- Anzeigen -


Sie sind hier: Home » Markt » Interviews

Vertrauen in Verschlüsselung gewährleisten


SSL-Zertifizierer Comodo im Interview: Verschlüsselung ohne Authentifizierung ist unbrauchbar
Eines der Probleme bei Let´s Encrypt wird der Betrug sein

- Anzeigen -





In Rekordzeit hat das Internet unsere Art zu kommunizieren revolutioniert: Wir mailen und chatten, wir shoppen, erledigen Bankgeschäfte oder auch Behördengänge online. Kommunikation im Internet basiert jedoch auf Vertrauen: Vertrauen darauf, dass sich die Kommunikationsteilnehmer über die gegenseitige Identität im Klaren sind und darauf, dass Unbefugten Einblick in die Kommunikation verwehrt bleibt. Beide Risiken werden mithilfe von SSL-Zertifikaten gemindert: Der Kommunikationspartner wird identifiziert und die gesendeten Daten (Bytes) werden verschlüsselt. SSL-Zertifikate verschlüsseln den Datenstrom zwischen Webseiten und Webservern, finden aber auch im E-Mail-Verkehr Anwendung. Ausgestellt werden sie von Zertifizierungsstellen (CAs) – sie verbriefen die Identität der Zertifikatsinhaber, z.B. Webseitenbetreiber, und sichern die Kommunikation effizient ab.

Die PSW Group hat Melih Abdulhayoglu, Geschäftsführer der Comodo Group, Inc., zum Interview gebeten. Dazu Christian Heutger, Geschäftsführer der PSW Group: "Comodo gehört zu den Pionieren der Verschlüsselung beziehungsweise der Zertifizierungsstellen. Dieser CA haben wir nicht nur SSL-Zertifikate zu verdanken, sondern auch diverse Engagements die Sicherheit im Web betreffend. Deshalb bin ich ganz besonders stolz, dass sich Melih Abdulhayoglu ganz offen unseren Fragen gestellt hat."

PSW Group: Was ist im Jahr 2016 die größte Herausforderung in der Verschlüsselung?
Melih Abdulhayoglu:
Entschlüsselung! Insbesondere in Verbindung mit der Glaubwürdigkeit in Verschlüsselung. Angesichts dessen, was zwischen Apple und der US-Regierung geschieht, müssen wir Vertrauen in die Verschlüsselung gewährleisten und Verschlüsselung nicht mit einfacher Entschlüsselung gleichsetzen.

PSW Group: Wie stehen Sie zu der Initiative Let´s Encrypt?
Melih Abdulhayoglu:
Analysieren wir, was die Initiative bringt:
a) kostenfreie 90-Tage-Zertifikate
b) Automatisierte Zertifikatsbeschaffung

Zu a), den kostenfreien Zertifikaten mit 90 Tagen Laufzeit:
Comodo gibt bereits seit mehr als sieben Jahren kostenfreie 90-Tage-Zertifikate aus (lacht) und da sind auch noch genügend andere CAs, die kostenfrei Zertifikate ausstellen. Wir begrüßen es, dass Let´s Encrypt unser Geschäftsmodell mit den 90-Tage-Zertifikaten kopiert. Ich meine, sie könnten sich auch für 30 Tage oder für Eintagszertifikate entscheiden, aber wir freuen uns, dass sie unserem Comodo-Weg folgen und kostenfreie Zertifikate für 90 Tage ausstellen. Ein Angebot, das Comodo vor sieben Jahren eingeführt hat.

Zu b), den automatisch generierten Zertifikaten:
Die größten Nutzer von Zertifikaten sind Webhoster und CDNs. Beide erfreuen sich bereits an entsprechenden Tools in ihren bestehenden Control Panels. Daher wird die Benutzung des Tools für die Mehrheit des Marktes umstritten; es gibt bessere Alternativen. Die Hauptnutznießer von LE scheinen die CDNs zu sein, und die sind glücklich, einen Zugang zu "billigeren" Zertifikaten zu haben als Jahr für Jahr Millionen von Dollar in eine PKI-Infrastruktur zu investieren; und natürlich würde man erwarten, dass die Nutznießer dieser Dienstleistung die Zeche zahlen.

Eines der Probleme bei Let´s Encrypt wird der Betrug sein. Weil es bei Let´s Encrypt keine Möglichkeit gibt die ausgestellten Zertifikate zu widerrufen, können betrügerische Seiten während der Zertifikatslaufzeit mit einem validem Zertifikat versehen sein und somit Schaden anrichten.

PSW Group: Vielfach ist in Internetforen, in Blogs oder anderen Medien zu lesen, SSL-Zertifikate sollten kostenfrei ausgestellt werden; Validierungsstufen seien lediglich der Versuch von Zertifizierungsstellen, Geld zu kassieren. Wie begegnen Sie diesem Vorwurf?

Melih Abdulhayoglu:
Bildung bzw. Aufklärung ist hier ein wichtiger Aspekt. Es stellt sich doch folgende Frage: "Warum sollte man etwas verschlüsseln, wenn man nicht weiß, vor wem man verschlüsselt?" Stellen Sie sich vor, Sie würden Daten für die Person verschlüsseln, die Sie eigentlich meiden möchten. Verschlüsselung ohne Authentifizierung (also Authentifizierung der Endeinheit) ist unbrauchbar! Nutzlos deshalb, weil Sie keine Ahnung haben, wer Ihre Daten am anderen Ende empfängt. Dies ist ein sehr komplexes Thema, und um das zu begreifen, braucht es Aufklärung.

PSW Group: Wieso lassen sich Ihrer Meinung nach verhältnismäßig wenige Menschen und Unternehmen auf Verschlüsselung ein? Was muss sich ändern, damit Verschlüsselung endlich massentauglich wird?

Melih Abdulhayoglu:
Technologie wird zuerst da angenommen, wo die Verwundbarkeit am höchsten ist. Wir alle kennen diese "Oh nein!"-Momente. Dann versuchen wir, die Verwundbarkeit mit dem Verbasteln von Sicherheit zu reduzieren. Wir bauen auf mehr Vertrauen im Internet und leiden unter diesen "Oh nein!"-Momenten, wir möchten die Sicherheit und Verschlüsselung weiterhin erhöhen. Das erscheint seltsam. Die Verschlüsselung muss doch in die Struktur des Internets integriert und nicht nachträglich drumherum und drüber gebaut werden.

PSW Group: Ist Verschlüsselung Ihrer Meinung nach Aufgabe der Politik, der Wirtschaft oder des Verbrauchers?

Melih Abdulhayoglu:
Siehe Antwort drei: es braucht Aufklärung.

PSW Group: Wie schätzen Sie die Probleme ein, die in der Wirtschaft durch unverschlüsselte Kommunikation entstehen?
Melih Abdulhayoglu: Die unverschlüsselte Kommunikation verursacht noch nicht genügend Bauchschmerzen (lacht). Ich frage die Leute immer folgendes: Wie viel Prozent Ihrer E-Mails sollten verschlüsselt sein? – Sie sagen: nicht viele, ich habe nicht so viele vertrauliche Dinge zu kommunizieren. Dann stelle ich eine weitere Frage: Wie viel Prozent Ihrer E-Mails würden Sie öffentlich machen? Und die Menschen antworten: null. Dann erinnere ich sie: Sie haben erst gesagt, Sie möchten nicht all Ihre E-Mails verschlüsseln … aber im nächsten Atemzug haben Sie gesagt, Sie möchten keine Ihrer E-Mails veröffentlichen. Dann lächeln Sie … und haben es verstanden.
(PSW Group: ra)

