#CryptoLeaks

Die Lehre aus der Operation Rubikon

Unter dem Codenamen Operation Rubikon half die Crypto AG CIA und BND bei der Spionage, indem sie die von ihr produzierte Verschlüsselungstechnologie manipulierte. So sinnvoll dies im Kalten Krieg gewesen sein mag, so gefährlich ist es in Zeiten der Digitalisierung, meint unser Gastautor Matthias Schulze.

Die Ecke eines blau ausgeleuchteten Raumes ist zu sehen, an der linken Wand hängt eine Pinnwand mit vielen Stickern (einer davon ist ein "Asyl für Snowden"-Sticker). Davor scheinen Schlüssel in der Luft zu schweben, die an Schnüren an der Decke aufgehängt sind.
Mit guter Verschlüsselung sind wir sicherer als mit absichtlich geschwächter. (Symbolbild) CC-BY 2.0 Stephan Kambor-Wiesenberg

Dr. Matthias Schulze forscht an der Stiftung Wissenschaft und Politik (SWP) zu Cyber-Sicherheit und Cyber-Konflikten und er betreibt in seiner Freizeit den Percepticon.de-Podcast zu diesen Themen. Die SWP berät Bundestag und Bundesregierung in allen Fragen der Außen- und Sicherheitspolitik. Der Artikel erschien zuerst auf der SWP-Homepage in der Rubrik Kurz gesagt.

Eine Recherche der Washington Post, des ZDF und des Schweizer Fernsehen (SFR) förderte zutage, dass die Schweizer Firma Crypto AG, lange Zeit Marktführerin im Bereich von Verschlüsselungsgeräten, die Verschlüsselungsverfahren in einigen ihrer Chiffriermaschinen absichtlich geschwächt hat. Dies geschah wohl im Auftrag der amerikanischen CIA und des deutschen BND und trug den Codenamen Operation Rubikon.

Über diese absichtlich platzierte Hintertür konnten CIA und BND die vermeintlich sicher verschlüsselte Kommunikation zahlreicher Regierungen dieser Welt abhören, die die Produkte der Firma einsetzten. Zu den Abnehmern der manipulierten Geräte gehörten Staaten wie Saudi-Arabien, Iran, Argentinien, Panama, aber auch der Vatikan oder verbündete Staaten wie Italien, Österreich und Spanien.

Staaten spionieren

Zunächst einmal ist es keine Überraschung, dass Staaten sich gegenseitig ausspionieren. In Nachrichtendienstkreisen ist dies keine Schande, es sei denn man wird dabei erwischt. Auch das Manipulieren bzw. Knacken von kryptografischen Protokollen gilt als Kerngeschäft von Nachrichtendiensten. Man denke etwa an den britischen Nachrichtendienst GCHQ, der die Enigma-Verschlüsselungs-Maschine der Nazis knackte.

Historisch betrachtet konnten so immer wieder wertvolle Informationen gesammelt werden. Durch die platzierte Hintertür in der Crypto-AG-Hardware konnten auch BND und CIA hilfreiche Erkenntnisse über weltpolitische Ereignisse sammeln: etwa über die Geiselnahme in der iranischen US-Botschaft im Jahr 1979 oder über Bewegungen der argentinischen Marine im Falkland-Krieg 1982.

Dies half, gezielt zu reagieren und kurzfristige, nationale Sicherheitsinteressen zu befriedigen. Operation Rubikon gilt damit als eine der erfolgreichsten Spionageoperationen des Kalten Krieges.

Veränderte Rahmenbedingungen

Welche Lehren können wir aus der Operation Rubikon, die nach Berichten des SFR noch bis 2018 lief, für heutige Debatten ziehen? Bei der Beurteilung der Legitimität manipulierter Verschlüsselungstechnik ist ausschlaggebend, dass sich die Rahmenbedingungen gegenüber dem analogen Zeitalter des Kalten Krieges mit der Digitalisierung maßgeblich geändert haben.

Kryptografie ist keine geheime Militärtechnologie mehr, sondern allgegenwärtig. Unsere Kommunikation über Messenger wie WhatsApp ist verschlüsselt, damit unbeteiligte Dritte sie nicht abschöpfen können. Smarte, digitale Stromnetze kommunizieren verschlüsselt, damit der Stromfluss nicht sabotiert werden kann. Anders als im analogen Zeitalter sind nicht mehr nur Regierungen auf Kryptografie angewiesen, sondern Milliarden von Menschen. Verschlüsselung ist damit ein Grundpfeiler für die erfolgreiche Digitalisierung geworden.

Aus diesem Grund sorgen wir uns zu Recht, dass der chinesische Mobilfunkhersteller Huawei absichtlich Spionage- oder Sabotagehintertüren in die softwaregetriebene 5G-Mobilfunkinfrastruktur einbauen könnte.

