Sie sind hier: Startseite > Arbeitsfelder > Spionageabwehr > Archiv  > Archiv 2015 > 31. Chaos Communication Congress (31C3): Warnung von dem „gläsernen Bürger“

Spionageabwehr/Materieller Geheimschutz     2 | 2015

31. Chaos Communication Congress (31C3): Warnung von dem „gläsernen Bürger“

Wie zahlreiche Medien berichteten, veranstaltete der Chaos Computer Club (CCC) vom 27. bis 30. Dezember 2014 zum 31. Mal seinen alljährlichen Kongress. An der Veranstaltung im Congress Center Hamburg nahmen über 10.000 Interessierte teil. Inhaltliche Schwerpunkte des Treffens waren die Art und Weise, wie der US-Geheimdienst National Security Agency (NSA) und seine Partner, z. B. der britische Nachrichtendienst General Communications Headquarters (GCHQ), fremde Codes dechiffrieren. Der Verfassungsschutz weist in seiner Präventionsarbeit seit langem auf die Brisanz jener Herausforderungen hin und zeigt der Wirtschaft verschiedene Optionen auf, um entsprechende Vorkehrungen zum Schutz sensibler Daten zu treffen.

Auf dem „Chaos Communication Congress“ (31C3) wurde hinsichtlich dieses Themenkomplexes dazu aufgerufen, das Internet innerhalb der Netzgemeinde sicherer zu machen. Der Aspekt Kollaboration spielt dabei eine zentrale Rolle. Zum einen wurden neue Erkenntnisse über die Arbeitsweisen der NSA bekanntgemacht, zum anderen wurden Optionen aufgezeigt, wie man sich diesbezüglich möglichst effektiv schützen kann.



1. Gesellschaftliche und technische Schwerpunkte



Gesellschaftliche Leitgedanken



Von besonderem gesellschaftlichem Interesse war für die Kongressteilnehmer die Veröffentlichung einschlägiger Dokumente des ehemaligen NSA-Mitarbeiters Edward Snowden, die in Kooperation mit dem Nachrichtenmagazin „Der Spiegel“ erfolgte. Als politisch interessant erwiesen sich auch Erkenntnisse hinsichtlich juristischer Verpflichtungen von IT-Unternehmen wie Microsoft, die von der NSA gezwungen wurden, Internettelefonie im Klartext weiterzugeben.
Gesellschaftlich bedeutsam ist ebenfalls die Thematisierung von möglichen sozialen Konsequenzen grenzenloser Überwachung. Beispiele dafür sind die Erstellung von individuellen Persönlichkeitsprofilen oder auch die Generierung von Beziehungssoziogrammen. In der Folge besteht die Gefahr, dass „gläserne Bürger“ entstehen. Ebenso wurde bei dem Kongress auf die negativen Seiten hingewiesen, welche von den Werkzeugen ausgehen, die den Nutzer neuer Medien vor Ausspähung schützen sollen. Auch Programme, welche die Verwender von sozialen Medien vor Spionage schützen sollen, haben ihre Schattenseiten: Einmal könnten sich auch Kriminelle dieser Tools bedienen, und ebenso sind technische Schutzverfahren nie mit absoluter Sicherheit gleichzusetzen. Unabhängig von den eingesetzten Abwehrvorkehrungen besteht folglich immer ein Restrisiko, dass Dritte unbefugt Daten abgreifen.



Technische Kernpunkte



Auf der Veranstaltung des CCC wurden die verschiedenen technischen Problemstel-lungen und deren mögliche Lösungen diskutiert. Die maßgeblichen Ausgangspunkte für diese Überlegungen waren die unterschiedlichen Methoden, die der NSA und ihren Partnern für etwaige Spionageaktivitäten zur Verfügung stehen. Zu diesem Späharsenal zählen beispielsweise die sogenannten Backdoors und Abhörimplantate. Die NSA kann zudem spezielle Plattformen, Standards und Zufallszahlengeneratoren unterwandern sowie die rechtliche „Gleichschaltung“ der IT-Wirtschaft vorantreiben.



Vor diesem Hintergrund wurden auf dem Kongress unter anderem die folgenden Aspekte kritisch erörtert. Gängige Verschlüsselungsansätze wie die Protokolle Secure Sockets Layer (SSL) und Point-to-Point Tunneling Protocol (PPTP) sowie Internet Protocol Security (IPSec2) und Secure Shell (SSH) finden bei Webseitenbetreibern Verwendung für den Datenschutz und bei Firmen hinsichtlich VPN-Tunneln (Virtual Private Network). Diese Verfahren wurden von den Geheimdiensten zwar nicht komplett gebrochen, aber über die Einrichtung spezieller Datenbanken ist es möglich, geschützte Kommunikationsströme wie SSL-Handshakes vor der Übergabe von Login-Informationen oder vor verschlüsselten Seitenaufrufen zu speichern. Diese werden dann mit gezielten Brute-Force-Attacken angegangen, bei denen die erforderlichen Zugangsdaten per elektronischem „Durchprobieren“ der möglichen Lösungen ermittelt werden. Zu diesem Zweck betreibt die NSA eigens zwei große Rechenzentren mit dem Decknamen „Longhaul“. Erwähnung fand ebenso die Gesichtserkennungs-Software „Tundra Freeze“, mit der die NSA Bilder aus dem Internet auswertet. In diesem Zusammenhang gibt es Hinweise auf mögliche Angriffsflächen beim vielgenutzten Verschlüsselungsstandard Advanced Encryption Standard (AES). Besonders pikant ist dieser Umstand, da es sich bei AES um eine bedeutende, von der US-Regierung selbst empfohlene Norm handelt.



