Wieviel Sicherheit bleibt?

Die aktuelle Erkenntnis aus den Dokumenten von Edward Snowden trägt den Namen Bullrun und bezeichnet nicht weniger als den systematischen und recht erfolgreichen Versuch der NSA, weltweit verschlüsselte Kommunikation zu entziffern. Wie kann das gehen?

Auch die NSA kann nicht zaubern. Die mathematischen Verfahren, die moderner Verschlüsselung zugrunde liegen, sind weiterhin ungebrochen. Entgegen der Berichterstattung in den Medien sind Verfahren wie SSL und HTTPS nicht grundsätzlich fehlerhaft, auch die NSA kann eine mit ausreichend starkem SSL-Schlüssel geschützte Nachricht nicht zeitnah knacken. Was die NSA aber sehr wohl beherrscht, ist ein Arsenal von Methoden, durch die die Agency in den Besitz von nötigen Schlüsseln kommt oder gleich die Verschlüsselung komplett umgeht oder unwirksam macht. Zu den Methoden gehören:

  • Einfügen von Backdoors in Hardware, zB Verschlüsselungskomponenten, Firewalls und Router
  • Einfügen von Backdoors in Software, zB Betriebssysteme oder Anwendungen
  • Kompromittieren von Certificate Agencies (CAs), also den weltweit wenigen Ausstellern von als vertrauenswürdig markierten Wurzelzertifikaten
  • Kompromittieren von Infrastruktur wie Überseekabel für Lauschaktionen oder man-in-the-middle Attacken.
  • Kompromittieren der Arbeit von Standardisierungsgremien mit dem Ziel, NSA-freundliche Verfahren zu empfehlen

Dabei ist die NSA nicht zimperlich und scheint auch vor Spionage und (politisch legitimierter) Erpressung nicht zurückzuschrecken: Wir müssen folglich bei einer Risikoanalyse davon ausgehen, dass jeder Hersteller von integrierten Schaltkreisen (zB Intel, Texas Instruments), jeder Hardwarehersteller (zB Cisco, CheckPoint), jeder Hersteller von Betriebssystemen oder Anwendungen (zB Microsoft, Apple, Google, RIM, Facebook) und auch alle größeren ISP als Betreiber der Infrastruktur des Internets mit der NSA oder ihrem britischen Partnerdienst GCHQ kooperieren, ob sie wollen oder nicht, sobald sie Geschäfte in den USA oder Großbritannien machen. Das lässt nur einen Schluß zu:

Sie können Vertrauen nicht kaufen

Wer sich auf andere verlässt, um seine privaten Daten zu schützen, der ist verlassen. Wenn auf einer Übertragungsstrecke auch nur ein einziger Streckenteil nicht vertrauenswürdig ist, dann ist die gesamte Kette nicht vertrauenswürdig. "Schutz der eigenen Daten" ist keine Aufgabe, die man aus der Hand geben kann.

Mir begegnet diese Diskussion bei meinen Kunden nicht selten in der Form von Überlegungen, wichtige Infrastruktur wie Email oder VoIP an externe Dienstleister auszulagern. Die Motivation ist nicht selten die vermeintlich hohen Kosten für eigenes Personal, Hardware und Software. Diverse Dienstleister (zB Microsoft oder Google) locken mit technisch umfangreichen Angeboten bei gleichzeitig geringen monatlichen Kosten. Der Preis, den man bezahlt, ist jedoch der vollständige Kontrollverlust über die Daten des eigenen Unternehmens. Egal, was Ihnen Microsoft oder Google versprechen: Sie werden Sie nicht schützen.

Sie haben nichts zu verbergen?

Wer dieses Universalargument bemüht, dem empfehle ich, einfach fortan alle Emails und andere Dokumente offen für jedermann bereitzuhalten. Wer das als Wahnsinn ablehnt, der sollte mal über mögliche Konsequenzen nachdenken, die die Totalüberwachung aufgrund des Kontrollverlustes für hiesige Firmen heute schon haben kann:

  • Abwerben von Mitarbeitern
  • Ausspionieren von Geschäftsgeheimnissen
  • plötzliche bürokratische Hürden wie Ermittlungsverfahren, zB Einträge auf der no-fly-Liste… auf der Basis fehlerhafter Ermittlungen
  • Persönliche Haftung der Geschäftsführung für aus dem outsourcing entstandene Sicherheitslücken
  • entgangener Umsatz und Gewinn

Holen Sie sich die Eigenständigkeit zurück!

Geben Sie die Kontrolle nicht leichtfertig aus der Hand. Investieren Sie in die Aufrechterhaltung der eigenen Handlungsfähigkeit, indem Sie in geschultes Personal investieren. Dazu gehört auch "selber machen": Es ist zwar nicht mehr en vogue, aber durchaus nicht sinnlos, Software für spezielle Zwecke selbst zu entwickeln. Jeder Betrieb mit einer größeren Fahrzeugflotte unterhält eine eigene Kfz-Werkstatt, aber warum haben Firmen, die vollständig auf IT angewiesen sind, trotzdem kaum eigene Entwickler?

Investieren Sie in Mitarbeiterschulungen, um die Sensibilität der eigenen Mitarbeiter gegenüber Sicherheitsrisiken zu erhöhen. Wer eine SSL-Warnung am Browser achtlos wegklickt, handelt fahrlässig. Wer die Software seiner Geräte nicht auf dem aktuellsten Stand hält, riskiert die Sicherheit des gesamten Netzwerks.

Investieren Sie in organisatorisch solide Sicherheits-Infrastruktur: Es mag aufwändig und kompliziert sein, eigene Zertifikate zu verwalten, dies stellt aber eine wirkungsvolle Möglichkeit gegen zahlreiche Varianten der Überwachung dar. Man muss es nur (richtig) tun.

Zu guter Letzt kann ich nur raten, nicht auf individuelle Organisationen und deren Integrität zu vertrauen, sondern auf Gemeinschaften. Kaufen Sie nicht Serversoftware bei Microsoft, um "endlich Ruhe zu haben", sondern untersuchen Sie die Verwendung von Linux und den Aufbau eigener Ressourcen in diesem Bereich. Dazu möchte ich auch auf den äteren Artikel Investieren Sie in OpenSource verweisen.

Gehen wir es an!