Wiretaps Exposed: Wie Verschlüsselungs-Hintertüren den Hackern Tür und Tor öffnen

In Anbetracht ihrer illustren und auffälligen früheren Karriere in der Big Tech-Branche hat die Präsidentin von Signal, Meredith Whittaker, vielleicht eine andere Vorstellung davon, wer „die Guten“ sind als andere Leute.

Und noch mehr, andere glauben vielleicht nicht, dass es so etwas wie „die Guten“ gibt, wenn es darum geht, jemandem zu erlauben, zu versuchen, die universelle Online-Verschlüsselung zu zerstören.

Aber Whittaker, die für eine App, Signal, verantwortlich ist, die sehr hart daran arbeitet, sich als „Spitzenreiter“ der datenschutz- und sicherheitsfreundlichen Messenger zu positionieren, tut dies entweder aus tiefer Überzeugung oder hat keine andere Wahl, als es zu tun (angesichts der Natur von Signal): Sie verteidigt die Verschlüsselung.

Wiretaps Exposed: Wie Verschlüsselungs-Hintertüren den Hackern Tür und Tor öffnen

Der Hintergrund: Sicherheitslücke und Verschlüsselungs-Hintertüren

Dieses Mal geht es um eine Sicherheitsverletzung, die Berichten zufolge von chinesischen Hackern verübt wurde und eine Reihe von US-amerikanischen Telekommunikations- und ISP-Unternehmen zum Ziel hatte.

Daher der Verweis auf die „guten Jungs“ – Whittaker meint, dass, wenn die USA Hintertüren zur Verschlüsselung in das Internet einbauen, es keine Möglichkeit gibt, sicherzustellen, dass nur die USA diese ausnutzen können.

Zu diesem Zeitpunkt scheint es fast überflüssig zu sein, noch einmal zu erklären, warum das so ist und wie Verschlüsselung, das Internet und verschiedene staatliche und schlicht kriminelle Akteure funktionieren. Aber für die Leute im Hintergrund – und dazu gehören viele Gesetzgeber und Politiker auf der ganzen Welt – sollte man es vielleicht noch „lauter“ sagen:

Einmal untergraben und gebrochen, dienen Verschlüsselungs-Hintertüren jedem, der schlau genug ist, sie zu benutzen – und das schließt eindeutig nicht nur eine Regierung oder Regierungshacker im Allgemeinen ein.

Die Einsätze: Jenseits privater Kommunikation

Und nicht nur private Nachrichten, Chats und dergleichen sind von einer starken und zuverlässigen Verschlüsselung abhängig, sondern auch Bankkonten, Unternehmen und damit die Existenzgrundlage.

Dennoch arbeiten viele Regierungen auf der ganzen Welt sehr hart daran, die Verschlüsselung auszuhöhlen, um das oft rein politische Bedürfnis zu befriedigen, jederzeit Zugang zu jedermanns Kommunikation zu haben – und verstecken dies hinter dem Deckmantel einer angeblichen Voraussetzung für die Strafverfolgung, um mit Dingen wie Terrorismus und Kindesmissbrauch umgehen zu können -, so wie sie heute ist.

Whittaker veröffentlichte eine Geschichte über eine angeblich „katastrophale und massive“ chinesische Abhörkampagne, in der von einer „riesigen Sammlung“ des Internetverkehrs der Amerikaner die Rede war. Sie fügte ihren eigenen Beitrag hinzu: „Wenn die gesamte technische Gemeinschaft sagt, dass die ChatControl-Gesetzgebung der EU und ähnliche Gesetze eine ernsthafte Bedrohung für die Cybersicherheit darstellen, dann übertreiben wir nicht, um einen Effekt zu erzielen.“

Historischer Kontext und rechtlicher Rahmen

In dem Wall Street Journal-Artikel, auf den sie sich bezog, hieß es, chinesische Hacker hätten „die Abhörportale (Abhörsysteme) kompromittiert, die nach US-Recht vorgeschrieben sind“ – und warnte: „Denken Sie daran, wenn eine Regierung das nächste Mal Hintertüren für die Verschlüsselung verlangt.“

Die Geschichte ist auch eine gute Erinnerung daran, wie Abhörsysteme für Telekommunikations- und Internetanbieter in den USA funktionieren.