Darüber hinaus wurde auch darauf hingewiesen, dass proprietäre Krypto-Software von namhaften Unternehmen durch staatliche Einflüsse kompromittiert sein könnte.



Ebenso wurden die Risiken der mobilen Kommunikation anhand der immer häufigeren SS7-Attacken (Signaling System 7) veranschaulicht. Diese Angriffe ermöglichen es, Gespräche umzuleiten, diese mitzuhören oder auch Verschlüsselungscodes auszule-sen. Es besteht im Moment keine Möglichkeit, sich davor zu schützen, da die Befehle lediglich im Netz der Mobilfunkbetreiber ausgeführt werden. Zusätzlich wurde auf be-stehende Sicherheitslücken in gängigen biometriebasierten Systemen hingewiesen. Es wurde der Nachweis erbracht, dass in Einzelfällen ein Digitalfoto von Fingerkuppe oder Iris ausreicht, um die jeweiligen Zugangskontrollen zu überlisten. Die Verifizierung einer elektronischen Kartenzahlung mittels PIN wurde ebenfalls als unsicher deklariert, da es möglich ist, diese zu attackieren und z. B. auch dann eine PIN vorzugaukeln, wenn im Vorfeld keine Karte geklont wurde.



Auf dem Kongress des CCC wurden jedoch auch einige Empfehlungen ausgesprochen, welche die Arbeit für die NSA und andere Geheimdienste zumindest erschweren. Dazu zählen exemplarisch aufgeführt die Verschlüsselungsformen Off the Record Messaging (OTR) und Z Real-Time Transport Protocol (ZRTP). Bei dem Protokoll OTR handelt es sich um eine Ende-zu-Ende-Verschlüsselung, die in Instant-Messaging-Programmen Verwendung findet. ZRTP ist ein VoIP-Standard (Voice over IP) und wird von Open-Source-Apps zur Internettelefonie wie „Red Phone“ oder „Signal“ benutzt. Dieses Sys-tem soll, insbesondere in Verbindung mit dem Anonymisierungsdienst The Onion Router (TOR), äußerst schwer zu überwinden sein. Darüber hinaus wurde auf der Veran-staltung für die E-Mail-Verschlüsselung mittels Pretty Good Privacy (PGP) oder der of-fenen Variante Gnu Privacy Guard (GnuPG) geworben. Der CCC wies in diesem Zu-sammenhang auch auf die Krypto-Software Truecrypt hin.



2. Stand der IT-Sicherheit in der Wirtschaft



Das Sicherheitsniveau von industriellen Steuerungsanlagen und IT-Komponenten ist in der hiesigen Wirtschaftslandschaft oft erschreckend niedrig, so dass z. B. Passwörter aufgrund fehlender IT-Sicherheitskonzepte leicht decodiert werden können. Ein aktuelles Beispiel für einen erfolgreichen Angriff ist das Auslesen oder Überschreiben der Firmware eines Gerätes. Zusätzlich ergab sich in der Vergangenheit eine Sicherheitslü-cke, als ein Hersteller auf eine veraltete OpenSSL-Version patchte; dadurch wurde der Webserver einer Steuerschnittstelle für „Heartbleed“-Attacken verwundbar, bei denen der Angreifer umfassend die vorhandenen Daten entschlüsseln kann. Die Wirtschaft reagiert nur langsam auf Empfehlungen des Bundesamts für Sicherheit in der Informati-onstechnik (BSI), das unter anderem auch zur Erstellung von Sicherheitskonzepten rät.



In diesem Zusammenhang ist auch darauf hinzuweisen, dass Industrieanlagen früher nur selten mit den öffentlichen Netzen verbunden waren. Infolgedessen spielten IT-Sicherheitsaspekte in der Vergangenheit eine eher untergeordnete Rolle. Heute gibt es in der Praxis viele Beispiele für erfolgreiche Angriffe, die aber von der Industrie nur sel-ten öffentlich gemacht werden. Das BSI erwähnte in seinem Jahresbericht 2014 erst-mals eine Attacke auf ein deutsches Stahlwerk, bei der die Produktionsanlage schwer beschädigt wurde. Ein anderer Zwischenfall, der nachträglich digitalen Angreifern zuge-ordnet werden konnte, war die Explosion einer Pipeline in der Türkei.



3. Ausblick auf die IuK-Sicherheit 2015



Abseits der Präsentation neuer Verschlüsselungstechniken muss eines in aller Deut-lichkeit festgestellt werden: Insbesondere die Wirtschaft sollte die – nahezu im Tages-rhythmus erscheinenden – Enthüllungen über die NSA und andere Geheimdienste zum Anlass nehmen, sich fortwährend mit dem Thema Informationssicherheit auseinanderzusetzen.



4. Ratschläge des Verfassungsschutzes



IT-Sicherheit ist am wirtschaftsstarken und hochtechnisierten Standort Deutschland und insbesondere in Baden-Württemberg mit seinen innovationsstarken Unternehmen ein zentrales Thema. Unabhängig von den Enthüllungen des CCC rät das Landesamt für Verfassungsschutz Baden-Württemberg ausdrücklich zur Verwendung aller legal mögli-chen Schutz- bzw. Chiffriermethoden, um jedwedem unlauteren Informationsabfluss vorzubeugen. Sinn und Berechtigung dieser Maßnahmen ergeben sich nicht zuletzt aus der Konklusion der oben beschriebenen Schwierigkeiten, welche Geheimdienste bei komplexen und intelligent aufgebauten Verschlüsselungsmaßnahmen haben.