Den US-Strafverfolgungsbehörden ist es ein Dorn im Auge, dass sie nicht mit Leichtigkeit in alle Systeme eindringen können. Ein neues Gesetz, das derzeit in den USA diskutiert wird, soll das ändern: Mit EARN IT sollen künftig über Umwege Unternehmen bestraft werden können, die ein zu hohes Sicherheitsniveau garantieren. Das betrifft nicht nur die USA, sondern alle Kunden von US-Tech-Firmen.

Der US-Generalstaatsanwalt William Barr fordert immer wieder, dass Unternehmen ihre Sicherheit mutwillig verringern. So soll etwa Facebook seine Verschlüsselung abschwächen müssen, damit das Justizministerium die Gespräche seiner rund 2,5 Milliarden Nutzer leichter überwachen kann.

Dem widerspricht aber nun US-Senator Ron Wyden von der Demokratischen Partei vehement. "Der Kongress und das amerikanische Volk müssen die ernsthaften nationalen Sicherheitsrisiken verstehen, die mit einer Schwächung der Verschlüsselung verbunden sind, die die persönlichen Daten der Amerikaner sowie die Regierungs- und Unternehmenssysteme schützt", sagte er zu 'Reuters'.

Anlass für die neuerliche Debatte ist ein Vorfall aus dem Jahr 2015, der wieder hochkocht. Damals war eine Backdoor im Betriebssystem von Juniper-Geräten entdeckt worden. Sie erlaubte es Angreifern, die Kontrolle über die Netscreen-Highend-Firewalls zu übernehmen und VPN-Verbindungen abzuhören.

Rasch wurden Stimmen laut, der betreffende Code sei vom US-Auslandsgeheimdienst NSA entworfen worden. Dies bestätigte schliesslich auch ein Kryptograph des US-NIST. Eine Untersuchung, die damals angekündigt worden war, wurde von Juniper und unabhängig davon auch vom FBI durchgeführt, aber nie öffentlich gemacht. Dies geht aus einem Brief hervor, den Senator Wyden mit weiteren hochrangigen US-Politikern an Juniper gesandt hat.

Darin wird nach den Resultaten der Untersuchung gefragt. Zudem weisen die Verfasser drauf hin, dass bis heute im Dunkeln bleibt, warum Juniper die Code-Zeilen in seine Systeme integriert hat und wer denn nun warum belauscht worden war.

Was die Politiker besonders ärgern dürfte: Offenbar hatten sich 2015 "Unbefugte" – also nicht US-Geheimdienste – über die Backdoor Zugang zu Systemen verschafft. Eine Expertengruppe vermutet, dass die Backdoor bereits seit 2008 in den Juniper-Produkten steckte und 2015 von diesen anderen Akteuren einfach modifiziert worden war. Das deutet auf ein generelles Problem hin: Wenn ein Staat solche Hintertüren einbaut, dann kann sie auch von anderen Akteuren ausgenutzt werden.

"Die Erfahrungen von Juniper könnten eine wertvolle Fallstudie über die Gefahren von Backdoors liefern und auch über die offensichtliche Leichtigkeit, mit der staatliche Backdoors von einem raffinierten Akteur verdeckt unterlaufen werden können", wird im Brief (PDF) gefolgert.