Unsere zivilisierte Welt ist nur eine große Maskerade. Arthur Schopenhauer

Wir sind keine Vulkanier!

Sebastian Schreiber, Geschäftsführer des IT-Sicherheitsunternehmens SySS GmbH, knackt auf dem öffentlichen Fachforum der Friedrich-Ebert-Stiftung binnen weniger Minuten ein iPad. Es ist der 24. November 2014 – doch dieser Vortrag hätte auch gestern stattgefunden haben können. Hat sich denn gar nichts bewegt?

Schreiber, der Tübinger Tüftler, ist kein gewöhnlicher Referent: er präsentiert einen Live-Hack. Beziehungsweise gleich derer mehrere. Er hat nicht nur den eigenen Rechner inklusive zahlreicher eigens entwickelter Hackersoftware mitgebracht, sondern auch noch einige Smartphones und ein altes Mobiltelefon, das man nicht hacken kann, weil sich darauf keine Software installieren lässt, dazu zertifizierte Krypto-Memory-Sticks, GSM-Wanzen und weitere Gerätschaften aus Fremd- und Eigenentwicklung, aus denen mancherlei Kabel und Drähte herausragen.

Daran schließt er ein iPad an. Eins … zwei … drei … Ein neues Betriebssystem ist auf dem iPad installiert, das die Sperre für die Passworteingaben außer Kraft setzt. Er hält zwei Knöpfe des iPads gedrückt. Eins … zwei … drei … Das neue OS startet einen Brute Force Attack und probiert grob alle Vierzahlenkombinationen durch. Jetzt dauert es noch einen Moment. Man könnte zwar schon jetzt auf die Inhalte auf dem iPad zugreifen, erklärt der Berufshacker dem Publikum, aber sie wären noch verschlüsselt. Mit der richtigen PIN ist der Zugriff auf alle Daten uneingeschränkt möglich, naja, bis auf den Facebook-Account, Twitter und eingie andere, für die man noch ein weiteres Passwort braucht, wie Schreiber einräumt. Das Warten hat sich gelohnt. Nach wenigen Minuten hat die Hackersoftware die PIN geknackt. Dem Zugriff auf alle Daten auf dem Gerät – im Plaintext – steht nichts mehr im Weg.

So schnell geht es heute nicht mehr

Wir schreiben das Jahr 2016. Die Sicherheitsfirma SySS GmbH ist deutscher Marktführer für Penetrationstests. Und Apple hat die Sicherheitsmaßnahmen zum Schutz der auf den iPhones und iPads gelagerten Daten mit jedem neuen Betriebssystem verbessert. Mit iOS7 hat Apple erstmalig eine automatische („by default“) Verschlüsselung aller Nutzerdaten auf dem iPhone eingeführt. Mit dem im Jahr 2014 entwickelten Betriebssystem iOS8 ging Apple konsequenterweise noch einen Schritt weiter und hat es den eigenen Mitarbeitern unmöglich gemacht, auf die auf Mobiltelefonen und Tablets gespeicherten Nutzerdaten zuzugreifen oder diese zu extrahieren. Dies war das Ende des Generalschlüssels zum iPhone. Jedenfalls, was die Apple-Techniker betrifft.

Nun kündigte Apple-Chef Tim Cook an, das Unternehmen möchte die Verschlüsselung der in der iCloud gelagerten Daten einführen. Sie dienen den iPhone- und iPad-Nutzern als Back-up und als Archiv für die sonst auf dem Gerät gespeicherten Daten. Neulich wurde bekannt, dass Apple über eine Lösung nachdenkt, dass das iPhone blockiert, sobald der Nutzer zur Abgabe seines Fingerabdrucks auf dem Gerät gezwungen wird oder sich in Gefahr befindet. „Die iOS-Geräte sind heute sehr sicher“, sagt Sebastian Schreiber, „beim begründeten Verdacht haben Strafverfolgungsbehörden dennoch die Chance, auf die Daten zuzugreifen.“ Als da wäre die Sicherstellung des Geräts im ungesperrten Zustand. Ebenfalls Erlangung der PIN bei deren Eingabe, beispielsweise durch Mitlesen beim Blick über die Schulter oder Verführung des Besitzers zur Eingabe der PIN auf einem anderen Gerät.

Wie es in der Praxis funktionieren könnte, hätte man schon beim aktuell amtierenden Sherlock Holmes alias Benedict Cumberbatch in der Folge Ein Skandal in Belgravia bewundern können. Dort versucht der Meisterdetektiv, die Smartphone-PIN seiner gefährlichsten Gegenspielerin, Irene Adler, so spektakulär wie wenig erfolgreich zu knacken. Schließlich, gegen Ende der Geschichte, errät er diese.

