Cybersecurity: Vergesst staatliche Hintertüren!
Nach erfolgreichen Hackerangriffen erscheinen auf Computerbildschirmen, statt der vertrauten Bürosoftware, oftmals Botschaften wie diese - und die Aufforderung, Lösegeld zur Freigabe der verschlüsselten Rechner und Daten zu zahlen
Foto: imago imagesNein, es bilden sich in diesen Tagen keine kilometerlangen Schlangen vor den Tankstellen. Und im Osten der USA herrscht auch kein Mangel an Treibstoff, wie vor drei Jahren, als es Hackern beim Angriff auf das Unternehmen Colonial Pipeline gelang, die wichtigste Pipeline und die Treibstoffversorgung der US-Ostküste zeitweise lahmzulegen. Trotzdem stellt der neue, schwere Cyberangriff, die seit Oktober die US-IT-Welt in Atem hält, wohl nicht nur den Sprit-Hack von 2021 weit in den Schatten.
Der Angriff auf die Infrastruktur gleich mehrerer US-Kommunikationsnetze lasse Attacken wie etwa die gegen Colonial Pipeline „im Vergleich wie Kinderspiele aussehen“, sagte Mark Warner, der Vorsitzende des für Geheimdienste zuständigen Senatsausschusses, vor wenigen Tagen der „Washington Post“ (WP). „Das ist der größte Telekommunikationshack in der Geschichte der US-Geschichte – und zwar mit Abstand“, so Warner.
Und er übertreibt wohl nicht. Laut WP war es den Angreifern vermutlich über Monate möglich, sich in Telefonate einzuschalten und diese zu belauschen. Unter anderem hätten sie dabei auf Telefone des wiedergewählten Ex-US-Präsidenten Donald Trump, seines designierten Vizepräsidenten J.D. Vance aber auch der gegenwärtigen Vizepräsidentin Kamala Harris zugreifen können. Weit über Hundert Opfer hat die US-Bundespolizei FBI bereits identifiziert. Laut Warner könnte die Zahl aber noch extrem ansteigen, denn allein die genannten Hacking-Ziele hätten ja unzählige weitere Personen kontaktiert.
Die Hacker sind offenbar so tief in die Systeme von Netzbetreibern wie AT&T, Verizon und anderen Firmen eingedrungen sind, dass es noch Monate dauern dürfte, sie wieder aus der Infrastruktur zu verdrängen. Wann es soweit sein könnte, dazu will sich bei den Betroffenen bislang niemand äußern. Voraussichtlich müssen unter anderem abertausende Netzelemente physisch getauscht werden. Laut Quellen aus der US-Regierung wird die Attacke einer regierungsnahen chinesischen Hackergruppe zugeschrieben, die als „Salt Typhoon“, „GhostEmperor“, „FamousSparrow“, „King of World“ oder auch „UNC2286“ bekannt ist.
Überraschender Aufruf zur Verschlüsselung
Wie schwerwiegend die Sicherheitsbehörden die Attacke auf die Netzbetreiber einschätzen, belegt der Aufruf wichtiger Behördenvertreter Mitte der Woche, der sowohl in seiner Deutlichkeit als auch in seiner Stoßrichtung überrascht: In einem Gespräch mit US-Medien wie dem TV-Sender „NBC“ forderte unter anderem Jeff Greene, stellvertretender Direktor für Cybersicherheit bei der US-Bundesbehörde für Cybersicherheit und Infrastruktur CISA, US-Bürgerinnen und Bürger sowie Unternehmen explizit auf, verschlüsselte Messaging-Apps zu verwenden, um ihre Kommunikation abzusichern.
Sensible Gespräche nur über Krypto-Verbindungen zu führen, E-Mails oder Daten nur verschlüsselt auszutauschen, empfehlen IT-Sicherheitsfachleute seit Jahren. In aller Regel aber handelt es sich dabei nicht Beschäftigte staatlicher Stellen, wie etwa von Ermittlungsbehörden oder Geheimdiensten, sondern um Spezialisten aus der Privatwirtschaft. Staatliche Stellen hingegen hatten in der Vergangenheit zum Einsatz starker Verschlüsselung eine ziemlich ambivalente Haltung.
