Cyberangriffe, NSA-Schnüffeleien und Hackerattacken. Das Betätigungsfeld krimineller Internetterroristen ist groß – die Möglichkeiten reichlich Beute zu machen werden größer. Demgegenüber schrumpft der Handlungsspielraum von Organisationen, den eigenen Schutz zu erhöhen. Die Gründe? Einerseits werden die eingesetzten Technologien immer raffinierter und professioneller, um Organisationen oder einzelne Personen auszuspähen und Informationen abzuschöpfen. Angefangen bei komplizierter Angriffssoftware Marke Stuxnet und Regin über großangelegte Überwachungsmaßnahmen, wie PRISM oder Tempora, bis zu gefälschten Phishing-E-Mails – angeblich von DHL, PayPal & Co. Nicht ohne Grund schreibt das "Cyber Defense Center" der Deutschen Telekom: "Die Angreifer im Netz sind den Opfern oft mehr als einen Schritt voraus."
Andererseits steigen die Angriffszahlen explosionsartig. Ein Beispiel: Die Telekom verzeichnet täglich bis zu 800.000 Hackerangriffe. Die Dunkelziffer dürfte indes wesentlich höher sein. Eigentlich genug Gründe zum Schutz unternehmenskritischer Informationen und der Privatsphäre und das mit Unterstützung der Politik. Doch davon sind wir weit entfernt, wie der Zank um das Thema Verschlüsselung zeigt.
Vom chiffrieren und dechiffrieren – gestern und heute
Streift man als Besucher durch die "Informatikausstellung" des Deutschen Museums in München, wird einem die Bandbreite und rasante Entwicklung im Bereich des Internets schlagartig bewusst. Dort finden sich von den Anfängen mathematischer Instrumente und Analogrechengeräte, Automaten zur Programmsteuerung und Universalrechner. Vieles wirkt verblasst, verstaubt, als stumme Zeitzeugen einer längst vergangenen Epoche in der Ausstellung drapiert. Im Begleitbuch "Informatik" heißt es beispielsweise: "Höchstleistungsrechner, wie die 1976 auf den Markt gekommene, von Seymour R. Cray entwickelte CRAY-1, haben trotz Mikro-Miniaturisierung der Bauelemente beachtliche Abmessungen." Das klingt nach Star Wars – ebenfalls in den 1970er Jahren entstanden. Ähnlich anachronistisch ist der Bereich zur Kryptografie mit seinen "Geräten und Maschinen". Im Grunde geht es seit jeher um das "chiffrieren und dechiffrieren".
Das Deutsche Museum schreibt hierzu: "Um Unbefugten das Verstehen einer Nachricht zu verwehren, chiffriert man den Text. Der Unbefugte versucht seinerseits, die Nachricht trotzdem zu lesen – die Chiffrierung zu brechen." Als Beispiele findet der Besucher von "Chiffrierscheiben" aus dem 18./19. Jahrhundert bis zur bekannten "ENIGMA" aus den 1920er Jahren alles, was das Verschlüsselungsherz begehrt.
Eine vergangene Verschlüsselungswelt wird im Deutschen Museum präsentiert, die zeigt, was möglich war. Bewusst in der Vergangenheit gesprochen. Denn in Zeiten des Terrors möchten Politiker im Hier und Jetzt zu gerne die Grundfesten einer sicheren Verschlüsselung aufweichen und mit harter Hand alles durchleuchten. Der "Kampf um die Verschlüsselung wird härter", schrieb "Zeit Online" vor einigen Wochen. So fordern europäische Sicherheitsbehörden "einen Zugang zu verschlüsselten Daten". Und in diesem Entschlüsselungskonzert möchte Deutschland mitspielen. Oder doch nicht?
Innenminister Dr. Thomas de Maizière, formulierte es im Rahmen einer Rede anlässlich des "Forum International de la Cybersécurité" wie folgt: "Einerseits möchten die deutschen Kryptostrategen unsere Bürger und die Wirtschaft im Internet schützen, beispielsweise durch Verschlüsselungstechnologien für alle […] Andererseits aber sollen natürlich auch unsere Sicherheitsbehörden unter strengen Voraussetzungen – rechtsstaatlichen Voraussetzungen – befugt und in der Lage sein, verschlüsselte Kommunikation zu entschlüsseln, wenn dies für Ihre Arbeit und zum Schutz der Bevölkerung notwendig ist." Und er stellt fest: "Der eine Teil der staatlichen Verwaltung berät, wie man sich am besten sicher im Internet bewegt und der andere Teil der öffentlichen Verwaltung versucht, trotzdem unter rechtsstaatlichen Bedingungen diese Sicherheitsvorkehrungen gegebenenfalls bei Straftätern zu überwinden. Das wirkt vielleicht wie ein Widerspruch."
