IT-Sicherheit war gestern —
willkommen zurück Bundestrojaner!

Whatsapp-Logo mit SchlapphutHört die Politik überhaupt noch zu, wenn es um IT-Sicherheit geht? Da führt Whatsapp unter dem Druck von Datenschützern, Benutzern und Politik die Ende-zu-Ende Verschlüsselung ein. Dann beschließt die Politik, auf Anraten der Sicherheitsbehörden einen großzügigen Katalog, nach dem es Polizei und Geheimdiensten erlaubt ist u. A. die Whatapp Kommunikation zu belauschen.

Das Problem? Genau: es gibt da diese lästige Ende-zu-Ende Verschlüsselung, die das Lauschen doch erheblich erschwert. Was also tun:

  • Ende-zu-Ende Verschlüsselung wieder abschaffen? Peinlich, und außerdem: im Herbst sind Wahlen!
  • Google, Microsoft und Apple fragen, ob vielleicht für die Behörden ein Backdoor eingerichtet werden kann? Das kann dauern. Außerdem steht dann gleich wieder die NSA auf der Matte und man macht sich von US-Firmen abhängig und und und …

Schnell soll es auch gehen. dann doch lieber gleich von der NSA lernen und strukturiert vorgehen:

  1. Viele  0-day exploits — also noch nicht allgemein bekannte Sicherheitslöcher — sammeln.
  2. Eigene Software darauf aufsetzen, die das Abhören ermöglicht.

Das hatten wir schon mal. Damals hieß es Bundestrojaner. Und deshalb wissen wir auch schon, wie es dann weiter geht:

  1. Der Bundestrojaner wird — aufgrund von Programmierfehlern, — viele Handys lahmlegen, statt sie zu belauschen.
  2. Der Bundestrojaner und die benutzten 0-days fliegen auf. (Programmfehler, reverse Engineering …).
  3. Die Liste der gesammelten 0-days gelangt — wie auch immer — an die Öffentlichkeit. (Der NSA passierte das im April mit Windows 0-days. Das trug dazu bei, der Welt den Erpressungstrojaner WannaCry zu bescheren.)

Ach ja: Microsoft hat nach WannaCry Sicherheitsupdates — selbst für das 15 Jahre alte Windows XP — veröffentlicht. Für alte Versionen (d.h. 3 Jahre+ oder auch jünger) von Android oder IOS dürfte das eher nicht passieren. Ist der Schaden vorhersehbar?

Und wofür das Ganze? Mit schöner Regelmäßigkeit stellt sich nach Sicherheitspannen heraus, dass nicht ein Mangel an Daten die Ursache war. Vielmehr wurden die Daten, die vorhanden waren, nicht genügend beachtet. Die Schlussfolgerung „more data required“ leuchtet da nicht unmittelbar ein.

2 Kommentare zu „IT-Sicherheit war gestern —
willkommen zurück Bundestrojaner!“

  • Blocher Eberhard:

    Es ist richtig, daß die Daten, die vorhanden waren, oft nicht genügend beachtet werden.

    Die Schlußfolgerung „no more data required“ leuchtet mir allerdings auch nicht ein. Besser wäre es, mehr Daten zu sammeln und gleichzeitig mehr Fachleute einzustellen, die sich mit Data mining wirklich auskennen.

    Vor allem möchte ich endlich die Option, über WhatsApp unverschlüsselt kommunizieren zu können. Diese Zwangsbeglückung von WhatsApp, die ungefragt Ende-zu-Ende verschlüsseln, ist angesichts der Allgegenwart von WhatsApp nicht länger zu ertragen. WhatsApp macht das doch nur, um unbequeme Nachfragen von Sicherheitsbehörden abwiegeln zu können, und aus Marketinggründen.

    • Klaus Birkenbihl:

      „ungefragt Ende-zu-Ende verschlüsseln“ ist in etwa so, als würde die Post meine Postkarten ungefragt (und ungelesen) in einen Umschlag stecken … obwohl, wenn ich es weiß und es nicht mehr kostet, warum eigentlich nicht?

      Es gibt ja auch einfach zu nutzende Dienste, bei denen alle Welt mitlesen kann, was ich schreibe: Twitter, Facebook, …

Aus Veranstaltungen von ISOC.DE
  • Mehr Sicherheit durch weniger Kryptographie?
    November 2019
    Um den Zusammenhang zwischen Terroristen belauschen und sicherem Onlinebanking geht es noch einmal am Rand des IGF 2019. Dieses mal wollen wir mit Wissenschaftlern, Politikern und anderen interessierten Bürgen das Thema diskutieren.
  • Kryptographie für ein besseres Internet
    April 2019
    Andrew Sullivan, Präsident und CEO der Internet Society (ISOC) erläutert, warum Eingriffe in die Kryptografie das Internet, seine Anwendungen und seine Benutzer gefährden.
  • Bürgerrechte im Netz
    November 2018.
    In zwei Panels ging es um Netzneutralität und Datenschutz.
  • 25 Jahre ISOC.DE
    Dezember 2017, nach der Wahl, noch vor der Regierungsbildung
    Der 25. Geburtstag von ISOC.DE und ISOC.ORG bot den Anlass für eine Veranstaltung in der Parlamentarischen Gesellschaft in Berlin, die sich kritisch mit der Rolle der Politik bei der Internet-Entwicklung auseinandersetzte.
  • Sicherheit zwischen Kryptographie und Überwachung
    2016 währed der IETF96 in Berlin
    Bringt mehr Überwachung mehr Sicherheit? Welche Rolle spielt Kryptographie für die Sicherheit im Netz? Gefährden Backdoors die Sicherheit?
  • Wer Macht das Internet?
    2013 gemeinsam mit dem Bundesministerium für Wirtschaft und Technologie
    Wer "macht" eigentlich tatsächlich das Internet und wem wächst damit welche “Macht” zu? Was ist die Rolle der Politik?
  • Wie das Netz nach Deutschland kam
    2006 gemeinsam mit dem Haus der Geschichte, Bonn
    Wo kommt das Internet in Deutschland her? Was passierte in den 80ern und frühen 90ern? Was waren die Diskussionen und Visionen?
ISOC.DE

Die Internet Society German Chapter e.V. (ISOC.DE e.V.) ist ein eingetragener Verein, der die Verbreitung des Internets in Deutschland fördert und dessen Entwicklung sowohl in technischer als auch in gesellschaftlicher Hinsicht begleitet.
Folgen Sie uns auf Twitter! Twitter-logo
Abonnieren Sie unseren RSS feed! RSS Logo

Your IP Address is: