FBI./.Apple – Der Kampf um unsere Daten

Der Name Edward Snowden wurde von vielen bereits in die hintersten, mit Spinnweben bedeckten Kisten des Gedächtnisses verschoben. Während seine Enthüllungen vornehmlich im Jahr 2013 stattfanden, ist nicht davon auszugehen, dass die entsprechenden Überwachungsprogramme eingestellt wurden. Im Gegenteil: In einem aktuellen Fall fordert das Federal Bureau of Investigation (FBI) nun vom Technologie-Giganten Apple eine bisher zumindest nicht öffentlich dagewesene Mithilfe zur Überwachung.

image

Aber zurück auf Anfang: Es begann mit einer Schießerei in San Bernardino am 2. Dezember 2015. Das Ehepaar Syed Rizwan Farook und Tashfeen Malik ermordete bei einer Weihnachtsfeier 14 Menschen und verletzte weitere 22. Beide Attentäter kamen im Schusswechsel mit der Polizei ums Leben. Im Anschluss an das Massaker kamen die Behörden in den Besitz eines Firmenhandys, einem Apple iPhone, das von den Attentätern verwendet worden sein soll. Das iPhone ist mittels Passcode verschlüsselt und die Daten sind daher nicht auszuwerten, obwohl das Mobiltelefon physisch vorliegt.

Eine solche Verschlüsselung ist auch für den Laien kein Hexenwerk. Schon beim erstmaligen Einrichten des Smartphones wird man darauf hingewiesen, dass ein solches Passwort – meist ein vierstelliger, numerischer Code – eingerichtet werden sollte. Es besteht ebenfalls die Option, eine längere Zahlenfolge oder sogar ein alpha-numerisches, also aus Buchstaben, Zahlen und Sonderzeichen bestehendes Passwort zu wählen. Durch diesen Vorgang werden die Daten auf dem Gerät effektiv verschlüsselt und Dritte daran gehindert, diese auszulesen. Bei neueren Modellen kann für den zusätzlichen Komfort das Entsperren des Handys und damit das Lesen der Daten sogar durch einen Fingerabdruck-Scan ermöglicht werden. Es besteht die Option, das Gerät zu Löschen, sollte der Passcode zehn Mal falsch eingegeben werden. Nach viermaliger Falscheingabe muss in jedem Fall für eine Minute abgewartet werden, bevor ein erneuter Versuch gestartet werden kann, und das Gerät verlangsamt sich von da an beabsichtigt. Später steigert sich die Verzögerung auf fünf Minuten, dann 15 und später sogar auf eine Stunde.

Im Zuge der Ermittlungen will das FBI nun auf die Daten auf diesem iPhone zugreifen, welche aber ebenso verschlüsselt wurden. Nun wurde die Forderung der Behörde gegenüber dem Smartphone-Hersteller Apple laut, diese Einschränkung aufzuheben, sodass der Passcode beliebig häufig falsch eingegeben werden kann, bis man schlussendlich zum richtigen Ergebnis kommt. Dies mag zunächst wie ein guter Schutz vor Datenverlust aufgrund einer Unachtsamkeit des Nutzers klingen, eröffnet Hackern, Dieben und Behörden, wie Polizei und Geheimdiensten, jedoch die technisch sehr einfache Möglichkeit der Brute-Force-Attacke (deutsch: Brutale-Kraft-Attacke). Hierbei werden alle möglichen Zeichenkombinationen ausprobiert, bis man zum Ziel gelangt ist.  Außerdem soll die elektronische Eingabe ermöglicht werden, so dass die Leistung moderner Computer zum Knacken der Passwörter voll ausgenutzt werden kann.

Um dies zu verdeutlichen hier ein kurzer Vergleich, wie viele Versuche bei unterschiedlicher Passwortlänge maximal nötig sein können. Es ist jedoch wichtig zu beachten, dass theoretisch bereits der erste Versuch ein Treffer sein kann und einfache Passwörter und Zahlenkombinationen wie “passwort” oder “1234” deshalb unbedingt zu vermeiden sind, da diese in der Regel zuerst versucht werden.

