:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
SECURITY Cyberdefense & ID Protection Conference 2020 Verschlüsselung – ein gelöstes Problem?
Die Digitalisierung von Wirtschaft und Industrie und vertrauliche, digitale Kommunikation kommen nicht ohne sichere Verschlüsselung aus, trotzdem hapert es an der Umsetzung. Prof. Dr. Christoph Skornia, Leiter des Labors für Informationssicherheit an der OTH Regensburg und Keynote-Speaker auf der „SECURITY Cyberdefense & ID Protection Conference 2020“ spricht mit uns über die noch immer ungelösten Problem der Verschlüsselung.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Security-Insider: Wir haben ja jetzt seit vielen Jahren erprobte und vor allem sichere Verschlüsselungsalgorithmen und wissen über sichere Konzepte wie Ende-zu-Ende Verschlüsselung (E2EE) Bescheid und trotzdem scheint es, dass Verschlüsselung in der Cloud, bei der Datenspeicherung und Kommunikation nicht vom Fleck kommt, woran liegt das?
Prof. Dr. Christoph Skornia: Zunächst ist es ein Glücksfall, dass sich eine Reihe von Verschlüsselungsalgorithmen Jahre und teilweise Jahrzehnte hinweg als ziemlich widerstandsfähig erwiesen haben. So können wir heute für viele klassische Anwendungsszenarien darauf vertrauen, dass wir sicher verschlüsseln können. Allerdings haben sich eine Reihe neuer Einsatzbereiche entwickelt, für welche die erprobte Technologie nicht ausreicht. Je nach Nutzung von Cloud-Diensten, kann Verschlüsselung aktuell nicht das Vertrauen in den Cloud-Dienstleister ersetzen, aktuelle Ansätze aus den Bereichen, der homomorphen oder ordnungserhaltenden Verschlüsselung sind in der Kombination aus Performance und Sicherheit heute keine wirkliche Option. Die Diskussion um E2EE in Videokonferenzdiensten hat uns gerade wieder vor Augen geführt, dass es überall dort Schwierigkeiten gibt, wo heterogene Bedingungen bzgl. Netzwerksdurchsatz, Latenzen oder Endgeräten herrschen. Interessanterweise war man mit der Entwicklung einfacher E2EE-Verschlüsselung in Messengern sehr erfolgreich, während man bei E-Mails immer noch größere Verrenkungen machen muss und weit davon entfernt ist, einfach so mit jedem verschlüsselt zu kommunizieren. Im Bereich des Datenaustausches zwischen Microservices entsteht gerade ein ziemlicher Wildwuchs an Technologien. Wir sehen also, es gibt immer neue Anforderungen sowohl in der Algorithmik, als auch im Bereich der eingesetzten Protokolle und des Schlüsselmanagements. Wir sind weit davon entfernt, Verschlüsselung als gelöstes Problem betrachten zu können.
Security-Insider: Neben den Unternehmen, darf man aber ja auch die staatlichen Akteure wie Ermittlungsbehörden und Geheimdienste nicht vergessen, die ein hohes Interesse daran haben, dass Verschlüsselung geschwächt wird. Manchmal wird das im Hintergrund erreicht durch mögliche Backdoors wie beim Dual_EC_DRBG. Oft geschieht es aber auch durch massiven Öffentlichkeitsdruck, wie in letzter Zeit öfter zwischen Apple und dem FBI. Welche Gefahren drohen denn aus dieser Richtung?
Prof. Skornia: Wir befinden uns gerade mitten in einer Wiederauflage der Crypto-Wars aus den 90er Jahren. Damals wurde versucht, die Verbreitung von starker Verschlüsselung mit Exportregularien zu kontrollieren. Das hat nicht lange funktioniert, was aber nicht heißt, dass eine Reihe von Staaten nicht weiterhin versuchen, Zugang zu verschlüsselter Information zu erhalten. Der Anspruch Privatsphäre bei Bedarf aufheben zu können, ist in totalitären Staaten üblich, aber auch in den westlichen Demokratien gibt es immer wieder „Begehrlichkeiten“ nach Zugriff auf verschlüsselte Daten. Die Forderung nach einem Zweitschlüssel, wie wir sie gerade wieder sehr massiv in den USA sehen ist nur die billigste Möglichkeit, weil man damit an Daten kommt, ohne an die Endgeräte ran zu müssen. Die Diskussion um EARN IT zeigt ganz gut, wie E2EE gesetzlich unterminiert wird. Man könnte sagen, dass Gefahren nicht nur drohen, sondern dass wir in Wirklichkeit davon ausgehen müssen, dass sich viele Staaten heute bereits Zugriff auf Informationen verschaffen, wenn Sie dies für notwendig halten. Fälle wie Apple vs. FBI zeigen dies nur exemplarisch auf. Selbstverständlich gibt es Fälle, in denen Staaten damit legitime Interessen verfolgen und Strafverfolgungsbehörden sind nicht automatisch die Bösewichte. Der permanente Verlust an Transparenz im Bezug auf Überwachungsaktivitäten ist allerdings wirklich besorgniserregend. Von totalitären Staaten ist nichts anderes zu erwarten und hier darf man sich keine Illusionen machen, in liberalen Demokratien müssen wir die Achtung vor Bürgerrechten aber auch dann erwarten können, wenn die Lage aufgrund neuer Technologien und Bedrohungslagen unübersichtlich wird.
