Julian Backes, Sven Eichler
Rz. 282
In den folgenden Ausführungen führen wir wichtige Begriffe wie Datensicherheit, Integrität, Authentizität und Datenschutz ein. Da deren Abgrenzung voneinander sehr fein ist und sie sich auch teilweise überlappen, konkretisieren wir alle Begrifflichkeiten und geben anschauliche Beispiele. Weiter stellen wir die wichtigsten kryptografischen Verfahren vor.
Rz. 283
Der zentrale Begriff ist Datensicherheit. Er wird heutzutage an vielen Stellen verwendet, jedoch bleibt er meistens nicht erklärt. Datensicherheit umfasst die Begriffe Datenschutz, Datenintegrität und Datenauthentizität. Erst wenn diese drei Eigenschaften erfüllt sind, kann man von Datensicherheit sprechen.
Rz. 284
▓ Datenintegrität
Integrität sagt, dass etwas nicht verändert worden ist, also dass etwas integer ist. Wenn auch nur unbewusst, kommen wir mit dem Konzept der Datenintegrität täglich vielfach in Berührung, sogar bei diesem Buch, das Sie in Ihren Händen halten: Bücher werden eindeutig durch ihre ISBN-Nummer identifiziert. Die letzte Ziffer der ISBN-Nummer ist eine sogenannte Prüfsumme. Sollten sich Tippfehler oder Zahlendreher in eine ISBN eingeschlichen haben, so passt die Prüfsumme nicht mehr. Somit kann der Fehler erkannt werden.
Auch von digitalen Daten wird die Datenintegrität durch spezielle Prüfsummen sichergestellt. Daten werden als integer bezeichnet, wenn sie sich seit der Erstellung der Prüfsumme nicht mehr geändert haben. Haben sich die Daten doch geändert, passt die Prüfsumme nicht mehr.
Wichtig ist, dass eine Prüfsumme lediglich die Unversehrtheit von Daten sicherstellt, über deren Herkunft jedoch keine Aussage trifft. Insbesondere kann jeder veränderte Daten mit einer dazu passenden Prüfsumme versehen. Datenintegrität alleine ist daher nur sinnvoll, wenn ausschließlich unbewusste Veränderungen wie bspw. Übertragungsfehler abgefangen werden sollen.
Rz. 285
▓ Datenauthentizität
Authentizität sagt, dass der Ursprung einer Sache nachprüfbar ist. Wie auch bei der Integrität, kommen wir mit der Fragestellung der Authentizität bereits im täglichen Leben in Berührung. Kaufen wir bspw. mit unserer EC-Karte ein, so müssen wir oft auf der Rechnung unterschreiben. Diese Unterschrift sichert dem Verkäufer zu, dass wir mit dem Einzug des Rechnungsbetrags von unserem Konto einverstanden sind. Um sicherzustellen, dass wir auch tatsächlich der Besitzer der Karte bzw. des entsprechenden Kontos sind, vergleicht der Verkäufer die Unterschrift auf der Rechnung mit der Unterschrift auf der EC-Karte: Er überprüft, ob die Unterschrift auf der Rechnung authentisch ist.
In der Praxis hat Datenauthentizität ohne Datenintegrität allerdings keine Aussagekraft: Erreicht uns eine E-Mail, bei der zwar der Absender bekannt ist, der Inhalt jedoch nur in Bruchstücken vorliegt, wissen wir nicht, was der Absender uns mitteilen wollte.
Daher wird Datenauthentizität durch eine Kombination von Prüfsummen und sogenannten digitalen Zertifikaten sichergestellt. Die Zertifikate erfüllen dabei die Aufgabe des Unterschriftenvergleichs.
Rz. 286
▓ Datenschutz
Von den drei Teilgebieten der Datensicherheit ist der Datenschutz der am weitesten im Alltag verbreitete. So manche Menschen vollführen beim Bezahlen mit der EC-Karte akrobatische Meisterleistungen, um zu verhindern, dass Dritte die PIN beim Eintippen ins Tastenfeld mitlesen können.
Um digitale Daten zu schützen, bedient man sich sogenannter Verschlüsselungsverfahren. Mit modernen Verschlüsselungsverfahren kann man selbst große Datenmengen in kurzer Zeit vor dem Zugriff Dritter wirksam schützen.
Wichtig ist, dass das Verschlüsseln alleine weder die Integrität noch die Authentizität sicherstellt.
Rz. 287
▓ Kerckhoffs'sches Prinzip
Der Kerngedanke des Kerckhoffs'schen Prinzips ist, dass die Sicherheit eines Systems oder eines Verfahrens nicht auf der Geheimhaltung des Verfahrens selbst beruhen darf. Offene Verfahren können von Experten durchleuchtet werden. Getreu dem Motto "Viele Augen sehen mehr als zwei" werden somit Schwachstellen in einem System leichter gefunden. Das Kerckhoffs'sche Prinzip bildet die Grundlage der modernen Kryptographie.
Heutzutage werden relevante kryptografische Verfahren weltweit ausgeschrieben und einer jahrelangen Prüfung unterzogen. An der Prüfung können sich weltweit Kryptografieexperten und Laien gleichermaßen beteiligen. Nur Verfahren, die dieser Prüfung standhalten, werden in entsprechende Standards und Empfehlungen aufgenommen.
Rz. 288
▓ Kryptografische Verfahren für Datensicherheit
Prinzipiell gilt, dass die Sicherheit von kryptografischen Verfahren nicht absolut ist. Sie hängt von dem Verfahren selbst und von dem sogenannten Sicherheitsparameter ab.
Der Sicherheitsparameter ist eine Größe eines Systems oder Verfahrens und gibt an, wie sicher ein Verfahren heute ist. Vergleichbar ist der Sicherheitsparameter mit der Sicherheitsstufe von Fahrrad- oder Vorhängeschlössern. So kann eine niedrige Sicherheitsstufe bei einem Fahrradschloss bedeuten, dass man das Schloss mit einem Bolzenschneider in nic...