Vertrauen in Zeiten digitaler Überwachung – Ein Interview mit Ralf Nitzgen, Chef der Allgeier IT Solutions

Interview Ralf Nitzgen, Geschäftsführer Allgeier IT Solutions

Titel-Interview Ralf Nitzgen, Geschäftsführer Allgeier IT Solutions

Nach den Enthüllungen des Whistleblowsers Edward Snowden werden IT-Sicherheitsparadigmen neu ausgelotet. Spähprogramme, die Kommunikationsdaten abgreifen, wie Prism und Tempora, sind in aller Munde. Und vieles deutet darauf hin, dass die Bevölkerung und Unternehmen – auch in Deutschland – nicht nur wegen „originärer“ Geheimdienst-Tätigkeit ausgespäht werden, sondern dass auch Wirtschaftsspionage betrieben wird. Wie beurteilen Sie die Gemengelage?

Ralf Nitzgen: Letztendlich ist diese Gesamtsituation nicht grundsätzlich neu, denn auch das Spionagenetz Echelon, das seit über 10 Jahren u.a. von den USA, Großbritannien, Australiens und Kanada betrieben wird, hat die Massendatenspeicherung und das Abhören von Kommunikationskanälen wie Telefon und Mail-Verkehr zur Aufgabe. Der Verwendungszweck dieses Netzes ist bereits 2004 öffentlich bekannt gegeben worden. Auch ist das Recht zur Wirtschaftsspionage einiger Staaten seit jeher in der Verfassung verankert. Vor dem Hintergrund ist mit den aktuellen Enthüllungen in Verbindung mit einer hohen medialen Aufmerksamkeit dieses Thema in das öffentliche Bewusstsein gelangt, was an für sich schon seit vielen Jahren auf breiter Basis praktiziert wird. Gleichwohl stellen diese Spähprogramme für die hiesige Wirtschaft eine ernsthafte Bedrohung dar. Unternehmen sind daher spätestens heute gefordert, für sich diese Situation neu zu beurteilen und geeignete Sicherheitsmaßnahmen zu betreiben.

Verschlüsseln lautet das Gebot der Stunde. Zu den Snowden-Enthüllungen zählt aber auch das so genannte „Project Bullrun“, das offenbar sogar SSL-Verschlüsselung knacken kann. Was wie schätzen Sie die Möglichkeiten der Geheimdienste ein?

Ralf Nitzgen: Man muss an der Stelle etwas differenzieren. In den meisten öffentlich gewordenen Fällen sind die Angriffe auf Schwächen bei der Umsetzung der Sicherheitsmechanismen und nicht auf Schwächen des zugrundliegenden Verfahrens zurückzuführen. Das Verfahren der SSL- bzw. der asymmetrischen Verschlüsselung ist nach dem heutigen Stand der Kryptografie-Wissenschaft nach wie vor nicht ohne Weiteres „knackbar“. Es gibt zwar die Möglichkeit einer sogenannten Man-in-the-Middle-Attack, dieser Zugriff kann allerdings nicht unbemerkt erfolgen – es sei denn, dass der Herausgeber des jeweiligen SSL-Zertifikates seinerseits Schlupflöcher zur Manipulation des Authentifizierungsvorgangs eingebaut hat. Sofern die Art und Weise, wie die Schlüsselpaare zufällig erzeugt werden, nicht manipuliert wird oder die Parteien vor einem unbefugten Zugriff geschützt sind, sind SSL- bzw. TLS-Verschlüsselungen nach wie vor sicher. Das Gebot der Stunde lautet daher hier nach wie vor, auf eine möglichst starke Verschlüsselung – auch hiesiger Zertifikathersteller – zu setzen und die ordnungsgemäße Umsetzung des Verfahrens zu gewährleisten.

Welche Behörden setzen auf Ihr JULIA MailOffice Gateway, das eine sichere E-Mail Kommunikation erlauben soll?

