:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Die Zukunft der Kryptographie – Teil 1 Eine robuste Kryptographie benötigt mehr als starke Algorithmen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Von E-Mails bis zu vernetzten Produktionsanlagen: Ohne Kryptographie hätten Hacker leichtes Spiel, Zugriff auf vertrauliche Daten zu erhalten oder Datenflüsse zu manipulieren. Um mit den sich immer schneller ändernden Bedrohungen mitzuhalten, treibt die Krypto-Community die Eigenschaften der Robustheit, Agilität und Universalität voran. Der erste Teil dieser Reihe zur Zukunft der Kryptographie zeigt, warum kryptographische Robustheit über die Stärke von Verschlüsselungsalgorithmen hinausgeht und ganzheitlich gedacht werden muss.
In der angewandten Kryptographie konzentriert sich die Eigenschaft der Robustheit auf drei Schwerpunkte. Das erste Themenfeld sind die Algorithmen, welche in den Protokollen und Mechanismen eines Systems eingesetzt werden. Der zweite Schwerpunkt liegt auf der Stärke des Schlüssels, die auf Länge und Zufälligkeit basieren. Zuletzt beschäftigt sich die Robustheit mit dem Mechanismus selbst, der unter anderem die Protokolle, Parameter und Ausnahmen einschließt. Wenn Unternehmen die Robustheit eines Gesamtsystems überprüfen wollen, dann müssen sie jeden dieser Aspekte betrachten, den diese kann insgesamt nur so stark wie der jeweils schwächste der Teilbereiche sein.
Das Zusammenspiel der drei Schwerpunkte
Dass die drei Schwerpunkte ineinandergreifen müssen, damit kryptographische Methoden effektiv vor Cyberangriffen schützen können, veranschaulichen zwei bekannte Beispiele. Ein weitverbreitetes und robustes Kryptosystem ist die Adaption des Transport-Layer-Security-(TLS)-Protokolls. Die Implementierung basiert auf der sogenannten Cipher Suite OpenSSL, eine Programmbibliothek, in der die von dem TLS-Standard geforderten Algorithmen und Routinen bereitstehen. Um auf Angriffe und die Weiterentwicklung des Standards reagieren zu können, muss die Cipher Suite fortlaufend in Bezug auf die Algorithmen und Schlüssellängen angepasst werden.
Dabei zeigt die Versionsgeschichte des Protokolls, wie die drei Fokusaspekte der kryptographischen Robustheit ineinandergreifen. Im April 2014 wurde der Heartbleed-Bug entdeckt, der auf der Heartbeat-Erweiterung in der OpenSSL-Bibliothek basiert und zahlreiche Webseiten, VoIP-Telefone, Router sowie Netzwerkdrucker betraf.
Mit der Erweiterung Heartbeat konnte ein kleines Datenpaket an einen Server geschickt werden, das unverändert zurückgeschickt werden sollte. Dieser „Herzschlag“ sollte prüfen, ob die Verbindung zum Server noch besteht. Mit dem Heartbleed-Bug konnte durch eine fehlende Sicherheitskontrolle jedoch der Arbeitsspeicher des Servers teilweise ausgelesen werden. In Tests konnten so unter anderem der private Schlüssel des Serverzertifikats, Benutzernamen und Passwörter erlangt werden. Der effektive Schutz – also die Robustheit – von TLS konnte so untergraben werden, obwohl Algorithmus und Schlüsselmaterial stark waren.
:quality(80)/images.vogel.de/vogelonline/bdb/851600/851683/original.jpg "Security-Analyse deckt auf: Drei von vier Servern der Top-2.000 Unternehmen weltweit sind noch immer durch den Heartbleed Bug angreifbar. (Bild: Alexandr Mitiuc - Fotolia, Codenomicon)")
Ein Jahr nach Heartbleed
Viele Server immer noch verwundbar
Ausnahmen schwächen robuste Systeme
Heartbleed war ein unbeabsichtigter Bug. Allerdings zeigt ein anderes Beispiel, wie erwünschte und hilfreiche Funktionen die Robustheit eines Systems untergraben können, wenn sie nicht erwartungsgemäß verwendet werden. Normalerweise vergleicht die Common-Name-Verifizierung die Adresse einer besuchten Webseite mit der in ihrem Zertifikat hinterlegten URL. Entwickler können die Fehlersuche in der Entwicklung vereinfachen, indem sie auf diesen Abgleich verzichten. Einige Client-Implementierungen nutzen diese Möglichkeit aufgrund der vermeintlichen Komplexität einer TLS-Implementierung und der Verwendung von X.509-Zertifikaten auch im regulären Betrieb. Dabei kann jedoch der Fall eintreten, dass Hacker unrechtmäßig erlangte Zertifikate und private Schlüssel ausnutzen, um eine betrügerische Webseite mit einer falschen Identität auszuweisen – und das unabhängig von ihrer echten URL.
