WavebreakmediaMicro - Fotolia

Verschlüsselungs-Backdoors öffnen die Büchse der Pandora

Wenn mit einer Art Generalschlüssel die Umgehung diverser Verschlüsselungs-Barrieren möglich wäre, gerät die Grundlage des Vertrauens im Internet ins Wanken.

Es scheint, als entpuppe sich die Frage nach staatlichen Hintertüren zu verschlüsselter Kommunikation als Dauerbrennerthema. Immer wieder, vor allem im Schatten von Terroranschlägen, rufen Regierungen nach einer Möglichkeit, sogenannten Backdoors, um auf kryptographisch geschützte Informationen zugreifen zu können.

Zunächst einmal klingt das schlüssig – zumindest, was mutmaßliche Terroristen betrifft. Doch es gibt auch einen Haken: Läge eine Art „Generalschlüssel“ zur Umgehung diverser Verschlüsselungsbarrieren in den Händen eines Staates, könnte er damit nicht nur die Kommunikation eines einzelnen Verdächtigen oder Täters auslesen. Durch diesen Zugriff gerät allerdings die gesamte Grundlage des Vertrauens im Internet ins Wanken.

Dienstleistungen wie E-Commerce, Online-Banking, Mobile Payment und vieles anderes mehr sind dann gefährdet, das notwendige Interesse und die Unterstützung der Verbraucher zu verlieren, wenn die Verschlüsselung erst einmal umgangen wurde. Zukünftig wird es immer mehr Maschinen und dadurch auch immer mehr Verschlüsselung geben. Die Generalschlüssel dafür sollten unter allen Umständen möglichst bei den Anwendern und Unternehmen verbleiben.

Die Debatte um Backdoors ist wesentlich älter, als viele möglicherweise vermuten würden. Bereits in den 1990er Jahren sorgten Hintertüren in Verschlüsselung für Gesprächsstoff. Aktuell machen immer mehr Regierungen und Behörden ihrem Ärger, dass Verschlüsselung ihnen den Zugriff auf elektronische Nachrichten verbietet, öffentlich Luft.

Das schürt alte Befürchtungen und führt zu Angst vor einen erneuten „Krypto-Krieg“, wie er sich schon in den 1990ern abspielte. Damals versuchte die US-Regierung die Einführung des Escrowed Encryption Standards durchzusetzen und scheiterte. Dahinter steckt ein Chip-gebundenes symmetrisches Verschlüsselungsverfahren. Allerdings hätten die US-Behörden bei Bedarf auf die Schlüssel zugreifen können, die von zwei Benutzern zum Datenaustausch verwendet werden. Die sogenannten Clipper Chips sollten in Telefone eingebaut werden, Daten sollte der sogenannte Capstone Chip verschlüsseln.

In etwa zur gleichen Zeit versuchte die US-Regierung zudem, die Verbreitung von Philip Zimmermanns Pretty Good Privacy (PGP), einem Softwarepaket zur E-Mail-Verschlüsselung zu stoppen. Auch dies gelang nicht. Anschließend versuchte die US-Regierung darüber hinaus, die Stärke von Browser-SSL-Verschlüsselungen zu beschränken. Auch diese Initiative war am Ende nicht von Erfolg gekrönt. All diese Aktionen zeigen: Staaten haben keinerlei Interesse an der unüberwindbaren Verschlüsselung persönlicher Informationen. Daher rührt auch ihr Wunsch danach, dass IT-Unternehmen ihnen Mittel und Wege zur Verfügung stellen, mit deren Hilfe sich Verschlüsselungen umgehen lassen.

Öffentlichkeit und IT-Sicherheitsfachleute lehnen Backdoors ab

Genau an diesen Punkt macht sich auch die Öffentlichkeit Sorgen. Im Auftrag des IT-Sicherheitsspezialisten Venafi stellten Meinungsforscher von OnePoll 1000 deutschen Verbrauchern im Rahmen einer Studie unter anderem folgende Frage: „Glauben Sie, die Regierung sollte die Macht besitzen, IT-Unternehmen dazu zu zwingen, ihr einen Zugang zu verschlüsselten Daten zu gewähren?“ Nahezu zwei Drittel (63,1 Prozent) der Befragten signalisierten ein Nein und nur 23,5 Prozent entschieden sich für ein Ja. Die IT-Sicherheits-Fachwelt spricht sich noch deutlicher dagegen aus.

Während der diesjährigen Black-Hat-Konferenz in Las Vegas sprach Venafi im Zusammenhang mit einer Live-Umfrage mit insgesamt 296 IT-Sicherheitsexperten über das Thema Hintertüren in Verschlüsselungen. Die überwältigende Mehrheit der befragten Black-Hat-Besucher (81 Prozent) lehnt ein Recht der Regierungen, IT-Unternehmen dazu zu zwingen, Zugriff auf verschlüsselte Daten zu gewähren, kategorisch ab. Im gleichen Atemzug geben sie allerdings zu, dass hinsichtlich des Schutzes der Öffentlichkeit vor Gefahren, die von Backdoors ausgehen, noch viel Nachholbedarf besteht. Nur 19 Prozent glauben, die IT-Branche engagiere sich ausreichend auf diesem Gebiet.

