25.07.2014

Verschlüsselung: Quo vadis?

Der OpenSSL-Heartbleed-Bug ist aktuell immer noch in aller Munde. Zwar war die IT-Welt sehr schnell aufgeschreckt und hat auch entsprechend zügig Gegenmassnahmen ergriffen, aber einmal mehr hat dieser Softwarefehler gezeigt, wie sehr die Sicherheit und Verschlüsselung in der IT auf dem Vertrauensprinzip beruht.

Von: Lars Behrens   Drucken Teilen   Kommentieren  

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

 zum Portrait

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
Verschlüsselung

Es war und ist nämlich schlicht so, dass nicht nur der Durchschnittsanwender, sondern auch IT-Professionals nicht in jegliche Details einer IT-Lösung hineinblicken können. Oftmals überschaut man ja nicht einmal das grundsätzliche Szenario. Oder könnten Sie fehlerfrei das Prinzip der Autorisierung, Zertifizierung und Verschlüsselung, auf das eine Technik wie OpenSSL setzt, herunterbeten? Im Falle des Heartbleed-Bugs ging es im Ursprung schlicht um einen Programmierfehler, der zwar hätte auffallen müssen, der aber dann unglücklicherweise zusätzlich auch noch durch die Kontrollmechanismen schlüpfte.

Es handelt sich, da eine unübersehbare Zahl an sicherheitsrelevanten Systemen in der weltweiten IT – verschlüsselte Webseiten, Emails und so weiter – auf OpenSSL setzen, natürlich um einen wirklich sehr gravierenden Bug. An seiner Geschichte kann man exemplarisch ablesen, was ein gutes IT-Projekt von einem weniger guten – um nicht zu sagen: gescheiterten – unterscheidet. Wobei an dieser Stelle die in diesem Zusammenhang wieder aufgetauchte Frage, ob Open-Source-Software besser oder schlechter oder schlicht weniger sicher als Closed-Software sei, kurz und griffig beantwortet werden soll. Grundsätzlich gibt es hierbei sicher kein gut und schlecht. Dass der Fehler letztlich erkannt und umgehend Gegenmassnahmen zu seiner Behebung ergriffen wurden, zeugt von der entscheidenden Stärke einer Open-Source-Lösung. Hier hat die gesamte IT-Welt die Möglichkeit, mit in den Quellcode hineinzuschauen, was bei geschlossener Software eben nicht möglich ist. In der Vergangenheit hat es sich gezeigt, dass die Fehler in Open-Source-Software dadurch viel eher zutage traten und ausgemerzt werden konnten. So mancher Hersteller einer proprietären Software tat sich hingegen erst einmal schwer damit, einen vermuteten oder offenkundigen Fehler zuzugeben, wodurch eine mögliche Fehlerbehebung eher erschwert und verzögert wurde.

Notwendigkeit von Verschlüsselung

Die Notwendigkeit von Verschlüsselung an sich wird jedenfalls sicherlich niemand ernsthaft bestreiten. Daten, die im und über das Internet übertragen werden, können ohnehin – soweit die technischen Voraussetzungen erfüllt sind – von beliebigen Personen mitgelesen werden – zumindest theoretisch.

Nun verhält es sich mit der theoretischen Möglichkeit des Mitlesens zur praktischen Umsetzung mitunter etwas eigenartig. Der Autor dieser Zeilen hat immer wieder darauf hingewiesen, welch ungeschützte Flanke die Datenübertragung im Internet (und in der Regel auch im lokalen Netzwerk, dem LAN!) darstellt, wie sensibel oft die übermittelten Daten sind und wie erschreckend gering zumeist das Bewusstsein bei den zuständigen Administratoren, IT-Verantwortlichen und Sicherheitsbeauftragten an dieser Stelle war und leider immer noch ist.

Die Geschehnisse der jüngeren Vergangenheit, zu deren Skizzierung die Stichworte Snowden, NSA und Prism genügen sollen, haben Bedenkenträgern einerseits Recht gegeben und zugespielt – auf der anderen Seite in einem Ausmass, wie es auch der Autor dieser Zeilen zugegebenermassen selbst in seinen kühnsten Träumen nicht vermutet hätte.

Grundsätzlich müsste das Credo lauten, sollten alle sensiblen Daten verschlüsselt werden – es bestünde zumindest hypothetisch immer die Gefahr, dass diese ansonsten mitgelesen werden. Tatsächlich aber müssen wir inzwischen davon ausgehen, dass diese hypothetische Möglichkeit eine ganz reale ist und sich die Frage der Verschlüsselung eigentlich gar nicht mehr stellen sollte. Inzwischen wissen wir ja auch – oder müssen zumindest davon ausgehen, dass selbst eigentlich als unsensibel angesehene Daten von den entsprechenden Stellen dazu missbraucht werden, Bewegungsbilder, Nutzerprofile und dergleichen unschöne Dinge mehr von und über uns aufzuzeichnen. Wer heute noch unbedarft seinen Status samt präziser geografischer Ortsangabe auf Facebook oder Fotos mit Personenmarkierung auf Twitter veröffentlicht, weiss entweder ganz genau, was er oder sie tut – oder hat die Brisanz der Thematik immer noch nicht begriffen.

Merksatz: «Eine Verschlüsselung ist wichtig, weil Daten, die über offene Netze wie das Internet übertragen werden, durch Dritte leicht mitgelesen oder verändert werden können.» (zit. n. www.telematik-institut.org)

Da sich eine solche Verschlüsselung aber ärgerlicherweise nicht von selbst erledigt, muss der sicherheitsbewusste Admin aktiv werden – oder auch Sie in Ihrem KMU oder am häuslichen Computer-Arbeitsplatz.

  • Übertragen Sie niemals sensible Daten über Transportwege wie das Internet, bevor Sie diese nicht verschlüsselt haben.
  • Übergeben Sie niemals sensible Daten an Webseiten, wenn diese nicht verschlüsselt ist.

Beliebte Beispiele sind Webmailer, Onlinebanking oder Internetshopping – hier sollten Sie immer genau darauf achten, dass die Übertragung verschlüsselt stattfindet. Auf Webseiten ist dies noch eines der geringeren Probleme: dass das Verschlüsselungs-Symbol neben dem https in der Adresszeile zum guten Ton und State-of-the-Art gehört, hat sich inzwischen sicher bei den meisten Anwendern herumgesprochen.

Was Sie aber vermutlich nicht erwarten: auch die Absicherung über https sind heutzutage keine Gewähr mehr für eine sichere Übertragung, die dem Stand der Technik entspricht.

Wie funktioniert die Verschlüsselung?

Zuerst noch einmal zu der Frage, wie Verschlüsselung funktioniert und in welchem Zusammenhang diese mit dem Vertrauen in die Herkunft der Verschlüsselung steht. Technisch gesehen ist es eigentlich ja ganz simpel: ein Anwender baut mittels seines Browsers eine Verbindung zum Server (https://xx) auf. Client und Server stellen fest, dass sich der Server dem Client gegenüber ausweisen muss – schliesslich könnte der Anwender ja statt auf www.weka.ch auch auf einer Webseite gelandet sein, die lediglich vorgibt, diejenige zu sein, für die sie sich ausgibt.

Vor die Verschlüsselung wird also die Prüfung der Herkunft gesetzt – und das ist auch nur folgerichtig. Schliesslich könnte auch der böse Bube im Internet, der Ihre Daten ausspähen will, den Datentrafic verschlüsseln. Sie hätten dadurch aber kein Quäntchen an Sicherheit gewonnen.

Verschlüsselung an sich ist gleichsam wertneutral. Wir müssen zuerst noch die Authentizität der aufgerufenen Webseite feststellen. Wie geschieht das am besten? Nun, eine Möglichkeit wäre, dass Sie als Anwender bei dem Betreiber von weka.ch anrufen, um sich zu vergewissern, dass die betreffende Webseite tatsächlich von WEKA betrieben wird. Wie bekämen Sie heraus, wer der Betreiber ist? Sie würden beispielsweise die Gelben Seiten aufschlagen, um die Telefonnummer herauszufinden. Dies funktioniert aber nur, wenn Sie davon ausgehen können, dass Sie den gelben Seiten vertrauen können – diese dienen Ihnen als vertrauenswürdige Zertifizierungsinstanz.

Vertrauensprinzip Internet

Im Prinzip baut auch das gesamte Szenario von Sicherheit im Internet auf Vertrauen auf. Es gibt einige wenige Zertifizierungsstellen, die (zumeist gegen einen gewissen Geldbetrag) dem Betreiber eines Webservers oder Mailservers attestieren, dass dieser tatsächlich den dedizierten Server betreibt und zudem auch wirklich (beispielsweise) Beat Meier aus dem Kanton Uri ist – oder ein entsprechendes Unternehmen. Letztlich wird aber irgendeine juristische oder natürliche Person hierfür den Kopf hinhalten müssen – zumindest im übertragenen (rechtlichen) Sinne.

Diese letztere Kontrolle findet zumeist wiederum durch einen Vertrauensbeweis statt. Sie melden sich bei dem Betreiber einer Zertifizierungsinstanz per Kreditkarte, Führerschein oder Ausweis an, dieser bestätigt Ihnen im Gegenzug, Sie selber zu sein. Was sich hier etwas burlesk anhört, hat natürlich einen ernsten Hintergrund: die zertifizierende Stelle hat sich durch Augenschein oder ähnlich stichfeste Beweise von Ihrer Identität überzeugt und attestiert (zertifiziert) Ihnen die Verschlüsselung Ihres Servers.

Gemäss dem Lenin zugeschriebenen Bonmot, dass Vertrauen gut, aber Kontrolle besser ist, haben die namhaften Browser, Emailprogramme und so weiter die Zertifikate der rennomiertesten Zertifizierungsstellen bereits eingebaut. Rufen Sie also beispielsweise den Webmailer eines Unternehmens auf, welches sich diesen eigenen Internetauftritt durch ein Zertifikat von Thawte, Verisign, StartSSL oder CheapSSL (welche neuerdings unter www.ssls.com firmieren) hat absegnen lassen, sollten Sie dem Aufruf einer solcherart verschlüsselten Webseite also blindlings vertrauen können.

Haben wir sichergestellt, dass wir beim Besuch von weka.ch auch tatsächlich auf einen Server in der Schweiz gelenkt werden und nicht auf ein Fake-System im hinteren Kirgisien (oder beispielsweise im – was die Cyberkriminalität betrifft – inzwischen hochtechnisierten China oder Russland), kommt dann erst die Verschlüsselung unseres Datenverkehrs ins Spiel.

MaLiWi IT

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

IT-Verträge entwerfen und verhandeln

Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

Gehen Sie rechtssicher mit IT-Outsourcing und Cloud Computing um. Lernen Sie die Rahmenbedingungen kennen, schätzen Sie Risiken realistisch ein und beurteilen Sie Verträge professionell.

Nächster Termin: 19. Juni 2018

mehr Infos

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • IT-Sicherheit

    IT-Sicherheit

    Schützen Sie Ihr Unternehmen konsequent vor Systemstörungen und Risiken.

    Mehr Infos

  • Die wichtigsten IT-Vertragsvorlagen

    Die wichtigsten IT-Vertragsvorlagen

    Über 100 IT-Vertragsvorlagen, Checklisten und Arbeitshilfen auf praktischem USB-Stick.

    Mehr Infos