03.09.2016

Hintertüren in Software - Leserbrief

Im Moment macht der Innenminister mal wieder heiße Luft im Blätterwald mit der Forderung, staatliche Hintertüren in Software einzubauen, z.B. in Smartphones. Die Idee finde ich so blöd, dass ich einen Leserbrief dazu schrieb.
Bezeichnend für die politische Grundhaltung der WZ ist die Kürzung (so markiert).
[Veröffentlicht am 03.09.2016]

Unser Innenminister de Maizière fordert also mal wieder, dass Softwarehersteller Hintertüren in ihre Produkte einbauen sollen.

Diese Hintertüren gibt es schon lang: man nannte sie bislang Sicherheitslücken, die durch schlechte Programmierer entstanden sind.
Für Sicherheitslücken gibt es seit Jahren einen Markt, auf dem sich private Bösewichte genauso tummeln wie Staaten.
Nur mal so als Stichwort eine der erschreckenden Tatsachen dieses Marktes: Lücken, die einem Schädling das dauerhafte Einnisten in ein Gerät ermöglichen, d.h. auch einen Neustart des Geräts überstehen, werden mit Summen ab 100.000 Dollar gehandelt.

Aus der aktuellen Debatte über die "Pegasus"-Sicherheitslücke in iPhones (technisch eine schlaue Kombination von vier Lücken), auf die Apple vorbildlich in nur 10 Tagen reagiert hat und nun iOS 9.3.5 verteilt, lernen wir Folgendes:
Sicherheitslücken sind eine ganz schlimme Sache, die so schnell wie möglich behoben werden müssen, weil (natürlich) nicht nur die "Guten" sie ausnutzen, sondern ganz schnell auch die Bösen. Hier bricht ironischerweise die Klassifizierung zusammen: die "Bösen" sind in diesem Fall vermutlich ein Staat, dem der angegriffene Aktivist ein Dorn im Auge war, und die halten sich selbst natürlich wiederum für die "Guten". Alles ist relativ.

Wenn nun sogar noch bekannte Sicherheitslücken in die Geräte eingepflanzt werden (eben die von de Maizière geforderten Hintertüren), dann werden schlagartig alle unsere elektronischen Geräte gefährlich. Man muss nämlich nicht mehr aktiv nach Sicherheitslücken forschen und herausfinden, wie man durch die Kombinationen mehrerer Lücken sein Ziel erreicht, sondern es reicht, den einen Mitarbeiter eines Geheimdienstes oder des Softwareherstellers zu bestechen oder zu bedrohen, damit er die Details der Hintertür weitergibt. Es gibt keine Hintertür, die nur für die "Guten" existiert.

Wer würde denn so eine Hintertür einbauen? Der Hersteller natürlich. Und so, wie ich große Firmen kenne, wird so eine Hintertür dann in etwa 300 Software-Entwicklern bekannt sein. Die sitzen in einem Land, das nicht der deutschen Rechtsprechung unterworfen ist. Man kann sich ausrechnen, wie "sicher" so ein Produkt sein kann.

Besonders schlimm: Geheimdienste wie der amerikanische NSA sitzen mitunter jahrelang auf dem Wissen über Sicherheitslücken (sogenannte "zero day exploits", also Lücken, die ausgenutzt werden, aber dem Hersteller nicht bekannt sind), weil sie sich einbilden, die einzigen mit dieser Kenntnis zu sein. Aber natürlich ist es nicht so: wenn ein Geheimdienst eine Lücke finden oder kaufen kann, ist dies jedem anderen Bösewicht ebenso möglich. Das Zurückhalten solcher Kenntnisse gefährdet also uns alle, bei fraglichem Nutzen über eine zukünftige Gelegenheit, die vielleicht sogar nie kommen wird.

Genau das ist das Perfide an dieser Pseudo-Diskussion: Politiker fordern etwas, von dem sie nichts verstehen, und wovon jeder Sicherheitsforscher abrät. Aber die Forderung selbst, untermauert von populistischen Begründungen wie Terrorbekämpfung, steht im Raum und wird wieder und wieder diskutiert, bis der Widerstand erlahmt. Aber der mögliche Nutzen steht in keinem Verhältnis zum definitiven Schaden für alle, wenn so ein Quatsch in ein Gesetz gegossen wird.

Die Sicherheit vor elektronischen Schädlingen wäre höher, wenn sich der Bundesinnenverteidiger de Maizière um ein Gesetz zur Update-Pflicht für Sicherheitslücken kümmern würde, statt hohle Phrasen über den "rechtsfreien Raum" zu dreschen.

Wie schnell kommt denn das Update für ein Gerät in Deutschland, das nicht gerade zur Spitzenklasse gehört? Eben. Die einzigen Smartphones mit einigermaßen zuverlässiger Update-Garantie sind von Microsoft (Windows Phone), Apple (iPhone) und Google selbst (Nexus). Alle anderen Hersteller liefern Updates nur für das Top-Gerät des Jahres aus, mit Glück noch für das vom Vorjahr. Und das war's dann auch schon. Das Billig-Smartphone bezahlen wir also mit fehlender Sicherheit, weil nach Auslieferung die Uhr tickt und man sicher sein kann, dass die Software Fehler und damit Lücken enthält.