Anzeige

Cyber Security

Von Geschäftsreisen kennt man Vorkehrungen gegenüber nicht vertrauenswürdigen Internetzugängen. Mitarbeiterinnen und Mitarbeiter wurden mit Virtual Private Netzwerk (VPN)-Technologie ausgestattet, um sicheren Zugriff auf Ressourcen des Unternehmens und interne Systeme zu haben.

VPNs werden auch oft verwendet, um die Unsicherheit der sogenannten Letzten Meile, also der Verbindung zwischen dem eigenen Computer und den eigentlichen Systemen im Internet, zu umgehen. Durch das jetzt am 10. Juni im deutschen Bundestag verabschiedete Gesetz werden Möglichkeiten für den Einsatz von Staatstrojanern geschaffen. Damit werden Sicherheitslücken institutionalisiert, um Staatstrojaner auf Endsystemen zu installieren. Sicheres Home-Office ist damit Geschichte.

Allumfassende Überwachung durch digitale Einbrüche

Die Neuerungen zur Ermöglichung von Staatstrojanern verbergen sich in Änderungen des Bundespolizeigesetzes und in Reformen des Verfassungsschutzgesetzes. Alle deutschen Geheimdienste von Bund und Ländern dürfen demnach verschlüsselte Kommunikation mitlesen. Auf Anfrage müssen Internet-Anbieter bei der Installation der Staatstrojaner-Software aktiv mithelfen. Konkrete Verdachtsmomente oder Anlässe sind nicht notwendig. Diese Regelung betrifft sowohl die Anbieter von Messenger-Diensten als auch die Internet-Service-Provider, die die Infrastruktur der Internet-Anbindung zur Verfügung stellen. Darüber hinaus darf die Bundespolizei die laufende Kommunikation von Messengern abhören. Technisch gibt es bei der Umsetzung keinen Unterschied, weil man so oder so eine spezielle Software, eben den Staatstrojaner, einschleusen muss.

Dienstleister, die per Anweisung Internetkommunikation manipulieren müssen, sind damit gezwungen, beispielsweise den Transfer von Software-Updates zu fälschen und Downloads umzuleiten. Damit wird jeglicher Netzwerkverkehr bei Internetzugriff per Definition nicht vertrauenswürdig. Künftig werden so die Updates der Hersteller auf allen Plattformen zu einer direkten Bedrohung.

Weiterhin erfordert die Installation eines Staatstrojaners das Vorhandensein noch nicht publizierter Sicherheitslücken, um ohne Kooperation auf den Endgeräten durchgeführt werden zu können. Implizit werden dadurch Schwachstellen in Computersystemen per Gesetz vorgeschrieben. Den Schaden trägt unmittelbar die Informationssicherheit, weil bereits jetzt unbekannte Schwachstellen für viel Geld gehandelt werden. Die Gesetzesänderung schafft zusätzlich Stabilität für diesen Markt und gefährdet damit alle Betroffenen im privaten Bereich, in der Wirtschaft und bei den Behörden.

Online-Durchsuchung als irreführender Begriff

Die Sprache der Gesetzgebung vernebelt die eigentliche Bedeutung für die Informationstechnologie. Das Ausnutzen von Sicherheitslücken und die Installation zusätzlicher Software zur Überwachung am Endgerät wird als Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) bezeichnet. Dieser Mechanismus wird zum Sicherstellen der Kommunikationsdaten bei Systemen benötigt, die sichere Kommunikation bereitstellen. Statt Quellen-TKÜ wird auch der Begriff Online-Durchsuchung verwendet.

Die technische Umsetzung führt allerdings zu einer kompletten Kompromittierung der Endgeräte, deren Sicherheitsmassnahmen erfolgreich angegriffen und außer Kraft gesetzt wurden. Aus Sicht der Informatik gibt es keinen Unterschied zwischen einem Staatstrojaner, Ransomware oder anderer Schadsoftware. Wurden Sicherheitsvorkehrungen einmal überwunden, so kann die Software beliebige Daten manipulieren, löschen oder zusätzlich abspeichern. Kompromittiere Systeme sind generell nicht mehr vertrauenswürdig und dürfen für nichts mehr verwendet werden.

Unsicherheitstechnologie bei Überwachungssoftware

Die bei Behörden eingesetzte Software hat mitunter selbst keine oder nur unbefriedigende Sicherheitsmaßnahmen. Die Entwickler des Signal Messengers haben im April 2021 eine forensische Software analysiert und eklatante Schwachstellen sowie Urheberrechtsverletzungen im Code gefunden. 2011 wurde vom Chaos Computer Club eine Kopie eines Staatstrojaners untersucht, der seit 2008 im Einsatz war. Die technische Analyse hat haarsträubende Sicherheitsmängel im Programm gefunden. Dritte konnten über die Installation der Software die volle Kontrolle des Systems erlangen und beliebige Operationen ausführen. Zusätzlich war die Umsetzung des verschlüsselten Protokolls zur Abführung der Daten nicht einmal auf dem technischen Stand der 1940er Jahre (kein Schreibfehler!).

