Peter Sawicki: Herr Garbsch, ist alles nur halb so wild?
Falk Garbsch: Na ja, das kann man jetzt erst mal sagen. Das hat jetzt ja auch mittlerweile das BSI wohl etwas relativiert. Die kamen ja in der letzten Nacht mit einer etwas dramatischen Meldung raus, dass man bitte mal das Online-Banking über das WLAN lassen soll. Das war natürlich vollkommen zu hoch gegriffen und da ist es schon ganz gut, dass sie jetzt - zumindest nachdem die meisten Experten sich einig sind - auch zurückgerudert haben.
Eine große Kampagne
Sawicki: In der Erklärung der Uni Leuven, die das Ganze aufgedeckt hat, klingt das aber schon durchaus bedrohlich, dass Passwörter gestohlen werden könnten, dass von außen mitgelesen werden könnte. Wie gefährlich ist diese Lücke?
Garbsch: Na ja, so ganz ungefährlich ist sie nicht. Natürlich spielt da so ein bisschen mit rein, dass diese Experten, die das aufgedeckt haben, irgendwie versucht haben, da eine große Kampagne zu starten, weil sie dann natürlich ein bisschen Presse- und Medienrummel erzeugen wollen. Das scheint, gerade so ein bisschen im Trend zu sein, wenn man so eine Sicherheitslücke findet, dass man erst mal eine Webseite hochzieht und das dann entsprechend breit published, damit möglichst viele Menschen das auch sehen und der Name dann irgendwo anklingt. Das muss man ein bisschen mit Vorsicht genießen. Aber natürlich ist diese Lücke da und ich glaube, Unternehmen trifft dieses Thema viel härter als Privatnutzer.
Sawicki: Warum?
Garbsch: Es ist ja schon angeklungen, dass man vor Ort sein muss. Man muss sich vor die Haustür setzen, man muss irgendwie nahe am Endgerät des Menschen sein, den man angreifen will. Dann muss man dieses Gerät angreifen und dann auch noch Glück haben, dass man Verbindungsdaten dort ausleiten kann. Bei einem Unternehmen sieht das anders aus. Da gibt es diesen ganzen Komplex der Industriespionage und Unternehmen, die vielleicht dort im Fokus stehen und irgendwie interessante Informationen haben. Da lohnt sich das vielleicht, einen solchen Angriff durchzuführen, und man muss dann nicht ein Gerät angreifen, sondern kann zum Beispiel mal die gesamten Geräte versuchen, der gesamten Belegschaft anzugreifen und zu gucken, ob man dort irgendwie was Interessantes und was Spannendes abgreifen kann.
Missbrauch bei Banken eher schwierig
Sawicki: Könnten Sie das noch mal erklären? Was ist das für eine Lücke und wie kann sie ausgenutzt werden?
Garbsch: Das was dort angegriffen wird, ist ein Design-Fehler in diesem Verschlüsselungsprotokoll, das WPA-Protokoll. Die es erlaubt, Endgeräten einen schwachen Schlüssel zuzuschieben beziehungsweise eine Zufallszahl, die dann dazu führt, dass ein schwacher Verschlüsselungsschlüssel verwendet wird, und so kann man dann, wenn so ein Gerät sich einbucht, dort falsche Informationen unterschieben und das Gerät wird dann später mit diesem Schlüssel die Daten senden und diese kann man dann mitlesen. Damit man diese Lücke ausnutzen kann, müssen aber dann noch verschiedene Sachen zusammenfallen. Das bedeutet, die Verbindung selber, die ich habe, das sind ja verschiedene Schichten, über die man da redet. Das WLAN ist ja ganz unten drunter. Dann kommunizieren die Geräte untereinander und darin befinden sich dann die einzelnen Verbindungen, die ich aufmache. Wenn ich zum Beispiel meine Bank ansurfe, dann macht mein Browser ja in diesem WLAN-Tunnel noch mal eine Verbindung auf, und die ist noch mal verschlüsselt. Vor allem, wenn es um Banken geht, ist es unheimlich schwer, dort über diese Lücke die Passwörter abzugreifen. Das Ganze wird viel interessanter bei unverschlüsselten Verbindungen. Wenn dieses "https" nicht dasteht - das sind unverschlüsselte Verbindungen - und auch das Schloss-Symbol nicht da ist, dort kann man vielleicht Passwörter abgreifen, aber das trifft auf Banksysteme üblicherweise nicht zu.
Sicherheits-Updates installieren
Sawicki: Bei Firmen ist das aber in internen Netzwerken häufiger der Fall?
Garbsch: Interne Netzwerke sind so ein Problem. Dort trifft man tatsächlich sehr, sehr häufig eine unverschlüsselte Verbindung an. Das kenne ich aus dem eigenen Erfahren und Erleben, wenn man in Firmennetzwerken unterwegs ist, dass dort vor allem bei Intranet-Portalen zum Beispiel nicht so viel Wert darauf gelegt wird, dass die Verbindungen firmenintern verschlüsselt sind. Weil man ja davon ausgeht, dass das Netzwerk, was man selber hat, vertraulich ist. In dem Fall kann man diese Internetverbindung angreifen und dort werden dann schon sehr häufig auch Passwörter teilweise noch in den Firmennetzwerken unverschlüsselt übertragen. Das ist natürlich schon ein Problem.
