"Datensicherheit durch Kryptographie" - Interview mit Frank Hißen
Informatiker und IT-Security-Berater Frank Hißen im Interview über das Thema Kryptographie und wie Kryptographie hilft unsere Datensicherheit im privaten und beruflichen Alltag zu schützen.
(Original-Link nicht mehr verfügbar)
Das Interview führte Ceyhun Yakup Özkardes-Cheung.
Diplom-Informatiker Frank Hissen blickt auf über 25 Jahre Erfahrung im IT- und Entwicklungsbereich zurück. Er berät in IT-Projekten für Unternehmen aller Größen und speziell im Bereich Application Security sowie Kryptographie/Verschlüsselung.
„Was genau ist Kryptographie?“
Im eigentlichen, ursprünglichen Wortsinne bedeutet Kryptographie etwa „geheim schreiben“. Im Allgemeinen würde man von „Verschlüsselung“ sprechen. Heute ist die Disziplin der Kryptographie allerdings viel mehr, da Datensicherheit nicht alleine durch Verschlüsselung sichergestellt werden kann. Die Forschung der Kryptographie beschäftigt sich hauptsächlich mit den folgenden sogenannten Schutzzielen: Vertraulichkeit, Integrität, Authentizität, Verbindlichkeit.
Dies sind natürlich abstrakte Begriffe. Kurz erklärt:
- Verschlüsselung: Daten für Unberechtigte unlesbar machen;
- Integrität: Sicherstellung, dass Daten nicht unbemerkt verändert werden können;
- Authentizität: Sicherstellung des Absenders bzw. Inhabers von Daten;
- Verbindlichkeit: Nicht-Abstreitbarkeit eines Kommunikationsvorgangs;
Oftmals gehört noch die Sicherstellung einer zeitlichen Abfolge als weiteres Sicherheitsmerkmal dazu.
Ein einfaches Beispiel, warum Vertraulichkeit alleine nicht ausreicht, um Datensicherheit zu gewährleisten: Denken wir uns ein funktionierendes Verschlüsselungsverfahren, welches Vertraulichkeit bietet aber keine Integrität. Das würde bedeuten, auch wenn die Daten für einen Hacker unleserlich sind, könnte er diese dennoch erfolgreich verändern, so dass bei der Entschlüsselung, z.B. durch den Empfänger einer E-Mail, gefälschte Daten zum Vorschein kommen würden.
„Darf man Kryptographie und Datensicherheit als Synonym verwenden?“
Nein, um Datensicherheit zu gewährleisten benötigt man viele Sicherheitsmaßnahmen, Kryptographie ist dabei ein wichtiger Baustein. Aber auch Themen wie Systemdesign, Datenschutz und sichere Implementierungsstrategien spielen in der Praxis eine wesentliche Rolle.
Datensicherheit funktioniert nur im ganzheitlichen Ansatz. Das mag abgehoben klingen, ist aber eigentlich ganz einfach zu verstehen: Ein IT-System ist nur so sicher wie sein schwächstes Glied. Früher oder später finden Hacker immer die offene Lücke im System.
„Was für Mythen gibt es über die Kryptographie, die sich bereits schon lange halten in der Gesellschaft?“
Da gibt es leider sehr viele, was aber in der Natur der Sache liegt. Kryptographie ist ein komplexes Themenfeld, selbst der allgemein Informatiker hat hier oft falsche Vorstellungen. Kryptographische Verfahren können nur von erfahrenen Experten entwickelt und umgesetzt werden. Selbst diese beiden Vorgehen werden in der Regel von verschiedenen Rollen ausgefüllt.
In der Politik kommt es beispielsweise immer wieder zur Diskussion um Backdoors in kryptographischen Produkten und deren Umsetzbarkeit. Gerade in den USA kämpft der sehr bekannte Security-Experte und Kryptograph Bruce Schneier immer wieder gegen Forderungen nach diesen Backdoors, die in den meisten Fällen einfach unrealistisch sind oder die Kryptographie an sich zerstören.
