Darknet: onion

10.11.2017 | Von:
Matthias Schulze

Going Dark? Dilemma zwischen sicherer, privater Kommunikation und den Sicherheitsinteressen von Staaten

Verschlüsselung und Antiterrorkampf

Im Zuge des Antiterrorkampfes gerät dieser Konsens zunehmend unter Beschuss, unter anderem weil Verschlüsselung, etwa durch VPN-Clients oder das Tor-Netzwerk, ein Umgehen zahlreicher technischer Überwachungslösungen wie die anlasslose Datensammlung an zentralen Internetknoten ermöglicht. Der Inhalt verschlüsselter Internetdatenpakete kann nicht ohne erheblichen technischen Aufwand im Transit ausgelesen werden. Verschlüsselung ist der natürliche Gegner all jener, die mit Überwachung zu tun haben. Allerdings darf nicht vergessen werden, dass die Metadaten der Kommunikation – wann und wie oft welcher Sender mit welchem Empfänger kommuniziert – auch mit Verschlüsselung sichtbar bleiben. Verschlüsselung allein sorgt noch nicht für Anonymität.

Die Debatten um staatlichen Zugang zu verschlüsselter Kommunikation werden immer wieder nach Terroranschlägen entfacht. Großbritannien und Frankreich forderten kurz nach den Angriffen von Paris im November 2015 legale Zugriffsmöglichkeiten für Behörden auf WhatsApp-Kommunikation, obwohl die Täter nachweislich über unverschlüsselte SMS kommunizierten und den Behörden im Vorfeld bekannt waren.[14] Das Argument ist seit den 1990er Jahren dasselbe: Verschlüsselung schaffe abhörsichere Bereiche, die legitime staatliche Strafverfolgung behindern.[15]

Als 2016 das FBI das iPhone des Attentäters von San Bernardino wegen Verschlüsselung nicht auslesen konnte, brachten Innenpolitiker einen Vorschlag ins Spiel, der bereits in den sogenannten Crypto Wars der 1990er Jahre diskutiert wurde. In Anlehnung an die ursprüngliche Fassung des Communications Assistance for Law Enforcement Act von 1994 sollten IT-Hersteller verpflichtet werden, auf staatliche Anordnung ihre Produkte zu verändern, um Überwachung zu ermöglichen.[16] Genau dies sah auch das Burr-Feinstein Encryption Bill von 2016 vor: Cyber-Sicherheitsfeatures zum Schutz vor Hackern und Cyberspionage sollten deaktiviert werden, um staatliche Überwachung zu ermöglichen. Dass eine liberale Demokratie transnational agierende IT-Unternehmen zwingen wollte, absichtlich Sicherheitsmechanismen zu schwächen, galt damals wie heute als Normüberschreitung, sodass die Initiative seitdem auf Eis liegt.[17] Allerdings hatte der Vorschlag sogenannter staatlich mandatierter Schwachstellen internationale Strahlkraft, sodass ähnliche Initiativen etwa in Russland und China eingeführt wurden. Auch andere autoritäre Regime gehen zunehmend gegen Verschlüsselung vor. Aber auch Großbritannien führte mit dem Investigatory Powers Act 2016 ähnliche Vorgaben ein.[18] Die Vereinten Nationen kritisieren diese Maßnahmen als unverhältnismäßig und sehen sie im Konflikt mit demokratischen Grundrechten.[19] Neben der Schweiz diskutiert Australien gegenwärtig ebenfalls diese Idee.

Wenn westliche Demokratien mit dem Argument der Terrorabwehr Unternehmen zwingen, ihre Software zu schwächen, legitimiert dies ähnliche Praktiken in autoritären Regimen – mit dem Unterschied, dass dort mit diesem Argument auch gegen Dissidenten, Journalisten und Menschenrechtsorganisationen vorgegangen wird. Teil des Dilemmas ist, dass Terroristen, Dissidenten und Journalisten verschlüsselte Kommunikation gleichermaßen nutzen, um nicht von Behörden überwacht zu werden. Bei den Anschlägen von Ansbach, Saint-Étienne-du-Rouvray (beide Juli 2016) und London 2017 konnte festgestellt werden, dass der sogenannte Islamische Staat (IS) mit den Tätern über verschlüsselte Messenger wie Telegram in Kontakt stand, sie instruierte und womöglich radikalisierte.[20] Manuale des IS empfehlen eine ganze Reihe verschiedener Verfahren, um der zunehmenden staatlichen Kommunikationsüberwachung zu begegnen. Dazu zählt, Technologie zu meiden, die von Behörden kompromittiert ist oder im Verdacht steht, staatliche Hintertüren zu enthalten.[21]

Diese Manuale deuten darauf hin, dass eine staatliche Schwächung von Verschlüsselung als Argument im Antiterrorkampf mehr schadet als nützt. Wenn Staaten auf ihrem Territorium Software mit staatlichen Hintertüren mandatieren, trifft dies nicht die Terroristen. Hingegen würden die eigenen Bürger gezwungen, unsichere Software zu nutzen und sich größeren Gefahren durch Hacker auszusetzen, während Kriminelle in der Regel zu sicheren Diensten wechseln. Diese sind frei im Internet verfügbar. Zudem gibt es diverse Open-Source-Anwendungen, hinter denen eine Entwicklercommunity und kein Unternehmen steht, das per Gesetz zu Schwachstellen gezwungen werden könnte.