  • Bei einer vierstelligen, numerischen PIN, wie meist beim iPhone oder auch bei EC- oder Kreditkarten, gibt es exakt 10.000 mögliche Kombinationen.
  • Eine sechsstellige Zahlenkombination liefer bereits eine Million Möglichkeiten und das Knacken kann aufgrund der Verschlüsselungsarchitektur des iPhones im Höchstfall 22 Stunden betragen.
  • Bei einem achtstelligen Passwort, das aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen besteht, sind hingegen bereits 6.634.204.312.890.625 (das sind mehr als 6,6 Billiarden) Kombinationen möglich. Als kleine Anmerkung für Technik-Fans: Ich gehe von 95 ASCII Zeichen aus: 26 Großbuchstaben, 26 Kleinbuchstaben, 10 Ziffern und 33 Sonderzeichen.

Und für die, die es wirklich genau wissen wollen, hier eine kurze Anleitung zur Berechnung:

  • Es wird zunächst die Anzahl der möglichen Zeichen benötigt. Dies ist meist vorgegeben. Die o.g. Anzahl von 95 dürfte jedoch das Maximum darstellen.
  • Dann muss man die Passwortlänge wissen.
  • Davon ausgegangen, dass jede Zeichenkategorie vorkommen kann, aber nicht muss, und die Reihenfolge der Zeichen festgelegt ist, ist die Formel dann recht einfach. Man potenziert die Zahl der möglichen Zeichen mit der Anzahl der Stellen, also in meinem letzten Beispiel 95 Zeichen mit 8 Stellen. Oder simpel ausgedrückt: 958 – 95 hoch 8.

The Inercept veröffentlichte eine Liste mit maximalen und durchschnittlichen Zeiten, die benötigt werden, Passcodes zu ermitteln [1]:

  • 7 Stellen: bis zu 9,2 Tagen, durchschnittlich 4,6 Tage
  • 8 Stellen: bis zu 3 Monaten, durchschnittlich 46 Tage
  • 9 Stellen: bis zu 2,5 Jahren, durchschnittlich1,2 Jahre
  • 10 Stellen: bis zu 25 Jahren, durchschnittlich 12,6 Jahre
  • 11 Stellen: bis zu 253 Jahren, durchschnittlich 127 Jahre
  • 12 Stellen: bis zu 2.536 Jahren, durchschnittlich 1.268 Jahre
  • 13 Stellen: bis zu 25.367 Jahren, durchschnittlich 12.683 Jahre

Aber genug von sturer Theorie… Wenn Apple nun diese geforderte Hintertür einbauen würde, wäre es für Behörden wie auch Kriminelle ein Leichtes, sich mit mehr oder weniger Zeitaufwand Zugriff auf das Smartphone zu verschaffen. Selbiges würde natürlich für Tablets, PCs, Laptops, E.Mail und Online-Banking-Konten etc.  gelten! Wo man allerdings die Grenze zwischen Behörde und Krimineller ziehen will, und ob das überhaupt sinnvoll ist, das sei mal dahingestellt.

Apple jedoch verweigert sich der Mithilfe und sorgte mit einem offenen Brief [2] des Firmenvorstands Tim Cook für gemischte Gefühle. Ein Teil der vorwiegend amerikanischen Bevölkerung fordert Mithilfe zur Aufklärung des Verbrechens, der andere ruft nach dem Schutz der persönlichen Privatsphäre und sieht, meines Erachtens zu Recht, eine dauerhafte Gefährdung ebendieser in einem bislang nicht da gewesenen Präzedenzfall.

In dem Brief verweist Cook zunächst auf seine Gründe für die Veröffentlichung der FBI-Anfrage:

“Die US-Regierung hat verlangt, dass Apple einen nicht da gewesenen Schritt macht, der die Sicherheit unserer Kunden gefährdet. Wir lehnen diese Anordnung ab, welche Folgen, weit über den genannten Fall hinaus, hat. Dieser Moment erfordert eine öffentliche Diskussion und wir wollen, dass unsere Kunden und Menschen überall in diesem Land verstehen, was auf dem Spiel steht.”

Er verweist im Weiteren auf die Menge der persönlichen Daten, die von der Verschlüsselung profitieren, was ein genaues Bild des gesamten Lebens des Nutzers darstellen kann. Cook stellt außerdem folgerichtig fest, dass es die Aufgabe der Unternehmen sein muss, alles in ihrer Macht stehende zu tun, um diese Daten vor unrechtmäßigem Nutzen, Diebstahl und Zugriff zu schützen, denn der Schutz der persönlichen Daten käme schlussendlich dem Schutz der persönlichen Sicherheit gleich. Es wird darauf verwiesen, dass diese Daten selbst außerhalb der Reichweite des Unternehmens stehen.

