Gegen wen wir uns wie schützen müssen: Verschlüsselungs-Experte Prof. Müller-Quade im Interview
Datensicherheit beschäftigt die IT-Abteilungen der Unternehmen landauf, landab. Doch muss man sich gegen jede Art von Angreifer im selben Umfang schützen? Und welche Methode ist die beste? Auf diese Fragen antwortete Professor Jörn Müller-Quade, Inhaber des Lehrstuhls für IT-Sicherheit am Karlsruher Institut für Technologie (KIT), im Gespräch.
Jörn Müller-Quade ist Professor für IT-Sicherheit und Kryptographie am Karlsruher Institut für Technologie, KIT. Foto: KIT.
Herr Professor, für eine Abstufung des Sicherheitsbegriffs im Zusammenhang mit IT-Sicherheit hat sich Innenminister de Maizière ausgesprochen. Auch Sie sagen, dass es immer zu bedenken gilt, gegen wen man sich schützen will und welches Sicherheitsniveau man erreichen möchte.
Müller-Quade: Genau. Ich halte den Vorschlag von unterschiedlichen Sicherheitsstufen auch für sinnvoll. Es wäre ja auch unvernünftig, wenn wir sagen würden: „Wir verschlüsseln alle Sachen unabhängig vom Inhalt extrem.“
Generell würde ich es begrüßen, wenn man zwei Diskussionen führen würden, anstatt immer alles zu vermischen. Das Schlimme am Vermischen ist, dass viele Leute denken: Die NSA kann eh alles mitlesen, deshalb mach ich gar nichts. Das ist falsch.
Wir müssen uns als allererstes dort schützen, wo es einfach ist. Das heißt: gegen „kleine Verbrecher“, dann gegen das organisierte Verbrechen, dann vielleicht gegen Geheimdienste kleinerer Staaten. Das geht alles noch, weil die nicht einfach zu Microsoft gehen können und ihnen sagen, dass sie folgendes Update einspielen sollen. Das heißt, wir sollten die Diskussion trennen: Wir sollten uns sehr gut schützen, wo Schutz möglich ist, sogar einfach möglich ist.
Die andere Diskussion, die ich führen will: Wie schützen wir uns gegen andere Staaten? Hier muss geklärt werden: zum einen, ob es internationale Verträge geben könnte, die so etwas ächten, was es meines Wissens derzeit nicht gibt. Und zum anderen, wie wir wenigstens für sehr, sehr kritische Infrastrukturen eine Art digitale Souveränität für Deutschland oder Europa hinbekommen könnten.
Sobald man verschlüsselt, kann zum Beispiel die NSA nicht mehr direkt mitlesen, sondern muss den Kontakt zum Internet Provider aufnehmen oder in Ihr Betriebssystem einbrechen. Wenn ein Service zusätzlich auf Zero-Knowledge-Technologie setzt, ist auch der Weg über den Provider de facto ausgeschlossen, oder?
Müller-Quade: Wenn Sie eine Zero-Knowledge-Verschlüsselung mit Ende-zu-Ende nutzen, ist der Gang über den Provider nicht mehr möglich. Dann bleibt Angreifern nur noch der Weg über das Betriebssystem, um an Ihre Daten ran zu kommen. Man kann also Verschlüsselung so sicher machen, dass sich selbst Geheimdienste nur noch auf diese Weise Zugriff verschaffen können.
Wenn Sie zwar kein absolut sicheres Betriebssystem verwenden, aber ein „state of the art“ kommerzielles Betriebssystem wie eine der aktuellsten Windows-Versionen und nutzen Sie dazu eine richtige, Zero-Knowledge-artige Ende-zu-Ende-Verschlüsselung, dann haben Sie einen noch höheren Schutz. Dann kann man tatsächlich nur noch über den Betriebssystemhersteller oder sehr schwer zu bekommende Exploits an ihre Kommunikation heran.
Momentan geht der Trend in Richtung mehr Usability und einfache Ende-zu-Ende-Verschlüsselung. Sehen Sie das als Schritt in die richtige Richtung? Weil es jedem ermöglicht die Technologie zu nutzen, unabhängig von seinen Fähigkeiten im Umgang mit Computern?
Müller Quade: Auf jeden Fall. Heutzutage ist jedes Auto ein fahrender Computer und dafür müssen Sie sich auch nicht mit Computern auskennen, sondern es passieren gewisse Dinge im Hintergrund.
Genauso könnte Verschlüsselung so im Hintergrund funktionieren, dass Sie davon überhaupt nichts merken. Wenn Sie eine HTTPS-Seite ansurfen, besteht ja normalerweise auch kein Unterschied zu einer anderen Internetverbindung.
Ist das nächste Problem, das es zu bewältigen gilt, nicht das der Kompatibilität? Damit ich wirklich mit jedem verschlüsselte Mails austauschen kann?
Müller-Quade: Ja, dafür gibt es auch schon Lösungen. Ich glaube, die können Sie in der Form noch nicht kaufen, aber angedachte Lösungen gibt es. Man spricht da von einem Hooking-Mechanismus. Also wie bekomme ich denjenigen an den Haken, der selber nicht über eine Verschlüsselungslösung verfügt?
Da ist angedacht, dass man Ihnen die E-Mail verschlüsselt zuschickt, zusammen mit einem Link, unter dem Sie sich dann registrieren können und dann kriegen Sie einen öffentlichen und einen privaten Schlüssel und das installiert sich im Hintergrund. Sie können dann Ihre erste E-Mail lesen und auch selbst verschlüsseln.
Das ausführliche Interview mit Herrn Professor Müller-Quade lesen Sie auf dem FTAPI-Blog: „Verschlüsselung könnte so im Hintergrund funktionieren, dass Sie gar nichts mehr davon merken“