Nicht jeder kann Sherlock Holmes

Seit dem iPhone s5 gibt es die Möglichkeit, das Gerät mittels eines Fingerabdrucks zu schützen. Der Nutzer kann die Touch-ID-Funktion abstellen, indem er sein Fingerabdruck erst gar nicht einliest, aber die wenigsten tun dies. Das mit einem Fingerabdruck geschützte iPhone ist relativ sicher, bis auf die Fälle, bei denen dem Nutzer der Fingerabdruck entwendet wird. Zum Beispiel indem er von einem vom Besitzer genutzten Trinkglas abgenommen wird – wie es, diesmal vom berühmten Geheimagenten 007, im Bond-Film Diamantenfieber vorgeführt wurde. Der Fingerabdruck eines toten Nutzers ist im Übrigen ebenso wirksam wie der eines Lebenden. Und dann gibt es noch die Möglichkeit einer Erpressung, wie sie aus der Geschichte des Tresorknackens bekannt ist: Jemand zwingt den iPhone-Besitzer, beispielsweise mit gezogener Waffe, seinen Fingerabdruck abzugeben. Auch für solche Fälle beginnt Apple aufzurüsten, indem es mit einem „Panikmodus“ experimentiert, den der Kunde durch das Auflegen eines bestimmten Fingers auf den Scanner auslösen kann. Ob er sich in Gefahr befindet oder erpresst wird – eine Alarmierung wird auslöst und/oder die Daten auf dem Gerät werden gesperrt. Apple hat hierzu ein Patentantrag beim US-Patentamt angemeldet.

Alle diese Möglichkeiten stehen nicht nur der Polizei oder etwa Sherlock Holmes zur Verfügung. Auch Diebe können sie nutzen. Oder Geheimdienste. Damit kann man auf die Daten eines iPhone zugreifen. Aber eben nicht auf alle iPhones. „Ich verstehe, dass die Ermittlungsbehörden auf die zurückliegenden Daten eines bestimmten iPhone zugreifen wollen“, sagt Sebastian Schreiber, „wofür ich kein Verständnis habe, ist, wenn der Zugriff auf die zukünftigen Daten erfolgen soll.“ Doch genau das will das FBI. Mit dem Gerichtsurteil wurde das Techunternehmen Apple aufgefordert, eine Software zu erstellen, mit der das FBI Zugriff auf das iPhone eines der San-Bernardino-Attentäters erlangen würde. Mit dieser Backdoor – einer Hintertür – könnten die Schutzmechanismen eines jeden iPhone ausgetrickst oder umgangen werden.

Apple-Chef Cook wehrt sich öffentlich

„Obwohl es im Einzelfall gute Gründe geben kann, eine Hintertür zu nutzen, bin ich generell gegen Backdoors“, sagt Sebastian Schreiber. Dagegen spricht seiner Meinung nach eine Reihe von guten Gründen. Für wen sollten diese Hintertüren geschaffen werden? Nur für die Regierungen des Herstellerlandes? Oder sollen Produkte mit Backdoors für die Sicherheitsbehörden des jeweiligen Importlandes ausgestattet werden? Und wie stellt man sicher, dass der Zugriff auf Backdoors nicht weitergegeben wird? Die Zugriffswege sind derart wertvoll, dass man sie kaum schützen kann. Ein weiteres Argument dürfte seit den Enthüllungen Edward Snowdens verstärkt gegen den Einsatz der Hintertüren sprechen: „Die Existenz staatlicher Backdoors zerstört das Vertrauen in die moderne Kommunikation“, betont Sebastian Schreiber. Das hat der Apple-Chef, Tim Cook, sehr schnell begriffen, als er entschied, Widerstand gegen das Gerichtsurteil zum Einbau von Backdoors in die iOS-Betriebssysteme zu üben. Die US-Behörden mögen daher mit der Vermutung, bei seiner Reaktion handele es sich um eine Marketingstrategie, gar nicht falschliegen. Und wenn es die Marketingstrategie des Unternehmens sei, das Vertrauen der Kunden in die Kommunikation zu gewinnen, dann ist sie nicht mal schlecht. Auch wenn sie letztendlich dem Geschäftsmodell von Apple nützlich ist.

