Wir erklären Ihnen heute zunächst, was unter dem Begriff „Backdoor“ verstanden wird und anschließend, warum dieser immer wieder für hitzige Debatten zwischen staatlichen Sicherheitskräften und IT-Sicherheitsexperten führt.
Was ist eine „Backdoor“?
Unter einer Backdoor (Hintertür) versteht die IT einen geheimen Zugang zu einer Software oder einem Computersystem. Dieser ermöglicht es einer dritten Person, Zutritt zu bekommen, ohne dass es der Eigentümer des Systems mitbekommt oder autorisiert. Eine Backdoor kann in verschiedenen Systemen implementiert sein: von einfacher Anwendersoftware, über Betriebssysteme bis hin zu Sicherheits-Systemen wie einer Firewall.
Für Cybersicherheitsexperten ist die Sachlage relativ eindeutig. Eine Backdoor ist kaum etwas anderes als eine bekannte Sicherheitslücke und sollte, wenn möglich, in keinem Programm existieren. Regierungen argumentieren stattdessen für standardisierte Backdoors in bestimmten Programmen, um einfacher schwere Verbrechen wie kinderpornografische Netzwerke, Terrorismus oder organisierte Kriminalität besser bekämpfen zu können. Wir schauen uns im folgenden die Argumente beider Seiten an und schauen, ob eine Kompromisslösung möglich ist.
Warum ist eine Backdoor für die Sicherheit im Staat sinnvoll?
Verschlüsselte Kommunikation und digitale Daten erschweren staatlichen Kräften immer mehr die Strafverfolgung. Vor allem in den USA und Großbritannien wird sich deshalb sehr stark dafür eingesetzt, besonderen staatlichen Organisationen wie dem FBI Möglichkeiten einzuräumen, auf System zugreifen zu können. Auf diese Weise sollen Kriminelle und ihre Netzwerke ausfindig zu machen und auszuhebeln. Eine nur der Regierung bekannte Hintertür würde die Ermittlungsarbeit erheblich vereinfachen und beschleunigen. So könnten Verbrecher schneller gestellt werden. Die Geschwindigkeit ist auch entscheidend um Taten, wie terroristische Anschläge, frühzeitig verhindern zu können.
Bedrohen Hintertüren per se die IT-Sicherheit?
Die Ansicht der Regierungseinrichtungen zum Thema „Backdoor“ wird von IT-Sicherheitsexperten nicht geteilt. Die Idee einer Sicherheitslücke, und nichts anderes ist eine solche bekannte Hintertür, die nur für die „guten“ also für die Regierung offen ist, empfinden viele Sicherheitsexperten als utopisch. Eine Sicherheitslücke könne immer auch von Kriminellen gefunden und ausgenutzt werden. Die möglicherweise verbesserten und beschleunigten Ermittlungen bei einzelnen Verbrechern oder Verbrecherorganisationen rechtfertige somit nicht, dass Millionen Nutzer und Geschäfte jeden Tag eine Sicherheitslücke in ihrer Software akzeptieren müssen, ohne etwas dagegen tun zu können. Dies würde vor allem langfristig mehr Schaden als Nutzen bringen.
Wie ist die aktuelle Gesetzeslage?
Weltweit gibt es deutliche Unterschiede im Bezug auf Überwachungsbefugnisse der Regierung und dem Datenschutz der Bevölkerung. Sowohl in den USA, Großbritannien und Australien gibt es auf Regierungsseite starke Befürworter einer Backdoor. Unternehmen können sogar gezwungen werden, Zugang zu verschlüsselten Daten zu gewährleisten. In den USA ist beispielsweise auch geregelt, dass selbst Daten, die in einer Cloud im Ausland liegen, von der Regierung, auf Rückfrage, eingesehen werden dürfen.
In der EU ist der Datenschutz aktuell auf einer höheren gesetzlichen Ebene als die grundlegenden Ermittlungsrechte der Polizei. Somit sind viele Daten der Bürger:Innen erst einmal geschützt und sie dürfen ohne ein entsprechendes Gerichtsurteil nicht abgefangen und eingesehen werden.
Kann es einen Kompromiss zwischen Cybersecurity und Regierung geben?
Ein Kompromiss zwischen beiden Interessensgruppen zu finden gestaltet sich schwierig. Sinnvoll ist eine enge Zusammenarbeit zwischen beispielsweise Cloud-Anbietern oder Messenger-Diensten und den jeweiligen Regierungen, um bei möglichen Verdachtsfällen einen gezielten Zugriff zu ermöglichen. Dieser muss natürlich richterlich angeordnet sein und strengen Kontrollen unterliegen, um die Missbrauchsgefahr so gering wie möglich zu halten.
Im Gespräch sind auch so genannte „Split Key“-Systeme. Diese sollen den Zugang zu verschlüsselten Daten ermöglichen, wenn mehrere unabhängige Parteien ihre Schlüssel zusammenführen. Auf diese Weise soll verhindert werden, dass eine bestimmte Partei ihre Macht missbraucht und zu großen Zugriff auf Daten bekommen kann. Zusätzlich macht ein solches System das Ausnutzen einer vorhandenen Backdoor deutlich schwieriger. Völlig ausgereift ist dieses System jedoch noch nicht.
Fazit
Die Debatte um Backdoors ist wichtig und zeigt die grundlegende Spannung zwischen notwendigen, staatlichen Sicherheitsmaßnahmen und dem Schutz der Privatsphäre sowie dem berechtigten Interesse seine IT gegenüber Angriffen von außen zu schützen.
Tatsächlich wird es schwierig beides gleichzeitig zu gewährleisten: Freien Zugriff auf Daten bei Verdachtsfällen und ein sicheres System ohne Backdoor.
Als IT Security Unternehmen sind wir jedoch der Ansicht, dass standartisierte Backdoors ein zu großes Risiko sind. Man würde auch nicht seine Hintertür im eigenen Wohnhaus offen lassen, damit die Polizei bei einem Verdacht eintreten und sich umschauen kann. Zum einen ist hierfür ein Untersuchungsbefehl notwendig und zum anderen steht die Tür auf diese Weise auch offen für Verbrecher. Sinnvoller ist es, die Tür erst dann zu öffnen, wenn ein konkreter, gerichtlich bestätigter Verdacht vorliegt. Auch wenn es sinnvoll ist Verbrecherbanden nachzugehen und auszuheben, kann es nicht die Lösung sein, eine Backdoor verpflichtend zu machen. Der Schutz unserer IT darf nicht leichtfertig geopfert werden, um mögliche Kriminelle frühzeitig zu stellen, denn dies kann langfristige negative Konsequenzen haben. Wenn man an generelle Backdoors denkt, darf man dabei nicht vergessen, dass diese dann auch in staatlichen Verwaltungsapparaten zu finden sein werden oder auch in kritischer Infrastruktur wie der von Krankenhäusern. Wenn solche Lücken ausgenutzt werden hat dies ebenfalls weitreichende Konsequenzen für die gesamte Bevölkerung eines Landes.