- Anzeigen -


Sie sind hier: Home » Markt » Interviews

Vertrauen in Verschlüsselung gewährleisten


SSL-Zertifizierer Comodo im Interview: Verschlüsselung ohne Authentifizierung ist unbrauchbar
Eines der Probleme bei Let´s Encrypt wird der Betrug sein

- Anzeigen -





In Rekordzeit hat das Internet unsere Art zu kommunizieren revolutioniert: Wir mailen und chatten, wir shoppen, erledigen Bankgeschäfte oder auch Behördengänge online. Kommunikation im Internet basiert jedoch auf Vertrauen: Vertrauen darauf, dass sich die Kommunikationsteilnehmer über die gegenseitige Identität im Klaren sind und darauf, dass Unbefugten Einblick in die Kommunikation verwehrt bleibt. Beide Risiken werden mithilfe von SSL-Zertifikaten gemindert: Der Kommunikationspartner wird identifiziert und die gesendeten Daten (Bytes) werden verschlüsselt. SSL-Zertifikate verschlüsseln den Datenstrom zwischen Webseiten und Webservern, finden aber auch im E-Mail-Verkehr Anwendung. Ausgestellt werden sie von Zertifizierungsstellen (CAs) – sie verbriefen die Identität der Zertifikatsinhaber, z.B. Webseitenbetreiber, und sichern die Kommunikation effizient ab.

Die PSW Group hat Melih Abdulhayoglu, Geschäftsführer der Comodo Group, Inc., zum Interview gebeten. Dazu Christian Heutger, Geschäftsführer der PSW Group: "Comodo gehört zu den Pionieren der Verschlüsselung beziehungsweise der Zertifizierungsstellen. Dieser CA haben wir nicht nur SSL-Zertifikate zu verdanken, sondern auch diverse Engagements die Sicherheit im Web betreffend. Deshalb bin ich ganz besonders stolz, dass sich Melih Abdulhayoglu ganz offen unseren Fragen gestellt hat."

PSW Group: Was ist im Jahr 2016 die größte Herausforderung in der Verschlüsselung?
Melih Abdulhayoglu:
Entschlüsselung! Insbesondere in Verbindung mit der Glaubwürdigkeit in Verschlüsselung. Angesichts dessen, was zwischen Apple und der US-Regierung geschieht, müssen wir Vertrauen in die Verschlüsselung gewährleisten und Verschlüsselung nicht mit einfacher Entschlüsselung gleichsetzen.

PSW Group: Wie stehen Sie zu der Initiative Let´s Encrypt?
Melih Abdulhayoglu:
Analysieren wir, was die Initiative bringt:
a) kostenfreie 90-Tage-Zertifikate
b) Automatisierte Zertifikatsbeschaffung

Zu a), den kostenfreien Zertifikaten mit 90 Tagen Laufzeit:
Comodo gibt bereits seit mehr als sieben Jahren kostenfreie 90-Tage-Zertifikate aus (lacht) und da sind auch noch genügend andere CAs, die kostenfrei Zertifikate ausstellen. Wir begrüßen es, dass Let´s Encrypt unser Geschäftsmodell mit den 90-Tage-Zertifikaten kopiert. Ich meine, sie könnten sich auch für 30 Tage oder für Eintagszertifikate entscheiden, aber wir freuen uns, dass sie unserem Comodo-Weg folgen und kostenfreie Zertifikate für 90 Tage ausstellen. Ein Angebot, das Comodo vor sieben Jahren eingeführt hat.

Zu b), den automatisch generierten Zertifikaten:
Die größten Nutzer von Zertifikaten sind Webhoster und CDNs. Beide erfreuen sich bereits an entsprechenden Tools in ihren bestehenden Control Panels. Daher wird die Benutzung des Tools für die Mehrheit des Marktes umstritten; es gibt bessere Alternativen. Die Hauptnutznießer von LE scheinen die CDNs zu sein, und die sind glücklich, einen Zugang zu "billigeren" Zertifikaten zu haben als Jahr für Jahr Millionen von Dollar in eine PKI-Infrastruktur zu investieren; und natürlich würde man erwarten, dass die Nutznießer dieser Dienstleistung die Zeche zahlen.

Eines der Probleme bei Let´s Encrypt wird der Betrug sein. Weil es bei Let´s Encrypt keine Möglichkeit gibt die ausgestellten Zertifikate zu widerrufen, können betrügerische Seiten während der Zertifikatslaufzeit mit einem validem Zertifikat versehen sein und somit Schaden anrichten.

PSW Group: Vielfach ist in Internetforen, in Blogs oder anderen Medien zu lesen, SSL-Zertifikate sollten kostenfrei ausgestellt werden; Validierungsstufen seien lediglich der Versuch von Zertifizierungsstellen, Geld zu kassieren. Wie begegnen Sie diesem Vorwurf?

Melih Abdulhayoglu:
Bildung bzw. Aufklärung ist hier ein wichtiger Aspekt. Es stellt sich doch folgende Frage: "Warum sollte man etwas verschlüsseln, wenn man nicht weiß, vor wem man verschlüsselt?" Stellen Sie sich vor, Sie würden Daten für die Person verschlüsseln, die Sie eigentlich meiden möchten. Verschlüsselung ohne Authentifizierung (also Authentifizierung der Endeinheit) ist unbrauchbar! Nutzlos deshalb, weil Sie keine Ahnung haben, wer Ihre Daten am anderen Ende empfängt. Dies ist ein sehr komplexes Thema, und um das zu begreifen, braucht es Aufklärung.

PSW Group: Wieso lassen sich Ihrer Meinung nach verhältnismäßig wenige Menschen und Unternehmen auf Verschlüsselung ein? Was muss sich ändern, damit Verschlüsselung endlich massentauglich wird?

Melih Abdulhayoglu:
Technologie wird zuerst da angenommen, wo die Verwundbarkeit am höchsten ist. Wir alle kennen diese "Oh nein!"-Momente. Dann versuchen wir, die Verwundbarkeit mit dem Verbasteln von Sicherheit zu reduzieren. Wir bauen auf mehr Vertrauen im Internet und leiden unter diesen "Oh nein!"-Momenten, wir möchten die Sicherheit und Verschlüsselung weiterhin erhöhen. Das erscheint seltsam. Die Verschlüsselung muss doch in die Struktur des Internets integriert und nicht nachträglich drumherum und drüber gebaut werden.

PSW Group: Ist Verschlüsselung Ihrer Meinung nach Aufgabe der Politik, der Wirtschaft oder des Verbrauchers?

Melih Abdulhayoglu:
Siehe Antwort drei: es braucht Aufklärung.

PSW Group: Wie schätzen Sie die Probleme ein, die in der Wirtschaft durch unverschlüsselte Kommunikation entstehen?
Melih Abdulhayoglu: Die unverschlüsselte Kommunikation verursacht noch nicht genügend Bauchschmerzen (lacht). Ich frage die Leute immer folgendes: Wie viel Prozent Ihrer E-Mails sollten verschlüsselt sein? – Sie sagen: nicht viele, ich habe nicht so viele vertrauliche Dinge zu kommunizieren. Dann stelle ich eine weitere Frage: Wie viel Prozent Ihrer E-Mails würden Sie öffentlich machen? Und die Menschen antworten: null. Dann erinnere ich sie: Sie haben erst gesagt, Sie möchten nicht all Ihre E-Mails verschlüsseln … aber im nächsten Atemzug haben Sie gesagt, Sie möchten keine Ihrer E-Mails veröffentlichen. Dann lächeln Sie … und haben es verstanden.
(PSW Group: ra)

eingetragen: 18.05.16
Home & Newsletterlauf: 17.06.16


PSW Group: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Interviews

  • DDoS-Trends und Analysis

    Guido Erroi von Corero Network Security beantwortet einige zusätzliche Fragen zum "Corero DDoS Trends Report": "Der aktuelle Corero-Report hat DDoS-Angriffsversuche auf die Netzwerke von Kunden genauer untersucht und hebt insbesondere kurze, häufig stattfindende Angriffe mit geringer Bandbreite hervor. Im Gegensatz zu den schlagzeilenträchtigen Volumenangriffen des letzten Jahres dominiert nämlich ein anderer Attacken-Typus unsere Ergebnisse. Die überwiegende Mehrzahl der Angriffe gegen Corero-Kunden im ersten Quartal 2017 weltweit - nämlich 98 Prozent - hatten lediglich ein Volumen von weniger als 10 Gbps. Dazu kommt, dass nahezu drei Viertel (71 Prozent) der von Corero verhinderten Angriffe 10 Minuten oder weniger dauerten. Insgesamt verzeichneten Corero-Kunden eine durchschnittliche Zahl von 124 DDoS-Angriffen pro Monat was 4,1 Angriffen pro Tag während des ersten Quartals 2017 entspricht. Das ist ein Anstieg von 9 Prozent verglichen mit dem vierten Quartal 2016."

  • Compliance-Anforderungen steigen

    Die Banken- und Finanzenbranche verfügt neben den allgemein geltenden Gesetzen über eigene Branchenregularien, wenn es um die Themen Datenschutz und IT-Sicherheit geht. Jetzt ändert sich die Situation erneut mit der in weniger als einem Jahr in Kraft tretenden EU-Datenschutzgrundverordnung. Dazu hier zwei der wichtigsten Fragen und Antworten von Malcolm Harkins, Chief Security and Trust Officer bei Cylance.

  • Malware-Infektionen verhüten

    Laut aktueller Securelist ist die Zahl der Angriffe, die auf dem Ausnutzen einer Schwachstelle beruhen 2016 um 24,54 Prozent mit insgesamt 702.026.084 Versuchen angestiegen. Betroffen waren davon 2016 4.347.966 Benutzer, was 20,85 Prozent weniger Betroffene sind als im Jahr zuvor. Die Zahl der Nutzer in Unternehmen, die wenigstens ein Mal von einem solchen Angriff betroffen waren, ist um 28,35 Prozent auf 690.557 angestiegen, was 15,76 Prozent der Gesamtzahl der in Unternehmen betroffenen Nutzer entspricht.

  • DDoS-Attacken und Lösegeldforderungen

    Eine der jüngsten Erhebungen von Kaspersky Lab hat ergeben, dass Cyberkriminelle bei DDoS-Attacken von satten Margen profitieren. Bis zu 95 Prozent seien zu holen, so will Kaspersky herausgefunden haben. DDoS-Angriffe können dabei so ziemlich jeden Preis haben. Die Range reicht von 5 Dollar für eine 300-Sekunden Attacke bis zu 400 Dollar für eine 24 Stunden dauernde. Der durchschnittliche Preis für einen Angriff liegt bei rund 25 Dollar pro Stunde. Und die Experten der Kaspersky Labs haben noch etwas herausgefunden. Würde man bei einer Botnetz-basierten Attacke ein Netz von 1.000 Desktops zugrunde legen würde das den Anbieter etwa 7 Dollar pro Stunde kosten. Das heißt umgerechnet, dass Cyberkriminelle bei einer derartigen Attacke etwa 18 Dollar Profit pro Stunde machen. Dazu kommen dann gegebenenfalls noch Lösegeldforderungen, verbunden mit dem Angebot an das potenzielle Opfer die angedrohte Attacke noch verhindern zu können.

  • Cyberbedrohungen 2017

    Mit welchen Bedrohungen werden sich Unternehmen 2017 vermehrt konfrontiert sehen, welche von ihnen ist der "Spitzenreiter", was tut die Industrie und wie können sich Unternehmen am besten wappnen, wenn es insbesondere um DDoS-Angriffe geht? Dazu beantwortet Guido Erroi, Regional Director DACH beim Spezialisten für DDoS-Abwehr Corero Network Security acht Fragen. Die gesamte Bedrohungslandschaft wird 2017 weiterhin stark in Bewegung sein. Damit müssen sich Unternehmen und Institutionen verstärkt auseinandersetzen. Angreifer sind äußerst erfindungsreich. Und sie sind versiert darin bestehende Schwachstellen auszunutzen und neue Angriffsmethoden zu entwickeln. Das gilt nicht zuletzt für DDoS-Attacken. Die zugrunde liegenden Technologien werden intelligenter und zielgerichteter.