Anzeige

Spyware

Die vom Konsortium Pegasus Project publizierten Informationen über den systematischen Missbrauch ihrer Überwachungssoftware für Smartphones zeigen deutlich, dass zügellose Überwachung von organisierter Kriminalität kaum zu unterscheiden ist.

Sicherheitsexpertinnen und Sicherheitsexperten warnen zunehmend vor dem Horten unbekannter Sicherheitslücken durch Firmen, die Spionageprodukte entwickeln. Informationssicherheit für Gesellschaft, Behörden und Wirtschaft sind mit der Existenz solcher Werkzeuge unvereinbar. Darüber hinaus stellen sie eine Bedrohung für die nationale Sicherheit eines jeden Landes dar. Ein echter Standortvorteil für Europa ist nur durch konsequente IT-Sicherheit zu halten.

 

Kampf um Kommunikationsinhalte

Seit den ersten Diskussionen um die Verfügbarkeit starker Verschlüsselung für Privatpersonen und Firmen ist die Sicherheit digitaler Kommunikation heiss umkämpft. Die US-amerikanische Regierung wollte in den 1990er Jahren Zugriff auf Nachrichten und Gespräche von Kommunikationsanbietern gesetzlich verankern. Dies scheiterte am Widerstand von Wirtschaft und Bürgerrechtsorganisationen. Im Zuge der Diskussion entstanden Projekte wie beispielsweise Pretty Good Privacy (PGP), die die übermittelten Inhalte stark verschlüsselten.

Die Bestrebungen der US-Regierung, Verschlüsselung für private Kommunikation zu verbieten, scheiterte ebenso. Die zunehmende Verbreitung von portablen Computern und die Explosion der Messenger Dienste hat spätestens seit den Enthüllungen Edward Snowdens zu einer enormen Verbreitung von verschlüsselten Technologien in Produkten geführt. Dieser Gewinn an Sicherheit steht jetzt wieder auf dem Spiel. Bedroht ist er durch die Einführung von Hintertüren in Form von Nachschlüsseln durch neue Gesetzesinitiativen, ganz analog zu dem Vorstoß in den 1990ern.

 

Rechtsstaatlichkeit als Bedrohung

Wenn Verschlüsselung keine Hintertüren oder absichtliche Schwächen hat, so kann man immer versuchen Nachrichten auf Endgeräten zu kopieren bevor sie verschlüsselt werden. Dazu ist es notwendig die Sicherheit des Endgeräts zu brechen, um Zugriff zu erlangen. Die so kompromittierten Computer, Smartphones und Tablets werden dann mit Hilfe von Schadsoftware ausgelesen. Die Spionagesoftware Pegasus der NSO Group schlägt diesen Weg ein. Die Infektion geschieht mit Hilfe von vermeintlich echten Nachrichten und durch Ausnutzung unbekannter Sicherheitslücken. Die Qualität von Pegasus ist dabei sehr hoch. Spuren auf infizierten Geräten zu finden ist sehr schwierig.

Solche Produkte existieren, weil es eine Nachfrage nach Überwachungswerkzeugen gibt. Hersteller dieser Applikationen beteuern, dass sie nur an Behörden verkaufen. Damit wäre theoretisch eine Rechtssicherheit hergestellt, aber im Anbetracht der 193 Staaten, die Mitglieder der Vereinten Nationen (UNO) sind, sagt das nicht viel aus. Liest man die publizierte Liste von 50.000 Telefonnummern, so finden sich darin einige plausible strategische Ziele für bestimmten Länder. Emmanuel Macron ist ein prominentes Beispiel. Sicherheitsexpertinnen, Sicherheitsexperten und an die 150 Organisationen aus der Zivilgesellschaft fordern daher ein Regulierung bzw. ein Verbot solcher Überwachungswerkzeuge.

 

Staatliche Sicherheit kapituliert

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Warnung vor der Spionagesoftware Pegasus veröffentlicht. Darin wird beschrieben, dass die Applikation technisch sehr fortgeschritten ist und eine Umsetzung von Schutzmaßnahmen sehr schwierig sei. Einzig die Einschränkung der betroffenen Nachrichtenkanäle und das Ausweichen auf alternative Kommunikationsformen bleiben als Empfehlung übrig. Die Warnung erscheint in diesem Licht der kürzlich in Deutschland beschlossenen Gesetzesänderungen zum Einsatz von Spionagesoftware durch staatliche Behörden als Wegweiser in die Zukunft. Sicherheitslücken in digitalen Systemen müssen publiziert und geschlossen werden.

