Black Hat: „Internet-Sicherheit hat kritischen Punkt erreicht“
Dass die Sicherheit im Internet einen kritischen Punkt erreicht hat, ist nach Auffassung von ars technica das Fazit der Konferenzen Black Hat und Defcon. Angreifer – sowohl staatliche Akteure wie die NSA als auch Kriminelle – profitieren von der ständig wachsenden Anzahl von Schwachstellen, die zahlreiche Systeme betreffen.
Die Spannweite reicht von mobilen Apps bis zu „Internet-der-Dinge“-Produkten, sodass es angesichts der drohenden Überwachung immer schwieriger werde, die Privatsphäre zu schützen. „Die Angreifer sind so dermaßen überlegen, dass wir ein Gefühl von Hilflosigkeit entwickelt haben“, sagte etwa Black-Hat-Gründer Jeff Moss im Gespräch mit Zeit Online. Eines der grundsätzlichen Probleme sei, dass es schlicht keine einfachen Lösungen gebe, um die Internet-Sicherheit wieder zu stärken.
Der Sicherheitsanalyst Dan Geer verdeutlichte das im Rahmen der Black-Hat-Keynote „Cybersecurity as Realpolitik“ anhand eines Zitats von dem amerikanischen Autor H.L. Mencken: „For every complex problem there is a solution that is clear, simple, and wrong.“ Aus dieser Haltung ergeben sich vier Grundsätzen:
- Die wichtigsten Ideen sind unattraktiv.
- Die attraktivsten Ideen sind hingegen unwichtig.
- Nicht für jedes Problem existiert eine gute Lösung.
- Jede Lösung hat Nebeneffekte.
Ausgehend von diesem unterbreitete Geer insgesamt zehn Vorschläge zur Internet-Sicherheit. Dazu zählte unter anderem, die US-Regierung solle sämtliche auf dem Schwarzmarkt verfügbaren Zero-Day-Sicherheitslücken aufkaufen und veröffentlichen, sodass diese schneller geschlossen und von Angreifern letztlich nicht mehr genutzt werden können. Zudem will Geer die Qualität von Software verbessern, indem kommerzielle Anbieter für Schäden haften sollen, die aufgrund von Fehlern in ihren Produkten entstehen.
Mehr Möglichkeiten für sichere Online-Kommunikation
Vor allem auf Seiten der Telekommunikationsanbieter wäre ein Mentalitätswandel nötig, forderte derweil Phil Zimmermann, Entwickler der Verschlüsselungssoftware Pretty Good Privacy (PGP). Seit mehr als hundert Jahren habe sich rund um die Telefongesellschaften eine Kultur etabliert, die auf eine enge Kooperation mit Behörden ausgerichtet sei, wenn es um das Eindringen in die Privatsphäre von Personen geht.
Dass es Alternativen zu diesem Vorgehen gebe, zeige allerdings der niederländische Telekommunikationsanbieter KPN. Dieser will den verschlüsselten Telefondienst von Silent Circle in den Niederlanden, Belgien und in Deutschland auf den Markt bringen.
Yahoo will Ende-zu-Ende-Verschlüsselung anbieten
Bei Internetdiensten gewinnt der Schutz der Privatsphäre ebenfalls zunehmend an Bedeutung. So kündigte nach Google nun auch Yahoo an, künftig eine Ende-zu-Ende-Verschlüsselung für den E-Mail-Dienst Yahoo Mail anzubieten. Technisch soll es sich um eine modifizierte Version der Browser-Erweiterung handeln, die Google derzeit entwickelt, erklärte Yahoos Sicherheitschef Alex Stamos auf der Black Hat.
Zudem betonte er, Verschlüsselungstechnologie müsse leicht zu bedienen sein. So soll Yahoos Browser-Erweiterung etwa bei einer Gmail-Adresse automatisch erkennen, ob bei dieser die Ende-zu-Ende-Verschlüsselung aktiviert ist. Sofern das der Fall ist, wird dem Nutzer angeboten, die E-Mail zu verschlüsseln.