Es gibt kein sicheres Internet

„Das Internet ist ein Informationssystem, dass über viele Jahre und Jahrzehnte gewachsen ist, ein komplexes Ökosystem, dass von vielen Menschen gemacht wurde. Es ist organisch gewachsen, folglich hat es Probleme – gerade was die Sicherheit angeht. Fehler auf jeder Ebene können zu Angriffen führen“, so Michael Backes, Professor an der Universität des Saarlands. „Wenn ich eine Ebene brechen kann sind mir die anderen egal. Die bestehenden Systeme wurden auch nicht entworfen, um a priori sicher zu sein. Sie wurden entworfen um nützlich zu sein. Sicherheit war kein Designkriterium des Internets.“

Der Weg aller Soft- und Hardware ist eine lange Kette, die in dem Rechner endet, der jetzt vor Ihnen auf dem Tisch steht. Die Kette beginnt in verschiedenen Firmen, welche die Einzelteile des Rechners produzieren, diese versenden und zusammensetzen. Auch durch schlechte Sicherheitstechnologien, online und offline, werden Angriffe ermöglicht.

Trojaner sind ab Werk auf den Chips

Ein Angriff kann schon im ersten Glied der Kette erfolgen: In der Planungsphase der Hardware. Es ist möglich die Chips so zu entwerfen, dass in ihnen Malware integriert ist, denn jede Softwarerealisierung ist maximal so gut, wie die Hardware, auf der sie basiert. „Es wurde gezeigt, dass selbst Hardwarechips inzwischen aufgeätzte also aufgelötete Komponenten haben, die bereits Hintertüren sind – in Ihrem Rechner. Egal was sie aufspielen – sie haben verloren. In dem Moment“, so Michael Backes.

Ein Nutzer kann das nicht nachvollziehen, denn äußerlich ist dem Chip nicht anzusehen, ob er mit einer Schaltung versehen ist, die für Angreifer eine Hintertür öffnet. Auch mit Antivirusprogrammen ist dieser Art des Angriffs nicht beizukommen. Wenn überhaupt kann man diesen Angriff nur erkennen, wenn man die Pläne der Leiterplatte einsehen kann. Diese behalten die Firmen allerdings für gewöhnlich unter Verschluss.

Der Angriff kann auch während des Versandes stattfinden. Michael Backes weiß von Vorfällen, „wo einfach gewisse Dinge ausgetauscht wurden. Es gibt Beispiele, wo Sie einen USB-Stick aus der eingeschweißten Verpackung nehmen und der hat schon einen Virus drauf.“

Jeder kann einen Emailaccount hacken

Bei vielen Mailaccounts kann das Passwort zurückgesetzt werden, indem persönliche Fragen beantwortet werden. „Wie war der Name deines ersten Haustieres?“ oder „Wie heißt dein Lieblingsfußballverein?“ sind typische Fragen. Die Verwalter der Mailaccounts davon aus, dass nur die jeweiligen Personen solche persönlichen Dinge über sich wissen. Viele dieser Informationen sind öffentlich über soziale Netzwerke wie Facebook einzusehen. Der Angreifer muss nur auf das jeweilige Profil gehen und die Information in das Formular eintragen. Dann kann er das Passwort neu setzen und hat Zugriff auf das Mailkonto. Dieser Angriff kann von praktisch jedem durchgeführt werden, der nur ein bisschen etwas darüber weiß, wie soziale Netzwerke und Suchmaschinen funktionieren.

Professionelle Angreifer haben ganz andere Möglichkeiten. Diese professionellen Angreifer sind keine einzelnen Personen, sondern ganze Unternehmen: Geheimdienste, Militärs und gut organisierte Kriminelle. Diese haben Milliarden an Dollar im Rücken um mit großen Teams von Entwicklerinnen Schadsoftware zu programmieren.

Auch Verschlüsselung kann in einer früheren Phase gebrochen werden: „Erste Stelle ist mal nicht die Kryptographie algorythmisch, sondern die Art und Weise wie sie realisiert wird anzugreifen. Die NSA tut sich, nach allem was wir wissen, schwer Kryptographie zu brechen. Also schwächt die NSA die Verschlüsselung ab.“ Die NSA sitzt in einem Gremium, welches die Grundlage für die Berechnung von Zufallszahlen bestimmt. Zufallszahlen sind wichtig, um eine sichere Verschlüsselung zu gewährleisten. Wenn der Zahlenraum kleiner wird, in welchem sich die Zufallszahlen bewegen, ist die Verschlüsselung leichter zu brechen.

Schlüssel oder Gefängnis

Wenn das alles nichts hilft, es keine Angriffspunkte gibt, ist es der NSA als staatlicher Organisation auch noch möglich, den Rechtsweg zu beschreiten. Verdächtige werden unter Androhung von Strafe dazu gezwungen ihre geheimen Schlüssel herauszugeben. „Die NSA bemüht dazu das Konzept des Securityletters – das ist nichts anderes als ein eingeschriebener Brief, in dem steht „Wir sind die NSA, bitte Schlüssel aushändigen oder Gefängnis und du darfst nicht darüber reden, sonst Gefängnis.“, so Michael Backes. Durch das auferlegte Redeverbot ist dieses Vorgehen auch nicht nachweisbar.

In den meisten Fällen sind all dies viel leichtere Möglichkeiten an die gewünschten Daten zu kommen, als tatsächlich die Verschlüsselung zu brechen. In Anbetracht des finanziellen Backgrounds, der Expertise in den Geheimdiensten und den kriminellen Hackergruppen ist es praktisch unmöglich einen Rechner gegen diese Angreifer sicher zu machen. Aber was man als Nutzer, als Nutzerin machen kann: Man kann den Angreifern das Leben schwer machen, den nichts ist so leicht zu lesen wie unverschlüsselte Kommunikation.