In einem Interview mit dem Guardian im Juni 2013 sagte Edward Snowden: „Verschlüsselung funktioniert. Gut implementierte, starke Verschlüsselung ist eines der wenigen Dinge, auf die man sich verlassen kann.“
Was bedeutet Verschlüsselung im Allgemeinen und was bringt sie mir? Sind meine Daten durch die NSA gefährdet und habe ich überhaupt eine Chance, meine Daten zu schützen? Diese Fragen stellen sich gerade Verantwortliche die vor der Entscheidung stehen, ihre Firmendaten in „die Cloud“ zu geben.
Wie funktioniert das mit dem Verschlüsseln
Anhand einer kleinen Geschichte lässt sich dieses rein technische Problem in der Praxis beschreiben:
Alice und Bob schreiben sich gerne Postkarten. Da eine Postkarte aber vom Briefträger und dem Postbeamten mitgelesen werden, entschließen sie sich Briefumschläge zu verwenden – so ist ihre sensible Post vor neugierigen Augen geschützt.
Im digitalen Zeitalter gibt es zwar Nachrichten, jedoch keine schützenden Briefumschläge. Dafür gibt es die Möglichkeit der Verschlüsselung. Und jeder Schlüssel hat auch ein Schloss.
So stellen sich Alice und Bob private Schlüssel und Schlösser her und geben das offene Schloss dem Anderen (denken Sie dabei an ein offenes Vorhängeschloss). Jetzt kann Alice ihre Nachricht verschlüsseln, indem sie Bobs Schloss zudrückt und die Nachricht verschickt. Nur Bob kann sie öffnen – so ist die digitale Nachricht vor neugierigen Augen geschützt.
Dieser beschriebene Mechanismus (asymmetrische Verschlüsselung) wird genutzt um Kommunikation im Internet zu verschlüsseln: der Bote ist das Internet selber, Sender und Empfänger können sowohl Personen als auch Programme oder Dienste sein.
Was bedeutet „gut“ im Bezug auf HTTPS-Verschlüsselung
Man muss generell 2 Dinge unterscheiden: die Stärke mit der das eingesetzte Verfahren arbeitet (Schlüssellänge), und die Methode, mit der ein Schlüssel erzeugt und genutzt wird.
Die Schlüssellänge wird in Bit angegeben. Man kann daraus ablesen, wie viele Schlüssel-Kombinationen es theoretisch gibt. Mehr ist hier also besser. Eine 128-Bit-Verschlüsselung entspricht 340.282.366.920.938.463.463.374.607.431.768.211.456 Kombinationen – zum Vergleich beim Lotto 6 aus 49 mit 139.838.160 möglichen Kombinationen für 6 Richtige mit Superzahl.
Bei Internet-Seiten erkennt man an dem HTTPS-Zusatz in der Adresse: hier wird ein Verschlüsselungsverfahren angewendet, welches hängt vom Dienstleister ab. Ein etabliertes Verfahren ist AES, welches seit 2001 eingesetzt wird. Je nach Konfiguration ist es möglich, sowohl Email-Verkehr als auch Webdienste mit AES in 128, 192 und 256 Bit zu verschlüsseln.
Letztendlich kann jedes Verfahren geknackt werden – abhängig von den zur Verfügung gestellten Ressourcen. Schätzt man die Kosten ab (Studie von Alex Biryukov und Johann Großschädl), um entsprechende Hardware zum Entschlüsseln von AES-128 herzustellen, liegt man im Augenblick bei 80 Mrd. Dollar Anschaffungskosten. Für den Betrieb würde eine Leistung von 4 Terrawatt benötigt (Vergleich: die USA verbraucht pro Jahr 3,6 Terrawatt).
So sind trotz langjähriger Bemühen sämtliche Angriffe noch weit davon entfernt, das Verfahren AES wirklich brechen zu können. Man kann es zum heutigen Zeitpunkt als sicher bezeichnen.
Und jetzt – Konsequenzen für den Alltag
Nutzen Sie im beruflichen und im privaten Leben verschlüsselte Kommunikation. Das fängt bei Email an, erreicht aber auch Bereiche wie z.B. die Internet-Telefonie. Haben Sie sich schon einmal gefragt, über welche Wege ihr Skype kommuniziert, ob wirklich nur die Ohren an Ihrem Meeting teilnehmen, die Sie eingeladen haben?
Setzten Sie bei Online-Diensten auf Anbieter aus dem EU-Raum, besser aus Deutschland. Diese müssen sich an bestehende Rechtsprechung halten und machen sich bei Missbrauch strafbar. Noch besser bestehen Sie auf die Möglichkeit, die Verbindung zu solchen Diensten mit z.B. AES-256 zu verschlüsseln.
Achten Sie einmal bei Ihrer nächsten Suche darauf: selbst Google verschlüsselt inzwischen Ihre Verbindung. Sowohl im angemeldeten als auch im anonymen Zustand wurde auf die verschlüsselte Suche umgestellt.
Berücksichtigen Sie bei Ihrer IT-Strategie: das Eine tun ohne das Andere zu lassen. Sie müssen nicht auf die Vorzüge von Online-Lösungen verzichten, entscheidend ist das Wie.
Weiterführende Informationen zum Thema Sicherheit in der IT finden Sie hier:
Kommentieren