Informationssicherheit – quo vadis

Seit 40 Jahren gibt es die Digicomp. Ein stolzes Alter für eine «Computerschule». Und wie hat sich die Informationssicherheit seit 1978 verändert? Leider nur marginal. Aussagen wie: «An meinen Daten hat eh niemand Interesse», hörte man damals wie auch heute. Doch das Verständnis, dass Sicherheit nicht einfach per se vorhanden ist, steigt langsam. Während vor 40 Jahren kurze, vierstellige Passwörter genutzt werden konnten (wenn überhaupt Passwörter genutzt wurden), müssen diese heute mindestens 12 Stellen lang sein. Die Rechnerleistung ist einfach zu gut für kurze Passwörter.

Was tat sich sonst in den letzten 40 Jahren im Bereich der IT-Sicherheit? 1978 wurde der Titel CISA (Certified Information Systems Auditor) von der ISACA (Information Systems Audit and Control Association) ins Leben gerufen. Anhand dieses Titels zeigt sich schon, dass der Bedarf nach unabhängigen Audits im Bereich der Informationssicherheit vorhanden war. Als das Internet erfunden wurde, gingen die Entwickler von lieben und verantwortungsvollen Benutzern aus. Wieso soll ich da Sicherheit mit einbauen? Dieser Trugschluss ist bis heute ein schwerwiegendes Vermächtnis. Viele Protokolle wie SMTP für den Mail-Versand, FTP für den Datentransfer und viele weitere verschicken alle Daten im Klartext. Jede Station zwischen Sender und Empfänger kann die Daten mitlesen oder gar manipulieren. ISACA, übrigens aus der Ecke der IT-Revisoren gegründet, wollte mit dem CISA zeigen, auf was ein Auditor schauen muss. Themen wie: «Wie steht es um die Handhabung von Daten? Wie werden diese verarbeitet, gespeichert, versendet etc.? Wer kümmert sich bei Vorfällen um eine entsprechende Reaktion?», sollen dabei Klarheit verschaffen. Auch heute sind Auditoren mit dem Zertifikat CISA sehr gefragt.

In Amerika wurde zudem 1978 das Industrial Security Manual for Safeguarding Classified Information (ISM) veröffentlicht. Im Memorandum «Security of Federal Automated Information Systems» (OMB Circular No. A-71) wurde jede amerikanische Behörde angewiesen, ein Computer-Sicherheitsprogramm einzuführen und zu unterhalten. Es machte den Leiter einer Abteilung oder Behörde dafür verantwortlich, ein angemessenes Sicherheitsniveau für alle behördlichen Daten zu gewährleisten, egal ob für die interne oder auch für die externe, kommerzielle Datenverarbeitung.

Bis 1978: Kreative Methoden der symmetrischen Passwortverschlüsselung

Bis 1978 kam nur die symmetrische Verschlüsselung zum Einsatz. Dabei wird das gleiche Passwort zum Ver- und Entschlüsseln verwendet. Die grosse Herausforderung dabei war immer, wie dieses Passwort ausgetauscht wird. Der Mensch war hier sehr kreativ, z.B. Lederbänder, die um einen Stock gewickelt wurden, die Nachricht reingeschrieben und übermittelt. Nur wenn die Gegenstelle den genau gleich dicken Stock (also den passenden Schlüssel) hatte, konnte sie wieder gelesen werden. Im Mittelalter wurden Sklaven für den Transport von vertraulichen Nachrichten genutzt. Auf den kahl rasierten Schädel wurde die Nachricht geschrieben und anschliessend gewartet, bis die Haare wieder lang waren. Und los ging es mit dem Sklaven auf die andere Seite. Dort wurden die Haare wieder abrasiert und die Nachricht gelesen. Da waren Meldungen noch nicht so zeitkritisch wie heute.

Heute geht das natürlich nicht mehr. Das Verschlüsselungspasswort muss immer über einen zweiten Weg übertragen werden, wie SMS, Telefon, Brief, Fax etc. Ein weiterer Nachteil bei der symmetrischen Verschlüsselung ist die Anzahl Schlüssel. Diese steigt extrem schnell an: n * (n-1) / 2. Wenn also 20 Personen miteinander sicher kommunizieren möchten, sind dies bereits 200 Schlüssel.

Ab 1978: RSA, ein Verfahren der asymmetrischen Verschlüsselung

Eine bahnbrechende Erfindung wurde 1978 veröffentlicht: RSA. Die drei Herren Rivest, Shamir und Adleman zeigten ein asymmetrischen Verfahren zur Ver- und Entschlüsselung von Daten.

Wieso hat denn nun RSA alles auf den Kopf gestellt? Bei der asymmetrischen Verschlüsselung wird ein Schlüsselpaar erzeugt: ein öffentlicher und ein privater Schlüssel. Das Ganze basiert auf Primzahlen sowie einer mathematischen Einwegfunktion (d.h. es ist nicht möglich, von einem Schlüssel auf den anderen zu kommen). Der öffentliche Schlüssel, wie es der Name bereits sagt, kann (und muss) ausgetauscht werden. Alle, die mit mir kommunizieren möchten, müssen meinen öffentlichen Schlüssel besitzen. Zum Verschlüsseln einer Nachricht benötige ich nun diesen öffentlichen Schlüssel. Beim Empfänger angekommen, wird die Nachricht mit dem privaten Schlüssel des Empfängers wieder entschlüsselt.
Der private Schlüssel kann aber noch für einen zweiten Effekt verwendet werden: zum Signieren einer Nachricht. Mit der Signatur bestätige ich, dass diese Nachricht wirklich von mir kommt. Im Mittelalter wurde dazu ein Siegelring verwendet, der in Wachs gedrückt wurde. Analog funktioniert dies bei E-Mails. Über die gesamte Nachricht wird ein Hash berechnet (eine Art Quersumme). Dieser Hash-Wert wird nun mit dem privaten Schlüssel verschlüsselt und an die Nachricht angehängt, wie die Unterschrift unter einen Brief. Der Empfänger der Nachricht kann diese Signatur mit dem öffentlichen Schlüssel des Senders wieder entschlüsseln und mit dem selber berechneten Hash-Wert der Nachricht vergleichen. Wurde die Nachricht manipuliert, stimmt die Signatur nicht mehr und dies wird beim Empfänger im Programm klar angezeigt.

Seit 1978 sind weitere Standards und Frameworks, Hilfsmittel und technische Möglichkeiten zur Erhöhung der Informationssicherheit dazu gekommen. Für die Digicomp ist die Informationssicherheit ebenfalls ein grosses Anliegen. Die verschiedenen Kurse zeigen, wie wichtig das Thema ist und bietet Ihnen eine breite Auswahl an Möglichkeiten, egal auf welcher Stufe Sie mit Ihrem Vorwissen sind. Nutzen Sie die Möglichkeit und erhöhen Sie Ihre und die Informationssicherheit in Ihrem Unternehmen.