Das 1994 verabschiedete Gesetz zur Unterstützung der Strafverfolgung (Communications Assistance for Law Enforcement Act, CALEA) ermöglichte es den Strafverfolgungsbehörden, der damals aufstrebenden Mobiltelefonbranche abzuhören. Und nun scheint jemand diese ohne richterliche Anordnung abgehört zu haben – zumindest ohne eine solche, die von US-Gerichten ausgestellt wurde.

CALEA soll die „Erleichterung der Weitergabe von Kundendaten an (US-) Strafverfolgungsbehörden und Regierungen“ ermöglichen. Das bedeutet, dass Internet- und Telekommunikationsanbieter Zugang zu den Daten ihrer Kunden haben, bis zum Datenverkehr und zum Browserverlauf, und dass diese Daten, wenn sie angefordert werden, an – nun ja, die Gesetzeshüter gehen.

Dies ist ein weiteres dieser Gesetze, die vor Jahrzehnten erlassen wurden, in den Anfängen dessen, was wir heute als Internet kennen, und des Netzes von Diensten und Plattformen, die sich schnell darauf ausgebreitet haben.

In den Berichten wird auch darauf hingewiesen, dass sich die „Untersuchung“ noch im Anfangsstadium befindet. Sollte sich jedoch herausstellen, dass die Chinesen dahinterstecken – wer weiß, ob ein Gericht dies tatsächlich genehmigt hat oder ob eine Regierung dahintersteckt.

Aber, um Whittakers Standpunkt neu zu formulieren, dieses Mal sind es nicht die USA.

Die Schlussfolgerung daraus könnte sein, dass es an der Zeit ist, nicht mehr von „den Guten“ zu sprechen – oder die Botschaft neu zu definieren -, wenn es darum geht, scheinbar ganz nonchalant und um der Tagespolitik willen die Verschlüsselung zu untergraben, auf die jeder im Internet für Sicherheit und Privatsphäre angewiesen ist.

Es ist schließlich keine Raketenwissenschaft, sondern nur guter (technischer) Verstand: Die Guten sind diejenigen, die für eine starke Verschlüsselung eintreten. Die Bösen sind diejenigen, die sie schwächen wollen – oder sie bereits durch obskure Gesetze geschwächt haben, wie jenes, an das die Amerikaner jetzt durch die Berichterstattung über den angeblichen chinesischen Hack erinnert werden.

Auf der einen Seite der Verschlüsselungsdebatte stehen Beamte, die auf Verschlüsselungshintertüren drängen, umhüllt von der beruhigenden Rhetorik der „nationalen Sicherheit“ und „Verbrechensverhütung“. Allerdings schreit jeder, der auch nur einen Funken Ahnung davon hat, wie digitale Sicherheit funktioniert, aus voller Kehle: „Tut das nicht, ihr Idioten!“ Aber hey, wann hat sich der gesunde Menschenverstand jemals gegen staatliche Vorschriften gewehrt?

Der rutschige Abhang des Zugangs

Lassen Sie uns eines klarstellen. In dem Moment, in dem man eine Hintertür in die Verschlüsselung einbaut, könnte man genauso gut jedem Hacker, Schurkenstaat und gelangweilten Teenager mit einem Laptop und einem Groll die Schlüssel in die Hand drücken. Die Idee, dass eine Hintertür nur für die „Guten“ gebaut werden könnte, ist so wertvoll, dass sie in Gold gerahmt und auf Etsy als Retro-Relikt politischer Naivität verkauft werden sollte.

Die Geschichte lehrt uns, was passiert, wenn man die falsche Tür öffnet – jeder kommt hereinspaziert. Erinnern Sie sich, als 2017 die Hacking-Tools der NSA „versehentlich“ durchsickerten? Dieses kleine Missgeschick löste eine weltweite Welle von Ransomware-Angriffen aus, die Krankenhäuser, Unternehmen und Regierungen gleichermaßen lahmlegten. Wenn die bestfinanzierte Spionagebehörde der Welt ihr Spielzeug nicht unter Verschluss halten kann, wie genau soll dann diese Hintertür nur für „autorisiertes Personal“ zugänglich sein?

