Sicherheitslücke "Freak" Zu unserer eigenen Unsicherheit

Die Sicherheitslücke "Freak" betrifft uns alle - auch dann, wenn wir keine anfälligen Browser benutzen. Denn es geht um ein grundlegendes Problem: Der Sicherheitswahn macht unsere Welt immer unsicherer.

Ein Kommentar von

Cyber-Abwehrzentrum (Symbolbild): Stetiger Wettlauf zwischen Verschlüsslern und Entschlüsslern
DPA

Cyber-Abwehrzentrum (Symbolbild): Stetiger Wettlauf zwischen Verschlüsslern und Entschlüsslern


Um zu verstehen, wo das Problem bei Sicherheitslücken wie "Freak" liegt, hilft ein Bild: Es gibt ein Haus, in dem merkwürdige Dinge vor sich gehen - nur weiß man nicht genau, welche. Vielleicht werden dort Drogen gehandelt, vielleicht wird kinderpornografisches Material getauscht. Vielleicht bereiten Menschen darin auch einen Terroranschlag vor. Aber eben nur vielleicht.

Regierungen und Strafverfolger wollen natürlich gern wissen, was genau in dem Haus vor sich geht. Es ist aber mit einer schweren Stahltür gesichert. Die Ermittler könnten die Tür aufbrechen, aber das würde viel Kraft und Zeit kosten und Spuren hinterlassen. Da ist es doch eleganter, dass die Strafverfolger schon vor Jahren eine Hintertür offen gelassen haben, zum Beispiel den Eingang über die Garage. So können sie sich unbemerkt ins Haus schleichen und nach dem Rechten sehen.

Das birgt zwei Probleme: Erstens können nicht nur die Strafverfolger durch die offene Tür gehen. Sie steht jedem findigen Passanten offen, der am Haus vorbeikommt. Zweitens sind sich die Strafverfolger nie sicher, in welchem Haus genau die illegalen Dinge vor sich gehen; deshalb haben sie sicherheitshalber die Garagentüren der ganzen Straße und der ganzen Stadt offen gelassen, dann die des ganzen Landes, der ganzen Welt.

Und wer keine offene Garagentür an seinem Haus will, den kann die Regierung mit dem Gesetz "Alle Garagentüren müssen stets geöffnet sein" dazu zwingen. Oder, noch stressfreier: Sie sagt den Garagentürherstellern, dass sie nur Türen herstellen dürfen, die sich gar nicht abschließen lassen. Und ungefähr das ist im Fall von Freak passiert.

Standards schwächen, Hintertüren einbauen

Das Ausnutzen der Sicherheitslücke, die Nutzer von Apple- und Android-Geräten betrifft, ist heute nur möglich, weil die US-Regierung bis in die Neunzigerjahre Firmen verbot, Software mit starker Verschlüsselung ins Ausland zu exportieren. (Lesen Sie hier mehr zu den technischen Details.) Freak ist also einer von diversen Belegen dafür, dass auch dann noch sehr viele Garagentüren weiter offenstehen, wenn es das entsprechende Gesetz längst nicht mehr gibt.

Grundsätzlich schützt eine gute Verschlüsselung zuverlässig vor kriminellen Hackern, rachsüchtigen Ex-Freunden und auch vor dem Geheimdienst. Das wussten die Geheimdienste damals und das wissen sie heute, deshalb versuchen sie zu verhindern, dass die Menschen gute Verschlüsselungsmöglichkeiten haben, um ihre Kommunikation zu schützen.

Dafür nehmen Regierungen in Kauf, dass die Systeme, die wir alle täglich nutzen, generell unsicher sind. Wir können gehackt und beraubt werden, nur weil irgendeine Regierung sich irgendwann einmal eine Option offenhalten wollte.

Politiker fordern eine unsichere Welt

Geheimdienste etwa schwächen Standards und bauen Hintertüren ein, sie tüfteln mit Mathematikern daran, die Verschlüsselungssysteme zu umgehen - denn knacken können sie viele nicht. Es ist ein stetiger Wettlauf zwischen Verschlüsslern und Entschlüsslern.

Um Entschlüsslern mit staatlichem Auftrag die Arbeit etwas leichter zu machen, fordern Politiker jetzt wieder offene Garagentüren: Erst im Januar machte sich der britische Premierminister David Cameron dafür stark, dass verschlüsselte Chatprogramme verboten werden, damit die britischen Geheimdienste alle Kommunikationskanäle abhören können.

Dem schloss sich US-Präsident Barack Obama an, und schließlich erklärte auch Innenminister Thomas de Maizière: Deutsche Sicherheitsbehörden müssten "befugt und in der Lage sein, verschlüsselte Kommunikation zu entschlüsseln oder zu umgehen, wenn dies für ihre Arbeit zum Schutz der Bevölkerung notwendig ist". Sie sollen also das Recht bekommen, Garagentüren professionell zu öffnen.

Dabei zeigt die nun entdeckte Lücke zum wiederholten Male deutlich, was eigentlich jedem einleuchten sollte: Wer Sicherheitsstandards absichtlich schwächt, macht die Welt nicht sicherer - sondern unsicher.

