Muss ein Unternehmen dem FBI eine „Hintertüre“ zur Dekodierung eines Smartphones schaffen?

von Dr. Axel Spies, veröffentlicht am 18.02.2016

Hier eine Debatte, die kurz oder lang nach Europa kommen wird, wo der neue „Privacy Shield“ und der Zugriff von US-Sicherheitsbehörden auf Daten in Europa heiß diskutiert werden: Wann und wie müssen Hersteller mit den US-Sicherheitsbehörden zusammenarbeiten (vgl. im Blog schon hier und hier)? Schon seit einiger Zeit ist klar, dass das FBI die Fingerabdrücke eines toten Verdächtigen zum Entsperren eines Smartphones nutzen darf.

Der neueste Streitpunkt: Muss Apple dem FBI aktiv Hilfe beim Hacken leisten und eine „Hintertüre“ (technisch: durch Manipulation der iOS) speziell für das betroffene iPhone entwickeln, das einer der Attentäter von San Bernardino genutzt hat?

        Argumentation des FBI:

  • Es geht um die Verfolgung von terroristischen Verbindungen des Attentäters durch Zugriff auf die auf dem Gerät gespeicherten Daten.
  • Die US-Gesetze erlauben im Prinzip eine solche Anordnung; zurückgehend auf den „All Writs Act“ von 1789 (!).

    Einige Gegenargumente:

  • Schutz der Privacy der Betroffenen.

  • Die Software könnte in falsche Hände geraten und jahrelange Investitionen in eigene Sicherheitstechnologie zunichtemachen („Die Unternehmen müssten gegen sich selbst arbeiten“).

  • Andere Regierungen und Sicherheitsbehörden könnten Anspruch auf die Software erheben.

  • Unterstützung erhält der Konzern von einigen namhaften Unternehmen der Tech-Industrie, die eine lawinenhafte Präzedenzwirkung dieser Anordnungen gegen Hersteller befürchten.

Es gibt eine richterliche Anordnung, gegen die sich das Unternehmen nun im Instanzenzug zur Wehr setzt.

Kurios: Das konkrete iPhone gehört einer öffentlichen Stelle, nämlich dem San Bernardino County Department of Public Health, für das der Attentäter gearbeitet hat.  Die Stelle hatte das Smartphone so eingestellt, dass das iOS nach 10 vergeblichen Passwortversuchen die gespeicherten Inhalte automatisch löscht. Damit hat das FBI jetzt zu kämpfen.

Was meinen Sie: Darf die Terroristenverfolgung so weit gehen?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

59 Kommentare

Kommentare als Feed abonnieren

Sobald der Nachweis erbracht ist, dass Apple die 10 Passwortversuche umgehen kann, ist kryptographisch gesehen die Katze aus dem Sack. Dann ist es nur noch eine Frage der Zeit, bis zuerst wenige, dann aber zunehmend publike Angriffe aus der gleichen Richtung erfolgen.

Das Problem ist, wenn man Verschlüsselung schwächt, schwächt man sie für alle und nicht nur für den Einzelfall. Die Cyber-Kriminellen sind nicht weniger begabt als die Ingenieure von Apple. Apple hat schon recht, wenn sie in ihrer Pressemitteilung von einem "Generalschlüssel" für alle iPhones sprechen.

Wenn es keine Begrenzung 10 Passwortversuche oder ähnliche Maßnahmen gibt - z.B. eine exponentiell ansteigende Wartezeit nach einigen Versuchen, was das iPhone von Haus aus macht - ist ein vierstelliger Ziffern-Pincode keine Hürde für einen Angriff, bei dem man einfach alle möglichen Kombinationen ausprobiert ("brute force").

Deshalb geht es hier nicht um den Einzelfall, sondern um das Gesamtbild. Und das spricht stark gegen die vom FBI verlangte Maßnahme.

5

MT schrieb:

Sobald der Nachweis erbracht ist, dass Apple die 10 Passwortversuche umgehen kann, ist kryptographisch gesehen die Katze aus dem Sack.

Der Nachweis ist erbracht. Das FBI und andere Experten könnten, wenn das notwendig wäre, Apple eine Punkt-für-Punkt-Anleitung schreiben, nach deren Abarbeiten der Brute-Force-Angriff möglich wird. Nach einem entsprechenden Vortrag wurde Apple mit der umstrittenen Gerichtsentscheidung zu genau diesem erfolgversprechenden Vorgehen verpflichtet.

