Wirtschaftsspionage vermeiden
Maßnahmen gegen Lauschangriffe
Prism, Tempora und verwandte Überwachungsprogramme erschüttern das Vertrauen ins Web. Den Kopf in den Sand zu stecken, ist allerdings falsch: Mit pragmatischen Gegenmaßnahmen lässt sich selbst gegen Organisationen wie den US-Geheimdienst NSA das Schutzniveau spürbar erhöhen. Die durch Edward Snowden bekannt gewordene Abhörpraxis der westlichen Geheimdienste macht nicht nur den Bürgern Sorgen, die ihre Privatsphäre gefährdet sehen, sondern auch Unternehmen. Während eine grundsätzliche Änderung der aktuellen Situation wohl nur auf politischem Weg und durch Lobbyarbeit zu erreichen ist (siehe dazu auch Security-Fachmann Bruce Schneier in [1]), stellt sich zusätzlich die Frage nach kurzfristig praktikablen Vorgehensweisen zum Schutz legitim geheimzuhaltender Information. Technik und Business-Organisation liefern durchaus geeignete Mittel, um das Kräfteverhältnis deutlich zugunsten der geschäftlichen wie auch privaten Internetnutzer und damit gegen alle Lauscher im Web zu verschieben. Da die Maßnahmen Mühe machen, sollte man sie auf die größten Risiken einschränken. Eine nüchterne Risikoanalyse steht deshalb am Anfang. Ungewöhnlich ist in diesem Fall die Bedrohungslage: Die Informationen werden nicht nur von den "üblichen Verdächtigen" abgeschöpft, sondern auch von staatlichen Institutionen westlicher Nationen, die man normalerweise zu den "Guten" rechnen würde und die Zugriff auf einen Großteil der weltweiten Internetinfrastruktur haben. Die Dienste suchen nicht nur nach Hinweisen auf terroristische Aktivitäten, sondern betreiben höchstwahrscheinlich auch Wirtschaftsspionage [2]. Die Geheimdienste setzen an wichtigen Internetknotenpunkten an, um dort den gesamten Datenverkehr zu filtern: Jede Internetkommunikation - E-Mails, direkte Transfers, Nutzung von Cloud-Diensten - und die Telefonie sind deshalb betroffen und potenziell Opfer einer gigantischen Vorratsdatenspeicherung. Geheimdienste verschaffen sich Hinweise auf Sicherheitslücken in Soft- und Hardware für Cyberangriffe [3]. Vor allem Verbindungsdaten - wer kommuniziert mit wem wie lange und wie häufig - werden ausgewertet. Für die Profilbildung, die auch die Analyse von Geschäftsbeziehungen umfasst, ist dies mindestens so bedeutsam wie das klassische Abgreifen von Inhalten. Speziell die USA setzen privatwirtschaftliche Sicherheits- und Kommunikationsanbieter unter Druck, um ihnen Zugang zu den Informationen der Kunden zu verschaffen. Das gesamte Internet ist also plötzlich mehr denn je unsicheres Terrain [4]. Prism, Tempora sowie vergleichbare Spionage- und Analysesysteme betreiben Stichwort- und Mustererkennung im großen Stil. Offiziell suchen sie vorrangig nach terrorismusverdächtigen Begriffen und sammeln in diesem Kontext Verbindungsdaten [5]. Um diese Daueranalyse in ein Medium der Wirtschaftsspionage umzuwandeln, reicht allerdings eine bloße Ergänzung der Suchmuster um passende Stichworte und die Adressen potenziell wichtiger Player im Geschäft. Da deutsche Dienste im Rahmen der Terrorismusbekämpfung Informationen an Großbritannien und die USA weitergeben, können selbst die nationalen Agenturen die deutschen Wirtschaftsinteressen nicht vollständig schützen. Die meisten Nachrichten oder Kommunikationsströme müssen die Geheimdienste allerdings aus Kapazitätsgründen ignorieren. Für die Geschäftskommunikation bedeutet dies, dass in der aktuellen Situation das Hauptaugenmerk neuer Schutzmaßnahmen auf wirklich brisante oder vertrauliche Informationen gelegt