Es ist wieder einmal soweit, ein Thema, welches bis jetzt nur von Spezialisten und Experten diskutiert und behandelt wurde, hat es in die Tagesaktualit\u00e4t geschafft. Worum geht es? In den letzten Tagen, wurde das Thema unter dem Hashtag #Cryptoleaks bekannt. Die Crypto AG, Zug, welche seit 1972 im Besitz der deutschen und amerikanischen Geheimdienste war, hatte \u00fcber Jahre Verschl\u00fcsselungsger\u00e4te mit Hintert\u00fcren hergestellt und ausgeliefert. Diese Firma hatte ihren Sitz in der Schweiz, deshalb wurde nun daraus pl\u00f6tzlich ein \u201eSkandal\u201c. Doch wird diese Mahlzeit wirklich so heiss gegessen, wie sie offenbar gekocht wurde? Nimmt die Schweiz Schaden, weil sie einer Firma eine Heimat bot, die offensichtlich ihre Kunden hinterging?<\/p>\n
Bereits wird dar\u00fcber debattiert, ob sich die Schweiz in diesem Zusammenhang schuldig gemacht habe, insbesondere ob sie ihre Neutralit\u00e4t verletzt h\u00e4tte. Diese Frage l\u00e4sst sich eigentlich nur beantworten, wenn man mit Sicherheit feststellen kann, dass die Beh\u00f6rden \u00fcber die Machenschaften der Firma Crypto Bescheid wussten. Diese Frage sollen die Politiker und Untersuchungsbeh\u00f6rden kl\u00e4ren.<\/p>\n
<\/p>\n
Was mich an dieser Stelle als Verwaltungsrat und Miteigent\u00fcmer von Schweizer Sicherheits- und Technologiefirmen viel mehr interessiert:<\/p>\n
<\/p>\n
<\/p>\n
Um dies beurteilen zu k\u00f6nnen, bedarf es einer kurzen Analyse des Umfelds und der Entwicklung.<\/p>\n
<\/p>\n
Wer seine Kunden hintergeht,\u00a0 wird normalerweise vom Markt bestraft.\u00a0 Firmen wie die Crypto AG hatten es aber fast ausschliesslich mit obskuren Kunden (\u201eStaaten\u201c) zu tun. Damit wurde \u00fcber ihre Gesch\u00e4ftst\u00e4tigkeiten immer der Mantel des Schweigens geh\u00fcllt. Kein Detail durfte nach aussen dringen. Was immer als Mittel zur Wahrung der Gesch\u00e4ftsgeheimnisse verkauft wurde, in Tat und Wahrheit ganz andere Gr\u00fcnde. Die Anbieter der geheimen Verschl\u00fcsselungsverfahren haben darauf gesetzt, dass sich ihre Kunden damit begn\u00fcgen, dass sie eine Technologie erhalten, die offenbar auch in anderen L\u00e4ndern eingesetzt wurden. Wie sicher diese Technologie war, konnten nur L\u00e4nder in Erfahrung bringen, welche technischen Mittel und das notwendige Personal dazu hatten. Es ist davon auszugehen, dass die Geheimdienste dieses Wissen nicht gerne tauschten. Dies spielte Firmen wie der Crypto\u00a0 direkt in die Hand. Sie konnten jahrelang veraltete Verschl\u00fcsselungstechnologie zu exorbitanten Preisen anbieten, ohne grosse Risiken einzugehen. Die Mehrzahl der Kunden konnten kaum in Erfahrung bringen, wie sicher ihre Verschl\u00fcsselungssysteme tats\u00e4chlich waren. Dies f\u00fchrte zweifellos dazu, dass Systeme im Einsatz waren, die auch ohne Hintert\u00fcre problemlos zu knacken waren.<\/p>\n
<\/p>\n
Wir bewegen uns hier in der Sph\u00e4re der Geheimdienste und zu 99% bei der Kommunikation von geheimen, meist milit\u00e4rischen Informationen. Es liegt in der Natur der Sache, dass sich die Protagonisten in diesem Spiel bedeckt halten. Das Wissen \u00fcber die Kommunikationskan\u00e4le und \u00fcber die dar\u00fcber verbreiteten Informationen war schon immer eine wichtige Kompetenzdom\u00e4ne der Geheimdienste. Man kann also nicht wirklich \u00fcberrascht sein, wenn diese versuchen, offensichtlich sichere Ger\u00e4te zu knacken oder anderweitig Kontrolle \u00fcber die Hersteller auszu\u00fcben. Aus deren Sicht ist das legitim und geh\u00f6rt zum Gesch\u00e4ft. Dies gilt sowohl f\u00fcr die inl\u00e4ndischen wie auch die ausl\u00e4ndischen Spieler und deren Auftraggeber. Ihnen ist dabei v\u00f6llig egal, in welchem Land ein Hersteller von solchen Sicherheitssystemen ans\u00e4ssig ist. Oder mit anderen Worten: In allen L\u00e4ndern, in welchen Sicherheitsfirmen t\u00e4tig sind und in welchen die erw\u00e4hnten Geheimdienste aktiv sind, werden einige von Ihnen die Kontrolle \u00fcber diese Firmen haben.<\/p>\n
<\/p>\n
Die grossen Spieler verf\u00fcgten zweifellos \u00fcber die technischen M\u00f6glichkeiten, um Verschl\u00fcsselungssystem zu knacken. Bis in die neunziger Jahre war das Knacken von Verschl\u00fcsselungs-Hardware die g\u00e4ngige Methode, um an geheime Botschaften zu gelangen (vgl. Enigma<\/a>). Entweder man kannte das Verfahren oder man hatte Zugriff auf die Schl\u00fcssel, am besten war nat\u00fcrlich beides. Mit dem Aufkommen sicherer Verschl\u00fcsselungsverfahren, die zudem noch durch jedermann in Software implementiert werden konnten, wurde das nun pl\u00f6tzlich zur Herausforderung f\u00fcr die Geheimdienste (ich verweise hier auf meinen Artikel<\/a>, in welchem ich die Entwicklung der Informationssicherheit in den Neunziger Jahren beschreibe). Nach vergeblichen Versuchen, die Verschl\u00fcsselungstechnologie zu b\u00e4ndigen, in dem man die Anbieter zwingen wollte, ihre Software zu \u201ekastrieren\u201c (Key Escrow, Clipper Chip), musste eine neue Strategie her. Beherrscht man die Technologie nicht mehr, dass versucht man es mit den \u00fcblichen Methoden der Geheimdienste. Dabei ist zentral, dass ein wichtiges Mittel fast grenzenlos zur Verf\u00fcgung steht: Kapital. Damit lassen sich Firmen kaufen, was nat\u00fcrlich viel einfacher ist, als den m\u00fchsamen Umweg \u00fcber die Kryptoanalyse oder andere, dunklere Machenschaften zu beschreiten.<\/p>\n Die Amerikaner haben diese Strategie sp\u00e4testens seit den neunziger Jahren intensiv umgesetzt, um \u00fcber die nicht beherrschbaren Verschl\u00fcsselungsverfahren Kontrolle zu gewinnen. Das ist in sehr gut gelungen, denn es gibt kaum mehr unabh\u00e4ngige Sicherheitsunternehmen, die\u00a0 zentrale Sicherheitskomponenten wie Firewalls oder Virenscanner herstellen.<\/p>\n <\/p>\n Das soll keine billige Entschuldigung daf\u00fcr sein, dass die Praktiken der Geheimdienste verwerflich sind und waren. Trotzdem muss man die aktuellen Bedrohungen erw\u00e4hnen, damit die Dimensionen klar werden. Heute werden wir alle, meist unter dem Deckmantel von Terrorismusbek\u00e4mpfung, systematisch ausspioniert. Die NSA und Co. haben ihre Strategien soweit diversifiziert, dass sie s\u00e4mtliche Angebote, welche im Internet lauern, infiltrieren k\u00f6nnen. Dies tun sie entweder direkt oder durch Druck auf die heimische Industrie. Das dies auch China und andere Staaten mit ihren Technologiefirmen machen, ist selbstverst\u00e4ndlich. Die M\u00f6glichkeiten dazu sind heute so vielf\u00e4ltig, dass man fast dumm sein muss, um keinen Zugang zu Daten zu finden. Man k\u00f6nnte auch von der \u201eguten alten Zeit\u201c reden. Denn obwohl auch damals Personen \u00fcberwacht und fichiert wurden, wird heute mit viel perfideren Methoden gearbeitet und die \u00dcberwachung ist fl\u00e4chendeckend.<\/p>\n <\/p>\n Wenn sich jetzt also Politiker und Vertreter der Wirtschaft gen\u00f6tigt f\u00fchlen, aus einer M\u00fccke einen Elefanten zu machen, dann soll ihnen das gut tun. Diese Aff\u00e4re wird so schnell vergessen sein, wie sie gekommen ist. Die Schweizer IT-Industrie wird keinen Schaden nehmen, denn dazu ist sie schlicht zu klein und unbedeutend. Auch vielen Wirtschaftsvertretern scheint nicht bewusst zu sein, dass es sich hier um ein Thema handelt, welches sich im Dunstkreis der Geheimdienste abspielte. Was mich viel mehr bedr\u00fcckt: Die fl\u00e4chendeckende \u00dcberwachung scheint f\u00fcr die Mehrheit der Politiker kein Thema zu sein. Die gesellschaftliche Entwicklung f\u00fchrt vielmehr dazu, dass man die eigenen Daten nicht mehr als wertvolles Gut sch\u00e4tzt und nachl\u00e4ssig damit umgeht (vgl. dazu meine Artikelserie zum Thema Datenschutz und DS-GVO<\/a>).<\/p>\n <\/p>\n <\/p>\n \u00a0<\/strong><\/p>\n <\/p>\n <\/p>\n Statt vieler verweise ich ausdr\u00fccklich auf den neuesten Newsletter von Bruce Schneier vom 15.2.2020 und den darin referenzierten Quellen:<\/p>\n <\/p>\n [2020.02.11]<\/strong><\/a>\u00a0The Swiss cryptography firm Crypto AG sold equipment to governments and militaries around the world for decades after World War II. They were\u00a0owned<\/a>\u00a0by the CIA:<\/p>\n But what none of its customers ever knew was that Crypto AG was secretly owned by the CIA in a highly classified partnership with West German intelligence. These spy agencies rigged the company’s devices so they could easily break the codes that countries used to send encrypted messages.<\/p>\n This isn’t really news. We have\u00a0long known<\/a>\u00a0that Crypto AG was backdooring crypto equipment for the Americans. What is new is the formerly classified documents describing the details:<\/p>\n The decades-long arrangement, among the most closely guarded secrets of the Cold War, is laid bare in a classified, comprehensive CIA history of the operation obtained by The Washington Post and ZDF, a German public broadcaster, in a joint reporting project.<\/p>\n The account identifies the CIA officers who ran the program and the company executives entrusted to execute it. It traces the origin of the venture as well as the internal conflicts that nearly derailed it. It describes how the United States and its allies exploited other nations‘ gullibility for years, taking their money and stealing their secrets.<\/p>\n The operation, known first by the code name „Thesaurus“ and later „Rubicon,“ ranks among the most audacious in CIA history.<\/p>\n EDITED TO ADD: More\u00a0news<\/a>\u00a0articles<\/a>. And a\u00a01995 story<\/a>\u00a0on this. It’s not new news.<\/p>\n <\/p>\n Lesenswert:<\/p>\n <\/p>\n Schneier, Bruce. Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World (S.343). W. W. Norton & Company.<\/p>\n <\/p>\n Hier wird explizit auch das Backdoor der Crypto AG erw\u00e4hnt: \u201eThis isn\u2019t new. In the 1980s and 1990s, the NSA inserted backdoors into the hardware encryption products sold by the Swiss company Crypto AG. Scott Shane and Tom Bowman (4 Dec 1995), \u201cRigging the game,\u201d Baltimore Sun , http:\/\/cryptome.org\/jya\/nsa-sun.htm. Wayne Madsen (Winter 1998), \u201cCrypto AG: The NSA\u2019s Trojan whore?\u201d Covert Action Quarterly 63, http:\/\/mediafilter.org\/caq\/cryptogate\u201c<\/em><\/p>\n <\/p>\n PS: Damit er\u00fcbrigt sich wohl die Frage, ob man das damals gewusst hatte… <\/em><\/strong><\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" Es ist wieder einmal soweit, ein Thema, welches bis jetzt nur von Spezialisten und Experten diskutiert und behandelt wurde, hat … Faktor 4: Heute sind die Bedrohungen viel gr\u00f6sser<\/strong><\/h4>\n
Schlussfolgerungen:<\/strong><\/h4>\n
10 Empfehlungen f\u00fcr die Industrie und die Anwender:<\/strong><\/h3>\n
\n
\nQuellen: <\/strong><\/h3>\n
Crypto AG Was Owned by the CIA<\/h2>\n