Security
Bild: CC0 - pixabay.com
Bild: CC0 - pixabay.com

Peter Gutmann an der FH Campus Wien

"Weniger Kryptografie ist manchmal mehr"

Nicht alle IT-Security-Probleme lassen sich mit Kryptografie lösen. Dieser Meinung ist der renommierte neuseeländische Computerwissenschaftler Peter Gutmann.

Verschlüsselungstechnologien schützen Datenbestände, Nachrichten und Datenverbindungen vor Angriffen. Aber nicht alle IT-Security-Probleme lassen sich mit Kryptografie lösen. Wie der renommierte Computerwissenschaftler Peter Gutmann vom Department of Computer Science an der Universität Auckland in Neuseeland jetzt bei den Campus Lectures an der FH Campus Wien erläuterte. Sicherheitsprofis empfiehlt er, flexibel zu sein und sicherheitskritische Probleme aus einer anderen Perspektive heraus zu lösen: mit einfachen Maßnahmen, die vielleicht nicht perfekt, aber "gut genug‘" sind.

Peter Gutmann war am 21. September 2017 zu Gast im Kompetenzzentrum für IT-Security an der FH Campus Wien und hat im Rahmen der Veranstaltungsreihe "Campus Lectures" einen Vortrag zum Thema "Hard and Not-necessarily-hard Problems in Cryptography" gehalten. Für den Experten für Design und Analyse von Sicherheitssystemen sind IT-Security-Probleme "bösartige" Probleme. Mit diesem Begriff, der eigentlich aus der Stadtplanung kommt, werden Probleme bezeichnet, die man nicht klar benennen kann, von denen man nicht weiß, wann man sie gelöst hat, und deren Lösungen immer nur "besser" oder "schlechter", aber niemals "wahr" oder "falsch" ist. "All das trifft auf IT-Sicherheitsprobleme zu", sagt Gutmann.

"Nichts ist vertrauenswürdig"

Seit gut 30 Jahren suche man nach Lösungen, damit Computer sicher arbeiten. "Aber wie soll man Daten in der Cloud schützen? Sie ist nichts Anderes als der Computer von jemand anderem", so Peter Gutmann. Und Sicherheitsfeatures in PCs würden oft nur Teile des Systems schützen bzw. höchstens garantieren, dass alles so bleibt, wie es beim ersten Sicherheitscheck war. "Man muss akzeptieren, dass in Wirklichkeit nichts, was man auf einem PC tut, vertrauenswürdig ist", so der Krypto-Experte. Er weiß genau, wovon er spricht: Schließlich hat Gutmann cryptlib, eine plattformübergreifende Open-Source-Verschlüsselungssoftware, entwickelt und ist Mitentwickler des Verschlüsselungsprogramms PGP2.0.

Ein "bösartiges" Sicherheitsproblem sei auch die Frage "Sicherheit vs. Verfügbarkeit" von Daten. Aus Sicht der Verfügbarkeit müssten Systeme in sicherheitskritischen Situationen weiterlaufen, vom Standpunkt der Sicherheit aus betrachtet, dürften sie genau das nicht. Ein unlösbares Problem, das maximal durch einen Kompromiss gelöst werden könne. Wie überhaupt jedes Sicherheitssystem immer nur ein Kompromiss sei.

Neue Perspektive

Peter Gutmann schlägt vor, dass Sicherheitsexperten Probleme nicht mit noch mehr Verschlüsselungstechnologien lösen, sondern den Blick auf das Problem verändern. "Attackiert wird ja nicht die Krypto, sondern die Anwendung an sich. Es nützt also wenig, in sicherheitskritischen Systemen die vorhandene Krypto durch noch mehr Krypto upzugraden." Der Computerwissenschaftler plädiert vielmehr dafür, den Blick auf das Problem zu verändern: "Es gibt keine perfekten Lösungen, aber solche, die wirksam und ‚gut genug‘ sind".

Manche IT-Security-Probleme ließen sich auf diese Weise relativ einfach lösen, wie Gutmann anhand von CAPTCHA, E-Mail-basierter Identifizierung und Eigenkontrolle durch E-Mail-Bestätigung aufzeigt: "Die einzeln eher unspektakuläre Maßnahmen können gemeinsam angewendet eine außerordentlich positive Wirkung haben."

Eine andere einfache und wirkungsvolle Methode in der IT-Security erläutert Gutmann abschließend: die Kontinuität (Key Continuity). Sie stellt sicher, dass ein User heute mit demselben Dateiserver, Mailserver oder Online-Shop zu tun hat wie auch vor einer Woche. Möglich ist das, indem beide Seiten immer denselben Schlüssel zur Authentifizierung verwenden.

Mehr Artikel zum Thema: Security

"Die große Chance" für Security-Startups

Vom 9. bis 11. Oktober 2018 dreht sich in Nürnberg auf der...

Weiterlesen

Cyberforensiker wird EY-Partner

Benjamin Weißmann wurde in die Partnerschaft von EY...

Weiterlesen

WP: Schnell und sicher durch Automatisierung

Routineaufgaben kosten viel Zeit und machen keinen Spaß:...

Weiterlesen

Der Wettlauf um mehr Sicherheit

Cyber-Sicherheit ist mitunter wie das Rennen zwischen Hase...

Weiterlesen

Cryptojacking am Vormarsch

Was bedeuten diese neueren Angriffsformen, die Unternehmen...

Weiterlesen

Lautloser Angriff: Alexa, Siri & Co. austricksen

Sehr zur Freude ihrer millionenfachen Besitzer erledigen...

Weiterlesen

Wie sicher sind Bitcoin & Co.?

NTT Security, die IT-Sicherheits-Experten der NTT Group,...

Weiterlesen

Verschlüsselung Fehlanzeige

Gretchenfrage: Wie halten es die Österreicher eigentlich mit...

Weiterlesen

Bitcoin: Von Lösegeld und Schatztruhen

Sich als Unternehmen einen Notgroschen in Form von...

Weiterlesen

Steigende Budgets für Digitalisierung und Security

Viele Unternehmen nützen neue Technologien, um innovative...

Weiterlesen

Zeitenwende bei der Zutrittskontrolle

Industrie 4.0 ist mit beeindruckender Geschwindigkeit in...

Weiterlesen

Größte Security-Gefahren im Connected Car

Media-Schnittstellen, Car2X-Komunikation, Bus-Systeme: Autos...

Weiterlesen

Schwache Passwörter als großes Sicherheitsrisiko

Exotische und komplexe Angriffsszenarien kommen vor und man...

Weiterlesen

Mehr Angriffe auf Finanzsektor

NTT Security, das auf Sicherheit spezialisierte Unternehmen...

Weiterlesen

Wie funktionieren Endpoint-Attacken?

Ein besseres Verständnis über die verschiedenen Schritte...

Weiterlesen

DSGVO & Co.: Wer nicht verschlüsselt, ist selber schuld

Nichts erfreut Hacker und Datendiebe mehr als der Zugriff...

Weiterlesen

Mit Neuronen auf Cybergangsterjagd

In der Cybersicherheits-Branche wird der Begriff "Machine...

Weiterlesen

WP: Schwachstellen automatisch erkennen & patchen

Spätestens seit WannaCry und NotPetya hat sich die...

Weiterlesen

Zu viele Angriffspunkte? Veraltete Systeme?

Umfassende Security ist eine große Herausforderung. Dennoch...

Weiterlesen

Sicherheitsrisiko Führungskraft

NTT Security, das "Security Center of Excellence" der NTT...

Weiterlesen