Pressemitteilungen

Meinungen von Sachverständigen

Augen auf bei der Datenverschlüsselung

Eine zentrale Datenverschlüsselung ist mit großen Risiken verbunden. Der Bundesfachbereich Elektrotechnik und Informationstechnik im BVS (Bundesverband öffentlich bestellter und vereidigter sowie qualifizierter Sachverständiger e.V.) sieht die Gefahr für Datenklau, -missbrauch und -manipulation, weil eine zentrale Verschlüsselung nach Ansicht der öffentlich bestellten und vereidigten Sachverständigen zu risikoreich ist.

Nichts in der Welt ist sicher – außer dem Tod und den Steuern. Auch wenn das aufblühende 18. Jahrhundert, in dem Benjamin Franklin, Urheber des Zitates, geboren wurde, weder PC´s noch Datensicherung kannte, so mahnen uns doch die Worte. Das Donnerwetter wird folgen. So jedenfalls sehen es Bernhard Gramberg und Norbert Vogel aus dem BVS-Bundesfachbereich IT. Der Grund? Die elektronische Signatur ist nur dann sicher, wenn eine dezentrale Datenverschlüsselung gesichert ist. Doch nicht alle Behörden folgen dieser Fachmeinung.

Die Sache mit dem Schlüssel…
Eine elektronische Signatur verknüpft elektronische Informationen mit Daten, die den Unterzeichner identifizieren und erfüllt im Prinzip damit den gleichen Zweck wie eine manuelle Unterschrift. Um diese Informationen zu schützen, gibt es Schlüsselsysteme. Zum einen kann man Daten mit einem öffentlichen Schlüssel versehen; zum anderen mit einem privaten Schlüssel. „Den öffentlichen Schlüssel muss man sich wie eine Telefonnummer vorstellen, die im Telefonbuch stehe oder die man privat mitteilt“, erklärt Dipl.-Informatiker Norbert Vogel. „Entsprechend ist dieser allgemein zugänglich. Den privaten Schlüssel hingegen besitze ich ganz allein und gebe diesen auch nicht weg.“

Diese Schlüsselsysteme dienen dem sicheren Datenaustausch. Als Beispiel nennen die beiden EDV-Sachverständigen den Vergleich mit einer Haustür. So haben alle Besitzer einen gleichen Haustürschlüssel und können in das Wohnhaus (öffentlicher Schlüssel), aber jede Wohnung lässt sich nur wiederum mit dem individuellen Schlüssel öffnen (privater Schlüssel). Als Wohnungseigentümer kann man also selbst bestimmen, wen man hineinbittet. Vorsicht ist geboten, wenn diese privaten Wohnungsschlüssel bei der Datenübermittlung an zentraler Stellte verwaltet werden sollen, so wie es in manchen Bereichen geplant ist.

Symmetrische und asymmetrische Verschlüsselung
Ein Dokument, welches nun beispielsweise versendet werden soll, kann symmetrisch oder asymmetrisch transportiert werden. Symmetrische Wege sind in Programmen wie Winzip, die Dateien zu Päckchen zusammenfassen, oder Acrobat PDF, welche Dokumente in eine einzige PDF-Datei zusammenbinden, realisiert. Hier wird der Inhalt mit einem selbst gewählten Schlüssel (Passwort) versehen, welche dem Empfänger genannt werden muss, damit er den Inhalt lesen kann. Es wird also der „Wohnungsschlüssel“ an den Empfänger gesendet. Die Gefahr besteht, dass Daten (Inhalt und Schlüssel) abgefangen und auf dem Weg zum Empfänger manipuliert werden können. Ebenso ist nicht transparent, wer Absender der übermittelten Daten ist. In dem Moment, in dem die Dokumente „entzippt“ oder aufgemacht werden, „öffne ich die Wohnungstür – und lasse unter Umständen Trojaner, Hacker oder Viren herein“.

Seit ca. 26 Jahren ist die asymmetrische Verschlüsselung beispielsweise in dem Programm PGP als sicheres Verschlüsselungssystem realisiert. Verwendet wird ein Public-Key-Verfahren, die kommunizierenden Parteien haben keinen gemeinsamen Schlüssel. Jeder Benutzer erzeugt sein eigenes Schlüsselpaar, das aus einem privaten Schlüssel und einem öffentlichen Schlüssel besteht. Der öffentliche Schlüssel ermöglicht es jedem, Daten für den Besitzer des privaten Schlüssels zu verschlüsseln, dessen digitale Signaturen zu prüfen oder ihn zu authentifizieren. Der private Schlüssel ermöglicht es ausschließlich dem Besitzer, mit dem öffentlichen Schlüssel verschlüsselte Daten zu entschlüsseln, digitale Signaturen zu erzeugen oder sich zu authentisieren.

