Wie jedes Jahr gab’s zwischen Weihnachten und Silvester den Congress des Chaos Computer Clubs, diesmal schon in der 31. Auflage.
Da ich mich ein wenig für IT-Sicherheit interessiere, musste ich natürlich wieder dabei sein, auch wenn mein Outfit nicht so ganz zur Hacker-Community passt.
Im Ernst: Beim Congress zählt nicht das Aussehen, sondern der Spaß am kreativen Umgang mit Technik. Und dabei werden Dinge entdeckt, die uns nachdenklich machen sollten. Nach dem Congress will man dann einige Geräte nicht mehr so benutzen, wie man das bisher gemacht hat.
Los ging’s mit den Mobiltelefonen. Zwischen den Mobilfunk-Unternehmen gibt es das Protokoll SS7. Damit kann ich eine Umleitung auf meine Sprachmailbox einschalten, wenn ich in Malle am Strand liege. Dummerweise wird die Umleitung auch akzeptiert, wenn mein Händü in Deutschland eingebucht ist und der Auftrag von sonstwem oder von der NSA kommt. Das Protokoll ist ohne Sicherheit implementiert worden. Au weia. Wenn Dich jemand abhören will, dann kann er das auch. Ähnlich unsicher sind die anderen Steuerkommandos (Abrechnung, Lokalisierung, …). Bei UMTS oder LTE wird nichts besser, SS7 bzw. seine kompatiblen Nachfolger gibt’s auch dort.
TLS zur Verschlüsselung (https, pop3s, …) kann mit entsprechendem Aufwand durch die Geheimdienste mitgelesen werden. Schuld sind nicht etwa schlechte Krypto-Alogrithmen, sondern Fehler in der Implementierung. Dabei macht jeder Hersteller Fehler (Apple mit goto fail, Linux mit Heartbleed, Microsoft mit SChannel bug). Wirklich sicher sind wohl nur noch PGP und OTR sowie die vorletzte TrueCrypt-Version – zumindest sagen das die zwei Jahre alten Snowden-Leaks. Und hier wären wir bei der politischen Komponente der IT-Sicherheit. Laura Poitras und Jake Appelbaum erhielten Standing Ovations, kurz nach Mitternacht sahen noch Tausende „Citizenfour“.
Starbug hat nochmal gezeigt, mit welchen primitiven Mitteln er den Touch-Sensor des iPhone zwei Tage nach Erscheinen gehackt hat. Fingerabdrucksensoren sind teurer Schrott. Für den „Diebstahl“ von Schäubles Fingerabdruck brauchte er noch ein Wasserglas, das nach einer Eröffnungsrede nicht korrekt gereinigt wurde. Den Fingerabdruck der Verteidigungsministerin gibt’s jetzt dank hochauflösendem Pressefoto aus 6 Meter Entfernung. Infrarot-Scheinwerfer mit passender Kamera bringen auch das Venenmuster zum Vorschein. Für Iris-Scanner reicht ein Wahlplakat.
Biometrie ist sowas von kaputt – wieder etwas, das ich nicht mehr benutzen möchte.
Wenn ich ganz sicher sein will, dass mein Computer das macht, was er soll, dann muss ich ihm selbst die Befehle geben. Wenn ich kommerzielle Closed-Source-Software kaufe, dann gebe ich ihm aber nicht selbst die Befehle, sondern dann führt er die Befehle des Softwareherstellers aus. Richard Stallmann zeigte in seinem Vortrag (wie schon seit 30 Jahren) den einzigen Weg aus diesem Dilemma: Freie Software
„Frei“ bedeutet aber nicht kostenlos im Sinne von „Freibier“, sondern kopierbar, veränderbar, weitergebbar im Sinne von „Freiheit“. Wirkliche Sicherheit kann es nur bei freier Software geben. Ich nehme mir aber trotzdem die Freiheit, auf meinem Notebook mit Windows zu arbeiten. Sicherheit ist immer ein Kompromiss, Kosten und Funktionalität dürfen nicht auf der Strecke bleiben.
Vom Congress nehme ich auf jeden Fall mit, dass das Thema Sicherheit uns so schnell nicht verlässt und dass wir ständig nachrüsten müssen – eine wirklich „sichere IT“ wird es wohl nie geben.
Und wo sollten wir anfangen? Alle Daten sollten bei der Übertragung und bei der lokalen Speicherung verschlüsselt werden. Die Technologien stehen zur Verfügung. Die Verschlüsselung ist ein Kostenoptimierungsprogramm für ungebetene Mitleser, d.h. wir treiben deren Kosten in die Höhe.
Sie wissen nicht wie? Kein Problem, ich erkläre das im Seminar.
