Geheimdienste schneiden den unverschlüsselten Teil des weltweiten Internetverkehrs mit. Indizien sprechen dafür, dass sie manchmal auch noch viel weiter gehen. Was müsste man theoretisch alles unternehmen, wenn man mit dem Schlimmsten rechnet? Wir malen schwarz.
Im Rahmen der Snowden-Enthüllungen stellte sich unter anderem heraus, dass die NSA durch die Hintertür gezielt auf Smartphones aller gängigen Hersteller zugreifen kann. Da die wichtigsten IT-Unternehmen ihren Sitz in Nordamerika haben, ist es für die dort ansässigen Dienste nicht weiter schwer, die relevanten Hersteller zum Einbau entsprechender „Schnittstellen“ zu zwingen. Wie halten Sie nun jedwede Art von staatlichen Trojanern aus Ihrer Privatsphäre heraus? Es folgt ein Crashkurs für Paranoiker.
Gedankenspiel
Dieser Artikel entstand unter der Prämisse „Was wäre, wenn?“ und malt eine Art Worst-Case-Szenario. Es gibt aktuell keinen Anlass anzunehmen, dass es in Android oder irgendeiner der Google-Apps eine bewusst eingebaute Backdoor gibt. Die Redaktion sieht keinerlei akuten Grund zur Besorgnis bei der Nutzung von Android gegenüber anderen (mobilen) Betriebssystemen.
Vergiftetes Herz
Das eigentliche Android-Betriebssystem (AOSP) ist Open-Source, sodass an dieser Stelle eingebaute Hintertüren vermutlich von der weltweiten Community entdeckt werden würden. Deswegen gilt es als unwahrscheinlich, dass die NSA darin einen Staatstrojaner platziert hat. Manche Sicherheitsexperten spekulieren, dass sich eine Backdoor in den Closed-Source-Apps von Google (beispielsweise in Gmail oder Google Play) verstecken könnte. Um diese zu umgehen, wäre es ausreichend, CyanogenMod [1] auf das Handy zu flashen und keine Google-Apps nachzuinstallieren. Doch vermutlich platzieren die Geheimdienste ihre Horchposten noch eine Ebene tiefer: So könnten sie sich zunutze machen, dass die Hersteller von Smartphones das quelloffene Android-Betriebssystem um Treiber ergänzen müssen, damit das System weiß, wie es die einzelnen Hardwarekomponenten ansprechen soll. Aufgrund von Patenten liegen jedoch gerade bei GPS- und WLAN-Modulen die Quelltexte meist nicht offen und gäben damit ein ideales Versteck für Hintertüren ab. Da auch wichtige Treiberhersteller (beispielsweise Qualcomm) ihren Sitz in den USA haben, könnten diese im Geheimen zum Einbau einer NSA-Schnittstelle innerhalb des Treibers gezwungen worden sein. Dementsprechend verbietet es sich für Paranoide, CyanogenMod einzusetzen. Dieses verwendet nämlich immer dann, wenn es keine quelloffenen Alternativen gibt, die Originaltreiber der Hersteller.
Sicherer ist diesbezüglich das Custom-ROM Replicant [2]. Wenn für irgendein Hardwaremodul keine quelloffene Ansteuerungssoftware existiert, dann wird der entsprechende Treiber einfach nicht „eingebaut“. Dies hat zur Folge, dass auf praktisch allen Handys mit Replicant-ROM sowohl das GPS-Modul als auch der WLAN-Empfänger nicht mehr funktionieren. Für die restliche verbaute Hardware gilt dies jedoch nicht, sodass man immer noch telefonieren, fotografieren und via 3G im Internet surfen kann.
Sollte man zur Absicherung nun ein komplettes Replicant-Image herunterladen und auf das eigene Smartphone flashen? Theoretisch besteht die Gefahr, dass dieses böswilligerweise nicht mit den veröffentlichten und geprüften Quelltexten übereinstimmt. Zur Sicherheit müsste man also stattdessen die Replicant-Sourcecodes herunterladen und selber kompilieren. Eine entsprechende Anleitung für technisch Versierte findet sich unter [3]. Wer Android komplett aus dem AOSP-Quellcode bauen will, findet unter [4] eine detaillierte Anleitung für das Nexus 5.
