verschlüsselung

Unsere Welt ist vernetzt - und sie vernetzt sich immer mehr. Sicherheit spielt eine zentrale Rolle. Und wenn es um Netzwerk- und Datensicherheit geht taucht schnell das Buzzword Zero Trust auf. Aber was steckt da eigentlich hinter? Und wie kann Zero Trust konkret aussehen. Das ist gar nicht so einfach zu klären. Schauen wir mal, wie das Thema bei der Deutschen Telekom angegangen wird.

Jüngst titelte c't in einer großen Bestandsaufnahme etwas provokant: "So kaputt ist E-Mail!" Wir zählten all die Schwächen auf, die das Kommunikationsmedium auch nach 40 Jahren nicht los geworden ist. Dazu gehört, dass sich immer noch keine Methode durchgesetzt hat, um vertrauliche Inhalte via Mail Ende-zu-Ende-verschlüsselt von A nach B zu schicken. Klar, es gibt OpenPGP und S/MIME. Doch welcher Adressat nutzt das schon? Dabei ist das Bedürfnis groß: Berufgeheimnisträger wie Ärzte, Anwälte oder Journalisten sind darauf angewiesen, dass ihre Kommunikation von niemandem abgehört werden kann. Außerdem verlangt die Datenschutz-Grundverordnung (DSGVO) in Art. 32 geeignete technische und organisatorische Maßnahmen nach Stand der Technik, die die Verarbeitung von personenbezogenen Daten absichern. Dazu gehört eben explizit auch die Verschlüsselung. In Episode 103 des c't-Datenschutz-Podcasts beschäftigen sich Holger und Joerg mit dieser Problematik auf technischer und rechtlicher Ebene. Zur Vertiefung haben sie mit c't-Redakteur Sylvester Tremmel einen Experten eingeladen, der sich seit Jahren mit Verschlüsselungsmethoden in Mailclients und Messengern auseinandersetzt. Neben den technischen Grundlagen geht es um die rechtliche Einordnung. Joerg weist auf eine Forderung der Bremer Landesdatenschutzbehörde hin, die von Rechtsnwälten verlangt, Mails an Mandanten, Prozessgegner und Kollegen Ende-zu-Ende zu verschlüsseln. Die Runde fragt sich leicht verzweifelt, wie eine solche Forderung zustandekommt und wie sie realisiert werden könnte, obwohl die Adressaten oftmals vor verschlüsselten Mails wie der berühmte Ochs vorm Berg stehen. Die Ratlosigkeit steigt, als ein aktueller Gesetzentwurf aus dem Bundesdigitalministerium zur Sprache kommt: Die geplante Novelle des Gesetzes zum Datenschutz in der Telekommunikation und bei Telemedien (TTDSG) sieht vor, dass jeder E-Mail- und Messenger-Nutzer Ende-zu-Ende-Verschlüsselung beherrschen, aber nicht verpflichtend anwenden muss. Die Runde ist sich einig, dass noch viel Fortschritt bei der E-Mail nötig ist, um dieses Ziel zu realisieren. Sylvester und Holger sind sich einig: Wer bequem und dennoch abhörsicher kommunizieren will, greift derzeit am besten zu verschlüsselnden Messengern wie Signal.

Prof. Dr. Dennis-Kenji Kipker ist Hochschullehrer an der Hochschule Bremen und gehört zu den führenden deutsche Experten im IT-Sicherheitsrecht. Im Gespräch mit Stefan Brink und Niko Härting geht es um die wachsende Bedeutung des IT-Sicherheitsrechts, das allmählich aus dem Schatten des Datenschutzrechts heraustritt. Und es geht um das „Digitale Briefgeheimnis“, das Kipker aus deutschem und europäischem Verfassungsrecht ableitet. In einer neuen Studie, die Kipker für die Friedrich-Naumann-Stiftung erstellt hat (https://shop.freiheit.org/#!/Publikation/1481), zeigt Kipker Dimensionen eines „Digitalen Briefgeheimnisses“ auf, das sich nach Kipkers Auffassung sowohl aus Art. 10 GG als auch aus dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme („IT-Grundrecht“, Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) ergibt sowie aus Art. 7 und 8 der EU-Grundrechtecharta. Das Grundrecht auf (Ende-zu-Ende-)verschlüsselte elektronische Kommunikation ist aus Kipkers Sicht nicht nur ein Freiheitsrecht, aus dem sich hohe Hürden für „Backdoors“ der Sicherheitsbehörden und für Verschlüsselungsbeschränkungen ableiten lassen. Kipker bejaht auch umfassende staatliche Schutzpflichten zur Förderung und Erleichterung verschlüsselter Nachrichtensysteme.

