Mo, 11. Dezember 2017

Hacker warten schon

25.06.2017 06:00

Experte warnt vor Risiken bei WhatsApp-Überwachung

In Deutschland ist die Überwachung von WhatsApp beschlossene Sache, Österreichs ÖVP-Innenminister Wolfgang Sobotka möchte ähnliche Befugnisse auch hierzulande für die Polizei - und zwar möglichst schnell, noch vor der Neuwahl. Die Überwachung von Messengern wie WhatsApp birgt aber Risiken. Wir haben beim Tiroler Wieland Alge, Europa-Chef des Netzwerk- und IT-Sicherheitsspezialisten Barracuda Networks, nachgefragt: Welche Risiken birgt die WhatsApp-Überwachung?

Das Problem: Als Folge des 2013 vom Ex-Spion Edward Snowden aufgedeckten NSA-Überwachungsskandals haben die Messenger-Anbieter, allen voran Marktführer WhatsApp, ihre Sicherheitsvorkehrungen verschärft. Seither schützt Ende-zu-Ende-Verschlüsselung die Kommunikation der Nutzer. Das bedeutet, dass Unterhaltungen bereits am Gerät des Senders verschlüsselt und erst am Gerät des Empfängers wieder entschlüsselt werden.

WhatsApp-Verschlüsselung macht Überwachung schwer
Diese Verschlüsselung ist effektiv und macht es Behörden und Geheimdiensten, aber auch Hackern und Cyberkriminellen schwer, WhatsApp-Unterhaltungen zu belauschen, indem sie den Datenverkehr abfangen. Abgefangene Daten sind verschlüsselt und ohne Schlüssel wertlos. Das bedeutet im Umkehrschluss, dass man für die Überwachung von WhatsApp auf anderem Weg an die Kommunikation der Nutzer herankommen muss - also direkt am Gerät, noch bevor sich eine Nachricht verschlüsselt auf den Weg zum Empfänger macht, etwa durch einen "Staatstrojaner", der Eingaben mitprotokolliert.

Behörden horten Sicherheitslücken zur Überwachung
Hier sehen IT-Sicherheitsexperten ein Risiko: Um die Kommunikation der Bürger zu überwachen, müssen Behörden bisher unbekannte Sicherheitslücken nutzen, um sich in die Kommunikation einzuklinken. Ein Beispiel aus der jüngeren Vergangenheit zeigt, welche Folgen das haben kann: Hacker hatten vor einigen Monaten das Sicherheitslücken-Arsenal des US-Geheimdienstes NSA erbeutet, wenig später wurden just diese Lücken von Cyberkriminellen für den folgenschweren Cyber-Angriff "WannaCry" ausgenutzt.

"Uns wundert nicht, dass dieser Effekt eingetreten ist"
Der Innsbrucker IT-Sicherheitsfachmann und Barracuda-Manager Wieland Alge warnt daher: "Alle Staaten wollen diese Lücken. Es gab selten einen Innenminister, dem klar war, dass er Bürger gefährdet." Genau das mache man aber, wenn man unbekannte Sicherheitslücken horte, um die Bürger zu überwachen, statt die Hersteller darauf hinzuweisen. Am Beispiel "WannaCry" erklärt Alge daher: "Uns wundert es nicht, dass es diese Effekte gegeben hat." In der Security-Branche wisse man, dass Cyberkriminelle staatliche Überwachung mit Interesse beobachten - um sich die dabei genutzten Lücken dann selbst zunutze zu machen.

Auch Behörden sind nicht vor Angriffen gefeit
Wenn sich die Angreifer organisieren, um Informationen über staatlich genutzte Schwachstellen zu bekommen, drohe folglich allen Bürgern Gefahr. Dabei müsse eine Behörde gar nicht Opfer eines Cyber-Angriffs werden, damit sensible Daten nach außen dringen. "Gefahr droht auch am 'analogen' Weg - etwa durch Erpressung." Gelangen Infos, die ein Staat zur Überwachung der Bürger nutzt, in den kriminellen Untergrund, drohe ernste Gefahr. "Der Schaden ist dann womöglich größer als der Nutzen", warnt Alge - etwa, wenn Kriminelle die Lücken für Cyber-Attacken wie jüngst "WannaCry" missbrauchen und sie nicht zur Bespitzelung einiger weniger nutzen, sondern großflächige Systemausfälle erzeugen.

Österreich müsste Sicherheitslücken im Ausland besorgen
In Österreich komme aber noch ein anderes Problem hinzu: Die Kapazitäten, um noch unentdeckte Sicherheitslücken in populärer Software wie WhatsApp oder verbreiteten Betriebssystemen wie Android oder iOS zu finden, habe unser Innenministerium ebenso wie unser Bundesheer gar nicht. "Größe ist da ein kritischer Faktor", sagt Alge. In Folge müssten sich heimische Ermittler im Fall der Einführung von WhatsApp-Überwachung von befreundeten Behörden - etwa Geheimdiensten und Polizei in Deutschland - unter die Arme greifen lassen.

Bundesheer hat Probleme, IT-Experten zu bekommen
Dass Österreich die offensiven Fähigkeiten im Cyber-Raum fehlen, liege dabei nicht nur an der Größe unseres Landes, sondern auch an den starren Strukturen und der geringen Bezahlung, die IT-Experten von der Arbeit bei Polizei und Bundesheer abhalten. "Das Bundesheer hat dabei das größere Problem, hier hat man in Österreich echte Schwierigkeiten, Personal zu bekommen", sagt Alge. Die Gründe seien vielfältig, neben im Vergleich zur Privatwirtschaft unattraktiver Bezahlung schrecke das Heer IT-Experten auch durch unflexible Arbeitszeiten, zu hierarchische Organisation und mangelnde Förderung individueller Fähigkeiten ab.

Sicherheitslücken sind nie sicher - auch nicht beim Staat
Damit bleibt letztlich nur der Weg über befreundete Staaten oder Unternehmen, die sich auf das Aufspüren und Ausnutzen bisher unbekannter Sicherheitslücken spezialisiert haben. Ein Risiko stellen beide Varianten dar: Dass gehortete Sicherheitslücken bei Geheimdiensten bzw. Staaten nicht völlig sicher sind, haben "WannaCry" und der US-Geheimdienst NSA bewiesen. Und dass auch Unternehmen, die sich auf staatliche Überwachung spezialisiert haben nicht davor gefeit sind, selbst Opfer einer Cyberattacke zu werden, zeigt der Cyber-Einbruch beim italienischen Staatstrojaner-Entwickler Hacking Team vor zwei Jahren.

Dominik Erlinger
Redakteur
Dominik Erlinger
Das könnte Sie auch interessieren
Kommentar schreiben

Sie haben einen themenrelevanten Kommentar? Dann schreiben Sie hier Ihr Storyposting! Sie möchten mit anderen Usern Meinungen austauschen oder länger über ein Thema oder eine Story diskutieren? Dafür steht Ihnen jederzeit unser krone.at-Forum, eines der größten Internetforen Österreichs, zur Verfügung. Sowohl im Forum als auch bei Storypostings bitten wir Sie, unsere AGB und die Netiquette einzuhalten!
Diese Kommentarfunktion wird prä-moderiert. Eingehende Beiträge werden zunächst geprüft und anschließend veröffentlicht.

Kommentar schreiben
500 Zeichen frei
Kommentare
324

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Für den Newsletter anmelden