Sicherheit auf dem PrüfstandNeubetrachtung der 10 unveränderlichen Gesetze zur Sicherheit, Teil 2

Jesper M. Johansson

Inhalt

Gesetz 4: Wenn Sie einem Angreifer ermöglichen, Programme auf Ihre Website hochzuladen, ist es nicht mehr Ihre Website.
Gesetz 5: Schwache Kennwörter machen starke Sicherheit zunichte.
Gesetz 6: Ein Computer ist nur insofern sicher, als der Administrator vertrauenswürdig ist.
Gesetz 7: Verschlüsselte Daten sind nur so sicher wie der Entschlüsselungsschlüssel.
Schlussbemerkung

In der Septemberausgabe des TechNet Magazins erschien der erste Artikel einer dreiteiligen Reihe zur Neubetrachtung der bekannten Abhandlung „10 unveränderliche Gesetze zur Sicherheit“. Ziel dieser Artikelreihe ist es, diese Gesetze acht Jahre nach ihrer Aufstellung auf ihre fortdauernde Gültigkeit zu evaluieren. Es soll also herausgefunden werden, ob die Gesetze nach wie vor wirklich „unveränderlich“ sind. (Der erste Teil dieser Reihe steht unter microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx zur Verfügung.)

Ich habe festgestellt, dass sich die ersten drei Gesetze relativ gut gehalten haben. Im Folgenden werden vier weitere Gesetze unter die Lupe genommen. Im nächsten Monat sollen im abschließenden Artikel die letzten drei Gesetze untersucht und nach den Erfahrungen von nunmehr acht Jahren neue Einblicke gewährt werden.

Gesetz 4: Wenn Sie einem Angreifer ermöglichen, Programme auf Ihre Website hochzuladen, ist es nicht mehr Ihre Website.

Vielleicht hört sich Gesetz 4 etwas seltsam an. Immerhin sind die anderen Gesetze recht global angesetzt und treffen keine Aussagen über bestimmte Dienste, sondern allgemeine Funktionalität. Die ersten drei Gesetze beschreiben Szenarios, bei denen Ihr Computer nicht mehr Ihr Computer ist. Dann kommt das Gesetz 4 über Websites.

Um Gesetz 4 zu verstehen, ist der geschichtliche Kontext ziemlich wichtig. Die Gesetze wurden ursprünglich im Jahr 2000 veröffentlicht, zu einer Zeit, als das Web noch relativ neu und nicht durchdacht war. Websites wie Amazon und eBay befanden sich noch in der Entwicklung. Während Schwachstellen, die willkürliche Befehle auf Websites ausführten, ein alltägliches Phänomen darstellten, ließ sich das von den entsprechenden Patches nicht behaupten.

Vor diesem Hintergrund betrachtete Microsoft das Gesetz 4 vermutlich als eine notwendige öffentliche Erklärung, dass Sie für den Inhalt Ihrer Website verantwortlich sind. Dieser Punkt wurde durch den Nimda-Angriff im September 2001 nur allzu deutlich demonstriert. Nimda war ein Multivektornetzwerkwurm, bei dem eine Übertragungsmöglichkeit das Infizieren anfälliger Websites war, die dann den Wurm enthielten.

In der Periode, in die Gesetz 4 fällt, war außerdem die Verunstaltung von Websites üblich. Unter „attrition.org“ sind viele der damaligen Möglichkeiten zur Verunstaltung von Websites aufgeführt (attrition.org/mirror/attrition/months.html). Dies passierte häufig, und oft waren bekannte Websites betroffen. Sogar die wichtige Sicherheitsschulungsorganisation SANS konnte nicht verhindern, dass ihre Homepage verunstaltet wurde. Abbildung 1 zeigt die Verunstaltung der Website des Bundesstaats Arizona im Oktober 1998.

fig01.gif

Abbildung 1 Verunstaltung der Website des Bundesstaats Arizona (zum Vergrößern auf das Bild klicken)

Das Problem bestand darin, dass damals im Allgemeinen niemand wusste, wie eine Website verunstaltet wurde. Die normale Vorgehensweise bestand darin, sich der betroffenen Seite zu entledigen und mit der Tagesordnung fortzufahren. Die besonders gut Informierten haben die von den Angreifern ausgenutzte Lücke gepatcht, falls sie sie finden konnten.

