Aus: Ausgabe vom 21.03.2016, Seite 9 / Kapital & Arbeit

Elektronischer Hausputz

Maßnahmen gegen Angriffe auf unsere Cyberidentität: Digitale Signaturen und ­kryptographische Verschlüsselung verlangen Sorgfalt

Von Joachim Jakobs
Germany_Tech_Fair_48653258.jpg
Großes Thema, für den Normalverbraucher immer noch schlecht aufbereitet: Stand des chinesischen Handyherstellers Huawei auf der CeBIT in Hannover vergangene Woche

Es ist fast Gewohnheit: Der Müll in unserem Postfach behauptet, wir würden reich beschenkt. Um an unser unverhofftes Vermögen zu gelangen, müsse nur der angegebene Link angeklickt werden. Die Erfolgsquote solcher Cyberangriffe soll bei lediglich 0,000564 Prozent liegen. Sie ist damit immer noch zu hoch. Erhalten wir aber Post von einer vertrauenswürdigen Person mit einem Inhalt, den wir von dieser Person erwarten können, lassen wir uns eher übertölpeln. Mit Daten aus den »sozialen« Medien soll die Erfolgswahrscheinlichkeit auf 72 Prozent steigen. Der IT-Verband Bitkom behauptet in einer Studie vom vergangenen Oktober, 68 Prozent der Autobauer seien vom Datendiebstahl betroffen. Es folgen Chemie- und Pharmaindustrie (66 Prozent), Finanz- und Versicherungswesen (60), Gesundheit (58), Medien und Kultur (58).

Früher war das Beutemachen mühsame Handarbeit. 2012 hatte der Sicherheitsanbieter Proofpoint jedoch von einer Aktion berichtet, bei der in drei Stunden 135.000 Mails an mehr als 80 Firmen verschickt worden sein sollen. Um die Enttarnung zu vermeiden, fälschten die Hacker, die sich »Speerfischer« nannten, 35.000 verschiedene Absender. Heute nutzen Angreifer Big-Data-Anwendungen, um aus den bereits erbeuteten Informationen von Kreditkartenunternehmen, aus dem Gesundheitswesen, von Zulassungsbehörden, Einzelhändlern und »sozialen« Medien personalisierte Lügen zur Täuschung von Millionen Menschen zu stricken – behauptet das Schulungsunternehmen Know Be4. Pro Unternehmen mit mehr als 1.000 Mitarbeitern ist mit einem durchschnittlichen Schaden von 1,6 Millionen US-Dollar zu rechnen. George Riedel vom Sicherheitsanbieter Cloudmark ist überzeugt, derlei präzise Angriffe seien »zu einer der größten Bedrohungen für Firmen geworden«.

Mühsames Unterfangen

Wer Sicherheit will, muss vom Absender einer Mail einen elektronischen Nachweis seiner Identität erhalten, eine »elektronische Signatur«. Die Veränderung des Inhalts auf dem Transportweg lässt sich mit der sogenannten kryptographischen Verschlüsselung sicherstellen. Zum Beispiel verschlüsselt das System »GNU Privacy Guard« (Gnu PG) die Mail des Versenders mit dem »öffentlichen Schlüssel« des Empfängers. Letzterer öffnet diese Mail mit seinem »privaten« Schlüssel. Gnu-PG-Nutzer »veröffentlichen« buchstäblich ihren öffentlichen Schlüssel auf Schlüsselservern, damit sie auch von Unbekannten vertrauliche Nachrichten erhalten können. Und legen sich bei sogenannten Keysigning Parties gegenseitig ihren Personalausweis vor, um sich anschließend ihr Vertrauen elektronisch auf den Schlüsselservern zu bescheinigen. So soll ein »Vertrauensnetz« entstehen. Die Idee: Wenn mir einer mit gutem elektronischen Leumund eine E-Mail schreibt, kann ich seine Nachrichten öffnen, auch wenn ich ihn nicht kenne.

Der private Schlüssel dagegen ist der elektronische Spiegel des Nutzers und deshalb geheim. Die Inhalte sind dabei für Dritte nicht sichtbar. Je intensiver wir aber unseren Mailserver und unsere vernetzten Geräte nutzen, desto mehr »Metadaten« fallen an. Schon aus diesen lassen sich aber für Hacker Rückschlüsse auf den Inhalt von Dateien ziehen.

Die Hannoveraner Qabel GmbH will diese Metadaten daher mit »falschen Fährten« unkenntlich machen. Ein Bild beispielsweise soll mit Fülldaten aufgebläht, zerteilt verschickt und erst beim Empfänger wieder zusammengesetzt werden. Dadurch soll sich die wahre Dateigröße kaschieren lassen. Dabei hat Qabel Größeres im Sinn als »nur« die Sicherung elektronisch verschickter Informationen: »Theoretisch gibt es keinen Dienst, der nicht via Qabel funktionieren würde«, so der Anbieter selbstbewusst. Allerdings können Sicherungswerkzeuge wie das von Qabel nur funktionieren, solange das Gnu-PG-System als solches »sauber« ist. Ist es infiziert, können Dritte beliebige – signierte – Nachrichten im Namen des Berechtigten verschicken.

Volksverschlüsselung

Auf der am Freitag zu Ende gegangenen IT-Messe CeBIT haben das Darmstädter Fraunhofer-Institut für sichere Informationstechnologie (SIT) und die Deutsche Telekom damit begonnen, Registrierungen für ihre »Volksverschlüsselung« anzunehmen. Hier weist man seine Identität gegenüber dem Forschungsinstitut nach. Dann kann am Gerät des Nutzers ein Zertifikat auf Basis eines Standards namens X.509 erstellt werden. Die privaten Schlüssel bleiben auf dem privaten Gerät, die öffentlichen »werden zur Zertifizierung an die Zertifizierungsstelle der Volksverschlüsselung übermittelt«. Mit X.509 wiederum kann der Standard »S/MIME« zum Signieren und Verschlüsseln der Post genutzt werden. Das System wird nach Ansicht des SIT »von den gängigen E-Mail-Clients und Webbrowsern standardmäßig unterstützt«. Weitere Informationen sind unter volksverschluesselung.de erhältlich.

Qabel-Geschäftsführer Peter Leppelt wirbt unterdessen in der Signatur seiner E-Mail: »Bitte vertrauen Sie uns nicht. Es ist nicht nötig.« Er spielt damit auf die Veröffentlichung des Quellcodes seiner Software an. So kann jeder Nutzer das Programm auf Sicherheit oder auch auf Hintertüren prüfen (lassen). Auch die Volksverschlüsselung legt daher Wert auf die Feststellung, dass jeder Nutzer »freie Einsicht« in den Quellcode der Software habe. Den Anbietern herkömmlicher (»proprietärer«) Software muss dagegen Vertrauensvorschuss gegeben werden – was, wie wir von Edward Snowden wissen, nur selten gerechtfertigt ist.

Ob tatsächlich ein unabhängiger Sicherheitsexperte die recht neue Technik von Qabel und »Volksverschlüsselung« geprüft hat, ist nicht bekannt.

Der Autor hat das Buch »Vernetzte Gesellschaft. Vernetzte Bedrohungen. Wie uns die künstliche Intelligenz herausfordert« verfasst.

Lesen und lesen lassen (Login erforderlich) Ich will auch!
Mehr aus: Kapital & Arbeit