11. Juni 2015 | 16:56

IT-Sicherheit Teil 2: verschlüsselte Kommunikation

In diesem Teil informieren wir Sie über die Grundlagen verschlüsselter Kommunikation, nachdem Sie in Teil 1 einen Einblick in sichere Passwörter erhalten haben.

Grundlagen einfacher Verschlüsselung (sog. symmetrische Verschlüsselung)

Die symmetrische Verschlüsselung ist die einfachste Art, Inhalte zu verschlüsseln. D. h. es wird nur ein Schlüssel zum ver- und entschlüsseln verwendet. Beispiele hierfür sind das täglich Auf- und Zuschließen der Wohnung, der Passwortschutz einer PDF-Datei oder passwortgeschütze Archivdateien (ZIP-Dateien), die z. B. häufig beim Datenaustausch zwischen Steuerberater und Unternehmen zum Einsatz kommen.

Der Vorteil dieser Variante ist, dass es mit den betriebssystemeigenen Mitteln bei überschaubarem Aufwand möglich ist, vertrauliche Inhalte vor unbefugtem Zugriff zu schützen.

Aber:

Beide Seiten müssen sich vorher auf einen Schlüssel (Passwort) einigen und dieses Passwort getrennt von dem zu schützenden Inhalt vorher kommunizieren. Anschließend müssen beide Seiten dieses Passwort so aufbewahren, dass der Zugriff durch Dritte verhindert wird. Misslingt dieser Zugriffsschutz, egal auf welcher Seite, oder gelangen zu viele Personen in Kenntnis des Passworts, kann die Sicherheit der Daten nicht fortwährend gewährleistet werden.

Zur Verdeutlichung der Problematik ein Beispiel aus der Wirtschaft:

Zulieferer Z tauscht regelmäßig Daten (Rechnungen, Skizzen, Vereinbarungen, Absprachen etc.) mit den Technologieunternehmen T aus. Bei Z sind drei Mitarbeiter involviert, T hingegen beschäftigt 1.000 Mitarbeiter, geeinigt hat man sich auf ein einfaches Passwort. Man will ja verschlüsseln aber es soll nicht zu umständlich sein… . Vermutlich benutzt T auch das selbe Passwort bei allen anderen Zulieferern.

Die Wahrscheinlichkeit, dass bei diesem Beispiel das Passwort in falsche Hände gerät, ist sehr hoch und eine Verschlüsselung somit nicht mehr effektiv. Hier kommt nun die asymmetrische Verschlüsselung ins Spiel.

Assysmetrische Verschlüsselung

Die Assymetrische Verschlüsselung basiert auf der Verwendung zweier sich ergänzender Schlüssel die zusammen ein Schlüsselpaar bilden.

  1. der Public Key(öffentlicher Schlüssel) – für das Verschlüsseln einer Nachricht,
  2. der Private Key(privater Schlüssel) – für das Entschlüsseln.

Das Prinzip funktioniert denkbar einfach:

A möchte eine verschlüsselte Nachricht an B senden. B hat seinen öffentlichen Schlüssel (also den Schlüssel zum verschlüsseln) auf seiner Internetseite oder über andere Wege veröffentlicht. A nutzt diesen Schlüssel nun zum „Verschließen“ seiner vertraulichen Email.

Abb1

Wenn B diese Email erhält, benötigt er seinen eigenen privaten Schlüssel, den ausschließlich er kennt, um diese Email zu entschlüsseln.

Eine Software, die dieses Verfahren unterstützt und sich kinderleicht in Outlook zur Verschlüsselung von Emails einsetzen lässt, nennt sich Gpg4win.  Die Installation und Einrichtung hierfür erfahren Sie im letzten Teil.

Zum Schluss noch:

Das Programm Gpg4win setzt auf den Verschlüsselungsstandard Pretty Good Privacy (sinngemäß „Ziemlich gute Privatsphäre“), entwickelt von Phil Zimmermann 1991. Phil Zimmermann, ehemaliger US Bürger, ist im Mai 2015 zusammen mit seiner Firma „Silent Circle“ in die Schweiz ausgewandert. Als Grund gab er die zunehmende Überwachung in den USA sowie die Befürchtung von Repressalien durch US-Behörden an, “We are less likely to encounter legal pressures there than in the US”.

Vielen Dank für Ihre Aufmerksamkeit. Bei Fragen und/oder Anregungen kontaktieren Sie uns bitte unter s.huhle@wpreichert.de.

Dresden, den 11.06.2015

Bitte beachten Sie den folgenden Haftungsschluss: „Die vorstehenden Äußerungen geben ausschließlich die persönliche Meinung des Autors zum angegebenen Datum wieder und können und wollen keine Beratung im Einzelfall ersetzen. Daher ist eine Haftung gegenüber Dritten gleich aus welchem Rechts- oder Sachgrund, insbesondere durch sich ständig ändernde Gesetze und/oder Rechtsprechung vollumfänglich ausgeschlossen. Auch erhebt der vorstehende Beitrag keinen Anspruch auf Vollständigkeit aller möglichen Fälle und/oder Varianten, nicht zuletzt, um den Inhalt auf bewusst dargestellte Schwerpunkte zu fokussieren und zu beschränken.“