Ein weiterer Mythos, der leider auch nicht widerlegt werden kann, ist der, dass die NSA oder allgemein Geheimdienste jede Verschlüsselung knacken können. Ich persönlich glaube nicht daran. Es gibt ja öffentliche Dokumente, in denen die NSA z.B. das Verschlüsselungsverfahren AES-256 auch für Regierungsorgane empfiehlt. AES-256 ist beispielsweise Teil von SSL/TLS, was wir alle täglich automatisch benutzen, wenn wir im Internet per „HTTPS“ surfen.
Nichtsdestotrotz traue ich Geheimdiensten den Zugriff auf verschlüsselte Daten zu – nämlich an der Quelle. Wer die Mittel hat, sich Zugang zu einem Rechner zu verschaffen, der braucht kein Verschlüsselungsverfahren aufwendig zu knacken – der wartet einfach auf den nächsten Zugriff des Besitzers.
„Warum spielt im Alltag Kryptographie überhaupt eine Rolle? Wenn ich täglich Mails versende gehört das bereits zur Kryptographie?“
Mails sind genau das Negativbeispiel, da sie in weniger als 10% der Fälle verschlüsselt werden. Hier greift die Analogie der Postkarte. Jeder der die Postkarte in die Finger bekommt, kann sie lesen. Das trifft auch auf E-Mails zu. Zwar werden E-Mails heute in aller Regel verschlüsselt übertragen – gerade Deutsche Mailprovider haben sich da vor einigen Jahren zusammengetan – aber letztendlich liegt die E-Mail ja noch immer unverschlüsselt auf dem Mailserver meines Providers oder auf meinem Rechner, Smartphone oder Tablet.
Zum Glück ist es in anderen Bereichen einfacher. Wenn Sie beispielsweise Online-Banking nutzen, benutzen Sie unter den meisten Voraussetzungen automatisch sehr gute Kryptographie-Verfahren.
Man überlege sich, das wäre nicht der Fall: Eine Internetverbindung von Ihrem Computer zum Server der Bank läuft in Deutschland über knapp zehn Rechner, sogenannte „Hops“. Und dies sind nur die sichtbaren Geräte zwischen Ihnen und der Bank. Kabel die angezapft werden o.ä. nicht einkalkuliert. D.h., es sind eine Menge Eingriffe in bzw. Zugriffe auf Ihre Kommunikation möglich: Von der reinen Einsicht in Ihre Daten bis hin zur Veränderung (etwa einer Online-Überweisung).
Kryptographie leistet hier heutzutage einen großen Teil der Abwehr von möglichen Angriffen.
Da Passwörter immer noch eine wesentliche Rolle bei der Zugangssicherung spielen, hat die Kryptographie auch hier eine große Bedeutung. Es gibt nämlich durchaus Verfahren und Standards, Passwörter sicher abzulegen. Leider werden diese auch heute noch nicht durchgängig genutzt, wie man den aktuellen IT-Nachrichten über Systemeinbrüche entnehmen kann.
„Welche Trends sehen Sie in der Kryptographie für die kommenden Jahre?“
Ein ganz aktueller „Trend“ ist sicherlich die Blockchain mit Bitcoins als prominentestem Vertreter.
In der Forschung steht seit langem das Thema „Quantencomputer“ recht weit oben. Hierbei geht es um einen vollkommen neuen Ansatz von Prozessoren, die zumindest für Spezialaufgaben einen so viel höheren Leistungsstandard aufweisen würden, dass sämtlich aktuell genutzten Kryptoverfahren und Verschlüsselungsalgorithmen unsicher würden. Mathematiker haben allerdings bereits Verschlüsselungsverfahren entwickelt, die so komplex sind, dass sie auch auf Quantencomputern sicher wären. Auf heutigen Rechnern würden diese Verfahren nämlich Jahre dauern.
