Wien (pts006/16.06.2021/08:45) – Von Geschäftsreisen kennt man Vorkehrungen gegenüber nicht vertrauenswürdigen Internetzugängen. Mitarbeiterinnen und Mitarbeiter wurden mit Virtual Private Netzwerk (VPN)-Technologie ausgestattet, um sicheren Zugriff auf Ressourcen des Unternehmens und interne Systeme zu haben. VPNs werden auch oft verwendet, um die Unsicherheit der sogenannten Letzten Meile, also der Verbindung zwischen dem eigenen Computer und den eigentlichen Systemen im Internet, zu umgehen. Durch das jetzt am 10. Juni im deutschen Bundestag verabschiedete Gesetz werden Möglichkeiten für den Einsatz von Staatstrojanern geschaffen. Damit werden Sicherheitslücken institutionalisiert, um Staatstrojaner auf Endsystemen zu installieren. Sicheres Home-Office ist damit Geschichte.
Allumfassende Überwachung durch digitale Einbrüche
Die Neuerungen zur Ermöglichung von Staatstrojanern verbergen sich in Änderungen des Bundespolizeigesetzes und in Reformen des Verfassungsschutzgesetzes. Alle deutschen Geheimdienste von Bund und Ländern dürfen demnach verschlüsselte Kommunikation mitlesen. Auf Anfrage müssen Internet-Anbieter bei der Installation der Staatstrojaner-Software aktiv mithelfen. Konkrete Verdachtsmomente oder Anlässe sind nicht notwendig. Diese Regelung betrifft sowohl die Anbieter von Messenger-Diensten als auch die Internet-Service-Provider, die die Infrastruktur der Internet-Anbindung zur Verfügung stellen. Darüber hinaus darf die Bundespolizei die laufende Kommunikation von Messengern abhören. Technisch gibt es bei der Umsetzung keinen Unterschied, weil man so oder so eine spezielle Software, eben den Staatstrojaner, einschleusen muss.
Dienstleister, die per Anweisung Internetkommunikation manipulieren müssen, sind damit gezwungen, beispielsweise den Transfer von Software-Updates zu fälschen und Downloads umzuleiten. Damit wird jeglicher Netzwerkverkehr bei Internetzugriff per Definition nicht vertrauenswürdig. Künftig werden so die Updates der Hersteller auf allen Plattformen zu einer direkten Bedrohung.
Weiterhin erfordert die Installation eines Staatstrojaners das Vorhandensein noch nicht publizierter Sicherheitslücken, um ohne Kooperation auf den Endgeräten durchgeführt werden zu können. Implizit werden dadurch Schwachstellen in Computersystemen per Gesetz vorgeschrieben. Den Schaden trägt unmittelbar die Informationssicherheit, weil bereits jetzt unbekannte Schwachstellen für viel Geld gehandelt werden. Die Gesetzesänderung schafft zusätzlich Stabilität für diesen Markt und gefährdet damit alle Betroffenen im privaten Bereich, in der Wirtschaft und bei den Behörden.
Online-Durchsuchung als irreführender Begriff
Die Sprache der Gesetzgebung vernebelt die eigentliche Bedeutung für die Informationstechnologie. Das Ausnutzen von Sicherheitslücken und die Installation zusätzlicher Software zur Überwachung am Endgerät wird als Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) bezeichnet. Dieser Mechanismus wird zum Sicherstellen der Kommunikationsdaten bei Systemen benötigt, die sichere Kommunikation bereitstellen. Statt Quellen-TKÜ wird auch der Begriff Online-Durchsuchung verwendet.
Die technische Umsetzung führt allerdings zu einer kompletten Kompromittierung der Endgeräte, deren Sicherheitsmassnahmen erfolgreich angegriffen und außer Kraft gesetzt wurden. Aus Sicht der Informatik gibt es keinen Unterschied zwischen einem Staatstrojaner, Ransomware oder anderer Schadsoftware. Wurden Sicherheitsvorkehrungen einmal überwunden, so kann die Software beliebige Daten manipulieren, löschen oder zusätzlich abspeichern. Kompromittiere Systeme sind generell nicht mehr vertrauenswürdig und dürfen für nichts mehr verwendet werden.
