ZITIS – oder deutsche Beamte und dieses Internet

Gestern wurde heimlich, im Stillen, während die Medien von EM und #Brexit abgelenkt waren, per Errichtungserlass, eine neue Geheimdienststelle, eine Mini-NSA in Deutschland  beschlossen. Die Aufgabe der “Zentrale Stelle für Informationstechnik im Sicherheitsbereich”(ZITIS), wie es im schönsten Beamtendeutsch heißt, wird es sein, die Verschlüsselung von Messengerdiensten wie WhatsApp oder iMessage zu brechen. Zur Erinnerung: mehr und mehr Firmen setzen wegen dem immer größer werdenden Problem der Cyber-kriminalität, aber auch wegen Überwachungspraktiken von Staaten auf Verschlüsselung. Das Resultat ist, dass das Abhören von Kommunikation schwieriger wird. Netzpolitik zitiert den Dienstauftrag:

Hunderte Spezialisten sollen dort die raffinierten Codes der Anbieter und Hersteller knacken, damit Polizei und Verfassungsschutz weiterhin mitlesen können. Zitis soll als Dienstleister fungieren, der Bundespolizei, Bundeskriminalamt und Verfassungsschutz dabei hilft, Licht ins Dunkel zu werfen. Einzelne Bundesländer sollen später andocken können. Um die gebotene Trennung zwischen Polizei und Geheimdienst nicht zu umgehen, soll Zitis nicht selbst abhören, sondern nur die notwendigen Techniken entwickeln, auf dem freien Markt kaufen oder von befreundeten Staaten übernehmen.

Laut Zeitungsberichten hatte Deutschlands law-and-order Advokat Nr.1, Dr. Wolfgang Schäuble, bereits 2009 diese Idee. Das war 5 Jahre vor Snowden und 6 Jahre bevor große IT-Hersteller anfingen, ihre Kommunikationsdienste zu verschlüsseln. Dies zeigt eindrucksvoll, wessen Geiste Kind dieser Vorschlag ist. Hinter dem unschuldigen Namen steckt ein Angriff auf eine der Kerntechnologien des Internets, über dessen Implikationen in Berlin sicherlich kaum einer nachgedacht hat. Im folgenden werde ich Erläutern, warum diese Stelle problematisch ist.

Eine Prämisse vorweg. Auch wenn es im Zuge der Snowden Leaks immer wieder angezweifelt wurde: “Crypto works!”. Die meisten IT-Sicherheitsdienstleister, aber auch Nachrichtendienste sind sich weitgehend einig, dass die Verschlüsselungstechnologie mathematisch abgesichert ist. Bereits heute wird Verschlüsselung weniger selbst “geknackt”, als vielmehr Schwachstellen im Betriebssystem benutzt um die Daten abgreifen, bevor sie verschlüsselt werden. Aus dieser Prämisse ergeben sich diverse Implikationen:

  • Es kann bezweifelt werden, dass 60 deutschen Technikern gelingt, woran tausende NSA und GCHQ Mitarbeiter in der Vergangenheit gescheitert sind. Die Stelle wird also die Verschlüsselungsalgorithmen vermutlich nicht selbst knacken können.
  • Daraus folgt, dass man auf gute alte Brute-Force Methoden setzen wird. Man probiert einfach alle möglichen Zahlenkombinationen durch. Bis vor kurzem war das eine beliebte Methode iPhones zu knacken, bis Apple sich entschlossen hat Bruteforce technisch zu blockieren. Das bedeutet, dass ZITIS sehr schnell nach mehr Geld rufen könnte, um z.B. Supercomputer anzuschaffen oder diese zumindest mieten wird. Da auch der Einkauf von Sicherheitslücken auf dem Schwarzmarkt kostspielig ist (ein iOS exploit kann schon mal $500000 kosten), wird ZITIS vermutlich recht kostenintensiv.
  • Die zweite Implikation wird sein, dass wir schon bald Rufe der üblichen Verdächtigen haben werden, den Einsatz des gerade erst beschlossenen Bundestrojaners auszuweiten. Wie schon erwähnt ist Malware, die Daten abgreift bevor diese verschlüsselt wird, auch heute schon das Mittel der Wahl um Verschlüsselung zu umgehen. Es ist also nur noch eine Frage der Zeit bis 1+1 zusammengezählt werden wird.
  • Auch wenn im Errichtungsbescheid argumentiert wird, dass der BND draußen bleiben wird, darf dies bezweifelt werden. Nicht nur hat der BND sowohl Expertise als auch Supercomputerzugriff (das nehme ich zumindest an), er hat auch die nötigen Verbindungen zu Auslandsgeheimdiensten um Sicherheitslücken einzukaufen. Der jüngst beschlossene Informationsaustausch zwischen Nachrichtendiensten im In- und Ausland wird vermutlich hier eine Rolle spielen.
  • Andere Initiativen die Auftauchen könnten sind Gag-orders bzw. Entschlüsselungserlasse an Firmen nach Vorbild des amerikanischen CALEA. Gesetze, die Hersteller zwingen die Verschlüsselung ihrer Geräte zu brechen oder zumindest Zugriff gewähren. Solche Diskussionen gibt es gegenwärtig in den USA, UK, Frankreich aber auch in lupenreinen Demokratien wie Russland und China. Das zeigt einmal mehr, dass es zwischen demokratischen und nichtdemokratischen Staaten im Internet nur wenige Unterschiede gibt. Wenn das amerikanische, und rechtsstaatlich hochbedenkliche Modell der “gag orders” in Deutschland Einzug erhält, dürften deutsche Firmen nicht mal vor Gericht klagen.
  • Das größte Geschütz was man auspacken könnte wäre ein Verbot von Verschlüsselung bzw. die staatliche Regulierung dieser. Die USA sind damit 1993 und ihrem Clipper-Chip fundamental gescheitert aber dumme Ideen sterben oftmals nicht. Man darf nur offen, dass deutsche Beamte diesen Irrweg nicht einschlagen werden.
  • Wo wir gerade bei Fragen des Rechtsstaates sind. Dass die Bundesregierung diesen neuen Dienst per Errichtungserlass beschließt, während die Medien mit Brexit und EM beschäftigt sind, ist dreist und fast schon Putinesque. Nicht nur wird eine neue Sicherheitsbehörde am Parlament vorbei beschlossen, sondern es gab auch keinerlei gesellschaftlichen Diskurs zu dieser zentrale Frage des 21. Jahrhunderts. Dabei ist Verschlüsselung ein hohes Gut, sowohl ein Freiheitsrecht als auch ein Garant der Sicherheit. Verschlüsselung zu schwächen bedeutet ein Einschränken von Freiheit und weniger Sicherheit, wie die Expertenkommission des US-Präsidenten zur NSA-Affäre in ihrem Bericht schreibt. Gleichermaßen argumentiert übrigens auch der ehemalige NSA Chef Michael Hayden. Im Namen der Sicherheit, wird also Sicherheit geopfert.
  • Deutschland wird sich verstärkt am Schwarz- bzw. Graumarkt beim Kauf von Sicherheitslücken beteiligen. Auf diesem Markt wird Software bzw. Know-how verkauft, um in IT-Systeme einzubrechen. Dieser Markt ist zentral für das gigantische Problem der Cyber-Kriminalität und Wirtschaftsspionage, deren Bekämpfung sich die Bundesregierung eigentlich auf die Fahne geschrieben hat. Dort kaufen  sowohl legitime Akteure Angriffswege (exploits) für sichere Systeme (etwa zum penetration-testing), aber auch Kriminelle, Terroristen und autoritären Staaten benutzt. IT-Experten sind sich einig: solange kein Weg gefunden wird diesen Markt zu regulieren oder auszutrocknen, bleibt das Problem des Cybercrime. Deutschland wird also nun auch verstärkt Player und vergrößert somit die Unsicherheit von IT-Systemen, denn Nachrichtendienste kaufen diese Lücken nicht um sie dem Hersteller zu melden, damit diese geschlossen werden. Nachrichtendienste kaufen diese Lücken aus Egoismen heraus, um Angriffsvektoren für Cyber-Angriffe und Wirtschaftsspionage offen zu halten. Je mehr Akteure sich an diesem Markt beteiligen, desto größer wird das Problem. Einige Experten argumentieren bereits, dass der Markt für Sicherheitslücken ähnliche Pathologien aufweist wie der globale Drogenhandel.
  • Nachrichtendienste weltweit argumentieren, dass Verschlüsselung dazu führen wird, dass man schon bald nichts mehr wird abhören können. Sie argumentieren so schon seit 1993. An dem “going-dark” Problem ist sicherlich etwas dran, allerdings weisen Überwachungsforscher darauf hin, dass wir in einem “goldenen Zeitalter der Überwachung” leben. Es gibt mittlerweile so viele verschiedene Datenquellen und neue Ermittlungstechniken, dass der Wegfall der “Wanze”, wohl verkraftbar ist. Im Gegensatz zu 1993 gibt es heute biometrische Verfahren, flächendeckende Überwachungskameras, digitale Finanztransaktionen, Soziale-Netzwerkanalyse, DNA-Tests, predictive policing, Autobahnüberwachung durch Mautsysteme, 24h Luftraumüberwachung durch Drohnen, Fluggastdatenaustausch und eben die mächtige Metadatenüberwachung (Vorratsdatenspeicherung), die von Verschlüsselung nicht betroffen ist. Wenn all dies nichts nützt, gibt es immer noch die gute alte “Human Intelligence”, also Agenten, die Zielpersonen observieren, Wanzen in Lichtschalter einbauen oder per Richtmikrofon Wohnräume überwachen. Zu argumentieren, dass Nachrichtendienste bald “blind und taub” seien, ist irreführend.
  • Die deutschen Polizeibehörden bleiben Zahlen und Statistiken schuldig, die das Problem belegen. Der Hinweis, dass mehr und mehr Verschlüsselung Ermittlungen blockiere reicht als Legitimation nicht, zumindest nicht für eine evidenzbasierte Politik, wie sie Sicherheitspolitik eigentlich sein sollte. Wie viele Fälle sind betroffen? Wie viele Ermittlungen gab es und wie oft mussten diese wegen Crypto eingestellt werden? Wie oft wird Kommunikationsüberwachung angewendet? In wie vielen Fällen gibt es keine andere ermittlungstechnische Möglichkeit?

Aus all diesen Punkten wird hoffentlich deutlich, warum die Einführung dieser Behörde im Stillen so problematisch ist.

Advertisements
This entry was posted in Uncategorized and tagged , , , , , . Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s