Sawicki: Was müssen daraus die Konsequenzen sein für die Firmen?
Garbsch: Sowohl für die Firmen als auch für die Privatanwender bedeutet das, sie müssen sehr viel Wert darauf legen, dass wir einfach diese Sicherheitslücke schließen, indem wir die Sicherheits-Updates installieren, die uns jetzt hoffentlich die meisten Anbieter in den nächsten Tagen von unseren Endgeräten zur Verfügung stellen. Es reicht nicht, den Router zu patchen, sondern die Telefone und unsere Computer und alles, was wir so zuhause haben, muss ein Sicherheitsupdate bekommen. Das gleiche trifft für die Firmen zu. Das ist das, was als nächstes passieren muss, dass diese Updates installiert werden, um diese Lücke abzusichern.
Kaum Haftung bei Schaden
Sawicki: Von welchen Geräten sprechen wir eigentlich insgesamt, die bedroht sind?
Garbsch: Grundsätzlich alles, was WLAN hat. Das ist einfach aktuell der Stand. Das bedeutet, es gibt ein paar Systeme, die schon geschlossen sind. Weil diese Forscher an die Unternehmen herangetreten sind und denen das ein paar Tage vorher oder ein paar Wochen oder Monate vorher gesagt haben, da kommt was. Das heißt, Windows, da sind die Lücken zum Beispiel wohl schon geschlossen, sagt zumindest Microsoft. Das gleiche: Apple hat irgendwie einen Patch für die Sicherheitslücke. Viele Router-Hersteller haben mittlerweile diese Sicherheitslücke zumindest auf der Router-Seite geschlossen. Dazu kommen natürlich die Android-Telefone. Dazu kommen die iPhones und dazu kommen eventuell Windows-Telefone. Alles, was irgendwie ein WLAN hat, ist potenziell angreifbar und da muss irgendwas passieren.
Sawicki: Und wenn es doch zu Schäden kommen sollte, wer haftet in solchen Fällen eigentlich?
Garbsch: Da ist davon auszugehen, dass man Pech hat. Das bedeutet, vor allem wenn es um IT-Sicherheit geht, kann man nicht zu viel erwarten, dass dort irgendwelche Unternehmen in der Haftung sind. Das ist tatsächlich etwas, wo wir als Verein sehr lange hinterher sind und was wir als Chaos Computer Club auch immer wieder fordern, dass Unternehmen für Schäden, die dadurch entstehen, dass sie sich um die Sicherheit nicht ausreichend kümmern, entsprechend auch haften.
Handlungsbedarf in der Politik
Sawicki: Welche Unternehmen konkret müssten eigentlich haftbar sein für solche Risiken?
Garbsch: Im Endeffekt würde das bedeuten, zu dem Zeitpunkt ist das ein Fehler im Standard.
Sawicki: Reden wir von Geräteherstellern? Reden wir von Software-Firmen?
Garbsch: In dem Fall über die Gerätehersteller. Die Hersteller, die mir diese Geräte liefern und die dann auch nicht dafür sorgen, dass die Sicherheitslücken im Zweifel rechtzeitig geschlossen werden.
Sawicki: Das heißt, was muss geschehen, damit da die Standards, die Sicherheitsstandards verbessert werden, damit die Haftung gewährleistet wird?
Garbsch: Das BSI und auch die Politik versucht ja viel über das IT-Sicherheitsgesetz, wo wir schon sehr, sehr lange Zeit sagen, das ist vollkommen unbrauchbar, das hilft uns nicht weiter. Das was passieren muss, ist ein Umdenken auf verschiedenen Ebenen - auch auf politischer Ebene. Wir müssen einfach dahin kommen, dass wir auch für Sicherheitsthemen und IT-Security eine Produkthaftung definieren, so dass die Unternehmen auch ein generelles Interesse daran haben, Sicherheitslücken frühzeitig auszumerzen und zu finden und auch zu schließen.
Sawicki: Lässt sich das auf Bundesebene machen, oder muss das auf europäischer Ebene passieren?
Garbsch: Auf europäischer Ebene wäre wünschenswert. Auf Bundesebene sollte man vielleicht damit anfangen. Ich weiß tatsächlich auch gar nicht, wie das aus juristischer Sicht mit der Gesetzeslage aussieht, ob man das auf EU-Ebene ohne weiteres regeln kann. Auf kurz oder lang wäre es natürlich schön, vielleicht sogar auch eine internationale Regelung zu haben, die über die europäischen Grenzen hinausgeht, einfach ein Verständnis dafür, dass IT-Security etwas ist, was einerseits einen wahren Wert und auch eine Grundvorstellung an einem Produkt ausmacht, dass ich einfach damit rechnen kann, wenn ich etwas kaufe, dass es auch entsprechend sicher ist, oder entsprechend mit Sicherheits-Updates versorgt wird in Zukunft.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.