:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Captcha-Alternativen aus der Blockchain Auswege aus dem Captcha-Dschungel
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
"Completely Automated Public Turing test to tell Computers and Humans Apart" - hinter diesem sperrigen Begriff verbirgt sich etwas, das so ziemlich jede:r Internetnutzer:in schon einmal gesehen und benutzt hat – Captchas. Sie sind in verschiedenen Formen in alle möglichen Websites integriert und haben nur einen Zweck: möglichst zuverlässig festzustellen, ob es sich bei einem Besucher um einen Bot oder eine echte Person handelt und so Spam zu verhindern. Was sind die Alternativen?
In der digitalen Welt ist es eine große Herausforderung, zwischen einer echten Person und einem Computer oder einem Bot zu unterscheiden. Laut dem "Bad Bot Report 2021" von Imperva stammten im Jahr 2020 rund 25,6 Prozent des gesamten Internetverkehrs von sogenannten “Bad Bots”. Dabei handelt es sich um Programme, die sich genauso verhalten wie echte Menschen, Websites angreifen und mit enormer Geschwindigkeit Schaden anrichten können. Das Bot-Problem zeigt sich zum Beispiel beim Vorverkauf beliebter Sonderausgaben von Marken wie Adidas und Co. Diese Artikel sind oft schon Sekunden nach der Markteinführung ausverkauft, ohne dass menschliche Nutzer:innen auch nur die geringste Chance haben, sie selbst zu bestellen. Kurze Zeit später sind die Artikel auf Ebay zu höheren Preisen zu finden. Ein weiteres Beispiel sind Formulare, z. B. für Nachrichten an den Kundendienst. Weil Mitarbeiter:innen aus den unzähligen Anfragen die echten herausfiltern müssen, steigen die Antwortzeiten enorm und die Kundenzufriedenheit sinkt. Nicht zuletzt war das Versenden von E-Mails durch Computer (der ursprüngliche Spam) das erste weit verbreitete Beispiel für das Bot-Problem.
reCaptchas - wie man Nutzen aus den Captchas ziehen kann
Captchas sind ein durchdachter Versuch, das Problem zu lösen, und anfangs waren sie noch relativ einfach. Die Nutzer:innen wurden aufgefordert, eine einfache mathematische Aufgabe zu lösen oder unscharfe Buchstabenfolgen einzugeben. Mit der Entwicklung immer besserer Bilderkennungssoftware und KI reicht dies jedoch nicht mehr aus, um die Bots aufzuhalten. Als Reaktion darauf wurden die Rätsel immer komplizierter und der Aufwand, sie zu lösen, immer größer. Daraus entstand 2009 die Idee, diesen Arbeitsaufwand, der weltweit auf 150.000 Stunden pro Tag geschätzt wird, für die Digitalisierung von Büchern zu nutzen: das reCaptcha-Projekt war geboren. Website-Nutzer müssen ein Wort aus einem Bild eintippen. Google erkannte das Potenzial und kaufte reCaptcha. Der Dienst hilft nun unter anderem dabei, verschwommene Hausnummern aus Google Street View zu identifizieren.
Das bleibende Problem ist dabei, dass heutige Ansätze zur Erkennung von Bots immer anfällig für schnellere Computer mit besserer Software sind, die sich erfolgreich als Menschen ausgeben. Das Ergebnis ist ein ständiges Wettrüsten, bei dem schnellere, "intelligentere" Computer die Software, die zu ihrer Erkennung entwickelt wurde, einholen. Werden ReCaptchas bald der Vergangenheit angehören? Erst kürzlich hat Google Street View einen Algorithmus zur verbesserten Erkennung von unscharfen Straßennamen entwickelt, der reCaptchas mit 99,8 Prozentiger Sicherheit lösen kann. Für den Kampf gegen Bots ist dies zwar im Moment noch kein Problem, da derzeit das Verhalten der Nutzer:innen vor dem Lösen des Rätsels auf der Website miteinbezogen wird. Aber eines zeigen solche Phänomene unbestreitbar: Mit dem Fortschreiten der Technik müssen solche Rätsel tendenziell schwieriger werden – und damit auch lästiger für die Nutzer:innen. Laut einer Stanford-Studie führt dies auch zu weniger Einnahmen auf Websites. Der einfachste Weg wäre, zu extrem einfachen Captchas zurückzukehren und einfach eine gewisse Menge an Spam zu akzeptieren. Es gibt einige Ansätze, wie die Captchas der Zukunft aussehen könnten – hier kann auch die Blockchain-Technologie helfen.
