Jul 16 2013

Die Sicherheit ist bei Open Source nicht garantiert – aber nur da überhaupt möglich

Feind hört mit

Quelle: Wikipedia; Urheber: Andreas Preuß

Lauschangriffe

Die Lauschaktivitäten mit PRISM des amerikanischen Geheimdienst National Security Agency (NSA), mit Tempora des britischen Geheimdienst Government Communications Headquarters (GCHQ) oder die illegale Vorratsdatenspeicherung des französischen Geheimdienst Direction Générale de la Sécurité Extérieure (DGSE) mit großzügiger Weiterleitung an andere Dienststellen etc ist in aller Munde. Bekannt geworden ist auch das „Mail Isolation Control and Tracking“ (MICT) Verfahren, welches allein 2012 insgesamt 160 Milliarden Postsendungen eingescannt hat. Es dürfte auch deutlich sein, dass dies nur die bekannt gewordenen Spitzelaktionen sind. Es wird mehr geben. Wieviel mehr ist nicht klar. Ob es sich um die bekannte Spitze eines viel größeren Eisberges handelt oder bereits jetzt fast alles bekannt geworden ist weiß ich natürlich nicht. Meine Vermutung geht aber dahin, dass noch viele Geheimnisse auf ihren Whistleblower warten.

Die Stasi wirkt angesichts des Ausmaßes und der Datenmengen bereits bei den erfolgten Enthüllungen fast wie die Amateurliga.

The enemy is listening

By US Office of War Information ) [Public domain], via Wikimedia Commons

Social Network und direkter Zugriff

Darüber hinaus gibt es mehr oder weniger direkten Zugriff auf Daten in den Social Networks bei Google, Facebook und anderen.

Bislang besonders negativ aufgefallen Microsoft. Laut verschiedenen Berichten teilte Microsoft der NSA vor der Schließung von Sicherheitslücken diese hierdurch bestehenden Möglichkeiten dem Geheimdienst mit. Desweiteren wurde nach den Berichten auch aktiv Zugriffe an der Verschlüsselung vorbei für Hotmail.com, Outlook.com und Skydrive geschaffen. Auch Skype dürfte in diesem Reigen nicht fehlen. Jedenfalls gilt dies zumindest seit Microsoft diesen Dienst übernommen hat.

Die Aussagen der Hersteller bzw. Diensteanbieter versprachen eine sichere Verschlüsselung. So heißt es bei dem oben verlinkten Supporttext:

Alle Sprach- und Videoanrufe sowie Chats zwischen Skype-Nutzern werden verschlüsselt. Dies schützt Sie vor möglichem Mithören von Nutzern mit unlauteren Absichten.

Skype verwendet den erweiterten Verschlüsselungsstandard AES (Advanced Encryption Standard*), der auch unter der Bezeichnung Rijndael bekannt ist und von US-Regierungsbehörden verwendet wird, um vertrauliche Informationen zu schützen. Skype setzt die maximale Verschlüsselung mit 256 Bit ein. Die öffentlichen Schlüssel von Nutzern werden vom Skype-Server bei der Anmeldung mit 1536- oder 2048-Bit-RSA-Zertifikaten zertifiziert.“ (Hervorhebung in Bold der Verfasser).

Manches von diesem Werbetext wirkt jetzt nur noch wie eine Verhöhnung.

Wars das?

Ich denke, dass es sehr wahrscheinlich ist, dass das was über Microsoft bekannt wurde auf viele oder alle Soft- und Hardware Hersteller zutreffen dürfte.

Warum hat die NSA eigentlich Cisco in Ruhe gelassen?
Wird nicht auch vielleicht der israelische Geheimdienst Mossad beim Firewall-Hersteller Checkpoint Wünsche anmelden?

Ich habe keine Ahnung ob dies so ist – unvorstellbar erscheint mir dieser Wunsch der Geheimdienste aber nach den jüngsten Enthüllungen nicht. Ebenso ist es zumindest jetzt vorstellbar und vorgekommen, dass die Firmen nachgeben (müssen oder (wegen Vorteilen) wollen).

Ist Open Source eine Alternative?

  • Open Source ist sicher nicht fehlerfrei
  • Open Source ist nicht ohne Hintertüren
  • Der Code Review ist bei Open Source nicht garantiert und nicht garantiert sorgfältig und umfassend.

ABER

Code Review ist bei Open Source zumindest möglich. 

Dieses Argument ist alt und mehrfach vorgetragen worden. Trotzdem finden wir in Wirtschaft und Verwaltung zumeist immer noch andere Produkte vor. Dem Argument wurde aus zwei gegenläufigen Richtungen begegnet:

  • Da der Änderungen am Source möglich seien, können auch Hacker Schadcode einbauen
  • Es sei schon einerseits Paranoid und anderer Seits auch eine Überschätzung, sich mit seiner IT und seinen Informationen von den Geheimdiensten verfolgt zu sehen

Das erste Argument war schon immer unverständlich. Änderungen können so jedenfalls bemerkt werden, und Hintertüren hat es in Closed Source schon immer gegeben. Sei es aus Nachlässigkeit (Masterpasswort) oder auch aus „Supportinteressen“ (Borland/Interbase). Entdeckt wurden diese Lücken zumeist dann, wenn Hacker oder Sicherheitsexperten darauf aufmerksam machten oder die Anwendung Open Source wurde. Jedenfalls hat man bei Open Source zumindest auch die Chance, diese Lücke zu finden und zu schließen.

Nach den aktuellen Enthüllungen ist das zweite Argument ebenfalls vollständig verbrannt. Es ist leider so, dass (zumindest) ausländische Geheimdienste an allen Informationen Interesse haben. Dies gilt natürlich für Wirtschaftsgeheimnisse und auch Behördendaten aller Art. Hier ließe sich bequem bedienen wenn man die Hintertüren kennt. Man muss dann nicht auf den Mailaustausch warten.

Es ist technisch offensichtlich möglich, all diese Daten auch zu verarbeiten!

Warum jetzt Open Source?

Ich halte es für ein Gebot der Stunde jetzt auf Open Source zu setzen. Neben dem offensichtlichen Mehr an Sicherheit und Möglichkeit ist dies auch für die deutsche oder europäische Softwarebranche eine Riesenchance, wenn die hiesige Wirtschaft und Verwaltung auf Open Source umstellt. In dieser Sparte, ist die Erlangung einer relevanten Marktposition noch möglich.

Aus Sicherheitsaspekten ist der Einsatz von Closed Source wie bislang vorzufinden nicht verantwortbar.

Open Source ist ab jetzt ein absolutes Muss, wenn diese Variante – in welcher Form auch immer – am Markt vorhanden ist.

Permanentlink zu diesem Beitrag: https://www.wallinet.de/blog/2013/07/die-sicherheit-ist-bei-open-source-nicht-garantiert-aber-nur-da-uberhaupt-moglich/

Schreibe einen Kommentar

Your email address will not be published.

Social Widgets powered by AB-WebLog.com.