Sicherheit - heute Top, morgen Flop?

02.09.2013 | Wir leben in Zeiten, in denen nichts sicher erscheint. Die Zahl der Wohnungseinbrüche steigt von Jahr zu Jahr, unsere Emails werden von Geheimdiensten ausspioniert, Phishing Mails wollen auf unser Konto zugreifen und Industriespionage scheint an der Tagesordnung zu sein. Heute muss alles doppelt und dreifach abgesichert werden, damit man sich sicher fühlen kann.

Sicherheit ist kein Zustand, sondern ein Prozess


Technische Entwicklungen dienen dazu, unser Leben mit mehr Freiheiten auszugestalten. Gleichzeitig bieten sie mir neue Möglichkeiten der Sicherheit und des Komforts. Aber Sie bieten auch mehr Möglichkeiten, Sicherheitsmassnahmen zu umgehen oder meine Freiheiten einzuschränken. Das Bewusstsein für Sicherheit ist daher einem stetigen Wandel unterworfen. Sicherheit ist daher kein statischer Begriff. Das Mass für Sicherheit ändert sich täglich. Sicherheit ist kein Zustand. Sicherheit ist ein Prozess ständiger Erneuerung und ständigen Wandels.

Absolute Sicherheit kann es nicht geben, aber welches Mass an Sicherheit ist angemessen? Schaffe ich mehr Sicherheit durch mehr Kontrolle, mehr Einschränkung persönlicher Freiheit? In vielen Fällen muss man diese Frage mit Ja beantworten. Aber was ist die angemessene Grenze? Wie viel Freiheit im Sinne von Alternativen, im Sinne von Möglichkeiten, im Sinne von Bequemlichkeiten bin ich bereit zu opfern, um wie viel mehr Sicherheit zu gewinnen. Brauche ich in jedem Unternehmen die gleichen Sicherheitsvorschriften wie in einem Atomkraftwerk oder in einem Biotechnologielabor? Und brauche ich in der Biotechnologiefirma im Bürotrakt die gleichen Sicherheitsmassnahmen wie im Laborbereich? Sicher nicht. Es gibt für jeden Bereich unseres Lebens eine simple Abwägung: Ist der Aufwand, eine Sicherheitsmassnahme zu umgehen oder ausser Kraft zu setzen, grösser als der Wert des Gutes, welches ich mit diesen Sicherheitsmassnahmen schützen will. Auf dieser Abwägung basieren die folgenden überlegungen.

 


Sicherheit in Zutrittskontrolle, Bezahlvorgängen und anderen kartenbasierten Anwendungen


Betrachten wir also den Bereich, in dem die meisten von uns tätig sind: die Sicherheit von Zutrittskontrollen, Bezahlsystemen und der Personenidentifizierung im allgemeinen.

 


Evolution, Isolation und Kombination


Grundlage für die Sicherheit in diesem Bereich sind Verschlüsselungen, die gewährleisten, dass abgefangene Daten nicht entschlüsselt werden können und nur diejenigen Personen oder Geräte, die den richtigen Schlüssel kennen, mit den Daten und Informationen etwas anfangen können.

Dabei unterscheidet man zwischen Schlüsseln, die beide Partner oder Geräte in einer Kommunikation kennen, und Schlüsseln, die unterschiedlich sind, je nachdem ob sie zum Verschlüsseln oder Entschlüsseln verwendet werden.  Im ersten Fall spricht man von symmetrischer Verschlüsselung, im zweiten Fall von asymmetrischer Verschlüsselung. Beide Verfahren basieren auf höherer Mathematik, meist werden dabei Faktoren grosser Primzahlen verwendet. Selbst bei „kleinen“ Zahlen erkennt man das Prinzip: es ist einfacher, 11 und 13 zu multiplizieren, was jeder von uns im Kopf ausrechnen kann, als spontan zu erkennen, welche Faktoren in 143 enthalten sind. Die enorme Schwierigkeit, ein Produkt in seine Primzahlen zu zerlegen, ist die Basis für jede Verschlüsselung.

 


Evolution


Gleichzeitig müssen solche Operationen schnell gehen, denn wer will schon lange warten, bis eine Tür sich öffnet oder ein Bezahlvorgang abgeschlossen wird. Mit der stetig wachsenden Fähigkeit, Operationen schnell durchzuführen, steigen die Möglichkeiten der effizienten und sicheren Verschlüsselung. Dies bezeichnen wir als Evolution.