Die Datenschutzgrundverordnung wird fünf Jahre alt – passend dazu bekommt Meta eine Milliardenstrafe aufgebrummt: In der #heiseshow unterhalten wir uns darüber, ob der Datenschutz wirklich besser geworden ist. Spanien wettert derweil gegen Ende-zu-Ende-Verschlüsselung und die Alien-Signale erzeugt die Menschheit testweise einfach mal selbst. Ob sie wohl auch verschlüsselt und datenschutzkonform ist? Und natürlich erfreut uns Anna wieder mit einem Nerd-Geburtstag, dem WTF der Woche und kniffligen Quizfragen zum Miträtseln. Wie immer freuen wir uns über die Beteiligung der Zuschauerinnen und Zuschauer. Vorab im Forum sowie live in der Sendung im Chat können Fragen gestellt werden, die wir in der Sendung aufgreifen. **Die Themen in dieser Ausgabe** Moderatorin Anna Kalinowsky, heise online-Chefredakteur Dr. Volker Zota (@DocZet) und Redakteur Malte Kirchner (@maltekir) sprechen in dieser Ausgabe unter anderem über folgende Themen: - Aufzählungs-Text5 Jahre DSGVO und eine neue Rekordstrafe: Kurz vor dem fünften Jahrestag der Einführung der Datenschutzgrundverordnung wird Meta mit einer Rekordstrafe von 1,2 Milliarden Euro belegt. Ist damit also bald Schluss mit regelwidrigen Datentransfers? Hat die DSGVO die Erwartungen erfüllt? Wo ist noch Luft nach oben? Und wann kommen endlich die Cookie-Banner weg? - Aufzählungs-TextEnde-zu-Ende vor dem Ende? Spanien spricht sich für ein Verbot der Ende-zu-Ende-Verschlüsselung aus. Die Meinungen in der EU gehen weit auseinander. Müssen wir uns darauf einstellen, dass Privatsphäre in Chats künftig ein Fremdwort ist? Kann ein Verbot überhaupt etwas gegen kriminelle Aktivitäten bewirken? - Aufzählungs-TextAußerirdische, prima selbst gemacht: Die ESA schickt per Raumsonde eine simulierte Nachricht von Außerirdischen zur Erde. Wie wahrscheinlich ist es, dass wir außerirdische Nachrichten technisch überhaupt entschlüsseln können? Macht man mit sowas Späße? Und sollte man auf eine echte Nachricht überhaupt antworten?

In der achten Folge von „Nachgehackt“ dreht sich alles rund um das Thema Post-Quanten-Kryptographie. Was zunächst nach kompliziertem Expert*innenwissen klingt, wird nach der Aufbereitung von Henrik Hanses zusammen mit Eike Kiltz und Peter Schwabe vom Exzellenzcluster CASA auch für Neulinge schnell greifbar. Was ist Kryptographie überhaupt? Was kann ein Quantencomputer im Gegensatz zum heimischen PC? Wie bringt man beide Felder zusammen? Wie haben unsere Gäste und der IT-Security Standort Bochum da ihre Finger im Spiel?

Kennst du schon den Hack, um die Verschlüsselung bei WhatsApp-Nachrichten zu verifizieren? Und wie wurden schon vor über 2000 Jahren Informationen in Codes versteckt? Wir verraten es dir und machen uns auf eine Zeitreise durch die Geschichte der Verschlüsselung!

Die ISO 27000er-Reihe hat sich zum Quasi-Standard im Bereich der Informationssicherheit etabliert. Doch die Umsetzung ist mit einigen Herausforderungen verbunden. Einfach die Norm zu lesen und im Internet Vorlagen herunterladen, ist zwar möglich, benötigt aber trotzdem viel Wissen und Erfahrung. Die goSecurity hat deswegen eine Video-Reihe zu allen Themen der Norm erstellt. In 20 Teilen werden alle Aspekte der Norm aufgezeigt. In dieser Folge diskutieren Andreas Wisler und Marcel Grand über den Inhalt und die Gründe für diese Video-Reihe.

