Wie das Internet of Things geltende IT-Regeln auf den Kopf stellt

Wer hätte sich das vor zehn Jahren ausmalen können? Milliarden Menschen weltweit rennen direkt in die Arme einer berühmten amerikanischen Volkszählungs-Initiative (ihr Name beginnt mit «Face» und endet auf «book»). Indem die Menschen sich dort registrieren, verkaufen all jene ihre digitale Identität. Freiwillig. Und das, obwohl bis anhin die Verschlüsselung von Daten (also der Schutz der Privatsphäre) als weitaus wichtiger angesehen wird als die Sicherstellung der Authentisierung von Daten (also der Schutz vor unerlaubter Veränderung und vor falscher Identität).

Schutz unserer Daten

Nicht nur die Forschung konzentriert sich seit vielen Jahrzehnten auf innovative Methoden und Algorithmen zur Verschlüsselung von Daten. Auch Unternehmen (KMU und internationale Konzerne) und Privatpersonen investieren in die Verschlüsselung von E-Mails, Unternehmenskommunikation, HTTP(S)-Verbindungen, Datenbanken und Festplatten.Bevor es aber darum geht, warum eine gute Reputation und eine verifizierte Herkunft von Daten in Zukunft wichtiger sein werden als die Verschlüsselung der Daten, machen wir zunächst einen kurzen Ausflug in die Begrifflichkeiten: Traditionell betrachtet man in der Kryptografie zwei auf den ersten Blick unabhängige Eigenschaften von Daten:

• Sind die Daten verschlüsselt, also vor dem Lesezugriff von nichtberechtigten Dritten geschützt? Dieser Schutz geschieht üblicherweise mit Passwörtern oder kryptografischen Schlüsseln, die nur die Berechtigten kennen.
• Sind die Daten authentisiert, das heisst stammen die Daten unverändert von der als Urheber oder Absender angegebenen Quelle? Dieser Schutz wird technisch in aller Regel mit digitalen Unterschriften realisiert, die auch wiederum Passwörter und kryptografische Schlüssel benötigen.

In der sogenannten Public-Key-Kryptografie braucht jeder beteiligte Benutzer ein Schlüsselpaar, bestehend aus zwei Schlüsseln: einem öffentlichen Schlüssel, den die ganze Welt kennen kann (ja sogar kennen soll), sowie einem privaten Schlüssel, der nur dem Eigentümer des Schlüssels selbst bekannt sein darf. Mit dem öffentlichen Schlüssel des Empfängers einer Nachricht wird die Nachricht verschlüsselt. Mit dem dazugehörigen privaten Schlüssel kann der Empfänger die Verschlüsselung der Nachricht wieder öffnen. Bei der Authentisierung ist es genau anders herum: Mit dem privaten Schlüssel des Absenders wird digital unterschrieben, und mit Hilfe des dazugehörigen öffentlichen Schlüssels kann sich jeder von der Echtheit der digitalen Unterschrift überzeugen. Verschlüsselung und Authentisierung sind also komplementär zueinander.

Es besteht jedoch eine Verbindung zwischen der Verschlüsselung und der Authentisierung. Wie erwähnt, wird zur Verschlüsselung der öffentliche Schlüssel des Empfängers verwendet. Zum Beispiel geschieht dies beim Onlinebanking: Die Verbindung, die ein Mitarbeiter zum KMU-Server aufbaut, wird verschlüsselt – und zwar mit dem öffentlichen Schlüssel des KMU. Glücklicherweise ist dieser Schlüssel öffentlich, denn andernfalls müsste sich jeder Mitarbeiter und jeder externe Partner zuvor mit einem Vertreter der IT des jeweiligen KMU treffen und um den Schlüssel des KMU bitten. Das wäre nicht nur sehr umständlich, sondern auch enorm fehleranfällig. Stellen wir uns nur einmal den Fall vor, dass der Schlüssel des KMU-Servers geändert werden muss; der Aufwand wäre hierfür immens.

Authentische Schlüssel

Was bedeutet in diesem Kontext «öffentlich»? Idealerweise bedeutet dies, dass jeder Mitarbeiter, jeder Computer und jedes Smartphone auf der Welt die gleiche Vorstellung davon hat, wie dieser eine Schlüssel des KMU XY aussieht, also aus exakt welchen Einsen und Nullen der Schlüssel besteht. Man spricht hier von einer konsistenten Sicht auf öffentliche Schlüssel. In der Realität ist diese Konsistenz aber leider nicht gegeben. Immer wieder werden Angriffe bekannt, in denen es Angreifern gelingt, einen falschen Schlüssel als den offiziellen Schlüssel zu verkaufen.

Solche Fälschungen haben zur Konsequenz, dass die vermeintlich sichere Verbindung zum Server des KMU in diesem Fall nicht mit dem tatsächlichen Schlüssel des KMU abgesichert ist, sondern mit dem fälschlicherweise eingeschobenen Schlüssel des Angreifers. Das bedeutet nichts anderes, als dass damit der gesamte Datenverkehr für den KMU-Server unverständlich und somit nutzlos ist. Schliesslich wurde nicht der korrekte Schlüssel des KMU benutzt, sondern der Schlüssel des Angreifers. Die verschlüsselten Daten sind für das KMU also nur eine Aneinanderreihung scheinbar zufälliger Einsen und Nullen. Noch viel schlimmer ist aber: Der Datenverkehr ist für den Angreifer leicht zu entschlüsseln. Denn genau dieser ist im Besitz des privaten Schlüssels, der ja für die Entschlüsselung notwendig ist.

Dieses Problem tritt heute leider tagtäglich auf und macht jede Form der Verschlüsselung völlig nutzlos. Zwar gibt es Ansätze, derartige Man-in-the-Middle-Angriffe zu verhindern, aber diese Ansätze sind noch längst nicht ausgereift und haben jeweils mit eigenen Problemen zu kämpfen. Man könnte ein ganzes Buch mit derartigen Problemen füllen, egal, ob es dabei um E-Mail-Signaturen geht, um Blockchain-Einträge oder um SSL-Server-Zertifikate. Allen gemeinsam bleibt: Die Authentisierung der richtigen Schlüssel ist essenziell für jedes Business im Kontext von Industrie 4.0.

Was ist der Kern des Problems? Öffentliche Schlüssel sind eine höchst innovative Idee, die in den 1970er-Jahren die Welt der Kryptografie nicht nur bereichert, sondern tatsächlich revolutioniert haben. Als Stichwort sei hier vor allem das Verschlüsselungsverfahren RSA (1977) genannt. Leider ist es in der heutigen vernetzten Welt extrem schwierig, dafür zu sorgen, dass diese öffentlichen Schlüssel authentisch sind und korrekt an alle beteiligten Parteien verteilt werden. Wird mit gefälschten Schlüsseln verschlüsselt oder signiert, gelangen sensible Daten in falsche Hände, oder es wird bösartige Software fälschlicherweise ausgeführt. Solange es also für die Verbreitung von öffentlichen Schlüsseln keine flächendeckenden, authentischen Verfahren gibt, ist die Verschlüsselung zum KMU (und auch innerhalb des KMU) nutzlos und darum die Online-Geschäfte nicht sicher.

Problematik Internet of Things

Ein zweiter Grund für einen gesteigerten Bedarf an Authentisierung ist der rasant wachsende Markt der vernetzten Geräte, die mit Milliarden ihrer Artgenossen das Internet of Things bewohnen. In diese Klasse fallen vernetzte Autos, Toaster, Glühbirnen, Kühlschränke, Herzschrittmacher, Babywindeln, aber eben auch vernetzte Sensoren, Produktionssteuerungsanlagen, Detektionssysteme und andere sicherheitskritische Komponenten in Schweizer Atomkraftwerken, bei den Schweizer Bahnen und Spitälern. Authentisierung wird benötigt, um sicherzugehen, dass mein Auto nur dann vom Autopiloten gesteuert wird, wenn mein Smartphone dies verlangt (und nicht der Laptop eines Angreifers); dass mein Herzschrittmacher nur ein vom Kardiologen freigegebenes Software-Update installiert (und nicht eine bösartige Software meines Nachbarn) – und dass Steueranlagen in Atomkraftwerken nur auf Befehl der Befugten sicherheitskritische Änderungen ausführen.

