Im konkreten Fall war das Backup des Attentäters wohl nicht aktuell, so dass dieser Weg nicht weiterhalf. Tim Cook von Apple sagte stattdessen, das FBI wolle eine Sache, die sie schlicht nicht haben – vermutlich den Schlüssel – und eine zweite Sache, die sie für gefährlich halten. Was war zweitere?
Da ging es um das Passwort für die Verschlüsselung: das hätte das FBI eventuell durch Ausprobieren vieler Varianten knacken können. Allerdings gibt es einen Sicherheitsmechanismus im iPhone: mit jedem Fehlversuch braucht es länger, bis ein neuer Versuch akzeptiert wird. Und Nutzer können zudem eine weitere Sicherheitsstufe einschalten: nach zehn Fehlversuchen löschen sich die Inhalte komplett. Das FBI wollte, dass Apple diesen Mechanismus ausschaltet. Vermutlich haben die Hacker nun aber einfach eine Sicherheitslücke im Betriebssystem gefunden.
Hätte Apple den Programmcode seines Betriebssystems öffentlich gemacht – wäre dann die Chance größer gewesen, solche Lücken vor den Hackern zu entdecken?
Dieses öffentliche zur Verfügung stellen des Codes hilft auf jeden Fall dramatisch bei der Sicherheit, weil dieser durch externe Experten überprüft werden kann.
Werden so auch die viel zitierten Hintertüren entdeckt?
Selbst wenn der Code offen ist, gibt es keine Garantie, dass es keine Hintertür gibt. Es gibt leider keine perfekt funktionierende Möglichkeit, einen Code automatisch auf Schwachstellen zu prüfen. Nur als Beispiel: Microsoft Windows besteht aus fast 100 Millionen Zeilen Programmcode. Man kann manchmal nur fünf Zeilen anschauen, und man findet das Problem immer noch nicht. Aber es nutzt natürlich trotzdem zur Abschreckung: Wer würde sich trauen, einen Programmcode zu veröffentlichen, in den er eine heimliche Hintertür eingebaut hat? Die Gefahr besteht, entdeckt zu werden, auch wenn es aufwendig ist.
Whatsapp hat den Quellcode seiner Verschlüsselung nicht offen gelegt. Haben die etwas zu verbergen?
Das muss nicht sein. Viele Unternehmen weigern sich, weil sie den Quellcode als ihr Betriebsgeheimnis betrachten. Das finde ich verständlich – gerade bei kleinen und mittleren Unternehmen ist das tatsächlich riskant, schließlich gibt es viele Nachahmer.