Verschlüsselung in der Krise: Britische Unternehmen stehen vor einer Sicherheitsreform im Zuge der geplanten Reform des Investigatory Powers Act
Inhaltsverzeichnis:
Die britische Regierung strebt Änderungen am Investigatory Powers Act, ihrem Gesetz zur Internetüberwachung, an. Diese sollen es Strafverfolgungs- und Sicherheitsdiensten ermöglichen, die Ende-zu-Ende-Verschlüsselung von Cloud-Anbietern zu umgehen und einfacher und umfassender auf private Kommunikation zuzugreifen. Sie behauptet, die Änderungen seien im Interesse der Öffentlichkeit, da die Cyberkriminalität außer Kontrolle gerate und Großbritanniens Feinde versuchen, seine Bürger auszuspionieren.
Sicherheitsexperten sehen das jedoch anders. Sie argumentieren, dass die Änderungen Hintertüren in der Verschlüsselung schaffen, die es Cyberkriminellen und anderen Kriminellen ermöglichen, die Daten ahnungsloser Nutzer auszubeuten. Sie fordern Unternehmen dringend auf, die Verschlüsselung selbst in die Hand zu nehmen, um ihre Kunden und ihren Ruf zu schützen, da die Cloud-Dienste, auf die sie sich bisher verlassen haben, nicht mehr vor staatlicher Überwachung geschützt sind. Dies zeigt sich beispielsweise an Apples Entscheidung, sein Advanced Data Protection Tool in Großbritannien nicht mehr anzubieten, nachdem britische Gesetzgeber Hintertüren für den Datenzugriff gefordert hatten – obwohl der Tech-Gigant aus Cupertino gar keinen Zugriff darauf hat.
Verbesserung der öffentlichen Sicherheit
Die Regierung hofft, durch diese Änderungen die öffentliche und nationale Sicherheit zu verbessern. Denn die zunehmende Nutzung und Ausgereiftheit der Ende-zu-Ende-Verschlüsselung erschwert das Abfangen und Überwachen von Kommunikation für Strafverfolgungsbehörden und Geheimdienste. Politiker argumentieren, dies behindert die Behörden in ihrer Arbeit und ermöglicht Kriminellen, ungestraft zu bleiben, was das Land und seine Bevölkerung gefährdet.
Matt Aldridge, leitender Lösungsberater bei OpenText Security, erklärt, dass die Regierung dieses Problem angehen möchte, indem sie Polizei und Geheimdiensten mehr Befugnisse und Spielraum gibt, um Technologieunternehmen zu zwingen, die Ende-zu-Ende-Verschlüsselung zu umgehen oder abzuschalten, wenn sie ein Verbrechen vermuten.
Auf diese Weise könnten Ermittler auf die Rohdaten der Technologieunternehmen zugreifen. Diese Informationen könnten sie dann für ihre Ermittlungen nutzen und letztlich die Kriminalität bekämpfen.
Alridge erklärt gegenüber ISMS.online: „Das Argument ist, dass die Bürger des Vereinigten Königreichs ohne diese zusätzliche Möglichkeit, auf verschlüsselte Kommunikation oder Daten zuzugreifen, stärker kriminellen Aktivitäten und Spionageaktivitäten ausgesetzt wären, da die Behörden in solchen Fällen nicht in der Lage wären, Signalaufklärung und forensische Untersuchungen zu nutzen, um wichtige Beweise zu sammeln.“
Die Regierung versuche, mit Kriminellen und anderen Bedrohungsakteuren Schritt zu halten, indem sie ihre Befugnisse zur Datenüberwachung ausweite, sagt Conor Agnew, Leiter der Compliance-Abteilung bei Closed Door Security. Er sagt, sie unternehme sogar Druck auf Unternehmen, Hintertüren in ihre Software einzubauen, damit Beamte nach Belieben auf Nutzerdaten zugreifen können. Ein solcher Schritt birgt die Gefahr, „die Anwendung von Ende-zu-Ende-Verschlüsselung zunichtezumachen“.
Enorme Konsequenzen für Unternehmen
Wie auch immer die Regierung ihre Entscheidung zur Änderung des IPA zu rechtfertigen versucht, die Änderungen stellen für Unternehmen eine erhebliche Herausforderung dar, wenn es darum geht, die Datensicherheit aufrechtzuerhalten, gesetzlichen Verpflichtungen nachzukommen und die Kundenzufriedenheit zu gewährleisten.
