No security by obscurity!

«No security by obscurity» ist ein wichtiger Grundsatz in der modernen Kryptographie, der auf einer bereits 1883 publizierten Arbeit des niederländischen Linguisten und Kryptologen Auguste Kerckhoffs basiert. Die Aussage «Keine Sicherheit durch Verschleierung» besagt, dass die Sicherheit eines Verschlüsselungsverfahrens besser auf der Geheimhaltung des Schlüssels beruht anstelle auf der Geheimhaltung des Verschlüsselungsalgorithmus. So ist es bekanntermassen einfacher, einen Schlüssel (ein langes Passwort) geheim zu halten als einen Algorithmus (ein kurzes Computer-Programm). Und falls der Schlüssel doch einmal in falsche Hände geraten sollte, kann er einfacher durch einen neuen Schlüssel ersetzt werden als dass ein Algorithmus neu programmiert wird. Der transparente Quellcode eines Algorithmus hat ausserdem den Vorteil, dass Fachleute besser Fehler und Schwachstellen identifizieren können. Damit wird auch die Gefahr minimiert, dass jemand eine versteckte Hintertür («Backdoor») einbauen kann.

Nach diesem Transparenz-Prinzip «No security by obscurity» sind alle modernen asymmetrische Kryptosysteme (Public Key-Verschlüsselungsverfahren, Public Key-Authentifizierung, digitale Signaturen) entwickelt, die heute überall in der Informatik angewendet werden: Verschlüsselung von Emails, sichere Kommunikation im Webbrowser (mittels HTTPS – Hypertext Transfer Protocol Secure), signierte PDFs, Kryptowährungen wie Bitcoin und andere Blockchain-Anwendungen, usw. Bei all diesen Verfahren ist der Quellcode der Verschlüsselungsverfahren zwar offen zugänglich, aber der eigentliche Schlüssel (das Passwort) bleibt geheim.

Neben diesen technischen Grundlagen ist aber auch immer der «Faktor Mensch» entscheidend, ob die Sicherheit im Unternehmen und bei Behörden gewährleistet ist oder nicht. So zeigen die spannenden Beiträge dieser neuen FOCUS-Ausgabe, dass alle technischen Massnahmen nichts nützen, wenn die Mitarbeitenden nicht genügend zu IT-Security ausgebildet und auf aktuelle Gefahren sensibilisiert sind (siehe Seite 9: «Warum technische Massnahmen alleine nicht ausreichen, um die IT-Sicherheit meines Unternehmens zu gewährleisten»). Auch ist es entscheidend zu verstehen, wie die Dynamik des Darknet funktioniert, was böswillige Hacker antreibt und welche Gegenmassnahmen möglich sind (siehe Seite 13: «Grüsse aus dem Darknet von ‹Petya›, ‹WannaCry› und Co.»). Ein praktisches Beispiel, wie offene Standards in Sicherheits-Systemen einen Mehrwert schaffen und Herstellerabhängigkeiten reduzieren, zeigt die Schaffung einer Interessensgemeinschaft von Offline-RFID Endanwendern (siehe Seite 28: «Zutrittssysteme: Ein Offline-Zutritts-Standard ist gefordert»). Zahlreiche weitere Beiträge des vorliegenden FOCUS behandeln ausserdem die neuen Entwicklungen beim Datenschutz, insbesondere der neuen EU Datenschutzgrundverordnung (DSGVO, siehe Seiten 5 «Ein Überblick über die laufenden Datenschutzrevisionen in Europa und der Schweiz» und Seite 7 «Handlungsbedarf für Schweizer Firmen und Organisationen».)

Die DSGVO war auch an der diesjährigen tcbe.ch Generalversammlung ein wichtiges Thema, als Dr. Monique Sturny von Walder Wyss AG die Auswirkungen der neuen EU-Gesetzgebung auf Schweizer Unternehmen aufzeigte. Daneben lief viel beim tcbe.ch in den letzten 12 Monaten: wir führten einen Abendanlass zu Smart City und Open Government im September 2017 durch, veranstalteten einen Event zum Internet der Dinge im Oktober 2017, feierten im November 2017 das 20-jährige Jubiläum des tcbe.ch und starteten mit Scratch-Programmierkursen für Kinder und Jugendliche ins 2018. Auch bereits im aktuellen Jahr führten wir einen Abendanlass zur Rolle des Menschen in der Digitalisierung durch und organisierten um 7 Uhr früh den ersten Digital Morning zum Thema Augmented und Virtual Reality im Bauwesen.

Als Präsident des tcbe.ch freut es mich, nun mit 14 Kolleginnen und Kollegen im Vorstand und insbesondere mit Rebeca Sanchez als neue Office Managerin die Zukunft des tcbe.ch zu gestalten. Bald schon werden wir diesbezüglich ein neues Kapitel beginnen: Wie bereits an der diesjährigen Generalversammlung angetönt, wollen wir uns als tcbe.ch einen neuen, zeitgemässen Namen und einen komplett überarbeiteten visuellen Auftritt geben. Wir freuen uns deshalb, Ihnen am diesjährigen Digitaltag am Donnerstag, 25. Oktober 2018 den neuen Namen inklusive Logo und Website vorzustellen – die Einladung folgt!

Hinterlassen Sie eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

HTML-Tags sind nicht erlaubt.