Ausweglos ist die Situation Apples nicht, sagt Schreiber. Um die Hintertürenpflicht zu umgehen, könne Apple beispielsweise den Firmenstandort nach Indien verlegen und von dort in die USA „schusssichere“ iPhones exportieren. „Gefertigt werden die iPhones ohnehin alle in Asien“, erinnert er. Wie stark sich das auf die US-amerikanische Wirtschaft auswirken würde, ist offen. Doch sicher wäre es ein Nachteil. Sollte die US-Regierung US-amerikanische Unternehmen zwingen, Hintertüren (in Software oder Hardware) einzubauen, so wäre dies ein weiterer Wettbewerbsnachteil: Kunden (private, wie geschäftliche) würden ggf. den Erwerb nichtamerikanischer Produkte vorziehen. „Wer kauft schon gerne ein Produkt mit Hintertüren?“, konzidiert Schreiber.

Für die Weltbevölkerung sei es deshalb besser, sichere Plattformen für die Kommunikation zu haben, als wenn „ab und zu ein Terrorist nicht geschnappt werden kann“, meint Schreiber. Was bei solchen Entscheidungen wesentlich ist, ist die Güterabwägung beziehungsweise der Grundsatz der Verhältnismäßigkeit, wie es vom Bundesverfassungsgericht (BVerfG) im sogenannten Volkszählungsurteil aus dem Jahr 1983 festgelegt wurde. Dieser Grundsatz verlangt, dass geschütztes und beeinträchtigtes Rechtsgut in einem angemessenen Verhältnis zueinanderstehen müssen. Eingriffe sind auch nur dann zulässig, wenn es zum Schutz des Rechtsguts unbedingt erforderlich ist, also auch erst dann, wenn alle anderen Möglichkeiten erschöpft sind. Doch das gilt nicht nur für das Recht auf informationelle Selbstbestimmung. Schreiber greift zum generellen Folterverbot als ein Extrembeispiel zurück. Folter – und auch schon die Androhung dieser – ist generell verboten. Auch dann, wenn die Folter eines Individuums dem guten Zweck dient, an Informationen zu gelangen, die das Leben vieler unschuldiger Menschen retten könnten.

Folter ist verboten. Basta.

Die Güterabwägung im Fall einer Backdoor stellt sich Sebastian Schreiber einfach vor: Man (die Ermittlungsbehörden) darf auf das eine iPhone (des Kriminellen, Terroristen etc.) beim hinreichend begründeten Verdacht zugreifen. Aber nicht auf alle iPhones. Das Recht auf Privatheit und informationelle Selbstbestimmung ist in den Demokratien konstitutiv. Einen Generalschlüssel, der es einem ermöglicht, dieses Recht mit einer Generalvollmacht zu verletzen, darf es nicht geben. Für den Einzelfall gibt es das legitime Mittel der Güterabwägung.

Der deutsche Politologe, Thomas Meyer, warnte davor, die tatsächlichen absoluten Grundrechte, wie die Freiheit, mit Rechten von instrumentellem Wert, wie etwa die Sicherheit, zu verwechseln: „Der relative Wert der Sicherheit verkehrt sich in eine substanzielle Gefahr, sobald er den Rang der wirklichen Grundrechte usurpiert oder gar diese übertreffen soll.“ Für den Star-Trek-Cheflogiker Mr. Spock war die Lösung des Dilemmas – logisch gesehen – recht einfach: das Wohl vieler würde logischerweise schwerer als das Wohl eines Einzelnen wiegen. Die Güterabwägung als Methode des Rechts und der Ethik sagt aber: Das Wohl der Mehrheit überwiegt eben nicht immer die Rechte eines Einzelnen. Das haben die Chefs einiger Techunternehmen, wie Facebook, Microsoft, Twitter oder Google, erkannt und stellen sich hinter Apples.-Chef Tim Cook. Was würde wohl Mr. Spock dazu sagen? Nun, wir sind zum Glück keine Vulkanier.

Lesen Sie auch die neuste Kolumne von Aleksandra Sowa: Neuer Trend aus dem Valley: KEINE Daten sammeln

Leserbriefe

comments powered by Disqus

Mehr zum Thema: Apple, Cybercrime, Cybersecurity

Kolumne

Medium_57ff04dfa7
von Aleksandra Sowa
20.10.2015

Debatte

Cybercrime: Die Herausforderung im neuen Jahr

Medium_6ddcc67d96

Access denied

2015 müssen wir Cybersicherheit auf die Agenda setzen. Nur so können wir das Internet vor uns selbst und den Autokraten dieser Welt schützen. Ein Acht-Punkte-Plan. weiterlesen

Medium_fdff44075d
von Sandro Gaycken
09.01.2015

Debatte

Meldepflicht für Hackerangriffe

Medium_d70368a904

Rote Karte für Hacker

Immer mehr Verbrechen finden im Internet statt. Zur Bekämpfung gibt es eine vielversprechende Strategie – bei der Regierungen vorangehen müssen. weiterlesen

Medium_d35d666bfc
von Arne Schönbohm
06.04.2013
meistgelesen / meistkommentiert