Ljupco Smokovski - Fotolia

Was die FBI-vs.-Apple-Diskussion für Unternehmen bedeutet

Schlussendlich hat das FBI ohne Apples Hilfe ein iPhone entschüsselt. Doch welche Auswirkungen hat die ganze Diskussion auf Unternehmen?

Im Februar 2016 wies ein US-Gericht Apple an, mithilfe seines Code-Signing-Schlüssels und -Zertifikats Software zu autorisieren, die den systemeigenen Selbstverteidigungsmechanismus des iPhones umgehen würde. Viele IT-Unternehmen glauben, dass der geforderte Zugriff sowie die Nutzung von Apples Keyword eine ernsthafte Bedrohung für die Internetsicherheit darstellen.

Tim Cook von Apple behauptet, dass der Zugriff der Regierung auf Schlüssel und Zertifikate sowie der Einfluss, der durch das von ihnen geschaffene Vertrauen und die Privatsphäre erlangt wird, gleichbedeutend damit wäre, „Apple aufzufordern, unsere eigenen Nutzer zu hacken und jahrzehntelange Fortschritte in der Sicherheit, die unsere Kunden vor raffinierten Hackern und Cyberkriminellen schützt, zu unterwandern.“ Oder wie die Times es jüngst beschrieb: „Das Software-Gegenstück zu Gottes geheimen Namen.“

Das FBI hat seine Ermittlungen gegen Apple inzwischen eingestellt, nachdem ein Weg gefunden wurde, in das iPhone einzudringen. Dadurch gibt es keinen vielbeschworenen Präzedenzfall, aber das Problem bleibt bestehen. In der Auseinandersetzung zwischen FBI und Apple mag es eine Atempause geben, doch die allgemeine Diskussion über den Einfluss von Regierungen und Behörden auf das Internet tobt weiter. Das vom FBI eingestellte Verfahren hat die weiterreichenden Probleme rund um Verschlüsselung, Datenschutz und öffentliche Sicherheit keineswegs gelöst. Tatsache bleibt, dass die US-Gerichte versucht haben, Apple zu einer Entscheidung zu drängen, welche die Sicherheit und den Datenschutz für alle Nutzer grundlegend unterlaufen könnte. Das ist nicht gut.

Die jüngste und öffentliche Debatte war ein bewusster Trick der US-Regierung, um die heiligste und stärkste Waffe unserer Zeit in die Finger zu bekommen: die Verschlüsselungsschlüssel und digitalen Zertifikate, die die Grundlage der gesamten Cybersicherheit und des Vertrauens im Internet liefern. Aus diesem Grund wurden Schlüssel und Zertifikate zum Ziel von Nationalstaaten und Cyberkriminellen. Genau wie Apple nutzen und vertrauen alle Unternehmen auf Schlüssel und Zertifikate, wenn es um Vertrauen und Datenschutz geht, und haben daher vielfach die gleichen Probleme.

Wir sollten auch bedenken, dass jetzt, wo ein iPhone gehackt werden kann, andere dies ebenfalls versuchen werden. Das iPhone galt als ein winzig kleines Fort Knox, das zeigte, wie schwer es ist, es zu knacken und von außen hineinzugelangen. Obwohl jemand dem FBI möglicherweise für Geld half, das iPhone zu knacken, könnten andere, die auf die gleiche Hacking-Technik stoßen, sich dazu entschließen, sie an Cyberkriminelle oder andere Regierungen zu verkaufen. Dies könnte das Ende des Datenschutzes, wie wir ihn kennen, bedeuten.

Schutz der Privatsphäre

Diese Art der Regierungsmaßnahme kann als eine Beraubung der in einer digitalen Welt vorhandenen Erwartungen an den Datenschutz verstanden werden – den Datenschutz und das Vertrauen, das Verschlüsselungsschlüssel und Zertifikate ermöglichen. Hersteller sollten den Schutz der Privatsphäre ernstnehmen. Sie sollten mit den Maßnahmen der Regierung und der Vollzugsbehörden, die Offenlegung zu verlangen, nicht einverstanden sein. Wenn Kunden Zugriff auf die richtigen Daten – genaue Kenntnis aller Schlüssel und Zertifikate – haben, können sie fundierte Entscheidungen über ihre rechtlichen Verantwortlichkeiten sowie über die Verantwortlichkeiten gegenüber ihren Kunden, Aktionären und anderen Stakeholdern treffen. Und sollten sie sich dazu entschließen, einem Rechtsbegehren Folge zu leisten, wären sie in der Lage, genau das zu tun.

Schlüssel und Zertifikate sind wertvolle Werte

Unternehmen müssen Schlüssel und Zertifikate nicht nur vor Cyberkriminellen schützen, die diese missbrauchen möchten, sondern auch den Status jedes einzelnen Schlüssels und Zertifikats kennen. Nur wenn die Verantwortlichen ihre Assets kennen, können sie diese richtig schützen und fundierte Entscheidungen in Hinblick auf die Erfüllung der Anforderungen von Regierungen und Vollzugsbehörden weltweit treffen. Mit zehntausenden Schlüsseln und Zertifikaten, die heute in Unternehmen genutzt werden – die meisten davon unbekannt und ungeschützt – stellt die Frage der Offenlegung von Schlüsseln und Zertifikaten ein ernsthaftes Risiko für die Unternehmen dar. Fragen der Haftung beschäftigen CEOs, Vorstände, Leiter der Rechtsabteilungen und CISOs, denn im Zweifel tragen Sie die Mitverantwortung bei einem Sicherheitsvorfall.

Die Debatte um FBI vs. Apple ist Teil eines weltweiten Trends der Vollzugsbehörden, die versuchen, Zugriff auf Schlüssel und Zertifikate zu erlangen und diese für sich zu nutzen. In Großbritannien und Frankreich gibt es jeweils ein Gesetz, dass die Behörden dazu befähigt, in einem ähnlichen Fall die Herausgabe von Informationen zur Verschlüsselung zu erzwingen.

  • Großbritannien: Abschnitt 49 des Regulation of Investigatory Powers Act (RIPA) ermöglicht den Vollzugsbehörden, Zugriff auf Verschlüsselungsschlüssel zu erlangen. Wer der Aufforderung, die Schlüssel zur Verfügung zu stellen, nicht nachkommt, dem drohen obligatorische Haftstrafen. Das gilt auch für Personen, die ein Unternehmen vertreten, wie ein Geschäftsführer oder Vorstand. Derzeit ergehen Beschlüsse zu Aktualisierungen des RIPA, die den Vollzugsbehörden erlauben würden, von Unternehmen die Verwendung ausgelieferter Schlüssel und Zertifikate zu verlangen, um so die Sicherheit zu unterwandern und neue Schwachstellen einzuführen.
  • Frankreich: Artikel 434-15-2 ermöglicht den Vollzugsbehörden, Zugriff auf Verschlüsselungsschlüssel zu erlangen. Ein Verstoß zieht nicht nur strafrechtliche Sanktionen in Form dreijähriger Haftstrafen nach sich, sondern auch eine obligatorische Strafzahlung von 45.000 Euro. Die Strafzahlungen steigen auf 65.000 Euro und Gefängnisstrafen von fünf Jahren in Fällen, in denen die Nichtherausgabe der Schlüssel eine Straftat hätte verhindern oder deren Folgen beschränken können.

Wenn Apple ein französisches oder britisches Unternehmen wäre, wäre Tim Cook oder ein Vorstandsmitglied für den verweigerten Zugriff auf ihre Code-Signing-Schlüssel und -Zertifikate dann ins Gefängnis gegangen? Es scheint so, wenn man sich die Paragraphen durchliest. Doch die möglichen Folgen gehen weit darüber hinaus. Anschließende Maßnahmen in diesen Ländern könnten auch leitende Angestellte und Vorstandsmitglieder von Apple betreffen, die ins Ausland reisen.

Schlüssel und Zertifikate erfassen und schützen

Das Problem der Offenlegung von Schlüsseln betrifft nicht nur Apple. Da alle Unternehmen in irgendeiner Art und Weise Software einsetzen, die durchwegs Schlüssel und Zertifikate nutzen, kann die Offenlegung von Schlüsseln eine sehr spürbare Auswirkung auf die Produktivität, den Erfolg und sogar auf die Haftung haben. Um diese Risiken zu minimieren, müssen die Unternehmen genauere Kenntnis aller Aspekte des Schutzes ihrer Schlüssel und Zertifikate haben. Die Vorbereitung auf die Offenlegung von Schlüsseln erfordert umfassendes Verständnis der Nutzung und des Eigentums an Schlüsseln und Zertifikaten, insbesondere an solchen, von denen IT-Sicherheitsteams möglicherweise keine Kenntnis haben, wie diejenigen, die von Marketing-, Entwicklungs- und Fertigungsteams verwendet werden.

Da sich Anforderungen und Gesetze zur Offenlegung ständig weiterentwickeln, werden profunde Informationen über Ihre Schlüssel und Zertifikate zu einem Wettbewerbsvorteil. Die Lösung liefert die Informationen, die benötigt werden, um Risiken zu vermindern und das Vertrauen und die Privatsphäre zu schützen, zu deren Schaffung Schlüssel und Zertifikate entwickelt wurden.

Über den Autor:
Kevin Bocek ist als Vice President Security Strategy & Threat Intelligence bei Venafi für die Security Strategie und Threat Intelligence verantwortlich. Er bringt mehr als 16 Jahre Erfahrung aus der IT-Sicherheit mit, unter anderem von RSA, Thales, PGP Corporation, IronKey, CipherCloud, nCipher und Xcert. Venafi bietet mit dem Immunsystem für das Internet eine Lösung an, die Schlüssel und Zertifikate automatisch verwaltet, verändert, sichert und überwacht.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im April 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Betriebssystemsicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close