IT-Sicherheit „Die Browser sind das große Sicherheitsproblem“

Taher Elgamal ist Erfinder des SSL-Protokolls, mit der unter anderem Online-Überweisungen verschlüsselt werden. Im Interview spricht er über Sicherheitslücken des Systems - und wie man sich davor schützen kann.

  • Teilen per:
  • Teilen per:
SSL-Erfinder Taher Elgamal: Eine Schwachstelle in einem Browser öffnet die Tür zu einem Angriff auf alles. Quelle: handelsblatt.com

Sie haben SLL erfunden, die Technologie, mit der heute jede private Online-Banking-Transaktion auf der Welt gesichert wird. In den vergangenen Monaten gab es einige schwerwiegende Angriffe. Können Sie noch ruhig schlafen?

Taher Elgamal: Es gibt seit 15 Jahren Attacken, nicht erst seit Monaten. Also ja, ich kann noch ruhig schlafen. Aber SSL ist sowieso nur ein kleiner Teil des Sicherheitssystems. Es kann keine vollständige Lösung für alles sein. Und ganz ehrlich: Das Fehlen einer starken Authentifizierung ist eigentlich ein schwerwiegenderes Problem als die Verschlüsselungsfrage von SSL.

Wenn Sie das Internet heute noch einmal vollkommen neu aufbauen könnten. Was würden Sie mit Blick auf die Sicherheitsinfrastruktur verändern?

Ich würde die Browser verändern und nicht die Sicherheitsinfrastruktur. Die Browser sind das eigentliche Problem. Wenn Sie sich die Mobiltelefonwelt anschauen, geht es heute fast nur noch um Apps – der Browser fehlt in weiten Teilen. Niemand erledigt sein mobiles Banking über den Browser. Mobile Sicherheit ist letztlich Sicherheit von App zu App, und das ist tatsächlich besser als Festnetzsicherheit. Das widerspricht auch dem, was die meisten Menschen glauben.

Aber Sicherheitsmängel treten auch in Online-Banking-Apps auf.

Natürlich, in allem was wir tun, wird es immer Sicherheitsmängel geben. Aber eine Schwachstelle in einem Browser öffnet die Tür zu einem Angriff auf alles. Eine Mangel in einer App betrifft letztlich eben nur die App selbst.

Auf welche Sicherheitsproblematik stoßen Sie eigentlich am häufigsten?

Der Zustand von Firewalls oder Systemen zum Erkennen von Eindringlingen oder Malware ist eine heikle Angelegenheit, weil die Angriffe schneller und schneller werden. Wir sehen heute, dass die Angriffe mit den traditionellen Regeln, die zum Einsatz kommen, immer schwerer abzufangen sind.

Was kann man also tun, um die Dinge einfacher zu  gestalten?

Das Problem liegt darin, dass wir immer bei der Infrastruktur anfangen. Wenn Sie heute in irgendein Unternehmen gehen und fragen „Was ist eure Sicherheitsstrategie?“, fängt die Konversation immer mit der Firewall an. Aber eigentlich kommt es ja auf die Anwendungen an, weil die nämlich mit den Daten arbeiten. Die Industrie muss sich insgesamt Gedanken darüber machen, die Anwendungen mit dem gleichen Sicherheitsniveau zu schützen, mit der man die Infrastruktur und das Netzwerk selbst schützt. 

„Absolute Sicherheit gibt es nicht“

Die eingangs erwähnten Angriffe auf die SSL-Technologie verliefen ziemlich heftig. Gibt es einen technologischen Ansatz, der das hätte verhindern können?

Das Nutzen einer Public-Key-Infrastruktur hängt davon ab, dass zuverlässige Instanzen Zertifikate ausstellen. Von daher handelt es sich also nicht um ein technologisches Problem per se. Vielmehr geht es darum, dass die Internetbrowser so gut wie allem vertrauen. Und dieser Problematik können wir nur beikommen, wenn wir ein Reputationssystem aufbauen.

Was könnte ein derartiges System schon erreichen?

Bevor ein Browser vertraut, sollte er eine Überprüfung durchführen. Und wenn das ergibt, dass eine Zertifizierungsstelle ein schlechtes Zertifikat ausgestellt hat, sollte der Browser die Benutzer daran hindern sich mit der betroffenen Seite zu verbinden.

Es gibt IT-Sicherheitsexperten, die vorschlagen, SSL um ein System zu erweitern, dass sicherstellt, dass das entsprechende Zertifikat auch zu einer bestimmten Website gehört. Die Technik heißt DNSSec. Was halten Sie von diesem Ansatz?

Das würde natürlich für weitreichende Glaubwürdigkeit sorgen, weil es gewährleistet, dass derjenige, der eine bestimmte Domain hat, sie auch tatsächlich besitzt. Natürlich garantiert das auch, dass die Signatur echt ist. Aber es verhindert nicht, dass eine Zertifizierungsstelle einer falschen Person ein Zertifikat ausstellt. Ich glaube kaum, dass es möglich ist, genügend Softwaretests für alle Browser durchzuführen, die dafür sorgen können, dass buchstäblich alles in Ordnung ist. Wenn ein Zertifikat als zuverlässig eingestuft wird, vertraut man ihm.

Was also schlagen Sie vor?

Die Browser-Entwickler sollten nicht nur einen DNS-Check einfließen lassen, sondern auch einen Test mit einem internetbasierten Reputationssystem einbinden. Dieses müsste die Daten von allen Zertifizierungsstellen sammeln, um so eine Reputationsdatenbank aufzubauen. So ließe sich eine zusätzliche Schicht in das Vertrauenssystem einziehen. Denn egal von welcher Seite aus wir es auch betrachten: Uns muss klar sein, dass es niemals eine einzige Technologie geben wird, die ein solches System aufbauen kann. Vertrauen ist eine komplexe Angelegenheit. Je mehr Schichten man dazu fügt, umso besser wird das System am Ende des Tages.

Ist es denn angesichts dieser Komplexität überhaupt sinnvoll, vollständige Sicherheit anzustreben?

So etwas gibt es überhaupt nicht. Auch die physische Welt ist ja nicht absolut sicher. Sie können doch in eine Bank gehen und mithilfe einer Maschinenpistole das Geld stehlen. Die Balance, die es zu erreichen gilt, ist, Internettransaktionen in etwa so sicher zu machen wie vergleichbare Transaktionen in der realen Welt. Ein Risiko wird jedoch weiterhin bestehen. Die „bösen Buben“ werden immer eine Geschäftsgrundlage haben. 

Herr Elgamal, wir danken Ihnen für dieses Gespräch.

Taher Elgamal

Taher Elgamal gilt in der IT-Welt als der „Erfinder“ von SSL. 1995 bis 1998 arbeitete er als Chefwissenschaftler beim damals führenden Browserhersteller Netscape. Zudem schrieb er das SSL-Patent und setzte sich in verschiedenen Gremien der Branche für SSL als Internetsicherheitsstandard ein. Der gebürtige Ägypter ist für zahlreiche Unternehmen als Beirat und für Axway, die Business Interaction Networks Company, als Chief Security Officer tätig.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%