27C3: Hacker fürchten Krypto-Kriege 2.0

Sicherheitsexperten des Chaos Computer Clubs (CCC) sehen die Hackergemeinde in ihrem Ausblick auf die "Security Nightmares 2011" am Anfang einer neuen Schlacht um Verschlüsselungsfreiheiten. Auch bei De-Mail und dem E-Postbrief drohe Ungemach.

In Pocket speichern vorlesen Druckansicht 44 Kommentare lesen
Lesezeit: 6 Min.

Sicherheitsexperten des Chaos Computer Clubs (CCC) stellen sich darauf ein, im kommenden Jahr neue Schlachten um die Verschlüsselungsfreiheit und den Datenschutz schlagen zu müssen. "Wir stehen am Anfang der Cryptowars 2.0", fürchtete CCC-Sprecher Frank Rieger am gestrigen Donnerstag beim Ausblick auf die "Security Nightmares 2011" während des Finales des 27. Chaos Communication Congress (27C3) in Berlin. Dabei sei noch keineswegs klar, "dass wir die Kriege gewinnen".

Besorgt zeigte sich Rieger zum einen über Berichte, wonach die US-Regierung an einem Gesetzesentwurf zum einfacheren Abhören von Internet-Telefonaten, verschlüsselten E-Mails sowie Chat-Nachrichten arbeitet und diesen Anfang 2011 vorstellen will. Provider sollen demnach verpflichtet werden, Strafverfolgern die über ihre Netze ausgetauschte Kommunikation in jedem Fall im Klartext vorzulegen. Das Vorhaben hat auch bei US-Bürgerrechtlern die Alarmglocken schrillen lassen.

CCC: gut besuchte Vorträge im schicken Kuppelsaal

Darüber hinaus beklagte der Hacker auch neue technische Ansätze, die den Einsatz von Werkzeugen zum Selbstdatenschutz verhinderten und weniger plump seien als der Ruf nach einem "Clipper-Chip" zur Dechiffrierung von Online-Inhalten durch die US-Regierung in den 1990ern. So enthalte das neue Internetprotokoll IPv6 eine Funktion, mit der jedes Datenpaket seinem Urheber zugeordnet werden könne. Es komme daher stark auf die Implementierung des Standards an, da diese Attribut-Zuschreibung nicht verbindlich sei. Geräte wie das iPad oder die Playstation 3 zeigten ferner, dass ein extremer Aufwand betrieben werden müsse, um beliebige freie Software darauf laufen lassen zu können. Nur so könne aber verhindert werden, dass man an eine IP- oder MAC-Adresse "gekettet" werde.

Der Blick in die an manchen Stellen mit reichlich Hackerironie geschärfte Glaskugel verriet den Datenreisenden zudem, dass ihnen im kommenden Jahr sowohl der E-Postbrief als auch die De-Mail "Sicherheits-Albträume" bereiten dürften. Bei letzterer habe sich die Bundesregierung bereits gegen den Vorschlag des Bundesrats gewandt, eine "Ende-zu-Ende-Verschlüsselung" schon auf Anbieterebene vorzuschreiben. Da brauche man sich nur noch mit Popcorn bewaffnen und könne dann in aller Ruhe dem sich entfaltenden Ungemach zusehen, unkte Riegers Kollege "Ron". Das Desaster sei bei beiden Diensten vorprogrammiert.

