Facebook’s CSO: Sicherheitsspezialisten müssen damit anfangen, echte Sicherheitsprobleme zu lösen und ausgefallenere vermeiden

Alex Stamos von Facebook erklärt, warum die Informationssicherheitsindustrie falsche Prioritäten setzt und was dagegen getan werden sollte.

Beim Eröffnungsvortrag auf der Konferenz Black Hat 2017 sprach Alex Stamos, Facebook’s Chief Security Officer, über die Vermeidung aktueller Schäden und die Bereitschaft Kompromisse einzugehen – Dinge, die für einen Spezialisten der Informationssicherheit eigentlich selbstverständlich sein sollten. Und dieser CSO bei Facebook hat es drauf: Sein Team hat ein sehr komplexes IT-System und die Daten von 2 Billionen Usern geschützt.

Stamos zufolge, leidet die Sicherheitsindustrie unter einer Vielzahl pubertärer Probleme, und der Nihilismus ist eines der Größten. In anderen Worten: Spezialisten bevorzugen es sich auf ausgefallene und technisch komplexere Sicherheitsprobleme und Schwachstellen zu konzentrieren, anstatt auf die Probleme, die richtige Schäden verursachen und eine Vielzahl von Personen gefährden könnten. Diese Spezialisten wollen tendenziell lieber keine Kompromisse eingehen und machen die Informationssicherheit zu ihrem einzigen Ziel. Gleichzeitig gehen sie das Risiko ein, dass jeder zum Opfer gefährlicher Attacken werden kann.

Eines der bemerkenswertesten Beispiele, das uns Stamos geliefert hat, war das der angeblichen Hintertür des Instant-Messaging-Dienst WhatsApp, die eigentlich gar keine Hintertür war. Um die sichere Verschlüsselung für 1 Billionen WhatsApp User verfügbar zu machen, hat das Entwicklerteam eine vernünftige Entscheidung darüber getroffen, wie Chatpartner informiert werden, dass einer der beiden gerade einen neuen Kodierungsschlüssel erhalten hat. Im Chat erscheint eine zusätzliche Benachrichtigung und es ist keine weitere Handlung seitens der Chatpartner nötig, um die Unterhaltung fortzusetzen.

Informationssicherheitsnihilisten gingen davon aus, dass es sich hierbei um eine Hintertür handelte, die für Spezialdienste entworfen wurde, um den Chat anzugreifen und Zugang zum Gesprächsverlauf zu erhalten. Das Ziel ist allerdings das genaue Gegenteil, indem erlaubt wird Unterhaltungen weiterzuführen, nachdem einer der Gesprächspartner sein Smartphone gewechselt oder WhatsApp neu installiert hat.

Das Beispiel WhatsApp vereint all diese nihilistischen Aspekte: davon auszugehen, dass alle User das Verschlüsselungssystem genau unter die Lupe nehmen sollten, dass Kodierungsschlüssel der Gesprächspartner verglichen werden sollten und das jeder User von einem Spezialdienst beobachtet wird, der den Internetverkehr der User mit einer komplexen Variation einer Man-In-The-Middel-Attacke angreifen wird – damit wird das Maß an Paranoia zweifellos überschritten!

Die Aufmerksamkeit, die Spezialisten den komplexesten Attacken und arbeitsaufwendigsten Sicherheitsmaßnahmen schenken, lenkt sie von Problemen ab, die wirklichen Schaden anrichten. Stamos präsentierte das Diagramm einer „Bedrohungspyramide“ mit einem kaum wahrnehmbaren Punkt an der Spitze, der die Zero-Day-Schwachstellen und komplexe, staatlich geförderte Attacken darstellt. Der Rest der Pyramide besteht aus „alltäglichen“ Problemen, die mit dem Diebstahl von Passwörtern und persönlichen Daten (Bankdaten eingeschlossen), Phishing, finanziellen Bedrohungen und Social Engineering zu tun haben.

Stamos empfiehlt nicht vor Kompromissen zurückzuschrecken, wenn es darum geht, diese Probleme zu lösen. Wenn eine Lösung nicht perfekt oder nur teilweise effektiv ist, aber von 10-mal mehr Leuten genutzt wird, ist sie immer noch besser als eine Lösung, die ausschließlich den fortgeschrittensten Usern Schutz bietet und den Rest komplett außen vor lässt.

Kluge Köpfe denken ähnlich; deshalb haben wir diese Ratschläge bereits vor Stamos Vortrag befolgt. Mit unserer kostenlosen Version von Kaspersky Internet Security für Android zum Beispiel, schützen wir Billionen von Usern, die im nächsten Jahrzehnt Teil der Internetbevölkerung sein werden und hauptsächlich mobile Geräte nutzen werden.

Tipps