Dr. Matthias Schulze forscht an der Stiftung Wissenschaft und Politik (SWP) zu Cyber-Sicherheit und Cyber-Konflikten und er betreibt in seiner Freizeit den Percepticon.de-Podcast zu diesen Themen. Die SWP berät Bundestag und Bundesregierung in allen Fragen der Außen- und Sicherheitspolitik. Der Artikel erschien zuerst auf der SWP-Homepage in der Rubrik Kurz gesagt.
Eine Recherche der Washington Post, des ZDF und des Schweizer Fernsehen (SFR) förderte zutage, dass die Schweizer Firma Crypto AG, lange Zeit Marktführerin im Bereich von Verschlüsselungsgeräten, die Verschlüsselungsverfahren in einigen ihrer Chiffriermaschinen absichtlich geschwächt hat. Dies geschah wohl im Auftrag der amerikanischen CIA und des deutschen BND und trug den Codenamen Operation Rubikon.
Über diese absichtlich platzierte Hintertür konnten CIA und BND die vermeintlich sicher verschlüsselte Kommunikation zahlreicher Regierungen dieser Welt abhören, die die Produkte der Firma einsetzten. Zu den Abnehmern der manipulierten Geräte gehörten Staaten wie Saudi-Arabien, Iran, Argentinien, Panama, aber auch der Vatikan oder verbündete Staaten wie Italien, Österreich und Spanien.
Staaten spionieren
Zunächst einmal ist es keine Überraschung, dass Staaten sich gegenseitig ausspionieren. In Nachrichtendienstkreisen ist dies keine Schande, es sei denn man wird dabei erwischt. Auch das Manipulieren bzw. Knacken von kryptografischen Protokollen gilt als Kerngeschäft von Nachrichtendiensten. Man denke etwa an den britischen Nachrichtendienst GCHQ, der die Enigma-Verschlüsselungs-Maschine der Nazis knackte.
Historisch betrachtet konnten so immer wieder wertvolle Informationen gesammelt werden. Durch die platzierte Hintertür in der Crypto-AG-Hardware konnten auch BND und CIA hilfreiche Erkenntnisse über weltpolitische Ereignisse sammeln: etwa über die Geiselnahme in der iranischen US-Botschaft im Jahr 1979 oder über Bewegungen der argentinischen Marine im Falkland-Krieg 1982.
Dies half, gezielt zu reagieren und kurzfristige, nationale Sicherheitsinteressen zu befriedigen. Operation Rubikon gilt damit als eine der erfolgreichsten Spionageoperationen des Kalten Krieges.
Veränderte Rahmenbedingungen
Welche Lehren können wir aus der Operation Rubikon, die nach Berichten des SFR noch bis 2018 lief, für heutige Debatten ziehen? Bei der Beurteilung der Legitimität manipulierter Verschlüsselungstechnik ist ausschlaggebend, dass sich die Rahmenbedingungen gegenüber dem analogen Zeitalter des Kalten Krieges mit der Digitalisierung maßgeblich geändert haben.
Kryptografie ist keine geheime Militärtechnologie mehr, sondern allgegenwärtig. Unsere Kommunikation über Messenger wie WhatsApp ist verschlüsselt, damit unbeteiligte Dritte sie nicht abschöpfen können. Smarte, digitale Stromnetze kommunizieren verschlüsselt, damit der Stromfluss nicht sabotiert werden kann. Anders als im analogen Zeitalter sind nicht mehr nur Regierungen auf Kryptografie angewiesen, sondern Milliarden von Menschen. Verschlüsselung ist damit ein Grundpfeiler für die erfolgreiche Digitalisierung geworden.
Aus diesem Grund sorgen wir uns zu Recht, dass der chinesische Mobilfunkhersteller Huawei absichtlich Spionage- oder Sabotagehintertüren in die softwaregetriebene 5G-Mobilfunkinfrastruktur einbauen könnte.
Ein Mobilfunknetz ist kritische Infrastruktur, da darüber immer mehr entscheidende gesellschaftliche Funktionen gesteuert werden, von Autos bis „Milchkannen“. Diese Infrastruktur muss so sicher wie möglich sein, und gute Verschlüsselung spielt dabei eine zentrale Rolle. Wenn 5G-Mobilfunkkommunikation quasi ab Werk gut verschlüsselt wäre, könnten chinesische Nachrichtendienste diese weniger leicht abhören.
Hintertüren bei WhatsApp und 5G
Dagegen wehren sich aber auch westliche Nachrichtendienste und Strafverfolgungsbehörden: Sie wollen, wie im Fall Crypto AG im Kalten Krieg, weiterhin Löcher in an sich sichere Verschlüsselungssysteme schlagen. Aus dem deutschen Innenministerium kommen regelmäßig Forderungen nach platzierten Hintertüren in der Verschlüsselungssoftware von Messengern wie WhatsApp. Kommunikationsunternehmen werden aufgefordert, Sicherheitslücken in ihre Verschlüsselungstechnologie einzubauen oder diese bewusst offen zu lassen, damit Sicherheitsbehörden Terroristen überwachen können.
