Das Elend der offenen Türen

Der US-amerikanische Netzausrüster Juniper Networks erregte im Dezember letzten Jahres Aufsehen mit der Meldung, er habe bei einer Prüfung „nicht autorisierten“ Code in einigen Versionen seines Betriebssystems ScreenOS gefunden. Eine dadurch eingebaute Hintertür habe Angreifern sämtlichen verschlüsselten Datenverkehr in Juniper-Appliances preisgegeben. Das Unternehmen stellte sofort Aktualisierungen für alle betroffenen Softwareversionen bereit und riet Administratoren, sie umgehend einzuspielen.

Für das Vorgehen gab es Lob: Eine rasche Reaktion, das Offenlegen der wesentlichen Informationen sowie die Absicht, alle Umstände des Falls von Spezialisten aufdecken zu lassen, galten als vorbildlich beim Umgang mit einer Sicherheitslücke dieser Tragweite. Schließlich hängt gerade bei Security-Produkten der gute Ruf des Unternehmens an Offenheit und Aufrichtigkeit. Doch das war nur der Anfang der Geschichte.

Der Hersteller musste gleich zwei Sicherheitslücken eingestehen, eine Hintertür mit einprogrammiertem Master-Passwort, die man per SSH und Telnet öffnen konnte, und eine Möglichkeit zum Mitlesen des verschlüsselten VPN-Datenverkehrs. Tatsächlich handelte es sich bei Ersterer nicht um den ominösen „unautorisierten“ Code, sondern um einen womöglich übersehenen Zugang für den Support.

Besonders die zweite Lücke hat es in sich: Den fragwürdigen Zufallszahlengenerator Dual_EC_DRBG verwendete Juniper schon lange in seinem Betriebssystem. Als seinerzeit bekannt wurde, dass er eine Hintertür der NSA enthält, berief sich die Firma darauf, einen Parameter geändert zu haben, der diese wieder schließen sollte, und nutzte die Software weiterhin, was sich als fataler Fehler erweisen sollte. Irgendwann 2013 ist dieser entscheidende Parameter im Quellcode des Betriebssystems erneut geändert und damit die vermeintlich geschlossene NSA-Backdoor wieder geöffnet worden – von wem auch immer, jedenfalls von einem Eindringling ins Entwicklernetz. Damit war durch Kombinieren mehrerer Schwachstellen der Zugang zu Juniper-Geräten und ihrem verschlüsselten Datenverkehr geöffnet.

Nach dem Fund des nicht autorisierten Codes entschloss sich Juniper endlich, den Zufallszahlengenerator zu entfernen. Dieses späte Eingeständnis zeigt die aussichtslose Lage, in der IT-Unternehmen heute stecken: Behörden nötigen sie zum Einbauen von Backdoors, staatliche Organisationen infiltrieren Algorithmen mit Schwachstellen, Geheimdienste und Hacker greifen Produkte und Firmennetze an und platzieren Schadcode. Die notwendige und zu Recht gelobte Offenheit beim Umgang mit Sicherheitsvorfällen hilft kaum noch, den guten Ruf der Firma zu verteidigen.

Wer mag, darf endlos darüber streiten, ob Geheimdienste (auch „unter Freunden“) samt den sie beauftragenden Staaten nun zu den Guten gehören und China oder Russland zu den Bösen. Angesichts der massenhaft ausspionierten Daten bei Juniper-Kunden in aller Welt wäre das ohnehin eine sinnlose Debatte, denn den Schaden hat immer derjenige, der sich notgedrungen auf seine IT-Infrastruktur verlässt.

Eine absurde Fußnote dieser Affäre: Weil auch viele US-amerikanische Behörden Juniper-Hardware einsetzen, untersucht mittlerweile das FBI das Sicherheits-Desaster, das mit tatkräftiger Unterstützung der NSA zustande gekommen ist. Angesichts der vielen Experten, die inzwischen Juniper-Code analysieren, dürften dessen Lücken demnächst geschlossen sein. Die der Mitbewerber stehen aber weiterhin sperrangelweit offen, wie Edward Snowden ganz richtig auf Twitter anmerkte. Den Beschwichtigungen von Mitbewerbern wie Cisco sollte man besser nicht glauben.

IT-Sicherheit ist mittlerweile zu einem andauernden Albtraum geworden, aus dem es kein Erwachen gibt. Wehren muss man sich trotzdem: Die Suche von Security-Experten nach Schwachstellen und das schnelle Einspielen von Patches durch Administratoren sind die Pflicht – die Kür ist eine gesellschaftliche Debatte darüber, ob man ohnehin fehleranfällige Software durch verordnete Hintertüren noch weiter durchlöchern möchte.

Niemand, der Sicherheitsprodukte einsetzt, will darin Hintertüren haben. Sie sind und bleiben eine miserable Idee, denn es gibt nur Türen mit Schlössern und Leute, die sie knacken. Wer zuerst kommt, spioniert zuerst.

Tilman Wittenhorst