Jordan Schroeder, leitender CISO von Barrierenetzwerke, argumentiert, dass die Minimierung der Ende-zu-Ende-Verschlüsselung für staatliche Überwachungs- und Ermittlungszwecke eine „systemische Schwäche“ schaffen werde, die von Cyberkriminellen, Nationalstaaten und böswilligen Insidern missbraucht werden könne.
„Eine Schwächung der Verschlüsselung verringert zwangsläufig die Sicherheit und den Datenschutz, auf den sich die Nutzer verlassen“, sagt er. „Das stellt eine direkte Herausforderung für Unternehmen dar, insbesondere im Finanz-, Gesundheits- und Rechtswesen, die zum Schutz sensibler Kundendaten auf eine starke Verschlüsselung angewiesen sind.“
Aldridge von OpenText Security stimmt zu, dass die Regierung durch die Einführung von Mechanismen zur Kompromittierung der Ende-zu-Ende-Verschlüsselung Unternehmen sowohl absichtlichen als auch unabsichtlichen Cybersicherheitsproblemen „extrem aussetzt“. Dies führe zu einer „massiven Verschlechterung der Sicherheit hinsichtlich der Vertraulichkeit und Integrität von Daten“.
Um diese neuen Regeln einzuhalten, warnt Aldridge, könnten Technologiedienstleister gezwungen sein, wichtige Sicherheitspatches zurückzuhalten oder zu verzögern. Er fügt hinzu, dass Cyberkriminelle dadurch mehr Zeit hätten, ungepatchte Sicherheitslücken auszunutzen.
Alridge erwartet daher eine „Nettoverringerung“ der Cybersicherheit der in Großbritannien tätigen Technologieunternehmen und ihrer Nutzer. Aufgrund der Vernetzung der Technologiedienste könnten diese Risiken jedoch auch andere Länder als Großbritannien betreffen, so Alridge.
Auch für Großbritannien könnten staatlich vorgeschriebene Hintertüren in der Sicherheit wirtschaftlich schädlich sein.
Agnew von Sicherheit hinter verschlossenen Türen sagt, dass internationale Unternehmen ihre Betriebe aus Großbritannien abziehen könnten, wenn sie aufgrund „gerichtlicher Übergriffe“ nicht in der Lage seien, Benutzerdaten zu schützen.
Ohne Zugang zu gängigen, Ende-zu-Ende-verschlüsselten Diensten werden sich laut Agnew viele Menschen dem Darknet zuwenden, um sich vor zunehmender staatlicher Überwachung zu schützen. Er ist der Meinung, dass die zunehmende Nutzung unregulierter Datenspeicherung die Nutzer nur einem größeren Risiko aussetzt und Kriminellen Vorteile bringt, was die Änderungen der Regierung nutzlos macht.
Minderung dieser Risiken
Unter einem repressiveren IPA-Regime besteht die Gefahr, dass Verschlüsselungs-Hintertüren zur Norm werden. Sollte dies geschehen, haben Unternehmen keine andere Wahl, als ihre Cybersicherheitslage grundlegend zu ändern.
Laut Schroeder von BarrierenetzwerkeDer wichtigste Schritt ist ein Kultur- und Mentalitätswandel, bei dem Unternehmen nicht mehr davon ausgehen, dass Technologieanbieter über die Fähigkeit verfügen, ihre Daten zu schützen.
Er erklärt: „Wo sich Unternehmen früher auf Anbieter wie Apple oder WhatsApp verließen, um E2EE sicherzustellen, müssen sie heute davon ausgehen, dass diese Plattformen zufällig kompromittiert werden, und die Verantwortung für ihre eigenen Verschlüsselungspraktiken übernehmen.“
Da die Technologiedienstleister keinen ausreichenden Schutz bieten, empfiehlt Schroeder den Unternehmen dringend, unabhängige, selbstkontrollierte Verschlüsselungssysteme zu verwenden, um ihren Datenschutz zu verbessern.
Dafür gibt es verschiedene Möglichkeiten. Schroeder sagt, eine Möglichkeit bestehe darin, sensible Daten zu verschlüsseln, bevor sie auf Drittsysteme übertragen werden. Auf diese Weise seien die Daten geschützt, falls die Host-Plattform gehackt werde.
