Meine Ansicht zu: Five-Eyes fordern Hintertüren von der Digitalwirtschaft
Im Rahmen einer Recherche hat mir eine Redakteurin der Süddeutschen Zeitung ein paar Fragen gestellt. Fragen und Antworten veröffentliche in diesem Beitrag.
Hintergrund:
Für die Süddeutsche Zeitung recherchiere ich derzeit über das Treffen der Innenminister der Five-Eye-Staaten Ende August, die von Technikunternehmen fordern, Hintertüren in ihre Produkte einzubauen, um den Zugriff auf verschlüsselte Informationen zu gewähren und somit Verbrechen leichter ermitteln zu können.
[1] Frage:
Bieten solche Hintertüren nicht auch Angriffsflächen für Kriminelle / Angreifer mit anderen Motiven?
Antwort:
Hintertüren in Hard- und Software sind immer problematisch. Sie schwächen die IT-Sicherheit der betroffenen Produkte massiv und beschädigen das Vertrauen nachhaltig. Insbesondere im Hinblick auf die Ende-zu-Ende-verschlüsselte Kommunikation würde dies letztendlich bedeuten, dass irgendwo eine Art „Generalschlüssel“ (Key Escrow) oder Kopien der Schlüssel hinterlegt werden müssten. Dies würde selbstverständlich auch Kriminelle bzw. Angreifer mit negativen Absichten auf den Plan rufen. Es spielt nämlich keine Rolle, ob es sich nun um eine Hintertür oder Vordertür handelt – durch eine zusätzliche „Tür“ entsteht ein (vermeidbares) Sicherheitsrisiko. Nach meiner Auffassung lässt sich keine (Hinter-)Tür so sicher gestalten, dass sich nicht doch ein unautorisierter Dritter Zugang verschafft und diesen für seine Zwecke missbraucht.
Würden sich die Five-Eyes mit ihrer Forderung durchsetzen würde das IT-Grundrecht auf „Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ massiv verletzt.
[2] Frage:
Was bedeutet das für deutsche Nutzer, die den jeweiligen Provider bzw. Kommunikationssoftware, wie zum Beispiel WhatsApp oder Facebook Messenger verwenden? Sind diese zwangsläufig (da US-Unternehmen) auch davon betroffen, falls es tatsächlich zu einer Umsetzung der Forderung kommt?
Antwort:
Die Five-Eyes fordern praktisch die gesamte Digitalwirtschaft dazu auf, „gesetzmäßigen Zugang“ in ihre Produkte einzubauen. Dies würde selbstverständlich auch Unternehmen wie Facebook treffen und damit auch Produkte / Dienstleistungen wie WhatsApp oder den Facebook Messenger.
Mit Blick auf die Datenskandale der letzten Monate sollte man sich in diesem Zusammenhang allerdings auch heute schon fragen, weshalb man bei einem Anbieter wie Facebook darauf vertrauen sollte, dass dieser „sensibel“ und „vertrauensvoll“ mit den Daten seiner Nutzer umgeht. WhatsApp ist letztendlich eine Blackbox, in die niemand von außen reinschauen kann.
Und weiter gedacht: Wen würden solche Hintertüren eigentlich betreffen? Kriminelle sicherlich nicht, da diese dann bspw. weiterhin über (dann illegale) Messenger (ohne Hintertür) verschlüsselt miteinander kommunizieren würden.
[3] Frage:
In einem Artikel bei Spiegel Online heißt es, dass ggf. staatliche Hacks vorstellbar sind: Was kann man sich unter staatlichen Hacks in diesem Fall vorstellen?
Antwort:
Staatliches Hacking bezeichnet die Ausnutzung einer IT-Sicherheitslücke, um bspw. ein Smartphone mit einem (Staats-)Trojaner zu infizieren, damit das Gerät im Anschluss überwacht werden kann. Bedeutet: Zum Teil gefährliche IT-Sicherheitslücken werden nicht geschlossen bzw. gemeldet, sondern gezielt vom Staat ausgenutzt. Das gefährdet Unternehmen und Bevölkerung gleichermaßen. Zwangsläufig wird der Staat damit selbst zum „bösen“ Hacker und befeuert damit indirekt den Schwarzmarkt für Schwachstellen in IT-Systemen.
Datenschutzfreundliche und sichere WhatsApp-Alternativen
WhatsApp: Datenschutzkonforme Nutzung möglich?
Die verrückte Welt der Messenger – Messenger Teil1
Kommentar: WhatsApp ist eine Blackbox
