Kryptografie
Kaum ein Gebiet der IT löst so viel Verunsicherung, Verwirrung und sogar politische Stellungnahmen aus wie die Kryptografie. Interessierte finden hier eine Einführung in das Thema, einige typische Anwendungsfälle sowie eine Analyse der grundsätzlichen Chancen und Risiken von Kryptografie.
Was ist Kryptografie?
Die Kryptografie stellt eine breite Palette von hervorragenden Werkzeugen bereit. Sie werden verwendet, um Daten in unkontrollierbarer Umgebung (etwa im Internet) zu schützen. Einige davon nutzen wir bereits täglich, ohne es zu merken, andere erfordern für ihren erfolgreichen Einsatz gründliche Vorbereitung.
Hauptthemen der Kryptografie:
- Durch Verschlüsseln wird verhindert, dass Daten von Unbefugten eingesehen werden können.
- Anhand von Prüfsummen (Message Digests) kann man erkennen, ob Daten verändert wurden.
- Mit Signaturen bestätigen Personen die Authentizität von Daten und dass diese tatsächlich von ihnen stammen.
Mehr Information unter Hintergrundwissen zur Kryptografie.
Einsatzgebiete der Kryptografie
Folgende Anwendungen sind auch im universitären Kontext von Interesse:
Diskretion im Web – https
Wenn Sie Ihr Passwort im Web eingeben oder private Daten abrufen, sollen diese unbeobachtet durch das Netz transportiert werden. Das Schloss-Symbol im Browser (technisch gesehen das https-Protokoll) steht für verschlüsselte und unverfälschte Kommunikation samt Identitätsprüfung.
Dieses Verfahren ist allgegenwärtig und einfach zu bedienen. Mehr Informationen unter Diskretion im Web mit https.
Laptop verloren
Es kann leicht passieren, dass ein Laptop, Smartphone oder Tablet gestohlen wird oder verloren geht. Der materielle Verlust schmerzt, ist aber ersetzbar und auch der Inhalt ist (hoffentlich) dank Backup leicht wiederherstellbar. Damit die Daten auf dem verlorenen Gerät nicht in falsche Hände kommen, sollte man vorab die Festplatten- oder Geräteverschlüsselung aktivieren.
E-Mail schützen
Eine E-Mail-Nachricht wandert offen wie eine Postkarte durch das Internet. Bei jedem System, das die Nachricht auf ihrem Weg zum Ziel passiert, kann sie rein theoretisch von den Betreibern unbefugt gelesen werden. Es gibt auch unbefugtes Schreiben: Wer den Absender fälscht und sich als jemand anderer ausgibt, kann einigen Schaden anrichten.
Mehr Informationen unter E-Mail verschlüsseln und signieren.
Verschlüsselte Container
Manchmal möchte man Daten gesondert versperren: Entweder als zweite Verteidigungslinie, weil man das Risiko eines Serverfehlers oder eines Passwortverlusts nicht eingehen möchte, oder weil die Daten ungesichert – beispielsweise mit einem USB-Stick oder in einem unverschlüsselten E-Mail – transportiert werden. Gute Dienste leisten hier verschlüsselte Container.
Weitere Anwendungen
Es gibt es viele weitere Einsatzgebiete für Kryptografie, auf die einzugehen hier den Rahmen sprengen würde. Beispiele dafür sind:
- Netzzugang mit VPN
- Signierte PDF-Dokumente (etwa Zeugnisse mit Amtssignatur)
- Verschlüsselung im WLAN
- Hardware-Token und Chipkarten
Grenzen und Schwächen
Trotz aller Erfolge hat es auch kryptografische Debakel gegeben. Wichtig ist, daraus die nötigen Lehren zu ziehen und zu einer realistischen Einschätzung kryptografischer Werkzeuge zu gelangen.
- Gegen Fehlbedienung ist die beste Technik machtlos. Wer beispielsweise Zertifikatswarnungen ignoriert, handelt überaus fahrlässig. Schulungen sorgen für Abhilfe.
- Verlorene oder unzugängliche Schlüssel machen verschlüsselte Information unbrauchbar. Im professionellen Umfeld sollte man diesen Fall einplanen und vorsorgen (etwa durch Hinterlegungspflicht oder die Speicherung auf einem anders geschützten Medium).