Gleichzeitig steigen aber auch die Möglichkeiten, durch einen sogenannten „Brut-Force“-Angriff, durch Ausprobieren sämtlicher Kombinationsmöglichkeiten, ein bislang als sicher geltendes System zu „hacken“. Dies wiederum erzwingt die stetige Weiterentwicklung der Verschlüsselungstechnologie. Daher der Begriff Evolution.
Eines der besten Verschlüsselungsverfahren heute ist AES, ein auf bis zu 256 bit grossen Schlüsseln basierendes System, mit denen eine Nachricht verschlüsselt wird. Seit mehr als 10 Jahren arbeiten Forscher und Hacker daran, Schwächen dieses Systems zu finden. Bis heute ist kein praktischer Fall eines erfolgreichen Angriffs bekannt. LEGIC setzt AES in seinen advant Transpondern und Readern der 4000 Serie ein.
Auch Vorfahren des AES-Algorithmus gelten heute als sehr sicher. Dazu zählt der DES und der 3DES-Algorithmus, der heute vielfach in Bezahlsystemen verwendet wird: Ihre PIN wird am Geldautomaten mit dem DES-Algorithmus verschlüsselt und zu einem Host geschickt, wo er entschlüsselt und verifiziert wird. LEGIC bietet die Nutzung des 3DES, einer Weiterentwicklung des DES-Algorithmus ebenfalls in seinen advant Transpondern und Lesern der 4000 Serie an.

 


Isolation


Jedes Sicherheitssystem besteht aus vielen Komponenten. Jede Komponente kann auf verschiedenen Technologien basieren, auf unterschiedlichen Implementierungen von Sicherheitskonzepten wie der Verschlüsselung. Unterschiedliche Konzepte erhöhen einerseits die Sicherheit, weil nicht in einem Schritt ein komplettes System „gehackt“ werden kann, andererseits besteht die Möglichkeit, dass einzelne Komponenten eine solch zentrale Bedeutung haben, dass ein Angriff Auswirkungen auf das Gesamtsystem hat. Die Kette ist eben nur so stark wie ihr schwächstes Glied. Eine solche Komponente muss bei Erkennen als „schwächstes Glied“ isoliert werden können und durch etwas Sichereres ersetzt werden. LEGIC bietet als einziger Anbieter mit seinem Master-Token Sicherheitskonzept die Möglichkeit, sogenannte Master-Token-Zonen zu schaffen. Hier können bei Auftreten einer Schwäche innerhalb einer Zone alle Daten und Anwendungen isoliert und ausgetauscht werden, ohne das Gesamtsystem zu gefährden.

 


Kombination


Jeder von uns kennt das „4-Augen-Prinzip“ aus seiner täglichen Erfahrung. Man lässt einen Kollegen einen Text lesen, den man verfasst hat, man lässt eine Berechnung nochmal prüfen, bevor man sie herausgibt, man lässt wichtige Dokumente von einem Kollegen mitunterschreiben. Denn jeder achtet auf etwas anderes. Der eine achtet primär auf den Inhalt, der andere auf die Form. Die Kombination von beidem ist besser als seine Einzelteile.

Dieses Prinzip lässt sich auch auf Sicherheitssysteme übertragen. Eine Berechtigung, zum Beispiel zum Geldabheben am Geldautomaten, um eine Tür zu öffnen, oder um auf seine Dateien zuzugreifen, erfordern, dass ich das Recht nachweise, diese Handlung auch durchführen zu dürfen. Dies passiert entweder mit etwas, was ich habe, sprich mein Badge, meine Kreditkarte, mein Schlüssel, oder durch etwas, was ich weiss, also ein Passwort, eine PIN-Code oder mit etwas, was mich als Mensch eindeutig macht, wie Stimme, Fingerabdruck oder ähnliches. Die grösstmögliche Sicherheit kann ich erzielen, wenn ich verschiedene dieser Sicherheitsmechanismen kombiniere. Also Badge oder Karte plus PIN-Code, wie wir es von unserer Kreditkarte kennen. LEGIC bietet in seinem Partnernetzwerk die Möglichkeiten der Kombination von Kartentechnologien mit biometrischen Daten oder den Einsatz von PIN-Pads, welche die vorherige Nutzung eines Badges erfordern.

 


Resumee


LEGIC ist einer der führenden Anbieter für Sicherheitstechnologien im Umfeld der Personenidentifikation. Mit dem Konzept von Evolution, Isolation und Kombination bietet das Partnernetzwerk auf der Basis von LEGIC-Produkten und Services eine grosse Auswahl an sicheren Systemen. Sicherheit ist kein Zustand, sondern ein Prozess. LEGIC Technologien entwickeln sich weiter. Wer auf grösstmögliche Sicherheit setzt, findet im LEGIC Netzwerk die richtigen Partner.


Dokumente:
Bewertung Ø:
   
Meine Bewertung:

Fragen und Kommentare (0)