Ist Verschlüsselung noch sicher?
ID: 943721
Der deutsche Sicherheitsexperte Dr. Hubert Jäger, Geschäftsführer des IT-Sicherheitsdienstleisters Uniscon (1), fasst den derzeitigen fachlichen Stand zum Thema Verschlüsselung wie folgt zusammen:
Generell galt und gilt, dass es keine absolute Sicherheit gibt, daher vermeiden ernsthafte Sicherheitsdienstleister wie Uniscon auch Formulierungen, die so verstanden werden könnten. Sicherheit/Privatheit ist vielmehr die Ökonomie des Schutzes: Hohe Sicherheit und in Folge zuverlässige Privatheit bedeuten, dass die Attacke deutlich teurer kommt als die Beute wert ist.
Außerdem galt und gilt, dass eine Sicherheitskette nur so stark ist wie ihr schwächstes Glied. Häufig neigen Sicherheitstechniker aber dazu, gerade die Glieder der Kette, von denen sie glauben, sie nicht sicher gestalten zu können, in ihrem Konzept zu verdrängen. An dieser Stelle setzen wir bei der Uniscon GmbH auf unserem Spezialgebiet, Sicherheit in der Cloud, an: In einer "ABC-Analyse" der Sicherheitsketten liegt die Sicherheit beim Betreiber von Cloud-Diensten, E-Mail-Diensten und Webservern, an erster Stelle bei möglichen Lecks. Das heißt also das Risiko ist besonders hoch. Die Sicherheit der Endgeräte ist das zweitgrößte Sicherheitsloch. Die verschlüsselte Übertragung über SSL/TLS ist dann nur noch das drittwichtigste Leck.
Bislang werden oft ohne echten Beweis die Dienstanbieter sowie die Geräte-, Betriebssystem- und Anti-Virus-Hersteller als vertrauenswürdig angesehen. Die Datenskandale sind jedoch überwiegend auf Untreue und Lecks bei den Anbietern zurückzuführen, nicht auf geknackte Verschlüsselungen. Es ist also geboten, sich erst um das schwächste Glied in der Sicherheitskette und dann um das zweitschwächste usw. zu kümmern. Also sind zuerst Betreibersicherheit und vertrauenswürdige Endgeräte zu verbessern, dann ist eine besonders sichere Verschlüsselung zu entwickeln.
Nun zur Verschlüsselung: Wenn in den Medien über "geknackte" Verschlüsselungen berichtet wird, so wird in der Regel nicht zwischen den verschiedenen Methoden unterschieden.
1. Bei SSL/TLS ist die einfachste Methode des Abhörens, sich als Mann in der Mitte zwischen Sender und Empfänger zu stellen. Man muss dazu eine zweite verschlüsselte Verbindung aufbauen, von der - und das ist das Problem - der normale Nutzer in gewöhnlichen Browsern nichts mitbekommt, während Experten die Zertifikatsdetails anschauen und den Angriff erkennen können. Die Geheimdienste beherrschen diese Methode wahrscheinlich, da sie bei manchen Zertifikatserstellern so genannte Root-Zertifikate erhalten haben, oder vielleicht auch in den Browsern eigene Root-Zertifikate deponiert haben. Deswegen enthält das Firefox-Add-in für IDGARD eine automatisierte Angriffserkennung.
2. Eine zweite Methode des Abhörens ist, den verschlüsselten Datenstrom zu kopieren und dann alle möglichen Schlüssel automatisiert durchzuprobieren. Das dauert bei guter Verschlüsselung sehr lange. Bei mangelhafter Verschlüsselung kann das bei hohen Rechenleistungen und entsprechenden Kosten für die Geheimdienste aber inzwischen auch sehr schnell bewerkstelligt werden. IDGARD besitzt für seine Verschlüsselung ein A-Rating. Das bedeutet, alles, was im Bereich SSL/TLS sicherheitstechnisch erreichbar ist, wurde erreicht. Mittelfristig wird IDGARD optional eine weitere Verschlüsselung "on-top" anbieten.
3. Eine weitere Möglichkeit, Verschlüsselung zu knacken, sind der Fachöffentlichkeit unbekannte bzw. geheime "Back Doors", also bislang unentdeckte Einfallstore oder Schwächen der Implementierung. Diese können Angreifer zur Entschlüsselung nutzen, wenn sie den Datenstrom kopiert haben. Hiergegen helfen nur "Open Source"-Implementierungen, die beispielsweise bei IDGARD eingesetzt werden, wo immer es geht.
Dass Privat- und Geschäftskommunikation abgehört wird, sollte mittlerweile jedem klar sein. Heute geht es in erster Linie darum, dass das verdrängte Sicherheitsproblem beim Betreiber, zum Beispiel von Cloud-Diensten, E-Mail-Diensten und Webservern, angegangen wird. Die meisten Sicherheitskonzepte von Cloud-Anbietern berücksichtigen den Unsicherheitsfaktor "Mensch" nicht in umfassender Form. Um Vertrauen und Integrität in der Cloud umsetzbar zu machen, hat Uniscon die Sealed-Cloud-Technologie entwickelt.
Unternehmensdaten, die auf Sealed Cloud Servern gespeichert sind, sind technisch so abgesichert, dass sie vor den Blicken Außenstehender und sogar vor den Blicken des Cloud-Betreibers geschützt sind. Mit dem auf der Sealed Cloud entwickelten Dienst IDGARD können Nutzer über ein Web-Interface oder eine der IDGARD Apps für Smartphones und Tablets auf geschützte Daten in der Sealed Cloud zugreifen und mit ihren Partnern sicher kommunizieren. Seit wenigen Wochen stellt der Dienst zusätzliche Funktionen, wie beispielsweise einen abhörsicheren Chat, als sichere Alternative zu den Chats in Skype oder WhatsApp zur Verfügung. Auch bei der Nutzung von E-Mails arbeiten viele Nutzer ohne einen angemessenen Datenschutz und legen täglich eigene und fremde Informationen offen. Mit IDGARD lässt sich das vermeiden, da der Dienst sichere Kommunikationsräume schafft, die von allen üblichen Plattformen aus nutzbar sind.
Uniscon - The Web Privacy Company entwickelt technische Lösungen zur sicheren und bequemen Online- Geschäftskommunikation. Der Service ID|GARD für Unternehmen basiert auf der weltweit patentierten Sealed Cloud Technologie. Dabei werden die Daten in der Cloud geschützt, so dass selbst der Betreiber des Portals keinen Zugriff auf die Daten seiner Kunden hat. Die Unternehmensdaten bleiben damit ausschließlich im Besitz des Eigentümers. Die Sealed Cloud Technologie wird durch ein von Uniscon geführtes Konsortium im Rahmen der Trusted Cloud Initiative des BMWi zur generellen Nutzung durch die deutsche Industrie weiter entwickelt. Weitere Informationen finden Sie unter www.uniscon.de, www.sealedcloud.de und www.idgard.de.
Unternehmensinformation / Kurzprofil:
Uniscon - The Web Privacy Company entwickelt technische Lösungen zur sicheren und bequemen Online- Geschäftskommunikation. Der Service ID|GARD für Unternehmen basiert auf der weltweit patentierten Sealed Cloud Technologie. Dabei werden die Daten in der Cloud geschützt, so dass selbst der Betreiber des Portals keinen Zugriff auf die Daten seiner Kunden hat. Die Unternehmensdaten bleiben damit ausschließlich im Besitz des Eigentümers. Die Sealed Cloud Technologie wird durch ein von Uniscon geführtes Konsortium im Rahmen der Trusted Cloud Initiative des BMWi zur generellen Nutzung durch die deutsche Industrie weiter entwickelt. Weitere Informationen finden Sie unter www.uniscon.de, www.sealedcloud.de und www.idgard.de.
Datum: 12.09.2013 - 13:19 Uhr
Sprache: Deutsch
News-ID 943721
Anzahl Zeichen: 6819
Kontakt-Informationen:
Stadt:
München
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 231 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Ist Verschlüsselung noch sicher?"
steht unter der journalistisch-redaktionellen Verantwortung von
Uniscon GmbH - The Web Privacy Company (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Egal, ob Big Data, Internet of Things oder Industrie 4.0 ? viele Wege führen in ?die Cloud?. Oder würden dorthin führen, wenn nicht diese IT-Sicherheitsbedenken wären! Für Entscheider sind die drei großen IT-Sicherheitslücken ? das Abzapfen von Daten beim Transfer, das Abgreifen der Datensch
iDGARD auf der it-sa 2016: Sicherheit und Komfort ist kein Widerspruch ...
Zertifiziert mit Schutzklasse 3 nach dem Trusted Cloud Datenschutzprofil dürfen den Collaborationsdienst iDGARD sogar Berufsgruppen nutzen, die als Geheimnisträger gelten ? Träger von Privat-, Amts- oder Unternehmensgeheimnissen. Sein hohes Sicherheits- und Datenschutzniveau verdankt der Dienst
Cloud Computing: Sind die drei großen Sicherheitslücken geschlossen? ...
Wenn man davon spricht, etwas in die Cloud zu laden, meint man in der Regel, Daten auf einem entfernten Server zu speichern. Dabei werden die Daten von einem Gerät über das Internet auf den Server eines Cloud-Anbieters hochgeladen. Später können die Dateien mit diesem oder anderen Geräten wied
Weitere Mitteilungen von Uniscon GmbH - The Web Privacy Company
iT-CUBE präsentiert seine SAP® Security Lösung erstmalig mit HP ArcSight CEF Zertifizierung auf der it-sa 2013 in Nürnberg und auf der HP Protect in Washington D.C. ...
Die it-sa 2013 in Nürnberg ist die Leitmesse rund um das Thema IT-Security und das nicht nur in Deutschland. Mittlerweile hat sie sich zu einer der bedeutendsten Messen für IT-Security weltweit entwickelt. In diesem Rahmen präsentiert sich die iT-CUBE auch am Stand von HP. Dass diese Zusammenarbe
SECUDE mit neuem Partner GigaTrust: Noch mehr Sicherheit für SAP-Daten ...
Der Anbieter von IT-Sicherheitslösungen SECUDE ist eine Technologie-Partnerschaft mit GigaTrust eingegangen. GigaTrust, Marktführer für Content Protection Software, nimmt Halocore von SECUDE in sein Portfolio auf. Halocore schützt Daten, die aus SAP exportiert werden, und ergänzt die Lösungsp
Row 44 hat Kontrons Wireless Access Point Cab-n-Connect für seine Hochgeschwindigkeits-WLAN-Installationen ausgewählt ...
Kontron hat heute bekanntgegeben, dass Row 44 den Wireless Access Point für Flugzeugkabinen (Cabin Wireless Access Point) Cab-n-Connect für seine Hochgeschwindigkeits-WLAN-Installationen ausgewählt hat. Row 44, eine Tochtergesellschaft der Global Eagle Entertainment (Nasdaq: ENT), ist ein führe
Maximale Gestaltungsfreiheit beim Website-Bau mit web to date Next Generation ...
Leistungssprung im Bereich Gestaltungssoftware: der Düsseldorfer Publisher Data Becker hat die komplett neu entwickelte Software web to date Next Generation veröffentlicht. Wegweisendes Feature ist die einzigartige Gestaltungsfreiheit sowohl im Designbereich wie auch bei Aufbau und Strukturierun