Der weitere Kontext wurde nicht untersucht. Gesetz 4 sollte die Menschen zum Nachdenken darüber bringen, was die Verunstaltung einer Website für potenzielle Folgen haben konnte, und nicht lediglich auf Fakten zu reagieren.

Leider war Gesetz 4 nicht rundum erfolgreich. Trotz Gesetz 4 war bereits 2004 die folgende Frage wieder in aller Munde: „Können wir nicht einfach die Webseite des Hackers entfernen und uns wieder wie gehabt unserer Arbeit zuwenden?“ Nicht gerade wortscheu unternahm ich den Versuch, solche Gedanken durch den Artikel „Hilfe: Mein Computer wurde gehackt. Was mache ich jetzt?“ zu vertreiben. (technet.microsoft.com /en-us/library/cc512587.aspx).

Die Frage lautet aber, ob Gesetz 4 heute noch immer gilt. Wenn ein Angreifer ein Programm auf Ihre Website hochladen kann, heißt das, dass er sich wirklich Ihre Website aneignet? Genauer gesagt, eignet er sich dann die Website, die Besucher oder beides an? Aus Gesetz 4 geht nicht klar hervor, worauf es sich bezieht. Deshalb soll beides im Folgenden untersucht werden.

Was das Aneignen der Website betrifft, lautet die Antwort ja. Der Angreifer ist im Besitz der Website, wenn Sie ihm gestatten, Programme hochzuladen (es gibt hier jedoch einige Ausnahmen, die weiter unten besprochen werden). Bei einer typischen Website gibt es zwei Dinge, die ein Angreifer durch das Hochladen von Programmen erreichen kann, und dies hat eine äußerst große Auswirkung.

Erstens kann der Angreifer die Website für seine eigenen Zwecke einsetzen. Wenn jemand illegale Inhalte wie Kinderpornografie ins Netz stellen will, gibt es da eine bessere Möglichkeit, als dies auf einer Website zu tun, die nicht bis zum Hacker selbst zurückverfolgt werden kann? Kriminelle würden diese Art von Inhalten sicherlich lieber auf Ihrer Website veröffentlichen als auf ihrer eigenen.

Zweitens kann der Angreifer durch das Hochladen eines Programms auf die Website die Kontrolle über das System hinter der Website übernehmen. Das hängt natürlich davon ab, ob er das Programm auf dem Webserver tatsächlich ausführen kann. Einfach das Programm hochzuladen, ohne es nutzen zu können, bringt dem Angreifer nichts. Wenn der Angreifer das Programm jedoch ausführen kann, ist er definitiv im Besitz der Website und kann jetzt nicht nur seine Zwecke verfolgen, sondern sie auch dazu nutzen, andere Dinge zu übernehmen.

Die oben angeführte Auswirkung ist noch wichtiger als die Einzelheiten. Im Artikel „Hilfe: Mein Computer wurde gehackt“ habe ich versucht, das Argument anzubringen, dass Sie nicht genau wissen, was der Angreifer nach dem Eindringen angestellt hat. Wenn ein Angreifer es fertig bringt, seinen eigenen Inhalt auf Ihre Website zu stellen, dann müssen Sie sich fragen, was er vielleicht sonst noch anrichten kann.

Die Antwort: Möglicherweise eine ganze Menge anderer Dinge. Das ist der wirklich wichtige Aspekt des Rätsels. Wenn ein Angreifer Programme auf einem Server hinter Ihrer Website ausführen kann, ist er völlig im Besitz dieser Website und ihrer Funktionen. Die Website gehört Ihnen dann wirklich nicht mehr.

Was die Gefährdung von Besuchern der Website angeht, lässt sich diese Frage nicht so leicht beantworten. In den späten 90er Jahren wimmelte es in Browsern nur so vor Sicherheitslücken. Um 2004 verbesserte sich die Situation drastisch. Heute sind die führenden Browser, Internet Explorer und Firefox, beide ziemlich stabil, was Sicherheit angeht. Im Vergleich zu dem, was in den 90ern gängig war, sind die heutigen Browser wahre Bastionen der Sicherheit.

Ob ein Angreifer Website-Besucher gefährden kann, hängt von zwei Dingen ab. Erstens: Sind in den Browsern Lücken vorhanden, die der Angreifer ausnutzen kann? Dies könnte der Fall sein, doch es gibt lange nicht mehr so viele Lücken wie früher. Zweitens: Kann der Angreifer die Benutzer dazu bringen, sich selbst zu gefährden? Die Antwort ist allzu oft ja, was ein Grund zur Sorge ist.

Viel zu viele Benutzer installieren tatsächlich das, was ihnen auf einer Website aufgetragen wird. Dies ist ein ernstes Problem, da es nicht mit Technologie gelöst werden kann. In den Ausgaben vom Juli, August und September 2008 von „Sicherheit auf dem Prüfstand“ wurde dieses Problem diskutiert. Für Gesetz 4 bedeutet dies leider, dass der Angreifer eine sehr gute Chance erhält, die Website-Besucher zu gefährden.

Die oben erwähnten Ausnahmen sind wohl offensichtlich. Websites von heute können vieles, was in den 90er Jahren nicht vorausgesehen wurde. Beispielsweise sind Sites für die Teamzusammenarbeit wie Microsoft SharePoint weit verbreitet. Alle Benutzer mit den entsprechenden Berechtigungen können Programme auf eine solche Website hochladen, doch weder die Website noch die Benutzer, die sie aufrufen, werden dadurch gefährdet. Die Website wurde nämlich genau mit diesem Konzept entworfen. Dadurch, dass ein Benutzer über die für den Zugriff auf die Website erforderlichen Berechtigungen verfügt, wird er in gewissem Maß als vertrauenswürdig betrachtet.

Darüber hinaus gibt es Sharewarewebsites. In der Vergangenheit wurden diese zwar mit Malware angegriffen, doch sie dienen der Freigabe von Software. Dies bedeutet an und für sich nicht, dass Benutzer gefährdet sind. Kurz gesagt, all diese Websites verfügen über Schutzvorrichtungen, um zu gewährleisten, dass sie sicher bleiben und dass Benutzer nicht automatisch durch ihren Besuch gefährdet werden. Ich sehe dies als die Ausnahme an, die die Regel bestätigt. Deshalb gilt Gesetz 4, zumindest von der Kernaussage her, nach wie vor, obwohl es einige Websites gibt, die dafür entworfen wurden, allen Benutzern unabhängig von ihrer Absicht das Hochladen von Programmen zu ermöglichen.

Gesetz 5: Schwache Kennwörter machen starke Sicherheit zunichte.

Mit Kennwörtern habe ich mich viele Jahre leidenschaftlich beschäftigt. Kennwörter oder, allgemeiner ausgedrückt, ein gemeinsamer geheimer Schlüssel, sind eine hervorragende Möglichkeit, ein Subjekt zu authentifizieren. Dabei gibt es nur ein kleines Problem: Sie versagen vollkommen angesichts der menschlichen Natur.

In den glücklichen Zeiten der elektronischen Datenverarbeitung, als die Mehrbenutzer-EDV erfunden wurde, ergab sich die Notwendigkeit, Benutzer voneinander zu unterscheiden. Das System benötigte eine Möglichkeit, um zwischen den Daten von Alice und denjenigen von Bob zu unterscheiden. Im Idealfall sollte Bob verhindern können, dass Alice auf seine Daten zugreifen kann, obwohl dies nur eine zweitrangige Anforderung darstellte.

