Inhaltsverzeichnis

Schafft ein Hacker es, eine bisher unbekannte Schwachstelle, ein sogenanntes Zero-Day-Exploit, aufzuspüren, hängt es von seinem Charakter ab, ob er damit nur seine Ehre mehrt oder auch sein Einkommen. Während der letzten Jahre hat sich ein blühender weltweiter Markt für Zero-Day-Exploits entwickelt. Auf Darknet-Portalen verkaufen Hacker sie wie in einem normalen Online-Shop – an Hackerkollegen, an Unternehmen oder staatliche Institutionen und sogar an ihre Opfer. "TheRealDeal Market" etwa ist nur über die Anonymisierungs-Software TOR erreichbar. Statt illegaler Drogen werden hier "Code-Raritäten" feilgeboten, wie es auf der Seite heißt.

Zum Beispiel verkaufte ein Hacker namens Tovi der italienischen Cybersecurity-Firma Hacking Team im Oktober 2013 ein Zero-Day-Exploit des Adobe Flash Players zum Preis von 45000 US-Dollar, anstatt Adobe auf die Schwachstelle aufmerksam zu machen. Ironischerweise flog der Handel auf – nach einem Hack gegen Hacking Team selbst: Im Oktober 2014 waren rund 400 Gigabyte firmeninterner Daten von Hacking Team mithilfe des Filesharing-Protokolls Bittorrent veröffentlicht worden, inklusive der Rechnungen und E-Mails, aus denen hervorging, dass Hacking Team Zero-Day-Exploits kauft und weltweit Unternehmen und Regierungen anbietet.

Just in diese Gemengelage platzen Regierungen nun mit einem Vorhaben, das die Sicherheit im Netz weiter schwächen dürfte – falls es umgesetzt wird. Vordergründig geht es nur um verschlüsselte Kommunikation: Aus Sorge vor der wachsenden Terrorismusgefahr fordern Nachrichtendienste wie der britische GCHQ und die amerikanische NSA einen Sonderzugang, um alle verschlüsselte Kommunikation mitlesen zu können. Englands Premierminister David Cameron kündigte bereits für den Herbst dieses Jahres an, entsprechende Gesetze erarbeiten zu lassen. Konkret soll alle verschlüsselte Kommunikation samt der Schlüssel gespeichert werden und mit einer Art Generalschlüssel, der nur mit richterlichem Beschluss zugänglich ist, entschlüsselbar bleiben.

In Wahrheit würde die Maßnahme jedoch viel weitere Kreise ziehen. Denn die Softwareschlüssel dienen auch zur Authentifizierung: Nur über sie weiß etwa ein Microsoft-Programm, dass ein Update wirklich von Microsoft stammt – und keine Schadsoftware ist. Kämen sie in die Hände von Hackern, stünde ihnen Tür und Tor offen. Viele IT-Sicherheitsexperten halten Camerons Vorschläge daher für Unsinn. In einem gemeinsam verfassten Artikel warnten im Juni 15 US-Professoren davor, sich von den bewährten Verfahren der IT-Sicherheit abzuwenden. Dazu gehöre vor allem das Prinzip der Vorwärtssicherheit, also einmal verwendete Schlüssel nicht zu speichern, sondern nach dem Ver- und Entschlüsseln sofort zu löschen.

"Das Prinzip stellt sicher, dass ein Angreifer keine Schlüssel mehr auf einem Rechner finden kann, die in der Vergangenheit genutzt wurden", sagt Ronald Rivest, Mitautor des Artikels und Professor für Elektrotechnik und Informatik am Massachusetts Institute of Technology. "Vorwärtssicherheit bedeutet damit, dass keine Nachrichten aus der Vergangenheit mehr entschlüsselbar sind, selbst wenn jemand sie auf ihrem Weg abfängt und kopiert."

Ein behördlicher Sonderzugriff auf verschlüsselte Kommunikation verlange nach einer extrem aufwendigen globalen Verwaltung der Schlüssel mit Tausenden von Mitarbeitern. "So etwas würde auch die Gefahr von Insider-Angriffen erhöhen", gibt Rivest zu bedenken. Je komplexer ein System, desto schwächer sei seine Sicherheit. "Und desto wahrscheinlicher treten neue unbekannte Schwachstellen und Exploits auf."

Rivest und Diffie sind sich einig, dass ein Sonderzugang zu verschlüsselter Kommunikation bestenfalls "dumme Kriminelle" überführen kann. Denn per sogenannter Peer-to-Peer-Kommunikation könnten die Täter einen dazwischengeschalteten Service-Provider einfach umgehen. Für halbwegs versierte Bösewichte ist das kein Problem. Auch aus rechtlicher Perspektive scheint ein Verschlüsselungsverbot fragwürdig.

Obendrein sind auch staatliche Institutionen nicht datensicher. Das haben nicht nur die Snowden-Enthüllungen gezeigt, sondern auch der Angriff auf das interne Netzwerk des deutschen Bundestags Parlakom: Anfang Mai berichtete "Spiegel Online" von einer mehrere Tage währenden Attacke. Rund einen Monat später schrieb "Die Welt" unter Berufung auf Sicherheitskreise, dass sich eine Schadsoftware auf einem Rechner installiert habe, als ein Parlamentsmitarbeiter einen Link in einer E-Mail angeklickt hatte. Erst als fast alle 20000 Rechner des Netzwerks befallen waren und interne Daten nach außen versandt hatten, fiel der Angriff auf.

Anders als beim Ölkonzern Saudi Aramco waren für die Überwachung des Bundestags-Netzwerks allerdings nicht eine Handvoll IT-Mitarbeiter während des Ramadans zuständig, sondern die Experten des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Aus vertraulichen Dokumenten, die eine Quelle im Bundestag an die "Bild"-Zeitung geschickt hatte, wurde deutlich, dass der Abfluss von Daten dem BSI selbst gar nicht aufgefallen war. Erst ein ausländisches Unternehmen, das für eine befreundete Regierung arbeitet, machte das BSI darauf aufmerksam, dass Parlakom womöglich gerade angegriffen wurde.

Thomas Rid vom University College London betont, dass es besonders bei den deutschen Sicherheitsbehörden extremen Nachholbedarf gebe. Mit gerade mal 15 ausreichend qualifizierten und erfahrenen Mitarbeitern sei das BSI personell hoffnungslos unterbesetzt. Eigene Expertise fehle weitgehend. Deshalb seien deutsche Behörden heute von ausländischen Firmen und Sicherheitsdiensten abhängig.

Solange also Unternehmen und Behörden die Experten fehlen und sie ihre Mitarbeiter nicht besser schulen, solange bekannte Exploits jahrelang nicht geflickt werden und viele Softwareprogramme eine feindliche Übernahme so einfach machen wie heute, solange bleibt es für Hacker leicht, im großen Stil Daten abzugreifen. Das Zeitalter der Massenhacks, so scheint es, hat gerade erst begonnen. (bsc)