Es ist wieder einmal soweit, ein Thema, welches bis jetzt nur von Spezialisten und Experten diskutiert und behandelt wurde, hat es in die Tagesaktualität geschafft. Worum geht es? In den letzten Tagen, wurde das Thema unter dem Hashtag #Cryptoleaks bekannt. Die Crypto AG, Zug, welche seit 1972 im Besitz der deutschen und amerikanischen Geheimdienste war, hatte über Jahre Verschlüsselungsgeräte mit Hintertüren hergestellt und ausgeliefert. Diese Firma hatte ihren Sitz in der Schweiz, deshalb wurde nun daraus plötzlich ein „Skandal“. Doch wird diese Mahlzeit wirklich so heiss gegessen, wie sie offenbar gekocht wurde? Nimmt die Schweiz Schaden, weil sie einer Firma eine Heimat bot, die offensichtlich ihre Kunden hinterging?
Bereits wird darüber debattiert, ob sich die Schweiz in diesem Zusammenhang schuldig gemacht habe, insbesondere ob sie ihre Neutralität verletzt hätte. Diese Frage lässt sich eigentlich nur beantworten, wenn man mit Sicherheit feststellen kann, dass die Behörden über die Machenschaften der Firma Crypto Bescheid wussten. Diese Frage sollen die Politiker und Untersuchungsbehörden klären.
Was mich an dieser Stelle als Verwaltungsrat und Miteigentümer von Schweizer Sicherheits- und Technologiefirmen viel mehr interessiert:
Sind die IT-Industrie oder die IT-Sicherheitsanbieter in der Schweiz von #Cryptoleaks direkt betroffen? Welche Lehren sollten die Anwender daraus ziehen?
Um dies beurteilen zu können, bedarf es einer kurzen Analyse des Umfelds und der Entwicklung.
Faktor 1: Das ist kein normaler Markt
Wer seine Kunden hintergeht, wird normalerweise vom Markt bestraft. Firmen wie die Crypto AG hatten es aber fast ausschliesslich mit obskuren Kunden („Staaten“) zu tun. Damit wurde über ihre Geschäftstätigkeiten immer der Mantel des Schweigens gehüllt. Kein Detail durfte nach aussen dringen. Was immer als Mittel zur Wahrung der Geschäftsgeheimnisse verkauft wurde, in Tat und Wahrheit ganz andere Gründe. Die Anbieter der geheimen Verschlüsselungsverfahren haben darauf gesetzt, dass sich ihre Kunden damit begnügen, dass sie eine Technologie erhalten, die offenbar auch in anderen Ländern eingesetzt wurden. Wie sicher diese Technologie war, konnten nur Länder in Erfahrung bringen, welche technischen Mittel und das notwendige Personal dazu hatten. Es ist davon auszugehen, dass die Geheimdienste dieses Wissen nicht gerne tauschten. Dies spielte Firmen wie der Crypto direkt in die Hand. Sie konnten jahrelang veraltete Verschlüsselungstechnologie zu exorbitanten Preisen anbieten, ohne grosse Risiken einzugehen. Die Mehrzahl der Kunden konnten kaum in Erfahrung bringen, wie sicher ihre Verschlüsselungssysteme tatsächlich waren. Dies führte zweifellos dazu, dass Systeme im Einsatz waren, die auch ohne Hintertüre problemlos zu knacken waren.
Faktor 2: Es passiert in jedem Land
Wir bewegen uns hier in der Sphäre der Geheimdienste und zu 99% bei der Kommunikation von geheimen, meist militärischen Informationen. Es liegt in der Natur der Sache, dass sich die Protagonisten in diesem Spiel bedeckt halten. Das Wissen über die Kommunikationskanäle und über die darüber verbreiteten Informationen war schon immer eine wichtige Kompetenzdomäne der Geheimdienste. Man kann also nicht wirklich überrascht sein, wenn diese versuchen, offensichtlich sichere Geräte zu knacken oder anderweitig Kontrolle über die Hersteller auszuüben. Aus deren Sicht ist das legitim und gehört zum Geschäft. Dies gilt sowohl für die inländischen wie auch die ausländischen Spieler und deren Auftraggeber. Ihnen ist dabei völlig egal, in welchem Land ein Hersteller von solchen Sicherheitssystemen ansässig ist. Oder mit anderen Worten: In allen Ländern, in welchen Sicherheitsfirmen tätig sind und in welchen die erwähnten Geheimdienste aktiv sind, werden einige von Ihnen die Kontrolle über diese Firmen haben.
Faktor 3: Geheimdienste passen ihre Strategie den Rahmenbedingungen an
Die grossen Spieler verfügten zweifellos über die technischen Möglichkeiten, um Verschlüsselungssystem zu knacken. Bis in die neunziger Jahre war das Knacken von Verschlüsselungs-Hardware die gängige Methode, um an geheime Botschaften zu gelangen (vgl. Enigma). Entweder man kannte das Verfahren oder man hatte Zugriff auf die Schlüssel, am besten war natürlich beides. Mit dem Aufkommen sicherer Verschlüsselungsverfahren, die zudem noch durch jedermann in Software implementiert werden konnten, wurde das nun plötzlich zur Herausforderung für die Geheimdienste (ich verweise hier auf meinen Artikel, in welchem ich die Entwicklung der Informationssicherheit in den Neunziger Jahren beschreibe). Nach vergeblichen Versuchen, die Verschlüsselungstechnologie zu bändigen, in dem man die Anbieter zwingen wollte, ihre Software zu „kastrieren“ (Key Escrow, Clipper Chip), musste eine neue Strategie her. Beherrscht man die Technologie nicht mehr, dass versucht man es mit den üblichen Methoden der Geheimdienste. Dabei ist zentral, dass ein wichtiges Mittel fast grenzenlos zur Verfügung steht: Kapital. Damit lassen sich Firmen kaufen, was natürlich viel einfacher ist, als den mühsamen Umweg über die Kryptoanalyse oder andere, dunklere Machenschaften zu beschreiten.
Die Amerikaner haben diese Strategie spätestens seit den neunziger Jahren intensiv umgesetzt, um über die nicht beherrschbaren Verschlüsselungsverfahren Kontrolle zu gewinnen. Das ist in sehr gut gelungen, denn es gibt kaum mehr unabhängige Sicherheitsunternehmen, die zentrale Sicherheitskomponenten wie Firewalls oder Virenscanner herstellen.
Faktor 4: Heute sind die Bedrohungen viel grösser
Das soll keine billige Entschuldigung dafür sein, dass die Praktiken der Geheimdienste verwerflich sind und waren. Trotzdem muss man die aktuellen Bedrohungen erwähnen, damit die Dimensionen klar werden. Heute werden wir alle, meist unter dem Deckmantel von Terrorismusbekämpfung, systematisch ausspioniert. Die NSA und Co. haben ihre Strategien soweit diversifiziert, dass sie sämtliche Angebote, welche im Internet lauern, infiltrieren können. Dies tun sie entweder direkt oder durch Druck auf die heimische Industrie. Das dies auch China und andere Staaten mit ihren Technologiefirmen machen, ist selbstverständlich. Die Möglichkeiten dazu sind heute so vielfältig, dass man fast dumm sein muss, um keinen Zugang zu Daten zu finden. Man könnte auch von der „guten alten Zeit“ reden. Denn obwohl auch damals Personen überwacht und fichiert wurden, wird heute mit viel perfideren Methoden gearbeitet und die Überwachung ist flächendeckend.
Schlussfolgerungen:
Wenn sich jetzt also Politiker und Vertreter der Wirtschaft genötigt fühlen, aus einer Mücke einen Elefanten zu machen, dann soll ihnen das gut tun. Diese Affäre wird so schnell vergessen sein, wie sie gekommen ist. Die Schweizer IT-Industrie wird keinen Schaden nehmen, denn dazu ist sie schlicht zu klein und unbedeutend. Auch vielen Wirtschaftsvertretern scheint nicht bewusst zu sein, dass es sich hier um ein Thema handelt, welches sich im Dunstkreis der Geheimdienste abspielte. Was mich viel mehr bedrückt: Die flächendeckende Überwachung scheint für die Mehrheit der Politiker kein Thema zu sein. Die gesellschaftliche Entwicklung führt vielmehr dazu, dass man die eigenen Daten nicht mehr als wertvolles Gut schätzt und nachlässig damit umgeht (vgl. dazu meine Artikelserie zum Thema Datenschutz und DS-GVO).
10 Empfehlungen für die Industrie und die Anwender:
- Als Anwender müssen SIE sich aktiv mit Sicherheitsfragen auseinander setzen und ihre Risiken beurteilen. Risiko Management kann man NICHT outsourcen (vor allem als VR nicht).
- Geheime und/oder proprietäre Verschlüsselungsverfahren sind unsicher und im Zweifelsfall bereits geknackt. Sie dürfen nicht eingesetzt werden. Dies gilt für Anbieter wie auch Anwender! Lassen sie sich keine obskuren Sicherheitsverfahren oder Methoden andrehen. Gegenwärtig geht der Trend in Richtung AI. Nicht publizierte und nachvollziehbare „obskure“ AI Verfahren dürfen nicht implementiert werden. Machen sie einen grossen Bogen um Anbieter, die um ihre Sicherheitsverfahren ein grosses Brimborium veranstalten.
- Ende-zu-Ende Verschlüsselung mit öffentlichen Algorithmen und eigener Implementierung ist nach wie vor die einzige Möglichkeit, Daten einigermassen gut abzusichern. Verschlüsselungsverfahren sind nur so gut wie ihre Implementierung. Sicherheitsprodukte ohne neutrale Drittbegutachtung/Zertifikate sind nur bedingt verlässlich.
- Das Schlüsselmanagement stellt immer eine grosse Herausforderung dar. Das beste Verschlüsselungsverfahren nützt nichts, wenn mit den Schlüsseln unsorgfältig umgegangen wird.
- Das Verschieben von vertraulichen Daten in ausländisch beherrschte Clouds stellt ein hohes Sicherheitsrisiko dar (dabei spielt es keine Rolle, ob der Server in der Schweiz steht). Im Zweifelsfall muss man davon ausgehen, dass der Anbieter in seiner Lösung eine Backdoor eingebaut hat. Länder, welche über einen sehr aktiven Geheimdienst verfügen, sind hinlänglich bekannt…
- Es sollten nur solche Sicherheitsanbieter berücksichtigt werden, deren Besitzverhältnisse offengelegt wurden und die Eigentümerschaft klar ist.
- Beim kleinsten Zweifel muss der Sicherheitsanbieter gewechselt werden.
- Social Engineering hat auch bei Verschlüsselungssystemen ein hohes Bedrohungspotenzial (z.B. Ausforschen von Schlüsseln).
- Als Anbieter weiss ich jederzeit, wer in meinem Aktionariat sitzt und wie die Besitzverhältnisse aussehen. Ich kontrolliere alle Eigentumsverschiebungen.
- Anwender als auch Anbieter informieren sich laufend über die aktuellen Bedrohungsmuster. Dabei sind auch Bedrohungen zu berücksichtigen, welche nicht technischer Natur sind, sondern sich um Besitzverhältnisse drehen oder um die Beherrschung einer bestimmten Technologie.
Quellen:
Statt vieler verweise ich ausdrücklich auf den neuesten Newsletter von Bruce Schneier vom 15.2.2020 und den darin referenzierten Quellen:
Crypto AG Was Owned by the CIA
[2020.02.11] The Swiss cryptography firm Crypto AG sold equipment to governments and militaries around the world for decades after World War II. They were owned by the CIA:
But what none of its customers ever knew was that Crypto AG was secretly owned by the CIA in a highly classified partnership with West German intelligence. These spy agencies rigged the company’s devices so they could easily break the codes that countries used to send encrypted messages.
This isn’t really news. We have long known that Crypto AG was backdooring crypto equipment for the Americans. What is new is the formerly classified documents describing the details:
The decades-long arrangement, among the most closely guarded secrets of the Cold War, is laid bare in a classified, comprehensive CIA history of the operation obtained by The Washington Post and ZDF, a German public broadcaster, in a joint reporting project.
The account identifies the CIA officers who ran the program and the company executives entrusted to execute it. It traces the origin of the venture as well as the internal conflicts that nearly derailed it. It describes how the United States and its allies exploited other nations‘ gullibility for years, taking their money and stealing their secrets.
The operation, known first by the code name „Thesaurus“ and later „Rubicon,“ ranks among the most audacious in CIA history.
EDITED TO ADD: More news articles. And a 1995 story on this. It’s not new news.
Lesenswert:
Schneier, Bruce. Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World (S.343). W. W. Norton & Company.
Hier wird explizit auch das Backdoor der Crypto AG erwähnt: „This isn’t new. In the 1980s and 1990s, the NSA inserted backdoors into the hardware encryption products sold by the Swiss company Crypto AG. Scott Shane and Tom Bowman (4 Dec 1995), “Rigging the game,” Baltimore Sun , http://cryptome.org/jya/nsa-sun.htm. Wayne Madsen (Winter 1998), “Crypto AG: The NSA’s Trojan whore?” Covert Action Quarterly 63, http://mediafilter.org/caq/cryptogate“
PS: Damit erübrigt sich wohl die Frage, ob man das damals gewusst hatte…