Ein Mobilfunknetz ist kritische Infrastruktur, da darüber immer mehr entscheidende gesellschaftliche Funktionen gesteuert werden, von Autos bis „Milchkannen“. Diese Infrastruktur muss so sicher wie möglich sein, und gute Verschlüsselung spielt dabei eine zentrale Rolle. Wenn 5G-Mobilfunkkommunikation quasi ab Werk gut verschlüsselt wäre, könnten chinesische Nachrichtendienste diese weniger leicht abhören.

Hintertüren bei WhatsApp und 5G

Dagegen wehren sich aber auch westliche Nachrichtendienste und Strafverfolgungsbehörden: Sie wollen, wie im Fall Crypto AG im Kalten Krieg, weiterhin Löcher in an sich sichere Verschlüsselungssysteme schlagen. Aus dem deutschen Innenministerium kommen regelmäßig Forderungen nach platzierten Hintertüren in der Verschlüsselungssoftware von Messengern wie WhatsApp. Kommunikationsunternehmen werden aufgefordert, Sicherheitslücken in ihre Verschlüsselungstechnologie einzubauen oder diese bewusst offen zu lassen, damit Sicherheitsbehörden Terroristen überwachen können.

Auch mit Blick auf die nächste Mobilfunkgeneration „5G“ lobbyieren Nachrichtendienste und Strafverfolger weltweit dafür, dass diese keine zu starke Verschlüsselung enthalten darf. Sie fordern rechtlich abgesicherte Zugangsschnittstellen („lawful access“) zur 5G-Technik, damit sie weiterhin Kommunikationsdaten bei Service-Providern auslesen können.

Dabei wird ignoriert, dass diese bewusst angelegten Hintertüren beziehungsweise Schnittstellen von jedem ausgenutzt werden können, der die zugrundeliegende Schwachstelle findet. Die amerikanischen Dienste nutzen bereits seit 2004 Cyber-Fähigkeiten, um „lawful access“-Schnittstellen bei Privatunternehmen anzugreifen und so die Kommunikation anderer Länder abzufangen.

Da solche digitalen Angriffstools immer mächtiger und billiger werden und über unregulierte schwarze und graue Märkte immer schneller verfügbar sind, ist es nur noch eine Frage der Zeit, bis auch China, Nordkorea, Iran oder sogar kriminelle Hacker diese Fähigkeiten erlangen werden. Dies belegen zumindest die Erfahrungen mit vergangenen, aber immer noch eingesetzten, Mobilfunkstandards wie GSM (2G).

Ein anderes Beispiel ist der Pegasus-Trojaner, der auf einer Schwachstelle in WhatsApp basiert. Dieser Spionagetrojaner wird sowohl von autoritären Regimen, westlichen Polizeibehörden, aber auch von mexikanischen Drogenkartellen genutzt, um verschlüsselte Kommunikation abzuhören. Jüngstes Opfer: der Amazon-CEO Jeff Bezos.

Plädoyer für einen Richtungswechsel

Wir können nicht glaubwürdig vor chinesischen Hintertüren in Mobilfunktechnik warnen und im gleichen Atemzug selbst welche einbauen. Damit schlagen wir bewusst Löcher in eine kritische Infrastruktur.

Wer heutzutage Hintertüren in Verschlüsselung einbaut, egal ob bei WhatsApp oder 5G, setzt Milliarden von Menschen enormen Risiken aus. Damit werden hohe IT-Sicherheitsstandards, die wir zur Abwehr von Hackern und fremden Nachrichtendiensten brauchen, für kurzfristige, nationale Sicherheitsinteressen geopfert.

Insbesondere in den USA zeichnet sich allerdings ein zaghafter Richtungswechsel ab: Dort argumentieren ehemalige Nachrichtendienstchefs, dass Amerika mit guter Verschlüsselung sicherer ist, als mit absichtlich geschwächter. Es wird Zeit, dass dieses neue Denken auch in anderen demokratischen Ländern Einzug erhält. Das sollte die Lehre aus der Operation Rubikon sein.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten.

Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

 

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten.

Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

Dann unterstütze uns hier mit einer Spende.

3 Ergänzungen
  1. Während des NSA-UA gab es mehrfach Erwähnungen bzw. Hinweise auf die schweizer Crypto. Könnt ihr bitte mal die Protokolle entsprechend scannen?

    Mir ist zumindest ein Satz noch in Erinnerung etwa so: „Die Schweizer sind auch nicht schlecht in Sachen Verschlüsselung“.

    Frage wer hatte sich damals bezügl. schweizer Crypto eingelassen und wie?
    Wie wären die damaligen Äußerungen im heutigen Licht zu beurteilen?

    1. Die Schweiz hat zu tun mit den Gesetzen vor Ort, also dass man dort entwickeln kann.

      Vielleicht ist es aber auch nur der beste Ort, um vermeintlich sauber Crypto zu betreiben, mit direkter Förderung von …

  2. China KÖNNTE Hintertüren einbauen. Von Deutschland WISSEN WIR, dass sie Hintertüren IN ALLES eingebaut haben. Nur weil sie das selbst als richtig bezeichnen ist es trotzdem ganz genau das selbe. Ein direkter Angriff auf uns, gegen den wir uns verteidigen müssen!!

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.