Ein Best-of der Backdoor-Fails der jüngeren Geschichte.
Hintertüren: Helfen sie, Kriminelle zu fangen oder helfen sie Kriminellen?
Best-of der Backdoor-Fails
Microsoft-Datenbank-Hack
Der Microsoft-Datenbank-Hack im August 2021 wurde als eine der “schlimmsten Cloud-Schwachstellen, die man sich vorstellen kann” bezeichnet. Sicherheitsexperten entdeckten eine Schwachstelle (keine eingebaute Hintertür) in der Microsoft Azure-Infrastruktur, die es ihnen ermöglichte, die Daten von Tausenden von Azure-Kunden einzusehen, zu ändern und zu löschen. Das Sicherheitsunternehmen konnte sich über diese Schwachstelle Zugang zu jeder beliebigen Kundendatenbank verschaffen, die es wollte.
Microsoft Exchange-Hack
Anfang des Jahres musste ebenfalls Microsoft seinen Kunden eine schlechte Nachricht überbringen: Im Januar 2021 wurden Microsoft mehrere Zero-Day-Exploits gemeldet, die es böswilligen Angreifern ermöglichten, aus der Ferne auf Microsoft Exchange-Server zuzugreifen. Ungepatchte Exchange-Server sind jedoch weiterhin anfällig für die Angriffe. Über diese Schwachstelle wurden die E-Mail-Systeme von Unternehmen ins Visier genommen, um “Informationen aus einer Reihe von Branchen zu exfiltrieren, darunter Forscher von Infektionskrankheiten, Anwaltskanzleien, Hochschuleinrichtungen, Verteidigungsunternehmen, politische Denkfabriken und Nichtregierungsorganisationen.”
Absichtlich eingebaute Hintertüren
Neben solchen Schwachstellen, die als Hintertüren für böswillige Online-Angreifer fungieren können, gibt es auch absichtlich eingebaute Hintertüren. Diese sind die schlimmsten, da sie leicht hätten verhindert werden können, wenn die betreffenden Unternehmen die Hintertür schlichtweg nicht eingebaut hätten.
Geheimdienste nutzen solche Hintertüren jedoch gerne zu Spionagezwecken und haben - wie die folgenden Fälle zeigen - aktiv Druck auf Unternehmen ausgeübt, Hintertüren in ihre Produkte einzubauen.
Wohl jeder erinnert sich noch an den prominenten Fall der Schweizer Crypto AG, die im Besitz der CIA (und früher auch des BND) war, um die geheime Kommunikation anderer Länder auszuspionieren. Dieses Unternehmen verkaufte erfolgreich sichere Kommunikationsmittel, insbesondere an Regierungen in aller Welt, und versprach, dass die gesamte Kommunikation sicher verschlüsselt würde. In Wahrheit konnte die CIA die geheime Kommunikation der Crypto-AG-Kunden vollständig mitlesen oder abhören.
Huawei wird auch immer wieder beschuldigt, eine Hintertür eingebaut zu haben, damit die chinesische Regierung alle Huawei-Kunden ausspionieren kann. Dies wird hitzig diskutiert, da Huawei ein wichtiger Akteur in aktuellen 5G-Projekten auf der ganzen Welt ist.
Am bekanntesten ist jedoch die NSA, wenn es um absichtlich eingebaute Hintertüren geht. Sie war für mehrere öffentlichkeitswirksame Backdoor-Fehlschläge verantwortlich - und setzt US-Tech-Unternehmen weiterhin unter Druck, mit ihr zu kooperieren.
NSA-Hintertüren
Juniper-Backdoor-Fail
Eine der bekanntesten Backdoor-Pannen ist die von Juniper Networks. Im Jahr 2017 dokumentierten Kryptologen und Sicherheitsforscher ein hochkarätiges Krypto-Verbrechen, das nur durch eine von Juniper selbst eingebaute Backdoor möglich war. Juniper hat im Jahr 2008 eine Backdoor in das eigene Betriebssystem ScreenOS eingebaut, über die der gesamte verschlüsselte VPN-Verkehr der Geräte mitgelesen werden konnte, wenn ein interner Parameter namens Q bekannt war. Dabei handelte es sich um eine sogenannte “Nobody but us”-Backdoor (NOBUS).
Im Jahr 2012 drangen dann unbekannte Hacker in das Netzwerk von Juniper ein. Es gelang ihnen offenbar, den Quellcode von ScreenOS und den dortigen Parameter Q zu verändern. Sie änderten nur das Schloss der bestehenden Hintertür. Dadurch konnte jemand anderes die verschlüsselten VPN-Daten im Klartext lesen.
Es ist bis heute nicht bekannt, wer diese eingebaute Backdoor übernommen hat. Juniper selbst bemerkte die peinliche Enteignung der NOBUS-Backdoor erst drei Jahre später und reagierte im Dezember 2015 mit eiligen Notfall-Updates.
RSA und der Zufallszahlengenerator
Das Sicherheitsunternehmen RSA erhielt 10 Millionen US-Dollar von der NSA für die Aufnahme des Zufallszahlengenerators Dual Elliptic Curve (Dual_EC_DRBG) in die Krypto-Bibliothek BSafe. Die 10 Millionen haben sich für die NSA gelohnt: Jahrelang verkaufte RSA seine Krypto-Bibliothek mit dieser Hintertür, die seine Kunden dann wiederum in ihre Produkte einbauten.
Darüber hinaus sorgte RSA dafür, dass das Dual_EC_DRBG, von dem eigentlich bekannt ist, dass es eine Backdoor enthält, in offene Standards von NIST, ANSI und ISO aufgenommen wurde. Das Ganze wurde durch interne NSA-Dokumente aufgedeckt, die Edward Snowden 2013 veröffentlichte.
Chinesische Hacker bei Google
Im Jahr 2010 musste Google zugeben, dass Hacker in seinen E-Mail-Dienst Gmail eingedrungen waren. Es ist ziemlich sicher, dass es sich dabei um chinesische Hacker mit einer politischen Mission handelte. Weniger bekannt ist, dass diese Hacker eine ganz besondere Methode verwendeten, um sich Zugang zu Gmail-Konten zu verschaffen, die selbst im Google-Netzwerk nicht ohne Weiteres verfügbar ist: Dazu nutzten sie eine Hintertür, die Google nur für den staatlich legitimierten Zugriff auf E-Mails - das sogenannte Lawful Interception - durch Strafverfolgungsbehörden eingebaut hatte.
Verschlüsselungs-Hintertüren sind Sicherheitslücken
Diese kurze Zusammenstellung der besten Backdoor-Fehlschläge zeigt, dass wir starke Schutzinstrumente brauchen, um uns und unsere sensiblen Daten im Internet zu schützen.
Diese Zusammenfassung der besten Backdoor-Fehlschläge untermauert die Tatsache, dass Backdoors nur für die “Guten” einfach unmöglich sind.
Selbst wenn Backdoors nur von Strafverfolgungsbehörden genutzt werden sollen, um Kriminelle zu fangen, öffnen sie jedem kriminellen Angreifer im Internet Tür und Tor und machen uns anfällig für vielfältige Bedrohungen. Folglich müssen Hintertüren wie jede andere Schwachstelle betrachtet werden. Wir müssen verstehen, dass jede Verschlüsselungs-Hintertür ein ernsthaftes Sicherheitsrisiko darstellt und niemals zugelassen werden darf.
Anstatt nach mehr Überwachung zu rufen, wie es in den laufenden Krypto-Kriegen oft geschieht, müssen sich Politiker für die Sicherheit aller im Internet einsetzen - und dabei ehrlich sein:
Es ist nicht möglich, mehr Sicherheit durch ein Abschwächen der Sicherheit zu erreichen.