Nicolas Guillet: Vier Szenarien für die Cyber-Sicherheit
Artikel erschienen in Swiss IT Magazine 2001/35
Eine direkte Folge der tragischen Ereignisse des 11. September ist, dass der US-Gesetzgeber bereits über massive Einschränkungen von Kryptografie-Techniken zur Verhinderung von zukünftigen Terroranschlägen diskutiert. Im Zuge der internationalen Anti-Terror-Allianz könnten solche Gesetze und Richtlinien unter Führung der USA sehr schnell auch in Europa zur Anwendung kommen. Vier Szenarien sind derzeit vorstellbar.
Radikales Verbot von Kryptografie und Steganografie: Durch das Anzapfen des Internetverkehrs bei den Providern wie es teilweise bereits beim Projekt Carnivore verwirklicht wurde, könnten alle elektronischen Meldungen und Anhängsel nach einzelnen und kombinierten Stichwörtern durchsucht werden. Zusätzlich sollen sich gemäss diesen Plänen Mails von verdächtigen Personen nach besonderen Kriterien prüfen lassen. Die Auswirkungen eines solchen Verbots sind weitreichend, da dabei konsequenterweise auch SSL verboten werden müsste: Denn jede noch so geheime Nachricht könnte mit 128-Bit-SSL von jeder herkömmlichen Webseite abgerufen werden. Einsatzbereiche wie E-Banking, Online-Trading, Kreditkarten und Secure Messaging würden mit einem SSL-Verbot hinfällig. Dies würde logischerweise den Nutzen des Internet massiv einschränken, so dass der volkswirtschaftliche Schaden immens wäre. Das wäre besonders ärgerlich, weil die Nützlichkeit solcher radikalen Massnahmen mehr als fraglich ist. Ausserdem dürften Terroristen wohl immer einen Weg finden, auch ohne Verschlüsselung ihre Botschaften zu übermitteln. Wenn eine unverschlüsselte Meldung wie etwa "PS: Tante Emma hat seit gestern starken Husten" bedeuten würde, morgen eine Attacke zu starten, kann selbst Carnivore nicht viel ausrichten.
Hintertüre für Behörden: Nicht wirklich überzeugend, aber wesentlich besser als ein radikales Verbot wäre es, wenn es bei allen relevanten Verschlüsselungen eine Hintertüre für CIA, NSA, FBI oder noch viel besser für eine neu zu schaffende internationale Antiterrorismusbehörde gäbe. Entsprechende Ideen sind schon lange im Umlauf: Ein Teil des symmetrischen Schlüssels, der für eine Nachricht oder für eine Session verwendet wird, würde demzufolge mit dem öffentlichen Schlüssel der Behörde verschlüsselt und der Nachricht bzw. der Session mitgegeben. Auf diese zusätzliche Information kann nur mit dem privaten Schlüssel der besagten Behörde zugegriffen werden, welchen sie besser schützen muss als Fort Knox.
Mit dem so übermittelten Teil des symmetrischen Schlüssels lässt sich die ganze Nachricht mit Hilfe des privaten Schlüssels der Behörde entschlüsseln und analysieren. Je nach Absender, Empfänger, Inhalt, Sprache und Attachments kann die Nachricht mit möglichen steganografierten Botschaften in Bild- und Sounddateien entweder ignoriert, archiviert oder zu einer genaueren Analyse weitergeleitet werden. Als schwerwiegender Nachteil dieser "Hintertüre" erweist sich, dass ein Hacker oder eine Hackerorganisation nur noch einen einzigen Schlüssel knacken muss, um an die Informationen zu kommen. Wirtschaftsspionage müsste dann ebenfalls neu definiert werden.
Belassung des heutigen Zustandes: Nicht unwahrscheinlich ist deshalb, dass sich am heutigen Zustand in den nächsten Monaten nicht viel ändern dürfte. Böse Zungen behaupten bereits, dass die Terrorismusbekämpfung auch bei den Massnahmen im Cyberspace nur ein Vorwand ist, um in Wirklichkeit Steuerhinterzieher und andere gängige kriminelle Machenschaften aufzudecken.
Förderung der Cyber-Sicherheit: Statt die Kryptografie auf eine Art und Weise einzuschränken, die wenig brächte, wäre hingegen ein erweiterter Einsatz von Kryptografie wünschenswert. Ich kann nicht verstehen, warum E-Mail-Verschlüsselung von vielen Firmen und Institutionen massiv vernachlässigt wird und die Softwarehersteller den Einsatz von Verschlüsselungslösungen nicht vereinfachen.
Heute brauchen wir mehr Sicherheit denn je und nicht weniger. Im realen Leben wie auch im Cyberspace.