Unsicherheitstechnologie bei Überwachungssoftware
Die bei Behörden eingesetzte Software hat mitunter selbst keine oder nur unbefriedigende Sicherheitsmaßnahmen. Die Entwickler des Signal Messengers haben im April 2021 eine forensische Software analysiert und eklatante Schwachstellen sowie Urheberrechtsverletzungen im Code gefunden. 2011 wurde vom Chaos Computer Club eine Kopie eines Staatstrojaners untersucht, der seit 2008 im Einsatz war. Die technische Analyse hat haarsträubende Sicherheitsmängel im Programm gefunden. Dritte konnten über die Installation der Software die volle Kontrolle des Systems erlangen und beliebige Operationen ausführen. Zusätzlich war die Umsetzung des verschlüsselten Protokolls zur Abführung der Daten nicht einmal auf dem technischen Stand der 1940er Jahre (kein Schreibfehler!).
Man darf bei verdeckt arbeitender Überwachungssoftware die Sicherheitsmerkmale nicht ohne den Verwendungszweck betrachten. Staatstrojaner müssen generell die Sicherheit am Endgerät brechen. Wenn diese Software dann noch schlecht implementiert ist, so kann sie durch Dritte ausgenutzt und zum Angriff auf beliebige Systeme genutzt werden. Beispiele von Schadsoftware in vergangener Zeit haben deutlich demonstriert, dass dies auch passiert. Umgekehrt ändert sicher programmierte Überwachungssoftware nichts an der Tatsache, dass sie durch einen Einbruch installiert wurden. In jedem Fall wird die Informationssicherheit nachhaltig sabotiert.
Alternativen zur Sabotage der Infrastruktur
Spätestens seit dem Streit um sichere Verschlüsselung im Kalten Krieg und dessen Digitalisierung mit der PC-Ära gibt es immer wieder Diskussionen um das Katz-und-Maus-Spiel zwischen Ermittlerinnen und Ermittlern sowie ihren Gegenpolen. Auch Sicherheitspersonal muss Vorfällen nachgehen und Gründe für Einbrüche in digitale Systeme herausfinden. Moderne Technologie verhindert dieses Vorgehen prinzipiell nicht. Die Kenntnis von Sicherheitslücken und deren Behebung gehört zum Fundament der Informationssicherheit, genau wie die mathematische Grundlage von Kryptographie. Forschung in der Sicherheitstechnologie schläft nicht und es gibt daher zahlreiche Ansätze und Publikationen zur Nachforschung ohne Kompromittierung der digitalen Infrastruktur.
Die DeepINTEL Konferenz thematisiert jedes Jahr in Wien Fragestellungen strategischer Sicherheit. Es geht dort um die Analyse von Bedrohungen und die Aufklärung der Methoden von Angreifenden. Im Fokus stehen sowohl Cybercrime-Gruppierungen wie auch Angriffe von staatlichen Organisationen. Aufgrund der sensitiven Natur der Themen handelt es sich um eine geschlossene Konferenz. Die Teilnahme ist für alle Sicherheitsbeauftragten in Unternehmen und Behörden empfohlen.
Programme und Buchung
Die DeepSec 2021-Konferenztage sind am 18. und 19. November. Die DeepSec-Trainings finden an den zwei vorangehenden Tagen, dem 16. und 17. November statt. Alle Trainings (bis auf Ausnahmen) und Vorträge sind als Präsenzveranstaltung gedacht, können aber aufgrund von zukünftigen COVID-19 Maßnahmen teilweise oder komplett virtuell stattfinden.
Die DeepINTEL Security Intelligence Konferenz findet am 17. November statt. Da es sich um eine geschlossene Veranstaltung handelt, bitten wir um direkte Anfragen zum Programm. Wir stellen starke Ende-zu-Ende-Verschlüsselung bei Kommunikation zur Verfügung: https://deepsec.net/contact.html
Tickets für die DeepSec Konferenz und die Trainings können Sie jederzeit online unter dem Link https://deepsec.net/register.html bestellen. Ermäßigungscodes von Sponsoren stehen Ihnen zur Verfügung. Bei Interesse melden Sie sich bitte unter deepsec@deepsec.net. Bitte beachten Sie, dass wir wegen der Planungssicherheit auf rechtzeitige Ticketbestellungen angewiesen sind.
(Ende)
Aussender: DeepSec GmbH Ansprechpartner: René Pfeiffer Tel.: +43 676 5626390 E-Mail: deepsec@deepsec.net Website: deepsec.net/