Hat man dann nach etwas Arbeits- und Zeitaufwand das fertige Image-File vorliegen, darf man es nicht mit dem nächstbesten Closed-Source-Flasher auf das Smartphone übertragen – schließlich könnte auch dieser Böses im Schilde führen. Der Flash-Vorgang müsste also ebenfalls mittels einer Open-Source-Software erfolgen (ein Beispiel hierfür ist Heimdall [5]).
Apps
Wie kommen nun Apps auf das zukünftige High-Security-Handy? Da der Google Play Store tabu ist, muss man nach anderen Quellen suchen. Zwar existieren eine Vielzahl alternativer App-Stores unterschiedlichster Hersteller, doch ist bei diesen mindestens genauso unklar wie beim Google-Original, was intern geschieht. Am ehesten einen Gedanken wert ist F-Droid [5], da dieser Store ausschließlich Apps aufnimmt, deren Quellcode öffentlich verfügbar (und somit nachkontrollierbar) ist. Jedoch sollte man auch dann nur weit verbreitete Programme nutzen, denn nur bei diesen kann man davon ausgehen, dass fähige Menschen den Quellcode der Software auf Ungereimtheiten kontrolliert haben. Listen weit verbreiteter Open-Source-Apps für allerlei Einsatzzwecke findet man unter [6] und [7].
Aber selbst diese dürfen Paranoiker nicht direkt über F-Droid installieren: Schließlich wäre es theoretisch möglich, dass die bereitgestellten APKs nicht (wie von den F-Droid-Unterstützern behauptet) aus den veröffentlichten Quellcodes gebaut wurden, sondern in Wirklichkeit zusätzlich einkompilierte Hintertürchen enthalten. Deswegen müsste man den Sourcecode der gewünschten Apps selber auf einem (Linux-)Rechner kompilieren und anschließend die daraus resultierenden APK-Dateien von Hand auf sein Smartphone übertragen.
Übertrieben?
Doch muss man sich diese ganze Arbeit überhaupt antun, wenn man für die Geheimdienste nur ein uninteressanter, ungefährlicher Nobody ist? Wahrscheinlich reicht es in diesem Fall aus, den eigenen E-Mail-Verkehr mit vertrauenswürdigen Apps Ende-zu-Ende zu verschlüsseln. Dass die großen Industriestaaten (nicht nur die angloamerikanischen, sondern auch Russland, China und andere) den globalen E-Mail-Verkehr so gut wie möglich mitschneiden, gilt als sicher. Möglicherweise speichern sie auch die Mails von jedermann über viele Jahre. Schließlich könnte theoretisch jeder irgendwann einmal in eine verantwortungsvolle Position aufsteigen. Und dann ist es für fremde Staaten von Vorteil, die privaten E-Mails der letzten 20 Jahre zu durchforsten.
Muss man aber so weit gehen, wie in diesem Artikel beschrieben? Möglicherweise nicht. Auf die Betriebssystem-Backdoors haben – wenn überhaupt – nur Geheimdienste Zugriff. Anders als beim massiven weltweiten Aufzeichnen von unverschlüsselten E-Mails erfolgt hier ein Direktzugriff aufs Handy nur bei momentan relevanten Zielpersonen und nicht als Generalüberwachung. Es ist sehr unwahrscheinlich, dass die NSA via Backdoor auf Millionen von Handys die PGP-Private-Keys stiehlt.
Anders sieht es jedoch aus, wenn Sie für die NSA oder einen beliebigen Geheimdienst als Zielperson interessant sind, weil Sie Zugang zu Zielen der Wirtschaftsspionage haben oder einen VPN-Zugang zu einem ITK-Unternehmen besitzen. Dann sollten Sie darüber nachdenken, ob das in diesem Artikel beschriebene paranoide Szenario nicht doch realistisch ist. In allen anderen Fällen sollte es genügen, sich durch entsprechende Verschlüsselungs-Apps und sichere Android-Einstellungen abzusichern, die in den restlichen Artikeln unserer aktuellen Fokus-Strecke beschrieben sind.
