Anzeige

Spyware

Die vom Konsortium Pegasus Project publizierten Informationen über den systematischen Missbrauch ihrer Überwachungssoftware für Smartphones zeigen deutlich, dass zügellose Überwachung von organisierter Kriminalität kaum zu unterscheiden ist.

Sicherheitsexpertinnen und Sicherheitsexperten warnen zunehmend vor dem Horten unbekannter Sicherheitslücken durch Firmen, die Spionageprodukte entwickeln. Informationssicherheit für Gesellschaft, Behörden und Wirtschaft sind mit der Existenz solcher Werkzeuge unvereinbar. Darüber hinaus stellen sie eine Bedrohung für die nationale Sicherheit eines jeden Landes dar. Ein echter Standortvorteil für Europa ist nur durch konsequente IT-Sicherheit zu halten.

 

Kampf um Kommunikationsinhalte

Seit den ersten Diskussionen um die Verfügbarkeit starker Verschlüsselung für Privatpersonen und Firmen ist die Sicherheit digitaler Kommunikation heiss umkämpft. Die US-amerikanische Regierung wollte in den 1990er Jahren Zugriff auf Nachrichten und Gespräche von Kommunikationsanbietern gesetzlich verankern. Dies scheiterte am Widerstand von Wirtschaft und Bürgerrechtsorganisationen. Im Zuge der Diskussion entstanden Projekte wie beispielsweise Pretty Good Privacy (PGP), die die übermittelten Inhalte stark verschlüsselten.

Die Bestrebungen der US-Regierung, Verschlüsselung für private Kommunikation zu verbieten, scheiterte ebenso. Die zunehmende Verbreitung von portablen Computern und die Explosion der Messenger Dienste hat spätestens seit den Enthüllungen Edward Snowdens zu einer enormen Verbreitung von verschlüsselten Technologien in Produkten geführt. Dieser Gewinn an Sicherheit steht jetzt wieder auf dem Spiel. Bedroht ist er durch die Einführung von Hintertüren in Form von Nachschlüsseln durch neue Gesetzesinitiativen, ganz analog zu dem Vorstoß in den 1990ern.

 

Rechtsstaatlichkeit als Bedrohung

Wenn Verschlüsselung keine Hintertüren oder absichtliche Schwächen hat, so kann man immer versuchen Nachrichten auf Endgeräten zu kopieren bevor sie verschlüsselt werden. Dazu ist es notwendig die Sicherheit des Endgeräts zu brechen, um Zugriff zu erlangen. Die so kompromittierten Computer, Smartphones und Tablets werden dann mit Hilfe von Schadsoftware ausgelesen. Die Spionagesoftware Pegasus der NSO Group schlägt diesen Weg ein. Die Infektion geschieht mit Hilfe von vermeintlich echten Nachrichten und durch Ausnutzung unbekannter Sicherheitslücken. Die Qualität von Pegasus ist dabei sehr hoch. Spuren auf infizierten Geräten zu finden ist sehr schwierig.

Solche Produkte existieren, weil es eine Nachfrage nach Überwachungswerkzeugen gibt. Hersteller dieser Applikationen beteuern, dass sie nur an Behörden verkaufen. Damit wäre theoretisch eine Rechtssicherheit hergestellt, aber im Anbetracht der 193 Staaten, die Mitglieder der Vereinten Nationen (UNO) sind, sagt das nicht viel aus. Liest man die publizierte Liste von 50.000 Telefonnummern, so finden sich darin einige plausible strategische Ziele für bestimmten Länder. Emmanuel Macron ist ein prominentes Beispiel. Sicherheitsexpertinnen, Sicherheitsexperten und an die 150 Organisationen aus der Zivilgesellschaft fordern daher ein Regulierung bzw. ein Verbot solcher Überwachungswerkzeuge.

 

Staatliche Sicherheit kapituliert

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Warnung vor der Spionagesoftware Pegasus veröffentlicht. Darin wird beschrieben, dass die Applikation technisch sehr fortgeschritten ist und eine Umsetzung von Schutzmaßnahmen sehr schwierig sei. Einzig die Einschränkung der betroffenen Nachrichtenkanäle und das Ausweichen auf alternative Kommunikationsformen bleiben als Empfehlung übrig. Die Warnung erscheint in diesem Licht der kürzlich in Deutschland beschlossenen Gesetzesänderungen zum Einsatz von Spionagesoftware durch staatliche Behörden als Wegweiser in die Zukunft. Sicherheitslücken in digitalen Systemen müssen publiziert und geschlossen werden.