Das juristische Kernproblem ist eine Verhältnismäßigkeitsabwägung: Früher wurde erfolgreich schlicht "Zugang" zu den verschlüsselten Daten verlangt, weil es für Apple sehr einfach war. Nun hat Apple es sich ein klein wenig erschwert, verkauft das als "nahezu unmöglich" und will deshalb aus dem Schneider sein. Dabei wird nicht verlangt, dass Apple eine Forschergruppe ins Leben ruft, die in den nächsten Jahren AES bricht. Der Hersteller soll einfach in seinen Entwicklerbaukasten greifen, Software mit einem reduzierten Funktionsumfang zusammenstellen und eine Schnittstelle fürs FBI dran schmieden. Mir scheint das zumutbar. Aber ich sehe auch in Zukunft die Frage aufkommen, wie unsicher ein System sein muss, damit es zumutbar ist.

3

Ich hatte einmal eine Strafsache, wo Daten eine Rolle spielten, die der Mandant sicher verschlüsselt hatte. Die Staatsanwalt unternahm alles, den Mandanten zu zwingen, den Schlüssel preiszugeben. Doch aller Druck half nicht. Der Mandant liess sich nicht einschüchtern, auch nicht durch U-Haft und unangenehme Beschlagnahme seiner Computer. Dann wurde nach langer Zeit das Verfahren doch eingestellt. Es gibt in Deutschland kein prozessual vorgesehens Zwangsmittel. Die Beschlagnahme der Computer war sinnlos. Die Staatsanwaltschaft gebrauchte übrigens auch das fragwürdige Argument, dass das Verhalten des Angeklagten beweise, dass er etwas zu verbergen hat, andernfalls er das Password quasi selbstverständlich herausrücken würde...

5

Könnte sich die Staatsanwaltschaft denn an den Hersteller wenden?

Das wäre wohl möglich; aus der Akte ging das aber jedenfalls nicht hervor. Ein deutscher Hersteller wird wohl sagen, dass er keine Hintertür hat und nicht helfen kann, andernfalls er seine Reputation verlieren würde. Meine finnische Container-Verschlüsselung behauptet auch, keine Hintertür ("back (or trap) doors") zu besitzen und man werde von der Regierung auch nicht dazu gezwungen:

"We didn't insert any "back (or trap) doors" to the BestCrypt software that would allow recovering the information about the password. Our government does not bind us to insert any "backdoors" to our products, and we ourselves strongly believe that only an owner of data should decide who is allowed to access it."

4

Gast schrieb:
Das wäre wohl möglich; aus der Akte ging das aber jedenfalls nicht hervor.

Für die deutsche Rechtslage sehe ich das anders. Eine Inanspruchnahme des Herstellers wäre doch gerade nur im Bereich der Gefahrenabwehr denkbar, nicht zur Strafverfolgung, wie in Ihrem Fall.

0

Muss dann auch ein Architekt für seine entworfenen Häuser einen Nachschlüssel oder eine heimliche Hintertür für das Ordnungsamt bereit halten? Oder muss zukünftig ein Autofahrer alle Fahrten über öffentliche Verkehrswege polizeilich anmelden?

Wenn es nach der Politik und sonstigen Kontrollfreaks geht, wohl schon. Das ist die Weiterführung des öffentlichen Interesses der freundlichen Nachbarin, die früher anteilnehmend ein Kissen auf den Fenstersims legte, um die Ellenbogen zu schonen, wenn irgend etwas in der Straße passierte.

Allerdings haben Apple und Google ja ansonsten keinerlei moralische Bedenken, wenn jede beliebige Taschenlampen-App Zugriff auf die privatesten Nutzerdaten erhalten kann. Das sind genau so alte, neugierige Fenstersims-Vetteln, wie damals Oma Müller. Der Gesetzgeber und vor allem die Justiz sollten hier massivst die Privatsphäre schützen. Der Staat und die Firmen sind nicht dazu da, den Menschen vom Recht auf ihre eigenen Daten zu trennen und sie unautorisiert zum Wirtschaftsgut aufzublasen.

Und was unternimmt die Politik eigentlich gegen die ganzen Werbeanrufe, bei denen technisch und wohl auch politisch gewollt dem Opfer eine falsche, meist nicht existierende Anrufernummer angezeigt wird? Es gäbe genug für FBI und andere zu tun, um die Bürger vor kriminellen Elementen zu schützen. Geplante Hintertüren gehören definitiv nicht dazu.

5

Das Problem scheint sich dann zum Teil zu erledigen, wenn das Unternehmen bei einem verschlüsselten Smartphone nicht mehr erlaubt, iOS Updates aufzuspielen, die es dann ihrerseits ermöglichen, das Passwort einfach zu knacken. Das scheint wohl die FBI-Strategie bei Farook-iPhone zu sein.

"In the current case, the FBI wants Apple to create a special, less secure version of its iOS iPhone software and install it on the phone of deceased San Bernardino terrorist Syed Farook. With the weaker software installed, the FBI would have a much easier time guessing Farook's password. That's only possible because the iPhone's hardware allows certain kinds of software updates from Apple without requiring a password. Future phones could be designed to lock out any such changes or erase data if changes were made."

(Zitat nach http://finance.yahoo.com/news/apple-could-lock-governments-out-of-future-iphones-153147176.html)

Die Berufung gegen die ANordnung des Magistrate's Judge kann sich viele Monate hinziehen.

In jedem Fall, es geht um die Kommunikationssicherheit und viel Geld...

Für die deutsche Rechtslage sehe ich das anders.

Ich habe ja nicht gesagt, dass man den Hersteller zur Mitwirkung zwingen kann oder darf. Aber die Nachfrage, ob freiwillig geholfen wird, ist doch wohl auch nach "deutscher Rechtslage" möglich, oder? Aber, wie gesagt, der seriöse Hersteller wird natürlich (jedenfalls im Normalfall) nicht helfen.

0

Danke. Was meinen denn die anderen zum Thema Inanspruchnahme des Herstellers?  Geht das nur über die Normen der Gefahrenabwehr?

Hier in den USA ist Staranwalt Ted Olson mit der Verteidigung beauftragt worden:

http://www.handelsblatt.com/unternehmen/it-medien/apple-faehrt-staranwalt-gegen-fbi-auf-das-oeffnet-die-buechse-der-pandora/12996776.html

 

Apples Position ist, dass sich ein Ausschuss des Kongresses mit der Problematik befassen soll. Schon am 22.03. findet die Mdl. Verhandlung vor dem US District Court for the Central District of California in Riverside statt.

Ich wäre neugierig, von Blog-Teilnehmnern zu hören, ob das deutsche Recht der Gefahrenabwehr einen Zugriff auf einen Hersteller in einem solchen Fall gestattet. Was meinen Sie?

51 Prozent der Befragten einer Pew Research Center-Umfrage von gestern meinen, dass  Apple das iPhone für das FBI entsperen sollte. 38 Prozent waren dagegen und 11 Prozent hatten keine Meinung. Aber diese eine Umfrage sollte man nicht überbewerten.

http://www.theatlantic.com/national/archive/2016/02/apple-fbi-polls/470736/

Wenn Apple ein Betriebsystem mit Hintertüre entwickeln würde, dürfte es seine Sicherheitsmaßnahmen nicht mehr als Feature des Betriebssystems bewerben, im Gegenteil, Apple müsste seine Kunden vor Kauf darauf aufmerksam machen, dass die sicherheitesrelevanten Funktionen des Betriebssystems im Zweifelsfall umgangen werden können und auch werden. Wohl kein wirklich sicherheitsbewußter Anwender würde das akzeptieren wollen, ungeachtet davon, dass er eigentlich nichts zu verbergen hat. Zusätzlich bedeuten Hintertüren immer auch Einfallstore für Malwarespezialisten, die eher selten auf der Seite von Regierungsorganisationen stehen. Unentdeckte Hintertüren werden eher an den Meistbietenden verkauft, oft auch an Regierungsorganisationen. Bestes Beispiel bleibt wohl die zwielichtige italienische Firma "Hacking Team", die das Programm für Flashlücken "Da Vinci" an nahezu jeden verkaufte, der zahlte.