Wollten sie doch in vielen Fällen selbst Sicherheitslücken ausnutzen oder schwach verschlüsselte IT-Systemen knacken, um beispielsweise Kriminelle zu überführen oder Agenten zu enttarnen oder selbst in anderen Ländern zu spionieren. Der Disput für oder wider staatliche Zugriffsmöglichkeiten in IT Systeme bewegt die Technologiewelt seit Jahren und hat längst einen Namen in der Tech-Szene: „Cryptowars“. Schon 1993 hatten US-Behörden verlangt, Entschlüsselungschips in IT-Systeme einzubauen, die den staatlichen Zugriff und Entschlüsselungen ermöglichen sollten.
Vorstoß von Innenminister de Maizière
2015 forderte die britische Regierung in einem Gesetzentwurf Ähnliches. 2016 verweigerte sich Apple der Forderung des FBI eine Backdoor in ein iPhone einzubauen. Ein Jahr später, im Dezember 2017, diskutierte der damalige Bundesinnenminister Thomas de Mazière in Leipzig mit seinen Länderkollegen die Einführung einer gesetzlichen Verpflichtung für IT-Anbieter, Ermittlern Möglichkeiten zum Zugriff auf IT-Produkte und damit für die „verdeckte Informationsbeschaffung“ einzurichten. Auch die vergangene EU-Kommission diskutierte das Thema.
Ob USA oder EU, Großbritannien oder Deutschland, immer sind die Forderungen verbunden mit dem Verweis, starke Verschlüsselung störe die Ermittlungen gegen Kriminelle oder erschwere es den Sicherheitsbehörden, Straftaten wie etwa Anschläge, Gewaltverbrechen oder Missbrauchstaten zu verhindern oder aufzuklären. Behördlich präferierte Lösung, so schien es über Jahre, waren stets ab Werk vorinstallierte Backdoors, digitale Hintertüren, von deren Existenz im Idealfall die Nutzer der Technik nichts ahnten.
Und weil die politisch zumindest in westlichen Demokratien bisher nicht durchzusetzen waren, verlegten sich Ermittler und Geheimdienste wie etwa die NSA in den USA darauf, das Wissen um bis dato unveröffentlichte Sicherheitslücken eher nicht mit den Hard- und Softwareherstellern zu teilen, und sie stattdessen – für eigene Überwachungsmaßnahmen – auszunutzen. Eine Strategie, die zivile Sicherheitsspezialisten seit Jahren als mindestens fahrlässig, wenn nicht gar brandgefährlich für die IT-Sicherheit bezeichnen. Eine von NSA geheim gehaltene Sicherheitslücke im Windows-Betriebssystem, die dann aber von Hackern gestohlen wurde, war etwa 2017 Werkzeug für eine Cyberattacke mit Erpressungsprogrammen, von der hunderttausende Computer weltweit betroffen waren.
„Wer Hintertüren für die Strafverfolgungsbehörden haben möchte, bekommt kompromittierte Hintertüren“, kommentierte denn auch Cybersicherheitsexperte Manuel Atug, Gründer des IT-Sicherheitsnetzwerks AG Kritis, kürzlich auf LinkedIn die Entdeckung der neuerlichen, schweren Cyberattacke auf die US-Netzbetreiber: „Das ist fatal für die Wirtschaft sowie Bürgerinnen und Bürger.“
Die Lehre aus dem Hacking-GAU
Und vielleicht ist es auch ein Weckruf für die Sicherheitsbehörden, dass Backdoors und vermeintlich geheimes Wissen um Sicherheitslücken weder IT noch den digitalen Alltag von Menschen, Unternehmen und Staaten sicherer, sondern – im Gegenteil – angreifbarer machen. So nachvollziehbar die Strategie scheinen mag, um Straftaten aufzuklären oder womöglich sogar präventiv zu unterbinden: Am Ende, das belegt auch der jüngste Hacking-GAU in den USA, geraten sowohl zurückgehaltenes Wissen über Schwachstellen als auch bewusst installierte Backdoors immer in die Hände von Hackern – und die nutzen es aus!
Wollen wir das wirklich? Diese Frage müssen die behördlichen Verfechter von Backdoors oder Schwachstellen in starker Verschlüsselung endlich ehrlich beantworten – egal ob in den USA oder hierzulande. Und die Antwort kann nur „Nein“ lauten.
Oder um es mit CISA-Vize Greene zu sagen: „Verschlüsselung ist Ihr Freund, egal ob es sich um Textnachrichten handelt oder um verschlüsselte Sprachkommunikation.“ So einfach ist das.
Lesen Sie auch: Wie Staaten und Unternehmen die Abwehr von Cyberangriffen mit unorthodoxen Trainingsmethoden trainieren. Ein Blick hinter die Kulissen