>
Features

“E-Mail-Attachments, WLANs und PDAs bringen erhebliche Sicherheitsprobleme mit sich”

Feature
von
6. Oktober 2003
Dr. Claudia Eckert
Dr. Claudia Eckert

Was war die Antriebskraft für die Gründung des DZI und welche Aufgaben hat es?

Eckert: Das DZI bündelt die Aktivitäten der TU Darmstadt (TUD) auf dem Gebiet der IT-Sicherheit. Das Kompetenzfeld des DZI wird ergänzt durch die beiden in Darmstadt ansässigen Fraunhofer Institute, das Fraunhofer Institut für Sichere Telekooperation (SIT) und das Institut für graphische Datenverarbeitung (IGD).

Die Darmstädter Forscher arbeiten zum Beispiel an Fragen der

  • Sicherheit in mobilen und vernetzten Systemen,
  • Verschlüsselung und digitalen Signaturen,
  • sicheren elektronischen Zusammenarbeit und der sicheren Anwendungen,
  • Sicherheit für mobile Endgeräte,
  • Sicherheit in der graphischen Datenverarbeitung
  • sowie an Aspekten des Informationsrechts.

Antriebskraft zur Gründung des Zentrums war, der großen Kompetenz im Bereich IT-Sicherheit an der TU Darmstadt eine geeignete Plattform zu geben. Zurzeit sind dem Zentrum 20 Professoren aus fünf Fachbereichen zugeordnet. Die Aufgaben des neuen Zentrums liegen in der Ausbildung im Bereich der IT-Sicherheit, in der Forschungsförderung, in der Öffentlichkeitsarbeit für Fragestellungen rund um IT-Sicherheit sowie in der Funktion, Ansprechpartner für den Technologietransfer zu Wirtschaft und Verwaltung zu sein.

Wo liegen die Forschungsschwerpunkte des DZIs?

Eckert: Ich sehe zunächst drei Forschungsschwerpunkte. Zum Ersten wäre da die Sicherheit in mobilen Systemen. Mobile Anwendungen und mobile Geräte bringen gegenüber klassischen Applikationen und Netzwerken eine Reihe neuer Sicherheitsaspekte mit sich. In meiner Arbeitsgruppe an der TUD und im SIT befassen wir uns mit den Fragen, wie sich diese neuen Technologien in bestehende Architekturen sicher integrieren lassen und welche neuen Anwendungsmöglichkeiten sich aus deren sicherer Nutzung ergeben.

In Erweiterung dieser Thematik beschäftigen sich Arbeitsgruppen im DZI auch mit Problemen und Lösungen im Zusammenhang mit dem so genannten pervasive Computing. Hierbei wird betrachtet, dass Computer zunehmend in Alltagsobjekte integriert werden, also allgegenwärtig sind. Zu untersuchen ist, welche Bedeutung dies beispielsweise für den Schutz der Privatsphäre des Einzelnen besitzt und welche Sicherheitsmaßnahmen daraus resultieren müssen.
Der zweite große Schwerpunkt liegt auf Kryptographie und Public-Key-Infrastrukturen. Diese Themenfelder werden intensiv sowohl in den Arbeitsgruppen von Kollegen aus der Mathematik und Informatik an der TUD als auch in verschiedenen Projekten am SIT bearbeitet.
Unser dritter Schwerpunkt ist das Quanten-Computing. Dazu binden wir am DZI Kollegen aus der Physik ein. Wir beobachten neue Entwicklungen im Bereich der Quantenkryptographie und erforschen deren Auswirkungen auf die klassische Kryptographie und damit auf die Sicherheit heutiger Systeme.

In welchen Bereichen bestehen heute noch gravierende Sicherheitsmängel bei der Datenübertragung und -speicherung?

Eckert: Nach wie vor ergeben sich aus dem leichtfertigen Umgang mit E-Mail-Attachments und den darin enthaltenen Viren erhebliche Probleme sowohl für Privatpersonen als auch für Unternehmen. Auch drahtlose Netze, WLANs, oder die kleinen mobilen Alleskönner, die PDAs, bringen erhebliche Sicherheitsprobleme mit sich. So lässt sich beispielsweise der Datenverkehr, der innerhalb eines Gebäudes abgewickelt wird, leicht mit handelsüblichen PDAs oder Laptops abhören oder manipulieren. Ähnliches gilt auch für andere Kleinstgeräte. Die darin gespeicherten Daten lassen sich, wenn das Gerät in die falschen Hände gelangt, entweder direkt auslesen oder nachdem das Passwort mit einem der vielen im Internet verfügbaren Werkzeuge geknackt wurde. Und da diese Geräte bei kritischen Transaktionen wie etwa dem Home-Banking oder dem elektronischen Bezahlen Verwendung finden, kann der Schaden beträchtlich sein.

Es gibt noch viele weitere Problembereiche, von denen ich nur noch kurz einen ansprechen will: Die Filterung von aktiven Inhalten durch die derzeitigen Firewall-Architekturen. Aktive Inhalte begegnen uns fast pausenlos bei Zugriffen auf WWW-Seiten. Diese Inhalte – etwa JavaScript-Programme oder ActiveX-Controls – laden wir auf unsere Rechner und führen sie dort aus. Bei der Ausführung erhält der Fremdcode Zugriff auf lokal gespeicherte Daten. Hier liegt ein enormes Schadenspotenzial.

