Seit wann sendet der Chef E-Mails um 3 Uhr früh?

von am 05.04.2017
0
Sicher mit Zühlke - IT-Security kompakt erklärt

Wer hätte sich das vor zehn Jahren ausmalen können? Milliarden von Menschen weltweit rennen in die Arme eines berühmten, amerikanischen Datenverwerters (Name endet auf „acebook“). Indem sie sich dort registrieren, verkaufen sie ihre digitale Identität. Und dies völlig freiwillig, obwohl die Verschlüsselung von Daten, das heisst der Schutz der Privatsphäre, als weitaus wichtiger angesehen ist als die Sicherstellung der Authentisierung von Daten, also dem Schutz vor unerlaubter Veränderung oder die Vorgabe falscher Identitäten. Nicht nur die Forschung konzentriert sich seit vielen Jahrzehnten auf innovative Methoden und Algorithmen zur Verschlüsselung von Daten. Auch Unternehmen und Privatpersonen investieren in die Verschlüsselung von E-Mails, Chatnachrichten, HTTP(S)-Verbindungen, Datenbanken, USB-Sticks und Festplatten. Schon bald jedoch wird die Authentisierung von Daten wichtiger sein als deren Verschlüsselung…

Machen wir zuerst einen kurzen Ausflug in die Begrifflichkeiten. Traditionell betrachtet man in der Kryptographie zwei auf den ersten Blick unabhängige Eigenschaften von Daten:

Sicher mit Zühlke - Authentisierung ist wichtiger als VerschlüsselungSind die Daten verschlüsselt, also vor dem Lesezugriff von nichtberechtigten Dritten geschützt? Dieser Schutz geschieht üblicherweise mit Passwörtern oder Schlüsseln, die nur die Berechtigten kennen.

 

 

 

Sicher mit Zühlke - Authentisierung ist wichtiger als VerschlüsselungSind die Daten authentisiert, also stammen die Daten unverändert von der als Urheber oder Absender angegebenen Person? Dieser Schutz wird technisch in aller Regel mit digitalen Unterschriften realisiert, die wiederum Passwörter und Schlüssel benötigen.

 

 

 

In der sogenannten Public-Key-Kryptographie braucht jeder Benutzer ein Schlüsselpaar bestehend aus  zwei Schlüsseln: einem öffentlichen Schlüssel, den die ganze Welt kennen kann und soll, sowie einem privaten Schlüssel, der nur dem Eigentümer selbst bekannt sein darf. Mithilfe des öffentlichen Schlüssels des Empfängers einer Nachricht wird die Nachricht verschlüsselt.  Mit dem privaten Schlüssel kann der Empfänger die Verschlüsselung der Nachricht wieder öffnen (grünes, kleines Vorhängeschloss im oberen Bild). Bei der Authentisierung ist es genau anders herum: Mit dem privaten Schlüssel wird digital unterschrieben und mithilfe des öffentlichen Schlüssels kann sich jeder von der Echtheit der digitalen Unterschrift überzeugen (oranges Siegel im unteren Bild). Verschlüsselung und Authentisierung sind also komplementär zueinander.

Es besteht jedoch eine Verbindung zwischen Verschlüsselung und Authentisierung. Wie oben erwähnt, wird zur Verschlüsselung der öffentliche Schlüssel des Empfängers verwendet. Zum Beispiel geschieht dies beim Onlinebanking: Die Verbindung, die ein Kunde zum Server der Bank aufbaut, wird verschlüsselt – und zwar mit dem öffentlichen Schlüssel der Bank. Glücklicherweise ist dieser Schlüssel öffentlich, sonst müsste sich jeder Bankkunde zuvor mit seinem Kundenberater treffen und ihn um den Schlüssel der Bank bitten.

Falsche Schlüssel werden als offiziell verkauft

Was bedeutet denn in diesem Kontext „öffentlich“? Idealerweise bedeutet dies, dass jeder Mensch, jeder Rechner, jedes Smartphone auf der Welt die gleiche Vorstellung davon hat, wie dieser eine Schlüssel der Bank XY aussieht, also aus exakt welchen Einsen und Nullen der Schlüssel besteht. Man spricht von einer konsistenten Sicht auf öffentliche Schlüssel. In der Realität ist diese Konsistenz aber leider nicht gegeben. Immer wieder werden Angriffe bekannt, in denen es Angreifern gelingt, einen falschen Schlüssel als den offiziellen Schlüssel zu verkaufen. Solche Fälschungen haben zur Konsequenz, dass die vermeintlich sichere Verbindung zum Server der Bank nun nicht mit dem tatsächlichen Schlüssel der Bank abgesichert ist, sondern mit dem fälschlicherweise eingeschobenen Schlüssel des Angreifers. Das bedeutet nichts anderes, als dass der gesamte Datenverkehr nun für die Bank unverständlich und somit nutzlos ist. Und noch viel schlimmer: Der Datenverkehr ist für den Angreifer leicht zu entschlüsseln. Denn schliesslich ist nur der Angreifer im Besitz des privaten Schlüssels, der für die Entschlüsselung notwendig ist.

Dieses Problem tritt heute leider tagtäglich auf und macht jede Form der Verschlüsselung nutzlos, gar völlig nutzlos. Zwar gibt es Ansätze derartige Man-in-the-Middle-Angriffe zu verhindern, aber diese Ansätze sind noch längst nicht ausgereift und haben jeweils mit eigenen Problemen zu kämpfen. Man könnte ein ganzes Buch mit diesen Problemen füllen. Hierzu der Link auf verschiedene wissenschaftliche Arbeiten, die die Problematik abhandeln und konkrete Lösungsvorschläge vorstellen.

Sensible Daten geraten in falsche Hände

Was ist der Kern des Problems? Öffentliche Schlüssel sind eine höchst innovative Idee, die in den 1970er Jahren die Welt der Kryptographie nicht nur bereichert, sondern tatsächlich revolutioniert haben. Als Stichwort sei hier vor allem das Verschlüsselungsverfahren RSA (1977) genannt. Leider ist es in der heutigen vernetzten Welt extrem schwierig, dafür zu sorgen, dass diese öffentlichen Schlüssel authentisch sind. Wird mit gefälschten Schlüsseln verschlüsselt oder signiert, gelangen sensible Daten in falsche Hände oder es wird bösartige Software fälschlicherweise ausgeführt. Solange es also für die Verbreitung von öffentlichen Schlüsseln keine flächendeckend verbreiteten, authentischen Verfahren gibt, ist die Verschlüsselung zur Bank nutzlos und das Online-Banking ist nicht sicher.

Falsch gesteuerte Herzschrittmacher

Ein zweiter Grund für einen gesteigerten Bedarf an Authentisierung ist der rasant wachsende Markt der vernetzten Geräte, der sogenannten „Things“, die mit Milliarden ihrer Artgenossen das Internet of Things bewohnen. In diese Klasse fallen vernetzte Autos, Toaster, Glühbirnen, Kühlschränke, Herzschrittmacher, Bügeleisen, Socken, Babywindeln, Katzenfütterungsmaschinen und auch sicherheitskritische Komponenten in modernen Atomkraftwerken. Authentisierung wird benötigt, um sicherzugehen, dass mein Auto nur dann vom Autopiloten gesteuert wird, wenn mein Smartphone dies verlangt und nicht der Laptop irgendeines Angreifers; dass mein Herzschrittmacher nur ein vom Kardiologen freigegebenes Software-Update installiert und nicht eine bösartige Software meines Nachbarn, und dass Steueranlagen in Atomkraftwerken nur auf Befehl der Befugten sicherheitskritische Änderungen ausführen.

Preisdruck und das Ziel einer frühen Markteinführung führen dazu, dass die Milliarden vernetzter Geräte oft ohne Einsatz von Sicherheitsüberlegungen entwickelt werden. Umso wichtiger ist es, die Geräte nicht ohne Einsatz des Verstandes einzusetzen. Konkret bedeutet dies, dass sich ein jeder Internetbenutzer die Frage stellen sollte, ob das private WLAN mit ausreichender Sicherheit geschützt ist, ob der nächste Toaster wirklich mit dem Kühlschrank kommunizieren muss und ob nicht mal wieder ein Passwortwechsel für das E-Mail-Konto fällig wäre.

Social-Engineering-Angriffe nehmen zu

Der dritte Grund, warum Authentisierung in den kommenden Jahren an Bedeutung gewinnen wird, ist die unaufhaltsam zunehmende Zahl an sogenannten Social-Engineering-Angriffen. Der Faktor Mensch ist hier das zentrale Einfallstor: Egal ob ein vermeintlicher Elektriker Zugang zum Serverraum erhält, weil er aufgrund seines Arbeitsanzugs und des Werkzeugkoffers für einen legitimierten Elektriker gehalten wird, ob eine vermeintliche Putzkraft Zugang zum Büro des CEOs erhält, weil sie aufgrund ihrer Arbeitskleidung samt Handschuhen und Putzbesens für eine legitimierte Putzkraft gehalten wird oder ob eine E-Mail vom vermeintlichen Chef eine grössere Zahlung legitimiert. In all diesen Fällen wurde die Echtheit der Handelnden aufgrund menschlicher Unachtsamkeit – nach gesundem Menschenverstand völlig zurecht – nicht gründlich genug geprüft. Und das kann fatale Folgen haben: Server werden mit Schadsoftware verseucht, vertrauliche Unterlagen des CEOs werden an die Konkurrenz überspielt und der Jahresgewinn wird völlig unbemerkt in die Hände von Gaunern übergeben.

Auf technischer Ebene ist hier vor allem das Beispiel E-Mail interessant. In Zeiten von Spam und gefälschten Absenderadressen ist es eine Leichtigkeit, persönlich zurechtgeschnittene Nachrichten so zu präparieren und in Umlauf zu bringen, dass auf Empfängerseite selten Zweifel an der Authentizität entstehen. Was kann man tun? Da technische Lösungen, zum Beispiel S/MIME-E-Mail-Zertifikate und persönliche Schlüsselaustausche, oft nicht praktikabel sind und somit nicht häufig genug zum Einsatz kommen, sollten Mitarbeitende sowie Privatpersonen mit wachsamen Augen die feindliche Welt des Internets durchschreiten. Man sollte sich fragen: Ist das wirklich der übliche Schreibstil des Absenders? Seit wann senden Kollegen geschäftliche SMS um 3 Uhr früh? Kamen unsere Elektriker nicht bislang immer von einer anderen Firma?

Fazit

Die digitale Welt lässt digitale Überprüfungen nicht immer zu – der Faktor Mensch wird an dieser Stelle zur wichtigsten Zutat, wenn es darum geht, die Systeme in Punkto Authentisierung so sicher wie möglich zu gestalten. Aber Vorsicht: Der Mensch muss den Maschinen vorauseilen, denn schon jetzt trainieren Maschinen die Verhaltensmuster der Menschen und werden eines Tages die biometrischen und verhaltensbasierten Authentisierungsverfahren schlagen. Und zwar haushoch. Wer sich dann noch Sorgen um den Schutz der eigenen Daten macht, dem sei gesagt: Geheimhaltung und Nichtpreisgabe der Daten ist noch immer das sicherste Mittel. Wollen wir wirklich zu den Milliarden Menschen gehören, die freiwillig in die Arme, nein, in die Server der amerikanischen Datenverwerter rennen und dort freiwillig ihre Seele, nein, ihre digitale Identität preisgeben?

Heutzutage scheint die Seele immer mehr mit der digitalen Identität zu verschmelzen…

 

Sicher mit Zühlke – IT-Security kompakt erklärt: In unserer neuen Blog-Serie geht Raphael Reischuk, Senior Security Consultant, aktuellen IT-Sicherheitsentwicklungen auf den Grund.

 

Einen Kommentar hinterlassen

Ihre E-Mail-Adresse wird weder veröffentlicht noch weitergegeben. Pflichtfelder sind mit einem * markiert.