Apple, das FBI und Hintertüren
„Kurz gesagt, Apple wurde aufgefordert, das System des Vertrauens, auf dem seit über 20 Jahren die Sicherheit des Internets basiert, zu zerstören“, meint Kevin Bocek, VP Threat Intelligence and Security Strategy bei Venafi. „Durch diese Regierungsmaßnahme, die die Nutzung von Apple-Zertifikaten verlangt, wird das Internet missbraucht, gehackt. Hier geht es nicht um die Entschlüsselung eines von einem Terroristen genutzten Geräts.“
„Grundlage der Cybersicherheit im Internet sind Zertifikate“, fährt Bocek fort. „Wenn die Regierung jetzt Apple-Zertifikate nutzen darf, kontrolliert sie die Software, die größtenteils den Zugriff von Menschen auf Software, Internet und Apps regelt. Sie wird also die Kontrolle übernehmen und sie missbrauchen.
In Bezug auf die Forderung des FBI und die Ablehnung von Apple ist die Tatsache von Bedeutung, dass es hier nicht um ein einzelnes, verschlüsseltes Gerät geht, das von einem Terroristen genutzt wird. Es geht um die Zerstörung des Systems des Vertrauens, das Zertifikate für die gesamte Software und für das Internet darstellen! Das FBI möchte, dass Apple Software mit dem Apple-Zertifikat signiert (was das FBI als ’signierte iPhone Software-Datei‘ bezeichnet). Das ist die gleiche Taktik, die angewandt wurde, um Stuxnet so erfolgreich zu machen – signierte Malware mit gültigen Zertifikaten, die von den betroffenen Systemen nicht hinterfragt wurden. Die Forderung des FBI könnte also einen Präzedenzfall schaffen, aber nicht für das Knacken von Verschlüsselungen, sondern für das Knacken der Software selbst. Deshalb lautete Tim Cooks Antwort: ‚Die Regierung fordert Apple auf, unsere eigenen Nutzer zu hacken und in Jahrzehnten erzielte Sicherheitsfortschritte, die unsere Kunden schützen, zu untergraben.‘
Der größte Fortschritt ist hier das System des Vertrauens durch Zertifikate, von dem wir wissen, dass es bei Cyberkriminellen auf viel Interesse stößt und gerne gehackt wird. Software regiert die Welt, und zu erkennen, welche vertrauenswürdig ist und welche nicht, wer Freund ist und wer Feind, ist die Rolle der Zertifikate, gleich ob TLS oder Code-Signierung. Die signierte Software von Apple würde damit nicht nur zu einer zielgerichteten Waffe, sondern auch zu einem weiteren Entwurfslieferant für den Angriffsleitfaden der Bad Guys (Kriminelle und Geheimdienste), so wie bei Stuxnet vor sechs Jahren.
Was bedeutet das nun für Global 5000-Unternehmen? Ich würde sagen, die Schlüssel und Zertifikate, denen sie vertrauen, zu kennen, und die Schlüssel und Zertifikate, die sie verwenden, zu schützen, ist in einer Zeit, in der diese für Unternehmen und als Ziel für Bad Guys immer interessanter werden, das Allerwichtigste.
Apples schnelle und glaubwürdige Antwort an das FBI ist der krasse Gegensatz zu einem anderen wichtigen Sicherheitsproblem, das alle Nutzer von Smartphones und Computern weltweit betraf. Die chinesischen Zertifizierungsstelle CNNIC, eine Einrichtung der chinesischen Regierung, von der die „Great Firewall of China“ kontrolliert wird und die das Verhalten der Bürger online überwacht, vertrauten alle Browser, Computer, Smartphones und Tablets von Microsoft, Apple und Google. CNNIC war in einen Vorfall in Ägypten verwickelt, bei dem Google imitiert werden sollte – ein Versuch, auf den Google und Mozilla rasch reagierten und CNNIC dauerhaft das Vertrauen entzogen. Doch Apple und Microsoft, bei denen auf dem chinesischen Markt Quartalsumsätze in zweistelliger Milliardenhöhe auf dem Spiel stehen, unternahmen monatelang nichts.
Apple beschloss stillschweigend, einigen CNNIC-Zertifikaten zu vertrauen, während Microsoft keinerlei Maßnahmen ergriff. Auf Verlangen des FBI wurde in den Medien nicht sehr ausführlich über den Vorfall berichtet. Leider reagierte Apple im Fall der CNNIC, und im Gegensatz zu jetzt, weder schnell noch öffentlich und stellte allem Anschein nach die chinesischen Gewinne über die Sicherheit und den Datenschutz aller iPhone-, iPad- und Mac-Nutzer weltweit. Es ist eine willkommene Abwechslung, zu erleben, dass Apple so schnell auf die Forderung des FBI reagiert. Hoffentlich wird das in Zukunft auch bei Vorfällen mit chinesischen Behörden der Fall sein.“