fit 2001 > Email > Sicherheit Ausblicke auf zukünftige Entwicklungen
 
"Ausblicke auf zukünftige Entwicklungen"
 
Sicherheitslücken in Mail-Programmen

Natürlich ist es eine Illusion zu glauben, dass Sicherheitslücken in Mail-Programmen der Vergangenheit angehören. Software wird von Menschen geschrieben und kann schon allein deshalb niemals vollständig fehlerfrei sein. Wir werden uns daher auch in nächster Zukunft mit Patches und Updates herumschlagen dürfen und trotzdem niemals wirklich sicher sein können, dass nicht irgendein unerwünschter Eindringling unsere Post liest.

Oft jedoch fällt auf, dass auf diesem Gebiet reine Panikmache betrieben wird. Es soll hier keinesfalls die Bedeutung regelmäßiger Sicherheitskontrollen heruntergespielt werden, aber für die meisten Anwender ist eine Mailbox, die einem Fort Knox gleicht, ohnehin Utopie. Man beachte nur, wie leicht sich jemand physischen Zugang zu einem Rechner verschaffen könnte. In diesem Fall sind sowieso sämtliche Sicherheitsmechanismen wirkungslos, auch wenn sie noch so ausgefeilt sein mögen.

Nebenbei sei noch bemerkt, dass viele Anwender ganz andere Probleme im Zusammenhang mit Verschlüsselung und Geheimhaltung haben. So dürften sehr viele Einsteiger sich recht schwer tun, den korrekten Weg einer asymmetrischen Verschlüsselungsmethode wie PGP nachzuvollziehen. Es braucht nur versehentlich der "geheime" Schlüssel publik gemacht werden, und schon ist das ganze Verfahren wirkungslos.

Auf die Betreiber von Web-Interfaces und Email Diensten kommen jedoch ebenfalls neue Herausforderungen zu. Ihre Server sind nämlich häufig das Ziel von Attacken, weil bei einem möglichen Erfolg gleich Hunderte und Tausende von Mailboxen "erbeutet" werden können. Hier können wir nur hoffen, dass die Verantwortlichen aus den neuesten Hiobsbotschaften gelernt haben und ihre Verantwortung gegenüber den Kunden ernst nehmen.

Gefährliche Attachments

Dieser Punkt ist insofern von besonderer Brisanz, als dass sich die spektakulären Angriffe der letzten Zeit hauptsächlich auf diesem Weg verbreitet haben. Dabei handelt es sich genaugenommen um ein Paradoxon: jeder, der eine Ahnung von "herkömmlichen" Viren hat, weiß, dass diese Programme zum Teil enorme Anstrengungen unternehmen, um nahezu unverwundbar zu sein. Stealth-Methoden und Polymorphismus sind nur zwei von vielen Methoden, um sich vor Anti-Viren-Programmen zu schützen. Sieht man sich jedoch den Quellcode der berüchtigten Würmer wie Loveletter und Melissa an, so ringt dieser jedem Programmierer ein Lächeln ab. Der Code ist dermaßen einfach, dass ihn jeder Schüler, der einen PC hat, ihn entwerfen könnte. Es stellt sich nunmehr die Frage, warum gerade ein so simples Programm einen derartigen Siegeszug (aus der Sicht des Programmierers) antreten konnte.

So traurig die Antwort ist, aber im Grunde genommen ist dafür lediglich die Unerfahrenheit vieler Benutzer zu nennen. Man wiegt sich oft allzu sehr in der Sicherheit, die Welt sei ein Dorf, und obwohl das Internet sehr viel zu dieser Anschauung beigetragen hat, so darf man nie vergessen, dass es sich um ein sehr großes Dorf handelt. Es ist demzufolge nicht immer ratsam, auf alles zu klicken, was sich bewegt, auch wenn das Handbuch eines Programms etwas anderes behauptet.

Schließlich sollte man auch den gesunden Menschenverstand nicht außer Acht lassen, der in diesem Fall sicherlich einige Probleme hätte verhindern können.

Trotzdem ist nicht die gesamte Schuld auf die Benutzer zu schieben. Es ist nämlich nach Meinung vieler Experten als Hersteller nicht genug, ständig neue Patches und Updates zu veröffentlichen, sondern es mangelt ganz allgemein an funktionierenden Sicherheitskonzepten. Oder, genauer ausgedrückt, es mangelt weniger an Konzepten als vielmehr an deren Umsetzung.

So wäre zum Beispiel das Sandkastenprinzip zu nennen, das von Sun Microsystems entworfen wurde. Dabei handelt es sich um ein recht simples Vorgehen, nämlich die Errichtung sogenannter Sandkisten, innerhalb derer gewisse sicherheitskritische Programme gestartet werden. Die Sandkiste wirkt dabei wie eine Schutzmauer und verhindert jeglichen Übergriff auf das System, ganz egal, welche Aktion das fragliche Programm ausführen will.

Der Vorteil solcher Konzepte ist, dass sie allgemeingültig und nicht nur spezifisch auf einen bestimmten Wurm oder eine Sicherheitslücke reagieren. Damit müssten schon wieder ganz neue Formen des Angriffs erdacht werden.

Abschließend sei noch bemerkt, dass es einen aufmerksamen Beobachter aufschrecken lässt wenn man sieht, mit welcher teils unglaublicher Ignoranz große Softwarehäuser ihre Ideen durchzusetzen versuchen, auch wenn sich dabei herausstellt, dass für sehr viele Benutzer daraus durchaus ernstzunehmende Schäden entstehen.

