS, Short Message Service). Vor der Ära der Smartphones haben einige Hersteller eigene proprietäre Formate entwickelt, um den Inhalt der Nachrichten zu schützen. In den letzten Jahren gab es einen Schwenk in Richtung Messenger Apps, die das Internet für die Nachrichtenübertragung nutzen. Damit konnten und können Entwicklerinnen offene Standards mit starker Verschlüsselung einsetzen, die nicht den gesetzlich vorgeschriebenen Schnittstellen zur Telekommunikationsüberwachung in den Mobilfunknetzwerken unterliegen.

Diese Telekommunikationsüberwachung (international auch „Lawful Interception“ genannt) ist fester Bestandteil der Netzwerkinfrastuktur und erfasst ständig Ortsdaten, Logins, Betriebszeiten, Adressen, Mobilfunkidentifikationen sowie weitere Daten. Moderne Messenger setzen daher meist das Prinzip der Ende-zu-Ende-Verschlüsselung ein, wo nur die kommunizierenden Endgeräte die Schlüssel zur Nachricht besitzen. Das Netzwerk kennt diese nicht und kann den Inhalt der Nachrichten nicht sehen. Dies ist nur über mobilen Datenzugang, sprich Internetzugriff, möglich.

Die Gefahren dieser Schnittstellen wurden durch die publizierten Dokumente von Edward Snowden im Jahre 2013 und die Abhöraffäre in Athen in den Jahren 2004 und 2005 illustriert. Bereits 2015 hielt James Bamford, US-amerikanischer Journalist und Nachrichtendienstexperte, den Eröffnungsvortrag zur DeepSec-Konferenz und erläuterte darin wie die Mobiltelefone der griechische Regierung über rechtlich geforderte Hintertüren von Unbekannten abgehört wurden. Kostas Tsalikidis, der zuständige Netzwerkverantwortliche, beging Tage nach Bekanntwerden der Abhörkonfigurationen Selbstmord. Die Täter der Abhöraktion wurden trotz größter langwieriger Ermittlungen nie ausfindig gemacht.

Mathematik ist in Australien nicht rechtskräftig

Sicherheitsforscher und Ingenieure sind sich der Gefahren schlecht implementierter und unsicherer Kommunikation sehr wohl bewusst. Aus diesem Grunde wird spätestens seit den Snowden Enthüllungen starke Kryptographie und sichere Kommunikation von Technologiefirmen und Entwicklerinnen forciert. Das Institute of Electrical and Electronics Engineers (IEEE) und die Internet Engineering Task Force (IETF) haben in allen Standards der letzten Jahre Protokolle standardisiert, die weder Hintertüren noch absichtlich geschwächte Algorithmen enthalten. Das moderne Internet, und damit unsere heutige Kommunikationsgesellschaft, basiert auf diesen Standards.

Die Techniker versuchen damit, das Pendant zu sicheren Brücken zu schaffen, die ja auch keine Sollbruchstelle haben dürfen. Infrastruktur muss verlässlich sein. Man darf dabei nicht vergessen, dass nicht nur Telefonate und Nachrichten von den gesetzlichen Schwachstellen betroffen sind. Forderungen nach Nachschlüsseln betreffen Finanztransaktionen, das komplette World Wide Web, sämtliche Anwendungen auf Smartphones, das Internet-der-Dinge, alle Smart-Technologien, kurzum alle Unternehmen und Märkte weltweit.

Der ehemalige australische Premierminister Malcolm Turnbull hat den Forderungen, weltweit immer und überall sämtliche Kommunikation mitlesen zu können, höchste Priorität gegeben. Er sagt im Juli diesen Jahres, dass das Gesetzbuch Australiens über der Mathematik stehe. Damit bezog er sich auf die Kritik von Forschern der Kryptographie, die ein Teilgebiet der Mathematik ist. Diese Logik ist fragwürdig, betonen die DeepSec-Konferenz-Veranstalter, denn niemand hat bisher die Gravitation für illegal erklärt, um Arbeitsunfälle zu verhindern oder leichter Berge besteigen zu können. Die Frage ist einzig und alleine, ob man echte Sicherheit haben möchte oder nicht. Der Brandschutz ist eine gute Analogie. Niemand möchte Schutzvorkehrungen gegen Brände, die nicht immer funktionieren. Genauso möchte auch niemand elektronische Zahlungsmittel nutzen, die bis auf Widerruf sicher sind.

