Crypto Wars: Google fordert das FBI mit neuer Android-Verschlüsselung heraus
Google macht Ernst mit der Ende-zu-Ende-Verschlüsselung bei Android-Backups in der Cloud und schürt damit Ängste von Strafverfolgern vor einem "Going Dark".
(Bild: dpa, Omar Marques/SOPA Images via ZUMA Wire)
Googles Ankündigung, Backup-Daten von Smartphones mit der aktuellen Android-9-Version Pie durchgehend zu verschlüsseln und damit stärker vor Zugriffen durch Dritte abzuschirmen, ist eine kaum verklausulierte Kampfansage an das FBI und andere Sicherheitsbehörden. Mit der neuen, auf Titan-Sicherheitschips aus dem eigenen Hause basierenden Technik können selbst Mitarbeiter des US-Konzerns nicht mehr die in der Cloud abgelegten Informationen entschlüsseln. Als Hilfssheriff ist Google damit außen vor: Das Unternehmen kann Backup-Inhalte auch auf Basis einer Durchsuchungsanordnung nicht mehr im Klartext an Strafverfolger herausgeben.
Vor allem das FBI dürfte diese Verschlüsselungsoffensive als Affront ansehen. Die US-Polizeibehörde befürchtet seit Langem, durch die zunehmende Ende-zu-Ende-Verschlüsselung auf Mobilgeräten im Kampf etwa gegen Terroristen und Kinderschänder ins Hintertreffen zu geraten. Mit dem Begriff "Going Dark" warnen die Ermittler davor, dass sie "blind" werden im Internetzeitalter und die digitale Kommunikation Verdächtiger nicht mehr überwachen können.
Kryptierte Kommunikation "riesiges Problem"
Forscher halten zwar wenig von diesem Mantra, da mit ständig neuen, keineswegs immer durchgehend verschlüsselten Nachrichtendiensten im Netz, vernetzten Sensoren sowie dem Internet der Dinge eine Flut auch an Bilder-, Video- und Audiodaten entstehe und von Fahndern häufig in Echtzeit mitgeschnitten werden könne. Dazu komme das weite Feld der Metadaten in Form etwa von Verbindungs- und Standortinformationen, die sich wohl auch künftig kaum verschlüsseln ließen. Googles Schritt dürfte trotzdem die sich seit Jahren hinziehenden "Crypto Wars" neu anfachen und weitere Rufe nach "Vordereingängen" oder Hintertüren zu Kommunikation im Klartext aufkommen lassen.
Nach eigenen, im Nachhinein deutlich nach unten korrigierten Zahlen konnte das FBI mit Stand 2017 auf rund 1200 Mobilgeräte nicht zugreifen. Zunächst war von über 7000 Smartphones und Tablets die Rede gewesen. Die Spitze der Strafverfolgungsbehörde bezeichnet durchgehend kryptierte Kommunikation immer wieder als "riesiges Problem".
"Verantwortungsvolle Verschlüsselung" gefordert
Die US-Regierung rief Konzerne wie Apple, Google, Facebook oder Twitter daher schon vor einem guten Jahr zu einer "verantwortungsvollen Verschlüsselung" auf. Die IT-Firmen schüfen eine Welt, in der Nachweise für kriminelle Straftaten trotz richterlicher Beschlüsse nicht mehr aufgespürt werden könnten, lautete die Klage. Irgendwie müssten die Hersteller daher unverschlüsselte Kommunikation befugten Behörden zugänglich machen. Jüngst ermunterten zudem die Regierungen der sogenannten Five-Eyes-Staaten Diensteanbieter, "freiwillig" Lösungen für die "gesetzesmäßige" Überwachung in ihre Angebote zu integrieren.
Schon seit Apple und Google erstmals ankündigten, Daten auf iOS- beziehungsweise Android-Geräten standardmäßig zu verschlüsseln, und sich einen öffentlichen Wettkampf um die Datenschutzkrone lieferten, ebbt die Kritik von US-Sicherheitsbehörden nicht ab. Immer wieder versucht das FBI parallel, die Konzerne gerichtlich zur Beihilfe zur Entschlüsselung oder zur Datenherausgabe zu zwingen. Am bekanntesten ist der Streit über das iPhone des Attentäters von San Bernardino, in dem die Polizeibehörde aber voreilig war und nicht alle technischen Möglichkeiten ausgeschöpft hatte.
Herausgabe von Backups
In Hard- oder Software eingebaute Hintertüren lehnen Apple und Google vehement als massive Gefahr für die IT-Sicherheit allgemein ab. Eine Option für Strafverfolger blieb aber mehr oder weniger unverhohlen offen, um zumindest in der Cloud abgelegte Informationen abgreifen zu können. Vor allem Apple ließ wiederholt durchblicken, auf gerichtlichen Beschluss hin selbst umfangreiche iCloud-Daten herauszugeben. Darunter sind auch Geräte-Backups, die sonst "durchgängig" verschlüsselte Daten wie iMessage-Nachrichten enthalten. Dieses Vorgehen wird unterstützt durch die Praxis Apples, Entschlüsselungskeys für solche Archive erst auf den Servern des Unternehmens zu verschlüsseln.
Google schließt eine solche Herangehensweise nun ausdrücklich aus. Backups in der Cloud können mit dem neuen Verfahren nach der Darstellung der Kalifornier nur noch mithilfe eines Schlüssels im Klartext gelesen werden, der per Zufallsfunktion auf dem Endgerät des Nutzers generiert wird. Nach diesem Schritt wird der Key durch die PIN beziehungsweise den Passcode oder ein Muster verschlüsselt, das der jeweilige User auch zum Entsperren seines Android-Geräts verwendet. Erst danach wandern die Daten aus den Anwendungen auf dem Mobiltelefon in die Cloud.
Nur für wenige Android-Nutzer
Um die Methode zu testen, ließ Google sie durch die IT-Sicherheitsfirma NCC überprüfen, deren Experten den Titan-Chips dabei offenbar selbst mit Werkzeugen wie Zangen oder Pressen zu Leibe rückten. Laut dem veröffentlichten Untersuchungsbericht entdeckten die Tester einige Schwachstellen, die der Konzern aber ausgebügelt haben will. Allzu viele Android-Nutzer dürften aber noch nicht von den neuen Datenschutzmechanismen profitieren, da die Pie-Version von Smartphone-Produzenten erst nach und nach zum Laufen gebracht wird. Im Vorteil dürften hier Besitzer von Mobiltelefonen wie dem Pixel von Google selbst sein: Nach Angaben eines Unternehmensvertreters laufen 75 Prozent davon bereits unter Android 9. (axk)
