Auch NSA & Co. können nicht alles knacken

Die Enthüllungen von Whistleblower Edward Snowden haben das Vertrauen in die Wirksamkeit von Verschlüsselungsverfahren erschüttert. [...]

Angesichts der nach und nach veröffentlichten Informationen über die Aktivitäten von NSA & Co. konnte man schon den Eindruck gewinnen, gegen die Geheimdienste von heute sei kein Kraut gewachsen. Viele fragen sich, ob nicht gerade die USA ihre Finger überall so tief drin haben, dass man sich die Mühe auch gleich sparen kann, seine Daten schützen zu wollen.

Die gute Nachricht: Es gibt noch immer sichere Verschlüsselungs-Verfahren, die nach heutigem Wissensstand auch die Geheimdienste nicht knacken können. Zu diesem Schluss kommen Bernhard Esslinger (Uni Siegen), Martin Franz und Michael Schneider in einem Artikel für die Fachzeitschrift . Als unsicher anzusehen sind demnach vor allem ältere Standards, die akademische Kreise schon länger als „gebrochen“ angesehen haben, die aber dennoch verbreitet im Einsatz sind. Zudem gilt als gesichert, dass in mindestens einem Fall eine Standardisierung im Sinne der Dienste beeinflusst und mit einer „Hintertür“ versehen wurde. Trotzdem bleibt der Werkzeugkasten der Security-Industrie noch ausreichend gut gefüllt, um für ordentliche Sicherheit sorgen zu können, sind die Experten überzeugt.

Die schlechte Nachricht, die in dem Artikel veröffentlicht wurde, lautet indessen: Längst nicht jeder Anbieter agiert nur im Interesse seiner Kunden. Viele namhafte Soft- und Hardware-Hersteller arbeiten offenbar mit den Geheimdiensten zusammen: Entweder bauen sie gleich gezielte Schwachstellen ein oder programmieren zumindest in einer Art und Weise, die den Spionen das Leben leichter macht. Die Achillesferse der Sicherheit liegt also in den Systemen, Softwares und Dienstleistungen. Auch und gerade „in der Cloud“ ist anzunehmen, dass Sicherungen bewusst geschwächt oder Daten sogar direkt durchgereicht werden.

Ein wesentlicher Schritt zum besseren Schutz liegt daher in der Auswahl der genutzten Hard- und Software sowie Internetdienste. Hier steht zu befürchten, dass gerade Unternehmen, die in den USA ansässig oder stark vertreten sind, einem enormen Druck seitens der Sicherheitsorgane unterliegen – doch auch in anderen Teilen der Welt (inklusive Europa) gibt es äußerst aktive Geheimdienste. Neben der Bevorzugung nationaler Anbieter könnten auch Open-Source-Produkte oder unabhängige Prüfungen in gewissen Grenzen für ein Mehr an Sicherheit sorgen, sind die Experten überzeugt.

Zudem sollte man darauf achten, dass Produkte keine „alten“ Verfahren enthalten, die auch ohne aktives Zutun des Anbieters den Geheimdiensten Tür und Tor öffnen. Hier wird man zwar großteils auf die Aussagen der Hersteller vertrauen müssen, die es mit Empfehlungen der Fachleute abzugleichen gilt. Aber ohne fundierte Rückfragen und (Gegen-)Druck von Seiten der Kunden dürften sich mehr Hersteller klaglos den Wünschen von NSA & Co. unterwerfen als in einem Markt, der verstärkt Transparenz einfordert. Denn es ist eine Sache, stillschweigend mit den Geheimdiensten zu kooperieren, und eine andere, seine Kunden explizit zu belügen – schon gar, wenn man einer Gerichtsbarkeit untersteht, die womöglich zu Schadensersatz verpflichtet, wenn solche Lügen später auffliegen.
 
Der vollständige Artikel zum Thema „Krypto und NSA“ ist in Ausgabe 1/2014 zu finden. Ein gratis Ansichtsexemplar dieser Ausgabe erhält man unter http://www.kes.info/probeheft. (pi)


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*