Ralf Nitzgen: JULIA MailOffice kommt heute dort zur Anwendung, wo sensibelste Daten ausgetauscht werden: bei Banken, Versicherungen, in der Automobilindustrie oder als zentrale E-Mail-Komponente in der gesamten virtuellen Poststelle des Bundes, so etwa auch bei der Bundesagentur für Arbeit, beim Bundesamt für Sicherheit in der Informationstechnik (BSI), dem Bundesinnenministerium und bei diversen Ermittlungsbehörden des Bundes. Insgesamt kommt die Lösung heute bei 50 Behörden und Ämtern des Bundes zum Einsatz.

Warum ist die Lösung „geheimdienstsicher“ und sind nicht auch hier Zweifel zulässig, wenn die Geheimdienstwelt von außen betrachtet keine klaren Konturen aufweist und die technischen Möglichkeiten der Schlapphüte im Grunde unklar sind?

Ralf Nitzgen: Kryptografische Verfahren stehen und fallen letztlich mit der Sicherheit und Genauigkeit ihrer Umsetzung. Wenn man sich auf symmetrische Verschlüsselungsverfahren beschränken würde, bestünde verfahrensbedingt beim Abfangen des Datenstroms immer die Möglichkeit einer sogenannten Brute Force Attacke, bei der möglichst viele potenzielle Lösungen nach dem „Trial & Error“-Prinzip nacheinander durchprobiert werden. Setzt man hingegen ordnungsgemäß implementierte asymmetrische Verschlüsselungsverfahren mit entsprechend langen Schlüsseln ein, ist verfahrensbedingt die Chance hingegen sehr gering, dass durch bloßes Abfangen der Daten die Vertraulichkeit verletzt werden kann. Bei asymmetrischen Krypto-Verfahren kann eine Nachricht ja nicht mit dem eigenen Schlüssel des Schlüsselpaares entschlüsselt werden, sondern nur mit dem privaten Schlüssel des Kommunikationspartners. Allerdings ist auch hier wieder eine gewisse Sorgfaltspflicht erforderlich, um eben jenen privaten Schlüssel beim Empfänger vor dem Zugriff Dritter zuverlässig zu schützen. Denn auch asymmetrische Verschlüsselungsverfahren sind wertlos, wenn der private Schlüssel beim Empfänger für Datenspione leicht zugänglich ist. Hierfür gibt es sowohl konzeptionelle, als auch Hardware-unterstützte Schutzmechanismen, die wir ebenfalls in JULIA MailOffice verwenden.

Wie wird es in den nächsten Monaten und Jahren weitergehen im Hinblick auf die Datenschnorchelei? Die Politik scheint es zwar nicht besonders zu begrüßen, aber den Eindruck, dass sich etwas an der Situation ändern wird, bekommt man auch nicht gerade. Wie ist Ihre Meinung?

Ralf Nitzgen: Die Umsetzung geeigneter poltischer Maßnahmen sind in großem Maße von der Sensibilität und dem Druck der Wirtschaft gegenüber der Datenschnorchelei abhängig. Viele Unternehmen sind erst durch die jüngsten Enthüllungen sensibilisiert worden, über Compliance und Anforderungen des Datenschutzgesetzes nachzudenken und geeignete Maßnahmen zum Schutz der eigenen Datenhoheit zu ergreifen. Andere Unternehmen hingegen stehen den Spähprogrammen gelassen gegenüber, da sie über ihre kritischen Unternehmensdaten hinaus vermeintlich nichts zu verbergen haben. Hier wird letztlich die Datensicherheit zugunsten des eigenen Komforts geopfert. Solange also keine klaren gesetzlichen Schutzmechanismen oder politischen Einschränkungen bestehen, ist jedes Unternehmen für sich gefordert, entsprechende Schutzmaßnahmen gegen die Wirtschaftsspionage zu ergreifen – je nach dem, wie wichtig ihnen die Compliance und der Schutz ihrer Daten sind. Ich bin jedoch der Meinung, dass die heutige Gesetzeslage Unternehmen geradezu dazu zwingt, über geeignete Sicherheitsstrukturen nachzudenken, um ihr geistiges Eigentum vor Zugriffen Dritter zu schützen.

Download des Artikels: Interview Ralf Nitzgen, Chef Allgeier IT Solutions. IT & Business 12/13

Ähnliche Beiträge