IT-Sicherheit

Verschlüsselungs-Ohnmacht

Prof. Dr. Hartmut Pohl ist Geschäftsführer der IT-Sicherheitsberatung softScheck. Sein Hauptthema ist die Entwicklung sicherer Software und dazugehörige Testverfahren.
Immer wieder wird uns suggeriert, dass wir nur Verschlüsselung verwenden müssen, um in der IT sicher zu sein. Eine Fehlannahme.

Die Konsequenzen der Digitalisierung sind beängstigend: Telemedizin ist nicht sicher umgesetzt, die Kommunikation zwischen Ärzten, Apotheken, Laboren und Krankenhäusern kann abgehört und manipuliert werden. Die Produktionsanlagen in Industrieunternehmen - Uran-Anreicherungsanlagen, Kernkraftwerke und Stahlwerke - wurden ebenfalls manipuliert, Millionenschäden waren die Folge. Private Daten werden missbraucht, Identitäten gestohlen, Autos ferngesteuert und Banken digital beraubt.

Verschlüsselung reicht? Weit gefehlt!
Verschlüsselung reicht? Weit gefehlt!
Foto: optimarc - shutterstock.com

Eine grundsätzliche Herausforderung für die Softwareindustrie ist, exakt das zu programmieren, was man erreichen will und dieses Programm dann dauerhaft korrekt in einem Rechner ablaufen zu lassen. Aber wissen wir als Nutzer überhaupt, ob die Programmierer das programmiert haben, was sie sollten und nicht weniger Funktionen eingebaut haben als geplant oder - viel schlimmer - Hintertüren eingebaut haben. Dagegen hilft Verschlüsselung jedenfalls nicht.

Hacker sollen keine Zugriffsmöglichkeit haben - haben sie aber doch immer häufiger. Und was sind überhaupt Hacker? Das klingt nach Schüler und Studenten - tatsächlich existieren nach Erkenntnissen der Sicherheitsbehörden weltweit über 200 Dienstleistungs-"Unternehmen", die (fast) jeden Angriff gegen Entgelt durchführen. Die organisierte Kriminalität (OK) hinkt den Methoden und Tools der Nachrichtendienste maximal zwei Jahre hinterher. Die 2013 veröffentlichten Snowden'schen Informationen sind - Stand heute - inhaltlich bereits über fünf Jahre alt, die Software und Systeme werden also von der OK seit langem genutzt. Auf derartige Industriespionage wurde schon im Echelon Bericht des Europäischen Parlaments im Jahr 2001 hingewiesen.

Security-Ziele für Daten

Drei Ziele werden vor allem genannt:

1. Vertraulichkeit: Daten sollen nur den dafür vorgesehenen Berechtigten bekannt werden

2. Integrität: Daten sollen nicht unerkannt verändert werden

3. Verfügbarkeit: Daten sollen den Berechtigten tatsächlich zur Verarbeitung zur Verfügung stehen

Die vielen, täglich neuen Missbrauchsfälle zeigen, dass diese Ziele häufig überhaupt nicht erreicht werden. Dabei sollte unter anderem auch aus Wirtschaftlichkeitsgründen eine Risikoanalyse selbstverständlich sein. Analysiert wird dabei der Wert der jeweiligen Unternehmensdaten, die Stärke der ergriffenen Sicherheitsmaßnahmen, die mögliche Schadenshöhe und die Wahrscheinlichkeit von Angriffen.

Qualität von Verschlüsselungsverfahren

Entscheidend für die Qualität eines Verschlüsselungsverfahrens sind folgende drei Parameter:

  • der mathematische Algorithmus und die Betriebsarten,

  • die tatsächlich eingesetzte (nicht die behauptete) Schlüssellänge sowie die Häufigkeit des Schlüsselwechsels

  • und die fehlerfreie Implementierung kryptographischer Funktionen

Darüber hinaus sind Faktoren wie Hash-Funktionen, Message Authentication Codes, Zufallszahlengeneratoren und Schlüsselableitungsfunktionen entscheidend. Die tatsächliche Qualität einer Verschlüsselung kann nur von Fachleuten bewertet werden - unterstützend wirken dabei einschlägige technische Richtlinien des dem Bundesinnenministerium des Innern nachgeordneten Bundesamts für Sicherheit in der Informationstechnik (BSI).

Nachrichtendienstliches Vorgehen

Die Nachrichtendienste der Industriestaaten sind nicht auf die sofortige Entschlüsselung eingesammelter Daten angewiesen - vielmehr bewahren sie die weltweit abgehörten Kommunikationsdaten und auch die ausgelesenen Daten unabhängig von einer Verschlüsselung auf und entschlüsseln erst in Zukunft - und sowieso erst bei Bedarf. Der Blick auf die 'bösen' Nachrichtendienste verstellt allerdings den Blick völlig auf die im kommerziellen Bereich weitaus aggressivere und im Ausspionieren von Unternehmensgeheimnissen auch erfolgreichere OK.

Unveröffentlichte Sicherheitslücken (Zero-Day-Vulnerabilities)

Ein entscheidendes Manko deutscher Sicherheitspolitik ist die Geheimhaltung unveröffentlichter Sicherheitslücken (Zero Day Vulnerabilities). Sicherheitslücken sind in (fast) allen Soft- und Hardware-Produkten enthalten - auch in Sicherheitssoftware wie Firewalls, Verschlüsselung, Intrusion-Detection und Prevention-Systemen. Angriffe unter Ausnutzung dieser Sicherheitslücken können grundsätzlich nicht erkannt werden.

Daher ist es nicht verwunderlich, dass weltweit mehr als zehn Händler existieren, bei denen sich nicht nur die OK, sondern auch die nationalen und internationalen Sicherheitsbehörden bedienen. Diese Behörden setzen damit die 'heimliche Online-Durchsuchung' um - sie dringen in IT-Systeme ein und lesen gespeicherte und kommunizierte Daten (Quellen-TKÜ) aus, bevor diese verschlüsselt werden. Der Gesetzgeber hat sich in diesem Bereich nachvollziehbar und klar zu Gunsten der Sicherheitsbehörden entschieden und zum Beispiel gesetzlich festgelegt, dass dem BSI bekannte, ansonsten unveröffentlichte Sicherheitslücken veröffentlicht werden können - aber nicht müssen. Dementsprechend veröffentlicht das BSI auch nur Sicherheitslücken, die schon anderweitig veröffentlicht sind. Dies ist jedoch eine Entscheidung zu Lasten deutscher Unternehmen, denn die unveröffentlichten Sicherheitslücken bleiben naturgemäß nicht geheim, sondern werden Dritten wie der OK bekannt und von diesen ausgenutzt.

Nationale Lösung?

Man könnte meinen die Nationalisierung oder Europäisierung der IT-Branche, die Entwicklung sicherer Hard- und Software könnte das Mittel der Wahl sein. Allerdings würde das bedeuten, jede Hard- und Software-Komponente national herzustellen - und dabei bliebe noch unberücksichtigt, dass die Mitarbeiter tatsächlich nur für die deutsche/europäische Behörde oder das deutsche Unternehmen arbeiten - und nicht für Drittstaaten oder die organisierte Kriminalität. Wie Fälle von Überläufern und enttarnten Spionen aus den eigenen Reihen immer wieder zeigen, ist dieses Ziel jedoch in der Praxis nicht hundertprozentig erreichbar.

So bleibt auch der ungewollte 'Einbau' (zum Beispiel bei auf dem Postweg ausgelieferter Hard- und Software) von nicht erkannten (unveröffentlichten) Sicherheitslücken als erhebliches Restrisiko erhalten. Dies gilt auch für die meisten gezielt eingebauten Hintertüren.

Verschlüsselung kann nur auf der Basis von Erfahrungen und Security Tests der eingesetzten Algorithmen, Methoden und Verfahren bis hin zur speziellen Implementierung wirkungsvoll eingesetzt werden. Häufig wird aber die korrekte Einstellung der Parameter nicht kontrolliert. Verschlüsselung ist aber auch nur eine Sicherheitsmaßnahme unter vielen. Notwendig ist jedenfalls ein ganzes Bündel von kombinierten Maßnahmen, um ein wenigstens ausreichendes Sicherheitsniveau zu erreichen. Alles andere ist eine Illusion.

Zur Startseite