Entwickler Magazin - Spezial Vol. 16 - Security


Preis: 9,80 €

Erhältlich ab:  Mai 2018

Umfang:  100

Autoren / Autorinnen: Christian Schneider, Malte Pollmann, Kevin Gerndt, Carsten Eilers, Marius Hofmeister, Helmut Stoiber, Simon Kölsch, Hans-Peter Grahsl, Manfred Steyer, Carsten Eilers, Michael Rohrlich, Mathias Fuchs, Matthias Pöpping, Matthias Rohr, Christian Schneider, Helmut Stoiber, Carsten Eilers, Niko Köbler

Liebe Leserinnen und Leser,

erinnern Sie sich noch an Norbert Blüms Aussage „Die Rente ist sicher“ (von der Höhe war nie die Rede)? Dazu gehörte auch eine Werbekampagne mit dem Spruch „Denn eins ist sicher: die Rente“. Der lässt sich wunderbar auf die IT übertragen: „Denn eins ist sicher: Die IT ist es nicht“.

IT-Sicherheit ist eine besondere Art der Sisyphosarbeit. Unser Stein rollt zwar nicht immer zurück, unten liegt aber immer schon der nächste. So war die Trennung zwischen Codeteilen bzw. Daten mit unterschiedlicher Vertrauenswürdigkeit lange Zeit ein guter Schutz, bis im Januar 2018 mit Spectre und Meltdown Schwachstellen in der CPU bekannt wurden, die diesen Schutz aushebeln. Ob das Patchen der Schwachstellen inzwischen vollständig geklappt hat? Wer weiß.

Selbst wenn, wird der nächste Stein nicht lange auf sich warten lassen. Nachdem nun bekannt ist, dass es auch in den CPUs Schwachstellen gibt, geht die Suche erst richtig los. Und es wäre ein Wunder, wenn nichts weiter gefunden würde. So kam man ja auch auf die Idee, alle möglichen Geräte mit kleinen Computern zu versehen und ans Internet anzuschließen und nannte das dann Internet of Things. Alle möglichen Hersteller finden das neue Buzzword toll und wollen dabei sein. Für Sicherheit ist auf den kleinen Rechnern oft weder Speicherplatz noch genug Rechenleistung. Vielleicht haben die Entwickler davon auch einfach keine Ahnung, weil sie bisher die Firmware abgeschotteter Geräte entwickelt haben, und die nun plötzlich mit einer Weboberfläche versehen ins Internet sollen. Aber wer sollte schon auf die Idee kommen, irgendwelche Geräte anzugreifen? Die Cyberkriminellen natürlich, die daraus bereits ein riesiges Botnet für DDoS-Angriffe gebaut haben. Was denen sonst noch so einfällt, werden wir sicher bald erfahren.

Ein weiteres Problem: das Ausspähen von Daten. Davor schützt eine Verschlüsselung, wenn sie sicher ist – was nicht immer der Fall ist. Kryptoalgorithmen und Schlüssellängen „altern“. In den Algorithmen werden Fehler entdeckt, anfangs unbrechbare Schlüssellängen können von den immer schneller werdenden Rechnern gebrochen werden.

Das Problem lässt sich durch längere Schlüssel und neue Verfahren gut beherrschen. Ein größeres Problem sind die Strafverfolger und Geheimdienste. Da sie an der sicheren Verschlüsselung durch Kriminelle und Terroristen scheitern, fordern sie Hintertüren in der Verschlüsselung, die dann aber auch von Angreifern genutzt werden können und deshalb keinesfalls eingebaut werden dürften, wenn einem die Datensicherheit lieb ist.

Diese Diskussion hatten wir schon in den 1990er-Jahren, eigentlich hatten wir die Crypto Wars gewonnen. Aber seit einiger Zeit werden neue Begehrlichkeiten geweckt. Da ist das letzte Wort noch nicht gesprochen; es tauchen immer wieder Ideen auf, wie Strafverfolger und Co. Zugriff auf die verschlüsselten Daten bekommen könnten. Das funktioniert aber nicht: Wenn es eine Hintertür gibt, kann sie auch von Angreifern gebraucht werden.

Ich könnte problemlos das ganze Heft mit solchen Beispielen füllen. Denn wie ich es so gern in meinen Artikeln formuliere: „Schlimmer geht immer!“ Aber dagegen lässt sich zum Glück etwas machen. Wenn die Entwickler ihre Programme sicher entwickeln, die Benutzer ihre Systeme aktuell halten und die Politiker die Sicherheitsfanatiker in ihre Schranken weisen, ist schon viel gewonnen.

Und nun wünsche ich Ihnen viel Spaß mit diesem Magazin!

eilers_carsten_sw.tif_fmt1.jpgCarsten Eilers, Freier Berater und Coach für IT-Sicherheit

Twitter

Neugierig geworden?


   
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang