Computer Zeitung - Nr. 45
11.11.1999
Ein Artikel von Klaus Herbst
In deutschen Firmen sind Sicherheits-Tools wenig verbreitet, werden bestehende Werkzeuge oft falsch eingesetzt. Das Cast-Forum (Competence Center for Applied Security Technology) will das ändern.
Betrug beim Internet-Banking und beim E-Commerce, das Abhören und Fälschen von E-Mails, der Mißbrauch von Personal- oder medizinischen Daten sowie das Hacken von Rechnernetzen sind keineswegs selten. Dabei gibt es Komponenten, die den Schutz von IT-Systemen verbessern, zum Beispiel Verschlüsselung, digitale Signaturen, elektronische Wasserzeichen, Firewalls, biometrische Identifikation sowie Smartcards.
Diese Technologien werden von vielen Firmen - auch wenn die Tools im Grunde bekannt sind - sträflich vernachlässigt. Cast-Geschäftsführer Christoph Busch erklärt: " Eine vernünftige Sicherheitspolitik fehlt schlicht und einfach. Oft gibt es keinen Sicherheitsverantwortlichen, oder der mit anderen Aufgaben überlastete Systemadministrator versieht den Security-Job sozusagen nebenamtlich." Häufig werde die Firewall als Black Box betrachtet und entsprechend vernachlässigt. Tatsächlich werde sie meist gar nicht oder falsch konfiguriert - einer der häufigsten sicherheitsrelevanten Fehler in deutschen Unternehmen.
Geheime Daten sind ohne Schutz
Damit nicht genug: Sensible Daten werden hardwaremäßig nicht getrennt. Allzu oft schlummern die Einladung zum Betriebsausflug und der Kantinenspeiseplan auf dem selben Server, auf dem sich streng vertrauliche Informationen, Kundenlisten oder geheime Konstruktionsdaten befinden. Christoph Busch: "Wir beobachten ständig, daß gerade im Internet mit vertraulichen Daten völlig unbedacht umgegangen wird. Transaktionen und E-Mails wandern unverschlüsselt über das Netz, wenn überhaupt, dann kommen schwache Chiffren zum Einsatz. Außerdem werden Daten ohne technischen Urheberschutz, also ohne digitale Wasserzeichen, ins Netz gestellt."
Zumindest bei Bankgeschäften sieht es aber besser aus. Nach Meinung von Cast-Gründungsmitglied Johannes Buchmann, Professor am Fachbereich Informatik und Mathematik der Technischen Universtät Darmstadt (TUD), sind im elektronischen Zahlungsverkehr digitale Signaturen relativ stark verbreitet. Beispielsweise sind im Homebanking-Standard HBCI RSA-Signaturen eingebaut. Außerdem bauen vor allem große Firmen Virtual Private Networks auf, in denen Entscheidungsträger verschlüsselt kommunizieren.
RSA ist nicht mehr lange sicher
Auf dem einmal entwickelten Konzept darf man sich aber nicht ausruhen. "Wir wissen nicht, wie sicher RSA wirklich ist. Es kann sein, daß RSA noch 20 Jahre lang sicher bleibt. Die Entwicklung der letzten Jahre zeigt aber, daß RSA unsicher geworden ist. Wir brauchen eine zweite Lösung." Kürzlich hat ein globales Rechnernetz eine 512-Bit-Zahl in ihre Primärfunktion zerlegt. Das Resultat: Die RSA-Smartcard wurde geknackt. "Das wäre vor fünf Jahren undenkbar gewessen." Daher arbeitet Buchmann an flexiblen, Java-basierten Publik-Key-Infrastrukturen (Flexi PKI) mit leicht austauschbaren Krypto-Algrithmen.
Es besteht also weiterer Forschungs- und Beratungsbedarf. Dies ist ein Schwerpunkt von Cast, einem Forum, das das Fraunhofer-Institut Graphische Datenverarbeitung (IGD) zusammen mit der TUD gegründet hat. "Cast wird sich mit seinem Aus- und Weiterbildungsprogrammm an Mitarbeiter wenden, die die IT-Sicherheit ihres Unternehmens verbessern wollen. Wir bieten auch Beratung an, zum Beispiel die Evaluierung der Firewall-Technologie durch das Firewall Technoloy Center", beschreibt Busch die Aufgabenstellung. Im übrigen plant das Forum den Transfer von den Forschern zu den Anwendern sowie zu kommerziellen Vertreibern von Sicherheitstechnologien.
Aber auch in umgekehrter Richtung wird der Informationsfluß durch Cast gefördert, hofft Christoph Busch: "Man redet intensiv miteinander. So bekommen es die Forscher hautnah mit, wo den Anwender der Schuh drückt. Damit wird die Praxisnähe unserer Forschungs- und Entwicklungsarbeit verbessert."
