Datenschutz: «Wir entwickeln auch trojanische Pferde»

Die Idee eines «digitalen Radiergummis» geistert seit einigen Wochen im Internet herum. Aktueller Hintergrund sind die Diskussionen um die Verbesserung des Datenschutzes in sozialen Netzwerken. Wer persönliche Bilder hochlädt, möchte nicht unbedingt, dass sie für alle Zeiten im Netz abrufbar bleiben. Da käme ein Verfallsdatum für digitale Daten gerade recht. Nach einer festgelegten Zeitspanne würden die Bilder automatisch verschwinden.

In der Süddeutschen Zeitung fand die deutsche Verbraucherschutzministerin, Ilse Aigner, kürzlich lobende Worte für ein entsprechendes Projekt des Informatik-Professors Michael Backe. X-pire soll ein Verfallsdatum ermöglichen, indem die Bilder verschlüsselt abgespeichert werden und nur mit dem passenden Schlüssel abrufbar sind.

Nun hat die CSU-Politikerin Aigner allerdings dicke Post aus der Schweiz erhalten: Die von ihrem Ministerium vorgestellte «Innovation» hat Schiffbruch erlitten. Das Zürcher IT-Unternehmen Scip zeigt auf seiner Website, wie X-pire geknackt werden kann. Durch eine Modifikation des Browser-Plugins ist es möglich, das System zu überlisten. So können die Bilder auch nach Ablauf des Verfallsdatums betrachtet werden. «Damit ist bewiesen, dass das Kryptosystem nicht gegen zielgerichtete Angriffe standhalten kann», heisst es.

Im Interview mit 20 Minuten Online spricht Marc Ruef, Mitinhaber der Scip AG, über das Internet-Verfallsdatum und andere Herausforderungen.

Marc Ruef: Das Projekt X-pire war schon bei seiner Ankündigung umstritten. Denn es liegt nicht im Wesen des Internets, dass man es «zwingen» kann, etwas zu «vergessen». Als die ersten Spezifikationen der Implementierung bekannt wurden, schien es offensichtlich, dass sich das System überlisten lassen würde. Seine Nützlichkeit ist damit verpufft.

Die breitflächige Berichterstattung in den deutschsprachigen Medien, die sich vor allem auf Lobreden der deutschen Ministerin abgestützt haben, machten das Projekt natürlich interessant. Wir pflegen eine sehr offene Unternehmenskultur und jedem unserer Mitarbeiter wird Zeit eingeräumt, sich mit eigenen Forschungsarbeiten auseinanderzusetzen. Diese Möglichkeit habe ich für mich in Anspruch genommen, um mir X-pire als Ganzes mal etwas genauer anzusehen. Da die genutzten Konzepte altbekannt sind, hat es mich nicht viel Aufwand gekostet, das System zu verstehen.

Solange Daten einsehbar, bearbeitbar und kopierbar sind, werden sich hier keine verlässlichen Lösungsansätze etablieren lassen. Theoretische Ansätze sehen sogenannte Trusted Platform Module (TPM) und kryptografische Methoden vor, um die Kontrolle über Daten zu behalten.

Die Offenheit moderner Computerarchitekturen führt aber immer zum gleichen Problem: Sobald jemand nicht nach den Regeln spielt, ist er unweigerlich im Vorteil. Es müsste also ein komplettes Umdenken in der IT-Branche stattfinden, um die entscheidenden Weichen zu stellen. Dies ist jedoch wirtschaftlich und kulturell nicht einfach so durchsetzbar. Sony hat dies mit der Play Station 3 probiert und Apple mit dem iPhone. Der Markt diktiert jedoch, dass die Offenheit der Systeme durch den Kunden gewünscht bleibt.

Unter einem Penetration Test verstehen wir die Überprüfung eines Systems auf Schwachstellen. Durch das Ausnutzen potentieller Fehler wollen wir eben diese beweisen. Dies erfordert oftmals ein gern unterschätztes Mass an Kreativität, das naturgemäss ein zentraler Bestandteil des traditionellen Hackings ist.

So gesehen besteht in seinen Grundzügen kein allzu grosser Unterschied zwischen unserer beruflichen Tätigkeit und einem «produktiven Hack». Da bei einem professionellen Projekt jedoch auch noch wirtschaftliche Komponenten mitspielen, sind zusätzliche Anforderungen gegeben. Ein Kunde erwartet, dass ein Angriff koordiniert und zuverlässig abläuft.

Wenn wir im Rahmen einer Sicherheitsüberprüfung eine Schwachstelle in einem System identifizieren, dokumentieren wir den Fehler: Was haben wir gemacht, was ist passiert und was könnte noch passieren? Handelt es sich um einen besonders kritischen Fehler, informieren wir unverzüglich unseren Kunden, damit dieser schnellstmöglich Gegenmassnahmen einleiten und damit das Zeitfenster für erfolgreiche Attacken minimieren kann.

Handelt es sich bei der Schwachstelle um einen Fehler in einem populären Produkt, der noch nicht bekannt ist, sprechen wir von einem «Zero-Day».

