BLOG
21/08/2018 15:05 CEST | Aktualisiert 21/08/2018 15:05 CEST

Datensicherheit durch Kryptographie

Nach der Cambridge-Analytica Krise bei Facebook stellt sich die Frage, wie sicher mit unseren Daten umgegangen wird. Mit Datensicherheit beschäftigt sich der Informatiker Frank Hissen seit fast 20 Jahren. Im Gespräch erklärt er die Grundlagen der Kryptographie:

Was genau ist Kryptographie?

Im eigentlichen, ursprünglichen Wortsinne bedeutet Kryptographie etwa „geheim schreiben“. Im Allgemeinen würde man von „Verschlüsselung“ sprechen. Heute ist die Disziplin der Kryptographie allerdings viel mehr, da Datensicherheit nicht alleine durch Verschlüsselung sichergestellt werden kann. Die Forschung der Kryptographie beschäftigt sich hauptsächlich mit den folgenden sogenannten Schutzzielen: Vertraulichkeit, Integrität, Authentizität, Verbindlichkeit.

Dies sind natürlich abstrakte Begriffe. Kurz erklärt:

  • Verschlüsselung: Daten für Unberechtigte unlesbar machen;
  • Integrität: Sicherstellung, dass Daten nicht unbemerkt verändert werden können;
  • Authentizität: Sicherstellung des Absenders bzw. Inhabers von Daten;
  • Verbindlichkeit: Nicht-Abstreitbarkeit eines Kommunikationsvorgangs;

Oftmals gehört noch die Sicherstellung einer zeitlichen Abfolge als weiteres Sicherheitsmerkmal dazu.

Ein einfaches Beispiel, warum Vertraulichkeit alleine nicht ausreicht, um Datensicherheit zu gewährleisten: Denken wir uns ein funktionierendes Verschlüsselungsverfahren, welches Vertraulichkeit bietet aber keine Integrität. Das würde bedeuten, auch wenn die Daten für einen Hacker unleserlich sind, könnte er diese dennoch erfolgreich verändern, so dass bei der Entschlüsselung, z.B. durch den Empfänger einer E-Mail, gefälschte Daten zum Vorschein kommen würden.

Darf man Kryptographie und Datensicherheit als Synonym verwenden?

Nein, um Datensicherheit zu gewährleisten benötigt man viele Sicherheitsmaßnahmen, Kryptographie ist dabei ein wichtiger Baustein. Aber auch Themen wie Systemdesign, Datenschutz und sichere Implementierungsstrategien spielen in der Praxis eine wesentliche Rolle.

Datensicherheit funktioniert nur im ganzheitlichen Ansatz. Das mag abgehoben klingen, ist aber eigentlich ganz einfach zu verstehen: Ein IT-System ist nur so sicher wie sein schwächstes Glied. Früher oder später finden Hacker immer die offene Lücke im System.

Was für Mythen gibt es über die Kryptographie, die sich bereits schon lange halten in der Gesellschaft?

Da gibt es leider sehr viele, was aber in der Natur der Sache liegt. Kryptographie ist ein komplexes Themenfeld, selbst der allgemeine Informatiker hat hier oft falsche Vorstellungen. Kryptographische Verfahren können nur von erfahrenen Experten entwickelt und umgesetzt werden. Selbst diese beiden Vorgehen werden in der Regel von verschiedenen Rollen ausgefüllt.

In der Politik kommt es beispielsweise immer wieder zur Diskussion um Backdoors in kryptographischen Produkten und deren Umsetzbarkeit. Gerade in den USA kämpft der sehr bekannte Security-Experte und Kryptograph Bruce Schneier immer wieder gegen Forderungen nach diesen Backdoors, die in den meisten Fällen einfach unrealistisch sind oder die Kryptographie an sich zerstören.

Warum spielt im Alltag Kryptographie überhaupt eine Rolle? Wenn ich täglich Mails versende gehört das bereits zur Kryptographie?

Mails sind genau das Negativbeispiel, da sie in weniger als 10% der Fälle verschlüsselt werden. Hier greift die Analogie der Postkarte. Jeder der die Postkarte in die Finger bekommt, kann sie lesen. Das trifft auch auf E-Mails zu. Zwar werden E-Mails heute in aller Regel verschlüsselt übertragen – gerade Deutsche Mailprovider haben sich da vor einigen Jahren zusammengetan – aber letztendlich liegt die E-Mail ja noch immer unverschlüsselt auf dem Mailserver meines Providers oder auf meinem Rechner, Smartphone oder Tablet.

Zum Glück ist es in anderen Bereichen einfacher. Wenn Sie beispielsweise Online-Banking nutzen, benutzen Sie unter den meisten Voraussetzungen automatisch sehr gute Kryptographie-Verfahren.

Man überlege sich, das wäre nicht der Fall: Eine Internetverbindung von Ihrem Computer zum Server der Bank läuft in Deutschland über knapp zehn Rechner, sogenannte „Hops“. Und dies sind nur die sichtbaren Geräte zwischen Ihnen und der Bank. Kabel die angezapft werden o.ä. nicht einkalkuliert. Es wären somit viele Eingriffe in bzw. Zugriffe auf Ihre Kommunikation möglich: Von der reinen Einsicht in Ihre Daten bis hin zur Veränderung (etwa einer Online-Überweisung).

Kryptographie leistet hier heutzutage einen großen Teil der Abwehr von möglichen Angriffen.

Welche Trends sehen Sie in der Kryptographie für die kommenden Jahre?

Ein ganz aktueller Trend ist sicherlich die Blockchain mit Bitcoins als prominentestem Vertreter.

In der Forschung steht seit langem das Thema Quantencomputer recht weit oben. Hierbei geht es um einen vollkommen neuen Ansatz von Prozessoren, die zumindest für Spezialaufgaben einen so viel höheren Leistungsstandard aufweisen würden, dass sämtlich aktuell genutzten Kryptoverfahren und Verschlüsselungsalgorithmen unsicher würden. Mathematiker haben allerdings bereits Verschlüsselungsverfahren entwickelt, die so komplex sind, dass sie auch auf Quantencomputern sicher wären. Auf heutigen Rechnern würden diese Verfahren nämlich Jahre dauern.

Ansonsten wenden sich immer mehr Menschen und Institutionen der Verschlüsselung bzw. Datensicherheit im Allgemeinen zu, was letztendlich unser aller Datensicherheit zugute kommt. Beispielsweise sind durch gesetzliche Standards, aber auch ganz andere Dinge wie Google-Rankings, heute viel mehr Webseiten per HTTPS verschlüsselt zugänglich als noch vor drei Jahren.

Andere Gebiete bei denen Kryptographie eine wesentliche Rolle spielt sind mobile Bezahlverfahren, autonome Autos, Smart-Home-Lösungen und vieles mehr.

Was sind häufig genutzte Methoden der Kryptographie? Gartenzaunmethode, Skytale, Ceasar Verschlüsselung: sind das Methoden, die täglich genutzt werden?

Die genannten Beispiele sind historisch und hatten eine Bedeutung vor der Zeit von Computern.

Die moderne Kryptographie arbeitet anders. Eine Erklärung würde hier den Rahmen sprengen. Kryptographieverfahren werden schwerpunktmäßig in der Disziplin der Mathematik erarbeitet und dann von Informatiker, Physikern und anderen umgesetzt. Das geschieht iterativ, da man bei der praktischen Umsetzung oftmals Schwächen entdeckt, die wiederum eine Überarbeitung der Theorie erfordern. Wie schon zuvor gesagt: Kryptographie ist ein komplexes Themengebiet.

Bekannte Verfahren, die wir alle täglich nutzen, zum Beispiel im Internetverkehr, bei der E-Mail-Verschlüsselung (so Sie PGP oder S/MIME nutzen) oder Festplattenverschlüsselung sind AES oder RSA. Die meisten Internetserver haben ein SSL-Zertifikat auf RSA-Basis. Dies sind Eigenschaften, die Sie einfach im jedem Browser nachschauen können.

Vielen Dank für Ihre Zeit und das Interview.

Kurzbiografie Frank Hissen:

Diplom-Informatiker Frank Hissen studierte an der Technischen Universität Darmstadt mit Schwerpunkt auf IT-Sicherheit. Seit 2009 selbständig, berät er große und mittelständische Unternehmen als Security-Experte in Softwareentwicklungs- und Beratungsprojekten. Im speziellen Bereich der Kryptographie erstellt er Fachkonzepte und entwickelt auch eigenständige, individuelle Sicherheitslösungen.

Mehr Informationen über Frank Hissen finden Sie auf der Webseite:

https://www.frankhissen.de/