Datenschutz: «Wir entwickeln auch trojanische Pferde»

Aktualisiert

Datenschutz«Wir entwickeln auch trojanische Pferde»

Der Schweizer IT-Fachmann Marc Ruef hat das Vorzeigeprojekt X-pire aus Deutschland geknackt. Im Interview mit 20 Minuten Online erklärt er, wie Hacker vorgehen.

Daniel Schurter
von
Daniel Schurter
Deutsche Politiker hofften auf den «digitalen Radiergummi» - das sei eine untaugliche Idee, findet Marc Ruef.

Deutsche Politiker hofften auf den «digitalen Radiergummi» - das sei eine untaugliche Idee, findet Marc Ruef.

Die Idee eines «digitalen Radiergummis» geistert seit einigen Wochen im Internet herum. Aktueller Hintergrund sind die Diskussionen um die Verbesserung des Datenschutzes in sozialen Netzwerken. Wer persönliche Bilder hochlädt, möchte nicht unbedingt, dass sie für alle Zeiten im Netz abrufbar bleiben. Da käme ein Verfallsdatum für digitale Daten gerade recht. Nach einer festgelegten Zeitspanne würden die Bilder automatisch verschwinden.

In der Süddeutschen Zeitung fand die deutsche Verbraucherschutzministerin, Ilse Aigner, kürzlich lobende Worte für ein entsprechendes Projekt des Informatik-Professors Michael Backe. X-pire soll ein Verfallsdatum ermöglichen, indem die Bilder verschlüsselt abgespeichert werden und nur mit dem passenden Schlüssel abrufbar sind.

Nun hat die CSU-Politikerin Aigner allerdings dicke Post aus der Schweiz erhalten: Die von ihrem Ministerium vorgestellte «Innovation» hat Schiffbruch erlitten. Das Zürcher IT-Unternehmen Scip zeigt auf seiner Website, wie X-pire geknackt werden kann. Durch eine Modifikation des Browser-Plugins ist es möglich, das System zu überlisten. So können die Bilder auch nach Ablauf des Verfallsdatums betrachtet werden. «Damit ist bewiesen, dass das Kryptosystem nicht gegen zielgerichtete Angriffe standhalten kann», heisst es.

Im Interview mit 20 Minuten Online spricht Marc Ruef, Mitinhaber der Scip AG, über das Internet-Verfallsdatum und andere Herausforderungen.

20 Minuten Online: Was halten Sie vom Digitalen Radiergummi?

Marc Ruef: Das Projekt X-pire war schon bei seiner Ankündigung umstritten. Denn es liegt nicht im Wesen des Internets, dass man es «zwingen» kann, etwas zu «vergessen». Als die ersten Spezifikationen der Implementierung bekannt wurden, schien es offensichtlich, dass sich das System überlisten lassen würde. Seine Nützlichkeit ist damit verpufft.

Warum haben Sie sich mit dem Thema beschäftigt?

Die breitflächige Berichterstattung in den deutschsprachigen Medien, die sich vor allem auf Lobreden der deutschen Ministerin abgestützt haben, machten das Projekt natürlich interessant. Wir pflegen eine sehr offene Unternehmenskultur und jedem unserer Mitarbeiter wird Zeit eingeräumt, sich mit eigenen Forschungsarbeiten auseinanderzusetzen. Diese Möglichkeit habe ich für mich in Anspruch genommen, um mir X-pire als Ganzes mal etwas genauer anzusehen. Da die genutzten Konzepte altbekannt sind, hat es mich nicht viel Aufwand gekostet, das System zu verstehen.

Stichwort «Verfallsdatum von Inhalten im Internet» - welche Lösungsansätze sehen Sie?

Solange Daten einsehbar, bearbeitbar und kopierbar sind, werden sich hier keine verlässlichen Lösungsansätze etablieren lassen. Theoretische Ansätze sehen sogenannte Trusted Platform Module (TPM) und kryptografische Methoden vor, um die Kontrolle über Daten zu behalten.

Die Offenheit moderner Computerarchitekturen führt aber immer zum gleichen Problem: Sobald jemand nicht nach den Regeln spielt, ist er unweigerlich im Vorteil. Es müsste also ein komplettes Umdenken in der IT-Branche stattfinden, um die entscheidenden Weichen zu stellen. Dies ist jedoch wirtschaftlich und kulturell nicht einfach so durchsetzbar. Sony hat dies mit der Play Station 3 probiert und Apple mit dem iPhone. Der Markt diktiert jedoch, dass die Offenheit der Systeme durch den Kunden gewünscht bleibt.

Sie bezeichnen sich als Penetrationstester, was ist der Unterschied zu einem Hacker?

Unter einem Penetration Test verstehen wir die Überprüfung eines Systems auf Schwachstellen. Durch das Ausnutzen potentieller Fehler wollen wir eben diese beweisen. Dies erfordert oftmals ein gern unterschätztes Mass an Kreativität, das naturgemäss ein zentraler Bestandteil des traditionellen Hackings ist.

So gesehen besteht in seinen Grundzügen kein allzu grosser Unterschied zwischen unserer beruflichen Tätigkeit und einem «produktiven Hack». Da bei einem professionellen Projekt jedoch auch noch wirtschaftliche Komponenten mitspielen, sind zusätzliche Anforderungen gegeben. Ein Kunde erwartet, dass ein Angriff koordiniert und zuverlässig abläuft.

Was passiert, wenn Sie eine neue Schwachstelle finden?

Wenn wir im Rahmen einer Sicherheitsüberprüfung eine Schwachstelle in einem System identifizieren, dokumentieren wir den Fehler: Was haben wir gemacht, was ist passiert und was könnte noch passieren? Handelt es sich um einen besonders kritischen Fehler, informieren wir unverzüglich unseren Kunden, damit dieser schnellstmöglich Gegenmassnahmen einleiten und damit das Zeitfenster für erfolgreiche Attacken minimieren kann.

Und bei einem kleineren Leck?

Handelt es sich bei der Schwachstelle um einen Fehler in einem populären Produkt, der noch nicht bekannt ist, sprechen wir von einem «Zero-Day».

In diesem Fall kontaktieren wir den Hersteller und informieren ihn in gleicher Weise über den Fund. Mit ihm koordinieren wir dann die Herausgabe einer Gegenmassnahme (z.B. ein Patch) sowie eines Advisories, um die betroffenen Kunden über die drohende Gefahr zu informieren.

Was hat es mit dem von Ihrer Firma entwickelten Trojaner auf sich?

Wir bieten verschiedene Arten von Sicherheitsüberprüfungen an. Mitunter entwickeln wir kundenspezifische Trojanische Pferde. Von Grund auf programmieren wir also eine Software, die in ein Computernetzwerk einbrechen, uns Zugang und Daten verschaffen soll - ähnlich dem Stuxnet-Wurm, der in Steuersysteme von Kernkraftwerken eingedrungen ist.

Welchen Zweck verfolgen Sie damit?

Damit können wir die vielschichtigen Sicherheitsmechanismen eines Unternehmens im Rahmen eines sehr realitätsbezogenen Tests prüfen. Nach Abschluss des Projekts können wir exakt sagen, wie viel Aufwand ein professioneller Angreifer benötigen würde, um in die gesicherte Umgebung einzubrechen. Solche Trojaner haben wir schon für sehr exotische Plattformen, mitunter auch Mobiltelefone und Fax-Systeme, entwickelt.

Sie haben ein Attack Tool Kit entwickelt, um Schwachstellen zu finden. Stört es Sie nicht, wenn das Programm missbraucht wird?

Das Tool habe ich ursprünglich entwickelt, um meine Arbeit zu erleichtern. Ich war es leid, die immerwährend gleichen Angriffsversuche durchzuführen und so habe ich sie automatisiert. Ich hielt es für unsinnig, diese Entwicklung für mich zu behalten und machte sie öffentlich, so dass auch andere Sicherheitsexperten davon profitieren können.

Selbstverständlich lässt sich nicht verhindern, dass eine solche Software für böswillige Ziele zweckentfremdet wird. Die Nutzung setzt jedoch ein solides Verständnis für die technischen Mechanismen voraus, so dass es eigentlich nur Spezialisten gebrauchen können. Damit wird indirekt verhindert, dass jeder nach Belieben andere Systeme angreifen kann.

Sie beschäftigen sich mit DDoS-Attacken und Wikileaks, aber auch mit GeoHots Jailbreak für die Play Station 3. Was fasziniert Sie bezüglich IT-Sicherheit am meisten?