Kurz erklärt: Crypto Wars
  • Corbis
    In den USA begann der Kampf gegen Volksverschlüsselung schon in den Neunzigerjahren. Er wurde mit einem Gesetzesvorschlag im US-Senat eröffnet. Anbieter elektronischer Kommunikationsdienste sollten verpflichtet werden, Behörden die Möglichkeit zum Zugriff auf jede Art elektronischer Kommunikation zu verschaffen. Das Gesetz scheiterte schließlich am Widerstand von Bürgerrechtlern und Industrie. Aber es motivierte einen Softwareentwickler namens Phil Zimmermann dazu, sich über Verschlüsselung für jedermann Gedanken zu machen. Zimmermann entwickelte den Standard PGP (das steht für pretty good privacy, ziemlich guter Datenschutz), mit dem bis heute E-Mails und anderes sicher verschlüsselt wird. Sogar NSA-Enthüller Edward Snowden empfiehlt PGP.
1991 stellte Zimmerman seine Software kostenlos zur Verfügung. Dann wurde ein Verfahren gegen ihn eröffnet, das sich drei Jahre hinzog. Der Vorwurf: Er exportiere Verschlüsselungstechnologie, die wie Waffentechnologie einzustufen sei. Der Fall wurde fallengelassen, und heute gilt weder der Export noch die Benutzung von Kryptografie-Technik in den USA als Verbrechen. Doch das wurde nur auf Druck von Bürgerrechtlern erreicht. Etwa um die gleiche Zeit machte die NSA einen eigenen Vorschlag, um ihr Verschlüsselungsproblem zu lösen: Hersteller von Telefonanlagen sollten einen von der NSA entwickelten Chip zur Verschlüsselung einsetzen. Der Trick: Für diesen sogenannten Clipper Chip gab es einen Nachschlüssel, auf den der Geheimdienst oder Strafverfolger bei Bedarf hätten zugreifen können. Das Projekt wurde heftig kritisiert und verschwand gegen 1996 sang- und klanglos von der Bildfläche. Mittlerweile verschafft sich die NSA Hintertüren auf anderem Weg.

Forum - Diskutieren Sie über diesen Artikel
insgesamt 18 Beiträge
Alle Kommentare öffnen
Seite 1
Leser161 04.03.2015
1. Ok, aber ausbaufähig
Das Bild mit den Türen und so war schon ganz okay, aber nicht so einleuchtend und überraschend wie manche Lobosachen. Trotzdem, ein guter Ansatz, lieber Autor, arbeiten Sie ein bisschen dran. Ich hoffe bald wieder von Ihnen zu lesen.
michaelXXLF 04.03.2015
2.
Zitat von Leser161Das Bild mit den Türen und so war schon ganz okay, aber nicht so einleuchtend und überraschend wie manche Lobosachen. Trotzdem, ein guter Ansatz, lieber Autor, arbeiten Sie ein bisschen dran. Ich hoffe bald wieder von Ihnen zu lesen.
"Ein Kommentar von Judith Horchert"
ilek 04.03.2015
3. Auch zu dem Bild mit den Türen
Um in der Metapher zu bleiben: Eigentlich ist es so, dass die Strafverfolger vor einigen Jahren mal den Einbau einer solchen Tür gefordert haben, dies aber schon länger nicht mehr tun. Damals war die Tür gegen außenstehende Dritte halbwegs sicher, heute ist sie es nicht mehr (Es gibt diesen neuen superstarken Bohrer, mit dem man das Schloß einfach aber geräuschlos mit roher Gewalt öffnen kann). Im Fall von FREAK sind es die Hausbesitzer, die den Fehler machen, weil sie diese alte Tür immer noch eingebaut gelassen (normalerweise benutzt sie ja keiner), ohne zu merken, dass das Schloss mittlerweile nix mehr taugt. Ohne Metapher: Export-Grade RSA war nicht unsicher, nur schwach. Heute ist es zu leicht zu knacken. Gepent haben die Browser-hersteller und Websitesbetreiber, die Export-RSA noch zulassen, wenn sonst nicht geht (Genau das ist die Lücke: man kann ihnen vorspielen, man können gerade keine bessere Verschlüsselung verwenden). Übrigens, den Sicherheitswahn haben wir schon länger. Die Verwendung zugeklebter Briefumschläge für alles was nicht Postkarte ist, dient genau diesem Zweck seit Jahrhunderten. FREAK würde hier bedeuten, dass man uralt-Umschläge nimmt der Kleber nicht mehr hält und in die jeder rein schauen kann.
gweihir 04.03.2015
4. Gute Zusammenfassung
Technisch ist das ganze natuerlich etwas komplizierter, man daher sollte noch anmerken, das Kriminelle natuerlich ihre Hintertueren extra sichern koennen, normale Buerger aber nicht. Das bringt dann auch erhebliche Zweifel, ob es ueberhaupt um Kriminelle geht...
Dark Agenda 04.03.2015
5.
Der Sicherheitswahn macht unsere Welt immer unsicherer. Schön formuliert. Jede eingebaute Schutzlücke, jeder Schadcode, jede Cyberwaffe die zu "legitimen" Zwecken geschaffen wurde, wird zwangsläufig in die Hände von (organisierten) Kriminellen fallen und sich gegen die Bevölkerung richten. Was die westlichen Freiheitswerte anbelangt kann man auch sagen: Selbstmord aus Angst vor dem Tod. Ein Argument fehlt noch: in einer Welt in der alle Daten vom Staat her zur Manipulation frei gegeben sind, können diese Daten nicht mehr als gerichtsfeste Beweismittel angesehen werden. (Naja Gerichtsverfahren sind wahrscheinlich auch eine Sache von gestern)
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.