Heartbleed und die Common-Name-Verifizierung zeigen, dass kryptographische Robustheit wie ein Kartenhaus in sich zusammenfällt, wenn auch nur einer der drei Aspekte eine Schwachstelle aufweist. Robustheit ganzheitlich zu denken, wird in Zukunft ein wesentlicher Erfolgsfaktor für die IT-Sicherheit. Unternehmen wie PrimeKey sehen es deshalb als ihre Aufgabe an, Lösungen zu entwickeln, die den neuen Anforderungen gerecht werden, und einer breiten Community aus Entwicklern zugänglich zu machen.
Robustheit durch Open Source?
In Hinblick auf die Robustheit verdienen kryptographische Software und Entwicklerbibliotheken, die als Open-Source-Modell zur Verfügung stehen, besondere Aufmerksamkeit. Open-Source-Software, die Unternehmen frei adaptieren können, trägt zur weiten Verbreitung kryptographischer Anwendungen bei. Daraus entsteht bereits jetzt eine Anwender- und Entwicklergemeinschaft, die den Quellcode der Software aus unterschiedlichsten Blickwinkeln und mit verschiedensten Interessen begutachtet. Sicherheitsrelevante Anwendungsfälle und Codezeilen, die ein Risiko für die Krypto-Robustheit bedeuten, fallen dadurch schnell auf, sodass die Lücken geschlossen werden können.
Jedoch zeigen Heartbleed und die im Dezember 2021 bekanntgewordene Schwachstelle Log4Shell im Java-Framework Log4j, dass ein offener Quellcode allein nicht ausreicht. Sowohl für die Projekte OpenSSL als auch Log4j standen zu dem Zeitpunkt, als die jeweilige Lücke im Code bekannt wurde, keine bezahlten Teams zur Verfügung, die sich mit voller Aufmerksamkeit einem Update widmen konnten. Stattdessen treiben einige Interessierte diese Themen in ihrer Freizeit als Hobby voran.
Um der Vision gerecht zu werden, robuste Kryptographie weitläufig zugänglich zu machen, bietet Primekey daher nicht nur den Programmcode seiner Lösungen als Open-Source-Projekt an. Darüber hinaus fördert das Unternehmen den Austausch der Community darüber und übernimmt die Verantwortung, die Open-Source-Versionen seiner Software aktiv zu pflegen. So trägt das Prinzip Open Source nachhaltig zur kryptographischen Robustheit weitverbreiteter Lösungen bei.
Robustheit ist der erste Schritt
Das Thema Robustheit wird immer dringlicher, denn das Quanten-Zeitalter steht vor der Tür. Damit kommen weitere Herausforderungen auf Unternehmen und Nationalstaaten zu, die ihre Systeme schützen müssen. Die hohe Rechenleistung von Quantencomputer gegenüber herkömmlichen Rechnern trägt dazu bei, dass traditionelle Verschlüsselungsalgorithmen zukünftig in rasanter Abfolge gebrochen werden. Das erfordert agile Systeme, bei denen die gebrochenen Algorithmen und Methoden schnell ausgetauscht werden können.
Gleichzeitig steigt die Anzahl der Systeme mit der zunehmenden Vernetzung immer neuer Geräte, die neue Anwendungsfälle für die Kryptographie schaffen. Daher müssen kryptographische Systeme universell umgesetzt werden, um möglichst alle Szenarien abzudecken. Deshalb diskutiert die Krypto-Community Robustheit auch in Verbindung mit Krypto-Agilität und -Universalität, die in den nächsten beiden Teilen dieser Reihe thematisiert werden sollen.
Über den Autor: Admir Abdurahmanovic hat über 35 Jahre Erfahrung in der IT und Kryptographie. Er studierte an der Universität von Sarajevo, Bosnien und Herzegowina, Mathematik mit Schwerpunkt Kryptographie. Danach arbeitete er in verschiedenen Softwareunternehmen. Schließlich gründete er vor 19 Jahren zusammen mit Tomas Gustavsson PrimeKey, ein heute führendes Unternehmen im Bereich der PKI- und Digitale-Signatur-Lösungen.
(ID:47960526)