Kryptografie-Experte Istvan Lam: Was ist Zero-Knowledge?

Wann immer wir Online-Diensten unsere Daten anvertrauen, sind wir der Gefahr des Missbrauchs ausgesetzt. Wie lässt sich wirklich sicherstellen, dass die Daten geschützt sind? Ein Gastbeitrag.

Istvan Lam

10.09.2016 - 17:41 Uhr

Artikel anhören

Während des Studiums war der Kryptografie-Experte so unzufrieden mit der Sicherheit zahlreicher Cloud-Speicher-Lösungen, dass er mit der Entwicklung seiner eigenen Verschlüsselungstechnologie begann und das Unternehmen Tresorit gründete.

(Quelle: PR)

Foto: Handelsblatt

Zürich/Budapest. Die Enthüllungen zum Ausmaß der Überwachung durch die NSA sorgten in den letzten Jahren für ein großes Umdenken im Umgang mit digitalen Medien. Inzwischen sorgen sich 92 Prozent der Deutschen um die Privatsphäre ihrer Onlinedaten. Mit der voranschreitenden Digitalisierung der Unternehmen liegen auch immer mehr sensible geschäftliche Informationen auf Servern von Cloud-Anbietern. Im Falle einer Datenpanne drohen sowohl rechtliche Schritte von Kunden, empfindliche Vertragsstrafen als auch Industriespionage.

Die Schwarzmarkt-Preise der Hacker

Kreditkarteninformationen

Vollständige Kreditkartendatensätze gibt es laut dem IT-Sicherheitsdienstleister Symantec im untersuchten Zeitraum von 2009 bis 2010 ab sieben Cent auf Untergrund-Servern von Cyber-Kriminellen. Dabei war die Preisspanne groß. Die Preise für einen Datensatz bewegten laut Symantec sich zwischen sieben Cent und 100 Dollar. Der Handel mit Kreditkartenssätzen macht sind waren im Untersuchungszeitraum von 2009 bis 2010 die am häufigsten illegal angebotenen Daten. 2009 waren 19 Prozent der illegalen Angebote in den Hacker-Foren Kreditkartensätze, 2010 waren es 22 Prozent.

Online-Banking-Zugänge

Auch der Handel mit Online-Banking-Zugängen spielt eine wichtige Rolle: 16 Prozent der gehandelten Daten waren 2010 Zugangsdaten zu Banking-Accounts, ein Jahr zuvor waren es sogar 19 Prozent. Die Datensätze wurden im Schnitt zu deutlich höheren Preisen angeboten als die Kreditkarteninformationen. 10 bis 900 Dollar erzielt Symantec zufolge ein Datensatz auf dem Schwarzmarkt.

E-Mail-Accounts

Der Zugang zu E-Mail-Account wurden mit Preisen zwischen einem und 18 Dollar gehandelt. 2009 bezogen sich sieben Prozent der illegalen Angebote auf E-Mail-Accounts, 2010 waren es zehn Prozent.

Attack-Programme

Programme zum Attackieren von Websites spielten 2009 noch kaum eine Rolle auf dem Schwarzmarkt: nur zwei Prozent der Angebote bezogen sich darauf. 2010 waren es aber schon sieben Prozent. Die Programme wurden für fünf bis 650 Dollar gehandelt.

E-Mail-Adressen

E-Mail-Adressen zum Versenden unerwünschter Werbung (Spam) sind in Hacker-Foren Dutzendware: Der Preis für E-Mail-Adressen berechnet sich pro Megabyte an Daten. Ein Megabyte enthält Zehntausende E-Mail-Adressen. Für ein Megabyte an Adressdaten zahlten Spammer in Hacker-Foren zwischen einem Dollar und 20 Dollar. 2009 bezogen sich sieben Prozent der Angebote in den Hacker-Foren auf E-Mail-Adress-Listen, 2010 waren es fünf Prozent.

Gefälschte Kreditkarten

Falsche Kreditkarten mit echten Personen-Daten, sogenannte Credit Card Dumps, gibt es Symantec zufolge schon ab 50 Cent zu kaufen. Die teuersten Karten gingen für 120 Dollar pro Stück über den virtuellen Tresen. Das Angebot an gefälschten Kreditkarten ist von 2008 auf 2009 kräftig gewachsen: von zwei auf fünf Prozent der gehandelten Waren. 2010 hielt blieb der Wert bei fünf Prozent stabil.

Komplette Identitäten

Name, Adresse, Geburtstag, Kontoverbindung - solche kompletten Datensätzen einer Person lassen sich von Cyber-Kriminellen beispielsweise für Bestellungen missbrauchen, die nie bezahlt werden. Vollständige Identitäten können die Betrüger in Hacker-Foren kaufen - laut Symantec schon ab 70 Cent. Die teuersten Datensätze wurden für 20 Dollar gehandelt. Das Angebot stieg von 2008 auf 2009 von vier auf fünf Prozent der gehandelten Daten.