eingetragen: 18.05.16
Home & Newsletterlauf: 17.06.16


PSW Group: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Interviews

  • Cyberbedrohungen 2017

    Mit welchen Bedrohungen werden sich Unternehmen 2017 vermehrt konfrontiert sehen, welche von ihnen ist der "Spitzenreiter", was tut die Industrie und wie können sich Unternehmen am besten wappnen, wenn es insbesondere um DDoS-Angriffe geht? Dazu beantwortet Guido Erroi, Regional Director DACH beim Spezialisten für DDoS-Abwehr Corero Network Security acht Fragen. Die gesamte Bedrohungslandschaft wird 2017 weiterhin stark in Bewegung sein. Damit müssen sich Unternehmen und Institutionen verstärkt auseinandersetzen. Angreifer sind äußerst erfindungsreich. Und sie sind versiert darin bestehende Schwachstellen auszunutzen und neue Angriffsmethoden zu entwickeln. Das gilt nicht zuletzt für DDoS-Attacken. Die zugrunde liegenden Technologien werden intelligenter und zielgerichteter.

  • Phishing nach wie vor eine beliebte Methode

    Ein nach wie vor wichtiges Bedrohungsszenario sind Phishing-Attacken - sie haben bei Cyberkriminellen nichts an Beliebtheit eingebüßt. Banken und Bank-Kunden werden daher auch künftig Ziel von ausgeklügelten Phishing-Attacken sein. Inhalt dieser Attacken ist der Versuch durch die Kriminellen, die Marke, das Aussehen und den Auftritt eines Bankunternehmens so täuschend echt zu kopieren, dass Nutzer glauben, es bei gefälschten E-Mails mit dem echten Unternehmen zu tun zu haben. John Shier, Sicherheitsexperte bei Sophos, gibt in einem Interview eine Übersicht über die zu erwartenden Angriffe sowie über mögliche Schutzmaßnahmen sowohl durch die Banken selbst wie auch durch Verbraucher.

  • Gegen die "bösen Jungs" zurückschlagen

    Nicht nur das FBI vertritt die nicht ganz unstrittige These, dass Malware mit der richtigen, der "guten", Absicht eingesetzt, gar keine Malware im klassischen Sinne mehr ist. Aber ganz so einfach ist die Sache nicht. Troy Gill, Manager of Security Research und Senior Security Analyst AppRiver, zeigt sich kritisch.

  • IT-Sicherheit und Forensik

    Trotz aller Gefahren von Cyberkriminalität ist es ein hohes Gut unserer Demokratie, dass der Kernbereich privater Lebensgestaltung geschützt bleibt. Eine stärkere Regelung mahnte jüngst das Bundesverfassungsgericht an. Gefordert ist damit auch die verstärkte Weiterbildung derjenigen, die im Bereich IT-Sicherheit und Forensik tätig sind. Wings, der Fernstudienanbieter der Hochschule Wismar, bildet ab Herbst Cybercrime-Experten im neuen Fernstudiengang "Master IT-Sicherheit und Forensik" aus. Wir fragen Frau Professorin Antje Raab-Düsterhöft, Informatikerin und Studiengangsleiterin, und Herrn Professor Bodo Wiegand-Hoffmeister, Jurist und Rektor, zur Bedeutung dieses Urteils für unsere Gesellschaft und für alle in diesem Berufsfeld tätigen Personen.

  • Herausforderungen in der Verschlüsselung

    SwissSign steht für Schweizer Qualität, für Sicherheit und für Vertrauen. Als Mitglied wichtiger Zusammenschlüsse beteiligt sich die Zertifizierungsstelle (CA - Certificate Authority) aus der Schweiz rege an der Weiterentwicklung der Sicherheit im Internet. Markus Venetz, Head of Certificate Services bei SwissSign, sprach nun mit der PSW Group, Full-Service Internetprovider mit Schwerpunkt auf IT-Sicherheit, über die Herausforderungen in der Verschlüsselung und Vertrauen im World Wide Web.