In diesem Fall kontaktieren wir den Hersteller und informieren ihn in gleicher Weise über den Fund. Mit ihm koordinieren wir dann die Herausgabe einer Gegenmassnahme (z.B. ein Patch) sowie eines Advisories, um die betroffenen Kunden über die drohende Gefahr zu informieren.

Wir bieten verschiedene Arten von Sicherheitsüberprüfungen an. Mitunter entwickeln wir kundenspezifische Trojanische Pferde. Von Grund auf programmieren wir also eine Software, die in ein Computernetzwerk einbrechen, uns Zugang und Daten verschaffen soll - ähnlich dem Stuxnet-Wurm, der in Steuersysteme von Kernkraftwerken eingedrungen ist.

Damit können wir die vielschichtigen Sicherheitsmechanismen eines Unternehmens im Rahmen eines sehr realitätsbezogenen Tests prüfen. Nach Abschluss des Projekts können wir exakt sagen, wie viel Aufwand ein professioneller Angreifer benötigen würde, um in die gesicherte Umgebung einzubrechen. Solche Trojaner haben wir schon für sehr exotische Plattformen, mitunter auch Mobiltelefone und Fax-Systeme, entwickelt.

Das Tool habe ich ursprünglich entwickelt, um meine Arbeit zu erleichtern. Ich war es leid, die immerwährend gleichen Angriffsversuche durchzuführen und so habe ich sie automatisiert. Ich hielt es für unsinnig, diese Entwicklung für mich zu behalten und machte sie öffentlich, so dass auch andere Sicherheitsexperten davon profitieren können.

Selbstverständlich lässt sich nicht verhindern, dass eine solche Software für böswillige Ziele zweckentfremdet wird. Die Nutzung setzt jedoch ein solides Verständnis für die technischen Mechanismen voraus, so dass es eigentlich nur Spezialisten gebrauchen können. Damit wird indirekt verhindert, dass jeder nach Belieben andere Systeme angreifen kann.

Informationssicherheit und damit auch meinem Beruf sind praktisch keine Grenzen gesetzt. Mit einem Augenzwinkern habe ich mir den Job-Titel «Problemlöser» gegeben. Schon als Kind mochte ich Rätsel. Doch ich konnte nie viel mit Kreuzworträtseln und Sudokus anfangen. Viel mehr faszinierten mich die echten Rätsel, die das Leben bietet. Ich freue mich jeden Tag, etwas Neues studieren zu dürfen. Ein «Hack» findet für mich deshalb auch in erster Linie im Kopf statt.

Auf theoretischer Ebene kann ich mir zur Zeit für Steganographie, das Verstecken von Nachrichten, begeistern. Auf praktischer Ebene wird das laufende Jahr für uns wohl vorzugsweise durch die Sicherheit mobiler Geräte (Mobiltelefone, Tablets) beherrscht sein. Wir treiben in dieser Hinsicht gegenwärtig einige sehr spannende Forschungen voran.

In unseren aktuellen IT Security Forecast (Firmen-Newsletter, Anmerk. d. Red.) sagen wir voraus, dass sich mobile Geräte zu einem zentralen Bestandteil heutiger Informationssicherheit entwickeln werden. Ein direkter Vergleich komplett unterschiedlicher Plattformen, wie halt eben iPhone und Android, ist sehr schwierig. Die Geschlossenheit des iPhone erschwert das Finden von Schwachstellen. Zeitgleich ist die breite Etablierung für ein hohes Interesse der Angreifer verantwortlich.

Wir gehen jedoch davon aus, dass Android-basierte Systeme über kurz oder lang dem heutigen iPhone-Modell den Rang ablaufen werden. Android wird damit wohl zu einem sehr populären Angriffsziel werden. Es wird sich zeigen, ob und inwiefern Apple und Google ihre Verantwortung in Bezug auf Produktqualität wahrnehmen werden.

Die ganze Branche der Informationssicherheit hat sich in den letzten 15 Jahren enorm verändert. In den 90er-Jahren war der Umgang und Informationsaustausch unter den wenigen Gleichgesinnten noch viel familiärer und kollegialer. Man hat sich gefreut, mit jemandem Kontakt zu haben, der die eigenen - oftmals eher unpopulären Interessen - teilt.

Sowohl die Branche als auch die Szene haben sich seitdem zu grossen Teilen professionalisiert. Zwar gibt es noch immer Vereinigungen und eine Vielzahl interessanter Konferenzen - ich freue mich beispielsweise dieses Jahr wieder auf die Hashdays in Luzern. Viele der Bastler von damals verdienen jedoch heute Geld mit ihren Ideen. Die bei Projekten stets auferlegten Geheimhaltungserklärungen machen es nicht gerade einfach, sich mit Aussenstehenden über ein spannendes Thema zu unterhalten. Wir erachten es jedoch als sehr wichtig, dass wir in ständigem Kontakt mit anderen Sicherheitsexperten aus aller Welt sind.