Informationssicherheit und damit auch meinem Beruf sind praktisch keine Grenzen gesetzt. Mit einem Augenzwinkern habe ich mir den Job-Titel «Problemlöser» gegeben. Schon als Kind mochte ich Rätsel. Doch ich konnte nie viel mit Kreuzworträtseln und Sudokus anfangen. Viel mehr faszinierten mich die echten Rätsel, die das Leben bietet. Ich freue mich jeden Tag, etwas Neues studieren zu dürfen. Ein «Hack» findet für mich deshalb auch in erster Linie im Kopf statt.

Auf theoretischer Ebene kann ich mir zur Zeit für Steganographie, das Verstecken von Nachrichten, begeistern. Auf praktischer Ebene wird das laufende Jahr für uns wohl vorzugsweise durch die Sicherheit mobiler Geräte (Mobiltelefone, Tablets) beherrscht sein. Wir treiben in dieser Hinsicht gegenwärtig einige sehr spannende Forschungen voran.

Wie beurteilen Sie das iPhone und die neuen Android-Handys?

In unseren aktuellen IT Security Forecast (Firmen-Newsletter, Anmerk. d. Red.) sagen wir voraus, dass sich mobile Geräte zu einem zentralen Bestandteil heutiger Informationssicherheit entwickeln werden. Ein direkter Vergleich komplett unterschiedlicher Plattformen, wie halt eben iPhone und Android, ist sehr schwierig. Die Geschlossenheit des iPhone erschwert das Finden von Schwachstellen. Zeitgleich ist die breite Etablierung für ein hohes Interesse der Angreifer verantwortlich.

Wir gehen jedoch davon aus, dass Android-basierte Systeme über kurz oder lang dem heutigen iPhone-Modell den Rang ablaufen werden. Android wird damit wohl zu einem sehr populären Angriffsziel werden. Es wird sich zeigen, ob und inwiefern Apple und Google ihre Verantwortung in Bezug auf Produktqualität wahrnehmen werden.

Sie waren in den 90er-Jahren Mitglied einer bekannten deutschen Hacker-Gruppe. Heute sind Sie ein renommierter Netzwerk-Sicherheitsexperte und Autor. Haben Sie noch Kontakte in die Hacker-Szene?

Die ganze Branche der Informationssicherheit hat sich in den letzten 15 Jahren enorm verändert. In den 90er-Jahren war der Umgang und Informationsaustausch unter den wenigen Gleichgesinnten noch viel familiärer und kollegialer. Man hat sich gefreut, mit jemandem Kontakt zu haben, der die eigenen - oftmals eher unpopulären Interessen - teilt.

Sowohl die Branche als auch die Szene haben sich seitdem zu grossen Teilen professionalisiert. Zwar gibt es noch immer Vereinigungen und eine Vielzahl interessanter Konferenzen - ich freue mich beispielsweise dieses Jahr wieder auf die Hashdays in Luzern. Viele der Bastler von damals verdienen jedoch heute Geld mit ihren Ideen. Die bei Projekten stets auferlegten Geheimhaltungserklärungen machen es nicht gerade einfach, sich mit Aussenstehenden über ein spannendes Thema zu unterhalten. Wir erachten es jedoch als sehr wichtig, dass wir in ständigem Kontakt mit anderen Sicherheitsexperten aus aller Welt sind.

Marc Ruef

Er beschäftigt sich mit Viren und Trojanern, kennt die Tricks der Hacker und sucht mit anderen Fachleuten der Schweizer Sicherheitsfirma Scip nach Schwachstellen in Programmen und Computer-Hardware. «Für viele Leute aus meinem privaten Umfeld gelte ich als Freak oder Nerd», schreibt Marc Ruef (29) auf www.computec.ch, einem der grössten deutschsprachigen Portale rund um Computersicherheit. In Fachkreisen werde er eher als Generalist wahrgenommen, sagt Ruef. Im Bereich der Netzwerksicherheit hat er mehrere hundert Beiträge in Fachzeitschriften publiziert und mehrere Bücher verfasst, darunter auch Standardwerke wie «Hacking Intern» und «Die Kunst des Penetration Testing». Ruef bezeichnet sich als «echten Vollblutinformatiker» im traditionellen Sinn. Erklärtes Ziel: Den Menschen das Leben einfacher machen im Umgang mit Computer und Co.

Das Gründungsmitglied der Aargauer Linux User Group (LUG) hat früher als Freelancer für verschiedene Sicherheitsfirmen gearbeitet und ist seit sechs Jahren Mitinhaber der Scip AG mit Sitz in Zürich. In den 90er-Jahren war er Mitglied der Hacker-Gruppe Kryptocrew.de.

Deine Meinung