Wer Sicherheitsmaßnahmen von Programmen oder Betriebssystemen an Bedingungen knüpft, braucht sich nich wundern, wenn seine Sicherheitsmaßmahmen nur müde belächelt und als wertlos angesehen werden. Erst recht, wenn man nicht weiß, welche Bedingungen das im Einzelfall sein können und wenn der Kunde keinen Einfluß auf sie hat. Das ist so, als ob man die Verschlüsselungsstärke eines Programms an die eher subjektive Reputation einer Person knüpfen würde. Das klingt absurd, ist im Grunde aber das Gleiche.

 

Umfragen, wie die von Pew Research Center, kann man leiten, steuern, und wenn das für das erwünschte Endergebnis alles nichts hilft, auch fälschen. Es kommt darauf an, wen man befragt, wie man fragt (ob suggestiv usw.), wie gut die befragte Klientel informiert über das Thema ist und durch wen sie informiert wurde, das heißt, zu welchem Zweck. Umfragen sagen leider sehr wenig über die Meinung einer bestimmten Bevölkerungsgruppe aus. Das heißt, eine eventuelle neue Umfrage könnte schon morgen gegen das FBI sprechen.

5

Danke für den Kommentar: Dies ist nicht nur ein US-Problem. Auch im BT-NSA-Untersuchungsausschuss kommen einige interessante neue Details zur deutsche Abhörpraxis zum Vorschein:

http://www.tagesschau.de/inland/datenschutz-bnd-abhoerpraxis-101.html

Zitat: "Im NSA-Untersuchungsausschuss erklärte ein BND-Mitarbeiter, auch die Bundeskanzlerin habe "in ihrer Funktion (...) keine Grundrechte."

 

 

Was steht in dem Schriftsatz und was sind Apples wesentliche Argumentationslinien?

Der nun veröffentlichte Klageerwiderungsschriftsatz von Apple greift die Argumentation des FBI an, freilich nicht ohne zu betonen, dass die Attentate in San Bernardino verurteilungswürdige terroristische Handlungen waren. Jedoch sieht Apple im Wesentlichen die Gefahr, dass durch eine „Hintertüre“ im System zukünftig auch Verbrecher Zugang zu den Daten erlangen könnten. Juristisch stützt das Unternehmen seine Argumentation auf folgende Aspekte:

  • Der „All Writs Act“ von 1789 stellt keine Rechtsgrundlage dar, um Apple zum Programmieren einer „Hintertüre“ in die iPhones zu verpflichten. Da der Kongress darüber nachgedacht habe, eine solche Möglichkeit zu schaffen, sie aber explizit nicht schaffen wollte, bedeutet dies in einem Umkehrschluss, dass eine Möglichkeit nicht besteht.
  • In der Entscheidung New York Telephone Co. wurde festgestellt, dass den Telekommunikationsunternehmen keine unverhältnismäßig belastenden Auflagen („unreasonably burdensome conscription“) zur Kooperation auferlegt werden dürfen.

  • Zudem verstoße die gerichtliche Verfügung gegen den ersten („Meinungsfreiheit“) und fünften („Keine Pflicht zu einer selbstbelastenden Aussage“) Verfassungszusatz .

5

Apple hat Rückendeckung von einem Magistrate Judge  des Eastern District New York erhalten. Er entschied in einem detaillierten Urteil,  dass der noch  Präsident Washington unterzeichnete All Writs Act (siehe oben) keine angemessene rechtliche Grundlage sei, um das Entsperren eines iPhones zu fordern. In dem Fall geht es um das Telefon eines Drogenhändlers. Die US-Regierung geht natürlich in die Berufung.  Das Kalifornische Gericht ist an die Entscheidung nicht rechtlich gebunden.

http://www.nytimes.com/2016/03/01/technology/apple-wins-ruling-in-new-york-iphone-hacking-order.html?_r=0

 

 

FBI-Direktor James Comey hat bei einer Kongress-Anhörung am Dienstag eingeräumt, dass der Auftrag an Apple ein Programm zu erstellen, den Zugang zu einer großen Zahl von iPhones ermöglicht.  Das FBI vertraue jedoch Apple, dass diese Backdoor-Software nicht in falsche Hände geraten werde.  Es ist relativ unwahrscheinlich, dass der Kongress diesen Konflikt per Gesetz regelt, weil viele Abgeordnete und Senatoren der Meinung sind, dass der Konflikt bei den US-Gerichten gut aufgehoben ist. Das Verfahren vor Gericht könnte bis zum US Supreme Court ziehen.