Verhaltensanalyse in Kombination mit Self-Sovereign-Identity
In Zukunft könnte die Verifizierung aus einer Kombination aus Krypto-Verifizierungsdiensten und SSI (Self-Sovereign-Identity) funktionieren. Ähnlich wie bei Captchas, die Nutzer:innen bei der Identifizierung von Bildern und dem anschließendem Klicken auf die Schaltfläche "Ich bin kein Roboter" überprüfen, könnte SSI auch auf der Analyse des On-Chain-Verhaltens der Nutzer:innen basieren. So könnte beispielsweise überprüft werden, welche Aktivitäten über eine bestimmte Ethereum-Adresse abgewickelt wurden, wie lange sie aktiv war und so weiter. Derzeit wird eine solche Analyse noch kaum für Wallets und Adressen verwendet, aber sie liegt im Bereich des Möglichen und kann mit der zunehmenden Nutzung der Blockchain auch einen zusätzlichen Sicherheitsfaktor darstellen. Diese Art der Mustererkennung wurde bereits früher eingesetzt, zum Beispiel zur Früherkennung von Kreditkartenbetrug. Da diese Art der Analyse nicht unfehlbar ist, kann es zu den bekannten und frustrierenden Problemen führen, dass seriöse Käufe abgelehnt werden, weil die Kreditkarte anders als üblich verwendet wurde.
Obwohl SSI-Verhaltensdaten nicht zentral gespeichert werden müssen, besteht dennoch die Gefahr einer massiven Privatsphäreverletzung, da Informationen über Personen gesammelt und gespeichert werden. Und damit SSI funktioniert, muss es einen Aussteller für die Validierung von Zertifikaten geben, was ein weiteres potenzielles Risiko für die Nutzer:innen darstellt, die Kontrolle über ihre Identität zu verlieren. Neben der Datenspeicherung und -analyse, der ausstellenden Stelle und den Nutzer:innen selbst, gäbe es im SSI-Kreislauf auch überprüfende Stellen, die die Gültigkeit der Zertifikate kontrollieren. Um zu beweisen, dass jemand ein Mensch ist, würde es ausreichen, die Legitimität des Zertifikats selbst zu prüfen. Die zugrundeliegenden Verhaltensdaten würden also nicht übermittelt werden. Eine Kombination aus SSI und Trustscore mit gleichzeitiger erfolgreicher Verifizierung könnte dann Captchas ersetzen, da Roboter-Imitationen und Spam mit ausreichend hoher Wahrscheinlichkeit ausgeschlossen werden könnten.
Solche Authentifizierungsmaßnahmen wären jedoch nutzlos, wenn Quantencomputer Authentifizierungszertifikate sowie alle Blockchains, die Verhaltensdaten speichern, knacken. Um die Authentifizierung im Netz auch im Quantenzeitalter zu gewährleisten, sind quantensichere Blockchain-Netzwerke wie etwa das xx network die sicherste Lösung. Dieses notwendige Maß an Sicherheit für die digitale Identität wird durch die nächste Generation von hochsicheren SSI-dApps auf der Grundlage einer solchen quantensicheren Blockchain gewährleistet.
Zentral gesteuerte software- (und hardware-)basierte Lösungen und ihre Grenzen
Anstatt eine neue Art von Captcha zu entwickeln, würden zentralisierte Diensteanbieter wie Cloudflare es vorziehen, das gesamte System durch ihre eigene Idee zu ersetzen. Die Seite fordert die Nutzer:innen auf, ihre Identität über ein Sicherheitsmodul im Browser zu verifizieren. In der Theorie bedeutet dies, dass das Gerät, mit dem auf die Website zugegriffen wird, das Geheimnis des Sicherheitsmoduls preisgeben kann. Dies wiederum kann dann nachgewiesen werden, ohne dass das Geheimnis selbst an Gerätehersteller oder andere Software weitergegeben wird. Konkret heißt das: Man geht auf eine Website, wählt aus, dass man sich mit dem Fingerabdrucksensor des Computers verifizieren will, legt den Finger auf die Taste - und fertig.