Der Fall EncroChat gibt 2020 verstörende Einblicke ins organisierte Verbrechen: Ein verschlüsselter Messengerdienst, der vor allem von Kriminellen genutzt wird. Ein infiltrierter Server in Frankreich und Ermittlungen, die brutalste Drogen- und Waffendelikte ans Tageslicht bringen und bis heute die Gerichte beschäftigen. Robin Fay, Spezialist für Kryptografie, und Rechtsanwalt Christian Solmecke erzählen, wie den Behörden der Zugriff auf das WhatsApp der Gangster gelang.

Der 28. Januar ist Europäischer Datenschutztag: Passend dazu geben wir in c't uplink Tipps zum Verschlüsseln von Daten auf PCs, Notebooks und externen Speichermedien. Die meisten Betriebssysteme können von Haus aus den kompletten Rechner verschlüsseln. In der aktuellen Folge von c't uplink erklären wir, wie das genau funktioniert und wie man sein System dafür konfiguriert. Windows bringt von Haus aus die SSD- und Festplattenverschlüsselung BitLocker mit - auch in der Home-Variante in abgespeckter Form als "Geräteverschlüsselung". Als Alternative bietet sich das Open-Source-Tool VeraCrypt an, dass man auf Linux, macOS und Windows nutzen kann. Sowohl BitLocker als auch Veracrypt haben so ihre Tücken, weshalb c't-Windows-Experte Jan Schüßler dazu häufig Leserfragen bekommt. Christof Windeck aus dem Hardware-Ressort erklärt, wie Sicherheitschips auf dem PC mit Verschlüsselungssoftware zusammenspielen und warum das alles ziemlich sicher ist, obwohl man zum Entsperren eines verschlüsselten Windows-Notebooks kein kompliziertes Passwort eingeben muss. Deshalb muss man auch höllisch aufpassen: Wenn bei einem Update etwas schief geht und der Bitlocker-Wiederherstellungsschlüssel verlangt wird, sollte man ihn unbedingt parat haben. Am besten, man druckt ihn aus und heftet ihn für alle Fälle ab. In c't hat Lutz Labs außerdem spezielle USB-Sticks, Festplatten und SSDs mit integrierter Verschlüsselung getestet. Um die zu entsperren, muss man eine PIN auf einem eingebauten Tastenfeld eintippen oder sich per Fingerabdruck identifizieren. Für den Test hat Lutz die Hardware auch an einen Sicherheitsexperten geschickt, der die Dinger aufgebohrt und zu hacken versucht hat.

Im August 2022 wurde bekannt, dass LastPass angegriffen wurde. Lange wurde versichert, dass die Angreifer keinen Zugriff auf Kundendaten und schon gar nicht auf Passwörter hatten. Kurz vor Weihnachten wurde dann bekannt, dass der Hack grössere Auswirkungen hatte, als bisher zugegeben. Doch was heisst das nun für alle, die einen Passworttresor nutzen? Was musst Du tun?

Unsere Urgrosseltern hatten es sicher in vielen Bereichen viel schwieriger als wir heutzutage. Aber um eines wird diese Generation wohl häufig beneidet: Sie mussten sich keine Passwörter merken. FIDO / FIDO2 ist ein Standard für passwortlose Authentifizierung. Es hört sich verlockend an, es gibt aber auch einzelne Nachteile, die man sich zumindest bewusst sein sollte.

Auf den ersten Blick kann eigentlich keiner etwas dagegen haben: Dem Austausch von Videos und Fotos, auf denen sexuelle Gewalt gegen Kinder zu sehen ist, soll mit digitalen Mitteln Einhalt geboten werden. Die EU-Kommission beabsichtigt dazu, eine Pflicht zur Chatkontrolle einzuführen. Onlineanbieter sollten Inhalte durchleuchten und Verdächtiges den Behörden melden. Doch Bürgerrechtler warnen vor dem Ende der Privatsphäre im digitalen Raum. Das vermeintlich ehrenwerte Ziel stößt die Tür zu immensen Risiken und Problemen auf. Die Überwachung der Bürger würde auf ein ganz neues Niveau gehoben werden. In dieser Woche wurde der umstrittene Gesetzentwurf der EU-Kommission offiziell dem zuständigen Fachausschuss im Europaparlament vorgestellt. Mit dabei war auch Dr. Patrick Breyer, Europaabgeordneter der Piratenpartei. Wie soll die Chatkontrolle technisch funktioniert? Welche Risiken und Nebenwirkungen beanstanden Bürgerrechtler? Wie gehen andere Länder auf der Erde mit dem Thema um? Wie geht es weiter mit dem umstrittenen Gesetzentwurf? Und warum betrifft das Thema jeden? Darüber und über viele weitere Fragen, spricht Malte Kirchner (@maltekir) mit Dr. Patrick Breyer (@echo_pbreyer) in einer neuen Folge der #heiseshow, diesmal live ab 13 Uhr. === Anzeige / Sponsorenhinweis === Die Anpassung an den Wandel ist wichtiger denn je. Deshalb nutzen 40% der DAX Unternehmen Workday. Die Enterprise-Cloud, die Sie auf die Zukunft vorbereitet. Workday. Das Finanz-, HR- und Planungssystem für eine Welt im Wandel. Mehr Informationen unter https://www.workday.com/de === Anzeige / Sponsorenhinweis Ende ===