Tür und Tor zur Überwachung geöffnet
Nicht nur das Attentat auf die "Charlie Hebdo"-Redaktion veranlassen staatliche Stellen zu mehr Überwachung und digitaler Spionage. In diesem Zuge hat die französische Nationalversammlung jüngst ein Gesetz verabschiedet, das die Befugnisse der Geheimdienste im Kampf gegen den Terror erweitert, darunter die Online- und Telekommunikationsüberwachung von "Terrorverdächtigen" ohne richterliche Grundlage. Damit ist der Überwachung Tür und Tor geöffnet, sollte das Gesetz Ende Mai den Senat passieren. Und in Australien wird der generelle "Terrorverdacht" als Vorwand benutzt, um Informations- und Telekommunikationsdaten 24 Monate zu speichern und den Behörden einen Zugang zu verschaffen. Das Gesetz soll ab 2017 greifen. Doch wer weiß das so genau, wann und wo die Behörden solche Maßnahmen umsetzen. Kritiker sprechen von einem fundamentalen Eingriff in die Privatsphäre der Bürger.
Im Grunde wabert das Thema flächendeckender Überwachungssysteme und Methoden seit den Anschlägen vom 11. September 2001 durch die Medien. Und Edward Snowden brachte mit seinen NSA- und PRISM-Enthüllungen das mediale Fass zum Überlaufen, das in einem "allgemeinen Erwachen" in puncto technischer Möglichkeiten einer allumfassenden Überwachung mündete. Ein Aufschrei, der nur von kurzer Dauer war.
Und in Deutschland? "Zeit Online", beschrieb es so: "Eine kurze Zeit lang galt Verschlüsselung dank der Enthüllungen Edward Snowdens als wichtiger Schutz für jedermann vor Kriminellen und Spionen. Doch lange dauerte das nicht, Beamte und Ermittler wollen dem gemeinen Bürger keinen sicheren Schutz mehr zugestehen. Geheimdienste und Polizei wollen einen Nachschlüssel für jede digitale Tür in ganz Europa."
Apropos: In den USA darf der öffentliche Raum ohne richterliche Genehmigung überwacht werden und auch in London finden sich an allen Ecken Videoüberwachungssysteme, um flächendeckend die Hauptstädter zu observieren. In diesem Zuge gehen einige Staaten rigoros mit Verschlüsselungstechnologien um. Einerseits unterliegt Kryptographie den jeweiligen Landesbestimmungen. Andererseits ist es in einigen Ländern schwierig, nicht freigegebene Verschlüsselungsverfahren überhaupt zu verwenden, wie in China oder den USA. Im Grunde ein politischer Kanon, der an das alte Kirchenlied erinnert: "Macht hoch die Tür, die Tor macht weit."
In den USA regelt zudem das sogenannte "Arms Export Control Act" und die "International Traffic in Arms Regulations" den Export von Verschlüsselungstechnologien.
Verschlüsselung ist das A und O
Geheimdienste, Behörden und Datendiebe wissen längst: Informationen sind das wahre Gold in unserer digitalisierten Welt. Daten werden gesammelt und ausgewertet. Aus ihnen lassen sich Profile erstellen und Profit herausschlagen. Die Achillesferse der fortschreitenden Digitalisierung unseres kompletten Arbeits- und Privatlebens liegt in technologischen Versprechungen – wie Cloud Computing oder der Virtualisierung – bei dem Daten in Blackboxes verschwinden und keiner so recht weiß, was mit ihnen passiert. Nutzen daraus schlagen vor allem Überwacher, Datensammler und Spione. Das Postulat der "schönen neuen digitalen Welt" mit einer Dauervernetzung und -erreichbarkeit kann nicht darüber hinwegtäuschen, dass es adäquate Lösungen zum Schutz betrieblicher Geheimnisse und der Privatsphäre braucht. Verschlüsselungen sind aktuell das A und O für die Unternehmenssicherheit. Gut umgesetzt bieten Verschlüsselungen einen wichtigen Baustein, um Organisationen in unserer modernen Arbeitswelt vor einem unerlaubten Zugriff auf Informationen zu schützen.
Doch es geht um mehr. Wir stehen an einem Scheideweg zwischen den Befürwortern eines mehr an staatlicher Kontrolle und denen, die die Privatsphäre schützen und einem zu starken Zugriff auf Unternehmensinformationen entgegentreten. In einem Dokumentarfilm von arte "Terrorgefahr! Überwachung total?" umschreibt es der US-amerikanische Jurist Marc Rotenberg wie folgt: "Unsere modernen Gesellschaften stehen vor einer Entscheidung, die über unsere Zukunft bestimmt. Und diese Entscheidung ist im Wesentlichen eine politische." Nach Rotenbergs Meinung bestehe die Gefahr der Dauerüberwachung, das in einem digitalen Gefängnis münden könnte. Dem stehen diejenigen gegenüber, die in Zeiten gestiegener Sicherheitsbedürfnisse an mehr Kontrolle und Überwachung appellieren. Ganz zu schweigen von Unternehmen, deren Geschäftsmodell auf dem Sammeln und Auswerten digitaler Informationen und Verhaltensmuster beruht, um beispielsweise Kundenprofile zu erstellen. Schließlich geht es um Marketing, Vertrieb und Absatz in einer globalen Welt voller Wettbewerb.
Kryptoverfahren und der Wert von Freiheit
Aktuell arbeiten IT-Unternehmen, Staaten und somit Geheimdienste fieberhaft an der Entwicklung eines Quantencomputers. Denn dieser wird in der Lage sein, viele der etablierten Verschlüsselungen zu brechen. Die auf Basis der Quantenphysik beruhenden Entwicklungen werden die bisher bekannten digitalen Verschlüsselungsmethoden brechen und gleichzeitig neue Verschlüsselungen ermöglichen. Hintergrund ist, dass etablierte Verschlüsselungsverfahren auf der Tatsache und Sicherheit beruhen, dass die Primfaktorenzerlegung sehr aufwendig ist. Die schnellsten Supercomputer brauchen heute noch rund 150 Jahre, um die Primfaktorenzerlegung einer 300-stelligen Zahl zu bewerkstelligen. Anders mit den in der Forschung befindlichen, hochentwickelten Quantencomputern, die aber aktuell noch keine Gefahr darstellen.
Im Umkehrschluss werden IT-Abteilungen bis dahin mit den klassischen Problemen zu kämpfen haben, unter anderem dem Verlust von Schlüsseln und Zertifikaten, fehlerhaften Implementierungen von Kryptographie-Verfahren sowie neuen Angriffsmethoden. Allen technischen Gegebenheiten zum Trotz schließt sich im "Hase-und-Igel-Spiel" nach mehr oder weniger Informations- und Datenschutz und Verschlüsselung die grundsätzliche Frage nach dem Wert von Privatsphäre an. Karsten Nohl, Kryptoexperte, stellt hierzu im arte-Beitrag "Terrorgefahr! Überwachung total?" klar, dass man den Wert von Privatsphäre aktiv lehren muss. Seiner Meinung nach versuchten die Staaten gerade das Gegenteil. Unter dem Deckmantel der Kriminalitäts- und Terrorismusbekämpfung würde der Bevölkerung eingebläut, dass man jedes Jahr ein Stück Privatsphäre abgeben müsse, um dem Staat zu helfen.
Autor:
Martin Haunfelder ist als Security-Architekt und Berater beim Beratungs-, Trainings- und Auditspezialisten Rühlconsulting GmbH beschäftigt. Er verfügt über eine mehr als 10-jährige Erfahrung als IT-Systemarchitekt, IT-Sicherheitsbeauftragter und Datensicherheitsbeauftragter mit einem Schwerpunkt im Banken- und Finanzumfeld. Seine Expertise in Managementsystemen hat Martin Haunfelder durch seine Weiterbildungen zum Auditor für Informationssicherheitsmanagement nach ISO/IEC 27001 und Business Continuity Management nach ISO 22301 weiter ausgebaut und sein Wissen dazu gefestigt.