Vertrauensvolles Handyschütteln
Eine neue IT-Sicherheitsarchitektur für den Austausch sensibler digitaler Daten zu entwickeln, ist ein komplexes Vorhaben. Die Informatik-Professoren des «Zentrums für digitales Vertrauen» der ETH Zürich und der Universität Bonn denken, dass der beste Weg über die physische Welt führt: Von Angesicht zu Angesicht ist es immer absolut sicher, mit wem man kommuniziert. So sicher soll die Kommunikation auch im Internet werden, erklären Peter Müller und David Basin im folgenden Interview.
Warum gelingen so viele kriminelle Angriffe im Internet?
Peter Müller: Betrüger betreiben oft einen grossen Aufwand, damit normale Benutzer den Betrug nicht erkennen.
David Basin: Wenn ein Angreifer ein Zertifikat fälscht, kann er den Server kontrollieren und dem Internet-Browser eine gefälschte Website als richtige vorgaukeln. Solche Angriffe können selbst Experten nicht erkennen.
Peter Müller: Wenn nur eine einzige Zertifizierungsstelle kompromittiert wird und böswillig oder aus Versehen falsche Zertifikate ausgibt, bricht das ganze Sicherheitsgefüge zusammen.
Was wollen Sie dagegen tun?
David Basin: Wir wollen neue Ansätze zur Authentifizierung entwickeln. Wir werden dafür Eigenschaften aus der physischen Welt in die digitale Welt übertragen und so die Echtheit digitaler Objekte gewährleisten.
Peter Müller: Wir möchten physische Gegebenheiten nutzen, die sich nicht leicht manipulieren lassen, wie zum Beispiel den Ort einer Bankfiliale. Solche physischen Gegebenheiten möchten wir nutzen, um das Vertrauen im digitalen Bereich auf eine solidere Basis zu stellen.
Worauf soll sich das Vertrauen denn stützen?
Peter Müller: Wer in eine Bank geht, um etwas einzuzahlen, will nicht den Arbeitsvertrag oder den Ausweis der Person hinter dem Schalter sehen. Das Gebäude und das Verhalten der anderen Menschen geben ihm genug Anlass, zu vertrauen. Genau diese Vertrauensbeziehungen aus der physischen Welt wollen wir ins Digitale übertragen. Vertrauensbeziehungen werden aber auch wieder aufgelöst. Auch für diese komplexen Fragen suchen wir nach sicheren digitalen Lösungen.
Wie könnten denn Vertrauensbeziehungen ins Digitale übertragen werden?
Peter Müller: Indem wir zum Beispiel die geografische Nähe nutzen: Wir könnten uns beispielsweise vorstellen, dass zwei Personen, die fortan wichtige digitale Daten austauschen wollen, statt sich die Hände zu schütteln, gemeinsam ihr Handy «schütteln». Die synchrone Bewegung der beiden Handys würde bewirken, dass ein gemeinsamer digitaler Schlüssel ausgetauscht würde. Durch die Tatsache, dass man sich am gleichen Ort befindet und dadurch sicher weiss, mit wem man das Handy «schüttelt», käme das Vertrauen zustande.
David Basin: Ein solcher Schlüssel reicht, um eine sichere Kommunikation aufzubauen. Nach dem gemeinsamen Handyschütteln weiss ich auch in Zukunft – wenn die andere Person nicht anwesend ist – mit Sicherheit, dass ich mit ihr kommuniziere. Umgekehrt lassen sich auch Dinge in der gegenständlichen Welt nach dem gleichen Prinzip authentifizieren. So kann eine Bank zum Beispiel einen Brief signieren, indem sie ihn mit einem Code versieht, ähnlich wie mit einem Siegel. Der Empfänger kann dann den Code mit einer App entschlüsseln und so die Identität des Absenders überprüfen.
Wäre dieser Schlüssel nicht digital hinterlegt und so auch wieder gefährdet?
Peter Müller: Wenn die IT-Systeme der Bank gehackt würden, liessen sich Informationen wie Schlüssel stehlen. Das ist aber eine viel grössere Hürde, als einfach einen Brief zu fälschen. Man könnte den Schlüssel allerdings auch offline, etwa auf einer Smartcard haben, dann würde es schwierig, ihn zu hacken.
Weshalb braucht es für diese neuen Sicherheitsmassnahmen ein so grosses Projekt?
David Basin: Es geht um nicht weniger, als die gesamte gängige «Public Key Infrastructure» neu zu erfinden – weil das ganze System, mit dem digitale Zertifikate ausgestellt, verteilt und geprüft werden, eben nicht sicher funktioniert. Um rechnergestützte Kommunikation wirklich sicher zu machen, ist sehr viel Arbeit notwendig.
Peter Müller: Zuerst müssen wir eine neue Infrastruktur entwickeln, bei der wir Vertrauensprinzipien technisch umsetzen. Wir brauchen Lösungen dafür, wie man die Schlüssel verwaltet oder wenn nötig zurückzieht. Dann müssen wir konkrete Anwendungen entwickeln wie die Sicherung des E-Mail-Verkehrs mit der Bank oder das Senden von Wahlunterlagen. Nach diesen zwei Arbeitspaketen geht es aber erst richtig los. In der Praxis funktionieren technische Systeme nicht immer. Im Wesentlichen ist technisches oder menschliches Versagen die Ursache dafür. Beides versuchen wir auszuschliessen. Technische Fehler können wir mithilfe mathematischer Beweisführungen weitestgehend verhindern, da diese mittlerweile gewährleisten können, dass die Techniken und ihre Umsetzung in Software tatsächlich die gewünschten Eigenschaften haben.
Und wie wollen Sie menschliches Versagen ausschliessen?
Peter Müller: Dafür haben wir unseren Partner Matthew Smith an der Universität Bonn. Er wird speziell die Sicherheit an der Schnittstelle zum Menschen untersuchen. Dazu bedient er sich der Methoden der Verhaltensforschung und führt zum Beispiel Experimente durch. Unter anderem hat er Programmierern in einem Experiment eine Aufgabe gestellt und sie bei der Lösungsfindung beobachtet – und so mögliche Einfallstore für Hacker aufgespürt. Aber nicht nur Software-Entwickler können ein System versehentlich oder absichtlich kompromittieren, menschliches Fehlverhalten finden wir auch bei System-Administratoren oder bei den End-Usern. Jegliches menschliches Fehlverhalten soll minimiert werden, indem das Verhalten von Programmierern, Administratoren und Anwendern bereits beim Entwurf der Sicherheitsarchitektur berücksichtigt wird.
Wollen Sie am Schluss das ganze etablierte System mit Zertifikaten und Authentifizierungsbehörden ersetzen?
David Basin: Wir wollen bessere Alternativen anbieten und auch Prototypen für die kommerzielle Nutzung durch Technologiefirmen entwickeln. Ob die Welt diese am Ende als Ersatz verwenden will, werden wir sehen. Zunächst wollen wir mit fortschrittlichen Prototypen zeigen, dass man die digitale Welt sicherer machen kann. Grundsätzlich aber sollen die beiden Systeme koexistieren können.
Die Probleme existieren schon lange. Warum können Sie diese erst jetzt lösen?
Peter Müller: Es gibt fünf zentrale Informatikthemen in dem Projekt, an denen seit den 1970er-Jahren gearbeitet wird und die erst jetzt so weit fortgeschritten sind – unter anderem dank unserer eigenen Forschung –, dass man das Authentizitäts-Problem lösen kann. Vor fünf Jahren war das noch nicht möglich.
Interview: Sabine Witt
Fotos: Frank Brüderli