Kommende Woche wird das Urteil in der Sache Apple gegen US-Regierung verkündet. In dem Prozess geht es um die Entwicklung und Anwendung eines alternativen iOS-Betriebssystems für das FBI - sozusagen um ein FBiOS. Damit soll das iPhone des San-Bernardino-Attentäters Syed Farook entsperrt werden.
Und es geht um Grundsätzliches. Mutiert Apple-Chef Tim Cook, der CEO des mächtigsten Digitaltechnologiekonzerns der Welt, zum Bannerträger des Schutzes der Privatsphäre? In der Tat läuft gerade ein Crypto War 2.0 ab. Viele haben es nur noch nicht gemerkt.
Der erste Krytpo-Krieg liegt schon zwei Jahrzehnte zurück
Beim ersten Krypto-Krieg Mitte der Neunzigerjahre ging es um den sogenannten Clipper Chip. Damals beauftragte die Regierung Clinton den Auslandsgeheimdienst NSA mit dem Bau eines Backdoor Chips, eines Mikroprozessors mit Generalschlüssel für die Regierung, der in alle möglichen Digitalgeräte eingebaut werden sollte. Der Widerstand in Industrie, Wissenschaft und Politik war groß. Der Clipper Chip hat sich nie verbreitet.
Philipp S. Krüger, 40, ist Big-Data- und Cybersecurity-Spezialist und Mitgründer einer Software-Firma.
(Foto: oh)Im Zentrum des heutigen Crypto War steht wieder eine Backdoor, also eine "unkonventionelle" Zugangstür zu einem System. Wieder steht eine amerikanische Regierung auf der einen Seite und eine Gruppe digitaler Akteure auf der anderen. Diesmal geht es allerdings um eine Software-Backdoor; und ein Unternehmen, Apple, führt die Gruppe der digitalen Widerstandskämpfer an.
Apple führte nach den Snowden-Enthüllungen neue Sicherheitsmaßnahmen ein
Technologisch ist diese Hintertür komplex. Auf Farook's iPhone befindet sich das Betriebssystem iOS 9. Es macht es dem FBI fast unmöglich, mit sogenannter Brute Force an den Passcode - einen vier beziehungsweise sechsstelligen Benutzerschlüssel - heranzukommen. Bei Brute-Force-Angriffen wird meist mit Hochleistungsrechnern versucht, ein Passwort zu knacken, indem eine Software verschiedene Zeichenkombinationen ausprobiert bis alle Möglichkeiten erschöpft sind und das richtige Passwort gefunden ist.
In der Vergangenheit waren Brute-Force-Hacks von iPhones für Hacker und Cracker verhältnismäßig einfach. Apple hat jedoch seit 2013 die Sicherheitsmerkmale erweitert. Der Zeitpunkt war wohl kein Zufall: Die ersten Dokumente des Whistleblowers Edward Snowden wurden im Juni 2013 veröffentlicht. Drei Monate später kam iOS 7 mit einer neuen Generation von sogenannten Usable Security Features auf den Markt.
Zwei dieser Sicherheitsmaßnahmen, die der Benutzer selbst beeinflussen kann, sind im Fall von Farook's iPhone wohl besonders wirksam. Erstens: Gibt ein User zehnmal hintereinander ein falsches Passwort ein, sperrt sich das iPhone automatisch für eine gewisse Zeitspanne gegen weitere Eingaben. Zweitens: Hat ein Nutzer die Auto-Wipe-Option aktiviert, wird nach zehnmaliger falscher Passworteingabe der Zugang zu sämtlichen Daten endgültig gesperrt. Es ist nicht bekannt, ob der Attentäter Farook die Funktion aktiviert hat.
Apple müsste sein eigenes iPhone knacken
Wie könnte das FBI dennoch an die Daten gelangen? Technisch kommt wohl nur eine einzige Methode in Betracht. Apple müsste sein eigenes iPhone knacken, indem es für das FBI ein Backdoor-iOS baut und den firmeninternen Signaturschlüssel verwendet. Diese Kombination könnte dann in die Firmware eingreifen - das heißt in die Software, die tief in die Hardware eingebettet ist. So ließen sich die Sicherheitsfeatures aushebeln. Dadurch würde Brute Force ermöglicht.
Diese Methode erfordert also zwingend ein aktives Mitwirken von Apple. Vorhang auf für das FBiOS. Apple lehnt es ab, ein solches Betriebssystem bereitzustellen, obwohl das FBI versichert, es nur in diesem Einzelfall anzuwenden. Apple-Chef Tim Cook befürchtet, dass die firmeninterne Signatur, welche das FBI mit dem FBiOS erhalten würde, für das Hacken anderer iPhones verwendet werden könnte.
Technisch wäre dies verhältnismäßig einfach. Die Fronten sind, wie in den Neunzigerjahren, verhärtet. Der Ausgang des Gerichtsverfahrens ist offen. Apple erscheint tatsächlich als Vorkämpfer der Privatsphäre einzelner Bürger. Und in der Tat veranstalten die großen Technologiekonzerne gerade ein Wettrüsten für Datenschutz.
Apple schützt auch seine eigenen Geschäftsinteressen
Dies ist jedoch nur eine Seite der Medaille. Denn Apple schützt auch eigene Geschäftsinteressen. Das iPhone ist eine Plattform für den Verkauf digitaler Inhalte wie Filme und Musik. Es war eine Vision des Apple-Gründers Steve Jobs, nicht nur Hardware Produkte wie das iPhone, sondern auch den Handel mit Inhalten (Content) zu kontrollieren, um daran als Zwischenhändler mitzuverdienen.
Apple geht es also um den Schutz von Content-Daten. Außerdem steht der Zugang zu globalen Märkten auf dem Spiel. Apple versteht sich als globaler Konzern. Es muss sich fragen: Würden Brasilien oder Deutschland Apple-Produkte mit FBiOS aus Sicherheitsbedenken von ihren Märkten verbannen? Würde China vor heimischen Gerichten eine eigene Backdoor einklagen?
Wir müssen uns an den Crypto-War 1.0 zurückerinnern
Doch es spielt keine Rolle, dass Apple nur in zweiter Linie den Schutz der Privatsphäre anstrebt, wenn der Schutz am Ende tatsächlich besser wird. Während des ersten Crypto Wars wies eine Koalition von Forschern, Wirtschaftsführern und Bürgerrechtlern erstmals eine universelle digitale Regierungs-Backdoor zurück. Heute, im Crypto War 2.0, ist es wichtig, sich daran zu erinnern, warum dies geschah und welche Konsequenzen es hatte.
Zunächst zu den Konsequenzen: Es gibt heute viel mehr staatliche digitale Überwachung als vor dem ersten Crypto War. Das Aus für den Clipper Chip hat nicht zum Ende effektiver Überwachung geführt. Der Chip war letztlich nur nicht nötig.
Doch warum lehnte die Mehrheit digitaler Akteure damals den Clipper Chip so vehement ab? Chip-basierte digitale Technologien entwickeln sich laut dem Mooreschen Gesetz exponentiell weiter. Die Entwicklung menschlicher Organisationen und Gesetze, die solche Technologien regulieren, ist dagegen langsam.
Blankoschecks für den Staat sind nicht nötig
Dies bedeutet jedoch nicht, dass wir dem Staat Blankoschecks ausstellen müssen, wenn es um unsere digitalen Daten geht. Vielmehr sollten die Spielregeln für das digitale Zeitalter in den Parlamenten ausgehandelt werden und eben nicht durch eine potenziell unkontrollierbare Einzel-Forderung einer Behörde durchgesetzt werden. Andererseits sollte das FBI Zugang bekommen, wenn es sicherstellen kann, dass ein FBiOS nur auf dieses eine Telefon anwendbar ist.
Es geht nun darum, faire Regeln für den Cyberspace zu entwickeln. Viele Forderungen des FBI sind legitim und wichtig für die Sicherheit aller. Andere sind überzogen. Wir müssen darauf achten, dass wir die öffentliche Sicherheit gewährleisten, dass dabei aber aus dem Internet der Dinge kein Internet der Überwachung wird.
