Ob es nun ein Geheimdienst ist oder ein Mitarbeiter, das Unternehmen ist für seinen Code verantwortlich und hätte bessere, stärkere Kontrollen durchführen müssen.
Glaubt man dem Bericht und es sind wirklich ein Großteil der US Behörden betroffen, stärkt das natürlich den Verdachte, dass kein US Geheimdienst, sondern eher ein US-ausländischer Geheimdienst dahinter steckt. Für die Aluhut-Fraktion könnte es natürlich auch ein Inside Job gewesen sein.
Ich würde allerdings auch nicht ausschließen, dass auch andere Mitwettbewerber wie Cisco oder HP dahinter stecken könnten. Zu den großen Netzwerkausstattern gehören eigentlich nur Huawei, Cisco, HP und Juniper. Wird Junipers Ruf in den Schmutz gezogen, würde das die Stellung von Cisco und HP Enterprise enorm stärken. Huawei als Chinesisches Unternehmen dürfte wohl kaum für US Behörden bzw. Unternehmen in Frage kommen. Gerade Cisco könnte daran ein besonderes Interesse haben, denn allein in 1993 bis 2000 hat es circa 25% Marktanteil quasi ausschließlich an Juniper verloren.
Zu
heise:
Debatte um Hintertüren
Die Enthüllung des Schadcodes folgt nun Wochen auf eine Entscheidung von US-Präsident Obama gegen staatlich vorgeschriebene und absichtlich in Software eingebaute Hintertüren. Vertreter der Sicherheitsbehörden fordern sie trotzdem weiter, um auch in Zeiten einer immer weiteren Verbreitung von Ende-zu-Ende-Verschlüsselung und ähnlicher Schutzmaßnahmen, gegebenenfalls auf alle Inhalte zugreifen zu können. Kritiker dieses Ansinnens weisen immer wieder darauf hin, dass Hintertüren jedem offen stehen, nicht nur dem, der sie in Auftrag gegeben hat. Deswegen gefährdeten sie die Sicherheit aller, die derart geschwächte Produkte nutzen.
Das hängt natürlich mit der Konzeption der Hintertürchen bzw. am Design der Crypto zusammen. Pauschal ist die Aussage kompletter Unsinn und zeugt von Unkenntnis der Beteiligten.
Man kann Hintertüren so gestalten, dass sie nur einem ausgewählten Nutzerkreis zur Verfügung stehen und von Dritten selbst unter Einsatz enormer Kapazitäten nicht genutzt werden können. Technisch kann man Verschlüsselung so designen, dass sie sich mittels zweier (oder beliebig vieler) Schlüssel entschlüsseln lässt, gleichzeitig kann die Verschlüsselung derart komplex gestaltet werden, dass Angriffe Dritter trotz Vorhandensein mehrerer gültiger Schlüssel keine Chance haben.
Bestes Beispiel sollte Apple mit seinen verschlüsselten iPhones sein. Daran haben sich schon diverse Behörden die Zähne ausgebissen und mussten schließlich feststellen, dass ihre Angriffe auf die Crypto ins Leere führen. Gleichzeitig ist es für Apple selbst kein Problem verschlüsselte iPhones wieder zu entschlüsseln, ohne die Keys/ Passwörter der Nutzer zu kennen.
In sofern kann man nicht pauschal sagen, dass Hintertüren
jedem offen stehen. Das mag zwar unter u.U. zutreffen, nämlich dann, wenn die Hintertür schlecht designed wurde, aber bei richtiger Implementierung ist auch eine Hintertür eine sichere Absperrung.
tl;dr Vergleiche eine Hintertür mit einem zweiten Hauseingang. Man kann entweder einen offenen Eingang bauen oder man kann auch den zweiten Eingang mit einer Panzertür sichern. Nur weil es eine zweite Tür gibt, heißt das nicht pauschal, dass sie jeder nutzen kann.
Ich will damit sicher nicht das Vorhandensein von Hintertüren verteidigen oder legitimieren. Es geht mir nur um den Fakt, dass eine Hintertür nicht zwangsweise von jedem genutzt werden kann.