Beim Home-Banking und dem elektronischen Bezahlen geht es konkret um Geldbuchungen. Wie sicher sind diese und wie will das DZI sie noch sicherer machen?

Eckert: Aus technischer Sicht gibt es sichere Lösungen für Home Banking oder allgemein E-Commerce. Im Bereich Home Banking garantiert das Home-Banking-Computer-Interface (HBCI) Vertraulichkeit, Echtheit und Integrität der übermittelten Daten. Für eine richtige Anwendung muss der Bankkunde aber zusätzliche Software installieren und eine Chipkarte mit Lesegerät kaufen. Und genau daran scheitert die flächendeckende Verwendung. Wegen mangelnder Akzeptanz seitens der Kunden ziehen sich immer mehr Banken von dem HBCI-Angebot zurück.

Aus meiner Sicht ist die Durchsetzung eines Produkts keine Aufgabe der Universitäten, sondern der Wirtschaft, der Verwaltungen und im genannten Beispiel der Banken. Es muss Mehrwert für den Anwender geschaffen werden, wenn er die Technologie verwenden soll. Das DZI hat es sich zunächst ganz allgemein zum Ziel gesetzt, das Sicherheitsbewusstsein beim Anwender zu steigern. Indirekt sehe ich hierin natürlich dann auch wieder einen Nutzen bei der Marktdurchsetzung, denn wir schaffen damit beim Anwender Bereitschaft, Sicherheitstechniken zu verwenden.

Welche Sicherheitsstandards möchte das DZI beim mobilen Datentransfer entwickeln?

Eckert: Das DZI als universitäres Zentrum wird nicht in die internationale Protokoll-Standardisierung eingreifen. Was wir entwickeln und anbieten, sind zum einen Weiterbildungsmaßnahmen, um ein entsprechendes Sicherheitsbewusstsein bei Anwendern zu schaffen. Zum anderen ist geplant, so etwas wie einen Leitfaden zum sicheren Umgang mit diesen Technologien zu entwickeln. Wir richten uns dabei auch an kleine und mittelständische Unternehmen. Daneben entwickeln wir im Rahmen unserer Forschungsarbeiten natürlich auch innovative Konzepte und Lösungen.

Welche, beispielsweise?

Eckert: Die heutigen Public-Key-Infrastrukturen (PKIs) beispielsweise verwenden für die Zertifikate – also die digitalen Ausweise – das von der Firma RSA entwickelte und anerkannte Verfahren. Für das zu Grunde liegende kryptographische Problem kennen wir Schlüssellängen, die aus heutiger Sicht nicht zu knacken sind und daher als sicher gelten. Allerdings können wir uns nicht darauf verlassen, dass dies auch in Zukunft der Fall sein wird. Auf die Frage, was zu tun ist, wenn sich der RSA-Schlüssel plötzlich leicht entschlüsseln lässt, haben die heutigen PKIs keine Antwort.

Im DZI werden daher alternative Verfahren entwickelt und implementiert, um die PKIs im Bedarfsfall auf ein anderes Verfahren als das RSA-Verfahren umzuschalten. Weiterhin wird großer Wert auf die Ergonomie bei der Konfiguration der PKIs gelegt. Oftmals führt nämlich eine falsche Konfiguration zu Sicherheitsproblemen.
Ferner werden im DZI Angriffe auf kryptographische Protokolle untersucht und darauf aufbauend versuchen wir, diese sicherer zu gestalten.
Zusammen mit dem SIT entwickeln wir eine server-basierte PKI-Architektur. Ziel ist es, die vielen hundert Clients, die in einem Unternehmen zu verwalten sind, zu entlasten. Die entwickelten Protokolle führen dazu, dass sich eine PKI sehr viel einfacher ausrollen und warten lässt. Der gesamte Vorgang wird dann weniger fehleranfällig und damit sicherer. Außerdem verringert sich der administrative Aufwand.

Welche Forschungsansätze verfolgt das DZI bei der Sicherheit in Netzwerken?

Eckert: Uns geht es beispielsweise um die technischen Grundlagen für Sicherheit in mobilen und in ad-hoc Netzen aber auch um das Etablieren von Vertrauensbeziehungen in Systemen ohne Infrastruktur. Wir beschäftigen uns zudem mit Fragen der Sicherheit von Peer-to-Peer-Netzwerken in Multimedia-Anwendungen und versuchen, biologische Vorgehensweisen zur Erkennung und zur Abwehr von Angriffen zu adaptieren. Ferner entfalten wir Forschungsaktivitäten im Bereich des so genannten Seamless Computings, der sicheren Integration verschiedener Vernetzungstechniken.

Was ist Ihr persönliches Motto?

Eckert: Mein persönliches Motto ist: Carpe diem – Nutze den Tag. Die Welt ist voller spannender, wissenschaftlich anspruchsvoller oder auch praktisch interessanter Probleme und Fragestellungen, die anzupacken sich lohnt.

Tags: