Sicherheit im Internet: ein Thema für mehrere Abende

Da sich die meisten Zuhörer als ›Sicherheits-Laien‹ bezeichneten, versuchte Jörg Zimmermann das komplexe Thema so anschaulich wie möglich zu erklären. Dass ihm dies gelang, bewies die Ausdauer der Teilnehmer, die auch nach drei Stunden noch aufmerksam zuhörten und interessiert nachfragten. Dass es ein langer Abend geworden ist, lag vor allem am Thema. Der Bogen, den Jörg Zimmermann schlagen musste, war sehr groß. Ein Thema Sicherheit denken die meisten nur an Computerviren, doch diese Schadprogramme sind nur eine ganz kleine Facette des Problems.

Mit einem Rückblick auf die Entstehung des Internets machte Zimmermann deutlich, dass die Schöpfer des Internets vor allem daran interessiert waren, dass das Internet funktioniert, dass eine Nachricht von A nach B gelangt, auch wenn einige Rechner oder Leitungen ausfallen. Es ist ein offenes Netz, in dem sich Nachrichten, die verschickt werden, wortwörtlich selbstständig den Weg zum Adressaten suchen. Dabei durchlaufen sie zahlreiche Zwischenstationen und niemand kann vorher genau sagen, welchen Weg eine Nachricht nehmen wird. Die Zwischenstationen sind nun aber keine nach außen abgeschotteten Systeme, sondern ganz normale Internet-Server und Internet-Router. Und jeder, der Zugriff auf eine dieser Zwischenstationen hat, kann mitlesen, was über die Leitung geht. Wer unverschlüsselte E-Mails versendet oder sich ohne Verschlüsselung im Internet bewegt, versende daher, so Zimmermann, im Grunde Postkarten, die jeder ›Briefträger‹ auf dem Weg zum Empfänger mitlesen könne.

Nach dieser Einführung erklärte Zimmermann die symmetrische Verschlüsselung, bei der Sender und Empfänger denselben Schlüssel zu verschlüsseln und entschlüsseln benutzen. Bei diesem Verfahren stellt sich jedoch das Problem, den Schlüssel vorher über einen sicheren Kanal (zum Beispiel ein persönliches Treffen) auszutauschen. Im Internet, wo es zunächst einmal keinen sicheren Kanal gibt, kommt daher zumeist die asymmetrische Verschlüsselung zur Anwendung, bei der zwei Schlüssel benutzt werden: ein Schlüssel zum Verschlüsseln und einer zum Entschlüsseln.

Verschlüsselung ist jedoch nur ein Aspekt der sicheren Kommunikation. Man möchte außerdem sicherstellen, dass derjenige, der eine E-Mail versendet, eine Website betreibt oder ein Programm zum Download anbietet, auch wirklich die Person ist, für die er sich ausgibt. Dies erfolgt durch digitale Signaturen, die von einer Zertifizierungsstelle beglaubigt worden sind. Jan Ulrich Hasecke stellte im Anschluss an Zimmermanns Vortrag die Zertifizierungs-Community CAcert vor, die diesen Service kostenlos anbietet.

Ein dritter und letzter Aspekt des Themas ist der Wunsch sicherzustellen, dass zum Beispiel eine E-Mail auf dem Weg vom Sender zum Empfänger nicht verändert worden ist. Auch dies leisten Zertifikate oder Verschlüsselungstechniken wie PGP, die für die signierten oder verschlüsselten Inhalte eine Prüfsumme erstellen, mit deren Hilfe man kontrollieren kann, ob die Nachricht während des Versands manipuliert worden ist.

Zimmermann machte deutlich, dass es beim Thema Sicherheit ganz besonders wichtig ist, zu wissen, was ein Programm wirklich tut. Ob es zum Beispiel im Hintergrund Nachrichten an den Hersteller schickt oder ob es überhaupt fehlerfrei funktioniert. Es selbst vertraut daher nur Programme, in die er und viele andere Sicherheitsexperten auf der ganzen Welt hineinschauen können. Open-Source-Software sei daher in sicherheitsrelevanten Bereichen die erste Wahl.

Wegen des großen Interesses auch an ganz praktischen Lösungen und Anleitungen versucht die FLOSS-Initiative einen zweiten Vortragsabend zu organisieren, bei dem die Installation und Nutzung von Verschlüsselungsprogrammen wie PGP oder TrueCrypt (zur Datenverschlüsselung auf der Festplatte) im Einzelnen vorgestellt werden sollen. Der Termin wird rechtzeitig bekannt gegeben.

In den Verweisen unten finden Sie die Vortragsskripte des Abends.