Die vom Konsortium Pegasus Project publizierten Informationen über den systematischen Missbrauch ihrer Überwachungssoftware für Smartphones zeigen deutlich, dass zügellose Überwachung von organisierter Kriminalität kaum zu unterscheiden ist.
Sicherheitsexpertinnen und Sicherheitsexperten warnen zunehmend vor dem Horten unbekannter Sicherheitslücken durch Firmen, die Spionageprodukte entwickeln. Informationssicherheit für Gesellschaft, Behörden und Wirtschaft sind mit der Existenz solcher Werkzeuge unvereinbar. Darüber hinaus stellen sie eine Bedrohung für die nationale Sicherheit eines jeden Landes dar. Ein echter Standortvorteil für Europa ist nur durch konsequente IT-Sicherheit zu halten.
Kampf um Kommunikationsinhalte
Seit den ersten Diskussionen um die Verfügbarkeit starker Verschlüsselung für Privatpersonen und Firmen ist die Sicherheit digitaler Kommunikation heiss umkämpft. Die US-amerikanische Regierung wollte in den 1990er Jahren Zugriff auf Nachrichten und Gespräche von Kommunikationsanbietern gesetzlich verankern. Dies scheiterte am Widerstand von Wirtschaft und Bürgerrechtsorganisationen. Im Zuge der Diskussion entstanden Projekte wie beispielsweise Pretty Good Privacy (PGP), die die übermittelten Inhalte stark verschlüsselten.
Die Bestrebungen der US-Regierung, Verschlüsselung für private Kommunikation zu verbieten, scheiterte ebenso. Die zunehmende Verbreitung von portablen Computern und die Explosion der Messenger Dienste hat spätestens seit den Enthüllungen Edward Snowdens zu einer enormen Verbreitung von verschlüsselten Technologien in Produkten geführt. Dieser Gewinn an Sicherheit steht jetzt wieder auf dem Spiel. Bedroht ist er durch die Einführung von Hintertüren in Form von Nachschlüsseln durch neue Gesetzesinitiativen, ganz analog zu dem Vorstoß in den 1990ern.
Rechtsstaatlichkeit als Bedrohung
Wenn Verschlüsselung keine Hintertüren oder absichtliche Schwächen hat, so kann man immer versuchen Nachrichten auf Endgeräten zu kopieren bevor sie verschlüsselt werden. Dazu ist es notwendig die Sicherheit des Endgeräts zu brechen, um Zugriff zu erlangen. Die so kompromittierten Computer, Smartphones und Tablets werden dann mit Hilfe von Schadsoftware ausgelesen. Die Spionagesoftware Pegasus der NSO Group schlägt diesen Weg ein. Die Infektion geschieht mit Hilfe von vermeintlich echten Nachrichten und durch Ausnutzung unbekannter Sicherheitslücken. Die Qualität von Pegasus ist dabei sehr hoch. Spuren auf infizierten Geräten zu finden ist sehr schwierig.
Solche Produkte existieren, weil es eine Nachfrage nach Überwachungswerkzeugen gibt. Hersteller dieser Applikationen beteuern, dass sie nur an Behörden verkaufen. Damit wäre theoretisch eine Rechtssicherheit hergestellt, aber im Anbetracht der 193 Staaten, die Mitglieder der Vereinten Nationen (UNO) sind, sagt das nicht viel aus. Liest man die publizierte Liste von 50.000 Telefonnummern, so finden sich darin einige plausible strategische Ziele für bestimmten Länder. Emmanuel Macron ist ein prominentes Beispiel. Sicherheitsexpertinnen, Sicherheitsexperten und an die 150 Organisationen aus der Zivilgesellschaft fordern daher ein Regulierung bzw. ein Verbot solcher Überwachungswerkzeuge.
Staatliche Sicherheit kapituliert
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Warnung vor der Spionagesoftware Pegasus veröffentlicht. Darin wird beschrieben, dass die Applikation technisch sehr fortgeschritten ist und eine Umsetzung von Schutzmaßnahmen sehr schwierig sei. Einzig die Einschränkung der betroffenen Nachrichtenkanäle und das Ausweichen auf alternative Kommunikationsformen bleiben als Empfehlung übrig. Die Warnung erscheint in diesem Licht der kürzlich in Deutschland beschlossenen Gesetzesänderungen zum Einsatz von Spionagesoftware durch staatliche Behörden als Wegweiser in die Zukunft. Sicherheitslücken in digitalen Systemen müssen publiziert und geschlossen werden.
Es darf keinen Freiraum bei Schwachstellen geben, der für eine spezielle Verwendung zurückgehalten wird. IT Sicherheitsfachleute waren seit geraumer Zeit vor dem Szenario unkontrollierter Spähsoftware, was schon längst eingetreten ist. Dieses besteht nicht nur für die Zivilgesellschaft sondern ganz speziell für jede nationale Wirtschaft mit ihren Unternehmen als größte Bedrohung. Angriffe zur Wirtschaftsspionage finden täglich statt. Sie werden oft erst Monate oder Jahre später entdeckt. Dieses Status Quo gilt es zu bekämpfen.
Zu allem Überfluss sind die Crypto Wars noch nicht beendet. Dieses Jahr fand ein virtuelles Treffen von hochrangigen Beamten der EU und der USA statt. Dabei wurde der Slogan “Sicherheit trotz Verschlüsselung” verwendet. Gemeint sind damit die Zugriffe auf Kommunikation wie sie die Clinton Regierung in den 1990ern in den USA schaffen wollte. Für betroffene Wirtschaftstreibende kann der Slogan auch “Hochwasserschutz trotz Löcher in Deichen” oder “Brandschutz durch Brandstiftung” heißen. Die Folgen für den Erfolg durch Spionage seitens Dritter zeigt jetzt schon die Pegasus Schadsoftware. Sichere Kommunikation darf kein Privileg von Ausgewählten und der organisierten Kriminalität sein, denn gesetzliche Sanktionen haben bis dato den Schwarzmarkt vorangetrieben – in diesem Fall den für starke Verschlüsselung.
www.deepsec.net/ | www.pressetext.com