Schlüssel werden immer länger und zeitlich begrenzt sicher
„Schlüssel sind sicher auf Zeit“, erklärt Bernhard Gramberg. „Der PIN der alten EC-Karte wurde aus bekannten Daten mit dem DES-Verfahren (56 bit) erzeugt, so sind heute bereits mind. 2.000 bit. erforderlich, um eine Sicherheit zu gewährleisten. Entsprechend werden die Schlüssel immer länger. „Schlüssel sind wie Gold. Nicht umsonst stecken Multimilliarden-Dollar-Konzerne wie Apple oder Yahoo extrem viel Geld in die Sicherungssysteme.“ Norbert Vogel ergänzt: „Hardware kann ausfallen; Software ist von Anfang an kaputt. Und wir erinnern uns an die jüngsten Hacker-Angriffe. Sicherheit ist im Prinzip eine Illusion.“

Zentrale Schlüsselverwaltung: Riskanter Umgang mit sensiblen Daten
Zur Signierung (digitale Signatur) oder auch Übermittelung von Daten und zur Entschlüsselung (im Rahmen des e-Postfaches) sollen künftig beide Schlüssel – der öffentlich und der private – bei bestimmten Institutionen selbst erzeugt und dort aufgehoben werden. „Damit wird praktisch der Wohnungsschlüssel aus der Hand gegeben, in der Hoffnung, dass an zentraler Stelle gut darauf aufgepasst wird“, so Gramberg, öffentlich bestellter und vereidigter Sachverständiger für Computersoftware und Programmiertechnik sowie Bewertung von EDV-Anlagen. „Vom dezentralen Verfahren wird auf das zentrale gewechselt. Das ist nach Meinung der Sachverständigen des Bundesfachbereiches IT ein großes, nicht kalkulierbares Risiko, denn es gibt keinerlei Testverfahren, geschweige denn Praxiserfahrung.“ Ab dem 1. Januar 2018 soll das zentrale Verfahren zum Beispiel für Rechtsanwälte und Notare Praxis sein.

„Wir raten Rechtsanwaltskanzleien stets, die Rechner, auf welchen sensible Daten gespeichert sind, explizit nicht mit einem Internetzugang auszustatten, um Angriffe aus dem Web von vornherein nicht zu riskieren“, erklärt Vogel, öffentlich bestellter und vereidigter Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung, insbesondere Softwaretechnik und Systemmanagement. „Lücken und damit Potential zum Datenmissbrauch werden damit ausgeschlossen.“

Ein bisschen plastischer darf es sein….
Was passiert bei einem Stromausfall? Was, wenn das elektronische Postfach gehackt wird und Daten dort entwendet, vertauscht oder manipuliert werden? „Das ist ein realistisches Szenario, denn Schlüssel werden geknackt oder geklaut. Werden diese noch zentral an einer Stelle zusammen aufgehoben, ist das Risiko umso größer. Hacker waren bei Yahoo eingedrungen, 500 Millionen Konten (http://www.zeit.de/digital/datenschutz/2016-09/hackerangriff-yahoo-kundendaten) waren betroffen, das ist noch nicht so lange her“, betonen Gramberg und Vogel. Was, wenn die 180.000 privaten Schlüssel bei der Notarkammer geklaut werden? „Man sollte ja auch tunlichst nicht die EC-Karte mit der Geheimzahl beschriften,“ so die Meinung der beiden Sachverständigen. Als Königsweg sehen Bernhard Gramberg und Norbert Vogel weiterhin das asymmetrische Verfahren, bei dem der private Schlüssel auch nur privat gespeichert ist.

„Wir als Bundesfachbereich IT im BVS (Bundesverband öffentlich bestellter und vereidigter sowie qualifizierter Sachverständiger e.V.) setzen uns daher für die Aufbewahrung des privaten Schlüssels an dezentraler Stelle ein. Das Schlüsselpaar sollte von jedem Nutzer selbst erzeugt werden und in einem zweiten Schritt entsprechend authentifiziert werden. Die Gefahren, vor allem durch einen unbemerkten Verlust der Daten, sind zu groß: Mails können gelesen werden, sämtlicher Schriftverkehr kann falsch signiert werden, Papierdokumente unrechtmäßig bestätigt, etc. Die Folgen wären nicht absehbar. Dazu kommt noch, dass in einem solchen Falle die Haftung in keiner Weise geklärt ist. Wir halten dies für nicht verantwortbar.“

Noch gibt es kein Donnerwetter in den (Daten-)Clouds, aber ein Blitzableiter, wie Franklin ihn erfunden hat, ist auch nicht in Sicht...

Weitere Informationen unter www.bvs-ev.de

Sachverständigenbüro Gramberg & Vogel
Finkensteinallee 42
12205 Berlin
Tel.: 030-85600970
Mobil: 0176-23329664
Fax.: 030-85600972
www.bvs-ev.de/bundesverband/bundesfachbereiche/elektronik-und-edv/

Bundesverband öffentlich bestellter und vereidigter
sowie qualifizierter Sachverständiger e.V. (BVS)
Willi Schmidbauer, BVS-Präsident
Charlottenstraße 79/80
10117 Berlin
Tel.: 030 255 938-0
Fax: 030 255 938-14
info@remove-this.bvs-ev.de
www.bvs-ev.de