Seite 14 http://www.inpactmedia.com
Julia Thiem / Redaktion
E
s gibt zwei Wege, neue
Prototypen zu testen: gut
getarnt, wie die Erlkö-
nige der Automobilbranche, oder
aber medienwirksam, wie der
Jungfernflug eines ersten Flugta-
xis über der Stuttgarter Innenstadt
mit dutzenden Schaulustigen. Für
Hacker gibt es offensichtlich auch
einen Mittelweg, wie wir Anfang
September erleben durften. Die
mutmaßlichen Angreifer selbst
blieben dabei wie die Erlkönige
gut getarnt, die Attacke wurde al-
lerdings, als sei der Angriff nicht
genug, noch einmal medienwirk-
sam auf Twitter kommentiert.
Man habe „neue Geräte testen“
wollen.
Dafür wurde stundenlang ein
massiver DDoS-Angriff auf die
Online-Enzyklopädie Wikipe-
dia gefahren. DDoS steht dabei
für Distributed Denial of Service
und führt dazu, dass ein Dienst
wie Wikipedia nicht mehr oder
nur noch eingeschränkt zur Ver-
fügung steht. Interessanterweise
braucht es heutzutage nicht ein-
mal mehr einen Computer für sol-
che DDoS-Angriffe. Cyberkrimi-
nelle nutzen vernetzte IoT-Geräte
wie Haushalts- oder Unterhaltungselektronik, Rou-
ter oder netzwerkfähige Drucker für ihre Attacken,
mit der sie dafür eine Art Lösegeld erpressen, dass
sie den Service wieder freigeben.
Was den Hackern bei den vernetzten Geräten
einerseits in die Hände spielt, ist die mangelnde
Update-Politik der Hersteller sowie die Tatsache,
dass die Nutzer solcher Geräte gar nicht wissen, wie
Sicherheitsupdates eingespielt werden können. An-
dererseits sei die IT-Sicherheit für viele IoT-Geräte
eben auch nicht ihr Hauptzweck, wie Dr. Christof
Beierle vom Horst Görtz Institut für IT-Sicherheit
(HGI) der Ruhr-Universität Bochum, erklärt: „Viele
IoT-Geräte sind sehr klein und verfügen nur über
wenig Speicher- und Rechenkapazität. Die gängige
Verschlüsselung würde hier entweder zu viel Spei-
cherplatz oder zu viel Energie benötigen. In vielen
Fällen beides.“
Als Beispiel bringt Beierle medizinische Im-
plantate an, die zwar nach außen kommunizieren,
gleichzeitig aber möglichst wenig Energie verbrau-
chen sollen. Sonst müsste die Batterie nämlich re-
gelmäßig im Rahmen einer Operation gewechselt
werden. Dass ein Hacker einen Herzschrittmacher
oder ähnliche Medizintechnik für seine Zwecke
missbraucht, darf allerdings auch keine Option sein.
Deshalb wird derzeit an der Lightweight-Krypto-
grafie geforscht, für die man aktuell in den USA
neue Standards setzen will. Das National Institute
of Standards and Technology, kurz NIST, hat hier-
für einen Wettbewerb für neue Ansätze ausgeschrie-
ben, mit denen auch unter extrem eingeschränkten
Bedingungen eine sichere Verschlüsselung möglich
sein soll. Beierle ist Teil von zwei der insgesamt drei
Forscherteams des HGI, die auf der Suche nach den
neuen „Fliegengewichten“ in der Verschlüsselung
bereits in der zweiten Runde des Wettbewerbs sind.
Angesichts der steigenden Anzahl an Cyber-
angriffen muss man sich allerdings insgesamt die
Frage stellen, wie hoch die IT-
Sicherheit ob der zahlreichen
Digitalisierungsvorhaben im
Land ist. Mit Blick auf die
gängigen IT-Anwendungen
gibt Beierle jedoch Entwar-
nung: „Die für Cloud-An-
wendungen standardisierten
Verschlüsselungsverfahren gel-
ten beispielsweise als mathe-
matisch sicher. Es empfiehlt
sich daher immer Standards
zu verwenden, wenn welche
verfügbar sind. Sollte doch
einmal eine Sicherheitslücke
auftreten, kann die schnell
behoben werden – und zwar flächendeckend. Pro-
bleme tauchen meist nur auf, wenn die Protokolle
fehlerhaft implementiert wurden.“ Allerdings dürfe
man bei Cloud-Anwendungen Datensicherheit und
Datenschutz nicht verwechseln. Wer auch beim Da-
tenschutz auf der sicheren Seite sein will, sollte auf
den höheren deutschen Standard setzen und sich für
eine in Deutschland gehostete Cloud entscheiden.
Die IT-Sicherheit ist also immer da in Gefahr, wo
neue Bereiche von der analogen in die digitale Welt
transferiert werden wie beim Internet der Dinge –
oder aber wenn sich in der Mathe-
matik etwas verändert. Beispiel
die TLS-Protokolle der Cloud:
Sie beruhen auf einer Kombinati-
on aus symmetrischer und asym-
metrischer Verschlüsselung, was
aktuell mathematisch sicher ist.
Die Sicherheit eines der asymme-
trischen Verfahren beruht jedoch
darauf, dass es derzeit nicht mög-
lich ist, eine Zahl – sofern sie groß
genug ist – effizient in ihre Prim-
faktoren zu zerlegen. Das könnte
sich jedoch mittelfristig ändern,
wenn den Quantencomputern der
Durchbruch gelingt, an dem un-
ter anderem im Forschungszen-
trum Jülich gearbeitet wird.
Vereinfacht ausgedrückt macht
sich diese neue Generation der
Computer die Gesetze der Quan-
tenmechanik zunutze, um die
Rechenleistung signifikant zu
steigern. Gemessen wird die Re-
chenleistung der Quantencom-
puter in QuBits. Analog zum Bit
weist auch ein QuBit die klas-
sischen Zustände 1 und 0 auf,
nur ist es dort kein Entweder-
oder, sondern ein Sowohl-als-
auch, was die „Superposition“
1 und 0 ermöglicht. Damit sind
selbst parallele Rechenoperati-
onen möglich, mit denen Quan-
tencomputer eine asymmetrische Verschlüsselung
im Handumdrehen in ihre Primfaktoren zerlegen.
Also müssen auch hier neue Standards in der Ver-
schlüsselung gefunden werden, an denen das ameri-
kanische NIST ebenfalls arbeitet. Und auch in die-
sem „Post-Quantum Cryptography“-Projekt sind
drei Forscherteams des HGI
mit ihren Ideen mittlerweile in
die zweite Runde vorgerückt.
In Jülich will man in nur
drei Jahren den größten Quan-
tencomputer Europas bau-
en. Allerdings reiche diese
Rechenleistung laut Beierle
noch nicht aus, um aktuelle
Verschlüsselungsstandards an-
zugreifen: „Der Quantencom-
puter in Jülich soll bis zu 100
QuBits beinhalten, für einen
wirksamen Angriff auf aktu-
elle Verschlüsselungsstandards
wäre allerdings ein Vielfaches
mehr an Qubits nötig.“ Grund, sich zurückzuleh-
nen, sei das jedoch nicht, betont Beierle: „Es gibt
zwei Argumente, sich bereits heute mit quantensi-
cherer Verschlüsselung zu beschäftigen: Erstens die
teilweise langen Produktzyklen, durch die vernetzte
Produkte auch in 20 Jahren noch sicher sein müs-
sen, und zweitens die langfristige Sicherheit. Denn
theoretisch ist es möglich, sich heute verschlüsselte
Daten und Informationen zu besorgen, um sie zu
entschlüsseln, sobald die Quantencomputer dazu in
der Lage sind.“
Ein Quantum
Sicherheit
Die immer stärkere Vernetzung sowie neue Super-Computer
stellen die IT-Sicherheit vor neue Herausforderungen.
„Hosted in Germany“ kann eine mögliche Antwort lauten.
»Viele IoT-Geräte sind
sehr klein und verfügen nur
über wenig Speicher- und
Rechenkapazität. Die gängige
Verschlüsselung würde hier
entweder zu viel Speicherplatz
oder zu viel Energie benötigen.
In vielen Fällen beides.«
Dr. Christof Beierle,
Ruhr-Universität Bochum