Mit Hausverstand gegen die Kryptokalypse
Dieser Artikel ist älter als ein Jahr!
Zum aktuellen Problem mit OpenSSL sagt König gegenüber der futurezone, dass Nutzer, und Administratoren, die ihre Software aktuell halten, wenig zu befürchten haben. “Wer Betriebssysteme, Browser, Server und Bibliotheken aktuell hält, muss sich nicht sorgen. Die Implementierung von Perfect Forward Secrecy (PFS) schützt zudem davor, dass bei Diebstahl des Schlüssels auch alte Informationen dechiffriert werden können”, so König, der für die Barracuda Networks AG Software für sichere Kommunikation entwickelt und Anfang April beim Security Forum der Fachhochschule (FH) Oberösterreich in Hagenberg zu Gast war. Aktueller Datenverkehr kann jedoch auch bei aktivierter PFS ausgelesen werden, wenn der Schlüssel bekannt ist.
“100-prozentigen Schutz gibt es nicht. Es war schon vor Bekanntwerden von Heartbleed möglich, die Verschlüsselung zu knacken. Mit Brute-Force-Methoden - dem Erraten der Schlüssel mit leistungsfähiger Hardware - ist lediglich der Aufwand höher. Das muss jedem bewusst sein”, so der Krypto-Experte. Auf Sicherheitslücken, wie aktuell Heartbleed in OpenSSL, muss trotzdem optimal reagiert werden. “Aufmerksame Administratoren haben das Leck schon längst gestopft”, meint König.
Sensible Kommunikationsvorgänge, wie etwa Online-Banking, sind durch das TAN-System zudem mit einem zweiten Mechanismus abgesichert. “Auch viele Online-Services haben mittlerweile ein zweistufiges Anmeldeverfahren eingeführt. Aber auch hier gilt, dass der Normalverbraucher mit entsprechendem Aufwand angegriffen werden kann. Die Frage ist nur, ob es sich für Angreifer lohnt”, so König. Hier sieht der Verschlüsselungs-Fachmann auch die Rolle der Kryptografie: Wenn jeder Kommunikationsvorgang überwacht werden kann, dient Verschlüsselung dazu, den Aufwand für das Absaugen der Daten in die Höhe zu treiben.
“Die Kryptokalypse wäre der Zusammenbruch der Kryptografie. Das ist bislang aber nicht passiert. Die bestehenden Verfahren erfüllen ihren Zweck nach wie vor sehr gut und können die Entschlüsselung von Informationen sehr schwierig machen. Es gibt Algorithmen, die nur mit einem unvertretbar hohen Aufwand an Rechenleistung und Zeit geknackt werden können”, sagt König. Solch aufwendige Sicherheitsmaßnahmen sind aber meist nur für Unternehmen interessant und selbst hier gibt es oft Probleme, auf dem neusten Stand zu bleiben. “Rückwärtskompabilität, etwa mit veralteten Browsern-Versionen, ist problematisch. Oft implementieren Firmen die neuste Sicherheitssoftware nicht, weil sie Rücksicht auf veraltete Software ihrer Kunden nehmen”, erklärt der Sicherheitsforscher.
Wichtige Updates
Privatanwender müssen aber trotzdem nicht verzagen. Durch die Verwendung aktueller Software und den bedachten Umgang mit Information stehen auch ihnen Schutzmechanismen zur Verfügung. “Ein bewusster Umgang mit Information ist die beste Verteidigung. Man muss ja auch nicht immer alles kommunizieren”, erklärt König. Das gelte sowohl für Firmen als auch für Privat-Nutzer. Technische Mittel zur Verschleierung der Inhalte von Kommunikation sind also nicht der einzige Weg, Datenklau zu verhindern. “Gerade Firmen sollten sich ohnehin nicht ausschließlich auf technische Maßnahmen verlassen. Gegen Mitarbeiter mit USB-Sticks hilft die beste Verschlüsselung nichts”, sagt der Fachmann.
Denkbar ist auch, dass technische Fortschritte heutige Verschlüsselungsverfahren in Zukunft unsicher machen. Wenn Daten heute gestohlen werden, können sie also vielleicht schon morgen entschlüsselt werden. “Ein Quantencomputer könnte heutige Algorithmen knacken, daran wird ja auch geforscht. Das ist immer ein Wettrüsten zwischen Angriff und Verteidigung”, so König. Die aktuelle Aufregung um Heartbleed teilt der Experte nicht, Sicherheitslücken werden auch in Zukunft vorkommen. Man muss sich bestmöglich darauf vorbereiten und optimal damit umgehen.
Folgen der Lücke
Dass Heartbleed Konsequenzen haben könnte, schließt er aber nicht aus. “Identitätsdiebstahl und die Übernahme von Accounts sind denkbar”, so König. Er selbst bevorzugt es keine übertriebenen Maßnahmen zu setzen, sondern plädiert für einen bewussten Umgang mit Kommunikationsmedien. “Ich habe auch meine Webcam unverklebt. Ich verschlüssle zwar meine Festplatte, die Mails aber kaum. Man sollte eben nur schreiben, was nicht sicherheitsrelevant ist. Alles andere erledigt man ohnehin besser auf anderen Wegen”, so König. Hausverstand helfe gegen viele Bedrohungen. “Wenn Experten empfehlen, die Passwörter zu ändern, sollte das erledigt werden - und zwar nicht mit `123456´. Hier fehlt noch etwas die Sensibilisierung. Online sind Menschen oft zu leichtsinnig. Wenn einer anruft und nach meinem PIN fragt, gebe ich den ja auch nicht her. Das soll auch fürs Netz gelten”, sagt König.
Dieser Artikel entstand im Rahmen einer Kooperation zwischen futurezone und der Fachhochschule Oberösterreich.
Beim Security Forum, das alljährlich im April am Campus Hagenberg der FH Oberösterreich stattfindet, halten Experten aus dem In- und Ausland Vorträge zu aktuellen Themen der IKT-Sicherheit. Organisiert wird die Veranstaltung vom Hagenberger Kreis zur Förderung der digitalen Sicherheit, dem Studentenverein der FH OÖ-Studiengänge „Sichere Informationssysteme“.
Kommentare