zurück zur Übersicht

Secret-Service Laptop Diebstahl: Hype um das verschlüsselte Nichts

Mehreren Nachrichtenagenturen zufolge wurde am Donnerstag ein Laptop mit angeblich sensiblen Informationen einer Agentin des Secret Service aus ihrem vor dem Haus geparkten Fahrzeug im New Yorker Stadtteil Brooklyn gestohlen.

Fluchtplan aus dem Trump Tower

Der amerikanische Secret Service ist unter anderem für die Sicherheit des Präsidenten zuständig. Auf diesem speziellen Laptop sollen sich unter anderem die Fluchtpläne für die Familie des US-Präsidenten aus dem Trump Tower befinden. Der Secret Service hat den Diebstahl in einem offiziellen Statement bestätigt.

Secret Service Laptop gestohlen, dürfte aber ohnehin nichts drauf sein. Und das auch noch verschlüsselt.
Abbildung 1: Offizielles Statement des Secret Service

 

Das Statement weist darauf hin, dass auf den Laptops eigentlich keine sensiblen Daten gespeichert werden dürfen. Unabhängig davon, ob das in diesem Fall zutrifft, sollte das die Sicherheit der eventuell auf dem Laptop gespeicherten Daten nicht gefährden. Sofern auf dem Laptop  ̶  wie vom Secret Service angegeben – mehrere Sicherheitsebenen implementiert wurden, unter anderem eine Festplattenvollverschlüsselung, sind die Chancen der Diebe, auf die Daten des Gerätes zugreifen zu können, gleich Null.

Verschlüsselung nach allen Regeln der Kunst

Aktuelle Verschlüsselungslösungen setzen auf zertifizierte und sichere Standards wie zum Beispiel den von den Vereinigten Staaten bekanntgegebenen Standard FIPS 140-2 oder den international anerkannten Standard der Common Criteria (kurz CC) EAL 3+. Gängige Lösungen sehen beispielsweise eine Verschlüsselung mit AES 256 (AES= Advanced Encryption Standard) oder größeren Schlüssellängen vor. Diese Chiffrierung ist auch nach der Policy des Committee on National Security Systems für Dokumente der höchsten Geheimhaltungsstufe vorgeschrieben.

Ziemlich teure Entschlüsselung

Das AES Verschlüsselungsverfahren gilt bis heute als sicher. Stellt man eine hypothetische Rechnung zum Bau eines Computers auf, um AES zu entschlüsseln, ergäben sich folgende Eckdaten:

  • Kosten: ca. 1 Billionen US-Dollar
  • Produktionsdauer: 83 Jahre
  • Stromverbrauch: 4 TW
  • CPUs: 3×1010
  • Speicher: 3×1010 Festplatten mit je 10 TB

In Anbetracht dieser Daten ist eine Entschlüsselung praktisch unmöglich.

Es sei denn, man investiert absurd viel Geld – und Geduld.

Einfacher und effektiver Schutz

Die Implementierung solcher Systeme zur Festplattenverschlüsselung und damit Absicherung ist mit vergleichsweise geringem Aufwand verbunden. Mit modernen Prozessoren und schnellen SSD-Speichern in aktuellen Laptops lassen sich die damit verbundenen Geschwindigkeitsnachteile minimieren und normales, sicheres Arbeiten und Abspeichern von sensiblen Daten ermöglichen.

Würde man allerdings auf eine Verschlüsselung der Systeme verzichten, so könnte auch in Deutschland ein Diebstahl von sensiblen Informationen katastrophale Folgen haben. Nicht auszudenken wenn sensible Informationen deutscher Geheimdienste oder beispielsweise von Personenschützern der Bundesregierung abhandenkämen. Auch in der freien Wirtschaft können die Auswirkungen erhebliche Folgen bis hin zum vollständigen Reputationsverlust für ein Unternehmen haben.

In Zeiten immer gezielterer Angriffe auf Unternehmen ist eine Absicherung in mehreren Ebenen (bspw. durch Verschlüsselung) aller informationstechnischen Geräte mit höchster Priorität und Gewissenhaftigkeit durchzuführen. Selbst Unternehmen mit einer, nennen wir es „reaktionären“ Einstellung zur Security machen es Dieben in der Regel nicht so leicht, an Unternehmensdaten zu kommen.

Weshalb aus der „Laptop-Affäre“ eine ganze Tirade von Newsartikeln gemacht wird, dürfte wohl das Geheimnis US-amerikanischer Medien bleiben. Bis zum nächsten Sommerloch ist eigentlich noch etwas Zeit.

Alternative Fakten, bzw. Vorschläge

Nachdem den Dieben also sehr schnell klar werden wird, dass Sie nicht an die Daten kommen können (die laut Secret Service ohnhin nicht da sein dürften), haben sie damit vielleicht bald etwas anderes im Sinn?

Unser Vorschlag ist (neben dem schnellen zurückgeben des Diebesgutes) zum Beispiel der Bau eines smarten Spiegels.

Das liegt gerade im Trend. Hier mal eine Anleitung: https://glancr.de/smart-mirror-selbst-bauen/

 


Quellen:

Presserelease SecretService:
https://www.secretservice.gov/data/press/releases/2017/17-MAR/GPA-08-17-New-York-Stolen-Laptop.pdf

FIPS Requirements und Standard kryptographischer Module
http://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.140-2.pdf

Zertifizierung des BSI nach dem CC EAL Standard
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zertifizierung/7148_pdf.pdf?__blob=publicationFile

Betrachtung einer hypothetischen Entschlüsselung von AES.
https://eprint.iacr.org/2009/317.pdf

CNSS Policy No. 15, Fact Sheet No. 1. des Committee on National Security Systems
http://csrc.nist.gov/groups/ST/toolkit/documents/aes/CNSS15FS.pdf

 

 

Schreibe einen Kommentar