Herr Elsner, Konzerne wie Google und Amazon versprechen sich Milliardenvom Cloud Computing. Dabei werden Daten aller Art im Web gespeichert. Viele Unternehmen vertrauen dem Konzept aber nicht. Wie sicher ist die Cloud wirklich?
Elsner: Grundsätzlich muss man leider sagen, dass Daten in der Cloud nicht sicher sind. Anbieter können in der Regel weder garantieren, dass die Speicherung der Daten sicher ist noch deren Übertragung: Unverschlüsselte Daten können auf ihrem Weg durchs Netz problemlos abgehört werden. Der nämlich liegt nicht im Einflussbereich des Anbieters.
Verschlüsseln Amazon, Google & Co. die Daten ihrer Kunden nicht?
Elsner: Hier muss man zwischen Datentransport und Speicherung unterscheiden. Unternehmen müssen selbst dafür sorgen, dass ihre gespeicherten Informationen verschlüsselt sind. Auch werden die Daten oft im Klartext übertragen. Mittlerweile bieten einige Cloud-Firmen zwar eine Transportverschlüsselung an, die kostet aber extra.
Gibt es sichere Verschlüsselungen?
Elsner: Definitiv ja. Wenn aktuelle Verschlüsselungstechniken wie AES oder Blowfish korrekt gehandhabt werden, sind sie eigentlich nicht zu knacken.
Was meinen Sie mit „eigentlich“?
Elsner: Es gibt eine theoretische Wahrscheinlichkeit, dass es einem Hacker gelingt, sie zu knacken. Die Algorithmen sind so gestaltet, dass man Nachrichten sehr schnell ver- und entschlüsseln kann, wenn man den Schlüssel kennt. Wenn jemand dies aber ohne Schlüssel versucht, durch Ausprobieren, dann dauert das unrealistisch lange. Wenn ein Unternehmen eine Schlüssellänge von 128 Bit einsetzt, dann ist die Wahrscheinlichkeit, dass jemand den Schlüssel errät, etwa eins zu zehn hoch 42. Das ist eine Zehn mit 42 Nullen. Bei einer professionellen strukturierten Attacke ist die Wahrscheinlichkeit lediglich viermal größer – also ebenfalls vernachlässigbar.
Die Uni Bonn hat gemeinsam mit dem IT-Riesen IBM ein Verschlüsselungssystem für das Cloud Computing entwickelt. Was muss man sich darunter vorstellen?
Elsner: Wir haben nachgewiesen, dass sich die Datenverbindung zum Cloud-Server in der Praxis vollständig verschlüsseln lässt. Gemeinsam mit IBM haben wir ein Produkt daraus gemacht, womit eine Verschlüsselung des Transportwegs erzwungen wird. Das geschieht automatisch, der Benutzer muss sich um nichts kümmern. IBM bietet es als Basistechnologie für den Betrieb einer Cloud an.
Die USA stehen in der Kritik, im Namen der Terrorbekämpfung riesige Daten‧mengen auszuwerten. Ist es in Amerika erlaubt, die Daten stark zu verschlüsseln?
Elsner: Eine Beschränkungen gibt es nicht mehr. Doch fällt starke Verschlüsselungssoftware unter US-Waffenrecht. Das heißt, sie darf nicht exportiert werden. Die USA versuchen zudem, weltweit durch Abkommen an verschlüsselte Daten zu gelangen.
Wie das?
Elsner: Da gibt es seit Langem eine umstrittene Initiative namens Clipper-Chip, bei der verschiedene Länder versuchen, Hardwarehersteller dazu zu bewegen, einen Hardwareschlüssel auf Chips und Prozessoren einzubauen. Sie sollen den Schlüssel bei sogenannten Trust-Centern hinterlegen, auf die Geheimdienste Zugriff haben. Wollen die später auf verschlüsselte Nachrichten zugreifen, können sie die Daten über die Chip-ID und den Schlüssel aus dem Trust-Center dechiffrieren. Alle beteiligten Länder hätten Zugriff auf verschlüsselte Daten.
Gibt es ähnliche Initiativen in Europa?
Elsner: Europa ist da liberaler. Große Ausnahme ist Frankreich. Das Land hat Anfang der Neunzigerjahre Gesetze erlassen, die den Gebrauch von Kryptografie einschränken. Produkte, die Verschlüsselung erlauben, dürfen zwar hergestellt und importiert werden, doch sie müssen bei den Behörden angemeldet werden. Damit aber nicht genug: Man darf Verschlüsselung dort auch nicht ohne Weiteres nutzen. Firmen etwa müssen die jeweiligen Schlüssel bei staatlichen Stellen hinterlegen.
Gibt es ähnliche Regeln in Deutschland?
Elsner: Nein. In Deutschland gibt es tatsächlich keine Einschränkungen bei der Kryptografie. Aber ich möchte nicht ausschließen, dass sich Deutschland im Rahmen der Terrorbekämpfung irgendwann Initiativen wie Clipper-Chip anschließt.
Gibt es Hintertüren in den aktuellen Verschlüsselungstechnologien?
Elsner: In aller Regel kann man genau nachvollziehen, wie der Algorithmus der Verschlüsselungssoftware funktioniert. Sowohl die Arbeitsweise als auch der Quellcode sind bekannt. Gäbe es also welche, würde man das erkennen.
