The Apple - FBI Electronic Encryption Fight RGB Triptych v1.3 (adapted) (Image by Surian Soosay Folgen [CC BY 2.0] via flickr)

Apple vs FBI: FBI will iPhone-Schwachstelle geheim halten

Der Fall „Apple vs FBI“ sorgt für eine neue Kontroverse. Nachdem das FBI – nach anfänglichem Druck auf Apple, beim Zugriff auf die Daten zu helfen – das iPhone des San-Bernardino-Attentäters Sayed Farook selbst (beziehungsweise mit Hilfe externer IT-Fachleute) knackte, müsste die Bundespolizei-Behörde nun die für den Einbruch verwendete Schwachstelle gegenüber einem Komitee offen legen. Dieses würde dann entscheiden, ob die Information auch an Apple weitergegeben wird. Das FBI versucht diese Regelung jedoch zu umgehen.

Apple vs FBI: Privatsphäre in den Schlagzeilen

Wochenlang bewegte der als „Apple vs FBI“ bekannt gewordene Fall die Gemüter und sorgte für ständig neue Schlagzeilen. Das FBI versuchte, auf die Daten auf dem sichergestellten iPhone des Attentäters Sayed Farook, der im kalifornischen San Bernardino mehrere Menschen erschoss, zuzugreifen. Dies gelang jedoch nicht, da diese Daten verschlüsselt waren. Daraufhin übte das FBI massiven Druck auf Apple aus, bei der Entschlüsselung zu helfen. Apple verweigerte dies mit dem Hinweis, dadurch werde ein gefährlicher Präzedenzfall geschaffen, der die Privatsphäre aller Apple-Kunden gefährde. Viele Technologie-Unternehmen, darunter die Branchen-Riesen Google und Microsoft, stellten sich medienwirksam hinter Apple-CEO Tim Cook. Dann allerdings folgte die Wende: das FBI gab bekannt, das iPhone nun doch selbst geknackt zu haben. Das hatte die Behörde vorher als unmöglich dargestellt und damit unter anderem von NSA-Whistleblower Edward Snowden  durchaus skeptische Reaktionen geerntet. Eine Gerichtsverhandlung, bei der Apple auf Herausgabe der Daten verklagt werden sollte, wurde im letzten Moment abgesagt.

Wie brach das FBI in Farooks iPhone ein?

Viel ist über den erfolgreichen Hack des FBI nicht bekannt. Lediglich, dass dieser mit Hilfe externer Experten realisiert wurde, darf wohl als gesichert gelten. Anscheinend kaufte das FBI ein „Exploit-Tool“, das ermöglicht, über eine Sicherheitslücke in das Smartphone einzudringen. Das FBI behauptete außerdem, die verwendete Sicherheitslücke funktioniere zwar auf älteren Geräten, wie Farooks iPhone 5c, nicht aber auf neueren, unter iOS 8 laufenden Modellen. In der Tat verfügt iOS 8 über bessere Sicherheitsfeatures, insbesondere im Bereich der Verschlüsselung, was diese Aussage plausibel macht. Theoretisch könnte es sich aber auch um einen Versuch der Desinformation handeln, der Nutzer neuerer iPhone-Modelle in Sicherheit wiegen soll. Die US-Gesetzgebung (genauer gesagt der sogenannte „Vulnerability Equities Process„, kurz VEP) sieht vor, dass das FBI nach diesem erfolgreichen Hack die verwendete Schwachstelle dokumentieren und die Dokumentation einem Expertengremium des Weißen Hauses vorlegen muss. Dieses würde dann die Entscheidung darüber treffen, ob diese Informationen auch Apple (als Anbieter der fehlerhaften Software und somit Verantwortlichen für die Behebung der Schwachstelle) zur Verfügung gestellt werden. Nun berichten jedoch mehrere US-Zeitungen unter Berufung auf FBI-interne Quellen, das FBI wolle versuchen, den VEP zu umgehen. Dabei wollen sich die Beamten ein Schlupfloch in dem Regelwerk zunutze machen. Da sie eine Software eines Drittanbieters verwendet haben, wollen die Agenten gegenüber dem weißen Haus geltend machen, sie seien mit der genauen Arbeitsweise des Tools nicht vertraut und könnten dementsprechend auch die ausgenutzte Schwachstelle nicht ordnungsgemäß offen legen. Ob diese Taktik funktionieren wird? Das kann derzeit noch nicht mit Sicherheit gesagt werden. Auf jeden Fall gibt das FBI sich ganz schön Mühe, die ausgenutzte Software-Lücke geheim zu halten.

Undokumentierte Schwachstellen: Eine Gefahr für die IT-Sicherheit

Das Verhalten des FBI ist gefährlich und zeugt von wenig Verantwortungsbewusstsein. Im Versuch, sich Herrschaftswissen über die Schwachstellen eines populären Betriebssystems zu bewahren, gefährden die Beamten mutwillig die IT-Sicherheit. Eine bekannte – und offensichtlich nutzbare – Schwachstelle wird nicht an diejenigen weitergegeben, die in der Lage wären, sie zu beheben, sondern für weitere behördliche Zugriffe offen gelassen. Dieses Vorgehen widerspricht sämtlichen Grundsätzen der Hacker-Ethik und des von den meisten IT-Sicherheits-Experten akzeptierten Berufs-Ethos. Dieser  sieht nämlich vor, Sicherheitslücken im Rahmen von „Responsible Disclosure“e als erstes den zuständigen Anbietern mitzuteilen, damit diese einen Patch entwickeln, testen und ausliefern können. Davon rückt das FBI nun ab – nachdem es das Unternehmen, das sich sein Geld mit dem Verkauf des Exploits verdient hat, schon lange getan hat. Geld- und Machtgier vereinen sich hier auf Kosten der IT-Sicherheit. Die Probleme, die ein solches Verhalten aufwirft, sind recht ähnlich wie die beispielsweise durch ein Krypto-Verbot zu befürchtenden Gesetze. Die bekannte Sicherheitslücke ungepatcht zu lassen, erlaubt nicht nur dem FBI ungehinderte und womöglich missbräuchliche Zugriffe. Es macht die betroffenen Nutzer auch anfälliger für die Angriffe einer ganzen Reihe von Dritten – von ausländischen Geheimdiensten bis hin zu ganz gewöhnlichen Online-Betrügern. Es ist keineswegs sicher oder auch nur wahrscheinlich, dass die von den unbekannten FBI-Zulieferern entdeckte Sicherheitslücke nicht auch früher oder später von anderen Angreifern gefunden wird, denn technisches Know-How gibt es im Netz an vielen Stellen – ebenso wie kriminelle Energie. Eine Behörde, die die Sicherheit der Menschen schützen soll, darf sie nicht derart leichtfertig gefährden – selbst wenn es der eigenen Interesse dient. Das FBI sollte sich verantwortungsbewusst verhalten und Apple die Chance geben, sein populäres Smartphone sicherer zu machen. Leider lehrt die Erfahrung, dass dies ein eher unwahrscheinlicher Ausgang für dieses viel beachteten Drama sein wird.


Image (adapted) „The Apple – FBI Electronic Encryption Fight RGB Triptych v1.3“ by Surian Soosay (CC BY 2.0)


Schlagwörter: , , , , ,
Annika Kremer

Annika Kremer

schreibt regelmäßig über Netzpolitik und Netzaktivismus. Sie interessiert sich nicht nur für die Technik als solche, sondern vor allem dafür, wie diese genutzt wird und wie sie sich auf die Gesellschaft auswirkt.

More Posts - Website - Twitter - Facebook - Google Plus