- Anzeigen -


Sie sind hier: Home » Markt » Kommentare & Meinungen

Hintertüren in Applikationen


F-Secure: Nein, die deutsche Polizei kann WhatsApp nicht hacken
Verschlüsselung auch für Banken, das Militär oder zur Sicherung unserer Kommunikation essentiell

- Anzeigen -





Strafverfolger bekommen mehr Rechte, zumindest im digitalen Umfeld. Der Bundesrat hat Anfang Juli 2017 die Einsatzbereiche für die Quellen-TKÜ, den sogenannten Staatstrojaner, gelockert. Das hat im Gegenzug eine Reihe von übertrieben oder schlicht falschen Meldungen generiert – unter anderem geistert die Meldung durchs Web, wonach die Polizei die Verschlüsselung von Messengern wie Signal oder WhatsApp aufbrechen kann.

Das ist, gelinde gesagt, übertrieben.

"Leider führt das limitierte technische Wissen einiger Gesetzgeber und Politiker zu Pressemeldungen und Statements, die schlicht lächerlich sind", sagt Tom Van de Wiele, Security-Consultant bei F-Secure. "Die Aussagen führen dazu, dass die Öffentlichkeit davon ausgeht, dass nur Kriminelle Verschlüsselung nutzen. Dabei wird gerne übersehen, dass Verschlüsselung auch für Banken, das Militär oder zur Sicherung unserer Kommunikation essentiell ist."

Nehmen wir an, das BKA würde die Verschlüsselung eines Dienstes knacken, was hält Kriminelle davon ab, zu einem Kommunikationssystem zu wechseln? Wikipedia allein kennt 30 verschiedene Dienste mit einer End-zu-End-Verschlüsselung. Die Behörde müsste für jeden Messenger einzelne Hintertüren finden, ausnutzen und dabei sicherstellen, dass diese auch im rechtlichen Rahmen abläuft. Das dürfte sowohl Budget wie auch Know-how der deutschen Strafverfolgung übersteigen. "Die Architektur der meisten sicheren Messenger und wie sie verteilt werden verhindert, dass eine Behörde einfach eine modifizierte Version in Umlauf bringen kann", so Tom Van de Wiele. "Auch kann die End-zu-End-Verschlüsselung nicht einfach aufgebrochen werden. Daher kommen die Rufe nach Hintertüren in Applikationen und der Verschlüsselung."

Abfangen an der Quelle
Der Staatstrojaner arbeitet anders. Es handelt sich dabei (wahrscheinlich) um mehre Programme, die auf jeweils unterschiedliche Einsatzzwecke und Betriebssysteme zugeschnitten sind. Dabei kann es sich um selbst entwickelte Programme handeln, die im Rahmen der Quellen-TKÜ geschrieben werden. Ebenso wahrscheinlich ist, dass Behörden fertige Tools einkaufen.

Dieser Ansatz umgeht die Verschlüsselungsproblematik komplett. Einmal auf dem Zielsystem installiert – etwa einem Handy oder PC – können sie den kompletten Datenverkehr mitlesen bevor er verschlüsselt wird. Außerdem hat das Programm Zugriff auf Kontakte, E-Mails, Fotos und Videos oder die Standortdaten. Sogar das Mikrofon lässt sich aktivieren um Geräte in Wanzen zu verwandeln. "Wer das Telefon kontrolliert, der kontrolliert was empfangen und gesendet wird", so Tom Van de Wiele.

Das klingt nicht nur wie ein klassischer Trojaner, für einen normalen Beobachter verhalten sich staatliche Überwachungsprogramme wie Malware von Kriminellen. Auch die Infektionswege ähneln sich. Denn irgendwie muss die Schnüffelsoftware auf die Endgeräte gelangen. Auf PCs kann dies etwa durch Mitarbeiter der Behörde erfolgen, parallel zur Verwanzung einer Wohnung im Rahmen des großen Lauschangriffs. Für mobile Geräte ist das etwas schwieriger, da diese selten allein gelassen werden. Hier helfen Ansätze der Cyberkriminellen – mit Tricks wie Phishing oder dem gezielten Zusenden von bösartigen Links lassen sich auch mobile Geräte infizieren.

Wie so eine Attacke funktioniert zeigen die 2015 geleakten Daten einer italienischen Firma. Diese hatte sich auf Programme spezialisiert, die wie der Bundestrojaner arbeiten. Die Macher konnten Android ebenso wie iOS übernehmen – letzteres auch ohne installierten Jailbreak. Es liegt nahe, dass andere Firmen ebenfalls an Lösungen mit diesem Kaliber arbeiten. In die Karten sehen kann man den Firmen nicht.

Moralische Zwickmühle
Je häufiger Behörden einen Quellen-TKÜ einsetzen, desto mehr stolpern sie in eine Zwickmühle. Denn damit ein PC oder ein mobiles Gerät erfolgreich und zuverlässig infiziert werden kann, benötigt man idealerweise Zero-Day-Schwachstellen gegen die es keinen Patch gibt.

Entdeckt eine Behörde eine solche Schwachstelle, steht sie vor der Wahl: Geheimhalten und selbst nutzen oder den Hersteller kontaktieren und alle Nutzer schützen?

Wie schnell ein Horten der Lücken nach hinten losgeht, konnten wir in diesem Jahr bereits zweimal sehen: Sowohl die WannaCry-Ransomware wie auch NotPetya nutzten Angriffsprogramme, die auf den Zero-Day-Fundus der NSA zurückgehen. Diese waren Anfang des Jahres publik geworden und wurden öffentlich im Internet verbreitet.

F-Secure kennt keine Ausnahmen
"Jede verdächtige Aktivität als Resultat von Malware wird von unseren Produkten gleich behandelt – es gibt keine Ausnahmen bei der Quelle", sagt Tom Van de Wiele. Ein staatlicher Trojaner unterscheidet sich nicht von einem kriminellen Schädling. Tom Van de Wiele weiter: "Es gibt Unterschiede bei der Qualität, aber in einer Welt, in der Malware-Teile gekauft, verkauft und wiederverwendet werden ist eine genaue Zuordnung schwierig. Es gibt Ausnahmen, etwa Stuxnet, aber diese sind wirklich selten."
(F-Secure: ra)

eingetragen: 02.08.17
Home & Newsletterlauf: 07.09.17


F-Secure: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Kommentare und Meinungen

  • Anzahl potenzieller Ziele steigt exponentiell

    Cyberangriffe auf Unternehmen entwickeln sich immer mehr zum größten Geschäftsrisiko in den heutigen Industrienationen. Zu diesem Schluss kommt die aktuelle Studie "Regional Risks for Doing Business" des World Economic Forum. Dabei wurden mehr als 12.000 Geschäftsleute in mehr als 140 Ländern nach den Geschäftsrisiken für Unternehmen befragt. Weltweit verunsichern Themen wir Arbeitslosigkeit und politische Risiken die Geschäftswelt. Doch von den 19 Staaten, die Cyberangriffe als größte Bedrohung betrachten, liegen 14 in Europa und Nordamerika.

  • Zugriff auf sensibelste Daten

    Der wirksame Schutz privilegierter Konten und Zugriffsrechte gewinnt in Unternehmen immer mehr an Bedeutung, nicht zuletzt, seit die Analysten von Gartner Privileged Account Management, oder kurz PAM, zur Top-Priorität für CIOs im Jahr 2018 erklärt haben. Dass die eindringliche Mahnung, Konten mit weitreichenden Rechten - dazu zählen u.a. Administrator- Server- oder Datenbank-Accounts - dringend besser zu verwalten und schützen, dabei nicht aus nicht Luft gegriffen ist, zeigen Sicherheitsvorfälle wie der aktuelle Datendiebstahl beim französischen Baukonzern Ingérop.

  • eco: Deutschland braucht die Bundesblockchain

    Die Blockchain-Technologie hat das Potenzial, die Verwaltung nachhaltig zu verändern: "Volle Transparenz gewährleisten und gleichzeitig Bürgerdaten und Privatsphäre schützen, das ist mit der Blockchain nun technisch möglich", sagt Taavi Kotka im Rahmen einer Veranstaltung des eco Verbands. Der ehemalige CIO Estlands hat die Digitalisierung des baltischen Staates maßgeblich gestaltet. Das entkräfte mögliche Ausreden von Verantwortlichen, die die Digitalisierung der Verwaltung bislang möglicherweise aufgeschoben hatten. "Die Menschen nehmen staatliche Stellen zukünftig immer stärker als Dienstleister wahr, von denen sie Services ohne große bürokratische Hürden erwarten." Es werde sogar zu einem Wettbewerb der Nationen kommen, beispielsweise um hochqualifizierte Fachkräfte aus dem Ausland. "Den werden diejenigen gewinnen, die Services digital einfacher und effizienter anbieten können", sagt Kotka. Eine Modernisierung und Digitalisierung der Verwaltungsprozesse sei daher eine notwendige Investition in die wirtschaftliche Zukunft des Landes.

  • Willkommen in der Ära der Hacker-Wirtschaft

    "Die Angriffsflächen erweitern sich exponentiell. Cyberkriminelle sind keine Hobby-Bastler mehr, sondern Vertreter einer neuen ,Hacker-Wirtschaft', welche die Innovationskraft von Unternehmen übertreffen kann." So lautet eines der Kernergebnisse des ersten "Future of Multi-Cloud (FOMC) Report" für die Region EMEA (Europa, Naher Osten, Afrika). Die Studie wurde von F5 in Auftrag gegeben und von der Foresight Factory durchgeführt. Unternehmen müssen sich dieser neuen Herausforderung für ihre Sicherheit stellen, ohne die Servicequalität zu beeinträchtigen. Die Einführung eines zuverlässigen, zukunftssicheren Gesamtsystems aus integrierten Sicherheits- und Cloud-Lösungen kann Entscheidern mehr Kontext, Kontrolle und Transparenz bieten. Es wird auch das notwendige Vertrauen schaffen, um Kosten und Komplexität zu reduzieren.

  • Cyber-Sicherheit in der Digitalisierung

    BSI-Präsident Arne Schönbohm und Innenminister Horst Seehofer hat den aktuellen Bericht der Bundesbehörde vorgestellt. Die absoluten Zahlen der Bedrohungen und Angriffe haben sich in allen Bereichen über die Jahre weiter nach oben entwickelt. Dies ist nicht besonders verwunderlich, da einerseits die Digitalisierung von Behörden und Unternehmen voranschreitet und andererseits auch die Detektierung von IT-Sicherheitsvorfällen durch höhere Awareness in den Unternehmen und Meldepflichten zunehmen dürfte. Leider finden sich im Bericht keinerlei Forschungsergebnisse über die Dunkelziffer von erfolgreichen Angriffen. Zudem gibt es eine durchgehende Vermengung der Zahlen zwischen detektierten abgewehrten und erfolgreichen (festgestellten) Angriffen, die eine Interpretation der Daten schwierig macht.