Die ersten Panik-Berichte ließen nicht lange auf sich warten: Die CIA baut und kauft Software, um in Android-Geräte und iPhones einzubrechen, auch Smart TVs von Samsung sind vor dem US-Geheimdienst nicht sicher. Das zeigen rund 8700 Dokumente und Dateien, die WikiLeaks am Dienstag unter dem Namen Vault 7 veröffentlicht hat. Das größte Leak von internen Daten einer Behörden seit Snowden, schreibt die Enthüllungsplattform. Und um zu unterstreichen, wie groß, twitterte Wikileaks etwas missverständlich:
Schnell berichten die ersten Medien, WhatsApp und Signal seien kompromittiert, jene Messenger-Apps, die wegen ihrer Verschlüsselung eigentlich als weitgehend sicher galten. WikiLeaks selbst schien diese Behauptung ja zu unterstützen. Aber sie ist falsch. Nichts in den Vault-7-Leaks deutet bisher darauf hin, dass die CIA die Verschlüsselung von Messengern brechen kann. Sogar für die „Agency“ bleibt Kryptographie noch immer (zu) hohe Mathematik.
Ja, die Agenten können in Android oder iOS einbrechen. Die Betriebssysteme sind komplex und lassen viele Angriffsvektoren zu – das zeigte schon der Fall des geknackten iPhones des Attentäters von San Bernadino. Sicherheitsexperten sind sich dessen nicht erst seit gestern bewusst. Schafft es ein Programmierer über eine Sicherheitslücke auf ein Telefon, kann er Nachrichten lesen, bevor WhatsApp oder Signal auch nur die Chance bekommen, sie zu verschlüsseln. In einem solchen Fall ist aber jede einzelne App auf dem Telefon unsicher, nicht nur der Messenger.
Die CIA kann Nachrichten lesen, bevor WhatsApp oder Signal auch nur die Chance bekommen, sie zu verschlüsseln
Doch Einbrüche dieser Art laufen zielgerichtet ab. Sie benötigen ein gewisses Maß an Planung und Aufwand – und lohnen sich nur in bestimmten Fällen. Deswegen gilt noch immer: Verschlüsselung macht es Geheimdiensten wie der NSA oft so gut wie unmöglich, massenhaft private Nachrichten auszulesen. Gerade deswegen gehen Sicherheitsbehörden weltweit zusehends dazu über, in die Endgeräte einzubrechen, um die Schutzmechanismen der Messenger zu umgehen. Der Verschlüsselungs- und Sicherheitsexperte Matt Blaze gibt deshalb auf Twitter scherzhaft den Tipp: „Don’t become a CIA Target“ – werde nicht zum Ziel der CIA.
Das mag Normalverbraucher erst einmal beruhigen, gleichzeitig sollte man die Vault-7-Leaks aber nicht verharmlosen. Jede Person kann theoretisch zum Ziel der CIA-Hacker werden und ihr Waffenarsenal scheint beträchtlich zu sein. Ein eigenes Einsatzteam soll sogar von Frankfurt aus operieren.
Auch deutsche Behörden arbeiten an entsprechenden Technologien – die zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis) etwa soll sie im Auftrag von Verfassungsschutz und Polizei entwickeln. Auch der BND hat in den kommenden Jahren rund 150 Millionen Euro aus dem Bundeshaushalt zur Verfügung, um das hauseigene Projekt ANISKI aufzubauen, das die Verschlüsselung von Instant-Messengern knacken soll.
Die Technologie, um in Endgeräte einzubrechen, wird stetig weiterentwickelt und kommt auch von deutschen Firmen, die Spyware herstellen, etwa Gamma International. Diese Praxis pflegen also nicht nur die Amerikaner, sie ist längst weltweit zum Problem für die Bürgerrechte geworden.
„Meine E-Mails sind schon zweimal gehackt worden, dazu meine Social-Media-Accounts, regelmäßig schicken sie mir Dateien mit Malware, überwachen meine Unterhaltungen und fangen meine Nachrichten ab“, erzählt etwa der saudische Menschenrechtsaktivist Ahmed Mansoor gegenüber WIRED. Das CitizenLab, das an der Universität Toronto an der Schnittstelle zwischen Technologie und Menschenrechten forscht, bestätigt: Gerade gibt es eine regelrechte Welle von Hacker-Angriffen auf Bürgerrechtler. Dazu gehören etwa die so genannten Nile-Phish-Hacks gegen NGOs in Ägypten. Ein anderer Fall betrifft mexikanische Gesundheitsaktivisten, die für eine höhere Besteuerung von Softdrinks wie Coca Cola kämpfen. Mit infizierten SMS, berichtet das Citizen Lab, sollten ihre Handys kompromittiert werden.
