Kurz vor der Wahl drückt die Bundesregierung noch schnell eine neue Cybersicherheitsstrategie für die nächsten fünf Jahre durch. Was steckt dahinter und was bedeutet die neue Cybersicherheitsstrategie für Deutschland?
Vorgeschichte der Cybersicherheitsstrategie
Die am 08.09.2021 durch das Kabinett verabschiedete Cybersicherheitsstrategie wurde am 09.06.2021 veröffentlicht und es sollte eine Stellungnahme durch Akteure der Cybersicherheit bis zum 16.06.2021 erfolgen. Ein offener Brief des “Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V.”, welcher von über 70 Organisationen und Personen aus Politik, Wissenschaft und Zivilgesellschaft unterzeichnet wurde, fand kein Gehör. Die Verkürzung von Fristen zur Stellungnahme haben sich eingeschlichen. Bereits bei der Neuauflage des IT-Sicherheitsgesetz hatte man den Akteuren jeweils äußerst kurze Fristen gestattet, um Kommentare abzugeben.
Kern der Kritik
Im Kern der Kritik stehen vor allem zwei Aspekte der Cybersicherheitsstrategie: Die Möglichkeit des “Hack-Backs” und die widersprüchliche Haltung zum Thema Verschlüsselung. Diese Punkte wollen wir im weiteren Text fokussieren und detailliert beschreiben, da beide das Cybersicherheitsniveau vermeintlich eher schwächen, als es anzuheben und dies vermutlich in nicht unerheblichem Ausmaß. Das Abschwächen von Ende-Zu-Ende-Verschlüsselung ist auch in den USA immer wieder ein Thema.
Verschlüsselung
Das Ziel von Cybersicherheit ist es, mindestens die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten. Um Vertraulichkeit zu erreichen, wird häufig im Kern auf Verschlüsselung zurückgegriffen, beispielsweise die RSA-Verschlüsselung. Vertraulichkeit bedeutet, dass Daten nur von berechtigten Empfängern gelesen werden können. Im Endeffekt geht es darum, einen unverschlüsselten Text beispielsweise “AWARE7” durch mathematische Funktionen so zu verändern, dass nach der Verschlüsselung die Information des Textes nicht mehr auszumachen ist. Eine besondere Rolle spielt dabei der Zufall. Die Werte, die als “Zufall” in eine kryptografisch sichere Funktion einfließen, müssen tatsächlich zufällig sein. Der Dienstleister Cloudflare nutzt beispielsweise eine Wand aus Lavalampen, um Zufall zu erzeugen.
So wird mit dem AES-128-Algorithmus aus “AWARE7”, einer Prise “Zufall” und dem Schlüssel “Matteo” beispielsweise “kh9GhQXAxE+fnY/au1Z/Qw==”. Dieser ist dann im Optimalfall nur noch mit einem Schlüssel wiederherstellbar. Dieser Schlüssel enthält ebenfalls eine Prise “Zufall”. Dieser Schlüssel sollte dann nur “berechtigten Parteien” innerhalb der Kommunikation bekannt sein. In einem Chatverlauf zwischen Person Alice und Person Bob sind die berechtigten Personen also Alice und Bob. Diese müssen den Schlüssel generieren, gegenseitig austauschen (ein ganz eigenes Problemfeld, auf das wir gleich auch noch zu sprechen kommen) und können dann verschlüsselte und damit vertrauliche Nachrichten versenden.
Wenn wir nun also verschlüsselte Nachrichten aufbrechen wollen unter der Annahme, dass dies “immer” möglich sein soll, gibt es zwei offensichtliche Möglichkeiten: Entweder es gibt einen Generalschlüssel für alle Kommunikation oder es gibt “Gruppenschlüssel” für einzelne Chats. Das würde bedeuten, dass per-se alle Nachrichten entschlüsselt werden können, entweder grundsätzlich oder bei einem Verdachtsmoment. Wenn es aber einen dritten Schlüssel gibt, dann muss dieser aus den geheimen Werten von Alice und Bob generiert werden oder die Werte an sich sind nicht zufällig. Beides ist ein grundsätzliches Problem für die Vertraulichkeit, die mit Verschlüsselung erreicht werden soll.
Am Ende muss eine sogenannte “Backdoor” eingebaut werden. Und dort sind sich Wissenschaft und Experten einig: Eine Backdoor wird mehr Schaden verursachen, als das Sie nutzen wird. Denn wenn es eine Hintertür gibt, ist es auch äußerst wahrscheinlich, dass andere, unberechtigte Dritte diese Backdoor finden können und ausnutzen. Am Ende sind Backdoors absichtlich platzierte Schwachstellen, die ein System und seine Vertraulichkeit, Integrität und Verfügbarkeit schwächen, anstatt sie zu stärken.
Der Hack-Back und Cybersecurity
“Auge um Auge, Zahn um Zahn”. Dieses alte Sprichwort gilt in den meisten modernen, zivilisierten Gesellschaften nicht mehr oder nur noch sehr bedingt. Ein Hack-Back ist dahingehend ein Rückschritt. Und eine schlechte Idee aus Sicherheitssicht. Das erste Problem ist das Problem der sogenannten “Attribution”. Ein weiteres moderneres Sprichwort ist in diesem Zusammenhang wichtig: “On the Internet nobody knows you are a dog”. Es ist auch heutzutage noch leicht, Identitäten im Internet zu verschleiern. Mit ein paar Euro können Server überall auf der Welt angemietet werden und von dort kann angegriffen werden. In der Vergangenheit gab es bereits kleinere (sprich: Nicht-staatlich organisierte) Hack-Backs, die bereits deutliche Nebenwirkungen hatten. Die Frage ist zudem bei einer international agierenden Angreiferszene, welches Recht wurde gebrochen bei einem Hack und welches Recht gilt und bricht daraufhin bei einem Hack-Back. Hat dieser Hack-Back dann eventuell noch schwerwiegendere Folgen? Vermutlich wäre eine Fokussierung auf die Stärkung internationaler Digitalabkommen hier der zielführendere Weg, da so auf diplomatischem Wege Lösungen gefunden werden könnten.
Fazit Cybersicherheitsstrategie
Es ist schwer, positive Aspekte hervorzuheben, da die beiden besprochenen Punkte die Cybersicherheit und auch die Resilienz in Deutschland vermutlich nachhaltig schwächen werden. Vor beiden Aspekten haben zahlreiche Institutionen, Wissenschaftler und auch der wissenschaftliche Dienst des Bundestages gewarnt. Es bleibt abzuwarten, inwieweit diese Cybersicherheitsstrategie nun ein digitales Wettrüsten bedeutet, in welches Deutschland sich nun stürzt.