DeepSec: Geheimdienste wollen Informationssicherheit abschaffen

Seit es Sicherheitsmaßnahmen gibt, wird über ihren Nutzen und ihre Stärke diskutiert. Bei digitaler Kommunikation kommt stets das Thema der Hintertüren auf. Hochqualitative Schlösser sind in der analogen Welt erwünscht, um Werte vor Diebstahl zu schützen. In der digitalen Welt soll das anders werden. [...]

Die DeepSec-Konferenz findet in Wien am 29. und 30. November statt.
Die DeepSec-Konferenz findet in Wien am 29. und 30. November statt. (c) DeepSec GmbH

Die „Five Eyes“ (sprich die Geheimdienste der Vereinigten Staaten, Großbritanniens, Australiens, Neuseelands und Kanada) möchten alle Staaten der Welt bei verschlüsselter Kommunikation zum Einbau von Nachschlüsseln, also Hintertüren, zwingen. Dazu fand Ende August in Australien ein Treffen der Five Eyes Innenminister statt. Dieser Vorschlag birgt schwerwiegende Nachteile für die Wirtschaft und die nationale Sicherheit jedes Staates.

Messenger statt Mobilfunk

Als die Mobiltelefone ihren Siegeszug antraten, gab es nur unverschlüsselte Kurznachrichten (auch bekannt als SMS, Short Message Service). Vor der Ära der Smartphones haben einige Hersteller eigene proprietäre Formate entwickelt, um den Inhalt der Nachrichten zu schützen. In den letzten Jahren gab es einen Schwenk in Richtung Messenger Apps, die das Internet für die Nachrichtenübertragung nutzen. Damit konnten und können Entwicklerinnen offene Standards mit starker Verschlüsselung einsetzen, die nicht den gesetzlich vorgeschriebenen Schnittstellen zur Telekommunikationsüberwachung in den Mobilfunknetzwerken unterliegen.

Diese Telekommunikationsüberwachung (international auch „Lawful Interception“ genannt) ist fester Bestandteil der Netzwerkinfrastuktur und erfasst ständig Ortsdaten, Logins, Betriebszeiten, Adressen, Mobilfunkidentifikationen sowie weitere Daten. Moderne Messenger setzen daher meist das Prinzip der Ende-zu-Ende-Verschlüsselung ein, wo nur die kommunizierenden Endgeräte die Schlüssel zur Nachricht besitzen. Das Netzwerk kennt diese nicht und kann den Inhalt der Nachrichten nicht sehen. Dies ist nur über mobilen Datenzugang, sprich Internetzugriff, möglich.

Die Gefahren dieser Schnittstellen wurden durch die publizierten Dokumente von Edward Snowden im Jahre 2013 und die Abhöraffäre in Athen in den Jahren 2004 und 2005 illustriert. Bereits 2015 hielt James Bamford, US-amerikanischer Journalist und Nachrichtendienstexperte, den Eröffnungsvortrag zur DeepSec-Konferenz und erläuterte darin wie die Mobiltelefone der griechische Regierung über rechtlich geforderte Hintertüren von Unbekannten abgehört wurden. Kostas Tsalikidis, der zuständige Netzwerkverantwortliche, beging Tage nach Bekanntwerden der Abhörkonfigurationen Selbstmord. Die Täter der Abhöraktion wurden trotz größter langwieriger Ermittlungen nie ausfindig gemacht.

Mathematik ist in Australien nicht rechtskräftig

Sicherheitsforscher und Ingenieure sind sich der Gefahren schlecht implementierter und unsicherer Kommunikation sehr wohl bewusst. Aus diesem Grunde wird spätestens seit den Snowden Enthüllungen starke Kryptographie und sichere Kommunikation von Technologiefirmen und Entwicklerinnen forciert. Das Institute of Electrical and Electronics Engineers (IEEE) und die Internet Engineering Task Force (IETF) haben in allen Standards der letzten Jahre Protokolle standardisiert, die weder Hintertüren noch absichtlich geschwächte Algorithmen enthalten. Das moderne Internet, und damit unsere heutige Kommunikationsgesellschaft, basiert auf diesen Standards.

Die Techniker versuchen damit, das Pendant zu sicheren Brücken zu schaffen, die ja auch keine Sollbruchstelle haben dürfen. Infrastruktur muss verlässlich sein. Man darf dabei nicht vergessen, dass nicht nur Telefonate und Nachrichten von den gesetzlichen Schwachstellen betroffen sind. Forderungen nach Nachschlüsseln betreffen Finanztransaktionen, das komplette World Wide Web, sämtliche Anwendungen auf Smartphones, das Internet-der-Dinge, alle Smart-Technologien, kurzum alle Unternehmen und Märkte weltweit.

