News
03.10.2013, 08:36 Uhr
Schneier: «Ihr seid alle Freiwild»
An der ISSS-Konferenz in Lausanne hat Security-Guru Bruce Schneier die beunruhigenden Hintergründe des NSA-Skandals aufgezeigt, aber auch mit Lösungsvorschlägen etwas Hoffnung verbreitet.
An ihrer ersten schweizweiten Konferenz über Information Security konnte die ISSS (Information Security Society Switzerland) mit einem echten Highlight aufwarten: «Security-Guru» Bruce Schneier berichtete über seine Erkenntnisse im NSA-Skandal. Der Sicherheits-Experte hatte im Auftrag des Guardian in den letzten Wochen und Monaten Zugang zu den von Edward Snowden geleakten Dokumenten und Unterlagen.
Sein Fazit ist kurz und lässt nur Ungutes erahnen: «Am schlimmsten ist, dass wir nun wissen, was wir alles nicht wissen.»
Trotzdem konnte Schneier einige interessante Details aus dem Abhörskandal berichten, den er auch als Überwachungsskandal ansieht. In diesem Zusammenhang unterstrich Schneier die Wichtigkeit von Metadaten. Denn damit öffnet sich nämlich eine weitere Büchse der Pandora. Schneier bestätigte natürlich auch, dass die NSA Telefonate abgehört und E-Mails mitgelesen hat, also auch Interesse an den Inhalten selbst gezeigt habe. Daneben werden aber auch eine Menge Metadaten gesammelt, also Informationen zu den Telefonverbindungen, den Internetabfragen oder zum E-Mail-Verkehr. Die Krux dabei: «Während Telefonate oder andere Inhalte nur drei Tage auf Verdacht aufbewahrt werden, speichert die NSA Metadaten viel länger, zwischen 3 Monaten und 15 Jahren», sagt Schneier. Er warnte deshalb davor, den Fakt, dass es sich «nur» um Metadaten handle, herunterzuspielen. Denn mit diesen Informationen könne man ein umfassendes Überwachungssystem aufbauen und bräuchte nicht einmal technisch sonderlich versiert zu sein, da Metadaten meist unverschlüsselt vorlägen.
Auch über das Ausmass der Sammeltätigkeit konnte Schneier die Konferenzteilnehmer ins Bild setzen. Laut des Sicherheitsgurus ist nichts von dem Geheimdienst sicher. Dieser sammelt fast alles, was elektronisch verfügbar ist. Dabei empört sich Schneier besonders über die derzeit in den USA laufende Diskussion. «Wir reden derzeit darüber, ob es nicht illegal sei, Amerikaner in dieser Art und Weise auszuhorchen», gibt er zu bedenken, und folgert - an das Schweizer Publikum im Saal - gerichtet: «Ihr seid also Freiwild!»
Am Beispiel des belgischen Telekomanbieters Belgacom führte Schneier daraufhin aus, wie die NSA vorging. «Wir reden hier darüber, dass die USA ein befreundetes Land ausspioniert hat, nämlich Belgien», erklärt er. Anscheinend nutzte der Dienst das Backbone, um seine Abhöraktionen zu starten und wo die US-Horch-und-Guck nicht weiter wusste, seien die Endpunkte gehackt worden. Noch wisse man nicht genau, wie die NSA in den Besitz der Daten kam. Schneier vermutet aber, dass der Dienst direkten Zugang auf die Datensammlungen von Google und anderen erhalten haben oder sich beschafft haben muss. «Es gibt also Sammlungen grosser Datenhaufen wie etwa Mobilfunkgespräche in den USA, die dann durch Analyseverfahren gejagt und ausgewertet wurden», präzisiert er.
Geschwächte Kryptoverfahren
Schneier ging dann auf einige technische Aspekte des Skandals ein. «Es ist ziemlich deutlich, dass die NSA die Kryptografie aktiv geschwächt hat. Das ist ein Schlag ins Gesicht für all jene, die während Jahrzehnten daran gearbeitet haben, solche System sicherer zu machen.» Daneben sei nun gewiss, dass die NSA bei US-Herstellern sogenannte Hintertüren eingebaut hat. «Wir wissen derzeit nicht, bei welchen Herstellern dies konkret geschehen ist, sondern nur, dass es Backdoors gegeben haben muss.» Das Problem sei dabei, dass die Firmen sich hinter dem Betriebsgeheimnis verstecken könnten.
Als Beispiel erwähnt Schneier das Verschlüsselungsprogramm BitLocker von Microsoft. Zwar könne er nicht zu hundert Prozent sicher sein, er vermute aber, dass die Software eine Backdoor habe. Schliesslich seien Microsoft-Agenten von NSA-Beamten kontaktiert worden.
Des Weiteren werde vermutet, dass die NSA die Verschlüsselungsverfahren selbst geschwächt habe, vor allem solche, die auf elliptischen Kurven basieren. So vermutet Schneier, dass der Geheimdienst bei der Wahl der öffentlichen Kurven die Hand im Spiel hatte. Zudem hätten die US-Spione bei der Faktorisierung Fortschritte gemacht. Allerdings sei nicht klar, ob dies reiche, um heute gebräuchliche Schlüssellängen zu knacken. Plausibel ist für Schneier schliesslich, dass das Kryptoverfahren RC4 attackiert worden ist.