Staatstrojaner und staatliches Hacking

Neben Krypto-Verboten, Schlüsselhinterlegung und staatlich mandatierten Schwachstellen gibt es noch die Idee, Softwareschwachstellen in Betriebssystemen auszunutzen, um Verschlüsselung zu umgehen. Staatliche Spionageprogramme würden dabei wie Schadsoftware ein Gerät infizieren und die Kommunikation mitprotokollieren, noch bevor die Verschlüsselung einsetzt. In Deutschland gibt es seit mindestens 2008 Überlegungen dazu, also bevor Ende-zu-Ende-Verschlüsselung in Messenger Einzug hielt.[22] Das Problem ist, dass solche Staatstrojaner – wie jede andere Form von Schadsoftware – die Sicherheit des betroffenen Systems gefährden. Damit diese Schadsoftware unerkannt bleibt, müssen Sicherheitsmechanismen wie Sandboxen oder Antivirensysteme umgangen werden. Zudem können prinzipiell alle Daten (Fotos, biometrische Daten, Ortsbestimmungen) des betroffenen Systems heimlich an Polizei-Server gesendet werden. Solch mächtige Überwachungssoftware hebelt also zentrale Cyber-Sicherheitsmechanismen auf den Geräten aus und schafft weitere Angriffsflächen, etwa wenn die Software mit den Behörden über das Internet kommuniziert. Diese Gefahr ist keinesfalls abstrakt.

2016 wurde eine Schadsoftware Namens Pegasus bekannt, die auf eine bisher unbekannte Softwareschwachstelle des Betriebssystems iOS setzte. Diese Schwachstelle betraf alle iPhones, also weltweit über eine Milliarde Geräte, die sowohl von Privatnutzern als auch von Politikern genutzt wurden. Pegasus wurde als Staatstrojaner an Mexiko verkauft und dort gegen Journalisten und Mitarbeiter von NGOs eingesetzt, die in staatlichen Korruptionsfällen ermittelten.[23] Die israelische Entwicklerfirma NSO Group bewirbt die Software aber auch als Angriffstool für den staatlichen Cyberkrieg.[24]

Verschlüsselung und Cybersicherheit

Mittlerweile vergeht kaum ein Monat ohne einen Cyber-Sicherheitsvorfall, der Millionen Internetnutzer betrifft. So meldete Yahoo im Oktober 2017 etwa, dass im August 2013 alle drei Milliarden Nutzerkonten von Cyberangriffen kompromittiert wurden.[25] Data Breach Statistics zählt insgesamt knapp neun Milliarden individuelle Datenpunkte wie Benutzernamen und E-Mail-Konten, die seit 2013 von Hackern gestohlen wurden. In lediglich vier Prozent der Fälle konnten diese Daten nicht von Hackern weiterverwendet werden – zum Beispiel für Spam, Phishing oder Identitätsdiebstahl –, weil die Daten verschlüsselt waren.[26]

Statistisch betrachtet, ist eher früher als später jeder von einem Cyber-Sicherheitsvorfall betroffen. Das liegt unter anderem daran, dass immer mehr Akteure, privat und staatlich, Kapazitäten für komplexe, offensive Cyberoperationen zur Spionage und Sabotage aufbauen. Hacking wird zunehmend als legitimes Werkzeug staatlichen Handelns begriffen. Mehr als 30 Staaten weltweit bauen derzeit Kommandostrukturen zur Cyber-Kriegführung auf.[27] Hierzu gehören westliche Regierungen, aber auch Russland, China, Nordkorea oder die Türkei. Dadurch entsteht ein digitaler Rüstungswettlauf. IT-Unternehmen bezahlen jedes Jahr Millionen Euro, um Softwareschwachstellen in ihren Produkten zu beheben. Gleichzeitig geben Staaten Steuergelder für Überwachungssoftware und Sicherheitslücken aus, die je nach Funktionsumfang zwischen Tausenden und Millionen Euro kosten. Die üblichen Marktpreise zum Einkauf von Sicherheitslücken in WhatsApp und anderen Diensten bewegen sich bei 500000 US-Dollar.[28] Staaten befeuern also einen grauen, internationalen Markt für Schadsoftware und Schwachstellen, unter dem sie selbst leiden. Je nach Schätzung kosten Cybervorfälle im Jahr bis zu 400 Milliarden US-Dollar, Tendenz steigend.[29]

Daher kommen immer mehr Experten zu dem Schluss, dass Cyberbedrohungen ein viel größeres Problem darstellen als Terrorangriffe, die nach wie vor sehr selten sind. US-Geheimdienste argumentieren, dass Verschlüsselung und besserer Datenschutz die beste Verteidigungslinie gegen Cyberbedrohungen sind. In einem US-Geheimdienstreport heißt es, die Auswirkungen von Datenlecks würden abgemildert, wenn Daten verschlüsselt und anonymisiert und somit wertlos für Diebe wären.[30]

