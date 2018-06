Plötzlich ging alles ganz schnell: Wochenlang behaupteten das FBI und das US-Justizministerium, allein mit Apples Hilfe das iPhone 5c des Mörders Syed Rizwan Farook auslesen zu können und griffen das Unternehmen für seinen Widerstand öffentlich scharf an. Einen Tag vor dem zunächst entscheidenden Gerichtstermin bat das FBI um Aufschub, weil es einen Tipp erhalten habe, wie sich die Sicherheitsvorkehrungen des iPhone auch ohne Apples Unterstützung aushebeln lassen könnten. Eine Woche später nun verkündet die US-Bundespolizei, das Gerät geknackt zu haben. Wie genau, ist unklar. Entscheidend ist zunächst einmal: Apples Hilfe wird in diesem Fall nicht weiter benötigt. Der grundsätzliche Konflikt aber geht weiter.

Beide Seiten haben bereits angedeutet, dass sie schon bald wieder aneinandergeraten könnten. Das Justizministerium teilte mit: "Sicherzustellen, dass Strafverfolger Zugriff auf (…) entscheidende digitale Informationen bekommen, bleibt eine Priorität der Regierung, sei es durch die Kooperation mit den betreffenden Beteiligten oder durch die Gerichte, wenn die Kooperation nicht zustande kommt."

Das heißt nichts anderes, als dass es früher oder später einen neuen Versuch der US-Regierung geben dürfte, einen juristischen Präzedenzfall zu schaffen, in dem der All Writs Act von 1789 genutzt wird, um ein Unternehmen zur Zusammenarbeit zu zwingen.

Apple vs. FBI Der Fall Apple vs. FBI Das FBI will ein iPhone 5c des getöteten San-Bernadino-Attentäters Syed Rizwan Farook auswerten, braucht dazu nach eigenen Angaben aber die Hilfe von Apple. Per Gerichtsbeschluss hat die Staatsanwaltschaft deshalb das Unternehmen aufgefordert, eine spezielle Version des Betriebssystems iOS zu entwickeln und auf das Gerät aufzuspielen. Das FBiOS Diese Version – auf Twitter oft #FBiOS und von Apple selbst GovtOS genannt – soll erstens die automatische Löschfunktion des iPhones deaktivieren, für den Fall, dass Farook sein Gerät so eingestellt hat, dass es nach der zehnten falschen PIN-Eingabe alle Daten löscht. Zweitens soll das Spezial-OS eine unbeschränkte Eingabe von PINs ermöglichen und drittens die mit iOS 9 eingeführte zunehmende Zeitverzögerung zwischen den einzelnen Versuchen aufheben. So hofft das FBI, die PIN beziehungsweise das Passwort für das iPhone mit purer Rechenkraft knacken zu können Apples Reaktion Apple aber weigert sich, eine solche Version von iOS zu entwickeln, mit der Begründung, keinen Präzedenzfall schaffen zu wollen. Das Unternehmen befürchtet, immer wieder juristisch dazu gezwungen zu werden, die eigenen Sicherheitsmaßnahmen in iOS nachträglich auszuhebeln – sei es mit einem GovtOS oder mit anderen Methoden.

Was an dieser Stelle fehlt, ist der Hinweis, dass die Behörden das gerade benötigte Fachwissen auch einfach einkaufen, wie es in diesem Fall offenbar geschehen ist. Auf IT-Forensik und die sogenannte lawful interception (rechtmäßige Überwachung) spezialisierte Unternehmen leben davon, dass sie Schwachstellen in Hardware oder Software finden, Techniken (sogenannte Exploits) entwickeln, um sie auszunutzen und diese verkaufen.

Es liegt dabei im Interesse dieser Firmen, dass die von ihnen entdeckten und ausgenutzten Schwachstellen nicht veröffentlicht werden. Denn sonst würden die betroffenen Hersteller die Lücke schließen und den erneuten Einsatz (sprich: Verkauf) eines Exploits verhindern. Sollte das FBI tatsächlich auf einen von externen, kommerziell ausgerichteten Spezialisten entwickelten Exploit zurückgegriffen haben, bleibt der genaue Angriffsweg möglicherweise unter Verschluss. Damit hätte das FBI Steuergeld verwendet, um ein für seine Ermittlungen höchstwahrscheinlich irrelevantes Gerät auszulesen. Denn dass sich auf dem Arbeitshandy von Farook wertvolle Informationen befinden, glaubt wohl niemand ernsthaft. Gleichzeitig sorgt das FBI dafür, dass die entsprechende Schwachstelle im Handel bleibt und im schlechtesten Fall irgendwann auch von Kriminellen ausgenutzt wird.

Kein Unterschied zwischen staatlichen und kriminellen Hackern

Apples Reaktion beinhaltet darauf schon eine Antwort: "Wir werden die Sicherheit unserer Produkte weiter verbessern, da die Bedrohungen und Angriffe auf unsere Daten regelmäßiger und ausgefeilter werden."

Man kann das so verstehen: Von wem die Bedrohungen und Angriffe ausgehen, spielt für Apple keine Rolle. Qualitativ gibt es keinen großen Unterschied mehr zwischen professionellen Kriminellen und staatlichen Stellen. Wenn die einen in ein System eindringen können, dann können die anderen es auch.

Weil iPhones, stellvertretend für viele andere Produkte, zunehmend detaillierte Finanz- und Gesundheitsdaten sowie große Teile der persönlichen Kommunikation speichern, müssen Kunden dem Hersteller vertrauen können. Wer nutzt schon ein mobiles Bezahlsystem, wenn es als unsicher gilt? Der Anspruch, den Apple an sich selbst und damit auch an die Konkurrenz stellt, ist bemerkenswert: Handelsübliche Privatcomputer für wenige Hundert Euro sollen so sicher werden, dass sie den gezielten Hackerangriffen staatlich unterstützter Stellen standhalten.

Mitunter kommt die Branche diesem Ziel schon recht nahe: Das FBI hat mehrere Wochen und offenbar auch teure externe Spezialisten gebraucht, um ein vergleichsweise altes iPhone mit einer schon nicht mehr aktuellen Version des Betriebssystems zu knacken.



Franzosen und Briten debattieren über Grenzen für Verschlüsselung

Kein Wunder also, wenn Regierungen in aller Welt das mit mindestens gemischten Gefühlen betrachten. Sie mögen es ja befürworten, dass ihre Bürger ruhigen Gewissens ihre Bankgeschäfte im Internet erledigen können. Aber wenn die Industrie jetzt Fakten schafft und Technik entwickelt, die nur noch mit höchstem Aufwand zu hacken ist und dadurch auch technisch weniger versierten Kriminellen und Terroristen hilft, verliert die Politik ein Stück weit ihren Handlungsspielraum. Die Sicherheit für Anwender schafft Unsicherheit für Behörden.

Das stört nicht nur US-Politiker, sondern unter anderem auch britische und französische. In beiden Ländern werden in diesen Tagen neue Gesetze diskutiert, mit denen der Einsatz von Verschlüsselung, die auch der Anbieter nicht knacken kann, faktisch untersagt würde. Angesichts des globalen Angebots auch von nicht kommerzieller Verschlüsselungstechnik und angesichts der Fähigkeiten heutiger Krimineller wäre das unsinnig und kurzsichtig. Aber ein neues Verbot lässt sich der terrorgeplagten Bevölkerung wahrscheinlich immer noch leichter als politischer Erfolg verkaufen als das Zugeständnis, eine gewisse Unsicherheit in Kauf nehmen zu wollen.