Am einfachsten lässt sich der Irrsinn dieser ganzen Sache anhand eines Zitats des sächsischen Innenministers Markus Ulbig verdeutlichen, der wörtlich sagte: “Befugnislücken sind Sicherheitslücken“. In diesem kurzen Satz steckt eigentlich alles ‘drin, was den Sicherheitsfanatikern in unserem Land so vorschwebt und was wir Piraten genau NICHT wollen. Ulbig spricht von “Befugnissen” für “die Guten” (also die Behörden), meint damit allerdings die Implementierung von Hintertüren in Software und kryptografischen Algorithmen, die auch von “den Bösen” genutzt werden können. Damit war schon die NSA sehr erfolgreich – WannaCry lässt grüßen.
Diese Hintertüren für die Behörden, das steht ohne Zweifel fest, sind wahrhaftige Sicherheitslücken. Das ist keineswegs eine neue Erkenntnis, leider aber eine, die von unseren Innenministern seit Jahren konsequent ignoriert wird. Um das auszuführen, ein kurzer Abstecher in die technische Seite des Ganzen: wie sieht eigentlich so eine garantierte staatliche Zugriffsmöglichkeit aus?
Im ersten Schritt braucht man entweder eine Art Zweitschlüssel (zumeist ein Universalschlüssel) für die Verschlüsselung oder man schwächt die Verschlüsselung gezielt so, dass sie grundsätzlich leicht zu knacken ist, wenn man das Verschlüsselungsverfahren kennt. Das Schwächen der Verschlüsselung ist am besten mit einem Tresor zu vergleichen, der eine Ecke hat, an der man ihn mit einem gut gezielten Hammerschlag aufbrechen kann, während er ansonsten durchaus auch mehreren Stangen Dynamit standhalten würde.
Und genau wie bei diesem Tresor ist es vollkommen unmöglich, eine solche Schwachstelle auf Dauer geheim zu halten.
Der Universalschlüssel erklärt sich fast von selbst – wichtig ist hierbei vor allem, dass es nur eine Frage der Zeit ist, bis der Schlüssel nicht mehr nur gegen jeden funktioniert, sondern auch für jeden verfügbar ist. Damit ist die Verschlüsselung dann so nützlich wie eine Haustüre, deren Schlüssel in der ganzen Stadt verteilt sind. Alternativ kann man eine Möglichkeit, die Daten durch eine “geheime Hintertür” in der Software direkt aus dem Client abzugreifen, implementieren.
Eine gezielt implementierte Hintertür ist jedoch in mehrfacher Hinsicht noch schlimmer, denn:
Wenn das Gesetz ein Schlupfloch für Behörden vorschreibt, weiss ein Verbrecher wonach er suchen muss. Da es sich hierbei nicht um einen zufälligen Makel irgendwo im Code handelt, den selbst die Kenner der Materie nur mit Mühen aufspüren können, sondern um eine komfortable, für Menschen gemachte Schnittstelle, hält sich der Aufwand für das Beschaffen einer Eintrittskarte für diese Schnittstelle selbst für weniger ambitionierte Cracker in Grenzen.
Die Methode ist also mit absoluter Sicherheit schon kurz nach ihrem Einbau verfügbar für jeden, der es wirklich darauf anlegt. Sollte der von der Versammlung unserer, offensichtlich nicht durch Fachwissen verunsicherten Innenminister geplante Wahnsinn wirklich umgesetzt werden, wäre in kurzer Zeit die nächste Welle von durch Botnetze übernommenen Geräten zu erwarten.
Analog zur Bezeichnung IoT-Botnet für vernetzte Thermostate, die auf einmal bösartig werden, würde ich hier von einem IoF-Botnet sprechen: Internet of Fools. Denn so dumm, im Namen der Sicherheit Kriminellen effektiv Zugriff auf die Geräte jedes Smartphone-Besitzers im Land zu geben, muss man erst einmal sein. Hier zeigt sich einmal mehr, warum Piraten im Bundestag dringend benötigt werden und warum die derzeit an Bundes- und Landesregierungen beteiligten Parteien eigentlich unwählbar sind.
