Apple hat sich gegenüber dem FBI gesperrt, die Hintertür zu einem iPhone zu öffnen. Auch andere Unternehmen betonen immer, dass es zu ihren Systemen keine Hintertür gebe. Die kanadische Polizei besitzt allerdings schon seit 2010 einen Generalschlüssel für Blackberry-Geräte. Wie sieht es also wirklich mit Hintertüren in vermeintlich sicheren Geräten aus?
Sicherheitslücken bei Smartphones – vor mehr als zehn Jahren noch Business-Handys genannt – waren schon immer ein Problem. Stand damals etwa das besonders beliebte Nokia 6310 mit rückblickend eher marginalen Mängeln im Fokus, so trifft es heute jede Gerätegeneration mit ständig neuen Sicherheitsmängeln, ganz unabhängig von Betriebssystem und Hersteller. Ursprünglich galten die inzwischen wenig beliebten Blackberry-Smartphones als die sicherste Art der Kommunikation, weil die Geheimdienste der Welt keinen Zugriff auf die in Kanada stehenden Server besassen. Datenschutz als Standortvorteil und Verkaufsargument. Saudi-Arabien war das erste Land, das dem Hersteller der Black-berry-Geräte mit wirtschaftlichen Nachteilen drohte, wenn kein Zugriff auf den Datenverkehr erteilt würde. Der damals noch unter dem Namen RIM firmierende Hersteller gab dem Druck nach. Es folgten die Vereinigten Arabischen Emirate und Indien wollte ebenfalls Einblick in den Datenverkehr.
Darüber hinaus sind jetzt Informationen aus den Gerichtsunterlagen eines Mordfalls namens «Project Clemenza» von 2011 in Kanada bekannt geworden, wonach die Royal Canadian Mounted Police (RCMP) einen Blackberry-Schlüssel besitzt. Unklar ist, ob es sich um einen Allgemeinschlüssel handelt und ob die Software auch weiterhin bei aktuellen Geräten nutzbar ist.
Journalisten des Magazins «Vice» entdeckten die Hinweise bei Recherchen. Nach ihren Angaben sollen rund eine Million PIN-to-PIN-Kommunikationen entschlüsselt worden sein. Die kanadische Regierung hat versucht, diese Informationen unter Verschluss zu halten, wohl auch, um dem kriselnden Unternehmen Blackberry nicht noch weiter zu schaden. Ob der Schlüssel für die Einsicht in die vertrauliche Kommunikation an die RCMP übergeben wurde, ist nicht bekannt. Die Verschlüsselungsstruktur der Blackberry-Geräte lässt aber nur zwei Varianten zu: Grundsätzlich besitzen alle Geräte einen vorinstallierten Schlüssel, den nur Unternehmen für ihre Kommunikation austauschen können. Insofern muss die RCMP entweder den Globalschlüssel besitzen oder aber über einen speziellen Unternehmensserver verbunden gewesen sein. Als aussenstehender Beobachter entsteht in jedem Fall der Eindruck, dass Blackberry sich dem Druck der RCMP gebeugt hat, um die Ende-zu-Ende-Verschlüsselung innerhalb eines Unternehmens oder sogar global zu opfern.
Offiziell keine Hintertür
Der Streit zwischen dem Federal Bureau of Investigation (FBI) und Apple dreht sich dagegen um ein einzelnes verschlüsseltes Smartphone. Das FBI wollte Zugriff auf das iPhone einer der beiden San-Bernardino-Attentäter nehmen. Da sich der Hersteller weigerte, hatte die Bundesbehörde die Verfügung eines US-Bundesrichters erwirkt, wonach Apple dem FBI hätte helfen müssen, die Sicherheitsfunktion zu umgehen, die nach zehn fehlerhaften Eingaben des Passwortes die Inhalte des Geräts unlesbar macht. Dem FBI ist es nach Beauftragung eines Fremdunternehmens gelungen, den gewünschten Zugriff auf das Gerät zu erhalten. Das bedeutet im Umkehrschluss, dass dem Unternehmen eine Sicherheitslücke bekannt ist, mit deren Hilfe auch Kriminelle in der Lage sind, auf prinzipiell verschlüsselte iPhones zuzugreifen. Dass für die Geräte ständig neue Sicherheitslücken offengelegt werden, ist nicht weiter überraschend, da etwa im Rahmen des CVE-Projektes (Common Vulnerabilities and Exposures) alle öffentlich bekannt gewordenen Sicherheitslücken dokumentiert werden. iOS steht dort oben auf der Liste. Entwarnung gibt es aber ebenso wenig für Android-Nutzer. Sie stehen insgesamt deutlich häufiger im Fokus von Cyberkriminellen – zum einen, weil das Betriebssystem mit Abstand den Weltmarkt anführt, und zum anderen, weil es deutlich fragmentierter ist.
Hintertüren als Gefahr
Eigentlich leiden die meisten Staaten wegen ihrer Geheimdienste und seit den Aufdeckungen von Edward Snowden unter einer Vertrauenskrise. Während in Europa der Einsatz von Trojanern
in Einzelfällen emotional diskutiert wird, sollen in den USA die Hersteller ganz offen Hintertüren für die Sicherheitsorgane öffnen. Hintertüren haben aber den Nachteil, dass sie auch von anderen Kriminellen leicht genutzt werden können – und die Fragen nicht erst, ob sie es dürfen. Erschwerend kommt hinzu, dass Beweise über denselben Weg gezielt platziert werden können.
Das Risiko ist genau an dieser Stelle für jeden Einzelnen und ebenso für Unternehmen unüberschaubar. Sei es, dass unschuldige Personen ungerechtfertigt einer kriminellen Straftat beschuldigt werden oder Unternehmensgeheimnisse abgezogen werden. Nachdem es dem FBI gelungen war, den Zugriff auf das betroffene Gerät zu erhalten, hat es offiziell auf die Hilfe von Apple bei der Entsperrung des Gerätes verzichtet. Damit ist der Streit um eine offizielle Behörden-Hintertür in iOS erst einmal beendet. Viele Sicherheitsexperten sehen in der Aussetzung des Verfahrens aber nicht das Ende des Wunsches nach Hintertüren. Die Gewährung der nationalen Sicherheit über die Hintertüren halten sie für fadenscheinig und gefährlich. Letztlich würden diese Hintertüren Tür und Tor nicht nur für Behörden, sondern ebenso für Cyberkriminelle öffnen.