Der Hintergrund
Ein am 9.11.2020 vom ORF veröffentlichtes, internes Dokument des EU-Ministerrats[1][2] stuft die Ende-zu-Ende-Verschlüsselung als Bedrohung für die innere Sicherheit der EU-Staaten ein. Dies betrifft u. a. die Verschlüsselung, wie sie z. B. von Messaging-Diensten wie WhatsApp, Telegram und Signal eingesetzt wird. Darüber hinaus wird deutlich gemacht, dass Sicherheitsbehörden wie Polizei und Geheimdienste für diese Dienste künftig eine Möglichkeit der Entschlüsselung (eine Art Generalschlüssel) erhalten sollen. Zur Realisierung soll eng mit den Betreibern zusammengearbeitet werden.
Das Szenario und die Implikationen
Sollte der Inhalt dieses Dokuments als Gesetz verabschiedet werden, ist die Privatsphäre von hunderten Millionen Menschen betroffen. Alle Informationen, die über Online-Dienste übertragen werden, sind dann nicht länger in ihrer Vertraulichkeit oder Integrität geschützt. Als Nutzer kann man sich nicht mehr sicher sein, wer Zugriff auf diese Informationen hat und auch, ob diese unverändert beim Empfänger ankommen.
Darüber hinaus ist es in der Vergangenheit bereits häufiger dazu gekommen, dass von Geheimdiensten geschaffene Hintertüren oder unveröffentlichte Sicherheitslücken auch von kriminellen Organisationen genutzt wurden.
Zuletzt war dies beim Verschlüsselungstrojaner WannaCry der Fall, der weltweit Schäden von ca. 4 Mrd. US-Dollar[3] verursacht hat. Die National Security Agency hatte die Sicherheitslücke zuvor ca. 3 Jahre lang geheim gehalten und nur veröffentlicht, weil eine Hackergruppe damit gedroht hat, diese offen zu legen.[4]
Wie betrifft dies Unternehmen?
Unternehmen verwenden heutzutage eine Vielzahl an sogenannten Cloud-Diensten oder Plattformen (z. B. Microsoft 365, Azure, Amazon Web Services, Zoom, Facebook oder Slack). Alle diese Dienste wären von einer solchen behördlichen Überwachung und dem Risiko durch entstehende Sicherheitslücken betroffen.
Für Unternehmen stellen Sicherheitslücken schon heute ein gravierendes Problem dar. Sie werden auf diese Weise mit fortschrittlicher Schadsoftware infiziert, Daten werden beispielsweise verschlüsselt und gestohlen – und das Unternehmen anschließend erpresst. Das Vorgehen von Kriminellen ist hierbei äußerst professionell und gefährlich, gleichzeitig bleibt eine Verfolgung nahezu unmöglich.
Auf diese Weise wurde z. B. der amerikanische Reiseorganisator CWT kürzlich um eine Summe von 4,5 Mio. US-Dollar erpresst.[5]Die meisten Fälle der Erpressung von Unternehmen durch Cyberkriminelle gelangen jedoch nie an die Öffentlichkeit.
Wie betrifft dies Privatpersonen?
Privatpersonen sind insbesondere dem Risiko durch Daten- und Identitätsdiebstahl ausgesetzt, der durch solche Sicherheitslücken ermöglicht wird. Der Markt für gestohlene Informationen wie Zugangsdaten, Kreditkartendaten und medizinische Daten wächst täglich.[6] Darüber hinaus kann eine Privatperson, wenn sie einem Unternehmen zugeordnet werden kann, als Schlüssel zur Infiltration und Erpressung des Unternehmens dienen, weshalb auch private Details für Angreifer lukrativ sein können
Warum sind Daten so wertvoll?
Unsere Art zu wirtschaften entspricht mittlerweile zu einem großen Teil dem Modell der „New Economy“[7], in der sich die Priorität im Wettbewerb statt wie bisher auf Güter nun auf Informationen fokussiert. In diesem Kontext sollten wir die Sicherheit unserer Daten und die Wahrung der Privatsphäre ganz besonders ernst nehmen. Wir nutzen heutzutage ganz selbstverständlich vermeintlich kostenlose Dienste (wie z. B. Facebook) und vergessen dabei, dass wir als Nutzer mit unseren Daten zum eigentlichen Produkt eines Dienstes geworden sind.[8]
Wie geht es weiter?
In erster Linie ist es das Bestreben des EU-Ministerrats, Verschlüsselungsverfahren zu untergraben. Ein politisches Problem, dem wir als Bürger entschieden begegnen müssen.
Die europäischen Gesetze zum Datenschutz werden von amerikanischen Unternehmen wie Facebook und Google sehr kritisch betrachtet, da sie ihr Geschäftsmodell bedrohen.[9] Das zeigt, dass wir in Europa die Chance haben, Datenschutz und Datensicherheit als unternehmerisches Alleinstellungsmerkmal zu nutzen. Wir sollten dafür einstehen und diese Chance wahrnehmen.
Die technische Lösung für dieses Thema sind quelloffene Lösungen (OpenSource), welche unter Kontrolle der Unternehmen stehen, die diese Lösungen einsetzen. Eine Software, deren Quellcode öffentlich einsehbar ist, kann von jedermann auf Funktion und Sicherheit überprüft und verbessert werden. Dies ist eine Chance für europäische Unternehmen und IT-Dienstleister.
Wie kann soft-park unterstützen?
Wir stehen unseren Kunden bei der Bewältigung digitaler Herausforderungen zur Seite. Wir verfügen über das Wissen und die Erfahrung bei der Implementierung von OpenSource-Lösungen und bauen den Bereich IT-Security kontinuierlich aus, um Kunden auch hier nach unserem ganzheitlichen Ansatz bedarfsgerecht beraten zu können.
Sie möchten sich und Ihr Unternehmen vor den aufgezeigten Risiken schützen oder eine unabhängige Einschätzung über den Stand Ihrer Sicherheitsmaßnahmen über den Standard-Servicevertrag hinaus bekommen? Sprechen Sie uns jederzeit an!
Herzlich
Ihr Stefan Woidt
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
[1] https://netzpolitik.org/2020/it-sicherheit-von-jahrelangen-debatten-ueber-hintertueren-unbeeindruckt/
[2] https://www.heise.de/hintergrund/EU-Regierungen-planen-Verbot-sicherer-Verschluesselung-4951415.html
[3] https://www.kaspersky.com/resource-center/threats/ransomware-wannacry
[4]https://www.heise.de/newsticker/meldung/NSA-meldete-kritische-Sicherheitsluecke-aus-Angst-vor-den-Shadow-Brokers-an-Microsoft-3718155.html
[5] https://www.heise.de/hintergrund/Cybercrime-Erpressung-auf-neuem-Niveau-4867430.html
[6] https://www.keepersecurity.com/how-much-is-my-information-worth-to-hacker-dark-web.html
[7]https://de.wikipedia.org/wiki/New_Economy
[8]https://netzpolitik.org/2016/98-daten-die-facebook-ueber-dich-weiss-und-nutzt-um-werbung-auf-dich-zuzuschneiden/
[9] https://www.golem.de/news/datenschutz-facebook-und-instagram-koennten-in-europa-eingestellt-werden-2009-151026.html