Nein, sobald Sie ein System kompromittieren – wie edel Ihre Gründe auch sein mögen – haben Sie die Schlüssel des Internets an jeden übergeben, der das Schloss knacken kann. Und glauben Sie mir, es gibt immer jemanden, der das kann.

Die finanzielle Apokalypse, die Sie bestellt haben, ist auf dem Weg

Lassen Sie uns über Geld reden. Denn wenn es etwas gibt, das die Menschen aufhorchen lässt, dann ist es der Anblick ihres Kontostandes, der in den Keller geht.

Wir leben in einer Welt, in der alles – wirklich alles – von der Verschlüsselung abhängt. Jeder Online-Einkauf, jedes Geschäftsgeheimnis, jede Finanztransaktion. Multinationale Unternehmen verschlüsseln ihre Daten nicht aus Jux und Tollerei, sondern weil Milliarden von Dollar auf dem Spiel stehen. Wenn man die Verschlüsselung schwächt, schwächt man das Vertrauen in diese Transaktionen, und plötzlich ist es für jeden, der eine schnelle Milliarde stehlen will, ein leichtes Spiel. Hacker werden ihr Unwesen treiben, und die Unternehmen werden schneller Geld verlieren, als sie die Löcher flicken können. Vertrauen? Verschwunden. Und damit auch Billionen von Dollar an wirtschaftlicher Stabilität. Aber sicher, ein paar Hintertüren zur Verbrechensbekämpfung. Das ist es doch wert, oder?

Privatsphäre vs. Sicherheit: Die falsche Wahl, die jeder gerne trifft

Für diejenigen, die mitzählen: Hier kommt das klassische Argument „Wir müssen uns zwischen Privatsphäre und Sicherheit entscheiden“. Spoiler-Alarm: Es ist keine Wahl. In der Tat ist es die unaufrichtigste falsche Dichotomie, die es gibt. Die Behauptung, dass wir unser Privatleben der Sicherheit zuliebe aufgeben müssen, ist so alt wie falsch. Es ist nicht nur faul, es ist gefährlich.

Die Sache ist die: Eine starke Verschlüsselung schützt beides. Das ist die Pointe. Sie müssen sich nicht entscheiden! Eine solide Verschlüsselung hält die Bösewichte von Ihren E-Mails fern und, ach ja, hält sie auch von kritischen Infrastrukturen fern. Denken Sie an Stromnetze, Wassersysteme, Atomkraftwerke – solche Kleinigkeiten. Und jedes Mal, wenn jemand diesen „Privatsphäre vs. Sicherheit“-Quatsch auftischt, versucht er in Wirklichkeit, die Aufmerksamkeit von der Tatsache abzulenken, dass eine starke Verschlüsselung beides möglich macht. Eine Schwächung der Verschlüsselung erhöht nicht die Sicherheit – sie zerstört sie, für jeden.

Wenn das Vertrauen stirbt, geht das Internet mit ihm

Vergessen wir nicht die kleine Sache des Vertrauens. Sie wissen schon, die Sache, auf der das gesamte Internet aufgebaut sein soll. Wenn wir den Weg der staatlich verordneten Verschlüsselungshintertüren einschlagen, wird der Durchschnittsbürger das Gefühl bekommen, dass er mit einer riesigen Zielscheibe auf dem Rücken herumläuft. Die Menschen werden aufhören, den Online-Diensten zu vertrauen, dass sie ihre Daten sicher aufbewahren. Und was tun die Menschen, wenn sie den Institutionen nicht mehr trauen? Sie suchen nach Alternativen – weniger sichere, gefährlichere Alternativen. Plötzlich sind die Strafverfolgungsbehörden nicht mehr nur hinter kriminellen Drahtziehern her, sondern auch hinter Omas, die VPNs nutzen, um ihren Enkeln Geld zum Geburtstag zu schicken.

In einer Welt, in der jeder paranoid ist und niemand seiner Technik traut, wird das Internet nicht sicherer, sondern chaotischer. Viel Glück für die Strafverfolgungsbehörden.