Man darf bei verdeckt arbeitender Überwachungssoftware die Sicherheitsmerkmale nicht ohne den Verwendungszweck betrachten. Staatstrojaner müssen generell die Sicherheit am Endgerät brechen. Wenn diese Software dann noch schlecht implementiert ist, so kann sie durch Dritte ausgenutzt und zum Angriff auf beliebige Systeme genutzt werden. Beispiele von Schadsoftware in vergangener Zeit haben deutlich demonstriert, dass dies auch passiert. Umgekehrt ändert sicher programmierte Überwachungssoftware nichts an der Tatsache, dass sie durch einen Einbruch installiert wurden. In jedem Fall wird die Informationssicherheit nachhaltig sabotiert.

Alternativen zur Sabotage der Infrastruktur

Spätestens seit dem Streit um sichere Verschlüsselung im Kalten Krieg und dessen Digitalisierung mit der PC-Ära gibt es immer wieder Diskussionen um das Katz-und-Maus-Spiel zwischen Ermittlerinnen und Ermittlern sowie ihren Gegenpolen. Auch Sicherheitspersonal muss Vorfällen nachgehen und Gründe für Einbrüche in digitale Systeme herausfinden. Moderne Technologie verhindert dieses Vorgehen prinzipiell nicht. Die Kenntnis von Sicherheitslücken und deren Behebung gehört zum Fundament der Informationssicherheit, genau wie die mathematische Grundlage von Kryptographie. Forschung in der Sicherheitstechnologie schläft nicht und es gibt daher zahlreiche Ansätze und Publikationen zur Nachforschung ohne Kompromittierung der digitalen Infrastruktur.

https://deepsec.net/


Artikel zu diesem Thema

Army Hack
Jun 14, 2021

Hack the Army 3.0: Mehr als 100 Sicherheitslücken in der Infrastruktur des US-Militärs

Zusammen mit Hackerone, eines Sicherheitsplattform für ethisch motivierte Hacker – den so…
Trojaner
Mai 25, 2021

Smarte Haushaltsgeräte im Home Office sind trojanische Pferde für Hacker

Millionen Arbeitsplätze wurden im Zuge der Corona-Pandemie in die heimischen vier Wände…
Trojaner
Jul 30, 2020

Staatstrojaner: Geheimdienste sollen erweiterte Befugnisse erhalten

Verschlüsselung ist Strafverfolgungs- und anderen Behörden ein Dorn im Auge: US-Senatoren…

Weitere Artikel

Gesetz

TTDSG: Gut gemeint, aber nicht gut gemacht

Am 1. Dezember 2021 tritt das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Ein Kommentar von Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung.
HP Drucker

Massive Sicherheitslücken in Büro-Druckern von HP entdeckt

In über 150 Multifunktionsdrucker-Modellen des Weltmarktführers HP sind gravierende Sicherheitslücken entdeckt worden. Angreifer könnten die Schwachstellen nutzen, um die Kontrolle über ungeschützte Drucker zu erlangen und Informationen zu stehlen, teilte das…
Giphy Facebook

Britische Kartellwächter: Meta soll Giphy verkaufen

Britische Wettbewerbshüter wollen den Facebook-Konzern Meta zwingen, die im vergangenen Jahr übernommene Clip-Plattform Giphy wieder zu verkaufen. Der Zusammenschluss schwäche den Wettbewerb zwischen Online-Diensten in Großbritannien, stellte die…
Christoph Friedl, Chief Sales Officers und Arndt Andresen, Chief Delivery Officers, bei abas

abas ernennt neuen CDO und CSO

Die abas Software GmbH (abas), ERP-Hersteller für mittelständische Fertigungsunternehmen, gibt die Ernennung von zwei neuen Führungskräften bekannt, die das Unternehmen in eine neue Wachstumsphase in den Kernmärkten führen sollen.
5G

5G erreicht bis Ende 2021 zwei Milliarden Menschen

Keine Mobilfunktechnik hat sich so schnell am Markt durchgesetzt wie 5G. Das geht aus dem aktuellen Ericsson Mobility Report hervor, der am Dienstag in Stockholm veröffentlich wurde. Der superschnelle 5G-Mobilfunk wird Ende des Jahres laut der Studie von mehr…
Internetkabel

Verbraucherschützer: Neues Gesetz kann Internettarife verbessern

Ein neues Gesetz wird das Angebot an Handy- und Internettarifen nach Einschätzung von Verbraucherschützern perspektivisch verbessern. «Der Verbraucher bekommt mehr Rechte und kann einfacher wechseln - das kann den Druck auf die Anbieter erhöhen, mit besseren…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.