Nationale Sicherheit schafft sich international ab

Die Forderung der Five Eyes lässt sich auch umformulieren. Da die Dienste ebenso die Mathematik zum Schutz ihrer Länder einsetzen, müssten sie sich selbst schwächen. Das betrifft dann insbesondere Wirtschaftsspionage, die sehr oft Ländergrenzen überquert. Eine komplette Zerstörung bzw. die Sabotage von wichtigen Komponenten der Informationssicherheit ist ein kurzsichtiger Reflex, sind die Experten der DeepSec-Konferenz überzeugt. Es gehe nicht nur um die Vorzeigefirmen im Silicon Valley. Hintertüren und Nachschlüssel belasteten jedwede Kommunikation über Geschäftsgeheimnisse bis hin zur sicheren elektronische Kommunikation von Rechtsanwälten mit der Justiz und Behörden.

Man darf dabei nicht vergessen, dass diese Forderung nicht nur von den Five Eyes gestellt werden wird, sollte es zu einer Umsetzung durch Regierungen kommen. Die Vereinten Nationen führen momentan eine Liste von 206 Mitgliedsstaaten. Die Forderungen der Five Eyes werden dann von den „206 Eyes“ auch gestellt werden. Politisch Verantwortliche sind sehr gut beraten, die Warnungen von Experten nicht zu ignorieren. Stimmt man der Forderung nach Hintertüren zu, so müssen die Geheimdienste der Five Eyes dann auch den Diensten Europas, Russlands, Chinas und Nordkoreas jeweils ihre eigene nationale Kommunikation offenlegen, denn die Mathematik der Sicherheit oder Unsicherheit gilt für alle gleichermaßen. Die Forderung hat daher mit der Realität rein gar nichts zu tun, mit Informationssicherheit schon gar nicht.

Lösungen nicht im Monolog möglich

Sicherheitsforscher sitzen im selben Boot wie die Behörden. Auch sie müssen Angreifer finden und müssen mit oder gegen Schutzmaßnahmen arbeiten. Dennoch rücken IEEE, IETF und alle technischen Organisationen nicht von der Forderung nach starker Sicherheit ab. Da die Five-Eyes-Forderungen explizit legislative Maßnahmen ansprechen, ist das ein wertvolles Kompliment für die Techniker. Das bedeutet, dass die technische Umsetzung nur sehr schwer oder mit den derzeit verfügbaren Mitteln nicht angreifbar ist.

Die Implementation von Sicherheit ist immer ein Ergebnis interdisziplinärer Zusammenarbeit. Genau aus diesem Grund möchte die DeepSec-Konferenz jährlich Vertreter aus Forschung, Behörden, Wirtschaft und der internationalen Hacker-Community an einen Tisch bringen. Eine vernetzte Welt benötigt vernetztes Denken. Insellösungen oder kurzfristige Maßnahmen sind nicht zukunftsgerichtet. Daher hat die diesjährige DeepSec-Konferenz ihren Schwerpunkt auf Infrastruktur, Internet der Dinge, Mobilität (sei es Funk, Gerät oder Transport) und auch Kryptographie gelegt. Spezialisten aus vier Kontinenten tauschen sich im November in Wien aus, um Bedrohungen der Zukunft zu begegnen.

Details und Programm der DeepSec-Konferenz

Die DeepSec-Konferenztage sind am 29. und 30. November. Die Trainings finden an den zwei vorangehenden Tagen, dem 27. und 28. November statt. Der Veranstaltungsort ist das Hotel The Imperial Riding School Vienna – A Renaissance Hotel in der Ungargasse 60, 1030 Wien.

Das aktuelle Programm kann unter dem Link https://deepsec.net/schedule.html eingesehen werden. Tickets für die Konferenz und die Trainings können Interessierte unter dem Link https://deepsec.net/register.html bestellen.

James Bamford hat in der Publikation „In-Depth Security – Proceedings of the DeepSec Conferences Volume 2“ seinen Vortrag als Artikel mit dem Titel „A Death in Athens – The Inherent Vulnerability of „Lawful Intercept““ zusammengefasst. Das Buch ist im Handel erhältlich oder kann direkt über die DeepSec GmbH bezogen werden. Nachfolgend Bamfords Vortrag auf Video:

Sie sehen gerade einen Platzhalterinhalt von Vimeo. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

A Death in Athens: The inherent Vulnerability of “Lawful Intercept” Programs – James Bamford from Deepsec Conference on Vimeo.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*