Alternativ können Organisationen Open-Source-Systeme und dezentrale Systeme ohne gesetzlich vorgeschriebene Verschlüsselungs-Hintertüren nutzen. Der Nachteil, so Shroeder, sei, dass solche Software verschiedene Sicherheitsrisiken berge und für technisch nicht versierte Nutzer nicht immer einfach zu bedienen sei.
Aldridge von OpenText Security vertritt eine ähnliche Ansicht wie Schroeder und sagt, dass Unternehmen nun zusätzliche Verschlüsselungsebenen implementieren müssen, da sie sich nicht mehr auf die Ende-zu-Ende-Verschlüsselung von Cloud-Anbietern verlassen können.
Bevor Unternehmen Daten in die Cloud hochladen, sollten sie diese laut Aldridge lokal verschlüsseln. Unternehmen sollten außerdem darauf verzichten, Verschlüsselungsschlüssel in der Cloud zu speichern. Stattdessen sollten sie eigene, lokal gehostete Hardware-Sicherheitsmodule, Smartcards oder Token verwenden.
Agnew von Sicherheit hinter verschlossenen Türen empfiehlt Unternehmen, in Zero-Trust- und Defense-in-Depth-Strategien zu investieren, um sich vor den Risiken normalisierter Verschlüsselungs-Hintertüren zu schützen.
Er räumt jedoch ein, dass Organisationen selbst mit diesen Maßnahmen verpflichtet sein werden, Daten an Behörden herauszugeben, wenn diese per Haftbefehl angefordert werden. Vor diesem Hintergrund ermutigt er Unternehmen, sich darauf zu konzentrieren, „welche Daten sie besitzen, welche Daten Personen in ihre Datenbanken oder auf ihre Websites eingeben können und wie lange sie diese Daten speichern“.
Bewertung dieser Risiken
Entscheidend ist, dass Unternehmen diese Herausforderungen im Rahmen einer umfassenden Risikomanagementstrategie berücksichtigen. Laut Schroeder von Barrier Networks umfasst dies regelmäßige Audits der Sicherheitsmaßnahmen der Verschlüsselungsanbieter und der gesamten Lieferkette.
Aldridge von OpenText Security betont zudem, wie wichtig es sei, Cyber-Risikobewertungen zu überprüfen, um die Herausforderungen durch geschwächte Verschlüsselung und Hintertüren zu berücksichtigen. Er fügt hinzu, dass man sich auf die Implementierung zusätzlicher Verschlüsselungsebenen, komplexer Verschlüsselungsschlüssel, Hersteller-Patch-Management und die lokale Cloud-Speicherung sensibler Daten konzentrieren müsse.
Eine weitere gute Möglichkeit, die durch die IPA-Änderungen der Regierung entstehenden Risiken zu bewerten und zu mindern, ist die Implementierung eines professionellen Cybersicherheitsrahmens.
Schroeder hält ISO 27001 für eine gute Wahl, da es detaillierte Informationen zu kryptografischen Kontrollen, der Verwaltung von Verschlüsselungsschlüsseln, sicherer Kommunikation und der Steuerung von Verschlüsselungsrisiken bietet. Er sagt: „Damit können Unternehmen sicherstellen, dass sie selbst bei einer Kompromittierung ihres Hauptanbieters die Kontrolle über die Sicherheit ihrer Daten behalten.“
Insgesamt scheinen die IPA-Änderungen ein weiteres Beispiel dafür zu sein, dass die Regierung mehr Kontrolle über unsere Kommunikation erlangen will. Angepriesen als Schritt zur Stärkung der nationalen Sicherheit und zum Schutz von Bürgern und Unternehmen, erhöhen die Änderungen das Risiko von Datenschutzverletzungen. Gleichzeitig sind Unternehmen gezwungen, ihre ohnehin überlasteten IT-Teams und knappen Budgets für die Entwicklung eigener Verschlüsselungslösungen einzusetzen, da sie dem Schutz der Cloud-Anbieter nicht mehr vertrauen können. Wie dem auch sei: Die Berücksichtigung der Risiken von Hintertüren in der Verschlüsselung ist für Unternehmen mittlerweile eine absolute Notwendigkeit.