Die Lösung waren Benutzerkonten und Kennwörter. Damals gab es in der Regel ein Konto für ein Computersystem. Meist wurde ein einziges Kennwort verwendet, oft eines der folgenden:

  • Der Name eines Ihrer Kinder
  • Der Vorname Ihres Ehepartners
  • Der Name Ihres Haustiers
  • „Gott“ (für Administratoren)

Drehen Sie die Zeit jetzt um etwa 30 Jahre vorwärts. Heute gibt es Hunderte von Konten, auf Websites im Internet und auf mehreren Computern. Jedes dieser Systeme warnt davor, dasselbe Kennwort auf anderen Systemen zu verwenden. Es wird empfohlen, ein starkes Kennwort zu erstellen, es nicht aufzuschreiben und es alle 30 bis 60 Tage zu ändern.

Da normale Menschen nicht vier Kennwörter pro Tag ändern und sie auch noch im Gedächtnis behalten können, läuft dies praktisch darauf hinaus, dass sie leider dasselbe Kennwort auf allen Systemen verwenden (oder im Höchstfall zwei verschiedene Kennwörter). Diese Kennwörter werden in der Regel aus der folgenden Liste von Möglichkeiten ausgewählt:

  • Der Name eines Ihrer Kinder mit der angehängten Zahl 1
  • Der Vorname Ihres Ehepartners mit der angehängten Zahl 1
  • Der Name Ihres Haustiers mit der angehängten Zahl 1
  • „GottGott11“ (nur für Administratoren)

In diesen 30 Jahren ist leider kein großer Fortschritt zu verzeichnen. Das Thema Kennwörter stellt also weiterhin einen sehr ergiebigen Forschungsbereich dar. Weitere Informationen finden Sie im PC World-Artikel „Zu viele Kennwörter oder zu wenig Intelligenz“ (unter pcworld.com/businesscenter/article/150874/too_many_passwords_or_not_enough_brain_power.html).

Ganz eindeutig sind Kennwörter, so wie sie normalerweise verwendet werden, die schwächste Form von Sicherheit. Es gibt jedoch Möglichkeiten, wie Kennwörter auf sichere Weise verwendet werden können. Sie können zum Beispiel starke Kennwörter generieren und sie aufschreiben. Damit machen Sie wirklich nichts falsch. An schlechten Ratschlägen von allen Seiten herrscht jedoch kein Mangel, sodass Benutzer tatsächlich denken, dass es besser sei, überall dasselbe Kennwort zu verwenden, als ihre Kennwörter aufzuschreiben.

Tatsache ist, dass viele Sicherheitsmaßnahmen letzten Endes eine Schwachstelle haben. Nehmen Sie als Beispiel den VPN-Zugriff (virtuelles privates Netzwerk). Ich habe zahlreichen Diskussionen über verschiedene VPN-Technologien beigewohnt, über Anbieterevaluierungen, bei denen die Anbieter die Vorteile ihrer unglaublich sicheren und unglaublich langsamen Kryptografie hervorheben und erläutern, wie sie die Verschlüsselungsschlüssel im Turnus wechseln, um sicherzustellen, dass ein Angreifer keine Pakete ausspionieren und sie entschlüsseln kann.

Doch all dies geht völlig am Wesentlichen vorbei. Ein Angreifer wird nicht versuchen, einen Paketdatenstrom zu knacken, wenn dies mit der derzeit verfügbaren Computertechnologie 10 Millionen Jahre dauert. Bringt es wirklich etwas, ein Netzwerk um eine ganze Größenordnung zu verlangsamen, um eine Kryptografie zu erhalten, deren Entschlüsselung 100 Millionen Jahre dauert? Ehrlich gesagt mache ich mir keine großen Sorgen, dass jemand es in 100 Millionen Jahren (oder selbst 10 Millionen Jahren) fertig bringt, meine Arbeits-E-Mail zu entschlüsseln.

Ist die Kryptografie wirklich die interessante Schwachstelle? Es ist sehr viel wahrscheinlicher, dass der Angreifer das einfache Sicherheitsrisiko ausnutzt, und zwar die Tatsache, dass Benutzerkennwörter oft eins der oben aufgelisteten Kennwörter sind.

Unglaublich starke Kryptografie gibt nicht wirklich viel her, wenn all Ihre Benutzer ein Kennwort mit sechs oder acht Zeichen auswählen. Folglich werden jetzt immer stärkere Formen der Authentifizierung, z. B. Smartcards und Generatoren einmaliger PIN-Codes verwendet.

Diese stellen eine beachtliche Verbesserung dar, aber sie verbessern die Sicherheit nicht immer. Es ist zum Beispiel sehr leicht, Smartcards zu verlieren oder zu Hause zu vergessen. Dazu passen die Generatoren einmaliger PIN-Codes perfekt auf Ihren ID-Halter und machen sich dort wirklich gut. Das nächste Mal, wenn Sie das Gebäude verlassen, um sich im Geschäft gegenüber einen Kaffee zu holen, achten Sie einmal darauf, ob Sie jemanden dabei ertappen, wie er Ihre einmalige PIN ansieht, Ihren Benutzernamen abliest und versucht, den kleinen Anteil von Zufall zu erraten. Das ist nämlich alles, was er jetzt benötigt, um sich mit Ihrer Identität in Ihrem Unternehmensnetzwerk anzumelden.

Gesetz 5 gilt sicherlich heute noch und wird auch in Zukunft gelten. Ich denke jedoch, dass es maßgeblich verallgemeinert werden kann. Nicht nur schwache Kennwörter machen starke Sicherheit zunichte. Allgemeiner ausgedrückt besagt dieses Gesetz, dass eine starke Sicherheit durch „schwache Authentifizierung“ oder gar „Schwachstellen“ unwirksam gemacht wird.

Im Allgemeinen machen sich IT-Sicherheitsexperten schuldig, weil sie vor lauter Bäumen den Wald nicht sehen. Wir neigen dazu, uns auf einen kleinen Teil des Problems zu konzentrieren, der mit starken Sicherheitstechnologien gelöst werden kann. Allzu oft bleibt dabei die Erkenntnis aus, dass systemeigene Schwächen vorhanden sind, die nicht abgebaut oder gar in Erwägung gezogen wurden und die alle eingesetzten Technologien in Frage stellen.

Bedenken Sie beispielsweise, wie viele Organisationen versuchen, die von Benutzern verwendeten Wechselmedien zu regeln, dafür aber eine ausgehende Secure Shell (SSH) und verschlüsselte E-Mail-Verbindungen zulassen. Wie viel Datenverlust wird eigentlich durch das Einschränken von Wechselmedien verhindert, wenn Sie zulassen, dass Daten durch Verschlüsselung übertragen werden dürfen, sodass Sie die Daten nicht einmal mehr lesen können? Dies ist eins der Hauptprobleme, die Sicherheitsexperten lösen müssen, wenn unser Berufsstand überleben und florieren soll.

Gesetz 6: Ein Computer ist nur insofern sicher, als der Administrator vertrauenswürdig ist.

Ich bin überrascht, dass auch heute noch immer wieder über Schwachstellen berichtet wird, die sich gegen Administratoren richten, schlimmer noch, über Schwachstellen, die nur funktionieren, wenn Sie bereits Administrator sind. Während ich dies schreibe, sitze ich in einem Flughafen auf dem Rückweg von der Konferenz „Black Hat 2008“. Sogar dort ist mir eine Präsentation aufgefallen, die mit der folgenden Voraussetzung begann: „Wenn Sie über Stammzugriff verfügen, können Sie das System folgendermaßen übernehmen“.

Einerseits tröstet es zu wissen, dass das Schlimmste, was manchen einfällt, das Ändern des Systems ist, wenn auch mehr oder weniger im Verborgenen, falls sie bereits zur einer Systemänderung berechtigt sind. Andererseits finde ich es frustrierend, dass nicht erkannt wird, wie sinnlos dies ist, und dass versucht wird, immer neue Möglichkeiten dafür zu erfinden, und wichtiger noch, dass beim Versuch, sich davor zu schützen, kostbare Zeit und Energie verschwendet wird.

