Backdoor – auf Deutsch „Hintertür“ – wird als versteckte Möglichkeit, etwas auf nicht ganz einwandfreien Wegen und Umwegen zu erreichen, definiert. Dabei geht es in der technischen Welt um eine Möglichkeit, sichere Formen des Zugriffsschutzes oder der Vertraulichkeit zu umgehen, indem eine alternative Zugangsmethode software- oder hardwarebasiert implementiert wird.
Single Point of failure
Viele Formen von herstellerseitigen Backdoors wurden aus Gründen der Produktivitätssteigerung eingebaut, um zum Beispiel über einen Fernzugriff per „Service-Eingang“ Kunden bei technischen Problemen zu helfen oder über Universellpasswörter Zugang zu Systemen herzustellen, bei denen Passwörter verloren gingen. Generell sind jegliche universellen Backdoors in vielen Fällen ein Sicherheitsrisiko, soweit die vorhandenen Sicherheitsmechanismen durch die Kenntnis des geheimen Zugangs umgehbar sind und sich daher ungeachtet dessen ein single point of failure ergibt. So können Backdoors letztendlich ein initialer Angriffsvektor sein, der es Angreifern auf einer Masse von Geräten ermöglicht, Zugang zu weiteren Angriffsflächen auf einem Betriebssystem oder in einem Netzwerk zu erhalten.
Backdoors als politisches Instrument
Ein etwas anderer, aber sehr viel spannenderer Blickwinkel ist der Politische. Es gibt immer wieder Befürchtungen von Ermittlern im Zuge der immer weitreichender aufgebauten Verschlüsselung Verdächtige nicht mehr überwachen zu können. Das lässt sich unter anderem auch an den ständigen Bemühungen und initiierten Diskussionen der Ermittlungsbehörden über sogenannte “Front Doors” feststellen. So forderte zum Beispiel das BKA, WhatsApp & Co. müssten verpflichtet werden, eine „Überwachungskopie“ unverschlüsselt herauszugeben. Darüber hinaus forderten die Five-Eyes- Staaten (USA, Großbritannien, Kanada, Australien und Neuseeland) mit Japan und Indien die Digitalwirtschaft auf, sogar komplett auf Ende-zu-Ende Verschlüsslung zu verzichten.
Die Debatte über Front-Doors und rechtmäßige Überwachung wird aber auch gerne geführt, um von den intransparenten und teils schon bösartigen Backdoors von staatlichen Akteuren abzulenken. Beispiel dafür, in denen das auch noch absolut fehlschlug, gibt es genug. Ein sehr bekannter Fall ist die NSA und die Standardisierung einer Ciphersuite. So hat die Security-Firma RSA von der NSA 10 Millionen US-Dollar dafür bekommen, den Zufallszahlengenerator Dual_EC_DRBG in die Kryptobibliothek BSafe einzubauen. Seit Snowden ist bekannt, dass die NSA 250 Millionen US-Dollar pro Jahr dafür ausgibt, Hintertüren in Soft- und Hardware zu implementieren. Die 10 Millionen waren gut investiert, denn RSA verkaufte über Jahre wissentlich diese Kryptobibliothek mit dieser Hintertür, die deren Kunden dann wiederum in ihre Produkte einbauten.
Die Gefahr solcher staatlichen Backdoors zeigt ein Fall von Google. Der Konzern musste 2010 zugeben, dass Hacker in den Mail-Dienst Gmail eingebrochen waren. In den Medien ging man davon aus, dass es sich dabei um chinesische Hacker handelte, die mit politischem Auftrag unterwegs waren. Weniger bekannt ist, dass diese Hacker eine sehr spezielle Methode nutzten, um den auch im Google-Netz nicht ohne weiteres möglichen Zugang zu Gmail-Konten zu erlangen: Sie nutzten dazu eine Hintertür, die Google nur für den staatlich legitimierten Zugriff auf E-Mails, so genannte “Lawful Interception”, unter anderem durch Strafverfolgungsbehörden eingebaut hatte.
Cloud Computing birgt neue Herausforderungen
Im Beispiel einer IaaS-Umgebung (Infrastructure as a Service) könnte sich eine Cloud Backdoor auf eine Malware beziehen, die den Zugang zu einer entfernten virtuellen Umgebung ermöglicht, welche von einem IaaS-Provider gehostet wird. Das bedeutet eine direkte Hintertür in der jeweiligen Cloud- Umgebung.
Für einen SaaS (Software as a Service) sieht das anders aus. Hier bezieht sich der Begriff Cloud Backdoor eher auf eine schädliche Komponente, die die Cloud nutzt, um sich einen versteckten Zugang zu einem Unternehmen zu verschaffen.
Die Dimensionen von Backdoors sind damit noch lange nicht ganz aufgefasst, doch zeigt sich in welchen Bereichen Backdoors überall eine Rolle spielen und wie gefährlich sie sein können, egal ob bewusst implementiert oder heimlich eingeschleust.
Foto von Steve Johnson von Pexels