Cyber Security Vorfälle im Mai 2019

Von Alter Solutions Deutschland | Jun. 14, 2019 | Blog

SAFe Erfahrungen

Was in manchen Ländern bereits gesetzlich vorgeschrieben ist, könnte bald auch in Deutschland Realität werden: Bundesinnenminister Horst Seehofer (CSU) will Messaging Dienste dazu zwingen, deutschen Sicherheitsbehörden Zugriff auf Ende-zu-Ende-verschlüsselte Chats und Telefonate zu gewähren. Lesen Sie diesen Monat in „Cyber Security Vorfälle im Mai 2019“, wie sicher solche Messaging Dienste generell sind und was diese Forderung für Auswirkungen hat.

Das Problem mit Ende-zu-Ende-Verschlüsselungen und Staatstrojanern

Verschlüsselung ist vielen Staaten ein Dorn im Auge, da diese den Nutzern ermöglicht, Daten so zu schützen, dass niemand darauf Zugriff hat, der nicht den Schlüssel kennt (was beispielsweise von Ransomware ausgenutzt wird, wie in einem unserer Artikel erklärt). Mit Verschlüsselung wird dabei in erster Linie Ende-zu-Ende-verschlüsselte Kommunikation sowie die Verschlüsselung des Smartphones (oder generell von Festplatten) gemeint. Die Argumentation von Staatsvertretern ist häufig, dass Verschlüsselung die Arbeit von Nachrichtendiensten enorm erschwert und somit nicht mehr effektiv genug gegen Kriminelle und Terroristen vorgegangen werden kann, da Verschlüsselung die Überwachung behindert. Die NSA hatte in der Vergangenheit beispielsweise große Probleme auf Verschlüsselte iPhones von Straftätern zuzugreifen. Daher lautet die Forderung, Hersteller zu zwingen sogenannte Keylogger zu installieren (Software, die jeden Tastenanschlag aufzeichnet) oder anderweitig Zugriff auf das Smartphone zu gewähren (z.B. über Backdoors) um unverschlüsselte Kommunikation abzugreifen. In Australien wurde bereits ein Gesetz erlassen, dass Hersteller zu eben solchen Schwachstellen zwingt. Auch in Großbritannien wird ein solches Gesetz diskutiert. In anderen Staaten wie China, Türkei, Russland oder Iran sind Ende-zu-Ende verschlüsselte Dienste wie Telegram sogar verboten.

Was ist Ende-zu-Ende-Verschlüsselung?

Mittlerweile haben sämtliche Messaging Apps (z.B. WhatsApp, Telegram, Signal, Threema) eine Ende-zu-Ende-Verschlüsselung implementiert. Generell bedeutet dies, dass beide Gesprächspartner zu Beginn der Kommunikation einen gemeinsamen Schlüssel aushandeln, welchen (in der Theorie) nur die beiden Gesprächspartner besitzen. Mit diesem wird dann die gesamte Kommunikation, also Nachrichten sowie andere Anhänge wie Bilder, Videos oder Sprachnachrichten, verschlüsselt und nur die beiden Gesprächspartner können diese wieder entschlüsseln. Der Service Provider ist hierbei nur als Vermittler tätig, der die Nachrichten zur Not zwischenspeichert, sofern ein Gesprächspartner derzeit nicht online ist. Jedoch ist Ende-zu-Ende-Verschlüsselung nicht gleich Ende-zu-Ende-Verschlüsselung. Einige Faktoren führen dazu, dass die suggerierte absolute Privatsphäre des Nutzers nicht bei jedem Dienstleister gewährleistet ist.

Wichtig, wenn es um Applikationen mit Ende-zu-Ende-Verschlüsselung geht, ist beispielsweise, dass der jeweilige Code Open-Source ist und Experten diesen somit auf Schwachstellen oder sogenannte Backdoors untersuchen können. Dazu zählen jedoch nur wenige Applikationen. Ein Beispiel für eine solche Vorzeigeapplikation ist Signal, entwickelt von der Non-Profit Signal Foundation, welche sogar von Whistleblower Edward Snowden sowie Security-Experte Bruce Schneier empfohlen wird. Manche Closed-Source Applikationen (z.B. Threema, Wire) können jedoch mit einem Audit beweisen, dass die Applikation unabhängig geprüft wurde. Solange beides nicht der Fall ist, kann immer eine Backdoor eingebaut sein, die den Zugriff auf die Kommunikation trotzdem möglich macht.
Häufig werden zudem sogenannte Metadaten – das sind etwa Zeitstempel von Nachrichten, sowie Gesprächspartner und IP Adressen – von den Service Providern geloggt (z.B. von WhatsApp oder Skype). Diese Daten allein sind bereits sehr aufschlussreich für Nachrichtendienste. Gerade auch Unternehmen wie Facebook (dazu zählt auch WhatsApp), die sich über gezielte Werbung finanzieren, sind daran interessiert trotz der Ende-zu-Ende-Verschlüsselung möglichst viele Daten zu speichern. Im Gegensatz dazu stehen Dienste wie Signal oder Wickr, wo Non-Profit-Organisationen (z.B. die Freedom of the Press Foundation oder the Knight Foundation) hinter stehen, oder Threema, wo der Nutzer für die App bezahlt.

Als noch keine Ende-zu-Ende-Verschlüsselung implementiert war, wurden Nachrichten nur auf ihrem Weg vom Client zum Server verschlüsselt (gängige Transportverschlüsselung wie TLS, wird bspw. in HTTPS verwendet). Der Server des jeweiligen Service Providers erhielt die Daten jedoch unverschlüsselt, sodass jeder mit Zugang zu diesem alles mitlesen konnte (z.B. auch staatliche Nachrichtendienste). Das bedeutet zudem, dass auch Personen mit unerlaubtem Zugriff auf den Server (z.B. Hacker) jegliche Kommunikation abgreifen konnten.

Die Folgen der Implementierung von Ende-zu-Ende-Verschlüsselungen

Durch die Implementierung einer Ende-zu-Ende-Verschlüsselung haben sich die Angriffspunkte jedoch nur vom Server auf den Client verlagert. Beispielsweise wird die initiale Authentifizierung in der App oftmals mittels single-factor SMS Login Nachrichten durchgeführt, welche jedoch wieder über das Mobilfunknetz, welches der Staat abhören darf, an die jeweilige Handynummer übertragen werden. Es wurde bereits bekannt, dass diese Nachrichten in Ländern wie Iran, Russland aber sogar auch Deutschland abgefangen wurden, um vollen Zugriff auf die Kommunikation zu erhalten.

Eine weitere Schwachstelle sind beispielsweise Backups. Bei Whatsapp zum Beispiel werden Backups, die in die Cloud geladen werden, nicht verschlüsselt bzw. nur von dem Cloudprovider (z.B. Apple bei iCloud, Google bei GDrive), welcher wiederum selbst einen Schlüssel besitzt und somit vollen Zugriff auf das Backup hat (sowie auf iMessage Nachrichten bei iOS). Da sowohl Google als auch Apple einen solchen Zugriff besitzen und beide in den USA ansässig sind, sind diese dazu verpflichtet Strafverfolgungsbehörden Zugriff zu gewähren. Außerdem wurde bereits mehrfach bewiesen, dass Clouddienste nicht sicher vor Hackern sind.
Einen großen Faktor stellen zudem absichtlich offengehaltene Schwachstellen dar, die den Behörden bekannt sind, jedoch absichtlich nicht gepatcht werden, um Zugriff auf Geräte zu erhalten. Diese Schwachstellen werden dann beispielsweise von Staatstrojanern genutzt. Zudem wurde auch durch die Veröffentlichung von Informationen über das NSA Überwachungsprogramm PRISM bekannt, wie viel Zugriff die NSA über Backdoors auf Dienste von großen amerikanischen Software Dienstleistern hat. Das Mantra der NSA lautet dabei „NOBUS“ (Akronym für „NObody But US“), was verdeutlicht, dass die NSA der Meinung ist, dass sie allein dazu in der Lage ist, die Schwachstellen auszunutzen. Jedoch stellt das absichtliche Offenhalten von Schwachstellen eine erhebliche Gefahr für Endnutzer dar. Wenn Schwachstellen nicht öffentlich gemacht werden, damit diese gefixt werden können, kann es passieren, dass Hacker diese Schwachstellen ebenfalls entdecken und ausnutzen. Zudem kann es passieren, dass der NSA entsprechende Tools entwendet werden und in die falschen Hände gelangen, so wie es 2016 der Fall war. Was passiert, wenn diese Schwachstellen in die falschen Hände gelangen hat man anschließend in der WannaCry ransomware Attacke gesehen, welche zahlreiche Unternehmen weltweit lahmgelegt hat. Aufgrund der gehäuften kritischen Patches bei WhatsApp, die Angreifern mehrfach Zugriff auf Chats und sogar Hardware (z.B. Mikrofon und Kamera) geboten haben, wird WhatsApp vorgeworfen, diese absichtlich als Backdoor für Nachrichtendienste (der USA) offenzuhalten.

Gerade für Bürger in totalitären Staaten, wo keine Meinungsfreiheit herrscht, ermöglicht Ende-zu-Ende-Verschlüsselung diesen, ihre Meinung zu äußern, ohne dafür inhaftiert zu werden. Regierungskritische Stimmen können dadurch nicht so leicht unterdrückt werden. Daher sind häufig gerade in solchen Staaten derartige Dienste offiziell verboten. Außerdem handelt es sich bei einer Massenüberwachung, welche durch systemische Schwachstellen ermöglicht wird (siehe NSA PRISM), um einen gravierenden Eingriff in die Privatsphäre eines jeden (Abhörmaßnahmen sind in der Regel nicht auf ein Land beschränkt).

Empfehlung:
Für sichere Kommunikation sind – momentan – die Messaging Dienste Signal, Threema sowie Wire zu empfehlen, da diese die meisten Kriterien für wirklich sichere Kommunikation erfüllen (Open-Source/Audited, minimale bis keine Datenerfassung/-speicherung, sichere Verschlüsselung, Transparenz, etc.). Eine detaillierte Auflistung sämtlicher Kriterien für alle gängigen Messaging Dienste finden Sie hier. Jedoch ist man auch bei diesen Anbietern nicht vor den im Artikel beschriebenen möglichen Schwachstellen auf Seiten des Smartphones sicher und die Nachrichtendienste werden nicht müde nach neuen Schwachstellen zu suchen.

Weitere Security Vorfälle im Mai

  • TeamViewer: Wie im Mai bekannt wurde, ist das deutsche Tech-Startup TeamViewer bereits im Jahr 2016 Opfer eines Cyberangriffs geworden. Da bei dem Angriff jedoch kein größerer Schaden entstanden ist, wurde dieser zunächst geheim gehalten. Angreifer waren Informationen des Spiegels zufolge die chinesische Hackergruppe Winnti. Mehr zu der Bedrohung durch staatliche Hackergruppen finden Sie in unserem letzten Beitrag.
  • Instagram: Mutmaßlich ca. 49 Millionen Kontaktdetails wurden geleaked.
  • Nachtrag: Chinesischen Hackergruppen ist es bereits häufiger gelungen, in den Besitz von Zero-Day Exploits der NSA zu kommen.