Shell-Skripte

Shell-Skripte sind einfache Programme, die bestimmte Aufgaben erledigen. Auch sie können zum Hacken genutzt werden, beispielsweise, indem ein Shell-Programm sämtliche Wörter eines Wörterbuchs als Passwort ausprobiert. Für die kleinen Programme wollten Hacker zwischen zwei und sieben Doller haben. Das Angebot an Shell-Skripten ging von 2009 auf 2010 zurück: von sechs auf vier Prozent der gehandelten Waren.Die vollständige Liste finden Sie unter www.symantec.com.

Trotzdem verschlüsseln bisher nur 42 Prozent der Firmen Ihre Cloud-Daten, obwohl die Mehrheit die Verschlüsselung von Daten für wichtig hält. Ein Grund für die Zurückhaltung in der praktischen Umsetzung könnte die Unsicherheit darüber sein, welche Art der Verschlüsselung überhaupt den geeigneten Schutz bietet. Die Stichwörter "End-to-End-Verschlüsselung" und "Zero-Knowledge" fallen in diesem Zusammenhang immer häufiger - doch was steht hinter diesen Begriffen?

Transparente Zahlen zur Häufigkeit staatlicher Datenabfragen und Hackerangriffen gibt es kaum. Hacks müssen den Nutzern abhängig von der Rechtslage des jeweiligen Landes nicht zwingend mitgeteilt werden. Und staatliche Eingriffe dürfen den betroffenen Nutzern nicht immer kommuniziert werden. Dienste wie beispielsweise Twitter und Microsoft klagten deswegen gegen die US-Regierung. Die IT-Industrie reagiert inzwischen auf die komplizierte Rechtssituation mit End-to-End-Verschlüsselung, jüngst sogar WhatsApp und bald auch Facebook. Ein Schritt in die richtige Richtung, doch um optimalen Datenschutz zu gewährleisten, muss noch weitergedacht werden.

Die End-to-End-Verschlüsselung stellt sicher, dass Dateien oder Nachrichten auf dem eigenen Computer oder Smartphone verschlüsselt werden und den Server nur in verschlüsselter Form erreichen. Wird ein starker AES256-Algorithmus verwendet, ist solch eine Verschlüsselung mit den heute verfügbaren Rechenkapazitäten nicht zu knacken. Gleichzeitig wird jedoch bei vielen Anbietern eine Kopie des Verschlüsselungspassworts auf denselben Servern hinterlegt, was die Instandhaltung des Angebots für den Anbieter erleichtert, allerdings auf Kosten der Sicherheit gehen kann.

Vergleichbar ist diese Anstrengung mit der Investition in aufwändige Sicherheitsschlösser in einem Hotel, in welchem allerdings an der Rezeption stets ein Ersatzschlüssel für die Mitarbeiter bereitliegt. Hier kommt Zero-Knowledge ins Spiel. Wird das End-to-End-Verfahren nach dem Zero-Knowledge-Standard konsequent zu Ende gedacht, gibt es keine Schlüsselkopie, nur der Hotelgast beziehungsweise der Nutzer kann das Schloss öffnen.

End-to-End-Verschlüsselung mit Zero-Knowledge-Methode.

(Quelle: Tresorit)

Foto: Handelsblatt

Wie die Hacker zum Ziel kommen

Eine einzige Schwachstelle reicht

Wenn kriminelle Angreifer in ein Computersystem eindringen wollen, haben sie einen Vorteil: Sie müssen womöglich nur eine einzige Schwachstelle finden, um einen Rechner zu kompromittieren. Einige ausgewählte Angriffsmethoden.

Verspätetes Update

Es gibt praktisch keine fehlerlose Software – wenn Sicherheitslücken entdeckt werden, sollte sie der Hersteller mit einem Update schließen. Viele Firmen lassen sich jedoch Zeit, diese zu installieren und öffnen Angreifern somit Tür und Tor.

Angriff auf die Neugier

Der Mensch ist neugierig - das machen sich kriminelle Hacker zunutze: Sie verfassen fingierte E-Mails, die wichtige Dokumente oder ein lustiges Video versprechen, aber nebenbei die Zugangsdaten eines Mitarbeiters stehlen. Phishing wird diese Methode genannt.

Gutgläubigkeit als Einfallstor

„Hier ist die IT-Abteilung. Wir brauchen mal Ihr Passwort“: Nicht selten gelangen Angreifer mit einem dreisten Anruf an die Zugangsdaten eines Mitarbeiters. Wer gutgläubig ist, fällt auf diese Masche rein – obwohl die IT-Fachleute aus dem eigenen Haus nie so eine Frage stellen würden.

Ein Passwort, das nicht sicher ist

Ob Router oder Drucker: Viele Geräte werden mit einem Standardpasswort ausgeliefert. Wenn die IT-Abteilung es nicht verändert, haben Angreifer leichtes Spiel. „Die Handbücher mit dem Passwort stehen oft im Internet“, sagt Joachim Müller, Chef für IT-Sicherheit beim Dienstleister Ceyoniq Consulting.

Ein schwaches Glied

Angreifer suchen das schwächste Glied in der Kette, häufig alte Systeme. Zudem kennen professionelle Angreifer – neben Kriminellen auch Geheimdienste – oft Sicherheitslücken, die den Herstellern der Software noch nicht bekannt sind. Gegen solche Zero-Day-Exploits kann man sich kaum schützen.

So kann der Anbieter sicherstellen, dass Mitarbeiterfehler ausgeschlossen und Diebstähle die Privatsphäre des Kunden nicht gefährden können. Die Schwierigkeit für Onlineservices ist es nun, dieses einfache Praxis-Beispiel auf wesentlich komplexere IT-Systeme zu übertragen und damit Zero-Knowledge zu gewährleisten. Der Kunde muss sich ins System einloggen können, ohne dass der verifizierende Anbieter das Passwort kennt. Dafür wird das "private" Passwort des Kunden mathematisch an das "public" Passwort des Prüfers gekoppelt. Aus dem privaten Passwort lässt sich leicht das öffentliche Passwort generieren, aber nicht umgekehrt. Auf diese Weise weiß der Anbieter das private Passwort des Nutzers nicht und kann trotzdem die Nutzungsberechtigung verifizieren. Der Serviceanbieter hat damit "Null Wissen" über das private Passwort, was es auch Dritten enorm erschwert, Zugang zu vertraulichen Informationen zu erhalten.

Solch ein umständliches Zero-Knowledge-Verfahren ist besonders für Branchen, die sich aufgrund ihrer sensiblen Daten keine Fehler leisten können, wichtig. Etwa Gesundheits- und Finanzdienstleister, Juristen, Journalisten und Menschenrechtsorganisationen tragen große Verantwortung für streng vertrauliche Informationen. Und auch Privatnutzer müssen ihre eigenen Daten sicher verwalten. Zero-Knowledge schützt die Daten, sobald sie das Endgerät in Richtung Cloud verlassen, Nutzer müssen ihr Passwort und das Gerät trotzdem zusätzlich sichern. Ähnlich wie beim Auto, wo neben dem ABS-System auch Airbags und Sitzgurte nötig sind, sollten Virenschutzprogramme, starke Passwörter, Zwei-Stufen-Verifizierung und Festplattenverschlüsselung eine Selbstverständlichkeit für jeden Nutzer sein.

Verwandte Themen

Fazit: Mit Zero-Knowledge rechtliche Unsicherheit technisch lösen

Im Zeitalter von Big Data haben Nutzer kaum noch Kontrolle über ihre eigenen Daten. Neben Werbetreibenden und Forschern schöpfen auch Hacker und Massenüberwachung in diesem riesigen Datenpool aus dem Vollen. Trotz Privacy Shield und Fortschritten mit der EU-Datenschutzgrundverordnung ist ein international einheitliches und nutzerorientiertes Datenschutzrecht derzeit kaum absehbar. Verschlüsselung ist daher die beste Möglichkeit, der komplizierten Situation schon jetzt technisch Herr zu werden und die Datenhoheit an den Nutzer zurückzugeben. Zero-Knowledge ist die konsequenteste Art, dies umzusetzen. In der wachsenden Nachfrage nach Zero-Knowledge-Lösungen steckt daher großes Potential für die Zukunft der digitalen Privatsphäre.

Über den Autor

Bereits während des Studiums war der Kryptografie-Experte Istvan Lam so unzufrieden mit der Sicherheit zahlreicher Cloud-Speicher-Lösungen, dass er mit der Entwicklung seiner eigenen Verschlüsselungstechnologie begann und das Unternehmen Tresorit gründete. Inzwischen gilt Tresorit dank End-to-End-Verschlüsselung und Schweizer Datenschutz als einer der sichersten Anbieter am Markt, um Dateien online zu speichern und gemeinsam zu bearbeiten. Tresorit-CEO Istvan Lam wurde daher vor kurzem vom Forbes-Magazin als europäisches Technologietalent auf die Liste der "30 under 30" aufgenommen.