Die Tatsache ist recht simpel: Alle Benutzer, die Administrator sind (oder Stamm- oder Superuser, oder wie auch immer die Rolle genannt wird), haben innerhalb des entsprechenden Systems uneingeschränkte Rechte. Solch ein Benutzer kann alles tun.

Es gibt sicherlich auffällige wie auch raffinierte Möglichkeiten, mit denen ein Angreifer dieser Art vorgehen kann. Doch die grundlegende Tatsache bleibt genau dieselbe: Sie können effektiv nichts feststellen, wenn ein böswilliger Administrator dies nicht zulässt. Ein solcher Benutzer ist in der Lage, seine Spuren zu verdecken und eine beliebige Aktion einem anderen Benutzer in die Schuhe zu schieben.

Dadurch wird deutlich, dass Gesetz 6 zumindest in einem gewissen Ausmaß immer noch gilt. Wenn eine Person, die über uneingeschränkte Kontrolle über einen Computer verfügt, zu einem Angreifer wird, handelt es sich in der Tat nicht mehr um Ihren Computer. Auf eine sehr reale Weise ist der Computer nur in dem Ausmaß sicher, in dem Ihr Administrator vertrauenswürdig ist.

Dabei müssen jedoch einige weitere Punkte in Erwägung gezogen werden. Erstens umfasst der Begriff des Administrators, von der Perspektive des Computers aus gesehen, nicht nur die Person bzw. Personen, der bzw. denen diese Rolle gewährt wurde. Der Begriff umfasst auch die gesamte Software, die im Sicherheitskontext dieser Rolle ausgeführt wird. Die Rolle des Administrators schließt daher auch alle Autoren solcher Software ein.

Dies ist ein wichtiger Punkt. Gesetz 6 besagt, dass der Computer nur in dem Ausmaß sicher ist, in dem der Administrator vertrauenswürdig ist. Diese Bedeutung reicht allerdings weiter, als es den Anschein erweckt. Denken Sie immer daran: Soweit es den Computer betrifft, umfasst der Begriff Administrator jeden Prozess, der innerhalb des Sicherheitskontexts eines Benutzers mit Administratorberechtigung ausgeführt wird. Ob dieser Benutzer tatsächlich die Absicht hat, einen bestimmten Code auszuführen, oder damit Schaden anrichten will, ist belanglos.

Dies ist ein wichtiger Punkt, denn erst seit Kurzem kann ein Standardbenutzer einen Windows-basierten Computer als Nichtadministrator bedienen. Dies ist ein primäres Ziel der Benutzerkontensteuerung (User Account Control, UAC) in Windows Vista. Sogar dann gibt es keine Sicherheitsgrenze zwischen dem administrativen Kontext und dem nicht administrativen Kontext eines Benutzers. Folglich gilt Gesetz 6 für alle Benutzer, die die Möglichkeit haben, die Administratorrolle einzunehmen, nicht nur diejenigen, die derzeit Administratoren sind.

Deshalb besteht die einzige Möglichkeit, nicht vom Gesetz 6 betroffen zu sein, darin, kein Administrator zu sein, sondern nur ein Standardbenutzer. Leider ist dies nicht einmal in Windows Vista der Standard, und viele Originalgerätehersteller (Original Equipment Manufacturers, OEM) deaktivieren UAC vollständig.