Es darf keinen Freiraum bei Schwachstellen geben, der für eine spezielle Verwendung zurückgehalten wird. IT Sicherheitsfachleute waren seit geraumer Zeit vor dem Szenario unkontrollierter Spähsoftware, was schon längst eingetreten ist. Dieses besteht nicht nur für die Zivilgesellschaft sondern ganz speziell für jede nationale Wirtschaft mit ihren Unternehmen als größte Bedrohung. Angriffe zur Wirtschaftsspionage finden täglich statt. Sie werden oft erst Monate oder Jahre später entdeckt. Dieses Status Quo gilt es zu bekämpfen.

Zu allem Überfluss sind die Crypto Wars noch nicht beendet. Dieses Jahr fand ein virtuelles Treffen von hochrangigen Beamten der EU und der USA statt. Dabei wurde der Slogan "Sicherheit trotz Verschlüsselung" verwendet. Gemeint sind damit die Zugriffe auf Kommunikation wie sie die Clinton Regierung in den 1990ern in den USA schaffen wollte. Für betroffene Wirtschaftstreibende kann der Slogan auch "Hochwasserschutz trotz Löcher in Deichen" oder "Brandschutz durch Brandstiftung" heißen. Die Folgen für den Erfolg durch Spionage seitens Dritter zeigt jetzt schon die Pegasus Schadsoftware. Sichere Kommunikation darf kein Privileg von Ausgewählten und der organisierten Kriminalität sein, denn gesetzliche Sanktionen haben bis dato den Schwarzmarkt vorangetrieben - in diesem Fall den für starke Verschlüsselung.

www.deepsec.net/ | www.pressetext.com


Weitere Artikel

PayPal

PayPal soll angeblich Kundengelder gestohlen haben

Drei US-Nutzer von PayPal haben eine Bundesklage gegen den Bezahldienst angestrengt. Er soll Kundengelder unberechtigt beschlagnahmt beziehungsweise Konten eingefroren haben. Die Nutzer aus Kalifornien und Chicago werfen dem Unternehmen vor, ihr persönliches…
Autonomes Shopping

Oberster Datenschützer ist beim autonomen Einkaufen noch entspannt

Das autonome Einkaufen im Supermarkt und digitale Konzepte an den Ladentheken bereiten dem obersten Datenschützer des Landes noch kein Kopfzerbrechen. Wichtig sei aber, dass der Kunde stets wisse, was erfasst werde und was nicht.
Smartphone

Weiterhin massenhaft Betrugs-SMS auf Handys

Betrugs-SMS mit der «Smishing»-Masche bleiben ein gravierendes Problem. Die Deutsche Telekom informierte im vergangenen Jahr etwa 30 000 Kundinnen und Kunden, dass deren Geräte von Smishing-Angriffen betroffen seien, wie der Bonner Konzern auf Anfrage…
Malware

Microsoft findet Schadsoftware auf Regierungs-PCs in Ukraine

Sicherheitsforscher von Microsoft haben auf Dutzenden Computern in der Ukraine neue Schadsoftware entdeckt, die sie unbrauchbar machen könnte. Das Programm tarne sich zwar als ein Erpressungstrojaner, sei aber in Wirklichkeit dafür gedacht, auf Befehl des…
New Release

Sophos bringt Switch-Modelle auf den Markt

Sophos bietet seinen Kunden mit seiner neuen Reihe an Managed Switches eine weitere Möglichkeit, das Management von Geräten im Netzwerk zu optimieren. Durch die Einbindung der Access Layer Switches – ob für 8, 24 oder 48 1 GE- oder 2,5 GE-Ports – in…
Partnerschaft IT Security

Stormshield und Sekoia bündeln ihre Kräfte gegen Cyberbedrohungen

Stormshield, Spezialisten im Cybersicherheitsumfeld, und Sekoia, ein auf die Prognose von Cyberbedrohungen spezialisiertes europäisches Unternehmen in den Bereichen CTI („Cyber Threat Intelligence“) und XDR („eXtended Detection & Response“), kündigen eine…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.