USA: Hintertür für Sicherheitsbehörden bei Verschlüsselung

daten 07
News

Bei einer Anhörung vor dem US-Senat fordern die Vertreter der nationalen Sicherheitsbehörden eine Hintertür für Verschlüsselungstechniken. Es müsse den entsprechenden Behörden möglich sein, im Notfall auch trotz Verschlüsselung auf die Kommunikation und Daten der Betroffenen zuzugreifen. Dies wird mit dem Bedürfnis nach Sicherheit und einer effektiven Strafverfolgung begründet.

Gute Verschlüsselung = digitale Selbstverteidigung

Spätestens seit den Enthüllungen des Whistleblowers Edward Snowden ist klar, dass die weltweite ansatzlose Massenüberwachung von Regierungen und Bevölkerung Realität ist. Und täglich werden weitere Informationen über das Ausmaß der globalen Überwachung bekannt. Eine Antwort der Politik ist in Deutschland bisher ausgeblieben, der Generalbundesanwalt ermittelt wegen Mangel an Beweisen in der NSA Affäre bisher noch nicht.

Für alle Betroffenen bleibt daher oft nur eine Möglichkeit: Die digitale Selbstverteidigung! Diese erreicht man z.B. durch Verschlüsselung bzw. Kryptographie (allgm. Informationssicherheit). Dabei wird vom Sender der sog. „Klartext“ in einen „Geheimtext“ umgewandelt – die Verschlüsselung. Vom Empfänger wieder dieser Text wieder zurückgewandelt, also entschlüsselt. Je nach Verschlüsselungstechnik soll dabei die Vertraulichkeit, Integrität, Authentizität und Verbindlichkeit im Hinblick auf die Nachricht gewährleistet werden.

Verschlüsselung: ja, aber mit Ausnahmen

Immer mehr Anbieter von Hardware- und Softwareprodukten bieten auch ihren Privatkunden Verschlüsselungstechniken an. Es können dabei oft vom Unternehmen selbst keine Daten mehr ausgelesen werden, sofern der Schlüssel – wie oft – allein beim Kunden liegt. Auch Dritte wie z.B. Behörden haben dann keine Zugriffsmöglichkeit, sie können den Anbieter daher auch nicht gerichtlich zur Preisgabe zwingen. Genau hier setzt aber die Forderung der amerikanischen Verfolgungsbehörden an. Sofern keine Hintertür im Produkt eingebaut ist und auch keine „Zweitschlüssel“ hinterlegt werden, müsste den Behörden von Seiten der Anbieter „freiwillig“ eine Zugriffsmöglichkeit zu Verfügung gestellt werden. Jedenfalls bei gerichtlicher Anordnung durch einen Richter.

Sally Quillian Yates, Generalstaatsanwalt und James B. Comey, Direktor des F.B.I dazu:

„One of the bedrock principles upon which we rely to guide us is the principle of judicial authorization: that if an independent judge finds reason to believe that certain private communications contain evidence of a crime, then the government can conduct a limited search for that evidence. For example, by having a neutral arbiter—the judge—evaluate whether the government’s evidence satisfies the appropriate standard, we have been able to protect the public and safeguard citizens’ Constitutional rights.“

Auch deutsche Nutzer betroffen

Auch für deutsche Bürger könnten sich die aktuellen Bestrebungen seitens der amerikanischen Behörden zur Aushöhlung der Verschlüsselungstechniken negativ auswirken. Denn stammen die meisten Hardware- und Softwareprodukte, die von deutschen Staatsangehörigen genutzt werden immer noch von U.S. amerikanischen Unternehmen. Sollten also die jeweiligen amerikanischen Anbieter quasi dazu gezwungen werden eine Möglichkeit zu schaffen, die angebotene Verschlüsselung zu umgehen, so wären auch deutsche Nutzer von dieser Hintertür betroffen.

Die Frage bleibt, was eine solche Verschlüsselung dann noch wert ist.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

Ein Kommentar zu diesem Beitrag

  1. Es ist ganz einfach:
    Entweder haben wir Sicherheit für alle. Oder aber wir haben Unsicherheit für alle.

    Es ist technisch unmöglich, Hintertüren, Vordertüren, Zweitschlüssel oder sonstige Zugangsmöglichkeiten für „legitime“ „Bedarfsträger“ einzurichten und gleichsam unerwünschte Mitleser auszuschließen. Schwächen wir unsere Verschlüsselungstechnik, öffnen wir Chinesen, Russen und der Mafia Tür und Tor.

    Am Ende werden wir nicht nur ein Schutzinstrument verlieren – sichere Verschlüsselung.
    Wir werden auch noch die Chinesen, Russen und die Mafia einladen, noch einfacher gegen unsere Bürger, Regierungen und Unternehmen zu spionieren.

    Übrigens: „Going dark“ ist eine LÜGE der Überwachungsbehörden!
    Nie war es einfacher als heute für Überwachungsbehörden, an Daten von Zielpersonen zu gelangen. Jede Verschlüsselung kann schon heute ausgehebelt werden; jedoch nicht, weil die Verschlüsselung schlecht wäre. Nein, starke Kryptografie ist nach wie vor gut. Aber die Endgeräte und die umliegende Infrastruktur sind dermaßen unsicher, dass die Überwachungsbehörden immer einen Weg um die Verschlüsselung herum finden.

    Fazit:
    Wenn die NSA hinter Dir her ist, dann nützt Dir auch keine starke Verschlüsselung. Es verschafft Dir nur etwas Zeit zum Atmen. Gezielte Überwachung wird nicht durch Verschlüsselung verhindert. Aber Massenüberwachung von Millionen Unschuldigen wird durch Verschlüsselung unrentabel teuer und damit schwierig bis unmöglich. Es geht den Überwachungsbehörden um Massenüberwachung von uns allen, dabei stört starke Kryptografie.

    Einblicke aus der Praxis:
    Verschlüsselte Daten müssen irgendwann auch unverschlüsselt vorliegen. Sender und Empfänger wollen die Daten ja irgendwann auch mal einsehen. Genau da setzen heutige Angriffe an.
    1. Ganz einfach: Mittels versteckter Kameras im Raum wird die zur Entschlüsselung benötigte Passphrase aufgezeichnet, wenn die Zielperson diese gerade eingibt.
    2. Der private Schlüssel (zur Entschlüsselung benötigt) wird aus dem Arbeitsspeicher des Zielcomputers extrahiert, durch Trojaner oder durch Angriffe, die physischen Zugriff benötigen.
    3. Während die Zielperson gerade am (entschlüsselten) Rechner sitzt, erfolgt der Zugriff der Einsatzkräfte. Dabei wird sofort darauf geachtet, dass der Rechner im eingeschalteten Zustand bleibt.
    4. Ein Trojaner wird der Zielperson untergejubelt. Ein Keylogger zeichnet die Entschlüsselungspassphrase auf. Außerdem werden E-Mails, Voice-/Video-/Text-Chats etc. vor der Verschlüsselung abgefangen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.