Allerdings kann Schneier auch beruhigen. So räumt er ein, dass «die Mathematik in vielen Fällen noch sicher ist». Das Problem sei vielmehr, dass Hintertüren in den Programmen steckten, die diese Verschlüsselungsverfahren verwenden. Damit würden die besten Schlüssel zunichte gemacht.
Die NSA als Man in the Middle
Die grösste Gefahr geht laut Schneier von der NSA aus, weil sie auf dem Internetbackbone sitzt und eine grossangelegte Man-in-the-Middle-Attacke durchführt. «Sie können dabei schneller auf eine Webanfrage antworten, als die Webseite selbst», sagt er. Schneier erwähnt die Recherche einer brasilianischen Newsseite, die eine Man-in-the-Middle-Attacke der NSA gegen Google aufgezeigt hat. «Sie müssen verdammt schnell sein, um schneller zu sein als Google», kommentiert er.
Die NSA verwende dabei eine ähnliche Methode wie China in ihrer «grossen Firewall». Wenn jemand in China einen unliebsamen Begriff google, werde die Antwort geblockt - und zwar schneller, als Google das Ergebnis servieren könne. «Wir haben nun Beweise, dass die NSA genau dies auch macht.»
Gegenmassnahmen
Schneier resigniert ob der Beweislast keineswegs. «Als Techniker frage ich mich nun: Wie reparieren wir das?», will er wissen und bringt gleich auch Lösungsvorschläge, «um das Internet wieder für alle sicherer zu machen».
Eine grosse Rolle spielen laut Schneier dabei die Verschlüsselungstechniken - trotz der Schwächung durch die NSA. Mithilfe von Organisationen wie der IETF und der ITU werde man versuchen, Verschlüsselung breiter zu implementieren. «Die NSA-Erfahrung hat uns nämlich gelehrt, dass wir es dem Geheimdienst zu einfach gemacht haben, wir haben zu viele Informationen offen ausgebreitet.»
Ein weiterer Punkt sei die Architektur des weltweiten Internets. Zu viele Wege würden über die USA geführt. «Routing wird ein wichtiger Punkt, um den Zugriff der NSA zumindest zu erschweren», postuliert Schneier und nennt als Beispiel Brasilien, das nun eine direkte Internetverbindung nach Europa legen wird. «Heute wird der komplette Internetverkehr des Landes über Florida geroutet», erklärt er.
Daneben plädiert er für mehr Transparenz, sprich für Open-Source-Software. «Es ist viel schwieriger, in quelloffener Software eine Backdoor unterzubringen», meint er, und zwar aus zweierlei Gründen: So gibt es ihm zufolge keine zentrale Unternehmensleitung, der man mehr oder weniger offen befehlen kann, dies oder jenes einzubauen. Open-Source-Projekte sind dagegen recht lose organisiert. Zudem ist es wahrscheinlicher, dass jemand aus der Open-Source-Community die Backdoor aufdeckt.
Schliesslich hofft er auch auf ökonomischen Druck auf US-Firmen gerade von europäischen Anwendern, die sich weigern, ihre Daten bei US-Firmen zu verstauen oder US-Produkte wegen der Backdoor-Gefahr meiden. Auch von juristischer Seite erhofft sich Schneier eine Druckerhöhung.
Eine grosse Rolle spielen laut Schneier dabei die Verschlüsselungstechniken - trotz der Schwächung durch die NSA. Mithilfe von Organisationen wie der IETF und der ITU werde man versuchen, Verschlüsselung breiter zu implementieren. «Die NSA-Erfahrung hat uns nämlich gelehrt, dass wir es dem Geheimdienst zu einfach gemacht haben, wir haben zu viele Informationen offen ausgebreitet.»
Ein weiterer Punkt sei die Architektur des weltweiten Internets. Zu viele Wege würden über die USA geführt. «Routing wird ein wichtiger Punkt, um den Zugriff der NSA zumindest zu erschweren», postuliert Schneier und nennt als Beispiel Brasilien, das nun eine direkte Internetverbindung nach Europa legen wird. «Heute wird der komplette Internetverkehr des Landes über Florida geroutet», erklärt er.
Daneben plädiert er für mehr Transparenz, sprich für Open-Source-Software. «Es ist viel schwieriger, in quelloffener Software eine Backdoor unterzubringen», meint er, und zwar aus zweierlei Gründen: So gibt es ihm zufolge keine zentrale Unternehmensleitung, der man mehr oder weniger offen befehlen kann, dies oder jenes einzubauen. Open-Source-Projekte sind dagegen recht lose organisiert. Zudem ist es wahrscheinlicher, dass jemand aus der Open-Source-Community die Backdoor aufdeckt.
Schliesslich hofft er auch auf ökonomischen Druck auf US-Firmen gerade von europäischen Anwendern, die sich weigern, ihre Daten bei US-Firmen zu verstauen oder US-Produkte wegen der Backdoor-Gefahr meiden. Auch von juristischer Seite erhofft sich Schneier eine Druckerhöhung.
06.10.2013