Sichere Verschlüsselung in der Cloud: Stellungnahme von Sicherheitsexperte Dr. Hubert Jäger

Unsicherheitsfaktor „Mensch“ noch vor technischen Fragen betrachten

[datensicherheit.de, 04.10.2013] Praktisch alle gesicherten Vorgänge im Internet basieren auf der SSL-Verschlüsselung.
Während Firmen und Privatleute noch auf SSL vertrauen, deuten aktuelle Medienberichte an, dass Verschlüsselung für den US-amerikanischen Geheimdienst NSA kein Hindernis mehr darstellt. Der NSA soll es gelungen sein, gängige Internet-Verschlüsselungsmethoden zu umgehen. Damit sei es möglich, große Teile des verschlüsselten Internet-Verkehrs zu überwachen. Das entsprechende Programm zur Entschlüsselung des Internet-Verkehrs soll den Namen „Bullrun“ tragen und 255 Millionen US-Dollar pro Jahr gekostet haben. Inhaltlich verraten die Berichte in den allgemeinen Medien jedoch nichts, was in der Fachwelt nicht schon seit Jahren Allgemeingut wäre. Der deutsche Sicherheitsexperte Dr. Hubert Jäger, Geschäftsführer des IT-Sicherheitsdienstleisters Uniscon, fasst den derzeitigen fachlichen Stand zum Thema Verschlüsselung wie folgt zusammen:

Keine absolute Sicherheit!

Generell habe schon immer gegolten und gelte noch heute, dass es „keine absolute Sicherheit“ gebe, daher vermieden ernsthafte
Sicherheitsdienstleister wie Uniscon auch Formulierungen, die so verstanden werden könnten. Sicherheit bzw. Privatheit sei vielmehr die „Ökonomie des Schutzes“ – hohe Sicherheit und in Folge zuverlässige Privatheit bedeuteten, dass die Attacke deutlich teurer kommt als die Beute wert ist.

Foto: Uniscon GmbH

Dr. Hubert Jäger: Sicherheit bzw. Privatheit als „Ökonomie des Schutzes“ definiert

Fatale Neigung, schwächste Glieder der Sicherheitskette zu ignorieren

Außerdem gelte stets, dass eine Sicherheitskette nur so stark sei wie ihr schwächstes Glied. Häufig neigten Sicherheitstechniker aber dazu, gerade die Glieder der Kette, von denen sie glauben, sie nicht sicher gestalten zu können, in ihrem Konzept zu verdrängen. An dieser Stelle setze die Uniscon GmbH auf ihrem Spezialgebiet, Sicherheit in der Cloud, an – in einer „ABC-Analyse“ der Sicherheitsketten liege die Sicherheit beim Betreiber von Cloud-Diensten, E-Mail-Diensten und Webservern an erster Stelle bei möglichen Lecks. Das heiße also, dass das Risiko besonders hoch sei. Die Sicherheit der Endgeräte sei das zweitgrößte Sicherheitsloch. Die verschlüsselte Übertragung über SSL/TLS sei dann nur noch das drittwichtigste Leck.

Betreibersicherheit hat Priorität!

Bislang würden oft ohne echten Beweis die Dienstanbieter sowie die Geräte-, Betriebssystem- und Anti-Virus-Hersteller als vertrauenswürdig angesehen, kritisiert Dr. Jäger. Die Datenskandale seien jedoch überwiegend auf Untreue und Lecks bei den Anbietern zurückzuführen, nicht auf geknackte Verschlüsselungen. Es sei also geboten, sich erst um das schwächste Glied in der Sicherheitskette und dann um das zweitschwächste usw. zu kümmern. Also seien zuerst Betreibersicherheit und vertrauenswürdige Endgeräte zu verbessern, dann sei eine besonders sichere Verschlüsselung zu entwickeln.

Unscharfe Diskussion über „Verschlüsselung“

Wenn in den Medien über „geknackte“ Verschlüsselungen berichtet wird, so werde in der Regel nicht zwischen den verschiedenen Methoden unterschieden, erläutert Dr. Jäger.

1. Bei SSL/TLS sei die einfachste Methode des Abhörens, sich als „Mann in der Mitte“ zwischen Sender und Empfänger zu stellen. Man müsse dazu eine zweite verschlüsselte Verbindung aufbauen, von der – und das sei das Problem – der normale Nutzer in gewöhnlichen Browsern nichts mitbekomme, während Experten die Zertifikatsdetails anschauten und den Angriff erkennen könnten. Die Geheimdienste beherrschten diese Methode wahrscheinlich, da sie bei manchen Zertifikatserstellern sogenannte Root-Zertifikate erhalten oder vielleicht auch in den Browsern eigene Root-Zertifikate deponiert hätten. Deswegen enthalte z.B. das „Firefox-Add-in für IDGARD“ eine automatisierte Angriffserkennung.
2. Eine zweite Methode des Abhörens sei das Kopieren des verschlüsselten Datenstroms und das anschließende automatisierte Durchprobieren aller möglichen Schlüssel. Dies dauere bei guter Verschlüsselung sehr lange. Bei mangelhafter Verschlüsselung könne das bei hohen Rechenleistungen und entsprechenden Kosten für die Geheimdienste aber inzwischen auch sehr schnell bewerkstelligt werden. „IDGARD“ etwa besitze für seine Verschlüsselung ein A-Rating. Dies bedeute, dass alles, was im Bereich SSL/TLS sicherheitstechnisch erreichbar ist, erreicht worden sei.
   Mittelfristig werde „IDGARD“ optional eine weitere Verschlüsselung „on-top“ anbieten.
3. Eine weitere Möglichkeit, Verschlüsselung zu knacken, seien der Fachöffentlichkeit unbekannte bzw. geheime „Back Doors“, also bislang unentdeckte Einfallstore oder Schwächen der Implementierung. Diese könnten Angreifer zur Entschlüsselung nutzen, wenn sie den Datenstrom kopiert haben. Hiergegen würden nur „Open Source“-Implementierungen helfen, so beispielsweise bei „IDGARD“ eingesetzt.

Unsicherheitsfaktor Mensch

Dass Privat- und Geschäftskommunikation abgehört wird, sollte mittlerweile jedem klar sein, unterstreicht Dr. Jäger. Heute gehe es in
erster Linie darum, dass das verdrängte Sicherheitsproblem beim Betreiber, zum Beispiel von Cloud-Diensten, E-Mail-Diensten und
Webservern, angegangen werde. Die meisten Sicherheitskonzepte von Cloud-Anbietern berücksichtigten den Unsicherheitsfaktor „Mensch“ nicht in umfassender Form. Um Vertrauen und Integrität in der Cloud umsetzbar zu machen, habe z.B. Uniscon die „Sealed-Cloud-Technologie“ entwickelt.

Uniscon setzt auf „Sealed Cloud

Unternehmensdaten, die auf „Sealed Cloud“-Servern gespeichert sind, seien technisch so abgesichert, dass sie vor den Blicken Außenstehender und sogar vor den Blicken des Cloud-Betreibers geschützt seien. Mit dem auf der „Sealed Cloud“ entwickelten Dienst „IDGARD“ könnten Nutzer über ein Web-Interface oder eine der „IDGARD“-Apps für Smartphones und Tablets auf geschützte Daten in der „Sealed Cloud“ zugreifen und mit ihren Partnern sicher kommunizieren. Seit wenigen Wochen stelle der Dienst zusätzliche Funktionen, wie beispielsweise einen abhörsicheren Chat, als sichere Alternative zu den Chats in Skype oder WhatsApp zur Verfügung. Auch bei der Nutzung von E-Mails arbeiteten viele Nutzer ohne einen angemessenen Datenschutz und legten täglich eigene und fremde
Informationen offen. Mit „IDGARD“ lässt sich das vermeiden, da der Dienst sichere Kommunikationsräume schaffe, die von allen üblichen Plattformen aus nutzbar seien.

Weitere Informationen zum Thema:

Sealed Cloud
Wir schreiben PRIVACY ganz groß!