Experteninterview: Sichere Kommunikation
10. Januar 2021 | Allgeier CyRis
Sichere Kommunikation im Zeitalter der Digitalisierung: Gibt es das überhaupt? Im Interview mit Ralf Nitzgen, Geschäftsführer Security & Compliance Allgeier CyRis, gehen wir dieser und weiteren Fragen nach.
Die Corona-Warn-App, die Initiative "Deutschland spricht über 5G" oder auch die elektronische Patientenakte: die Zahl der Digitalisierungsprojekte hierzulande wächst. Immer mehr Unternehmen bzw. öffentliche Einrichtungen nutzen digitale Kommunikationsmittel, über die sensible Daten versendet werden. Im Gegenzug ruft dies immer mehr Hacker auf den Plan, die es auf diese Daten abgesehen haben. Doch was steckt eigentlich hinter dem Ausdruck „Sichere Kommunikation“ und wie kann man diese erreichen? Die Antwort auf diese Frage und andere lesen Sie hier:
Für Gesetzgeber, Daten- bzw. Verbraucherschützer geht es um die Frage, wie digitale Kommunikation sicher gestaltet werden kann. Herr Nitzgen, was bedeutet „sichere Kommunikation“ überhaupt?
Sichere Kommunikation bedeutet in diesem Kontext, dass Daten, die transportiert werden, bereits auf dem Transportwege Schutzzielen unterliegen bzw. gegen entsprechende Bedrohungen gesichert sind. Zu den Bedrohungen zählen der Verlust der Verfügbarkeit, Verlust der Integrität und Verlust der Vertraulichkeit. Verlust der Vertraulichkeit bedeutet, das eine dritte, nicht-autorisierte Person, der Daten habhaft geworden ist, sprich, sie konnte die Daten einsehen. Verlust der Integrität bedeutet, dass die Daten zwar transportiert worden sind, ich aber nicht sicherstellen konnte, dass am Ende die Daten angekommen sind, die auf den Weg gegeben worden sind. Diese sind möglicherweise verfälscht oder verändert worden. Der Verlust der Vertraulichkeit bedeutet, dass die Daten überhaupt nicht transportiert werden konnten. Konkret heißt das, dass mein System von außen gestört wurde, so dass es Daten gar nicht senden konnte.
Um sichere Kommunikation zu gewährleisten braucht es Mechanismen, die Verschlüsselung und Signatur der Datenströme erlauben.
Und welche Mechanismen werden benötigt, um beispielsweise das Verfälschen von Daten oder den unbefugten Zugriff Dritter auf dem Transportweg zu verhindern?
Um die Vertraulichkeit sicherzustellen, wird Verschlüsselung benötigt, während zum Schutz vor Veränderung der Daten auf dem Transportweg Signaturen ein geeignetes Mittel aus der Kryptografie darstellen. Wenn Systeme diese Mechanismen bereitstellen, resultieren daraus Kommunikationskanäle, auf denen Daten sicher und unverfälscht transportiert werden können.
Das hört sich zunächst einmal gut an, aber habe ich – auch wenn ich entsprechende Mechanismen nutze – tatsächlich die Gewissheit einer 100-prozentig sicheren Kommunikation? Bleibt nicht doch ein Restrisiko, dass sensible Daten abgegriffen werden?
Das ist vom jeweiligen Verfahren abhängig. Moderne Verfahren reduzieren das Risiko auf ein Minimum. Beim Einsatz von Signaturen würde zum Beispiel ein verfälschtes Datum nicht verhindert werden können – jedoch würde es auf der Empfängerseite direkt erkannt und aufgedeckt werden.
Gute Anbieter von Security-Lösungen setzen gängige und starke Verschlüsselungsmechanismen ein, die fortlaufend überarbeitet werden. Das heißt, dass zum Beispiel bei einem Einsatz veralteter Verschlüsselungsmechanismen das Restrisiko sehr hoch ist. Daher ist es notwendig, die eingesetzten Verfahren kontinuierlich zu beobachten und stets aktuell zu halten.
Jetzt hat laut diversen Statistiken die Zahl der Hackerangriffe in den letzten Jahren stetig zugenommen. Bundesbehörden wie das BKA verlautbaren, dass Hacker immer professioneller werden. Wird es in Zukunft schwerer sein, eine sichere Kommunikation herzustellen?
Mit fortschreitender Technik und deren Nutzung wird es einfacher, sichere Kommunikation zu implementieren. Ein Indiz dafür, dass diese Verfahren sowohl sicher als auch einfach in der Nutzung sind, ist die Tatsache, dass die Bundesregierung in diesem Jahr plant, das Thema Verschlüsselung zu verbieten, um damit den Ermittlungsbehörden einen stärkeren Zugriff auf Daten zu gewährleisten. Ein solches Verbot wäre nicht notwendig, wenn die eingesetzten Verfahren Sicherheitslücken enthalten oder wegen der Komplexität diese Verfahren nur von wenigen genutzt werden. Es gibt bei den Verschlüsselungsverfahren Methoden, die nicht zu Unrecht den Namen „starke Verschlüsselung“ tragen und auch genau das umsetzen.
Wenn man sich also dieser Verfahren bedient, liegt schon eine sehr hohe Sicherheit vor. Eine Übernahme des Datenstroms oder die Einsicht dessen ist sehr unwahrscheinlich, sofern die Grundvoraussetzung in der Sicherheitstechnik, den Schutzmechanismus so nah wie möglich am zu schützenden Objekt anzubringen, aufrecht erhalten bleibt.
Das ist zum Beispiel bei E-Mails der Fall, wenn E-Mails als solche verschlüsselt werden und nicht nur eine Kanalverschlüsselung implementiert wird. Unsere Lösung „julia mailoffice“ bietet die Möglichkeit das Objekt „E-Mail“ zu verschlüsseln, zu signieren und nach erfolgter kryptografischer Operation zu transportieren. Dabei ist es nicht ohne weiteres möglich, Informationen einzusehen, da die eingesetzten Verfahren aufgrund der starken Kryptografie-Algorithmen als sicher gelten. Und sollte der Kommunikationspartner nicht über geeignete Mittel verfügen, die verschlüsselte E-Mail zu verarbeiten, wählt julia mailoffice automatisch sichere Ausweichverfahren, um so dennoch sicher kommunizieren zu können.
Mehr Informationen zum Thema „Sichere Kommunikation“ und „julia mailoffice“ finden Sie hier.