Am einfachsten lässt sich der Irrsinn dieser ganzen Sache anhand eines Zitats des sächsischen Innenministers Markus Ulbig verdeutlichen, der wörtlich sagte: “Befugnislücken sind Sicherheitslücken“. In diesem kurzen Satz steckt eigentlich alles ‘drin, was den Sicherheitsfanatikern in unserem Land so vorschwebt und was wir Piraten genau NICHT wollen. Ulbig spricht von “Befugnissen” für “die Guten” (also die Behörden), meint damit allerdings die Implementierung von Hintertüren in Software und kryptografischen Algorithmen, die auch von “den Bösen” genutzt werden können. Damit war schon die NSA sehr erfolgreich – WannaCry lässt grüßen.
Diese Hintertüren für die Behörden, das steht ohne Zweifel fest, sind wahrhaftige Sicherheitslücken. Das ist keineswegs eine neue Erkenntnis, leider aber eine, die von unseren Innenministern seit Jahren konsequent ignoriert wird. Um das auszuführen, ein kurzer Abstecher in die technische Seite des Ganzen: wie sieht eigentlich so eine garantierte staatliche Zugriffsmöglichkeit aus?
Im ersten Schritt braucht man entweder eine Art Zweitschlüssel (zumeist ein Universalschlüssel) für die Verschlüsselung oder man schwächt die Verschlüsselung gezielt so, dass sie grundsätzlich leicht zu knacken ist, wenn man das Verschlüsselungsverfahren kennt. Das Schwächen der Verschlüsselung ist am besten mit einem Tresor zu vergleichen, der eine Ecke hat, an der man ihn mit einem gut gezielten Hammerschlag aufbrechen kann, während er ansonsten durchaus auch mehreren Stangen Dynamit standhalten würde.
Und genau wie bei diesem Tresor ist es vollkommen unmöglich, eine solche Schwachstelle auf Dauer geheim zu halten.
Der Universalschlüssel erklärt sich fast von selbst – wichtig ist hierbei vor allem, dass es nur eine Frage der Zeit ist, bis der Schlüssel nicht mehr nur gegen jeden funktioniert, sondern auch für jeden verfügbar ist. Damit ist die Verschlüsselung dann so nützlich wie eine Haustüre, deren Schlüssel in der ganzen Stadt verteilt sind. Alternativ kann man eine Möglichkeit, die Daten durch eine “geheime Hintertür” in der Software direkt aus dem Client abzugreifen, implementieren.
Eine gezielt implementierte Hintertür ist jedoch in mehrfacher Hinsicht noch schlimmer, denn:
Wenn das Gesetz ein Schlupfloch für Behörden vorschreibt, weiss ein Verbrecher wonach er suchen muss. Da es sich hierbei nicht um einen zufälligen Makel irgendwo im Code handelt, den selbst die Kenner der Materie nur mit Mühen aufspüren können, sondern um eine komfortable, für Menschen gemachte Schnittstelle, hält sich der Aufwand für das Beschaffen einer Eintrittskarte für diese Schnittstelle selbst für weniger ambitionierte Cracker in Grenzen.
Die Methode ist also mit absoluter Sicherheit schon kurz nach ihrem Einbau verfügbar für jeden, der es wirklich darauf anlegt. Sollte der von der Versammlung unserer, offensichtlich nicht durch Fachwissen verunsicherten Innenminister geplante Wahnsinn wirklich umgesetzt werden, wäre in kurzer Zeit die nächste Welle von durch Botnetze übernommenen Geräten zu erwarten.
Analog zur Bezeichnung IoT-Botnet für vernetzte Thermostate, die auf einmal bösartig werden, würde ich hier von einem IoF-Botnet sprechen: Internet of Fools. Denn so dumm, im Namen der Sicherheit Kriminellen effektiv Zugriff auf die Geräte jedes Smartphone-Besitzers im Land zu geben, muss man erst einmal sein. Hier zeigt sich einmal mehr, warum Piraten im Bundestag dringend benötigt werden und warum die derzeit an Bundes- und Landesregierungen beteiligten Parteien eigentlich unwählbar sind.