Im nächsten Absatz geht Tim Cook auf die Forderungen des FBI ein. Apple soll demnach eine alternative Version des iPhone-Betriebssystems iOS  entwickeln, welche das Entsperren eines verschlüsselten Geräts ermöglicht, sobald man sich dieses physisch angeeignet hat. Zwar hätte das FBI versichert, dass diese Version nur in dem genannten Fall angewandt werden würde, sicher kann man sich dessen, auch in Rückblick auf die Enthüllungen Snowdens, jedoch sicherlich nicht sein. Man müsse sich einer Sache bewusst sein: Sobald der Code zum Entschlüsseln von Daten, oder aber ein Weg, diesen Code zu umgehen, bekannt ist, ist die Datensicherheit, wie wir sie kennen, hinfällig. Jeder, der im Besitz dieses Wissens ist, kann sich ohne Probleme Zugriff zu den persönlichsten Daten verschaffen.

Man muss sich das im Grunde so vorstellen, als würde man sein E-Mail-Passwort auf einen Zettel schreiben und diesen nur einer Person geben. Wenn der Zettel aber in andere Hände gerät, können auch andere Menschen die Nachrichten lesen und sogar in meinem Namen schreiben. Wenn ich dasselbe Passwort nun aber auch für mein Online-Banking verwendet habe, wie es bei vielen Menschen üblich ist, kann eine kleine Unachtsamkeit massive Folgen haben.

Nicht nur aber kann dieser Fall massive (sicherheits-)technische Auswirkungen haben, auch juristisch liegt hier ein Sonderfall vor. Während entsprechende Durchsuchungsbeschlüsse bzw. die Mithilfe von Unternehmen zur Aufklärung von Verbrechen im Regelfall über den Kongress geregelt wird, will das FBI nun im Zuge des All Writs Acts von 1789 (in seiner heutigen Form von 1911, sowie diversen späteren Überarbeitungen) seine Autorität ausweiten. Unter dem Code 28 U.S.C. § 1651 des Bundesrechts der Vereinigten Staaten ist hier festgelegt, dass “alle notwendigen oder angebrachten Erlässe” erlaubt sind, “um die entsprechenden Rechtsprechungen aufrecht zu erhalten und diese mit der Anwendung und den Prinzipien der Gesetze übereinstimmen”, sofern die Alternativen erschöpft sind.

Tim Cook warnt hier vor allem vor der notwendigen Klassifikation als Präzedenzfall, der es Behörden in Zukunft erlauben könnte, im Zuge des All Writs Acts weitere Überwachungsmaßnahmen, wie den Zugriff auf Mikrofone und Kameras von technischen Geräte, zu verlangen.

Natürlich steht hier für Apple nicht nur die Sicherheit der Nutzer auf dem Spiel. Ganz klar spielen hier auch finanzielle Interessen mit. Sollte in einem derart öffentlichkeitswirksamen Fall die Datensicherheit von Apple-Geräten beeinträchtigt werden, werden sich in Zukunft sicher viele Nutzer nach Alternativen umsehen. Dies gilt, neben Privatanwendern, insbesondere auch für Firmenkunden.

Neben diversen anderen Technologie-Unternehmen wie Google, Facebook und Twitter erhielt Apple nun auch äußerst unerwartete Unterstützung von General Michael Hayden, dem früheren Direktor der NSA (1999-2005) und Chef der CIA (2006-2009). Hayden, welcher noch vor einiger Zeit Snowden für dessen Enthüllungen den Tod wünschte, meinte in einer Konversation mit dem Wall Street Journal-Redakteur John Bussey, dass er beide Seiten verstehen würde, jedoch die Logik des aktuellen FBI-Direktors Jim Comey in diesem Fall falsch sei und End-to-End-Verschlüsselung der Sicherheit der Vereinigten Staaten nicht schaden würde, sondern im Gegenteil diese sogar verbessern würde. Er gestand jedoch auch ein, dass er Comeys Meinung wäre, wenn er dessen Stelle inne hätte. Hayden arbeitet mittlerweile jedoch nicht mehr für die Regierung sondern im privaten Sektor.

Quellen:

  1. The Intercept: “Upgrade your iPhone Passcode to Defeat the FBI’s Backdoor Strategy” (englisch)
  2. Offener Brief von Apples Tim Cook an die Kunden (englisch)
  3. Wall Street Journal (YouTube-Video): “Hayden: The Pros and Cons of Access to Encrypted Files” (englisch)

Bildquelle

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s