Internet Security Days 2018: Gute und schlechte Strategien für Kryptografie
Ohne Verschlüsselung geht in der IT nichts mehr - dennoch bergen Schwachstellen, Implementierungsfehler oder die Wahl falscher Mittel einige Risiken.
- Ute Roos
Bei den diesjährigen Internet Security Days, die am 20./21. September im Phantasialand Brühl bei Köln stattfinden, verrät Sicherheitsexpertin Inés Atug Tipps und Tricks zum sinnvollen Verschlüsseln. Denn nicht jede Strategie führt zum gewünschten Ergebnis.
Angenommen, ein Administrator will eine Datenbank verschlüssseln. Ist dafür beispielsweise eine Festplattenverschlüsselung geeignet? Diese hilft, wenn eine Festplatte, ein USB-Stick oder ein Laptop gestohlen wird. Die Festplatte wird dabei erst verschlüsselt, wenn sie demounted wurde oder der Rechner aus ist. Daten in einer Datenbank müssen hingegen stets verfügbar sein – ergo ist die Festplattenverschlüsselung hier das falsche Mittel der Wahl. Zu verschlüsseln ist in diesem Fall vorzugsweise die Datenbank selbst oder einzelne Daten darin.
Das Beispiel zeigt, dass das gewählte kryptografische Verfahren immer zum Anwendungsfall passen muss. Kriterien dabei sind das angestrebte Sicherheitsniveau, der Einsatzort und die erforderliche Performance. Zu Letzterem im Widerspruch steht ein langer Schlüssel, denn er benötigt mehr Zeit für die Berechnung. Unterschiedlich in puncto Performance sind auch die verschiedenen Verfahren der Verschlüsselung (symmetrisch, asymmetrisch, hybrid). Hier gilt es, einen passenden Kompromiss zu finden. Und schließlich gibt es gesetzliche Vorgaben zu beachten, denn zahlreiche Länder verfügen über Kryptoregulierungen und verbieten den Import oder gar den Einsatz von Verschlüsselungsprodukten.
Sicherheitssoftware mit Lücken
Neben der Wahl der falschen Produkte kann auch die Sicherheitssoftware selbst Risiken bergen. Anwender nutzen Onlinebanking, speichern die Passwörter in einem Passwortsafe und versenden verschlüsselte E-Mails: Alle Nutzer setzen Software ein, die kryptografische Protokolle und Algorithmen ausführt. Doch was, wenn die kryptografische Software, die eigentlich Sicherheit bieten soll, selbst Schwachstellen aufweist?
Prominente Beispiele gibt es ausreichend: So sollten die fehlerhaften Quellcode-Zeilen der Apple-goto-Schwachstelle die Herkunft des Schlüssels verifizieren. Stattdessen wurden Man-in-the-Middle-Angriffe ermöglicht, da aufgrund des Fehlers im Quellcode keine Prüfung stattfand. Auch bei diversen SSL/TLS-Schwachstellen, beispielsweise Heartbleed, lagen Programmierfehler vor. Hinzu kommen Fehlkonfigurationen wie beim DROWN-Angriff, die zum Verlust der Vertraulichkeit führen.
Weist eine Software eine Schwachstelle auf, dann gilt es, die bereitgestellten Patches zu installieren oder neuere Versionen der Software einzusetzen. Im schlimmsten Fall muss man die Software abschalten. Inés Atugs Vortrag "Alice und Bob im Wunderland – Was wir aus Krypto-Fails lernen können" zeigt anhand bekannter Schwachstellen und schlechter Umsetzungen, was Entwickler, Administratoren und Informationssicherheitsbeauftragte beachten sollten, um bekannte kryptografische Fehler nicht zu wiederholen.
Die diesjährigen Internet Security Days legen einen besonderen Schwerpunkt auf praktische Hilfestellungen bei der Informationssicherheit im IT-Alltag. Neben dem Praxis-Track im Rahmen der Konferenz können Interessierte zusätzliche zweistündige Workshops zur DSGVO, "Faktor Mensch", Sicherheit von Windows-Umgebungen, IT-Forensik und Tests von Webanwendungen buchen. Außerdem gibt es am Vortag der Konferenz einen eintägen Workshop zu sicherem Single Sign-on mit Kerberos. Detaillierte Workshopbeschreibungen finden sich auf der ISD-Webseite, das Programm des Kerberos-Workshops bei Heise. (ur)
