Was eine unverschlüsselte E-Mail mit einer Postkarte zu tun hat
Es gibt zahlreiche Wege, etwas zu verschlüsseln: DES, AES, Twofish, ROT13, Red Pike und noch viele mehr. Was es dabei zu beachten gelte und warum eine gute Verschlüsselung nicht nur etwas für Spione und Geheimagenten sei, sagt Matthias Hostettler, Mitglied der Geschäftsleitung von Avantec.
Verschlüsselungslösungen sind doch nur etwas für James Bond. Wofür braucht ein normales Schweizer KMU so etwas?
Matthias Hostettler: Beispiel E-Mail-Kommunikation: E-Mail ist für jedes KMU ein unverzichtbares Kommunikationsmittel geworden, vertrauliche Daten und auch Zahlungen werden darüber ausgelöst. Dass eine E-Mail mit einer Postkarte vergleichbar ist und der Inhalt einer unverschlüsselten Mail mitgelesen oder auch verändert werden kann, ist den meisten nicht bewusst - oder wird ausgeblendet. Dabei gibt es seit über 20 Jahren zuverlässig funktionierende Lösungen, die relativ einfach umgesetzt werden können. Die Kosten für solche Lösungen sind bestimmt ein Grund für die noch nicht flächendeckende Verbreitung. Die möglichen Schäden durch Cyberkriminalität rücken aber immer stärker in den Fokus von vielen Unternehmen in sämtlichen Branchen.
Matthias Hostettler, Mitglied der Geschäftsleitung von Avantec. (Source: zVg)
Welches Potenzial gibt es auf dem Schweizer Markt für Verschlüsselungslösungen?
Ich nehme wieder das Beispiel E-Mail. Hier ist das Potenzial noch gross, ausserhalb des Banken-/Versicherungssektors und Gesundheitswesens ist die Verschlüsselung von E-Mails noch nicht weit verbreitet. Auch die massiv zunehmende Nutzung von Cloud-Lösungen wird die Nachfrage nach Verschlüsselungslösungen steigern. Da man bei vielen Anbietern davon ausgehen muss, dass Drittstaaten Einblick in die Daten erhalten können, sollte man vertrauliche Informationen nur bereits verschlüsselt bei solchen Diensten ablegen.
Was gilt es beim Vertrieb oder bei der Implementierung von Verschlüsselungslösungen zu beachten?
Den Einsatz einer Verschlüsselungslösung setzt ein grosses Vertrauen in das Know-How des Herstellers und Integrators sowie auch seiner Reputation voraus. Man muss absolut sicher sein können, dass die Lösung auch "bullet-proof" konzipiert wurde und keine Möglichkeiten einer Kompromittierung enthält. Man sollte hier möglichst auf bewährte und unabhängige Anbieter setzen. Grosse Hersteller sind meist Gesetzen von Drittstaaten unterworfen, welche die Sicherheit der gesamten Lösung in Frage stellen.
Asymmetrisch, Symmetrisch, Substitution, Transposition, Stromverschlüsselung, Blockverschlüsselung und und und … Was ist Ihr Favorit?
i) Asymmetrisch sollte immer mit symmetrisch kombiniert werden, asymmetrische Verschlüsselung für Schlüsselaustausch und um DEK zu schützen/auszutauschen oder den Session Key zu übermitteln
ii) Asymmetrische Verfahren für Authentication, Signaturen (digital signing)
iii) Verschlüsselung sollte immer berücksichtigen was und wie lange etwas zu verschlüsseln ist. Aufwand und Nutzen müssen in einem korrekten Verhältnis stehen.
iv) Cipher-Auswahl AES256, sonst eher RSA mit 4096 Bit oder ECC256 - oder höher, je nach Kompatibilität der Anwendung
Wie werden sich Quantencomputer auf heutige Verschlüsselungsverfahren auswirken? Sind die heutigen Methoden morgen schon obsolet?
Man rechnet heute damit, dass in den nächsten fünf bis zehn Jahren erste Public-Key-Systeme gebrochen werden können. Dieser Zeitpunkt kann hinausgezögert werden, indem Schlüssellängen erhöht oder Algorithmen, basierend auf elliptischen Kurven, durch RSA ersetzt werden. Das ist aber definitiv nur eine temporäre Lösung. Unternehmen müssen sich mit quantensicheren Algorithmen auseinandersetzen und kritische Systeme und sensible Daten rechtzeitig auf solche Verfahren migrieren.
Die Antworten der anderen Podiumsteilnehmer:
Boris Achermann, Ispin: "Ich kenne mehrere Fälle, in denen die Kronjuwelen eines KMU in ein Billiglohnland repliziert wurden."
Daniele Casella, Samsung: "Bei der Implementierung muss darauf geachtet werden, dass diese einfach bedienbar, verständlich und integrierbar ist."
Stefan Klein, Seppmail: "Branchen wie der Finanzsektor und die Industrie hinken beim Thema Verschlüsselung deutlich hinterher."
Marcel Mock, Totemo: "Es ist sinnvoll, Lösungen einzusetzen, die alle Anforderungen abdecken und mit offenen Standards arbeiten"
Bremtane Moudjeb, Cisco: "Bei der Wahl einer Lösung sollte man auf Stärke und Komplexität des Verschlüsselungsalgorithmus achten"
Ingo Schubert, RSA Security: "Es besteht kein Grund zur Panik wegen Quantencomputern."
Von der Skytale bis zur Post-Quanten-Kryptografie: Wie Gaius Iulius Caesar, die Spartaner, Freimaurer und Co. früher versuchten, ihre Geheimnisse geheim zu behalten und warum das auch für die moderne Kryptografie interessant ist, lesen Sie hier im Hintergrundbericht zum Thema Verschlüsselung.