Ernsthaftere Sorgen bereiten den Hackern Quellcode-Lagerstätten wie SourceForge, über die ohne die Einführung von Signaturverfahren in Bälde Hintertüren in den Code verschiedener Projekte eingebaut werden dürften. Zugleich sagen sie voraus, dass die Lücke beim Aufspielen von Sicherheitsupdates zwischen unterschiedlichen vernetzten Geräteklassen immer größer wird. So habe es hier im Bereich der Desktop-Rechner große Fortschritte gegeben, während das Auftragen von Sicherheitsflicken bei integrierten Systemen, Mobiltelefonen oder internetfähigen Computereinheiten in Autos nachlässiger gehandhabt werde. Dem Beruf des "Patchmasters" malte Rieger daher gute Zukunftsaussichten aus. Aber auch "Leak-Heap-Analysten", die im Redaktionsauftrag die wachsenden Dokumentenberge von Whistleblowern durchforsten, "Datenleichenbeschauern" und "Trackingoptimierern", die den Nutzern auch nach Entfernen ihrer Browser-Cookies wieder ihre gewohnte, persönliche Bedürfnisse ansprechende Werbung im Netz zurückholen, gehöre die Zukunft. Damit eng verknüpft sehen die Hacker kommende "Trendsportarten" wie die des "Anonymikers", der Metadaten aus Dateien herausfische, des "Staatsmacht-Dokumentators", der mit HD-Cam nebst Superzoom bewaffnet auf Demos das Treiben der Ordnungshüter aufzeichne, oder des "Falschalarm-Trolls". Letzterer beschäftige sich genauer mit Erkenntnissen, dass Sicherheitsscanner an Flughäfen unter anderem stark auf Honig reagierten. Die Nutzer müssten sich zudem entscheiden, auf die Seite welches Internetkonzerns sie sich schlagen wollten. Wer nicht für Dienste bezahle, dessen Daten würden verkauft, laute dabei das Motto bei Google und Facebook. Apple verfahre dagegen nach dem "Sylt-Modell" und dessen Imperativ: "Ihr bezahlt und werdet trotzdem verkauft." Wichtig werde in diesem Zusammenhang die "Datenkompetenz", dank der man etwa lerne, "um den heißen Brei herumzugooglen" und "über Bande zu suchen".

Ganz im Genuss des "Told you so"-Karmas arbeiteten die CCC-Veteranen auch wieder ihre Liste der mehr oder weniger erfüllten Vorhersagen aus dem vergangenen Jahr ab. Wie prognostiziert seien Regierungen wieder zahlreiche Daten verloren gegangen, was als Indikator für "Fortschritte beim E-Gouvernement" gelte. Vor England an die Spitze der Liste gesetzt hätten sich hier in den vergangenen Monaten die USA, witzelte Ron im Hinblick auf die von Wikileaks veröffentlichten Diplomaten-Depeschen. Washington häufe zudem mit Nacktscannern und dem Einsammeln von Fingerabdrücken an den Grenzen weitere große Datenberge an, "die nur darauf warten, wegzukommen".

Empört zeigte sich Rieger über erhaltene Hinweise, "dass in Deutschland staatlicherseits Trojaner vom Zollkriminalamt eingesetzt werden". Diese unterstehe dem Finanzministerium, das vom früheren Innenminister Wolfgang Schäuble (CDU) geleitet werde. Dieser habe den Einsatz der Schadsoftware "in mindestens zweistelliger Anzahl" für die Quellen-Telekommunikationsüberwachung zugelassen. Damit solle zwar allein die Internet-Telefonie abgehört werden. Es sei aber "völlig unglaubwürdig", dass dabei nicht auch auf den Datenbestand auf einem Rechner zugegriffen werde. Der CCC warnt seit Jahren vor einem Datenschutz-Fiasko durch den Bundestrojaner und heimliche Online-Durchsuchungen.

Bestätigt sehen sich die Hacker ebenfalls bei ihrem Dauerrenner der erwarteten "Superwürmer". Zum einem habe " Mariposa" angeblich 13 Millionen Bots aufgebracht. Zum anderen habe Stuxnet die restliche Malware komplett in den Schatten gestellt. "Da hat uns endlich jemand zugehört", freute sich Rieger. Der Wurm sei zwar "gezielt" vorgegangen, dafür aber "ziemlich durchschlagskräftig". Respekt zollten die Experten auch dem ZeuS-Botnetz, da dieses auf einen ganz speziellen "Kopierschutz" gesetzt habe, um "Raubkopien" seiner "Drohnen" zu verhindern. "Endlich kleingehackt, frittiert und erledigt" sei zudem GSM. Den elektronischen Personalausweis, dem das gleiche Schicksal aufgrund der verzögerten Ausgabe entgegen anders lautender Ankündigungen noch erspart geblieben sei, habe man "auf Wiedervorlage" für Anfang Januar gelegt. Dann werde nach einem Fehlstart die Neuauflage der Ausweis-App freigegeben, die hoffentlich "eine Woche" halte und "ein bisschen was zum Spielen" mitbringe.

(uk)