UAC deutet jedoch etwas darauf an, was in Zukunft zu erwarten ist. Das sichtbarste Feature von UAC ist der Prozess der Rechteerweiterung (siehe Abbildung 1). Aber der wichtigste strategische Vorteil ist nicht die Erhöhung auf die Administratorstufe, sondern die Fähigkeit, einen Computer auch ohne Administratorrechte effektiv zu bedienen. Windows Vista enthält mehrere Verbesserungen, die dies ermöglichen. Im Gegensatz zu früheren Versionen von Windows können Sie zum Beispiel die Zeitzone ändern, ohne Administrator zu sein, sodass reisende Mitarbeiter als Nichtadministratoren fungieren können. Künftig wird es wahrscheinlich weitere Verbesserungen dieser Art geben.

fig02.gif

Abbildung 2 Das sichtbarste und vielleicht unerheblichste Feature von UAC ist die Benutzeraufforderung mit erhöhten Rechten (zum Vergrößern auf das Bild klicken)

Gesetz 6 ist auch heute noch zutreffend, und wird auch in Zukunft gültig sein. Diese Veränderung hin zu einer Welt, in der Benutzer ihre Computer als Nichtadministrator bedienen können, ist nur einer von zwei mäßigenden Faktoren für das Gesetz 6. Der zweite Faktor ist nicht besonders neu: die obligatorischen Zugriffssteuerungssysteme.

Objekte in obligatorischen Zugriffssteuerungssystemen haben Beschriftungen, und es gibt strenge Regeln dafür, wie Objekte erneut beschriftet werden können. Die Anwendung von Sicherheit durch Software erfolgt für Objekte je nach ihrer Beschriftung und liegt außerhalb der unmittelbaren Kontrolle des Administrators. Genau genommen kann der Administrator in aktuellen Implementierungen in der Regel verschiedene unrechtmäßige Schritte unternehmen, um diese Steuerelemente außer Kraft zu setzen.

Das Prinzip ist jedoch vielversprechend, und eines Tages wird es möglich sein, Administratoren Beschränkungen aufzuerlegen. Doch selbst dann ließe sich immer noch argumentieren, dass solche Benutzer nicht mehr im wahrsten Sinne des Worts Administratoren wären. Deshalb ist Gesetz 6 eindeutig unveränderlich.

Gesetz 7: Verschlüsselte Daten sind nur so sicher wie der Entschlüsselungsschlüssel.

Gesetz 7 ist vielleicht das am wenigsten umstrittene Gesetz. Verschlüsselung wird allzu oft als das Allheilmittel für viele Sicherheitsprobleme angesehen. Verschlüsselung ist zwar ein wertvolles Tool in der Welt der Sicherheit, bietet aber heute wie in der Zukunft keine eigenständige Lösung für die meisten aktuellen Probleme.

Verschlüsselung wird fast überall eingesetzt. In Windows wird sie für Kennwörter, Dateien, das Surfen im Web und zur Authentifizierung verwendet. Nicht jede Verschlüsselung ist umkehrbar, doch einige der wichtigsten Beispiele für umkehrbare Verschlüsselung umfassen das verschlüsselnde Dateisystem (Encrypting File System, EFS) und den Anmeldeinformationscache, der für gespeicherte Kennwörter und Benutzernamen verwendet wird (siehe Abbildung 3).

fig03.gif

Abbildung 3 Der Anmeldeinformationscache in Windows Vista wird durch Verschlüsselung geschützt (zum Vergrößern auf das Bild klicken)

Sowohl das EFS als auch der Anmeldeinformationscache werden durch einen Verschlüsselungsschlüssel geschützt, der vom Kennwort des Benutzers abgeleitet wird. Dies hat mehrere Implikationen. Wenn das Kennwort des Benutzers zurückgesetzt wird (auf ein neues Kennwort eingestellt wird, ohne das alte einzugeben), gehen alle in diesen Speicherorten gespeicherten Daten verloren, falls kein Wiederherstellungsschlüssel festgelegt wurde.

Was für diese Diskussion jedoch noch wichtiger ist: Bei der Verschlüsselung werden zwar äußerst starke Schlüssel und Protokolle verwendet, doch die Sicherheit des Schlüssels hängt vom Kennwort des Benutzers ab. Anders gesagt, die Daten sind nur insoweit sicher, als das Kennwort stark ist. Das Kennwort ist praktisch auch ein Entschlüsselungsschlüssel, selbst wenn es in diesem speziellen Fall ein sekundärer Entschlüsselungsschlüssel ist, d. h. es entschlüsselt einen anderen Entschlüsselungsschlüssel.

Dies ist von entscheidender Bedeutung. Überall in der IT-Welt finden sich diese Arten von Abhängigkeitsketten. Vor Jahren hat jemand einen Social Engineering-Angriff gegen VeriSign ausgeführt und dadurch zwei Codesignaturzertifikate für Microsoft erhalten. Ein Codesignaturzertifikat ist im Grunde ein Entschlüsselungsschlüssel, mit dem überprüft wird, ob die im Zertifikat genannte Entität über den Verschlüsselungsschlüssel verfügt.

Doch in diesem Fall handelte es sich bei der Person, die das Zertifikat anforderte, nicht um die Entität, die im Zertifikat genannt war. Anders gesagt, der Angreifer war jetzt im Besitz von Signaturschlüsseln, die für jemanden anderen ausgestellt worden waren. Die Schlüssel waren vielleicht sicher, doch sobald Sie die restliche Abhängigkeitskette analysieren, erkennen Sie den verhängnisvollen Fehler.

All dies belegt den folgenden Punkt: Der Entschlüsselungsschlüssel ist äußerst wichtig für die Sicherheit von Daten, doch möglicherweise ist der Entschlüsselungsschlüssel selbst durch weitaus schwächere geheime Schlüssel geschützt. Bei viel zu vielen Systemen haben die Implementierer die denkbar stärkste Verschlüsselung erstellt und den Entschlüsselungsschlüssel durch eine andere Sicherheitsmaßnahme geschützt, letzten Endes aber nicht erkannt, dass diese zweite Schicht eine erhebliche Lücke aufwies. Beim Implementieren von Kryptografie müssen Sie sicherstellen, dass die gesamte Kette der Schutzmaßnahmen analysiert wird. Die Daten einfach nur zu verschlüsseln, sorgt allein nicht für Sicherheit.

Gesetz 7 gilt also weiterhin. Im Rahmen der 10 Gesetze ist es eins der unangreifbarsten. Dieses Gesetz für die Computerbranche ist eigentlich mit einem Gesetz der Physik zu vergleichen. Es sollte außerdem eine Lektion für uns alle sein und uns daran erinnern, dass die gesamte Kette der Schutzmaßnahmen für vertrauliche Daten analysiert werden muss. Deshalb ist es akzeptabel, Schlüssel zu verwenden, die nicht den stärksten Schutz aufweisen. Doch es ist wichtig, dass diese Schlüssel nur zum Verschlüsseln von Daten verwendet werden, die keinen starken Schutz erfordern.

Schlussbemerkung

An diesem Punkt der Untersuchung gelten alle 7 der untersuchten 7 unveränderlichen Gesetze der Sicherheit. Jedes in dieser Reihe neu betrachtete Gesetz trifft auch nach all diesen Jahren noch zu, und es ist unwahrscheinlich, dass diese Gesetze in naher Zukunft widerlegt werden könnten.

Tatsächlich demonstrieren die Gesetze ein beeindruckendes Maß an Weitsicht. Das einzige Gesetz, das bislang etwas aus dem Rahmen zu fallen scheint, ist Nr. 4, doch wie bereits erwähnt sollte auch dieses weiterhin als unveränderlich betrachtet werden.

Nächsten Monat wird diese Reihe mit der Untersuchung der Gesetze 8, 9 und 10 abgeschlossen. Außerdem wird erläutert, inwiefern die Gesetze möglicherweise nicht alle Sicherheitsaspekte abdecken.

Jesper M. Johansson ist Softwarearchitekt mit dem Schwerpunkt Sicherheitssoftware und schreibt redaktionelle Beiträge für das TechNet Magazin. Er hat seine Doktorarbeit zum Thema Management Information Systems geschrieben, verfügt über mehr als 20 Jahre Erfahrung auf dem Gebiet der Sicherheit und ist Microsoft MVP (Most Valuable Professional) im Bereich Unternehmenssicherheit. Sein aktuelles Buch heißt Windows Server 2008 Security Resource Kit.