werden kann. Der wichtigste Schritt, der scheinbar ausweglosen Situation zu entrinnen, ist im eigenen Unternehmen deshalb die Identifikation der mit hoher Priorität geheimzuhaltenden Informationen und eine genaue Analyse, wie und auf welchen Wegen sie das Internet passieren müssen. Eine stringente Informationsklassifizierung ist hierzu von Vorteil. Organisationen, die ihre Informationen noch nicht klassifiziert haben, sollten in die Sensibilisierung ihrer Mitarbeiter und die Entwicklung von Kommunikationsprozeduren für Vertrauliches investieren. Fachleute im Unternehmen wissen nämlich normalerweise sehr gut, welche Dokumente geheimzuhalten sind - sie sind nur nicht hinreichend darüber informiert, welche Schutzmaßnahmen sie ergreifen sollen. Die Krise des Vertrauens in Internet und Kommunikation, die die Enthüllungen Snowdens verursacht haben [1], betrifft unglücklicherweise auch die Auswahl der Sicherheitssysteme. Ein Verschlüsselungs-Gateway oder -Tool mit einem Zertifikat oder einer besonderen Empfehlung einer staatlichen Institution aus einem Land, das im großen Stil abhört, muss nun zwangsläufig im Verdacht stehen, Hintertüren für die Geheimdienste aufzuweisen. Gleiches gilt für Cloud-Dienste. Nicht immer allerdings muss für die Kommunikation internetgestützte Technik zum Zuge kommen. So sollte man unter Umständen auch einmal in Betracht ziehen, Dokumente für wichtige Vertragsschlüsse im Koffer mitzunehmen, wenn man den Geschäftspartner ohne Grenz- und andere Kontrollen erreichen kann. Muss man die Daten nicht durchs Netz schicken, entstehen weder entschlüsselbare Inhalte noch Verbindungsdaten. Was ein Anwender an vertraulichen Daten per Internet übertragen oder Cloud-Diensten anvertrauen muss, sollte er verschlüsseln. Selbst Geheimdienste mit hohem Budget können ihr Equipment nicht routinemäßig auf jede verschlüsselte Nachricht anwenden oder für jede Kommunikation eventuell vorbereitete Hintertüren in den Applikationen aktivieren. Also wird ein Geheimdienst alles, was verschlüsselt ist, zunächst speichern und nur in Verdachtsfällen oder bei besonders hohem Interesse angehen. Verschlüsselung zwingt die Geheimdienste somit faktisch dazu, jenes Verhalten an den Tag zu legen, das man von einer rechtsstaatlichen Organisation eigentlich permanent erwartet. Allerdings sollte man speziell beim E-Mail-Verkehr daran denken, dass eventuell die Verbindungsdaten einer Nachrichtenübermittlung nicht weniger verräterisch sind als die Inhalte selbst. Deshalb sollte beispielsweise die Träger-E-Mail für einen verschlüsselten Anhang keineswegs verraten, dass sich eine Entschlüsselungsattacke via Brute Force oder Social Engineering auf jeden Fall lohnt. Bei der Verschlüsselungstechnik sollten Unternehmen auf echte End-to-End-Lösungen setzen. Bei E-Mails gehören die PGP-Derivate in diese Kategorie, in der Telefonie Systeme auf der Basis des ZRTP-Protokolls. Beide Ansätze stammen nicht zufällig von Phil Zimmermann, der staatliche Überwachungsinteressen noch nie gutgeheißen hat. End-to-End-Systeme allerdings lassen sich unterwandern, wenn in die Soft- oder Hardware am Endpunkt Hintertüren eingebaut sind oder Malware sich zwischen Anwender und Verschlüsselungswerkzeug schaltet. Gegen das erste Problem helfen eine sorgfältige Implementierung, die interne, penible Überwachung der Kommunikationsströme von und zu den Endpunkten in Bezug auf Auffälligkeiten und die Auswahl eines Herstellers aus einem Land, dem man noch am meisten vertrauen kann. Open Source bietet einen weiteren Ausweg: Öffentlich kontrollierter und selbst kompilierter Quellcode zusammen mit ebenfalls weltweit analysierten Algorithmen schließen ungebetene Mithörer aus. Gegen die Unterwanderung durch Malware kommt der gleichzeitige Einsatz mehrerer Anti-Malware-Systeme in Frage - etwa aus den USA, Russland und Japan. Für hoch vertrauliche Daten, die man in der Cloud ablegen oder in Dateiform übertragen muss, könne auch symmetrische Verschlüsselung mit Übertragung der Kennwörter auf einem Zusatzkanal eine gute Lösung sein. Generell sollte man in allen Standard-Verschlüsselungsystemen - etwa auf Basis von IPSec - wenn möglich "Perfect Forward Secrecy" aktivieren. Das dann gewählte Schlüsselaushandlungsverfahren kostet zwar mehr Aufwand, erhöht aber die Sicherheit, weil es jeden neuen Schlüssel unabhängig von seinem Vorgänger und Nachfolger festlegt und damit Spähern zusätzliche Arbeit macht. Ein Sonderproblem stellen Grenzübertritte mit Notebooks und anderen Speichergeräten dar. Während es ein westlicher Staat derzeit wohl kaum wagen wird, Manager bei einer Grenzkontrolle nach Kennwörtern für in der Cloud gespeicherte Informationen zu fragen, ist ein Zugriff auf ein mitgeführtes Gerät und die Frage nach eventuellen Kennwörtern sehr wohl denkbar. Profis nehmen deshalb speziell präparierte "leere" PCs mit und verlassen sich in diesem Fall lieber darauf, die Daten verschlüsselt per Fernzugriff nachzuladen - angesichts der direkten Zugriffsmöglichkeit der Grenzkontrolleure stellt die gesicherte Web-Übertragung in diesem Szenario vielleicht das kleinere Risiko dar. Metadaten als Hauptproblem Das größte Problem für die Anwender stellt der mögliche Missbrauch der Metadaten von Verbindungen dar. Für die Telefonie propagierte Nerd-Tricks wie der Ringtausch von Prepaid-Telefonen und andere kreative Ansätze sind meist wenig Business-tauglich - aber für besonders spionagegefährdete Verhandlungen gezielt auf Telefone auszuweichen, die nicht automatisch mit den betroffenen Unternehmen assoziiert werden, ist so bedenkenswert wie der private Gang zum Münztelefon. Beides nämlich macht die Profilbildung ein wenig schwieriger. Bei der Internetkommunikation die unfreiwillige Produktion von Verbindungsdaten zu reduzieren, ist schwierig. Anonymisierungsdienste wie Tor sind ein Weg, aber man weiß, dass speziell dieses System von Lauschern unterwandert ist: Sie versuchen, möglichst viele Knoten des Verschleierungsdienstes selbst zu betreiben, weil sie auf diese Weise eben doch Sender und Empfänger ausmachen können [3]. Geschlossene Organisationen wie Anchorfree bieten möglicherweise effektiveren Schutz, wenn diese Firmen sich selbst als vertrauenswürdig erweisen - was deshalb einigermaßen wahrscheinlich ist, da ihr Geschäftsmodell sonst sofort obsolet wäre.
Quellen
[1] Bruce Schneier, Cryptogram-Newsletter vom 15.8.2013, www.schneier.com/crypto-gram.html
[2] Varinia Bernau, Max Hägler und Silvia Liebrich, "Kollege Spion". Süddeutsche Zeitung vom 4.7.2013, S.16
[3] Dr. Wilhelm Greiner, "Security in Zeiten von Prism, Stuxnet & Co.", LANline 9/2013, S.10-11
[4] Dr. Jörg Schröper, "Das Internet bleibt böse", Editorial, LANline 9/2013, S.3
[5] Frank Schmiechen, "Auch freiheitliche Staaten müssen überwachen", Welt vom 7.7.2013, www.welt.de/debatte/kommentare/article117808907/Auch-freiheitliche-Staaten-muessen-ueberwachen.html
Bettina Weßelmann, Spezialistin für Sicherheitskommunikation, Dr. Johannes Wiele Berater für Informationssicherheit und Autor des LANline Security Awareness Newsletters./wg
Lesen Sie mehr zum Thema