Gegen eine absichtliche Schwächung von Verschlüsselung und Software argumentiert zum Beispiel auch der ehemalige Chef des britischen Inlandsgeheimdienstes MI5 Jonathan Evans: Zwar sei Terrorismus ein Problem, aber der Nutzen von Verschlüsselung für die Cybersicherheit in Zeiten von Cyberangriffen auf kritische Infrastrukturen größer.[31] Ähnlich argumentiert der ehemalige NSA-Direktor Michael Hayden: Die strategische Cybersicherheit der amerikanischen Computerindustrie sei wichtiger als der taktische Gewinn, der durch Kommunikationsüberwachung entstehe. Insgesamt sei Amerika mit mehr Verschlüsselung sicherer, auch wenn dadurch nicht mehr jede kriminelle Kommunikation überwacht werden könne.[32]

Fußnoten

14.
Vgl. Glen Moody, Paris Terrorists Used Burner Phones, Not Encryption, to Evade Detection, 21.3.2016, https://arstechnica.com/tech-policy/2016/03/paris-terrorist-attacks-burner-phones-not-encryption«.
15.
Vgl. Matthias Schulze, Clipper Meets Apple vs. FBI, in: Media and Communication 1/2017, S. 54–62.
16.
Siehe Susan Landau, The Risks Posed by New Wiretapping Technologies, Cambridge MA 2011, S. 82–89.
17.
Siehe Rainey Reitman, Burr-Feinstein Proposal Declared "Dead" for This Year, 27.5.2016, http://www.eff.org/de/deeplinks/2016/05/win-one-security-burr-feinstein-proposal-declared-dead-year«.
18.
Vgl. Alex Hern, UK Government Can Force Encryption Removal, but Fears Losing, Experts Say, 29.3.2017, http://www.theguardian.com/technology/2017/mar/29/uk-government-encryption-whatsapp-investigatory-powers-act«.
19.
Vgl. Matt Burgess, UN Warns UK’s IP Bill "Undermines" the Right to Privacy, 9.3.2016, http://www.wired.co.uk/article/un-privacy-ip-bill-not-compliant-international-law«.
20.
Siehe Greg Toppo, London Terror Attacker Used WhatsApp, the Encrypted Messaging App, Before Rampage, 26.3.2017, http://www.usatoday.com/story/news/2017/03/26/london-attacker-whatsapp-message/99668890«.
21.
Vgl. Aaron Brantly, Innovation and Adaptation in Jihadist Digital Security, in: Survival 1/2017, S. 79–102.
22.
Siehe etwa Kai Biermann, Vertraulichkeit geht vor, 27.2.2008, http://www.zeit.de/online/2008/09/online-durchsuchung-urteil«.
23.
Vgl. John Scott-Railton et al., Mexican Journalists, Lawyers, and a Child Targeted with NSO Spyware, 19.6.2017, https://citizenlab.ca/2017/06/reckless-exploit-mexico-nso«.
24.
Vgl. Lilian Ablon/Andy Bogart, Zero Days, Thousands of Nights. The Life and Times of Zero-Day Vulnerabilities and Their Exploits, Santa Monica 2016.
25.
Vgl. Daniel AJ Sokolow, Rekordhack bei Yahoo war drei Mal so groß, 4.10.2017, http://www.heise.de/security/meldung/Rekordhack-bei-Yahoo-war-drei-Mal-so-gross-3849303.html«.
26.
Siehe Breach Level Index 2017, http://breachlevelindex.com«.
27.
Vgl. Steve Ranger, US Intelligence: 30 Countries Building Cyber Attack Capabilities, 5.1.2017, http://www.zdnet.com/article/us-intelligence-30-countries-building-cyber-attack-capabilities«.
28.
Vgl. Michael Mimoso, Zerodium Offers $500K for Secure Messaging App Zero Days, 23.8.2017, https://threatpost.com/zerodium-offers-500k-for-secure-messaging-app-zero-days/127610«.
29.
Siehe Tom Risen, Study: Hackers Cost More Than $445 Billion Annually, 9.6.2014, http://www.usnews.com/news/articles/2014/06/09/study-hackers-cost-more-than-445-billion-annually«.
30.
Vgl. James Ball, Secret US Cybersecurity Report: Encryption Vital to Protect Private Data, 16.2.2015, http://www.theguardian.com/us-news/2015/jan/15/-sp-secret-us-cybersecurity-report-encryption-protect-data-cameron-paris-attacks«.
31.
Siehe James Grierson, Ex-MI5 Chief Warns Against Crackdown on Encrypted Messaging Apps, 11.8.2017, http://www.theguardian.com/technology/2017/aug/11/ex-mi5-chief-warns-against-crackdown-encrypted-messaging-apps«.
32.
Michael Hayden, The Pros and Cons of Access to Encrypted Files, 17.2.2016, http://www.youtube.com/watch?v=6HNnVcp6NYA«.