grafik psw group
In Rekordzeit hat das Internet unsere Art zu kommunizieren revolutioniert: Wir mailen und chatten, wir shoppen, erledigen Bankgeschäfte oder auch Behördengänge online. Kommunikation im Internet basiert jedoch auf Vertrauen: Vertrauen darauf, dass sich die Kommunikationsteilnehmer über die gegenseitige Identität im Klaren sind und darauf, dass Unbefugten Einblick in die Kommunikation verwehrt bleibt.
Beide Risiken werden mithilfe von SSL-Zertifikaten gemindert: Der Kommunikationspartner wird identifiziert und die gesendeten Daten (Bytes) werden verschlüsselt. SSL-Zertifikate verschlüsseln den Datenstrom zwischen Webseiten und Webservern, finden aber auch im E-Mail-Verkehr Anwendung. Ausgestellt werden sie von Zertifizierungsstellen (CAs) – sie verbriefen die Identität der Zertifikatsinhaber, etwa Webseitenbetreiber, und sichern die Kommunikation effizient ab.
Die PSW GROUP (www.psw-group.de), Full-Service Internetprovider mit Schwerpunkt auf IT-Sicherheit, hat Melih Abdulhayoglu, Geschäftsführer der Comodo Group, Inc., zum Interview gebeten. Dazu Christian Heutger, Geschäftsführer der PSW GROUP: »Comodo gehört zu den Pionieren der Verschlüsselung beziehungsweise der Zertifizierungsstellen. Dieser CA haben wir nicht nur SSL-Zertifikate zu verdanken, sondern auch diverse Engagements die Sicherheit im Web betreffend. Deshalb bin ich ganz besonders stolz, dass sich Melih Abdulhayoglu ganz offen unseren Fragen gestellt hat.«
PSW GROUP: Was ist im Jahr 2016 die größte Herausforderung in der Verschlüsselung?
Melih Abdulhayoglu: Entschlüsselung! Insbesondere in Verbindung mit der Glaubwürdigkeit in Verschlüsselung. Angesichts dessen, was zwischen Apple und der US-Regierung geschieht, müssen wir Vertrauen in die Verschlüsselung gewährleisten und Verschlüsselung nicht mit einfacher Entschlüsselung gleichsetzen.
Wie stehen Sie zu der Initiative Let´s Encrypt?
Analysieren wir, was die Initiative bringt:
- a) kostenfreie 90-Tage-Zertifikate
- b) Automatisierte Zertifikatsbeschaffung
Zu a), den kostenfreien Zertifikaten mit 90 Tagen Laufzeit: Comodo gibt bereits seit mehr als sieben Jahren kostenfreie 90-Tage-Zertifikate aus (lacht) und da sind auch noch genügend andere CAs, die kostenfrei Zertifikate ausstellen. Wir begrüßen es, dass Let´s Encrypt unser Geschäftsmodell mit den 90-Tage-Zertifikaten kopiert. Ich meine, sie könnten sich auch für 30 Tage oder für Eintageszertifikate entscheiden, aber wir freuen uns, dass sie unserem Comodo-Weg folgen und kostenfreie Zertifikate für 90 Tage ausstellen. Ein Angebot, das Comodo vor sieben Jahren eingeführt hat.
Zu b), den automatisch generierten Zertifikaten: Die größten Nutzer von Zertifikaten sind Webhoster und CDNs. Beide erfreuen sich bereits an entsprechenden Tools in ihren bestehenden Control Panels. Daher wird die Benutzung des Tools für die Mehrheit des Marktes umstritten; es gibt bessere Alternativen. Die Hauptnutznießer von LE scheinen die CDNs zu sein, und die sind glücklich, einen Zugang zu »billigeren« Zertifikaten zu haben als Jahr für Jahr Millionen von Dollar in eine PKI-Infrastruktur zu investieren; und natürlich würde man erwarten, dass die Nutznießer dieser Dienstleistung die Zeche zahlen.
Eines der Probleme bei Let´s Encrypt wird der Betrug sein. Weil es bei Let´s Encrypt keine Möglichkeit gibt die ausgestellten Zertifikate zu widerrufen, können betrügerische Seiten während der Zertifikatslaufzeit mit einem validem Zertifikat versehen sein und somit Schaden anrichten.
Vielfach ist in Internetforen, in Blogs oder anderen Medien zu lesen, SSL-Zertifikate sollten kostenfrei ausgestellt werden; Validierungsstufen seien lediglich der Versuch von Zertifizierungsstellen, Geld zu kassieren. Wie begegnen Sie diesem Vorwurf?
Bildung beziehungsweise Aufklärung ist hier ein wichtiger Aspekt. Es stellt sich doch folgende Frage: »Warum sollte man etwas verschlüsseln, wenn man nicht weiß, vor wem man verschlüsselt?« Stellen Sie sich vor, Sie würden Daten für die Person verschlüsseln, die Sie eigentlich meiden möchten. Verschlüsselung ohne Authentifizierung (also Authentifizierung der Endeinheit) ist unbrauchbar! Nutzlos deshalb, weil Sie keine Ahnung haben, wer Ihre Daten am anderen Ende empfängt. Dies ist ein sehr komplexes Thema, und um das zu begreifen, braucht es Aufklärung.
Wieso lassen sich Ihrer Meinung nach verhältnismäßig wenige Menschen und Unternehmen auf Verschlüsselung ein? Was muss sich ändern, damit Verschlüsselung endlich massentauglich wird?
Technologie wird zuerst da angenommen, wo die Verwundbarkeit am höchsten ist. Wir alle kennen diese »Oh nein!«-Momente. Dann versuchen wir, die Verwundbarkeit mit dem Verbasteln von Sicherheit zu reduzieren. Wir bauen auf mehr Vertrauen im Internet und leiden unter diesen »Oh nein!«-Momenten, wir möchten die Sicherheit und Verschlüsselung weiterhin erhöhen. Das erscheint seltsam. Die Verschlüsselung muss doch in die Struktur des Internets integriert und nicht nachträglich drumherum und drüber gebaut werden.
Ist Verschlüsselung Ihrer Meinung nach Aufgabe der Politik, der Wirtschaft oder des Verbrauchers?
Siehe Antwort drei: es braucht Aufklärung.
Wie schätzen Sie die Probleme ein, die in der Wirtschaft durch unverschlüsselte Kommunikation entstehen?
Die unverschlüsselte Kommunikation verursacht noch nicht genügend Bauchschmerzen (lacht). Ich frage die Leute immer folgendes: Wie viel Prozent Ihrer E-Mails sollten verschlüsselt sein? – Sie sagen: nicht viele, ich habe nicht so viele vertrauliche Dinge zu kommunizieren. Dann stelle ich eine weitere Frage: Wie viel Prozent Ihrer E-Mails würden Sie öffentlich machen? Und die Menschen antworten: null. Dann erinnere ich sie: Sie haben erst gesagt, Sie möchten nicht all Ihre E-Mails verschlüsseln … aber im nächsten Atemzug haben Sie gesagt, Sie möchten keine Ihrer E-Mails veröffentlichen. Dann lächeln Sie … und haben es verstanden.