Anzeige

Cyber Security

Von Geschäftsreisen kennt man Vorkehrungen gegenüber nicht vertrauenswürdigen Internetzugängen. Mitarbeiterinnen und Mitarbeiter wurden mit Virtual Private Netzwerk (VPN)-Technologie ausgestattet, um sicheren Zugriff auf Ressourcen des Unternehmens und interne Systeme zu haben.

VPNs werden auch oft verwendet, um die Unsicherheit der sogenannten Letzten Meile, also der Verbindung zwischen dem eigenen Computer und den eigentlichen Systemen im Internet, zu umgehen. Durch das jetzt am 10. Juni im deutschen Bundestag verabschiedete Gesetz werden Möglichkeiten für den Einsatz von Staatstrojanern geschaffen. Damit werden Sicherheitslücken institutionalisiert, um Staatstrojaner auf Endsystemen zu installieren. Sicheres Home-Office ist damit Geschichte.

Allumfassende Überwachung durch digitale Einbrüche

Die Neuerungen zur Ermöglichung von Staatstrojanern verbergen sich in Änderungen des Bundespolizeigesetzes und in Reformen des Verfassungsschutzgesetzes. Alle deutschen Geheimdienste von Bund und Ländern dürfen demnach verschlüsselte Kommunikation mitlesen. Auf Anfrage müssen Internet-Anbieter bei der Installation der Staatstrojaner-Software aktiv mithelfen. Konkrete Verdachtsmomente oder Anlässe sind nicht notwendig. Diese Regelung betrifft sowohl die Anbieter von Messenger-Diensten als auch die Internet-Service-Provider, die die Infrastruktur der Internet-Anbindung zur Verfügung stellen. Darüber hinaus darf die Bundespolizei die laufende Kommunikation von Messengern abhören. Technisch gibt es bei der Umsetzung keinen Unterschied, weil man so oder so eine spezielle Software, eben den Staatstrojaner, einschleusen muss.

Dienstleister, die per Anweisung Internetkommunikation manipulieren müssen, sind damit gezwungen, beispielsweise den Transfer von Software-Updates zu fälschen und Downloads umzuleiten. Damit wird jeglicher Netzwerkverkehr bei Internetzugriff per Definition nicht vertrauenswürdig. Künftig werden so die Updates der Hersteller auf allen Plattformen zu einer direkten Bedrohung.

Weiterhin erfordert die Installation eines Staatstrojaners das Vorhandensein noch nicht publizierter Sicherheitslücken, um ohne Kooperation auf den Endgeräten durchgeführt werden zu können. Implizit werden dadurch Schwachstellen in Computersystemen per Gesetz vorgeschrieben. Den Schaden trägt unmittelbar die Informationssicherheit, weil bereits jetzt unbekannte Schwachstellen für viel Geld gehandelt werden. Die Gesetzesänderung schafft zusätzlich Stabilität für diesen Markt und gefährdet damit alle Betroffenen im privaten Bereich, in der Wirtschaft und bei den Behörden.

Online-Durchsuchung als irreführender Begriff

Die Sprache der Gesetzgebung vernebelt die eigentliche Bedeutung für die Informationstechnologie. Das Ausnutzen von Sicherheitslücken und die Installation zusätzlicher Software zur Überwachung am Endgerät wird als Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) bezeichnet. Dieser Mechanismus wird zum Sicherstellen der Kommunikationsdaten bei Systemen benötigt, die sichere Kommunikation bereitstellen. Statt Quellen-TKÜ wird auch der Begriff Online-Durchsuchung verwendet.

Die technische Umsetzung führt allerdings zu einer kompletten Kompromittierung der Endgeräte, deren Sicherheitsmassnahmen erfolgreich angegriffen und außer Kraft gesetzt wurden. Aus Sicht der Informatik gibt es keinen Unterschied zwischen einem Staatstrojaner, Ransomware oder anderer Schadsoftware. Wurden Sicherheitsvorkehrungen einmal überwunden, so kann die Software beliebige Daten manipulieren, löschen oder zusätzlich abspeichern. Kompromittiere Systeme sind generell nicht mehr vertrauenswürdig und dürfen für nichts mehr verwendet werden.

Unsicherheitstechnologie bei Überwachungssoftware

Die bei Behörden eingesetzte Software hat mitunter selbst keine oder nur unbefriedigende Sicherheitsmaßnahmen. Die Entwickler des Signal Messengers haben im April 2021 eine forensische Software analysiert und eklatante Schwachstellen sowie Urheberrechtsverletzungen im Code gefunden. 2011 wurde vom Chaos Computer Club eine Kopie eines Staatstrojaners untersucht, der seit 2008 im Einsatz war. Die technische Analyse hat haarsträubende Sicherheitsmängel im Programm gefunden. Dritte konnten über die Installation der Software die volle Kontrolle des Systems erlangen und beliebige Operationen ausführen. Zusätzlich war die Umsetzung des verschlüsselten Protokolls zur Abführung der Daten nicht einmal auf dem technischen Stand der 1940er Jahre (kein Schreibfehler!).

Man darf bei verdeckt arbeitender Überwachungssoftware die Sicherheitsmerkmale nicht ohne den Verwendungszweck betrachten. Staatstrojaner müssen generell die Sicherheit am Endgerät brechen. Wenn diese Software dann noch schlecht implementiert ist, so kann sie durch Dritte ausgenutzt und zum Angriff auf beliebige Systeme genutzt werden. Beispiele von Schadsoftware in vergangener Zeit haben deutlich demonstriert, dass dies auch passiert. Umgekehrt ändert sicher programmierte Überwachungssoftware nichts an der Tatsache, dass sie durch einen Einbruch installiert wurden. In jedem Fall wird die Informationssicherheit nachhaltig sabotiert.

Alternativen zur Sabotage der Infrastruktur

Spätestens seit dem Streit um sichere Verschlüsselung im Kalten Krieg und dessen Digitalisierung mit der PC-Ära gibt es immer wieder Diskussionen um das Katz-und-Maus-Spiel zwischen Ermittlerinnen und Ermittlern sowie ihren Gegenpolen. Auch Sicherheitspersonal muss Vorfällen nachgehen und Gründe für Einbrüche in digitale Systeme herausfinden. Moderne Technologie verhindert dieses Vorgehen prinzipiell nicht. Die Kenntnis von Sicherheitslücken und deren Behebung gehört zum Fundament der Informationssicherheit, genau wie die mathematische Grundlage von Kryptographie. Forschung in der Sicherheitstechnologie schläft nicht und es gibt daher zahlreiche Ansätze und Publikationen zur Nachforschung ohne Kompromittierung der digitalen Infrastruktur.

https://deepsec.net/


Artikel zu diesem Thema

Army Hack
Jun 14, 2021

Hack the Army 3.0: Mehr als 100 Sicherheitslücken in der Infrastruktur des US-Militärs

Zusammen mit Hackerone, eines Sicherheitsplattform für ethisch motivierte Hacker – den so…
Trojaner
Mai 25, 2021

Smarte Haushaltsgeräte im Home Office sind trojanische Pferde für Hacker

Millionen Arbeitsplätze wurden im Zuge der Corona-Pandemie in die heimischen vier Wände…
Trojaner
Jul 30, 2020

Staatstrojaner: Geheimdienste sollen erweiterte Befugnisse erhalten

Verschlüsselung ist Strafverfolgungs- und anderen Behörden ein Dorn im Auge: US-Senatoren…

Weitere Artikel

Cybercrime

Cyberattacke auf IT-Dienstleister der Landeshauptstadt Schwerin

Update Mo, 18.10.2021, 16:42 UhrWieder mehr Dienstleistungen der Greifswalder Verwaltung verfügbar.
Android

Heimliches Datensammeln auf Android belegt

Googles mobiles Betriebssystem Android sammelt eifrig Daten seiner Besitzer und teilt diese sogar mit anderen Unternehmen wie Microsoft, LinkedIn und Facebook - insbesondere bei den europäischen Geräten von Samsung, Xiaomi, Huawei und Realme ist dies der…
Cybersecurity

Zscaler tritt der CrowdStrike CrowdXDR Alliance bei

Zscaler erweitert die Integrationen mit CrowdStrike. Durch eine der Integrationen kann Zscaler ZIA™ die Bewertung der Geräte durch CrowdStrike Falcon ZTA (Zero Trust Assessment) für die Konfiguration von Zugriffsrichtlinien nutzen.
Authentifizierung

Kundenauthentifizierung braucht innovative Lösungen

Im Rahmen der IT-Security-Messe it-sa 2021 wurde die neue Studie „CIAM 2022“ im Auftrag vom Identitätsanbieter Auth0 in Zusammenarbeit mit IDG Research Services vorgestellt. Auth0 fasst die wichtigsten Erkenntnisse zusammen.
Cyberattack

Firmen sehen steigende Gefahr durch Cyberattacken

Die Sorge deutscher Firmen vor Cyberangriffen und Datenklau wächst. Jedes dritte Unternehmen geht davon aus, dass das Risiko in der Corona-Pandemie zugenommen hat, in der die Arbeitswelt digitaler geworden ist, wie aus einer am Montag veröffentlichten Studie…
Schloss

Unternehmen nehmen Cyber-Risiko zu lax

Die Mehrheit der Unternehmen hat die Cyber-Risiken durch Drittanbieter nicht im Griff - Risiken, die durch die Komplexität ihrer Geschäftsbeziehungen und Lieferantennetzwerke verschleiert werden.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.