Der ehemalige australische Premierminister Malcolm Turnbull hat den Forderungen, weltweit immer und überall sämtliche Kommunikation mitlesen zu können, höchste Priorität gegeben. Er sagt im Juli diesen Jahres, dass das Gesetzbuch Australiens über der Mathematik stehe. Damit bezog er sich auf die Kritik von Forschern der Kryptographie, die ein Teilgebiet der Mathematik ist. Diese Logik ist fragwürdig, betonen die DeepSec-Konferenz-Veranstalter, denn niemand hat bisher die Gravitation für illegal erklärt, um Arbeitsunfälle zu verhindern oder leichter Berge besteigen zu können. Die Frage ist einzig und alleine, ob man echte Sicherheit haben möchte oder nicht. Der Brandschutz ist eine gute Analogie. Niemand möchte Schutzvorkehrungen gegen Brände, die nicht immer funktionieren. Genauso möchte auch niemand elektronische Zahlungsmittel nutzen, die bis auf Widerruf sicher sind.

Nationale Sicherheit schafft sich international ab

Die Forderung der Five Eyes lässt sich auch umformulieren. Da die Dienste ebenso die Mathematik zum Schutz ihrer Länder einsetzen, müssten sie sich selbst schwächen. Das betrifft dann insbesondere Wirtschaftsspionage, die sehr oft Ländergrenzen überquert. Eine komplette Zerstörung bzw. die Sabotage von wichtigen Komponenten der Informationssicherheit ist ein kurzsichtiger Reflex, sind die Experten der DeepSec-Konferenz überzeugt. Es gehe nicht nur um die Vorzeigefirmen im Silicon Valley. Hintertüren und Nachschlüssel belasteten jedwede Kommunikation über Geschäftsgeheimnisse bis hin zur sicheren elektronische Kommunikation von Rechtsanwälten mit der Justiz und Behörden.

Man darf dabei nicht vergessen, dass diese Forderung nicht nur von den Five Eyes gestellt werden wird, sollte es zu einer Umsetzung durch Regierungen kommen. Die Vereinten Nationen führen momentan eine Liste von 206 Mitgliedsstaaten. Die Forderungen der Five Eyes werden dann von den „206 Eyes“ auch gestellt werden. Politisch Verantwortliche sind sehr gut beraten, die Warnungen von Experten nicht zu ignorieren. Stimmt man der Forderung nach Hintertüren zu, so müssen die Geheimdienste der Five Eyes dann auch den Diensten Europas, Russlands, Chinas und Nordkoreas jeweils ihre eigene nationale Kommunikation offenlegen, denn die Mathematik der Sicherheit oder Unsicherheit gilt für alle gleichermaßen. Die Forderung hat daher mit der Realität rein gar nichts zu tun, mit Informationssicherheit schon gar nicht.

Lösungen nicht im Monolog möglich

Sicherheitsforscher sitzen im selben Boot wie die Behörden. Auch sie müssen Angreifer finden und müssen mit oder gegen Schutzmaßnahmen arbeiten. Dennoch rücken IEEE, IETF und alle technischen Organisationen nicht von der Forderung nach starker Sicherheit ab. Da die Five-Eyes-Forderungen explizit legislative Maßnahmen ansprechen, ist das ein wertvolles Kompliment für die Techniker. Das bedeutet, dass die technische Umsetzung nur sehr schwer oder mit den derzeit verfügbaren Mitteln nicht angreifbar ist.

Die Implementation von Sicherheit ist immer ein Ergebnis interdisziplinärer Zusammenarbeit. Genau aus diesem Grund möchte die DeepSec-Konferenz jährlich Vertreter aus Forschung, Behörden, Wirtschaft und der internationalen Hacker-Community an einen Tisch bringen. Eine vernetzte Welt benötigt vernetztes Denken. Insellösungen oder kurzfristige Maßnahmen sind nicht zukunftsgerichtet. Daher hat die diesjährige DeepSec-Konferenz ihren Schwerpunkt auf Infrastruktur, Internet der Dinge, Mobilität (sei es Funk, Gerät oder Transport) und auch Kryptographie gelegt. Spezialisten aus vier Kontinenten tauschen sich im November in Wien aus, um Bedrohungen der Zukunft zu begegnen.

Details und Programm der DeepSec-Konferenz

Die DeepSec-Konferenztage sind am 29. und 30. November. Die Trainings finden an den zwei vorangehenden Tagen, dem 27. und 28. November statt. Der Veranstaltungsort ist das Hotel The Imperial Riding School Vienna – A Renaissance Hotel in der Ungargasse 60, 1030 Wien.

Das aktuelle Programm kann unter dem Link https://deepsec.net/schedule.html eingesehen werden. Tickets für die Konferenz und die Trainings können Interessierte unter dem Link https://deepsec.net/register.html bestellen.

James Bamford hat in der Publikation „In-Depth Security – Proceedings of the DeepSec Conferences Volume 2“ seinen Vortrag als Artikel mit dem Titel „A Death in Athens – The Inherent Vulnerability of „Lawful Intercept““ zusammengefasst. Das Buch ist im Handel erhältlich oder kann direkt über die DeepSec GmbH bezogen werden. Nachfolgend Bamfords Vortrag auf Video:

Sie sehen gerade einen Platzhalterinhalt von Vimeo. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

A Death in Athens: The inherent Vulnerability of “Lawful Intercept” Programs – James Bamford from Deepsec Conference on Vimeo.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*