Freitag, 19. April 2024

Archiv

IT-Sicherheit
Aufmerksamkeitsdefizit für Sicherheitsentwicklungen

Deutsche Entwickler von effizienten Sicherheitsprodukten finden zu wenig öffentliches Interesse. Damit könnte eine gefährliche Abhängigkeit von ausländischen Herstellern werden - eine findige Entwicklergemeinde will etwas dagegen tun.

Von Peter Welchering | 26.09.2015
    "Wir haben nicht nur amerikanische Hersteller, nicht nur asiatische Hersteller. Wir haben auch deutsche Hersteller, und zwar einige. Die können durchaus ein sehr interessantes alternatives Angebot machen. Also, es gibt durchaus Alternativen, und das spricht sich auch herum."
    Das sagt Ralf Koenzen, Geschäftsführer der Lancom System GmbH, Netzwerkspezialist aus Würselen. Nachdem der Bundestagshack bekannt geworden war, fragten sich viele Abgeordnete, aber auch Bürger: Wie abhängig sind wir von chinesischen Routern, amerikanischer Verschlüsselungssoftware und in Asien hergestellten Computern. Sicherheitsspezialisten haben ja auch schon wiederholt darauf aufmerksam gemacht, dass die Abhängigkeit von amerikanischer und chinesischer Hard- und Software ein Sicherheitsrisiko darstellt. Könnte dieses Sicherheitsrisiko durch eine Produktion in Deutschland gemindert werden, Peter Welchering?
    "Eindeutig ja. Das Problem dabei: Wir haben keine nennenswerte IT-Produktion mehr in Deutschland. Die Produktion von Computern, Vermittlungsrechnern, Prozessoren und so weiter ist abgewandert, größtenteils nach Asien. Im Softwaregeschäft spielt SAP noch international ganz vorn mit. Gleichzeitig gibt es unglaublich viele Entwickler in Deutschland. Die haben pfiffige Ideen für Verschlüsselungsprodukte, für Router, für Sicherheitssoftware und ganzheitliche Lösungen. Und diese Entwicklerszene ist nach den Enthüllungen von Edward Snowden sogar noch aktiver geworden. Nicht wenige Entwickler haben sich beispielsweise gesagt: Es kann doch nicht sein, dass wir die Wahl haben zwischen Hintertüren in Routern von Cisco oder von Huawei, also die Wahl zwischen dem amerikanischen und dem chinesischen Geheimdienst. Und dann haben sie sich an die Entwicklung eines Produkts gemacht. Genau diese Produkte, die sind jetzt marktreif geworden oder stehen unmittelbar vor der Marktreife."
    "Noch ist es so, dass die Leute sich sehr bewusst sind, dass geklaut wird und viele dann doch nichts dagegen machen. Ich denke, das Bewusstsein ist bei den Häusern immer stärker da. Es ist auch das Bewusstsein da, man muss da was machen. Und das wächst jetzt so langsam, habe ich das Gefühl, in die Bevölkerung rein. Und oft ist es so, dass da etwas passiert ist, dass da jemand gekündigt hat oder hat Daten abgegriffen- Es ist bekannt, also das weiß dann jeder. Und dann macht man etwas und dann wird das Bewusstsein auch wachsen, schon selber etwas mehr zu tun."
    Sagt Hermann Ullenboom aus Unterhaching bei München. Der Diplom-Ingenieur hat unter dem Eindruck der NSA-Affäre eine intuitiv zu bedienende Verschlüsselungssoftware entwickelt, die er Volks-Token nennt.
    "Diese Verschlüsselungslösung, die sieht so aus: Es handelt sich um ein USB-Token, in dem eine Smartcard ist, eine Java Card, und auf dieser Java-Karte sind die Schlüssel, die asymmetrischen Schlüssel, sicher gespeichert und verlassen diesen Token auch nicht. Mithilfe dieser Schlüssel werden wieder Schlüssel gebildet, mit denen dann jede Datei einzeln verschlüsselt wird. Und zwar jede Datei mit einem anderen Schlüssel."
    Auch dass ein Geheimdienst wie die NSA sich Zugang zum innersten Kern einer jeden Verschlüsselungssoftware verschaffen kann, nämlich zu den Verschlüsselungsboxen, wurde bedacht. Hermann Ullenboom hat Vorsorge getroffen.
    "Wir wollten, dass die Schlüssel sicher gespeichert sind und dass weder wir noch irgendjemand anders Zugriff haben kann auf die Schlüssel. Das geht nur, indem Sie die Schlüssel in einem Token, also einem sicheren Element verpacken, sprich diese Smartcard. Sobald Sie die Schlüssel irgendwo auf einem Server liegen haben, administriert von einer IT oder wem auch immer, oder sie kaufen sich die dann ein, dann haben Sie nicht wirklich die Gewalt über die Schlüssel. Irgendjemand kann immer an die Schlüssel kommen. Mit unserem Verfahren ist es nicht möglich, an die Schlüssel zu kommen. Da ist der Aufwand viel zu groß. Alles andere ist nicht sicher, weil man an die Schlüssel kommen kann. Das war die Intention."
    Das hat auch Hermann Sauer aus Eltville am Rhein umgetrieben. Er hat einen Hochsicherheitsrouter entwickelt, mit dem der Anwender völlig anonym surfen kann. Und nicht nur das.
    "Der zweite Punkt ist ein wirklich sicheres E-Mail, so sicher, dass es auch die Metadaten verschlüsseln kann. Das ist recht einmalig. Und was auch einmalig ist, man kann sein normales Mail-Programm unverändert weiter verwenden, muss sich um die Verschlüsselung gar nicht kümmern, auch nicht um irgendwelche Schlüsselverwaltungen, was man sonst bei irgendwelchen Alternativen machen müsste. Also, eine sichere E-Mail ist die zweite Funktion."
    Außerdem verschleiert dieser Router die Adressen von Absendern und Empfänger von Mail, also einen Teil der Metadaten, die von Geheimdiensten auch ausgewertet werden.
    "Die Mails werden ausgetauscht durch verteilte Tabellen im Internet, mit deren Hilfe wir die entsprechend Zieladresse kriegen. Natürlich kann das jeder immer noch mithören, auch ein Geheimdienst, diesen Traffic. Allerdings den Traffic, den er dann sehen wird, der ist verschlüsselt, das heißt, es ist ziemlich schwierig, erst einmal festzustellen, dass es überhaupt eine Mail ist. Und selbst wenn man das herausfinden könnte, ist sie immer noch so verschlüsselt, dass man mit den Daten gar nichts anfangen kann."