Westliche Nachrichtendienste wie die US-amerikanische National Security Agency (NSA) und die britischen Government Communications Headquarters (GCHQ), aber auch der Bundesnachrichtendienst (BND) spielen eine verhängnisvolle Rolle im Umgang mit Integrität und Vertraulichkeit von Kommunikations- und Authentifizierungssystemen. Digitale Systeme und Netzwerke werden systematisch korrumpiert und gestört, wobei die beteiligten Dienste offenbar selbst nicht einmal davor zurückschrecken, auf illegalem Wege den Schutz dieser Systeme auszuhebeln. Beispiele gefällig? Der britische Geheimdienst GCHQ ist in die Systeme des niederländischen Chipkartenherstellers Gemalto eingebrochen und hat dort offenbar Millionen von Schlüsseln entwendet, die für die Authentifizierungs- und Verschlüsselungsfunktionen der u. a. damit erstellten Bankkarten, Krankenkarten und Telefonkarten benötigt werden. Die Integrität der darauf basierten Mechanismen ist grundsätzlich in Frage gestellt worden. Die gesetzlich geschützte Vertraulichkeit der Mobilfunkkommunikation, von Krankenakten wie Bankkonten ist damit mutmaßlich gebrochen worden. Im Februar wurde bekannt, dass es Außenstehenden verhältnismäßig leicht fällt, IP-Telefonate abzuhören. Laut Telekommunikationsanbietern ist die fehlende Standardisierung einer Verschlüsselung dafür ein Grund. Sicherheitsexperten und Datenschützer weisen darauf hin, dass Geheimdienstmitarbeiter an diesen Standardisierungen mitarbeiten und aktiv darauf hinwirken, dass Verschlüsselungen nicht zum Standard werden, damit die Überwachung und Ausforschung solcher Kommunikation einfach fällt. Teilnehmer des Bundesnachrichtendienstes und anderer Geheimdienste nehmen regelmäßig an Standardisierungsdefinitionen von elektronischer Kommunikation und Authentifizierung teil. Auf dem letztjährigen Chaos Communications Congress haben Sicherheitsexperten Mängel im Signalling System #7 (SS7), einer Sammlung von Signalisierungsprotokollen in Mobilfunknetzen aufgedeckt. Auch hier wird Einfluss von Nachrichtendiensten auf die fehlerhafte Standardisierung angenommen. Diese Lücken erlauben es, Mobilfunk weltweit ohne Zugriff auf die Telefone umzuleiten und abzuhören sowie den Träger eines Mobiltelefons weltweit zu orten. Bestechungsgeld für NSA-Hintertür Für Besorgnis hatte die Information gesorgt, dass die NSA dem IT-Verschlüsselungssystemhersteller RSA Security Inc., eine Tochtergesellschaft der EMC Corporation mit Sitz in Massachusetts und Zweigstellen unter anderem in Irland und Großbritannien, insgesamt 10 Millionen Dollar dafür gezahlt hat, dass sie in die Sicherheitsbibliothek eine Krypto-Backdoor der NSA implementierte hat. Zuvor hatte die NSA beim National Institute of Standards and Technology (NIST) bewirkt, dass zum vermeintlichen Schutz von Verschlüsselungen ausgerechnet ein fragwürdiger Zufallszahlengenerator der NSA zum Standard für Kryptoanwendungen definiert wurde. Es ist davon auszugehen, dass die Geheimdienste damit Zugriff auf sämtliche mit diesen Standards realisierten Sicherheits- und Verschlüsselungssystemen haben. RSA stellt unter anderem auch Sicherheitstokens für den Zugriff auf IT-Systeme her, wie sie beispielsweise im nordrhein-westfälischen Landtag verwendet werden. Die NSA unterhält eine Abteilung mit der Bezeichnung Office of Tailored Access Operations (TAO). Diese sammelt und erstellt Sicherheitslücken in IT-Systemen, Soft- und Hardware. Nicht jedoch, um diese dann zu schließen und die diese Systeme nutzenden Organisationen und Menschen zu schützen, sondern um maßgeschneiderte Angriffs- und Spionagewerkzeuge dafür zu bauen. Ein fünfzig seitiger Katalog von darauf basierenden Angriffswerkzeugen ist Ende 2013 bekannt geworden. Sicherheitslücken in Festplatten, Mobiltelefonen, Internet-Infrastruktur, USB-Ports und vielen weiteren Systemen sind darin dokumentiert. Manche weltweit zu beobachtende Malware-Angriffe wie Stuxnet und Regin basieren augenscheinlich auf den dort beschriebenen Sicherheitslücken und Angriffswerkzeugen. Sicherheitslücken können nicht nur von befreundeten Geheimdiensten, sondern auch von feindlich gesinnten Diensten, Verbrechern und Erpressern genutzt werden. Dieses Vorgehen der Nachrichtendienste sorgt also nicht für Sicherheit, sondern im Gegenteil für … Weiterlesen →