Nützen Backdoors wirklich nur den „Guten“?

Fast alle befragten IT-Sicherheitsfachleute warnen davor, dass Hintertüren in Verschlüsselungen Risiken ungeahnten Ausmaßes heraufbeschwören könnten. Sie halten sie für ineffektiv und gefährlich. 91 Prozent befürchten, Cyberkriminelle könnten sich staatlich verordnete Backdoors zu Nutze machen und so großen Schaden anrichten.

Diese Angst wirkt nicht besonders weit hergeholt – vor allem, wenn man sich die erschreckend hohe Zahl der Cyberattacken auf Behörden und Regierungseinrichtungen in Erinnerung ruft. In diesem Zusammenhang drängt sich eine Frage besonders auf: Sollten wir Regierungen wirklich mit einem Werkzeug ausstatten, dass ihnen Tür und Tor zu verschlüsselten Informationen öffnet, wenn sie nicht einmal in der Lage sind, ihre eigenen Daten zu schützen?

Zusätzlich hegen die befragten Black-Hat-Besucher nur wenig Hoffnung, dass Hintertüren in Verschlüsselung eine wertvolle Waffe im Kampf gegen Terrorismus darstellen könnten. 72 Prozent glauben nicht, dass bewusst eingebauten Sicherheitslücken den Staaten bei der Strafverfolgung weiterhelfen.

Fazit

Regierungen und Staaten Zugang zu Hintertüren in Verschlüsselungen zu ermöglichen, wirkt, als reißen wir selbst große Löcher in unsere eigene digitale Verteidigungslinie und machen die digitale Kommunikation verwundbar. Bei dem derzeitigen Trend immer mehr Geräte ins Internet der Dinge und darüber hinaus auch sensible Maschinenidentitäten zu integrieren, wird sich auch das Wachstum bei Verschlüsselungslösungen beschleunigen. Wir benötigen mehr Verschlüsselung und vor allem eine vertrauensvolle Verschlüsselung, um einen wirksamen Schutz vor Gefahren gleich in das Fundament der Internetsicherheit zu etablieren.

 „Regierungen und Staaten Zugang zu Hintertüren in Verschlüsselungen zu ermöglichen, wirkt, als reißen wir selbst große Löcher in unsere eigene digitale Verteidigungslinie und machen die digitale Kommunikation verwundbar.“

Kevin Bocek, Venafi

Es ist nicht gerade eine Überraschung, dass so viele IT-Sicherheitsfachleute bezüglich der Hintertür-Debatte besorgt sind; die IT-Branche kämpft seit Jahren gegen die Bestrebungen von Regierungen an, sich unbegrenzten Zugriff auf den Quellcode zu verschaffen. Wir müssen mehr Zeit dafür aufwenden, um die Sicherheit unserer Maschinenidentitäten zu schützen und eben nicht um Lücken einzubauen, die einzig lukrativ für Cyberkriminelle sind.

Hintertüren in Verschlüsselungen können Schwachstellen entstehen lassen, die von einer ganzen Reihe von Akteuren mit bösartigen Absichten, darunter Regierungen von Staaten oder auch Geheimdienste, ausgenutzt werden können. Millionen von Menschen weltweit vertrauen auf Verschlüsselung. Sie sorgt für den Schutz von kritischen Infrastrukturen – darunter weltweite Finanzsysteme, Stromnetze und Verkehr – vor Cyberkriminellen, die Daten kopieren und verkaufen oder Cyberspionage betreiben.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Hintertüren in der Verschlüsselung führen ins Nichts

Verschlüsselung als Sicherheitskonzept nutzen

Trotz Verschlüsselung Datenkorrumpierung aufdecken

 

Artikel wurde zuletzt im September 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datei- und Laufwerks-Verschlüsselung

Dem Gespräch beitreten

1 Kommentar

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

Der Autor hat (natürlich) recht. Allerdings liegen die Risiken in der Praxis in der erster Linie in der Auswahl des für die Anwendung adäquaten Produkts und in seiner korrekten Parametrisierung! Viele Anwender nutzen Verschlüsselungsprodukte in blindem Vertrauen - und überprüfen die Parametereinstellungen nie. Mit dem Ergebniss, dass zu kurze Schlüssel zu selten gewechselt und im falschen Mode eingesetzt werden - eins der eklatantesten Beispiele sind VPN.

Prof. Dr. Hartmut Pohl, softScheck
Abbrechen

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close