- Kryptografie wirkt nicht, wo sie nicht zum Tragen kommt. Belauscht beispielsweise eine Schadsoftware den PC, bevor die Nachricht verschlüsselt wird, nutzt die beste Kryptografie nichts. Nicht zufällig setzen Behörden und Geheimdienste auf Bundestrojaner und Lauschsoftware direkt bei den Anwender*innen.
- Kryptografie wirkt nicht, wenn Nutzer*innen sie umgehen, weil sie mit Bestechung, Zwang, Gewalt, Drogen usw. beeinflusst werden.
- Kryptografische Software kann Fehler aufweisen. Daher sollte man auf vertrauenswürdige Hersteller und rasche Updates achten und verschlüsselte Information nicht mehr als nötig exponieren.
- Ein Verfahren, das heute als sicher gilt, könnte in 10 oder 15 Jahren angreifbar sein. Wenn Geheimhaltung für einen längeren Zeitraum unbedingt erforderlich ist, sind besondere Maßnahmen nötig.
- Verschlüsselung kann ein Sicherheitsproblem sein, weil dadurch beispielsweise Virenscanner gehindert werden, Schadsoftware zu erkennen.
Eine Reihe unwahrscheinlicher, aber möglicher Fälle könnte zum Versagen der Kryptografie führen. Quantencomputer, deren praktischer Einsatz derzeit nicht unmittelbar bevorsteht, könnten beispielsweise mit einem Schlag bestehende Verfahren unbrauchbar machen. Inwieweit hypothetische Bedrohungen entscheidungsrelevant sind, muss von Fall zu Fall beurteilt werden.
Spannungsfeld zwischen Kryptografie und Kontrolle
Erfolgreicher Einsatz von Kryptografie ist für zumindest drei Gruppen problematisch:
- Den Staat
- Politische und wirtschaftliche Spione
- Die IT-Security in der eigenen Organisation (da beispielsweise ein Virenscanner keine verschlüsselten Daten scannen kann)
Die in der Tagespolitik gerne aufgestellte Forderung, in der Kryptografie müsse man Hintertüren für Behörden einbauen, ist etwa so zielführend wie zu verlangen, dass 2 + 2 gesetzlich 3,997 zu lauten habe. Kryptografie ist Mathematik, jeder der nachrechnet wird das Ergebnis korrigieren.
Man könnte auch vorschreiben, dass in die verwendete Software Fehler eingebaut werden, die nur den „Guten” bekannt sind. Würden Kriminelle sich wirklich kaputte Sicherheitsprodukte vorschreiben lassen? Wenig spricht dafür, dass das Wissen über die Schwachstellen tatsächlich vor organisierter Kriminalität und ausländischen Geheimdiensten geheim gehalten werden könnte – eine unabschätzbare Gefährdung, die niemand verantworten kann.
In einer vollständig zentral gemanagten Organisation wäre es übrigens tatsächlich machbar, die Kryptografie sozusagen an der Firewall aufbrechen. An der Universität Wien steht das allerdings nicht zur Debatte, da dazu sowohl der Wille als auch in dieser Umgebung die technische Machbarkeit fehlen.
Checkliste
Prüfen Sie mit folgender Checkliste, ob in Ihrer IT-Umgebung die allgemein üblichen kryptografischen Sicherheitsvorkehrungen getroffen sind. Entscheiden Sie bei jedem Listenpunkt, ob er für Sie relevant ist. Wenn ja: Ist er erfüllt oder sind weitere Informationen bzw. andere Maßnahmen nötig?
Notieren Sie das Ergebnis und ergreifen Sie die notierten Maßnahmen. Wiederholen Sie das Verfahren in angemessenen Intervallen.
- Sicherheitstipps zu https im Web bekannt
- E-Mail-Klienten verwenden TLS oder STARTTLS
- Handy verschlüsselt
- Tablet verschlüsselt
- Laptop-Festplatte verschlüsselt
- Passwörter dazu gesichert
- Keine vertraulichen Daten in E-Mail (ggf. E-Mail verschlüsselt)
- Passwörter dazu gesichert
- Besonders gefährdete oder sensible Daten in einem Cryptocontainer gesichert
- USB-Sticks und externe Festplatten verschlüsselt
- Passwörter dazu gesichert