IT-Sicherheit war gestern —
willkommen zurück Bundestrojaner!
Hört die Politik überhaupt noch zu, wenn es um IT-Sicherheit geht? Da führt Whatsapp unter dem Druck von Datenschützern, Benutzern und Politik die Ende-zu-Ende Verschlüsselung ein. Dann beschließt die Politik, auf Anraten der Sicherheitsbehörden einen großzügigen Katalog, nach dem es Polizei und Geheimdiensten erlaubt ist u. A. die Whatapp Kommunikation zu belauschen.
Das Problem? Genau: es gibt da diese lästige Ende-zu-Ende Verschlüsselung, die das Lauschen doch erheblich erschwert. Was also tun:
- Ende-zu-Ende Verschlüsselung wieder abschaffen? Peinlich, und außerdem: im Herbst sind Wahlen!
- Google, Microsoft und Apple fragen, ob vielleicht für die Behörden ein Backdoor eingerichtet werden kann? Das kann dauern. Außerdem steht dann gleich wieder die NSA auf der Matte und man macht sich von US-Firmen abhängig und und und …
Schnell soll es auch gehen. dann doch lieber gleich von der NSA lernen und strukturiert vorgehen:
- Viele 0-day exploits — also noch nicht allgemein bekannte Sicherheitslöcher — sammeln.
- Eigene Software darauf aufsetzen, die das Abhören ermöglicht.
Das hatten wir schon mal. Damals hieß es Bundestrojaner. Und deshalb wissen wir auch schon, wie es dann weiter geht:
- Der Bundestrojaner wird — aufgrund von Programmierfehlern, — viele Handys lahmlegen, statt sie zu belauschen.
- Der Bundestrojaner und die benutzten 0-days fliegen auf. (Programmfehler, reverse Engineering …).
- Die Liste der gesammelten 0-days gelangt — wie auch immer — an die Öffentlichkeit. (Der NSA passierte das im April mit Windows 0-days. Das trug dazu bei, der Welt den Erpressungstrojaner WannaCry zu bescheren.)
Ach ja: Microsoft hat nach WannaCry Sicherheitsupdates — selbst für das 15 Jahre alte Windows XP — veröffentlicht. Für alte Versionen (d.h. 3 Jahre+ oder auch jünger) von Android oder IOS dürfte das eher nicht passieren. Ist der Schaden vorhersehbar?
Und wofür das Ganze? Mit schöner Regelmäßigkeit stellt sich nach Sicherheitspannen heraus, dass nicht ein Mangel an Daten die Ursache war. Vielmehr wurden die Daten, die vorhanden waren, nicht genügend beachtet. Die Schlussfolgerung “more data required” leuchtet da nicht unmittelbar ein.
Es ist richtig, daß die Daten, die vorhanden waren, oft nicht genügend beachtet werden.
Die Schlußfolgerung “no more data required” leuchtet mir allerdings auch nicht ein. Besser wäre es, mehr Daten zu sammeln und gleichzeitig mehr Fachleute einzustellen, die sich mit Data mining wirklich auskennen.
Vor allem möchte ich endlich die Option, über WhatsApp unverschlüsselt kommunizieren zu können. Diese Zwangsbeglückung von WhatsApp, die ungefragt Ende-zu-Ende verschlüsseln, ist angesichts der Allgegenwart von WhatsApp nicht länger zu ertragen. WhatsApp macht das doch nur, um unbequeme Nachfragen von Sicherheitsbehörden abwiegeln zu können, und aus Marketinggründen.
“ungefragt Ende-zu-Ende verschlüsseln” ist in etwa so, als würde die Post meine Postkarten ungefragt (und ungelesen) in einen Umschlag stecken … obwohl, wenn ich es weiß und es nicht mehr kostet, warum eigentlich nicht?
Es gibt ja auch einfach zu nutzende Dienste, bei denen alle Welt mitlesen kann, was ich schreibe: Twitter, Facebook, …