Siehe u.a. http://thehill.com/policy/cybersecurity/overnights/270842-overnight-cybersecurity-apple-fbi-feud-escalates

 

Das Thema schwappt nach Europa über und spielt eine Rolle bei den Beratung zum U.K. Investigatory Powers Act:

Nach eine Quelle aus dem Home Office soll ein Unernehmen nur dann verpflichtet sein eine Verschlüsselung zu entfernen, wenn sie diese selbst gesetzt haben und wo dieses praktikabel sei. Es sei klar, dass die Regierung nicht Unternehmen verpflichten werde, ihre Datensicherheit zu schwächen, indem sie die Verschlüsselung untergraben.

http://www.patentlyapple.com/patently-apple/2016/03/apple-scores-victory-against-the-uks-investigatory-powers-bill-while-france-contemplates-outrageously-fining-apple-into-comp.html

 

 

Es gehört bekanntlich zur Werbestrategie von Apple , sich als Widerpart zu Big Brother darzustellen. Das nennt man gekonntes Marketing. Die Vorgängerversionen das iPhone 6 konnten noch mit sehr wenig Aufwand geknackt werden. 

 

 Vermutlich sind generell die Sicherheitsstandards für Endverbraucher- geräte absichtlich sehr niedrig gehalten worden, um eine Massenüberwachung zu ermöglichen, und dies mit wenig Aufwand.

 

 Der jüngste Schaukampf mit dem FBI hat möglicherweise die Funktion,

 böse Menschenrechtsaktivisten als Unterstützer von Terroristen darzustellen. Die NSA jedenfalls wird auch weiter jeden, der Verschlüsselungstechniken benutzt, als verdächtig einstufen. Man kann sich ungefähr denken, wie diejenigen einsortiert werden, die sich im konkreten Fall gegen eine Entsperrung des inkriminierten Smartphone aussprechen.

In Spanien wurde nun bekannt, dass dem IS 20.000 Uniformen geliefert worden sind. Außerdem hat die Organisation begonnen, ein überdurchschnittliches Interesse an der Beschaffung radioaktiven Materials zu entwickeln.

Vor diesem Hintergrund und dem Umstand geplatzter Länderspiele etc. etc. etc. dürfte es wenig Sinn machen, dem Nutzer einen Schutz der Privatsphäre zu suggerieren, an den man sich früher auch nicht unbedingt gehalten hat. 

 

Faustregel: je höher der Börsenwert eines Unternehmens, desto geringer die Qualität seines Datenschutzes. Die am besten bewerteten Unternehmen sind gerade die, welche Daten beziehungsweise ihre Ausbeutung als Rohstoff definieren, wie Platin oder Gold. Wie viele Geschäftsgeheimnisse wohl auf iPhones zu finden sind? 

 

Wenn das inkriminierte Smartphone jetzt geknackt wird, dann wird man vermutlich ohnehin nicht viel mehr finden als einige Urlaubsbildchen. 

Wozu also die ganze Aufregung? 

 

 

 

Ein Dutzend US-Tech-Giganten hat sich zusammengetan, um Apple vor Gericht in Kalifornien zu unterstützen: iPhone-Entsperrung hätte gravierende Folgen für alle diese Unternehmen. Die Maßnahmen würden sie zwingen, ihre Sicherheitsmaßnahmen zu schwächen und  würden ihren Ruf schädigen.

Den gemeinsamen Amicus Brief  für die auf den 22.03. angesetzte mdl. Verhandlung findet man u.a. hier: https://fbnewsroomus.files.wordpress.com/2016/03/applebriefasfiled.pdf

Die Erwiderung des Department of Justice (Reply Brief) ist raus: Apple habe in einem ähnlichen Fall China Unterstützung geleistet, was Apple bestreitet. Der von Apple verlangte Aufwand sei "bescheiden." Apple habe die technischen Hindternisse für das Knacken des iPhones bewußt eingebaut und müsse nunmehr die Konsequenzen tragen.

