- Anzeigen -


Sie sind hier: Home » Markt » Interviews

Vertrauen in Verschlüsselung gewährleisten


SSL-Zertifizierer Comodo im Interview: Verschlüsselung ohne Authentifizierung ist unbrauchbar
Eines der Probleme bei Let´s Encrypt wird der Betrug sein

- Anzeigen -





In Rekordzeit hat das Internet unsere Art zu kommunizieren revolutioniert: Wir mailen und chatten, wir shoppen, erledigen Bankgeschäfte oder auch Behördengänge online. Kommunikation im Internet basiert jedoch auf Vertrauen: Vertrauen darauf, dass sich die Kommunikationsteilnehmer über die gegenseitige Identität im Klaren sind und darauf, dass Unbefugten Einblick in die Kommunikation verwehrt bleibt. Beide Risiken werden mithilfe von SSL-Zertifikaten gemindert: Der Kommunikationspartner wird identifiziert und die gesendeten Daten (Bytes) werden verschlüsselt. SSL-Zertifikate verschlüsseln den Datenstrom zwischen Webseiten und Webservern, finden aber auch im E-Mail-Verkehr Anwendung. Ausgestellt werden sie von Zertifizierungsstellen (CAs) – sie verbriefen die Identität der Zertifikatsinhaber, z.B. Webseitenbetreiber, und sichern die Kommunikation effizient ab.

Die PSW Group hat Melih Abdulhayoglu, Geschäftsführer der Comodo Group, Inc., zum Interview gebeten. Dazu Christian Heutger, Geschäftsführer der PSW Group: "Comodo gehört zu den Pionieren der Verschlüsselung beziehungsweise der Zertifizierungsstellen. Dieser CA haben wir nicht nur SSL-Zertifikate zu verdanken, sondern auch diverse Engagements die Sicherheit im Web betreffend. Deshalb bin ich ganz besonders stolz, dass sich Melih Abdulhayoglu ganz offen unseren Fragen gestellt hat."

PSW Group: Was ist im Jahr 2016 die größte Herausforderung in der Verschlüsselung?
Melih Abdulhayoglu:
Entschlüsselung! Insbesondere in Verbindung mit der Glaubwürdigkeit in Verschlüsselung. Angesichts dessen, was zwischen Apple und der US-Regierung geschieht, müssen wir Vertrauen in die Verschlüsselung gewährleisten und Verschlüsselung nicht mit einfacher Entschlüsselung gleichsetzen.

PSW Group: Wie stehen Sie zu der Initiative Let´s Encrypt?
Melih Abdulhayoglu:
Analysieren wir, was die Initiative bringt:
a) kostenfreie 90-Tage-Zertifikate
b) Automatisierte Zertifikatsbeschaffung

Zu a), den kostenfreien Zertifikaten mit 90 Tagen Laufzeit:
Comodo gibt bereits seit mehr als sieben Jahren kostenfreie 90-Tage-Zertifikate aus (lacht) und da sind auch noch genügend andere CAs, die kostenfrei Zertifikate ausstellen. Wir begrüßen es, dass Let´s Encrypt unser Geschäftsmodell mit den 90-Tage-Zertifikaten kopiert. Ich meine, sie könnten sich auch für 30 Tage oder für Eintagszertifikate entscheiden, aber wir freuen uns, dass sie unserem Comodo-Weg folgen und kostenfreie Zertifikate für 90 Tage ausstellen. Ein Angebot, das Comodo vor sieben Jahren eingeführt hat.

Zu b), den automatisch generierten Zertifikaten:
Die größten Nutzer von Zertifikaten sind Webhoster und CDNs. Beide erfreuen sich bereits an entsprechenden Tools in ihren bestehenden Control Panels. Daher wird die Benutzung des Tools für die Mehrheit des Marktes umstritten; es gibt bessere Alternativen. Die Hauptnutznießer von LE scheinen die CDNs zu sein, und die sind glücklich, einen Zugang zu "billigeren" Zertifikaten zu haben als Jahr für Jahr Millionen von Dollar in eine PKI-Infrastruktur zu investieren; und natürlich würde man erwarten, dass die Nutznießer dieser Dienstleistung die Zeche zahlen.

Eines der Probleme bei Let´s Encrypt wird der Betrug sein. Weil es bei Let´s Encrypt keine Möglichkeit gibt die ausgestellten Zertifikate zu widerrufen, können betrügerische Seiten während der Zertifikatslaufzeit mit einem validem Zertifikat versehen sein und somit Schaden anrichten.

PSW Group: Vielfach ist in Internetforen, in Blogs oder anderen Medien zu lesen, SSL-Zertifikate sollten kostenfrei ausgestellt werden; Validierungsstufen seien lediglich der Versuch von Zertifizierungsstellen, Geld zu kassieren. Wie begegnen Sie diesem Vorwurf?

Melih Abdulhayoglu:
Bildung bzw. Aufklärung ist hier ein wichtiger Aspekt. Es stellt sich doch folgende Frage: "Warum sollte man etwas verschlüsseln, wenn man nicht weiß, vor wem man verschlüsselt?" Stellen Sie sich vor, Sie würden Daten für die Person verschlüsseln, die Sie eigentlich meiden möchten. Verschlüsselung ohne Authentifizierung (also Authentifizierung der Endeinheit) ist unbrauchbar! Nutzlos deshalb, weil Sie keine Ahnung haben, wer Ihre Daten am anderen Ende empfängt. Dies ist ein sehr komplexes Thema, und um das zu begreifen, braucht es Aufklärung.

PSW Group: Wieso lassen sich Ihrer Meinung nach verhältnismäßig wenige Menschen und Unternehmen auf Verschlüsselung ein? Was muss sich ändern, damit Verschlüsselung endlich massentauglich wird?

Melih Abdulhayoglu:
Technologie wird zuerst da angenommen, wo die Verwundbarkeit am höchsten ist. Wir alle kennen diese "Oh nein!"-Momente. Dann versuchen wir, die Verwundbarkeit mit dem Verbasteln von Sicherheit zu reduzieren. Wir bauen auf mehr Vertrauen im Internet und leiden unter diesen "Oh nein!"-Momenten, wir möchten die Sicherheit und Verschlüsselung weiterhin erhöhen. Das erscheint seltsam. Die Verschlüsselung muss doch in die Struktur des Internets integriert und nicht nachträglich drumherum und drüber gebaut werden.

PSW Group: Ist Verschlüsselung Ihrer Meinung nach Aufgabe der Politik, der Wirtschaft oder des Verbrauchers?

Melih Abdulhayoglu:
Siehe Antwort drei: es braucht Aufklärung.

PSW Group: Wie schätzen Sie die Probleme ein, die in der Wirtschaft durch unverschlüsselte Kommunikation entstehen?
Melih Abdulhayoglu: Die unverschlüsselte Kommunikation verursacht noch nicht genügend Bauchschmerzen (lacht). Ich frage die Leute immer folgendes: Wie viel Prozent Ihrer E-Mails sollten verschlüsselt sein? – Sie sagen: nicht viele, ich habe nicht so viele vertrauliche Dinge zu kommunizieren. Dann stelle ich eine weitere Frage: Wie viel Prozent Ihrer E-Mails würden Sie öffentlich machen? Und die Menschen antworten: null. Dann erinnere ich sie: Sie haben erst gesagt, Sie möchten nicht all Ihre E-Mails verschlüsseln … aber im nächsten Atemzug haben Sie gesagt, Sie möchten keine Ihrer E-Mails veröffentlichen. Dann lächeln Sie … und haben es verstanden.
(PSW Group: ra)

eingetragen: 18.05.16
Home & Newsletterlauf: 17.06.16


PSW Group: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Interviews

  • Gegen die "bösen Jungs" zurückschlagen

    Nicht nur das FBI vertritt die nicht ganz unstrittige These, dass Malware mit der richtigen, der "guten", Absicht eingesetzt, gar keine Malware im klassischen Sinne mehr ist. Aber ganz so einfach ist die Sache nicht. Troy Gill, Manager of Security Research und Senior Security Analyst AppRiver, zeigt sich kritisch.

  • IT-Sicherheit und Forensik

    Trotz aller Gefahren von Cyberkriminalität ist es ein hohes Gut unserer Demokratie, dass der Kernbereich privater Lebensgestaltung geschützt bleibt. Eine stärkere Regelung mahnte jüngst das Bundesverfassungsgericht an. Gefordert ist damit auch die verstärkte Weiterbildung derjenigen, die im Bereich IT-Sicherheit und Forensik tätig sind. Wings, der Fernstudienanbieter der Hochschule Wismar, bildet ab Herbst Cybercrime-Experten im neuen Fernstudiengang "Master IT-Sicherheit und Forensik" aus. Wir fragen Frau Professorin Antje Raab-Düsterhöft, Informatikerin und Studiengangsleiterin, und Herrn Professor Bodo Wiegand-Hoffmeister, Jurist und Rektor, zur Bedeutung dieses Urteils für unsere Gesellschaft und für alle in diesem Berufsfeld tätigen Personen.

  • Herausforderungen in der Verschlüsselung

    SwissSign steht für Schweizer Qualität, für Sicherheit und für Vertrauen. Als Mitglied wichtiger Zusammenschlüsse beteiligt sich die Zertifizierungsstelle (CA - Certificate Authority) aus der Schweiz rege an der Weiterentwicklung der Sicherheit im Internet. Markus Venetz, Head of Certificate Services bei SwissSign, sprach nun mit der PSW Group, Full-Service Internetprovider mit Schwerpunkt auf IT-Sicherheit, über die Herausforderungen in der Verschlüsselung und Vertrauen im World Wide Web.

  • Vertrauen in Verschlüsselung gewährleisten

    Die PSW Group hat Melih Abdulhayoglu, Geschäftsführer der Comodo Group, Inc., zum Interview gebeten. Dazu Christian Heutger, Geschäftsführer der PSW Group: "Comodo gehört zu den Pionieren der Verschlüsselung beziehungsweise der Zertifizierungsstellen. Dieser CA haben wir nicht nur SSL-Zertifikate zu verdanken, sondern auch diverse Engagements die Sicherheit im Web betreffend. Deshalb bin ich ganz besonders stolz, dass sich Melih Abdulhayoglu ganz offen unseren Fragen gestellt hat."

  • Neuer Brand fordert NTT Com Security heraus

    NTT Com Security fokussiert sich neben der traditionellen Infrastruktur-Security zunehmend auf die Daten- und Applikationsebene, auf Identity Management, GRC und operative Security - kurzum auf alle Themen die für einen umfassenden Security-Betrieb wichtig sind. Das Themengebiet Security war bei der NTT vorher weniger stark besetzt. Der Schwerpunkt der NTT Com Security innerhalb der NTT Gruppe liegt in der Entwicklung von Security-Services, die dann als globale Services unter dem Brand "WideAngle" für die NTT als Konzern zur Verfügung stehen. IT SecCity.de sprach mit Dr. Matthias Rosche, Director Solutions & Strategic Accounts bei NTT Com Security über den Wandel der Integralis zur NTT Com Security und Trends auf dem IT Security-Markt.