News 03.10.2013, 08:36 Uhr

Schneier: «Ihr seid alle Freiwild»

An der ISSS-Konferenz in Lausanne hat Security-Guru Bruce Schneier die beunruhigenden Hintergründe des NSA-Skandals aufgezeigt, aber auch mit Lösungsvorschlägen etwas Hoffnung verbreitet.
An ihrer ersten schweizweiten Konferenz über Information Security konnte die ISSS (Information Security Society Switzerland) mit einem echten Highlight aufwarten: «Security-Guru» Bruce Schneier berichtete über seine Erkenntnisse im NSA-Skandal. Der Sicherheits-Experte hatte im Auftrag des Guardian in den letzten Wochen und Monaten Zugang zu den von Edward Snowden geleakten Dokumenten und Unterlagen.
Sein Fazit ist kurz und lässt nur Ungutes erahnen: «Am schlimmsten ist, dass wir nun wissen, was wir alles nicht wissen.»
Trotzdem konnte Schneier einige interessante Details aus dem Abhörskandal berichten, den er auch als Überwachungsskandal ansieht. In diesem Zusammenhang unterstrich Schneier die Wichtigkeit von Metadaten. Denn damit öffnet sich nämlich eine weitere Büchse der Pandora. Schneier bestätigte natürlich auch, dass die NSA Telefonate abgehört und E-Mails mitgelesen hat, also auch Interesse an den Inhalten selbst gezeigt habe. Daneben werden aber auch eine Menge Metadaten gesammelt, also Informationen zu den Telefonverbindungen, den Internetabfragen oder zum E-Mail-Verkehr. Die Krux dabei: «Während Telefonate oder andere Inhalte nur drei Tage auf Verdacht aufbewahrt werden, speichert die NSA Metadaten viel länger, zwischen 3 Monaten und 15 Jahren», sagt Schneier. Er warnte deshalb davor, den Fakt, dass es sich «nur» um Metadaten handle, herunterzuspielen. Denn mit diesen Informationen könne man ein umfassendes Überwachungssystem aufbauen und bräuchte nicht einmal technisch sonderlich versiert zu sein, da Metadaten meist unverschlüsselt vorlägen.
Auch über das Ausmass der Sammeltätigkeit konnte Schneier die Konferenzteilnehmer ins Bild setzen. Laut des Sicherheitsgurus ist nichts von dem Geheimdienst sicher. Dieser sammelt fast alles, was elektronisch verfügbar ist. Dabei empört sich Schneier besonders über die derzeit in den USA laufende Diskussion. «Wir reden derzeit darüber, ob es nicht illegal sei, Amerikaner in dieser Art und Weise auszuhorchen», gibt er zu bedenken, und folgert - an das Schweizer Publikum im Saal - gerichtet: «Ihr seid also Freiwild!»
Am Beispiel des belgischen Telekomanbieters Belgacom führte Schneier daraufhin aus, wie die NSA vorging. «Wir reden hier darüber, dass die USA ein befreundetes Land ausspioniert hat, nämlich Belgien», erklärt er. Anscheinend nutzte der Dienst das Backbone, um seine Abhöraktionen zu starten und wo die US-Horch-und-Guck nicht weiter wusste, seien die Endpunkte gehackt worden. Noch wisse man nicht genau, wie die NSA in den Besitz der Daten kam. Schneier vermutet aber, dass der Dienst direkten Zugang auf die Datensammlungen von Google und anderen erhalten haben oder sich beschafft haben muss. «Es gibt also Sammlungen grosser Datenhaufen wie etwa Mobilfunkgespräche in den USA, die dann durch Analyseverfahren gejagt und ausgewertet wurden», präzisiert er.

Geschwächte Kryptoverfahren

Schneier ging dann auf einige technische Aspekte des Skandals ein. «Es ist ziemlich deutlich, dass die NSA die Kryptografie aktiv geschwächt hat. Das ist ein Schlag ins Gesicht für all jene, die während Jahrzehnten daran gearbeitet haben, solche System sicherer zu machen.» Daneben sei nun gewiss, dass die NSA bei US-Herstellern sogenannte Hintertüren eingebaut hat. «Wir wissen derzeit nicht, bei welchen Herstellern dies konkret geschehen ist, sondern nur, dass es Backdoors gegeben haben muss.» Das Problem sei dabei, dass die Firmen sich hinter dem Betriebsgeheimnis verstecken könnten.
Als Beispiel erwähnt Schneier das Verschlüsselungsprogramm BitLocker von Microsoft. Zwar könne er nicht zu hundert Prozent sicher sein, er vermute aber, dass die Software eine Backdoor habe. Schliesslich seien Microsoft-Agenten von NSA-Beamten kontaktiert worden.
Des Weiteren werde vermutet, dass die NSA die Verschlüsselungsverfahren selbst geschwächt habe, vor allem solche, die auf elliptischen Kurven basieren. So vermutet Schneier, dass der Geheimdienst bei der Wahl der öffentlichen Kurven die Hand im Spiel hatte. Zudem hätten die US-Spione bei der Faktorisierung Fortschritte gemacht. Allerdings sei nicht klar, ob dies reiche, um heute gebräuchliche Schlüssellängen zu knacken. Plausibel ist für Schneier schliesslich, dass das Kryptoverfahren RC4 attackiert worden ist.
Allerdings kann Schneier auch beruhigen. So räumt er ein, dass «die Mathematik in vielen Fällen noch sicher ist». Das Problem sei vielmehr, dass Hintertüren in den Programmen steckten, die diese Verschlüsselungsverfahren verwenden. Damit würden die besten Schlüssel zunichte gemacht.

Die NSA als Man in the Middle

Die grösste Gefahr geht laut Schneier von der NSA aus, weil sie auf dem Internetbackbone sitzt und eine grossangelegte Man-in-the-Middle-Attacke durchführt. «Sie können dabei schneller auf eine Webanfrage antworten, als die Webseite selbst», sagt er. Schneier erwähnt die Recherche einer brasilianischen Newsseite, die eine Man-in-the-Middle-Attacke der NSA gegen Google aufgezeigt hat. «Sie müssen verdammt schnell sein, um schneller zu sein als Google», kommentiert er.
Die NSA verwende dabei eine ähnliche Methode wie China in ihrer «grossen Firewall». Wenn jemand in China einen unliebsamen Begriff google, werde die Antwort geblockt - und zwar schneller, als Google das Ergebnis servieren könne. «Wir haben nun Beweise, dass die NSA genau dies auch macht.»

Gegenmassnahmen

Schneier resigniert ob der Beweislast keineswegs. «Als Techniker frage ich mich nun: Wie reparieren wir das?», will er wissen und bringt gleich auch Lösungsvorschläge, «um das Internet wieder für alle sicherer zu machen».
Eine grosse Rolle spielen laut Schneier dabei die Verschlüsselungstechniken - trotz der Schwächung durch die NSA. Mithilfe von Organisationen wie der IETF und der ITU werde man versuchen, Verschlüsselung breiter zu implementieren. «Die NSA-Erfahrung hat uns nämlich gelehrt, dass wir es dem Geheimdienst zu einfach gemacht haben, wir haben zu viele Informationen offen ausgebreitet.»
Ein weiterer Punkt sei die Architektur des weltweiten Internets. Zu viele Wege würden über die USA geführt. «Routing wird ein wichtiger Punkt, um den Zugriff der NSA zumindest zu erschweren», postuliert Schneier und nennt als Beispiel Brasilien, das nun eine direkte Internetverbindung nach Europa legen wird. «Heute wird der komplette Internetverkehr des Landes über Florida geroutet», erklärt er.
Daneben plädiert er für mehr Transparenz, sprich für Open-Source-Software. «Es ist viel schwieriger, in quelloffener Software eine Backdoor unterzubringen», meint er, und zwar aus zweierlei Gründen: So gibt es ihm zufolge keine zentrale Unternehmensleitung, der man mehr oder weniger offen befehlen kann, dies oder jenes einzubauen. Open-Source-Projekte sind dagegen recht lose organisiert. Zudem ist es wahrscheinlicher, dass jemand aus der Open-Source-Community die Backdoor aufdeckt.
Schliesslich hofft er auch auf ökonomischen Druck auf US-Firmen gerade von europäischen Anwendern, die sich weigern, ihre Daten bei US-Firmen zu verstauen oder US-Produkte wegen der Backdoor-Gefahr meiden. Auch von juristischer Seite erhofft sich Schneier eine Druckerhöhung.



Kommentare
Avatar
aandima
06.10.2013
Sicherheit kontra Kosten und Zeitaufwand Jeder der schon mal eine Webseite aufgesetzt hat, der wird im Verlauf der Monate Erfahrungen mit Hackern und Trollen gemacht haben. Wer seine Seite absichern möchte, der muss mit der Zeit erkennen, Sicherheit ist ein Kostenfaktor und es benötigt Zeit und Wissen um das einzurichten. Mit dem Auftreten der Geheimdienste auf dem öffentlich wahrgenommenen Markt der Hacker wird nun vieles noch schwieriger und teurer. Ich vermute jetzt mal aus dem Bauch gerechnet, die Kosten welche Konzerne und Private in Zukunft (zusätzlich) ausgeben müssen um sich zu schützen, gehen Weltweit in viele Milliarden. Gute Technologie wird somit auch teurer, ganz zu schweigen von den Kosten für gut ausgebildetes Personal um das alles einzurichten. Adobe, Microsoft, Google, Apple und andere US -Konzerne müssen umdenken, die Cloud muss wohl "neu erfunden" werden, oder das Konzept wird sich in Zukunft als unrentabel erweisen. Die Nutzung von US Sicherheitsrichtlinien mit denen solche Netzwerke und Server heute noch geschützt werden, lösen bei Kunden "seit Snowden" eher Paranoia als das Gefühl von Sicherheit aus. Somit trägt die NSA und andere Geheimdienste dazu bei, dass sich der Umgang mit der latent vorhandenen Finanzkrise der Weltwirtschaft nochmals kompliziert hat. Neben der Regulierung von Banken ist aus meiner Sicht die Politik gut beraten auch diesen Datensammlern auf die Finger zu klopfen. Und dass die NSA "to big to fail" sei würde ich nicht als Ausrede anerkennen, zumal das auch bei den Banken noch immer höchst umstritten ist.