Security
Bild: CC0 - pixabay.com
Bild: CC0 - pixabay.com

Peter Gutmann an der FH Campus Wien

"Weniger Kryptografie ist manchmal mehr"

Nicht alle IT-Security-Probleme lassen sich mit Kryptografie lösen. Dieser Meinung ist der renommierte neuseeländische Computerwissenschaftler Peter Gutmann.

Verschlüsselungstechnologien schützen Datenbestände, Nachrichten und Datenverbindungen vor Angriffen. Aber nicht alle IT-Security-Probleme lassen sich mit Kryptografie lösen. Wie der renommierte Computerwissenschaftler Peter Gutmann vom Department of Computer Science an der Universität Auckland in Neuseeland jetzt bei den Campus Lectures an der FH Campus Wien erläuterte. Sicherheitsprofis empfiehlt er, flexibel zu sein und sicherheitskritische Probleme aus einer anderen Perspektive heraus zu lösen: mit einfachen Maßnahmen, die vielleicht nicht perfekt, aber "gut genug‘" sind.

Peter Gutmann war am 21. September 2017 zu Gast im Kompetenzzentrum für IT-Security an der FH Campus Wien und hat im Rahmen der Veranstaltungsreihe "Campus Lectures" einen Vortrag zum Thema "Hard and Not-necessarily-hard Problems in Cryptography" gehalten. Für den Experten für Design und Analyse von Sicherheitssystemen sind IT-Security-Probleme "bösartige" Probleme. Mit diesem Begriff, der eigentlich aus der Stadtplanung kommt, werden Probleme bezeichnet, die man nicht klar benennen kann, von denen man nicht weiß, wann man sie gelöst hat, und deren Lösungen immer nur "besser" oder "schlechter", aber niemals "wahr" oder "falsch" ist. "All das trifft auf IT-Sicherheitsprobleme zu", sagt Gutmann.

"Nichts ist vertrauenswürdig"

Seit gut 30 Jahren suche man nach Lösungen, damit Computer sicher arbeiten. "Aber wie soll man Daten in der Cloud schützen? Sie ist nichts Anderes als der Computer von jemand anderem", so Peter Gutmann. Und Sicherheitsfeatures in PCs würden oft nur Teile des Systems schützen bzw. höchstens garantieren, dass alles so bleibt, wie es beim ersten Sicherheitscheck war. "Man muss akzeptieren, dass in Wirklichkeit nichts, was man auf einem PC tut, vertrauenswürdig ist", so der Krypto-Experte. Er weiß genau, wovon er spricht: Schließlich hat Gutmann cryptlib, eine plattformübergreifende Open-Source-Verschlüsselungssoftware, entwickelt und ist Mitentwickler des Verschlüsselungsprogramms PGP2.0.

Ein "bösartiges" Sicherheitsproblem sei auch die Frage "Sicherheit vs. Verfügbarkeit" von Daten. Aus Sicht der Verfügbarkeit müssten Systeme in sicherheitskritischen Situationen weiterlaufen, vom Standpunkt der Sicherheit aus betrachtet, dürften sie genau das nicht. Ein unlösbares Problem, das maximal durch einen Kompromiss gelöst werden könne. Wie überhaupt jedes Sicherheitssystem immer nur ein Kompromiss sei.

Neue Perspektive

Peter Gutmann schlägt vor, dass Sicherheitsexperten Probleme nicht mit noch mehr Verschlüsselungstechnologien lösen, sondern den Blick auf das Problem verändern. "Attackiert wird ja nicht die Krypto, sondern die Anwendung an sich. Es nützt also wenig, in sicherheitskritischen Systemen die vorhandene Krypto durch noch mehr Krypto upzugraden." Der Computerwissenschaftler plädiert vielmehr dafür, den Blick auf das Problem zu verändern: "Es gibt keine perfekten Lösungen, aber solche, die wirksam und ‚gut genug‘ sind".

Manche IT-Security-Probleme ließen sich auf diese Weise relativ einfach lösen, wie Gutmann anhand von CAPTCHA, E-Mail-basierter Identifizierung und Eigenkontrolle durch E-Mail-Bestätigung aufzeigt: "Die einzeln eher unspektakuläre Maßnahmen können gemeinsam angewendet eine außerordentlich positive Wirkung haben."

Eine andere einfache und wirkungsvolle Methode in der IT-Security erläutert Gutmann abschließend: die Kontinuität (Key Continuity). Sie stellt sicher, dass ein User heute mit demselben Dateiserver, Mailserver oder Online-Shop zu tun hat wie auch vor einer Woche. Möglich ist das, indem beide Seiten immer denselben Schlüssel zur Authentifizierung verwenden.

Mehr Artikel zum Thema: Security

"Wir kommen ins Spiel, wenn die Security umgangen wurde"

Mit einem Rekordquartal im Rücken und einem neuen Release...

Weiterlesen

PrivacyWeek 2017 des C3W

Über hundert internationale ExpertInnen diskutieren und...

Weiterlesen

it-sa mit neuen Bestmarken

Die Nürnberger IT-Security-Messe it-sa hat sowohl bei...

Weiterlesen

Trends und Prognosen zur IT-Sicherheit

Für IT-Sicherheitsmaßnahmen geben Unternehmen heute mehr aus...

Weiterlesen

Bericht über Bankomaten-Hacker

Trend Micro und das European Cybercrime Centre (EC3) bei...

Weiterlesen

Österreichs Firmen zu sorglos

Fast jedes zweite österreichische Unternehmen war in den...

Weiterlesen

BYOD: Sicherheit und Datenschutz regeln

Seit Smartphones & Co. den Arbeitsalltag erobert haben,...

Weiterlesen

IT-Risikozone Finanzbranche

IT-Verantwortliche schlafen zur Zeit schlecht. Zu Recht! Sie...

Weiterlesen

Von Wanzen und Phishen

E-Mail-Spionage und Identitätsklau zahlen sich für...

Weiterlesen

3 Schritte für sichere SaaS-Nutzung

Nicht genehmigte SaaS-Anwendungen bergen Risiken,...

Weiterlesen

Urlaub? Fällt aus!

Fluglinien schützen ihre IT-Infrastruktur oft nur...

Weiterlesen

Überwachungspaket vs. Demokratie

Österreich steht vor einer dramatischen Ausweitung der...

Weiterlesen

Bundestrojaner gefährdet IT-Security

Die geeinte österreichische Internetwirtschaft äußert in...

Weiterlesen

ESET MSP Roadshow

IT-Security Hersteller ESET lädt Anfang Oktober zur...

Weiterlesen

Security-Awareness spielend fördern

Palo Alto Networks gibt Tipps zur Umsetzung von...

Weiterlesen

USB gehört gemanagt

Konstantin Fröse vom Storage-Security-Spezialisten...

Weiterlesen

IT-Security Messe und Kongress

Die it-sa zählt zu den weltweit wichtigsten Messen zum Thema...

Weiterlesen

NTT Security baut Management um

Kai Grunwitz wird Senior Vice President EMEA, Patrick...

Weiterlesen

IoT-Sicherheit erfordert Security by Design

Das Internet der Dinge bringt auch für den Mittelstand...

Weiterlesen

EMEA-Firmen nutzen Public Cloud

Unternehmen in der EMEA-Region steigern ihre Investition in...

Weiterlesen