CR-online.de Blog

Unternehmens-IT absichern: BND will Sicherheitslücken ausnutzen

avatar  Matthias Bergt

Nach Presseberichten will der Bundesnachrichtendienst künftig noch unbekannte Sicherheitslücken (Zero-Day-Exploits) in Software kaufen, um Verschlüsselung zu umgehen. Der BND begibt sich damit in illustre Gesellschaft – nicht nur anderer Geheimdienste, sondern auch Krimineller. Und gefährdet Bürger und Wirtschaft, statt sie zu schützen. Ein Argument mehr für Unternehmen, endlich ihre IT auf Vordermann zu bringen und vernünftig abzusichern – unter anderem mit DNSSEC und DANE.

Beispiel Heartbleed

Der Heartbleed-Bug im weit verbreiteten OpenSSL war der Super-GAU für die Verschlüsselung im Internet: Ein großer Teil der eigentlich vertraulichen Kommunikation musste als kompromittiert gelten, weil unter anderem die privaten Schlüssel der Server gestohlen werden konnten. Es gibt Vermutungen, dass die NSA den Fehler bereits vorab kannte und ausgenutzt hat, wenn auch aufgezeichneter Datenverkehr keine entsprechenden Hinweise lieferte. Ein solcher Bug ist für Geheimdienste wie für Kriminelle tatsächlich Gold wert: Heartbleed ermöglichte es nicht nur, aktuelle Verbindungen zu entschlüsseln – sondern auch abgehörten Datenverkehr aus der Vergangenheit, wenn die Verbindung nicht mit Perfect Forward Secrecy geschützt war. Und viele Unternehmen schlampen bei der Konfiguration ihrer Server und sind daher anfällig für solche Angriffe.

Zero-Day-Exploit-Kauf gefährdet die Sicherheit

Der Heartbleed-Bug wurde zum Glück (zumindest auch) von „guten“ Hackern entdeckt, die die Programmierer informierten. Manche Hersteller zahlen auch Prämien für die Meldung von Sicherheitslücken. Doch auf dem Schwarzmarkt lässt sich erheblich mehr für Zero-Day-Exploits erlösen – und je mehr staatliche Stellen dort mitspielen, desto höher dürfte die Motivation sein, mit einer entdeckten Sicherheitslücke Kasse zu machen statt sie beseitigen zu lassen. Mit fatalen Auswirkungen auf die Sicherheit des Internets, einschließlich der eigenen Behörden, Unternehmen und Bürger. Denn natürlich darf der Hersteller nicht über den Fehler informiert werden, sonst würde er die Lücke ja beseitigen … Und während Google als einer der Entdecker von Heartbleed den Fehler schon vor Veröffentlichung beseitigen konnte, weil OpenSSL Open Source ist, machen die Behörden mit ihren weit verbreiteten Windows-Rechnern was? Wohl genau das Gleiche wie Unternehmen und Bürger: Hoffen, dass die Kriminellen den Zero-Day-Exploit nur an den BND verkaufen. Die Wahrscheinlichkeit dieses Szenarios kann sich jeder selbst ausmalen.

… wenn die Exploits nicht offengelegt werden

Einen Sinn könnte der Kauf von Zero-Day-Exploits allerdings dann haben, wenn die Exploits nicht zur Spionage ausgenutzt, sondern den Herstellern gemeldet würden, damit sie sofort die Lücken schließen. Aber für solche Maßnahmen der Spionageabwehr ist dem BND sein Budget wohl zu schade.

Unternehmen: IT absichern!

Unternehmen sollten daher selber umgehend ihre offenen Flanken bei der IT-Sicherheit angehen. Dazu gehören nicht nur das Einspielen von Updates und eine zeitgemäße Konfiguration der Server, die beispielsweise Perfect Forward Secrecy (PFS) für die Transportverschlüsselung (z.B. HTTPS) aktiviert und das veraltete SSL durch TLS ersetzt. Sondern, da besonderes Angriffsziel die Transportverschlüsselung ist, auch Maßnahmen, die Man-in-the-Middle-Angriffe nahezu ausschließen: nämlich DNSSEC und DANE. Dann kann nicht mehr eine beliebige Zertifizierungsstelle Zertifikate für jeden Server im Internet ausstellen – sondern man müsste schon die gesamte Infrastruktur kompromittieren, um gefälschte Zertifikate einzuspielen. Auf die Ende-zu-Ende-Verschlüsselung von E-Mails mit GnuPG vertraut sogar Edward Snowden – auch Unternehmen sollten ihre Geschäftsgeheimnisse nicht offen für alle durchs Internet schicken.

Und der Werbeblock:

Wie man Transportverschlüsselung richtig einsetzt und warum Unternehmen dazu verpflichtet sind, steht in meinem Beitrag „Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung“, der in der November-Ausgabe der CR erscheint (Bergt, CR 2014, 726-732) und hier als Vortrags-Video verfügbar ist.

 

Mehr zum Autor: Matthias Bergt ist Referatsleiter bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit. Er kommentiert beispielsweise die Artikel 37-39 (Datenschutzbeauftragter), 40-43 (Verhaltensregeln und Zertifizierung) und 77-84 (Rechtsbehelfe, Haftung und Sanktionen) sowie Parallelnormen des BDSG in Kühling/Buchner (Hrsg.): Datenschutz-Grundverordnung/Bundesdatenschutzgesetz (DSGVO/BDSG), das Dienstvertragsrecht und die Abgrenzung der Vertragstypen in Schuster/Grützmacher (Hrsg.): IT-Recht Kommentar und trägt eine Vielzahl von Mustern zum Formularhandbuch Datenschutzrecht von Koreng/Lachenmann (Hrsg.) bei.

Schreiben Sie einen Kommentar

Sie müssen sich einloggen um einen Kommentar schreiben zu können.