Preisdruck und das Ziel einer frühen Markteinführung führen leider häufig dazu, dass die Milliarden vernetzter Geräte ohne Einsatz von Sicherheitsüberlegungen entwickelt werden. Umso wichtiger ist es, die Geräte nicht ohne Einsatz des Verstandes im eigenen Unternehmensumfeld einzusetzen. Konkret bedeutet dies, dass sich ein jeder Internetbenutzer die Frage stellen sollte, ob das private WLAN mit ausreichender Sicherheit geschützt ist, ob der nächste Toaster wirklich mit dem Kühlschrank kommunizieren muss und ob nicht mal wieder ein Passwortwechsel für das E-Mail-Konto fällig wäre. In professionellen Bereichen sind die Fragen ähnlich: Stehen ungeprüfte IoT-Geräte in einem vom Firmen-Hauptnetz abgeschotteten Netz? Ist die Zonierung gemäss den steigenden Anforderungen an die Wartbarkeit von IoT noch immer zeitgemäss? Haben die Geräte der Mitarbeiter im Kontext von Bring-Your-Own-Device (BYOD) wirklich nur gerechtfertigte Zugänge?

Der Faktor Mensch

Der dritte Grund, warum Authentisierung in den kommenden Jahren an Bedeutung gewinnen wird, ist die unaufhaltsam zunehmende Anzahl an sogenannten Social-Engineering-Angriffen. Der Faktor Mensch ist hier das zentrale Einfallstor: Egal, ob ein vermeintlicher Elektriker einen Zugang zum Serverraum erhält (zum Beispiel weil er aufgrund seines Arbeitsanzugs und des Werkzeugkoffers für einen legitimierten Elektriker gehalten wird), ob eine vermeintliche Putzkraft Zugang zum Büro des CEO erhält (zum Beispiel weil sie aufgrund ihrer Arbeitskleidung samt Handschuhen und Putzbesen für eine legitimierte Putzkraft gehalten wird) oder ob eine E-Mail vom vermeintlichen Chef eine grössere Zahlung legitimiert (sogenannte Fake-President-Angriffe).

In all diesen Fällen wurde die Echtheit der Handelnden aufgrund menschlicher Unachtsamkeit – nach gesundem Menschenverstand manchmal völlig zu Recht – nicht gründlich genug geprüft. Und das kann  dann fatale Folgen haben: Die Server werden mit einer Schadsoftware verseucht, vertrauliche Unterlagen des CEO werden an ein Konkurrenzunternehmen überspielt oder der Jahresgewinn wird völlig unbemerkt in die Hände von Gaunern übergeben.

Auf technischer Ebene ist hier vor allem das Beispiel E-Mail interessant. In Zeiten von Spam und gefälschten Absenderadressen ist es eine Leichtigkeit, persönlich zurechtgeschnittene Nachrichten so zu präparieren und in Umlauf zu bringen, dass auf Empfängerseite selten ein Zweifel an der Authentizität entsteht. Was kann man tun? Da technische Lösungen, zum Beispiel S/MIME-E-Mail-Zertifikate und persönliche Schlüsselaustausche, oftmals nicht praktikabel sind und darum nicht häufig genug zum Einsatz kommen, sollte hierfür jeder Mitarbeitende bestmöglich geschult werden. Sie sollen mit wachsamen Augen die feindliche Welt des Internets durchschreiten. Jeder Mitarbeitende sollte sich fragen: Ist das wirklich der übliche Schreibstil meines Kollegen? Seit wann sendet der Chef geschäftliche SMS bereits um vier Uhr früh? Kamen unsere Elektriker nicht bislang in Fahrzeugen mit einer grüner Lackierung?

Fazit

Die digitale Welt lässt digitale Überprüfungen nicht immer zu. Darum wird der Faktor Mensch an dieser Stelle zur wichtigsten Zutat, wenn es darum geht, die Systeme in puncto Authentisierung so sicher wie möglich zu gestalten. Aber Vorsicht: Der Mensch muss den Maschinen vorauseilen, denn schon jetzt trainieren Maschinen die Muster der Menschen und werden eines Tages die biometrischen und die verhaltensbasierten Authentisierungsverfahren schlagen können. Und zwar haushoch. Wer sich dann noch Sorgen um die Privatsphäre der eigenen Daten macht, dem sei gesagt: Geheimhaltung und Nichtpreisgabe der Daten ist noch immer das sicherste Mittel. Wollen wir wirklich zu den Milliarden Menschen gehören, die freiwillig in die Arme (nein, in die Server) der amerikanischen Datenverwerter rennen und dort freiwillig unsere Seele (nein, die digitale Identität) verkaufen? Moment … – wie unterscheiden sich die Seele und die digitale Identität noch gleich?