Digitale Signaturen und elektronische Verschlüsselung bieten Schutz, verlangen aber Aufmerksamkeit

Joachim Jakobs,
IT-ManagementIT-ProjekteKarriereSicherheitSicherheitsmanagementSoftwareZusammenarbeit
sicherkmu-logo (Gafik: ITespresso)

Der elektronische Müll in unserem Postfach will uns weismachen, dass wir Erbe eines königlichen Vermögens aus dem Orient sind – wir müssen nur den Link anklicken, um die Details zu erfahren. Derlei Märchen sind lästig, aber nicht wirklich bedrohlich: Die Erfolgsquote dieser Angriffe soll lediglich 0,000564 Prozent betragen. Erhalten wir aber Post von einer vertrauenswürdigen oder gar persönlich bekannten Person mit einem Inhalt, den wir von dieser Person erwarten können, steigt die Wahrscheinlichkeit beträchtlich, übertölpelt zu werden. Die Erfolgsquote der sogenannten “Speerfischer” liegt angeblich zwischen 10 und 20 Prozent.

Digitale Signaturen und elektronische Verschlüsselung bieten Schutz, verlangen aber Aufmerksamkeit

Im Juli war die Rede von Angriffen auf Branchen, in denen angeblich viel Geld zu holen ist: Banken, Ölindustrie, Schmuckhandel. Früher war das Beutemachen mühsame Handarbeit. Das wird sich wohl ändern – Angreifer werden wohl in Zukunft nicht nur ihre Beute aus früheren Raubzügen nutzen, um Millionen Menschen personalisiert zu attackieren, sondern ihr Treiben auch liebevoll verschleiern.

Proofpoint hatte bereits 2012 von einer Aktion berichtet, bei der in drei Stunden 135.000 Mails an mehr als 80 Firmen verschickt wurden. Um die Enttarnung zu vermeiden, fälschten die Angreifer 35.000 unterschiedliche Absender. Wissenschaftler meinen, dass sich auch die Daten diverser sozialer Netze zur automatisierten Personalisierung eignen würden.

Das Vertrauen in den Absender einer Mail und ihren Inhalt wird zum Glückspiel. Um digitales Chaos zu vermeiden, müssen wir den Absender eindeutig identifizieren und sicher sein können, dass der Inhalt der Nachricht nicht unterwegs manipuliert wurde. Die Bundesregierung wollte uns den “neuen Personalausweis” andienen, um diese Authentizität des Absenders und Integrität einer Nachricht sicherzustellen.

elektronische Verschlüsselung (Bild: Shutterstock/Cousin Avi).

Allerdings hat’s die Exekutive vermasselt: Die ‘AusweisApp’ hat nach Angaben von Vanessa Schmidt, Pressesprecherin der Entwicklerfirma, der OpenLimit SignCubes AG, noch nicht einmal eine Lizenz – geschweige denn, dass der Nutzer das Recht hätte, die Software auf solche Lücken zu prüfen! Mit anderen Worten: Wieviel Löcher noch in dem Ding drin sind, wissen die Götter – und die Geheimdienste dieser Welt. Jeder Nutzer dieser App muss damit rechnen, sich den Bundestrojaner – noch dazu mit Admin-Rechten! – zu installieren.

Wer sicher elektronisch signieren und kryptographisch verschlüsseln will, kann dazu guten Gewissens nur Freie Software verwenden – etwa GnuPG. Der GNU Privacy Guard ist ein sogenanntes Public Key Verschlüsselungsverfahren. Dabei verschlüsselt der Sender seine Mail mit dem ‘öffentlichen Schlüssel’ des Empfängers. Der Empfänger wiederum öffnet diese Mail mit seinem ‘privaten’ Schlüssel.

Guten Gewissens nur Freie Software verwendbar

Der öffentliche Schlüssel dieses Schlüsselpaars trägt seine Bezeichnung zu Recht: GnuPG-Nutzer veröffentlichen ihren öffentlichen Schlüssel sprichwörtlich auf Schlüsselservern, damit sie auch von Unbekannten verschlüsselte Nachrichten erhalten können. Um ganz sicher zu gehen, legen die GnuPG-Nutzer sich gegenseitig auf sogenannten “Keysigning Parties” ihren Personalausweis vor, um sich gegenseitig ihre Identität zu bescheinigen und den Schlüssel anschließend elektronisch zu signieren.

Auch die Information, wer wem vertraut, das heißt wer wessen Schlüssel signiert hat, ist dem Schlüsselserver zu entnehmen. So soll ein “Vertrauensnetz” entstehen. Die Idee: Wenn ich eine Nachricht von jemandem erhalte, den ich selbst nicht kenne, dem aber gleichzeitig viele andere elektronisch und öffentlich sichtbar vertrauen, kann ich das Risiko eingehen und Anhänge öffnen sowie Internetseiten besuchen, die diese Person mir zu lesen empfiehlt.

2013 verzeichneten die Polizeibehörden wieder einen merklichen Anstieg der Phishing-Fälle. Als Hauptgrund vermuten sie, dass die 2012 durch unterschiedliche Maßnahmen der Banken ins Hintertreffen geratenen Täter technisch aufgerüstet haben (Grafik: BKA).
2013 verzeichneten die Polizeibehörden wieder einen merklichen Anstieg der Phishing-Fälle. Als Hauptgrund vermuten sie, dass die 2012 durch unterschiedliche Maßnahmen der Banken ins Hintertreffen geratenen Täter technisch aufgerüstet haben (Grafik: BKA).

Der private Schlüssel dagegen ist kostbar – schließlich ist er der elektronische Spiegel der Person! Der Empfänger muß darauf vertrauen können, dass eine Nachricht authentisch von dieser Person stammt, wenn sie mit deren privaten Schlüssel signiert wurde.

Entsprechend wichtig ist es, den Rechner “sauber” zu halten: Sollte das Gerät einmal durch einen Trojaner kompromittiert werden, könnten Dritte beliebige Nachrichten mit der elektronischen Unterschrift des Berechtigten versehen. Wer mit einer elektronischen Signatur hausieren geht, muss daher besonders auf den Schutz seiner digitalen Identität achten.

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Lesen Sie auch :

Neue RCE-Sicherheitslücke betrifft fast die Hälfte der E-Mail-Server im Internet

Deutsche werden am intensivsten mit Spam bombardiert

Frankreich – keine Mails in der Freizeit