“Here, Apple deliberately raised technological barriers that now stand between a lawful warrant and an iPhone containing evidence related to the terrorist mass murder of 14 Americans ... Apple alone can remove those barriers so that the FBI can search the phone, and it can do so without undue burden.”

https://www.justice.gov/usao-cdca/file/832166/download

 

 

 

 

wie bei 40# schon erwähnt was erhofft sich das fbi auf einem handy zu finden ?

 

belastenes material wie anruf listen und geld transfer bekommen sie auch auf anderem weg ... adressen und bilder der geldgeber werden dort wohl kaum zu finden sein oder glaubt hier ernsthaft jemand das leute die jemanden dazu überreden ein anschlag zu verüben so dumm sind und posieren für ein foto mit dem täter oder geben ihm ihre korekte adresse? warum sollte also eine hintertür in jedes handy für eine überwachungsbehörde eingebaut werden? diese kann doch nur zur überwachung des gedankenguts, des konsum verhaltens und der lebensweise des handy benutzers dienen ist also völlig sinnlos um weitere anschläge zu verhindern ... man könnte höchstens daten heraufspielen und behaupten sie gehören dem nutzer oder irgend einer beliebigen person abhör bzw überwachungs software herauf spielen ohne das diese es mit bekommt

wer würde  später überwachen wofür diese hintertür benutzt wird? für mich hat das ganze den bitteren beigeschmack von general verdacht und stasi methoden (überwachung aller) und nicht dem schutz der bevölkerung

5

Seit Jahrzehnten werden in Amerika und Europa überall harte Drogen (wie u.a. Kokain, Heroin, Crack, ...) angeboten.

Und die Anzahl von gewaltbereiten Islamisten nimmt auch nicht ab.

Wenn die Polizeibehörden dem nun endlich mal ein Ende setzen würden, dürften sie gerne auch Smartphones dechiffrieren.

Allerdings bin ich nicht überzeugt davon, daß die Politiker das organisierte Verbrechen und den Terrorismus wirklich besiegen wollen, denn sie haben bisher dafür viel zu wenig getan, insbesondere zu wenig polizeiliches Personal eingestellt und viel zu wenig Strafverfolgungs- und Straftatenaufdeckungs- und Aufklärungs- und Fahndungs-Spezialisten eingesetzt.

Es fällt schwer, den Politikern, die sagen, sie wollten einen Überwachungsstaat, um uns vor Vebrechern und Terroristen zu schützen, zu glauben.

Denn die Politiker haben bisher wenig getan, um dies zu erreichen, und teilweise sogar Straftaten erleichtert.

0

Nach Angaben des US-Justizministeriums könnte das FBI mit Hilfe eines Dritten einen Weg gefunden haben, auch ohne Hilfe von Apple das besagte Smartphone zu knacken. Auf Antrag des Ministeriums verschob das kalifornische Gericht daraufhin den für Dienstag angesetzten mündlichen Termin. Das grundsätzliche Problem bleibt jedoch bestehen.

http://www.n-tv.de/politik/FBI-will-iPhone-ohne-Apple-knacken-article17282461.html

Was meinen Sie: Haben die heutigen Anschläge in Brüssel Auswirkungen auf die Debatte um den Zugang zu iPhones?

 

Das wichtigste ist, dass man im nahen und mittleren Osten bald wieder von innen heraus stabile Verhältnisse bekommt, die in einer Übergangszeit nicht unbedingt demokratisch sein müssen. Hätten die Amerikaner den stabilen Irak nicht zerstört, gäbe es jetzt keinen IS und keinen Terrorismus. Es spricht auch nichts dagegen, dass aus dem IS die dringend benötigte Ordnungsmacht wird. Es muß ganz einfach stabil werden, und zwar ohne Einflüsse von außen. Man sollte sich da einfach heraus halten.

0

Die Behörden in Belgien haben sich ans FBI gewandt: Sie sollen bei der Entschlüsselung der Daten auf den Festplatten und Smartphones der Täter von Brüssel helfen

http://www.wsj.com/articles/brussels-attacks-belgium-turns-to-u-s-for-help-in-scouring-seized-laptops-phones-1459191974

Was meinen Sie, sollte das FBI Apple- wie gewünscht - informieren, wie das Eindringen des FBI in das Smartphone gelungen ist?

Seiten

Kommentar hinzufügen