Kommentar

Datenhunger von Regierungen zerstört Online-Vertrauen

18.05.2016
Von 
Kevin Bocek ist als Vice President Security Strategy & Threat Intelligence bei Venafi für die Security Strategie und Threat Intelligence verantwortlich.
Der FBI-Apple-Streit um die iPhone-Verschlüsselung in den USA oder die wiederholte Sperre von WhatsApp durch die brasilianische Justiz aus ähnlichen Gründen: Es zeigt sich mehr und mehr, dass sich Regierungen Zugriff auf digitale Schlüssel und Zertifikate erpressen wollen. Das ist ein akutes Problem.

Die digitalen Schlüssel und Zertifikate, auf die es Regierungen und staatliche Institutionen weltweit abgesehen haben, bilden die Grundlage für Cybersicherheit und sind das Rückgrat für den Schutz von persönlichen Daten. Die Weitergabe von Zertifikaten und Schlüsseln an solche Organisationen ist ein gravierender Einschnitt in die Persönlichkeitsrechte.

In der Praxis sind das Server, Clouds, Mobilgeräte, Anwendungen und sämtliche Geräte, auch Devices aus dem Internet der Dinge (Internet of Things, IoT). Im Wesentlichen ermöglichen sie Endpunkten miteinander zu sprechen, zu wissen, wem oder was vertraut werden kann und wem oder was nicht: Kommt man an den richtigen Schlüssel, kann man diese Kommunikationen kontrollieren und hat die Möglichkeit, auf alle gewünschten Daten zuzugreifen.

Regierungen sind erpicht auf den Zugang und fordern einen "Master Key", mit dem sie im Notfall Zugriff auf sämtliche verschlüsselte Daten erhalten können. Aber kann man sich angesichts der bisherigen Erfahrungen wirklich darauf verlassen, dass Behörden und staatliche Institutionen einen solchen kryptographischen Schlüssel pfleglich behandeln? Daten bedeuten Macht und die korrumpiert - die absolute Gewalt über Informationen der Bürgerinnen und Bürger ist keine Lösung. Es wäre töricht zu denken, dass Regierungen dagegen immun sind.

Regierungen hätten am liebsten einen "Master Key" für den vollen Zugriff auf alle Verschlüsselungssysteme.
Regierungen hätten am liebsten einen "Master Key" für den vollen Zugriff auf alle Verschlüsselungssysteme.
Foto: juliannedev - www.shutterstock.com

Präzedenzfall Snowden

Edward Snowden enthüllte die Aktivitäten der NSA (für die immerhin ein gestohlener kryptographischer Schlüssel verwendet wurde). Und kürzlich stellte sich heraus, dass die britische Regierung Millionen Bürger ausspioniert hat. Tatsache ist, dass Regierungen bereits viel zu weit gehen und Daten über Bürger erlangen, von denen viele weder eine Straftat noch einen Verstoße begangen haben - und das ohne das Wissen oder die Zustimmung der Bürger selbst. Dabei handelt es sich nicht nur um ein Problem für Technologieunternehmen wie Apple - jedes Unternehmen ist heute ein digitales Unternehmen und alle Organisationen sind Verwalter von Daten.

Privatsphäre ist ein grundlegendes Recht und muss auch in der digitalen Welt geschützt werden. Dies bestätigt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Lagebericht zur IT-Sicherheit: "Mathematische Kryptographie ist der zentrale und stärkste Grundbaustein für IT-Sicherheitsmechanismen zur Wahrung von Vertraulichkeit, Integrität und Authentizität digitaler Informationen."

Gefahr von Blueprints

Der Zugriff auf Daten ist aber nur ein Teil beim Schutz der Privatsphäre. Die eigene IP, das Kundenvertrauen und Firmengeheimnisse sollten abgeschirmt werden, deshalb werden sie so gut gehütet. Immer wieder gab es Sicherheitsverstöße durch Organisationen und auch durch staatliche Einrichtungen. Wenn jetzt eine zentrale Institution alle Befugnisse bekommt, entsteht eine enorme Verantwortung. Es ist nicht sinnvoll, denn auch ein Masterschlüssel kann gestohlen werden. Cyberkriminelle könnten dann einfach jedes Bankkonto leerräumen und Sicherheitsmechanismen umgehen. Der Schaden wäre immens.

Rechtmäßige Unternehmen zu zwingen, den Zugang zu ihren Software-Lösungen durch die Hintertür zu ermöglichen, führt zu Blueprints, die möglicherweise in die falschen Hände gelangen können. Ein Beispiel dafür ist Stuxnet: Hier schuf die US-Regierung eine Sicherheitslücke, bei der missbrauchte Schlüssel und Zertifikate für ihre eigenen Zwecke genutzt wurden. Sie wurden bald gestohlen und auf die denkbar schlimmste Weise eingesetzt - in einem Versuch, kritische Infrastrukturen zu manipulieren. Dieser Regierungsangriff bildete die Basis für einen Angriffsplan, der nun auch von gewöhnlichen Cyberkriminellen eingesetzt wird.

Internet of Things könnten gefährlicher als Atombomben werden

Geheimnisse bleiben nicht geheim, insbesondere nicht in der dunklen Welt der Geheimdienste. Die USA bauten die erste Atombombe und entwickelten die Technologie immer weiter, jetzt hat Kim Jong Un seinen Finger über dem 'roten Knopf'. Ein Master Key hat ein weitaus zerstörerisches Potential. Die ganze Welt, kritische Infrastruktur, der Online-Handel, Krankenhäuser, alles ist heute über Maschinen miteinander verbunden - gelingt es jemandem, diese Maschinen zu übernehmen, steht man vor einem Jahr-Null-Szenario. Die Gesellschaft könnte zusammenbrechen. Die wachsende Zahl an Geräten in diesem maschinenabhängigen Netz sowie die zunehmende Nutzung des Internet der Dinge (IoT) machen das Problem noch akuter. (sh)