Skip to content

Drucksache: Entwickler Magazin Spezial Vol. 16: Security

Ich hatte die Ehre, für das Entwickler Magazin Spezial Vol. 16: Security das Editorial zu schreiben, dass Sie auf der Seite zum Magazin auch online lesen können. Außerdem sind 2 Artikel von mir im Magazin enthalten.

Update
Das Editorial ist nun auch in einer längeren Fassung auf entwickler.de zu lesen.
Endes des Updates

Ein schmaler Grat

Welche Kryptoverfahren sollte man verwenden bzw. meiden?

Der erste Artikel ist ein Überblick über den aktuellen Stand der Sicherheit in der Kryptographie: Welche Kryptoverfahren sollte man verwenden bzw. meiden?

Die Auswahl an Krypto-Verfahren ist, sofern man sich auf bekannte Algorithmen beschränkt, recht übersichtlich. Einige dieser bekannten Algorithmen sollte man inzwischen aber nicht mehr verwenden, da sie inzwischen gebrochen wurden. Und dann gibt es da noch einige weitere Punkte zu beachten...

Krypto-Verfahren sind nicht für die Ewigkeit gemacht. Irgendwann findet jemand einen Weg, um sie auszuhebeln. Oder die Rechenleistung aktueller Computer ist groß genug, um ursprünglich unberechenbar erscheinende Probleme doch zu lösen.

Eine Verschlüsselung ist daher nur ein Zeitschloss, irgend wann kann sie gebrochen werden. Und das gleiche gilt sinngemäß auch für alle anderen Anwendungen von Kryptografie. Weshalb z.B. die Vorgaben der Bundesnetzagentur für die qualifizierte digitale Signatur jährlich an die aktuelle Entwicklung angepasst werden. Ehemals sichere Algorithmen und Schlüssellängen werden gestrichen, neue kommen dazu.

Daher ist es wichtig, die von eigenen Projekten genutzten Kryptoverfahren und Parameter regelmäßig, z.B. jährlich, auf ihre Sicherheit zu prüfen. Und ggf. auch außer der Reihe auf aktuelle Entwicklungen wie z.B. SHAttered zu reagieren. Wann haben Sie das letzte Mal die Sicherheit der von Ihnen verwendeten Kryptoverfahren und ihrer Parameter geprüft?

Und hier noch die Links und Literaturverweise aus dem Artikel:

Wenn das IoT ins Haus einzieht…

Heimautomation und Security

Der zweiter Artikel betrachtet die Sicherheit der Heimautomation. Oder besser: Deren Unsicherheit, denn sicher ist da leider wohl nur, dass sie unsicher ist.

Das IoT für „Internet of Things“ steht ist zumindest die offizielle Erklärung. Es gibt aber auch noch andere Erklärungsmöglichkeiten. Aus Sicherheitssicht ist das zum Beispiel ein „Internet of Targets“. Denn so unsicher, wie viele dieser „Things“ sind, stellen sie für alle möglichen Angreifer ein verlockendes Ziel dar.

Das Fazit ist eindeutig: Die Geräte des IoT sind gefährdet. Und gefährlich, wenn sie in falsche Hände fallen.

Da man als Benutzer kaum etwas tun kann, um eine gefährdetes IoT-Gerät zu schützen, sind die Hersteller gefordert: Sie müssen ihre Geräte sicher entwickeln und auch nach dem Verkauf durch die Korrektur von Schwachstellen vor Angriffen schützen.

Mit Belkin und Philips habe ich zwei Beispiele für hinsichtlich der Sicherheit sehr aktive Hersteller ausgewählt. Beide geben sich große Mühe, ihre Geräte sicher zu machen. Beide sind dabei auch recht erfolgreich, und trotzdem gibt es immer wieder Schwachstellen. Die aber wenigstens behoben werden, und das meist recht zügig. Andere Hersteller sehen das alles deutlich lockerer.

Tun die Hersteller nichts, bleibt eigentlich nur ein Schluss: Am besten vergessen wir das mit den intelligenten und vernetzten Geräten, bis die Hersteller sich dazu durchgerungen haben, sie sicher zu machen.

Denn außer „nicht nutzen“ gibt es für die Benutzer kaum eine Möglichkeit, um die Sicherheit eines gefährdeten IoT-Geräts zu erhöhen. Bei nur über das Netzwerk ausnutzbaren Schwachstellen könnte man auf die Verbindung mit dem Netzwerk verzichten, aber was soll man mit einem IoT-Gerät ohne I? Das läuft doch dann eigentlich auch auf „nicht nutzen“ hinaus.

Und hier noch die Links und Literaturverweise aus dem Artikel:

Carsten Eilers

>
        </div>
                
        <footer class= Kategorien: Drucksache | 0 Kommentare

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!