Solche Lösungen können aber nur kurzfristig als valide und sichere Authentifizierungsmöglichkeiten angesehen werden. Denn eines ist klar: Hardwarebasierte Lösungen benötigen immer Software, um zu funktionieren. Und diese zentral gesteuerte Software kann ein potenzielles Sicherheitsrisiko darstellen und zu einem Einfallstor für Hacker:innen werden. Je einfacher das System ist und je mehr es von anderen Computern abgeschirmt ist (z. B. durch eine Trennung vom Netzwerk), desto weniger anfällig ist es für Sicherheitsvorfälle. Eine Hardware-Geldbörse zum Schutz von Kryptowährungen ist ein gutes Beispiel dafür: Das kleine Gerät wurde entwickelt, um die privaten Schlüssel zu schützen, die für den Zugriff auf Krypto-Geldbörsen verwendet werden. Zu diesem Zweck ist es als Offline-Speichergerät mit rudimentärer Betriebssoftware konzipiert, das absichtlich keine Verbindung zum Internet herstellen kann und mit Ausnahme einiger Schlüssel zur Eingabe eines PIN nicht anderweitig verwendet werden kann.
Das Bot-Problem wird sich in den kommenden Jahren weiter verschärfen. Wir können jedoch schon jetzt vorhersagen, dass SSI in Zukunft eine sinnvolle Lösung für die Validierung der Benutzeridentität und den Schutz der Datensouveränität sein wird.
Aber um zu verhindern, dass sich Computer als Menschen ausgeben, bedarf es Mnemotechniken, also Eselsbrücken in Form eines Reims, Schemas oder einer Grafik, die ein Passwort umschreiben. Diese müssen von Menschen entwickelt und offline gespeichert werden, und sie müssen kompliziert genug sein, damit Computer sie nicht erraten können. Die Validierung der Identität könnte dann von Menschen durchgeführt werden, ohne sich auf Computervermittler oder Blockchain-Validierer zu verlassen.
Als jemand, der bestens damit vertraut ist, wie Hard- und Software heimlich gehackt und kontrolliert werden können, ist dies der Ansatz, den ich letztendlich gerne umgesetzt sehen würde und den ich für die notwendige Lösung halte.
Über den Autor: David Chaum ist weithin bekannt als der Erfinder von digitalem Bargeld (eCash). Er ist auch für andere grundlegende Innovationen in der Kryptographie verantwortlich, darunter Datenschutztechnologie und sichere Wahlsysteme. Mit einem Doktortitel in Informatik von der UC Berkeley lehrte er an der NYU Graduate School of Business und der University of California, leitete eine Reihe von bahnbrechenden Projekten und gründete die International Association for Cryptologic Research, die Kryptographie-Gruppe am Center for Mathematics and Computer Science in Amsterdam, DigiCash, das Voting Systems Institute und den Perspectiva Fund. Derzeit ist er an der Entwicklung der xx Blockchain beteiligt. Die erste quantenresistente, skalierbare Blockchain.
Über xx network:xx network ist eine auf die Privatsphäre ihrer Nutzer:innen fokussierte Plattform, mit dem Ziel, alle Bereiche des täglichen Bedarfs, wie Apps und Services, langfristig zu dezentralisieren. So erlaubt das schnelle, quantensichere und hoch-skalierbare System die Realisierung von mobile-first Anwendungen auf der xx Blockchain. Der xx coin stellt dabei die dazugehörige Kryptowährung für den vollständig privaten Austausch von Werten dar. Auf diesem vom Kryptovater David Chaum entwickelten Layer-1-Blockchain-Protokoll laufen bereits voll funktionsfähige Systeme, wie der xx messenger und das Wahlsystem Votexx.
(ID:48414558)
:quality(80)/p7i.vogel.de/wcms/13/06/13064f565825d0dba349f0798ba9d3c2/0109839962.jpeg "Ein Brute-Force-Angriff ist der Versuch, ein Passwort im Wesentlichen per Versuch und Irrtum zu knacken. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")