Warum und wie Sie Kundendaten verschlüsseln sollten
Kundendaten sind aufgrund zunehmend online verlagerter Geschäftsabläufe inzwischen nahezu immer mit dem Internet verbunden. Außerdem sind sie heiß begehrt. Daher lohnt sich für Angreifer ein gewisser Aufwand – der vor allem meist kleiner ist, als man denkt
Mit Kundendaten sind zwei Probleme verbunden – zum Einen sind sie allzuoft schlecht geschützt: “DHL-Kundendaten durch technischen Fehler online einsehbar einsehbar” oder “Leck in Google Play gibt Entwicklern alle Kundendaten” lauteten Schlagzeilen der vergangenen Jahre. Andererseits sind sie sehr begehrt, wie andere Meldungen belegen: “Kundendaten bei REWE geklaut” und “Hacker greifen bei Vodafone zwei Millionen Kundendaten ab“.
Das Bildungsniveau der Angegriffenen verhält sich offenbar umgekehrt zu dem der Angreifer. Zu den Angegriffenen zählen die Entscheider in Politik und Wirtschaft sowie diejenigen, die auf Basis der gefällten Entscheidungen Software entwickeln, implementieren, administrieren oder nutzen, um vernetzte Geräte in der Informationsgesellschaft zu steuern oder personenbezogene Daten damit zu verarbeiten. Dem stehen die Angreifer gegenüber: Geheimdienste, Wirtschaftsspione, Militärs, Cyberkriminelle und -terroristen.
Die technischen Möglichkeiten verdoppeln sich für alle Beteiligte alle 18 Monate. Und das bereits seit einem halben Jahrhundert. Die Folge: Bereits seit zehn Jahren delektieren wir uns an der Vorstellung der künstlichen Intelligenz – der unangenehme Nebeneffekt: Eine ganze Reihe von Experten befürchtet eine für die “Menschheit” existenzielle Gefahr, die von der kI ausgehe. Zu den Schwarzmalern gehören die Unternehmensgründer Bill Gates und Elon Musk sowie der Physiker Stephen Hawking. Von wegen “German Angst”!
Mit der zunehmenden Leistungsfähigkeit wächst der digitale Graben zwischen Angreifern und Angegriffenen. Kürzlich wurde bekannt, dass im US-Bundesstaat Texas nicht nur Staatsdiener, sondern auch Ingenieure, Ärzte, Makler, Aktienhändler, Anwälte und Architekten ihre Fingerabdrücke an die Behörden rausrücken müssen. Tags drauf berichtete das Personalamt der US-Bundesregierung, dass ihm Fingerabdrücke von 5,6 Millionen Beschäftigten gestohlen worden sind.
Vor dem Hintergrund ist es interessant, dass Unternehmen und Behörden weltweit bereits Millionen Sprechproben gesammelt haben und Google ein Patent auf eine kI hält, die die Stimme einer Person aus solchen Sprechproben lernen kann.
Nun ist es nicht ungewöhnlich, ein Opfer reinzulegen – auch Menschen können beispielsweise eine Stimme nachahmen. Die künstliche Intelligenz “Amelia” führt jedoch nicht nur ein Gespräch, sondern zigtausende zur gleichen Zeit. Also Vorsicht beim Gebrauch von Sprachsteuerungen wie Apples Siri oder Microsofts Cortana – und dem Gebrauch des Telefons! Wissenschaftler wollen außerdem nachgewiesen haben, dass sich Passwörter und PINs aus Hirnwellen ablesen lassen. Ob das der Antrieb für den US-Geheimdienst CIA war, die Hirnströme von Flugpassagieren zu sammeln, ist nicht bekannt.
Kevin Warwick, Professor von der University of Reading fürchtet aber, derlei Möglichkeiten könnten auf die Datenkriminalität wie ein “Weckruf” wirken: Es sei wichtig zu verstehen, dass eine solche Intelligenz in der Lage sei, einem Opfer vorzugaukeln, dass ein Sachverhalt den Tatsachen entspreche.
Am Ende jedenfalls könnte es auf den biometrischen und multimedialen Identitätsdiebstahl hinauslaufen. Die Detailtiefe des jeweiligen Profils würde dabei in dem Maß zunehmen, in dem die Zielperson selbst oder seine Dienstleister auf rechtlicher und/oder vertraglicher Grundlage digitalisierte Daten ans Internet klemmen.
Die Folge: Weder die Fernsehnachrichten noch ein persönliches geführtes Telefonat wären dann noch vertrauenswürdig. Überall müsste mit Manipulationen gerechnet werden.
Ernest (E.J.) Hilbert, früher Ermittler bei der US-Bundespolizei FBI und heute Direktor für Cyber-Untersuchungen beim Sicherheitsberater Kroll bestätigt Warwick’s Wahrnehmung, reduziert die kI dabei aber auf “Algorithmen, die Daten manipulieren.” Die ‘bösen Jungs’ verstünden das: “Mit der Manipulation von Daten kennen die sich aus.”
Wie also sollten Ärzte, Autobauer, Banken, Behörden, Energieversorger, Steuerberater, Telekommunikationsdienstleister und Versicherer mit ihrem wichtigsten Gut – den Daten ihrer zahlenden Kundschaft – umgehen?
Die Adressaten sagen häufig, ihre Daten seien ‘gehashed‘ und deshalb könne niemand was damit anfangen. Um zu erkennen, wie kurzsichtig die Überlegung ist, muss man die Idee dahinter verstehen: Das Hashen einer Information dient dazu, ihren Inhalt unkenntlich zu machen. Im einfachsten Fall werden dabei die Buchstaben um eine Stelle verschoben – aus “IBM” könnte dann “HAL” werden. Auch das Fachmagazin Heise gibt sich damit nicht zufrieden und weist darauf hin, dass nicht jede Hash-Variante sicher sei. Zu manchen ließe sich “mit moderner Rechenhardware in kurzer Zeit das passende Klartext-Passwort ermitteln.”
Die erfolgversprechendste Möglichkeit besteht in der kryptographischen Verschlüsselung – nicht der Datenbank, nicht des einzelnen Datensatzes, sondern am besten jedes einzelnen Datenfelds separat. Nun können womöglich über kurz oder lang – der Leistungsfähigkeit sei Dank – auch sämtliche kryptographische Verschlüsselungsalgorithmen geknackt werden.
Wenn aber nicht nur die Datenbank insgesamt sondern jedes Datenfeld – Vorname, Name, Geburtsdatum, … – verschlüsselt ist, so könnte das für einen Angreifer sehr mühsam werden, den endlos vielen Datenpaketen einzeln den Inhalt zu entlocken. Daran könnte sich womöglich sogar die NSA die Zähne ausbeissen.
Der Autor
Joachim Jakobs hat das Buch “Vernetzte Gesellschaft. Vernetzte Bedrohungen – Wie uns die künstliche Intelligenz herausfordert” verfasst, das kürzlich im Cividale-Verlag erschienen ist. Bei ITespresso betreut er die Kolumne SicherKMU, die Verantwortlichen im Mittelstand Themen vermittelt und Strategien aufzeigt, wie sie ihrer Aufgabe besser nachkommen können.
Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.