Hacker warten schon

Experte warnt vor Risiken bei WhatsApp-Überwachung

Web
25.06.2017 06:00

In Deutschland ist die Überwachung von WhatsApp beschlossene Sache, Österreichs ÖVP-Innenminister Wolfgang Sobotka möchte ähnliche Befugnisse auch hierzulande für die Polizei - und zwar möglichst schnell, noch vor der Neuwahl. Die Überwachung von Messengern wie WhatsApp birgt aber Risiken. Wir haben beim Tiroler Wieland Alge, Europa-Chef des Netzwerk- und IT-Sicherheitsspezialisten Barracuda Networks, nachgefragt: Welche Risiken birgt die WhatsApp-Überwachung?

Das Problem: Als Folge des 2013 vom Ex-Spion Edward Snowden aufgedeckten NSA-Überwachungsskandals haben die Messenger-Anbieter, allen voran Marktführer WhatsApp, ihre Sicherheitsvorkehrungen verschärft. Seither schützt Ende-zu-Ende-Verschlüsselung die Kommunikation der Nutzer. Das bedeutet, dass Unterhaltungen bereits am Gerät des Senders verschlüsselt und erst am Gerät des Empfängers wieder entschlüsselt werden.

WhatsApp-Verschlüsselung macht Überwachung schwer
Diese Verschlüsselung ist effektiv und macht es Behörden und Geheimdiensten, aber auch Hackern und Cyberkriminellen schwer, WhatsApp-Unterhaltungen zu belauschen, indem sie den Datenverkehr abfangen. Abgefangene Daten sind verschlüsselt und ohne Schlüssel wertlos. Das bedeutet im Umkehrschluss, dass man für die Überwachung von WhatsApp auf anderem Weg an die Kommunikation der Nutzer herankommen muss - also direkt am Gerät, noch bevor sich eine Nachricht verschlüsselt auf den Weg zum Empfänger macht, etwa durch einen "Staatstrojaner", der Eingaben mitprotokolliert.

Behörden horten Sicherheitslücken zur Überwachung
Hier sehen IT-Sicherheitsexperten ein Risiko: Um die Kommunikation der Bürger zu überwachen, müssen Behörden bisher unbekannte Sicherheitslücken nutzen, um sich in die Kommunikation einzuklinken. Ein Beispiel aus der jüngeren Vergangenheit zeigt, welche Folgen das haben kann: Hacker hatten vor einigen Monaten das Sicherheitslücken-Arsenal des US-Geheimdienstes NSA erbeutet, wenig später wurden just diese Lücken von Cyberkriminellen für den folgenschweren Cyber-Angriff "WannaCry" ausgenutzt.

"Uns wundert nicht, dass dieser Effekt eingetreten ist"
Der Innsbrucker IT-Sicherheitsfachmann und Barracuda-Manager Wieland Alge warnt daher: "Alle Staaten wollen diese Lücken. Es gab selten einen Innenminister, dem klar war, dass er Bürger gefährdet." Genau das mache man aber, wenn man unbekannte Sicherheitslücken horte, um die Bürger zu überwachen, statt die Hersteller darauf hinzuweisen. Am Beispiel "WannaCry" erklärt Alge daher: "Uns wundert es nicht, dass es diese Effekte gegeben hat." In der Security-Branche wisse man, dass Cyberkriminelle staatliche Überwachung mit Interesse beobachten - um sich die dabei genutzten Lücken dann selbst zunutze zu machen.

Auch Behörden sind nicht vor Angriffen gefeit
Wenn sich die Angreifer organisieren, um Informationen über staatlich genutzte Schwachstellen zu bekommen, drohe folglich allen Bürgern Gefahr. Dabei müsse eine Behörde gar nicht Opfer eines Cyber-Angriffs werden, damit sensible Daten nach außen dringen. "Gefahr droht auch am 'analogen' Weg - etwa durch Erpressung." Gelangen Infos, die ein Staat zur Überwachung der Bürger nutzt, in den kriminellen Untergrund, drohe ernste Gefahr. "Der Schaden ist dann womöglich größer als der Nutzen", warnt Alge - etwa, wenn Kriminelle die Lücken für Cyber-Attacken wie jüngst "WannaCry" missbrauchen und sie nicht zur Bespitzelung einiger weniger nutzen, sondern großflächige Systemausfälle erzeugen.

Österreich müsste Sicherheitslücken im Ausland besorgen
In Österreich komme aber noch ein anderes Problem hinzu: Die Kapazitäten, um noch unentdeckte Sicherheitslücken in populärer Software wie WhatsApp oder verbreiteten Betriebssystemen wie Android oder iOS zu finden, habe unser Innenministerium ebenso wie unser Bundesheer gar nicht. "Größe ist da ein kritischer Faktor", sagt Alge. In Folge müssten sich heimische Ermittler im Fall der Einführung von WhatsApp-Überwachung von befreundeten Behörden - etwa Geheimdiensten und Polizei in Deutschland - unter die Arme greifen lassen.

Bundesheer hat Probleme, IT-Experten zu bekommen
Dass Österreich die offensiven Fähigkeiten im Cyber-Raum fehlen, liege dabei nicht nur an der Größe unseres Landes, sondern auch an den starren Strukturen und der geringen Bezahlung, die IT-Experten von der Arbeit bei Polizei und Bundesheer abhalten. "Das Bundesheer hat dabei das größere Problem, hier hat man in Österreich echte Schwierigkeiten, Personal zu bekommen", sagt Alge. Die Gründe seien vielfältig, neben im Vergleich zur Privatwirtschaft unattraktiver Bezahlung schrecke das Heer IT-Experten auch durch unflexible Arbeitszeiten, zu hierarchische Organisation und mangelnde Förderung individueller Fähigkeiten ab.

Sicherheitslücken sind nie sicher - auch nicht beim Staat
Damit bleibt letztlich nur der Weg über befreundete Staaten oder Unternehmen, die sich auf das Aufspüren und Ausnutzen bisher unbekannter Sicherheitslücken spezialisiert haben. Ein Risiko stellen beide Varianten dar: Dass gehortete Sicherheitslücken bei Geheimdiensten bzw. Staaten nicht völlig sicher sind, haben "WannaCry" und der US-Geheimdienst NSA bewiesen. Und dass auch Unternehmen, die sich auf staatliche Überwachung spezialisiert haben nicht davor gefeit sind, selbst Opfer einer Cyberattacke zu werden, zeigt der Cyber-Einbruch beim italienischen Staatstrojaner-Entwickler Hacking Team vor zwei Jahren.

Loading...
00:00 / 00:00
play_arrow
close
expand_more
Loading...
replay_10
skip_previous
play_arrow
skip_next
forward_10
00:00
00:00
1.0x Geschwindigkeit
explore
Neue "Stories" entdecken
Beta
Loading
Kommentare

Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.

Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.

Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.



Kostenlose Spiele