Auch mit Blick auf die nächste Mobilfunkgeneration „5G“ lobbyieren Nachrichtendienste und Strafverfolger weltweit dafür, dass diese keine zu starke Verschlüsselung enthalten darf. Sie fordern rechtlich abgesicherte Zugangsschnittstellen („lawful access“) zur 5G-Technik, damit sie weiterhin Kommunikationsdaten bei Service-Providern auslesen können.
Dabei wird ignoriert, dass diese bewusst angelegten Hintertüren beziehungsweise Schnittstellen von jedem ausgenutzt werden können, der die zugrundeliegende Schwachstelle findet. Die amerikanischen Dienste nutzen bereits seit 2004 Cyber-Fähigkeiten, um „lawful access“-Schnittstellen bei Privatunternehmen anzugreifen und so die Kommunikation anderer Länder abzufangen.
Da solche digitalen Angriffstools immer mächtiger und billiger werden und über unregulierte schwarze und graue Märkte immer schneller verfügbar sind, ist es nur noch eine Frage der Zeit, bis auch China, Nordkorea, Iran oder sogar kriminelle Hacker diese Fähigkeiten erlangen werden. Dies belegen zumindest die Erfahrungen mit vergangenen, aber immer noch eingesetzten, Mobilfunkstandards wie GSM (2G).
Ein anderes Beispiel ist der Pegasus-Trojaner, der auf einer Schwachstelle in WhatsApp basiert. Dieser Spionagetrojaner wird sowohl von autoritären Regimen, westlichen Polizeibehörden, aber auch von mexikanischen Drogenkartellen genutzt, um verschlüsselte Kommunikation abzuhören. Jüngstes Opfer: der Amazon-CEO Jeff Bezos.
Plädoyer für einen Richtungswechsel
Wir können nicht glaubwürdig vor chinesischen Hintertüren in Mobilfunktechnik warnen und im gleichen Atemzug selbst welche einbauen. Damit schlagen wir bewusst Löcher in eine kritische Infrastruktur.
Wer heutzutage Hintertüren in Verschlüsselung einbaut, egal ob bei WhatsApp oder 5G, setzt Milliarden von Menschen enormen Risiken aus. Damit werden hohe IT-Sicherheitsstandards, die wir zur Abwehr von Hackern und fremden Nachrichtendiensten brauchen, für kurzfristige, nationale Sicherheitsinteressen geopfert.
Insbesondere in den USA zeichnet sich allerdings ein zaghafter Richtungswechsel ab: Dort argumentieren ehemalige Nachrichtendienstchefs, dass Amerika mit guter Verschlüsselung sicherer ist, als mit absichtlich geschwächter. Es wird Zeit, dass dieses neue Denken auch in anderen demokratischen Ländern Einzug erhält. Das sollte die Lehre aus der Operation Rubikon sein.
Während des NSA-UA gab es mehrfach Erwähnungen bzw. Hinweise auf die schweizer Crypto. Könnt ihr bitte mal die Protokolle entsprechend scannen?
Mir ist zumindest ein Satz noch in Erinnerung etwa so: „Die Schweizer sind auch nicht schlecht in Sachen Verschlüsselung“.
Frage wer hatte sich damals bezügl. schweizer Crypto eingelassen und wie?
Wie wären die damaligen Äußerungen im heutigen Licht zu beurteilen?
Die Schweiz hat zu tun mit den Gesetzen vor Ort, also dass man dort entwickeln kann.
Vielleicht ist es aber auch nur der beste Ort, um vermeintlich sauber Crypto zu betreiben, mit direkter Förderung von …
China KÖNNTE Hintertüren einbauen. Von Deutschland WISSEN WIR, dass sie Hintertüren IN ALLES eingebaut haben. Nur weil sie das selbst als richtig bezeichnen ist es trotzdem ganz genau das selbe. Ein direkter Angriff auf uns, gegen den wir uns verteidigen müssen!!
Meine Telekommunikation wurde über einen ungewöhnlich langen Zeitraum überwacht, und ich stand ebenso unter „Beobachtung“.
Schriftliche Anfragen an unsere Sicherheitsdienste brachten kein erklärendes Resultat für mich.
An wen kann ich mich wenden?
Umfangreiche Schreiben mit welchen ich mich über viele Jahre hinweg um Klärung bemühte brachten bedauerlicherweise keinen Erfolg.
Mit freundlichen Grüßen,
D. Beyer
dbprojekts32@gmail.com
Lies Dich mal hier durch (einfache I-net-Recherche, zu Inhalten und Personen kann ich nichts sagen: Lediglich, dass in [5] auch ein gewisser Otto Schily und Gerhard Schröder erwähnt werden):
[1] https://www.stuttgarter-nachrichten.de/inhalt.verfassungsschutz-lehrer-fuehltsich-bespitzelt.53be7fd3-ae13-4e6b-abe9-424697d9934d.html
[2] https://de.wikipedia.org/wiki/Michael_Csaszk%C3%B3czy
[3] https://freiheitsrechte.org/home/wp-content/uploads/2019/01/2019-01-09_Berufungsbegru%CC%88ndung_Theisen_Muenchen.pdf
[4] http://www.rechtsanwalt-heiming.de/person.html
[5] https://de.wikipedia.org/wiki/Republikanischer_Anw%C3%A4ltinnen-_und_Anw%C3%A4lteverein
[6] https://www.fischerverlage.de/autor/martin_heiming/21924