Ansonsten wenden sich immer mehr Menschen und Institutionen der Verschlüsselung bzw. Datensicherheit im Allgemeinen zu, was letztendlich unser aller Datensicherheit zugute kommt. Beispielsweise sind durch gesetzliche Standards, aber auch ganz andere Dinge wie Google-Rankings, heute viel mehr Webseiten per HTTPS verschlüsselt zugänglich als noch vor drei Jahren.
Andere Gebiete bei denen Kryptographie eine wesentliche Rolle spielt sind mobile Bezahlverfahren, autonome Autos, Smart-Home-Lösungen und vieles mehr.
„Was sind häufig genutzte Methoden der Kryptographie? Gartenzaunmethode, Skytale, Ceasar-Verschlüsselung: sind das Methoden, die täglich genutzt werden?“
Die genannten Beispiel sind historisch und hatten eine Bedeutung vor der Zeit von Computern.
Die moderne Kryptographie arbeitet anders. Eine Erklärung würde hier den Rahmen sprengen. Kryptographieverfahren werden schwerpunktmäßig in der Disziplin der Mathematik erarbeitet und dann von Informatiker, Physikern und anderen umgesetzt. Das geschieht iterativ, da man bei der praktischen Umsetzung oftmals Schwächen entdeckt, die wiederum eine Überarbeitung der Theorie erfordern. Wie schon zuvor gesagt: Kryptographie ist ein sehr komplexes Themengebiet.
Bekannte Verfahren, die wir alle täglich nutzen, zum Beispiel im Internetverkehr, bei der E-Mail-Verschlüsselung (so Sie PGP oder S/MIME nutzen) oder Festplattenverschlüsselung sind zum Beispiel AES oder RSA. Die meisten Internetserver haben beispielsweise ein SSL-Zertifikat auf RSA-Basis. Dies sind Eigenschaften, die Sie einfach im jedem Browser nachschauen können.
Um vielleicht einen kleinen Einblick zu geben, was diese Verfahren leisten: Anders als eine einfache Buchstabenvertauschung aus Zeiten der Römer ist das Ziel moderner Verschlüsselungsverfahren, verschlüsselte Daten wie Zufallszahlen aussehen zu lassen. Ohne den passenden kryptographischen Schlüssel kann nicht zwischen einer Ansammlung von Zufallszahlen und verschlüsselten Daten unterschieden werden.
„Oder sind das eher Methoden, die für Diplomaten und Staatschef wichtig sind um nicht gehackt zu werden?“
Ich denke nicht, dass in diesen Fällen andere als die bekannten und öffentlich (also in der Wissenschaft) diskutierten Verfahren zum Einsatz kommen. Die meisten geheim gehaltene Verfahren, das hat die Geschichte gezeigt, werden irgendwann offengelegt und weisen mangels weltweiter Analyse durch Experten Schwachstellen auf. Aber sollten irgendwo geheime Verfahren existieren und genutzt werden, wüssten wir das ja auch nicht.
Ein Beispiel für ein bekanntes System, das für einen Staatschef ausgelegt war/ist, ist das sogenannte „Merkel-Phone“. Diese Lösungen verwenden zum Beispiel auch das zuvor genannte AES und andere bekannte Verfahren. Im Gerät selbst steckt aber natürlich wesentlich mehr Sicherheitstechnik, insbesondere in der Hardware.
Schlagworte
Datensicherheit, Kryptographie, Datenschutz, Internet-Security, IT-Sicherheit, Computersicherheit, Security Awareness, Verschlüsselung
Kategorien: Neuigkeiten IT-Sicherheit Hintergrundartikel
Kommentare
Eigenen Kommentar hinzufügen
Teilen / Weiterempfehlen
Wenn Sie diese Seite gut finden, teilen Sie es doch ihren Kontakten mit: