Innere Sicherheit, Informationsschutz

Was bedeuten die neuen Erkenntnisse zur Entschlüsselung von SSL-Transfer für die IT-Sicherheit deutscher Unternehmen?

Von: Arne Schönbohm

Bei der Überbringung von Nachrichten war es schon immer ausschlaggebend, wer eine Information bekommen und wem sie vorenthalten werden sollte. Um den Inhalt von Nachrichten geheim zu halten, wurden diese schon im Altertum kodiert, also ein Klartext mittels eines Schlüssels in einen Geheimtext übertragen.

Im Laufe der Jahrhunderte wurden die Verschlüsselungsmethoden immer komplexer: Wurden zuerst mechanische Scheiben verwendet, die das Lesen eines Kryptotextes wieder möglich machten, ging man später zu Maschinen über, bevor in den vergangenen Jahrzehnten der Computer die zentrale Position für Verschlüsselungstechniken wurde. Dabei war es stets das Ziel, eine Information nicht einfach zu verschleiern, sondern so abzuwandeln, dass sie von Außenstehenden ohne einen gültigen Schlüssel nicht gelesen werden kann.

Von Enigma bis Online-Verschlüsselung
Die wohl bekannteste Chiffriermaschine war die Enigma, die während des Zweiten Weltkriegs zur Verschlüsselung von Funksprüchen verwendet wurde. Dabei bediente sich die Rotor-Schlüsselmaschine nicht einer simplen Substitution in einem Geheimalphabet. Durch die Rotation der Enigma-eigenen Walzen gelang die Verschlüsselung jedes Buchstaben auf eine andere Weise. Die Funktionsweise der Maschine wurde dennoch schon in den 1930er-Jahren aufgedeckt und danach regelmäßig gestört. Durch die zunehmende Digitalisierung und den vermehrten Einsatz von Computern stieg in den 1980er-Jahren schließlich der Bedarf nach Datenverschlüsselung.

Durch die Dezentralität des Internets und die zahlreichen Möglichkeiten von Online-Diensten (vom Einkauf bis zum Behördengang) stellt uns das World Wide Web vor neue Herausforderungen. Die grundlegenden Verschlüsselungssysteme werden dabei in symmetrische und asymmetrische Verfahren unterteilt. Bei einem symmetrischen System besitzen die am Verfahren Beteiligten denselben Schlüssel, den sie vor Beginn der Kommunikation geheim ausgetauscht haben. Bei asymmetrischen Systemen hingegen werden für alle Teilnehmer spezielle Schlüsselpaare generiert. Von diesen wird jeweils ein Schlüssel jedes Paars veröffentlicht (und kann daher auch weitergegeben werden), während der andere geheim bleibt und nur dem Besitzer des Schlüssels zugänglich sein sollte. Der public key dient dem Verschlüsseln, der private key hingegen dem Entschlüsseln von Daten.

Durch die enorme Innovationsgeschwindigkeit – die Leistungsfähigkeit eines Computers verdoppelt sich im Schnitt alle zwei Jahre – veralten Standards zunehmend schneller. Techniken, die heute noch als sicher gelten, können morgen schon überholt sein. Vor wenigen Wochen wurde bekannt, dass die US-amerikanische National Security Agency (NSA) nun in der Lage ist, die bisher sicher geglaubte SSL-Verschlüsselung (Secure Socket Layer), die beispielsweise zur Kommunikation des Browsers mit Websites für Online-Banking, Transaktionen, Chats oder Telefonate verwendet wird, zu dekodieren. Dabei galt die kryptographische Methode für SSL-Verschlüsselungen als relativ sicher: Das Auseinandernehmen der symmetrischen und asymmetrischen Schlüssel ist sogar für Hochleistungsrechner nicht einfach. Das NSA-Programm, das diese Aufgabe nun gelöst hat, benannt nach einer Schlacht im amerikanischen Bürgerkrieg als „Bullrun“, stellt dabei selbst PRISM mit seinen jährlichen Aufwendungen von 20 Millionen US-Dollar in den Schatten. „Bullrun“ verschlang seit seinem Start im Jahr 2000 Milliardenbeträge, allein in diesem Jahr kostete das Projekt knapp 255 Millionen US-Dollar.

Doch was bedeutet das für deutsche Unternehmen?
Die neuesten Enthüllungen rund um die Aktivitäten der NSA verunsicherten Unternehmen, aber auch Behörden und Privatpersonen. Häufig verwendete Online-Protokolle gelten als nicht mehr zuverlässig genug. Dabei zeigt dies nur eine Schwachstelle auf, an der viele weit verbreitete Verschlüsselungstechnologien – wie SSL, SSH oder PGP – leiden: Oftmals werden an zahlreichen Stellen veraltete Algorithmen genutzt, die nicht mehr auf dem Stand der Technik sind. Gerade hier wird offensichtlich, welchen Problemen sich Unternehmen tatsächlich gegenüber sehen: Überholte Standards, unzureichende darüber hinausreichende Sicherheitskonzepte und vor allem das unzureichende Wissen mancher Mitarbeiter. Die Tatsache, dass ein hochspezialisierter Geheimdienst in der Lage ist, Verschlüsselungen zu dechiffrieren, geht nicht einher mit der Annahme,  dass großflächig Wirtschaftsspionage betrieben wird. Einen großen Nachrichtendienst wird eine kleine Innovation in Deutschland nicht übermäßig interessieren. Beunruhigender als eine geknackte Verschlüsselungsmethode ist vielmehr die große Zahl jener Mitarbeiter, die noch nie von sicherer E-Mail-Kommunikation oder Datenschutz gehört haben.

Und was können Unternehmer nun tun?
IT-Experten sind sich zudem einig: Gute Verschlüsselung wirkt. Je komplexer der Schlüssel, desto stärker Absicherung wie auch Abschreckung. Lohnenswert ist dabei eine Verschlüsselung jedoch nur, wenn diese auch aktuell ist. Probleme mit schwachen Schlüsseln oder veralteten Algorithmen wurden zu lang nicht ernst genommen. Während die Dechiffrierung eines SSL-Schlüssels mit geringer Länge 1995 mit einem damaligen Hochleistungsrechners 32 Stunden beansprucht hätte, kann der gleiche Standard heute binnen weniger Minuten dekodiert werden. Um die Sicherheit weiterhin gewährleisten zu können, muss an dieser Stelle auf starke Schlüssel umgestiegen werden.

Eine 100-prozentige Sicherheit gibt es nicht. Mit entsprechenden Ressourcen und Zeitaufwand kann es gelingen, jedwede Kommunikation abzufangen und zu analysieren oder in das Netzwerk eines Konzerns einzudringen. Dennoch kommt es darauf an, die Sicherheitsstandards so effektiv wie möglich zu setzen. Zuvorderst sollte eine Überprüfung der betrieblichen IT-Sicherheit erfolgen und ermittelt werden, über welche schützenswerten Daten ein Unternehmen verfügt, um diese dann konsequent zu verschlüsseln. Durch ein holistisches Sicherheitskonzept und maßgebende Richtlinien können Gefahren von Anfang an minimiert werden. Schulungen und Awareness-Kampagnen sollten Mitarbeiter indes für den angemessenen Umgang mit Informationen sensibilisieren.

Im Fokus sollte für Unternehmen allerdings weniger der Schutz vor geheimdienstlichen Zugriffen stehen, als vielmehr die Abwehr von Wirtschaftskriminellen, denen durch eine unzureichende Sicherheitsarchitektur der Zugriff auf die eigenen Systeme erleichtert wird. Die dadurch verursachten Schäden werden für Deutschland auf 50 Milliarden Euro geschätzt – jährlich. Unzureichende Sicherheitsmaßnahmen sind dafür jedoch eher verantwortlich zu machen als eine geknackte Kryptomethode.

18.10.2013

© Alle Rechte vorbehalten.
consulting plus
Beratung GmbH
Girardetstraße 1-5
45131 Essen
Tel.: +49 201 27 90 40