Passwort vergessen?  | 
 |  Passwort vergessen?  | 
Suche
  • Login
  • Login

Donnerstag, 14. Dezember 2017

IT-Sicherheit

Kryptografie sicher, Endpunkte schwach gesichert

Von Chr. Schulzki-Haddouti | 4. Oktober 2013 | Ausgabe 40

Die NSA belauscht Internetkommunikation umfassend und bricht in gesicherte Systeme ein. Doch ein Schutz vor der Überwachung im Netz ist noch immer möglich. Mit etwas Aufwand.

Kryptografie sicher, Endpunkte schwach gesichert

Verschlüsselte Kommunikation ist selbst für den US-Sicherheitsdienst nur mit einem erheblichen Aufwand zu knacken und das lohnt sich wohl nur im begründeten Verdachtsfall. Daher bietet Kryptografie einen guten Grundschutz. Foto: Fotolia

Die gute Nachricht zuerst: Die Snowden-Enthüllungen über die NSA-Angriffe auf die Verschlüsselung im Internet zeigen, dass es noch keinen entscheidenden algorithmischen Durchbruch gegeben hat. Die bestehenden Algorithmen sind also noch sicher. Der Kryptoexperte Bruce Schneider sagt daher: "Vertraue der Mathematik. Verschlüsselung ist dein Freund."

Die schlechte Nachricht: Kryptografie wird oft in einer unsicheren Umgebung eingesetzt. Edward Snowden: "Unglücklicherweise ist die Endpunkt-Sicherheit so schrecklich schwach, dass die NSA häufig Wege finden kann, sie zu überwinden." Mit Endpunkt ist die verwendete Software gemeint, der verwendete Rechner und das lokale Netzwerk. So kann beispielsweise ein Trojaner auf dem Rechner installiert werden, der den Text schon vor der Verschlüsselung ausliest.

Außerdem setzt die NSA IT-Sicherheitsunternehmen unter Druck, Umgehungen ihrer Sicherheitssysteme zuzulassen. Kryptosysteme entwickeln sich allerdings in der Regel weiter, indem aufgedeckte Schwachpunkte behoben werden. Künftig gehe es deshalb darum, so sagt Jon Callas, einer der Gründer der PGP Corporation und heute CTO des Kryptoexperten Silent Circle, die bekannten Verbesserungen noch schneller umzusetzen und bekannte Schwachstellen gründlicher zu untersuchen. Ständige Tests seien dafür notwendig.

Bruce Schneider gibt eine Reihe von Tipps für Nutzer, die es der NSA etwas schwerer machen möchten, sie auszuspähen. So sollen sie sich "im Netzwerk verstecken", indem sie Anonymisierungsdienste wie "Tor" oder das darauf aufsetzende JAP verwenden. Zwar greift die NSA auch Tor an und Nutzer sind nach neuesten Erkenntnissen nach zwei, drei Monaten der Nutzung auch wieder zu identifizieren, doch damit ist eine Menge Arbeit verbunden.

Nutzer sollen außerdem ihre Kommunikation verschlüsseln, etwa mit den Protokollen TLS oder IPsec. Das ist allemal sicherer, als keine Verschlüsselung zu verwenden. Dabei kann man darauf achten, ob der eigene E-Mail-Provider etwa eine gesicherte HTTPS-Verbindung anbietet, die mit Perfect Forward Secrecy gehärtet ist. In Deutschland ist das beispielsweise bei Posteo.de (siehe S. 17), aber auch bei Googlemail der Fall.

Ein gezielter Angriff auf den eigenen Rechner ist auch für die NSA mit Aufwand und Risiko verbunden. Um wirklich wichtige Informationen zu schützen, gibt es daher nichts Besseres, als eine Luftspalte, auf Englisch Airgap, zu verwenden. Das heißt, wichtige Dokumente sollen nur auf einem Rechner gespeichert werden, der nie ans Internet angeschlossen wird. Die Dokumente verlassen diesen Computer nur in verschlüsseltem Zustand.

Laura Poitras zum Beispiel, die Dokumentarfilmerin, die mit Edward Snowden arbeitet, nutzt zwei Rechner. Auf dem einen, der nie im Internet war, liegen alle Daten. Will sie Daten verschicken, verschlüsselt sie diese auf dem Rechner, packt sie auf einen USB-Stick und steckt diesen in den zweiten Rechner, der über eine Internetverbindung verfügt.

Grundsätzlich sollte man gegenüber der Software kommerzieller Anbieter misstrauisch sein, da diese Hintertüren haben können. Vor allem Software, deren Quellcode nicht offengelegt wird, darf für Hintertüren anfälliger gelten als Open Source Software, die von jedermann überprüft werden kann. So sollte man für die E-Mail-Verschlüsselung zum Beispiel lieber das quelloffene GPG benutzen als seine kommerzielle Variante PGP.

Außerdem sollte man Verschlüsselungssoftware verwenden, die mit anderen Implementierungen kompatibel sein müssen. So ist es schwieriger in TLS eine Hintertür einzubauen, weil TLS mit verschiedenen Versionen anderer Anbieter kompatibel sein muss. Eine Software wie Bitlocker hingegen muss nur mit sich selbst kompatibel sein, was der NSA einen Angriff leichter macht. Kurzum: Gesundes Misstrauen ist angesagt, Paranoia aber nicht. Denn mit einigen Vorkehrungen lässt sich die Sicherheit bereits erheblich erhöhen. CHR. SCHULZKI-HADDOUTI

stellenangebote

mehr