Security-Insider: Als ein „Weltuntergangsszenario“ für die Kryptographie werden ja immer gerne die Quantencomputer genannt, die aktuelle Verschlüsselungs¬algorithmen möglicherweise in Sekunden knacken könnten. Ist die Gefahr denn wirklich so groß und gibt es nicht auch Algorithmen, die auch für Quantencomputer unknackbar sind?
Prof. Skornia: Zunächst beruht die Größe der Gefahr auf der Einschätzung der Entwicklung in den nächsten Jahren. Aktuell gibt es keinen Quantencomputer, der aktuell verwendete Verschlüsselungsverfahren schneller brechen würde, als konventionelle Technologie. Die Einschätzung der zukünftigen Entwicklung betrifft einerseits die Entwicklung der nötigen Quantenhardware, zum anderen aber auch die Entwicklung von neuen Algorithmen und in beiden Bereichen gibt es immer wieder bemerkenswerte Fortschritte. Viele aktuell eingesetzte Public-Key-Verfahren beruhen auf der Schwierigkeit des Problems der Faktorisierung von großen Zahlen oder der Berechnung von diskreten Logarithmen und just dafür gibt es schon seit langer Zeit Algorithmen für Quantencomputer, welche diese Probleme erheblich vereinfachen aber auch sehr viel höhere Anforderungen an Quantenhardware (kohärente Q-Bits) haben, als aktuell erreichbar wäre. Genau hier setzen neuere Ansätze in der Verschlüsselung an, die sogenannte Post-Quanten-Verschlüsselung. Diese versuchen Algorithmen zu entwickeln, die auf anderen mathematischen Problemen beruhen, welche nicht durch bekannte Quantenalgorithmen gebrochen werden können.
Unterm Strich kann man feststellen, dass die Gefahr für die Verschlüsselung durch Quantencomputer im Moment überschaubar ist, Weltuntergangsszenarien sind komplett verfehlt. Sich jetzt darauf vorzubereiten, dass sich die Situation ändern könnte, ist aber dennoch völlig richtig.
Security-Insider: Selbst wenn man sichere Verschlüsselung nutzt und Konzepte wie E2EE ist ja noch nicht alles sicher. Sie verweisen zum Beispiel auf das Risiko, das durch Metadaten entsteht, die während der Verschlüsslung anfallen. Wo liegen denn da genau die Risiken für Anwender und was kann man dagegen tun?
Prof. Skornia: Der alte Spruch: „Wer hat uns verraten? Metadaten!“ war nie gültiger als heute. Während eine Reihe von Diensten auf der einen Seite mit E2EE wirbt, werden auf der anderen Seite Metadaten in einem Umfang und mit einer Qualität analysiert die fast schon beängstigend ist. Anwender, die sich üblicherweise nicht wirklich bewusst sind, in welchem Umfang sie Metadaten bei Aktivitäten im Netz hinterlassen und wie diese miteinander verknüpft und analysiert werden, wiegen sich in trügerischer Sicherheit. Von Filterblasen in sozialen Netzen über personalisiertes Marketing bis hin zur Manipulation von politischen Willlensbildungsprozessen, überall werden Metadaten eingesetzt. Die Methoden der Künstlichen Intelligenz finden hier geradezu idealtypische Bedingungen zu weiteren Analyse vor. Das kollidiert massiv mit dem Versprechen, dass Verschlüsselung von Kommunikationsinhalten Privatsphäre gewährleisten würde. Gegen einen fairen Deal von Dienstleistung gegen Daten ist wenig einzuwenden, wir bewegen uns hier aber in einem Szenario in dem Nutzer mindestens darüber im Unklaren gelassen, wenn nicht sogar gezielt getäuscht werden, wie viel persönliches tatsächlich preisgegeben wird. Ich bin davon überzeugt, dass sich hier in den nächsten Jahren ein erweitertes Verständnis durchsetzen muss und auch Metadaten in vollem Umfang anonymisiert werden müssen. Das wird aber nicht von selbst passieren, da es der stillschweigenden Monetarisierung von Daten widerspricht, hier ist tatsächlich noch viel Sensibilisierungs- und Überzeugungsarbeit nötig.
Prof. Dr. Christoph Skornia hat im Bereich der Quantentheorie am Max-Planck-Institut für Quantenoptik promoviert und war im Anschluss daran in über 10 jähriger Industriezeit unter anderem als Technischer Leiter für Zentraleuropa bei Check Point Software beschäftigt. Er ist Dekan der Fakultät „Informatik und Mathematik“ an der OTH Regensburg und leitet seit 2012 dort als Professor das Labor für Informationssicherheit.
Security-Insider ist Mitveranstalter und Medienpartner der »SECURITY Cyberdefense & ID Protection Conference 2020«. Wenn Sie Prof. Dr. Christoph Skornia und viele weitere interessante Speaker live erleben wollen, melden Sie sich hier zur virtuellen Konferenz oder zum Konferenztermin im September an:
(ID:46640701)
:quality(80)/p7i.vogel.de/wcms/4e/c0/4ec005448141bec025b1ce5425ed4158/0100127717.jpeg "Wie Metadaten künftig noch viel mehr Einblicke in das Verhalten von Personen und Unternehmen preisgeben könnten, klären wir im Podcast. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")