Verschlüsselungsalgorithmen

Auch auf diesem Gebiet werden stets Fortschritte gemacht. Dies bedeutet nicht nur, dass immer leistungsfähigere Rechner immer schwierigere Probleme zu lösen imstande sind, sondern es ist vor allem das Auftreten neuer Ansätze zur Problemlösung zu bemerken.

So ist es zum Beispiel erstmals in der jungen Geschichte der Computer gelungen, anstatt eines sehr großen Rechners, der Unsummen kostet und daher nur von Regierungen und großen Firmen angeschafft wird, sehr viele ganz normale PCs zu verwenden und diese parallelzuschalten. Damit wurde die Möglichkeit aufgezeigt, dass durch den parallelen Einsatz vieler billiger Geräte durchaus die Performance eines Großrechners erzielt werden kann. Diese Erkenntnisse sind für die Kryptographie von enormer Bedeutung, liegt doch die Sicherheit der meisten Algorithmen nicht in der theoretischen Unbrechbarkeit ihrer Codes, sondern vielmehr in der Annahme, dass der Code unter Verwendung gegenwärtiger Rechenkraft in nur sehr langer Zeit geknackt werden kann. Dies bedeutet aber andererseits, dass ein Vielfaches der Rechenkraft einen Code in relativ kurzer Zeit knacken kann.

Ein weiteres, inzwischen schon recht fortgeschrittenes Gebiet ist jenes der Quantenmechanik. Laborversuche haben hier sehr erstaunliche Ergebnisse hervorgebracht. So existiert sogar schon ein Algorithmus zum Faktorisieren von Primzahlen für einen Quantencomputer (den es allerdings noch zu bauen gilt). Es könnte aber in einigen Jahren soweit sein, dass tatsächlich mit Hilfe dieser neuer Methoden alle bisherigen Verschlüsselungsalgorithmen ad absurdum geführt werden, da die Quantenmechanik eine bisher ungeahnte Form der Parallelität mit sich bringt, die es ermöglicht, sehr viele Kombinationen zugleich auszuprobieren. In diesem Falle wären wir wohl dazu gezwungen, vollständig neue Formen der Kryptographie zu entwickeln.

Standardisierungsversuche

Derzeit gibt es eine Menge an verschiedenen Standards für Datenverschlüsselung. Vermutlich wird dies auch in Zukunft so bleiben, denn es gibt äußerst wenige Standards, die wirklich sicher sind und auch akzeptiert werden.

Für die Benutzer wäre es allerdings sicher praktischer, wenn es nur einen oder zumindest wenige Standards gäbe. Deshalb ist es auch erklärlich, dass De-Facto-Standards wie PGP sich leichter durchsetzen als die hochoffiziellen Standards, die von unabhängigen Komitees beschlossen werden.

Echtheit von Mails

Dies ist ein ganz besonders wichtiges Kapitel im Zusammenhang mit der weiteren Entwicklung des Handels im Internet. Obwohl der eCommerce heutzutage in jeder Munde ist, so wird bei all der Euphorie häufig über ganz konkrete Probleme hinweggesehen. So ist zum Beispiel der Gesetzgeber häufig mit dem rasanten Tempo der Entwicklung überfordert. Entsprechende Anpassungen der Signaturgesetze erfolgen mit der den Ämtern inhärenten Trägheit und verhindern oft das Aufblühen neuer Handelsmethoden.

Andererseits wurden gerade in letzter Zeit enorme Anstrengungen unternommen, um digitale Signaturen den eigenhändigen Unterschriften gleichzustellen. Dies und Ähnliches zeigen, dass offenbar viele Seiten Interesse an der Entwicklung solcher Tendenzen haben.

Es bleibt schließlich noch die Frage offen, ob die Benutzer diese Formen der Rechtsgeschäfte auch nutzen werden oder ob zu viele verschiedene Technologien um die Gunst der Käufer buhlen und so eine konsequente Entwicklung verhindern.

Da jedoch auch für die Benutzer in diesem Fall ganz konkrete Vorteile wie größere Auswahlmöglichkeiten, Preisvergleiche und höhere Konkurrenz herausschauen, ist zu vermuten, dass sich hier vollkommen neue Wege öffnen werden.

Unsicherheitsfaktor Mensch

Manchmal kann man sich nicht ganz des Eindrucks erwehren, dass der Mensch als Anwender von Computern diesen nicht vollkommen gewachsen erscheint. Dies mag primär auf schlechte Software zurückzuführen sein oder auf sonstige vordergründige Faktoren. Tatsache bleibt jedoch, dass der Mensch niemals fehlerfrei "funktionieren" wird. Es ist daher eine Herausforderung an die Entwickler von Soft- und Hardware, diese so zu gestalten, dass Irrtümer möglichst vermieden und praktisch keine Schäden angerichtet werden können.

Dies allein kann aber niemals genügen, um der wachsenden Anzahl von Benutzern entsprechendes Verhalten im Umgang mit Rechnern beizubringen. Vielmehr werden in Zukunft Bildungsstätten, darunter vor allem Schulen, gefragt sein, wenn es darum geht, von Anfang an den zukünftigen Benutzern von Computern ein gewisses Grundmaß an Vorsicht und Misstrauen zu vermitteln. Fehlen diese Grundlagen, so wird immer ein Großteil der Bevölkerung einer kleinen Elite von technisch Versierten ausgeliefert sein.
 

>Weiter Sicherheit (Überblick)
   
>Zurück Die Übermittlung versteckter Nachrichten