Security
Bild: CC0 - pixabay.com
Bild: CC0 - pixabay.com

Peter Gutmann an der FH Campus Wien

"Weniger Kryptografie ist manchmal mehr"

Nicht alle IT-Security-Probleme lassen sich mit Kryptografie lösen. Dieser Meinung ist der renommierte neuseeländische Computerwissenschaftler Peter Gutmann.

Verschlüsselungstechnologien schützen Datenbestände, Nachrichten und Datenverbindungen vor Angriffen. Aber nicht alle IT-Security-Probleme lassen sich mit Kryptografie lösen. Wie der renommierte Computerwissenschaftler Peter Gutmann vom Department of Computer Science an der Universität Auckland in Neuseeland jetzt bei den Campus Lectures an der FH Campus Wien erläuterte. Sicherheitsprofis empfiehlt er, flexibel zu sein und sicherheitskritische Probleme aus einer anderen Perspektive heraus zu lösen: mit einfachen Maßnahmen, die vielleicht nicht perfekt, aber "gut genug‘" sind.

Peter Gutmann war am 21. September 2017 zu Gast im Kompetenzzentrum für IT-Security an der FH Campus Wien und hat im Rahmen der Veranstaltungsreihe "Campus Lectures" einen Vortrag zum Thema "Hard and Not-necessarily-hard Problems in Cryptography" gehalten. Für den Experten für Design und Analyse von Sicherheitssystemen sind IT-Security-Probleme "bösartige" Probleme. Mit diesem Begriff, der eigentlich aus der Stadtplanung kommt, werden Probleme bezeichnet, die man nicht klar benennen kann, von denen man nicht weiß, wann man sie gelöst hat, und deren Lösungen immer nur "besser" oder "schlechter", aber niemals "wahr" oder "falsch" ist. "All das trifft auf IT-Sicherheitsprobleme zu", sagt Gutmann.

"Nichts ist vertrauenswürdig"

Seit gut 30 Jahren suche man nach Lösungen, damit Computer sicher arbeiten. "Aber wie soll man Daten in der Cloud schützen? Sie ist nichts Anderes als der Computer von jemand anderem", so Peter Gutmann. Und Sicherheitsfeatures in PCs würden oft nur Teile des Systems schützen bzw. höchstens garantieren, dass alles so bleibt, wie es beim ersten Sicherheitscheck war. "Man muss akzeptieren, dass in Wirklichkeit nichts, was man auf einem PC tut, vertrauenswürdig ist", so der Krypto-Experte. Er weiß genau, wovon er spricht: Schließlich hat Gutmann cryptlib, eine plattformübergreifende Open-Source-Verschlüsselungssoftware, entwickelt und ist Mitentwickler des Verschlüsselungsprogramms PGP2.0.

Ein "bösartiges" Sicherheitsproblem sei auch die Frage "Sicherheit vs. Verfügbarkeit" von Daten. Aus Sicht der Verfügbarkeit müssten Systeme in sicherheitskritischen Situationen weiterlaufen, vom Standpunkt der Sicherheit aus betrachtet, dürften sie genau das nicht. Ein unlösbares Problem, das maximal durch einen Kompromiss gelöst werden könne. Wie überhaupt jedes Sicherheitssystem immer nur ein Kompromiss sei.

Neue Perspektive

Peter Gutmann schlägt vor, dass Sicherheitsexperten Probleme nicht mit noch mehr Verschlüsselungstechnologien lösen, sondern den Blick auf das Problem verändern. "Attackiert wird ja nicht die Krypto, sondern die Anwendung an sich. Es nützt also wenig, in sicherheitskritischen Systemen die vorhandene Krypto durch noch mehr Krypto upzugraden." Der Computerwissenschaftler plädiert vielmehr dafür, den Blick auf das Problem zu verändern: "Es gibt keine perfekten Lösungen, aber solche, die wirksam und ‚gut genug‘ sind".

Manche IT-Security-Probleme ließen sich auf diese Weise relativ einfach lösen, wie Gutmann anhand von CAPTCHA, E-Mail-basierter Identifizierung und Eigenkontrolle durch E-Mail-Bestätigung aufzeigt: "Die einzeln eher unspektakuläre Maßnahmen können gemeinsam angewendet eine außerordentlich positive Wirkung haben."

Eine andere einfache und wirkungsvolle Methode in der IT-Security erläutert Gutmann abschließend: die Kontinuität (Key Continuity). Sie stellt sicher, dass ein User heute mit demselben Dateiserver, Mailserver oder Online-Shop zu tun hat wie auch vor einer Woche. Möglich ist das, indem beide Seiten immer denselben Schlüssel zur Authentifizierung verwenden.

Mehr Artikel zum Thema: Security

Doppelt gemoppelt schützt besser

Die neue Datenschutzgrundverordnung kennt kein Pardon: Neben...

Weiterlesen

Cyberangriffs-Simulation aus der Cloud

BreakingPoint Cloud ist eine SaaS-Lösung, mit der man seine...

Weiterlesen

Sicherheitsrisiko Fachkräftemangel

Die Bekämpfung von Wirtschaftskriminalität im digitalen...

Weiterlesen

Atos will Gemalto

Insgesamt würde sich der IT-Dienstleister den...

Weiterlesen

Sicherheit bleibt bei der Digitalen Transformation nahezu unberücksichtigt

Eine Vielzahl von Unternehmen beschäftigt sich momentan mit...

Weiterlesen

Paradigmenwechsel

Helmut Leopold beschäftigt sich am AIT Austrian Institute of...

Weiterlesen

Hacking-Angriffe auf Flugzeuge

Wie vor kurzem bekannt wurde, hat es ein Team von...

Weiterlesen

5 Mythen der Datenverschlüsselung

Unternehmen sehnen sich nach Lösungen interne Daten so...

Weiterlesen

Das Ziel ist, die User zu beschützen

Ist es für einen IT-Security-Anbieter ein Vor- oder ein...

Weiterlesen

Viren sind keine Magie

Juraj Malcho ist der Chief Technology Officer von ESET. Wir...

Weiterlesen

Security Basics: Aller Anfang ist leicht?!

IT-Sicherheit ist nichts, das man auf die leichte Schulter...

Weiterlesen

Sicherheit beginnt mit dem richtigen Passwort

Wie ein sicheres Passwort aussehen sollte, hat jeder schon...

Weiterlesen

Mitarbeiter sind Sicherheitsrisiko Nummer eins

Die größte Gefahr für die IT-Sicherheit eines Unternehmens...

Weiterlesen

Urbanski wechselt zu ESET

Der europäische IT-Security Hersteller ESET begrüßt einen...

Weiterlesen

Grois leitet Sophos-Niederlassung

Sophos hat Wolfgang Grois zum Country Manager für Österreich...

Weiterlesen

"Wir kommen ins Spiel, wenn die Security umgangen wurde"

Mit einem Rekordquartal im Rücken und einem neuen Release...

Weiterlesen

PrivacyWeek 2017 des C3W

Über hundert internationale ExpertInnen diskutieren und...

Weiterlesen

it-sa mit neuen Bestmarken

Die Nürnberger IT-Security-Messe it-sa hat sowohl bei...

Weiterlesen

Trends und Prognosen zur IT-Sicherheit

Für IT-Sicherheitsmaßnahmen geben Unternehmen heute mehr aus...

Weiterlesen

Bericht über Bankomaten-Hacker

Trend Micro und das European Cybercrime Centre (EC3) bei...

Weiterlesen