Überwachung als organisierte Kriminalität

Wien (pts015/30.07.2021/09:30) – Die vom Konsortium Pegasus Project publizierten Informationen über den systematischen Missbrauch ihrer Überwachungssoftware für Smartphones zeigen deutlich, dass zügellose Überwachung von organisierter Kriminalität kaum zu unterscheiden ist. Sicherheitsexpertinnen und Sicherheitsexperten warnen zunehmend vor dem Horten unbekannter Sicherheitslücken durch Firmen, die Spionageprodukte entwickeln. Informationssicherheit für Gesellschaft, Behörden und Wirtschaft sind mit der Existenz solcher Werkzeuge unvereinbar. Darüber hinaus stellen sie eine Bedrohung für die nationale Sicherheit eines jeden Landes dar. Ein echter Standortvorteil für Europa ist nur durch konsequente IT-Sicherheit zu halten.

Kampf um Kommunikationsinhalte

Seit den ersten Diskussionen um die Verfügbarkeit starker Verschlüsselung für Privatpersonen und Firmen ist ist die Sicherheit digitaler Kommunikation heiss umkämpft. Die US-amerikanische Regierung wollte in den 1990er Jahren Zugriff auf Nachrichten und Gespräche von Kommunikationsanbietern gesetzlich verankern. Dies scheiterte am Widerstand von Wirtschaft und Bürgerrechtsorganisationen. Im Zuge der Diskussion entstanden Projekte wie beispielsweise Pretty Good Privacy (PGP), die die übermittelten Inhalte stark verschlüsselten.

Die Bestrebungen der US-Regierung, Verschlüsselung für private Kommunikation zu verbieten, scheiterte ebenso. Die zunehmende Verbreitung von portablen Computern und die Explosion der Messenger Dienste hat spätestens seit den Enthüllungen Edward Snowdens zu einer enormen Verbreitung von verschlüsselten Technologien in Produkten geführt. Dieser Gewinn an Sicherheit steht jetzt wieder auf dem Spiel. Bedroht ist er durch die Einführung von Hintertüren in Form von Nachschlüsseln durch neue Gesetzesinitiativen, ganz analog zu dem Vorstoß in den 1990ern.

Rechtsstaatlichkeit als Bedrohung

Wenn Verschlüsselung keine Hintertüren oder absichtliche Schwächen hat, so kann man immer versuchen Nachrichten auf Endgeräten zu kopieren bevor sie verschlüsselt werden. Dazu ist es notwendig die Sicherheit des Endgeräts zu brechen, um Zugriff zu erlangen. Die so kompromittierten Computer, Smartphones und Tablets werden dann mit Hilfe von Schadsoftware ausgelesen. Die Spionagesoftware Pegasus der NSO Group schlägt diesen Weg ein. Die Infektion geschieht mit Hilfe von vermeintlich echten Nachrichten und durch Ausnutzung unbekannter Sicherheitslücken. Die Qualität von Pegasus ist dabei sehr hoch. Spuren auf infizierten Geräten zu finden ist sehr schwierig.

Solche Produkte existieren, weil es eine Nachfrage nach Überwachungswerkzeugen gibt. Hersteller dieser Applikationen beteuern, dass sie nur an Behörden verkaufen. Damit wäre theoretisch eine Rechtssicherheit hergestellt, aber im Anbetracht der 193 Staaten, die Mitglieder der Vereinten Nationen (UNO) sind, sagt das nicht viel aus. Liest man die publizierte Liste von 50.000 Telefonnummern, so finden sich darin einige plausible strategische Ziele für bestimmten Länder. Emmanuel Macron ist ein prominentes Beispiel. Sicherheitsexpertinnen, Sicherheitsexperten und an die 150 Organisationen aus der Zivilgesellschaft fordern daher ein Regulierung bzw. ein Verbot solcher Überwachungswerkzeuge.

Staatliche Sicherheit kapituliert

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Warnung vor der Spionagesoftware Pegasus veröffentlicht. Darin wird beschrieben, dass die Applikation technisch sehr fortgeschritten ist und eine Umsetzung von Schutzmaßnahmen sehr schwierig sei. Einzig die Einschränkung der betroffenen Nachrichtenkanäle und das Ausweichen auf alternative Kommunikationsformen bleiben als Empfehlung übrig. Die Warnung erscheint in diesem Licht der kürzlich in Deutschland beschlossenen Gesetzesänderungen zum Einsatz von Spionagesoftware durch staatliche Behörden als Wegweiser in die Zukunft. Sicherheitslücken in digitalen Systemen müssen publiziert und geschlossen werden.

Es darf keinen Freiraum bei Schwachstellen geben, der für eine spezielle Verwendung zurückgehalten wird. IT Sicherheitsfachleute waren seit geraumer Zeit vor dem Szenario unkontrollierter Spähsoftware, was schon längst eingetreten ist. Dieses besteht nicht nur für die Zivilgesellschaft sondern ganz speziell für jede nationale Wirtschaft mit ihren Unternehmen als größte Bedrohung. Angriffe zur Wirtschaftsspionage finden täglich statt. Sie werden oft erst Monate oder Jahre später entdeckt. Dieses Status Quo gilt es zu bekämpfen.

Zu allem Überfluss sind die Crypto Wars noch nicht beendet. Dieses Jahr fand ein virtuelles Treffen von hochrangigen Beamten der EU und der USA statt. Dabei wurde der Slogan „Sicherheit trotz Verschlüsselung“ verwendet. Gemeint sind damit die Zugriffe auf Kommunikation wie sie die Clinton Regierung in den 1990ern in den USA schaffen wollte. Für betroffene Wirtschaftstreibende kann der Slogan auch „Hochwasserschutz trotz Löcher in Deichen“ oder „Brandschutz durch Brandstiftung“ heißen. Die Folgen für den Erfolg durch Spionage seitens Dritter zeigt jetzt schon die Pegasus Schadsoftware. Sichere Kommunikation darf kein Privileg von Ausgewählten und der organisierten Kriminalität sein, denn gesetzliche Sanktionen haben bis dato den Schwarzmarkt vorangetrieben – in diesem Fall den für starke Verschlüsselung.

Austausch von Fachwissen

Die diesjährigen DeepSec- und DeepINTEL-Konferenzen werden im November in Wien wieder aktuelle Themen der IT-Sicherheit diskutieren. Darunter fallen auch rechtliche Angriffe auf sichere Kommunikation, das Offenhalten von Sicherheitslücken durch Behörden und welche defensiven Maßnahmen betroffenen Unternehmen sowie Organisationen zur Verfügung stehen. Begleitet wird die DeepSec Konferenz von mehreren zweitägigen Trainings, die gezielt die Vertiefung von Kenntnissen ermöglichen. Das Spektrum reicht von Angriffen auf moderne Desktops, Gefahren in Mobilfunknetzwerken (2G bis 5G), Schwachstellen von Industrial Control Systems (ICS) bis hin zur Überwindung von Signel-Sign-On Lösungen. Ganz neu im Programm ist die Analyse von Bedrohungen für die eigene IT-Infrastruktur durch praxisbezogene Planspiele.

Nichts ist wichtiger als die richtige Information im richtigen Moment zu haben. Die stetigen Angriffe auf sichere Kommunikation belegen diese These. Informelle Gespräche mit Geheimhaltungsklausel findet auf der DeepINTEL statt, wo Security Intelligence und strategische IT-Sicherheit verlässlich diskutiert wird. Auch Staatliche Schadsoftware wird auch dort unter die Lupe genommen werden können.

Programme und Buchung

Die DeepSec 2021-Konferenztage sind am 18. und 19. November. Die DeepSec Trainings finden an den zwei vorangehenden Tagen, dem 16. und 17. November statt. Alle Trainings (bis auf Ausnahmen) und Vorträge sind als Präsenzveranstaltung gedacht, können aber aufgrund von zukünftigen COVID-19 Maßnahmen teilweise oder komplett virtuell stattfinden.

Die DeepINTEL Security Intelligence Konferenz findet am 17. November statt. Da es sich um eine geschlossene Veranstaltung handelt, bitten wir um direkte Anfragen zum Programm. Wir stellen starke Ende-zu-Ende Verschlüsselung bei Kommunikation zur Verfügung: https://deepsec.net/contact.html

Tickets für die DeepSec Konferenz und die Trainings können Sie jederzeit online unter dem Link https://deepsec.net/register.html bestellen. Ermäßigungscodes von Sponsoren stehen Ihnen zur Verfügung. Bei Interesse melden Sie sich bitte unter deepsec@deepsec.net. Bitte beachten Sie, dass wir wegen der Planungssicherheit auf rechtzeitige Ticketbestellungen angewiesen sind.

(Ende)

Aussender: DeepSec GmbH Ansprechpartner: René Pfeiffer Tel.: +43 676 5626390 E-Mail: deepsec@deepsec.net Website: deepsec.net/