Es darf keinen Freiraum bei Schwachstellen geben, der für eine spezielle Verwendung zurückgehalten wird. IT Sicherheitsfachleute waren seit geraumer Zeit vor dem Szenario unkontrollierter Spähsoftware, was schon längst eingetreten ist. Dieses besteht nicht nur für die Zivilgesellschaft sondern ganz speziell für jede nationale Wirtschaft mit ihren Unternehmen als größte Bedrohung. Angriffe zur Wirtschaftsspionage finden täglich statt. Sie werden oft erst Monate oder Jahre später entdeckt. Dieses Status Quo gilt es zu bekämpfen.

Zu allem Überfluss sind die Crypto Wars noch nicht beendet. Dieses Jahr fand ein virtuelles Treffen von hochrangigen Beamten der EU und der USA statt. Dabei wurde der Slogan "Sicherheit trotz Verschlüsselung" verwendet. Gemeint sind damit die Zugriffe auf Kommunikation wie sie die Clinton Regierung in den 1990ern in den USA schaffen wollte. Für betroffene Wirtschaftstreibende kann der Slogan auch "Hochwasserschutz trotz Löcher in Deichen" oder "Brandschutz durch Brandstiftung" heißen. Die Folgen für den Erfolg durch Spionage seitens Dritter zeigt jetzt schon die Pegasus Schadsoftware. Sichere Kommunikation darf kein Privileg von Ausgewählten und der organisierten Kriminalität sein, denn gesetzliche Sanktionen haben bis dato den Schwarzmarkt vorangetrieben - in diesem Fall den für starke Verschlüsselung.

www.deepsec.net/ | www.pressetext.com


Weitere Artikel

E-Rechnung

Elektronische Rechnungen kommen zunehmend besser an

Die elektronische Rechnung kommt in Deutschland immer schneller voran. Inzwischen versenden 4 von 10 Unternehmen (43 Prozent) E-Rechnungen. Vor einem Jahr lag der Anteil erst bei rund einem Drittel (3o Prozent), vor drei Jahren war es nur jedes Fünfte (19…
Social Media

Social Media: Nur eine Minderheit folgt Politiker-Accounts

Auf den Social-Media-Accounts von einiger Politikerinnen und Politikern werden sich demnächst wohl direkte Eindrücke aus Sondierungsrunden oder Koalitionsverhandlungen im Bund und einigen Ländern finden. Doch die große Mehrheit der Bürgerinnen und Bürger…
Akquisition

Dynatrace übernimmt SpectX

Das Software-Intelligence-Unternehmen Dynatrace hat die Übernahme des High-Speed-Parsing- und Query-Analytics-Unternehmens SpectX abgeschlossen und bettet künftig die SpectX-Technologie in die eigene Software-Intelligence-Plattform mit ein.
Online-Beratung

Online-Beratung bei Finanzierungsanbietern mit Schwächen

Die Möglichkeiten der Online-Beratung werden von den Finanzierungsanbietern nicht ausgeschöpft. Statt auf individuelle Bedürfnisse der Immobilienkäufer einzugehen, setzen die Baufinanzierer vornehmlich auf Terminvereinbarungen und eine Konditionsermittlung…
it-sa 2021

it-sa 2021 vom 12. bis 14. Oktober in Nürnberg

Auf 52,5 Mrd. Euro schätzt das Institut der deutschen Wirtschaft die finanziellen Schäden, die im letzten Jahr durch Hackerangriffe auf Mitarbeiter im Homeoffice entstanden. Als Fachmesse für IT-Sicherheit widmet sich die it-sa vom 12. bis 14. Oktober der…
Videocall

Ärger um Vergabe von Videosystem geht in nächste Runde

Im juristischen Streit über die Vergabe eines Auftrags für ein landesweites Videokonferenzsystems an Hessens Schulen wehrt sich das Land gegen eine Entscheidung der Vergabekammer. Nach den Worten eines Sprechers des Kultusministeriums in Wiesbaden wurde…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.