Wirtschaftsspionage

Die Menschen entscheiden, wie sicher Kommunikation ist

03.02.2001
, 11:13
Die teuerste kryptografische Verschlüsselung bringt nichts, wenn Mitarbeiter ihre Passwörter am Computer hinterlegen. Kryptografie-Experte Franck Leprevost über Sicherheit von Telefonaten, Mails und Faxen.
ANZEIGE

Franck Leprevost lehrt Mathematik mit Schwerpunkt Kryptografie (Verschlüsselung und Entschlüsselung von Informationen) an der Universität von Grenoble und ist regelmäßig Gast an der Technischen Universität Berlin. 1999 verfasste er für das Europäische Parlament einen Bericht über die Entwicklung der Überwachungstechnologien und die Risiken des Missbrauchs von wirtschaftlichen Informationen.

ANZEIGE

Wie sicher ist Kommunikation im Allgemeinen?

Wenn Sie telefonieren oder ein Fax oder eine E-Mail schicken, sind Sie in der Regel nicht durch Kryptografie geschützt. Eine E-Mail ist dann so einfach zu lesen wie eine Postkarte. Die Erfahrung zeigt, dass viele Leute denken, sobald es irgendwie mit Bits und Bytes zu tun hat, sei es geschützt. Das ist aber in der Regel nicht der Fall.

In dem Bericht über das anglo-amerikanische Satellitenlauschsystem Echelon heißt es, dass sehr viel abgehört werden kann. Bedeutet das, jeder Einzelne muss befürchten, dass seine Telefonate abgehört, seine Mails und Faxe gelesen werden?

Das ist immer eine Frage des Geldes. Wenn Sie ein Gespräch führen, in dem Sie Ihre Oma grüßen, hat ein Abhören des Gespräches in der Regel nicht so viele Konsequenzen, als wenn Sie ein Gespräch über den Kauf einer Firma in Südostasien führen, in dem es um 20 Millionen Euro geht . Dann muss man wissen, dass das Risiko besteht, dass man abgehört wird. Für solche Fälle sollte man besondere Maßnahmen treffen.

Was für Möglichkeiten habe ich denn, etwas kryptografisch zu verschlüsseln?

Dabei gibt es zunächst eine ganze Reihe von Gefahren. Manchmal ist die gebotene Lösung schlimmer als die Gefahr selbst. In Frankreich und Deutschland waren Firmen erfolgreich, die warben: „Wir lösen ihre Probleme. Sie haben wahrscheinlich als Geschäftsführer ihrer Firma davon gehört, dass es Risiken gibt, dass man abgehört wird. Wir haben ein Team von ehemaligen Hackern und sie können uns blind vertrauen.“ Solchen Firmen blind zu vertrauen, würde ich nicht empfehlen. Es ist immer ein Problem, vertrauenswürdige Firmen zu finden. Es gibt ein paar Namen, die einen guten Ruf haben.

ANZEIGE

Wie viel kostet es eine Firma, ihre Kommunikation sicher zu machen?

Wie viel kann ich nicht genau sagen, aber es ist nicht sehr teuer im Vergleich zu den Problemen, denen man dadurch entgeht. Sie haben ein Produkt und das können Sie im Prinzip downloaden. In der Regel ist nicht der Preis das Problem. Es liegt vielmehr in der Sicherheitspolitik der Firma selbst. Wenn ich dafür außer der Reihe Arbeitskräfte brauche, werde ich Leute für einen Monat, für zwei oder sechs einstellen. Was aber dürfen die wissen, was dürfen sie nicht wissen? Oder auch: Wie gehen die Leute mit ihren Passwörtern um? Kleben diese Passwörter am Computer? Das kommt viel häufiger vor als man denkt! Wenn Sie die sichersten Maßnahmen getroffen haben, aber das Passwort steht auf der Tür, bringt das alles gar nichts.

Allerdings sind gewisse Maßnahmen für eine ganze Reihe von Firmen lebenswichtig. Zum Beispiel für Unternehmen, die im Bio-Tech oder High-Tech-Bereich tätig sind, wo Forschung und Entwicklung unbedingt geheim bleiben sollten. Dazu genügt es nicht einen Firewall einzubauen. Was man machen kann, wäre ein Audit: Wie ist die Lage zur Zeit und wie können wir das ändern? Da gibt es diese so genannten Penetrationstests. Es gibt ganz ernst zu nehmende Firmen, die das professionell machen. Und es gibt auch kleine Firmen, die man nicht kennt, die von sich behaupten, dass sie jede Woche das Pentagon geknackt haben. Das sind Leute, die in Frage kommen können, wenn man Risiken mag. Und nach dem Audit, ist es gut, wenn der Chef der Computerabteilung und der Personalchef zusammenkommen und sagen, wir müssen sowohl technische Maßnahmen treffen, aber auch dafür sorgen, dass die Leute verstehen, worum es geht und wie sie das machen sollen. Und das tagtäglich.

ANZEIGE

Gibt es denn so etwas wie einen allgemeingültigen Schlüssel für die Algorithmen, die mathematischen Vorgänge hinter der Verschlüsselung?

Das ist schwierig zu beantworten. Es kommt darauf an, was man kauft. Und ich weiß auch nicht, wie die Situation derzeit in Deutschland ist. Das war zum Beispiel der Hintergedanke bei der Clipper-Chip-Geschichte [Anmerkung der Redaktion: der Clipper Chip war ein Chip, den amerikanische Firmen in elektronische Geräte einbauen sollten, um eine lückenlose Abhörbarkeit zu sichern.] Die amerikanische Regierung wollte einen Clipper Chip mit einem geheimen Algorithmus der NSA [National Security Agency] überall, also in Telefonapparate, Faxgeräte und E-Mail-Programme, einbauen. Zuerst in Amerika und dann könnte man sich vorstellen, dass man mit dem Gedanken spielt, diese Technologie zu exportieren. Dazu ist es nicht gekommen, weil die Lobbyisten der Kryptografieindustrie der Meinung waren, dass das zu große große Risiken bedeute. Erstens, weil man der NSA glauben müsse, dass der Algorithmus sicher ist, und zweitens weil nicht jeder einverstanden ist, dass die amerikanische Regierung weiß, wenn einen Liebesbrief verschickt wird. Dann wurde das Projekt nicht mehr so aktiv. Aber es wird, soweit ich informiert bin, noch in Telefonapparaten der amerikanischen Behörden verwendet.

Das Gespräch führte Cornelia Pretzer.

Quelle: @cop
  Zur Startseite
Verlagsangebot
Verlagsangebot
ANZEIGE