In der IT gibt es viel Wandel. Was vor einem Jahr noch das Beste vom Besten war, ist heute veraltet. Es gibt aber auch viele Trends. Manche setzen sich durch. Andere verschwinden wieder. Und dann gibt es noch die Trends, wo tolle Schlüsselwörter (Buzz Words) erfunden werden um alte Grundsätze mit aktuellen Technologien als bahnbrechend neue Erfindung dastehen zu lassen. Zero Trust hat schon etwas von einem Trend, der eigentlich weniger revolutionär ist, als er häufig dargestellt wird. Das soll aber nicht heissen, dass das Zero Trust-Konzept minderwertig ist. Doch was ist jetzt Zero Trust genau? Das erfahrt Ihr in der aktuellen Folge von Angriffslustig. Wie gewohnt mit Andreas Wisler und Sandro Müller.

Heute erzählt uns Finn etwas zu den fünf ersten Themen die man auf dem Schirm haben sollte, wenn man sich auf eine Sicherheits-Zertifizierung wie die ISO 27001 oder **TiSAX** (VDA ISA) vorbereitet. Oder noch besser: Wenn sich Unternehmen mehr mit dem Thema beschäftigen wollen und jetzt bei der IT-Sicherheit einen drauf setzen wollen. Sortiert auch dem großen Faktor "Zeit": 1. **Mobile Device Management** (MDM) 2. **Patch Management** (Updates) 3. **Verschlüsselung** (Lebenszyklus einer Datei) 4. **Network Access** Control (NAC) 5. **Event Logging** (Auswertbares Logging) Heute als Gast: IT-Profi Finn Nickelsen, Managing Partner bei Nextwork. Mehr Infos auf: https://www.marcopeters.de oder https://www.nextwork.de

In der Auftaktepisode von „Nachgehackt“ taucht Henrik Hanses ein in das Spezialgebiet seines ersten Gastes: Es geht um Kryptographie! Prof. Dr. Christof Paar (Max-Planck-Institut für Sicherheit und Privatsphäre) erzählt, wo die Ursprünge der Wissenschaft der Informationsverschlüsselung liegen, wo uns Kryptographie im Alltag überall begegnet, was „Ende-zu-Ende Verschlüsselung” bedeutet und welche Rolle der Wissenschaftsstandort Bochum beim Thema IT-Sicherheit spielt.

Die EU plant eine Chatkontrolle, um Kindesmissbrauch besser verfolgen zu können. Künstliche Intelligenz soll verdächtige Inhalte melden, bevor sie verschlüsselt werden. Warum das für uns alle gefährlich ist, erklären Katrin und Antonia von Campact mit drei Irrtümern zu Überwachung und Datenschutz.

Messengerdienste wie Threema nutzen eine End-to-End-Verschlüsselung der Daten. Auch die Maschinenbaubranche lässt das aufhorchen. Julian Feinauer und Jens Reimann arbeiten an einer passenden Applikation - Open Source auf Basis des Projekts Drogue IoT. Julian musste dafür eine neue Sprache lernen. Rust ist eine Multiparadigmen-Systemprogrammiersprache, die von der Open-Source-Community entwickelt wurde und unter anderem von Mozilla Research gesponsert wird.

Leider sind die erstmalige Einrichtung, um, E-Mails verschlüsselt versenden zu können sowie der jeweilige Versand einer verschlüsselten E-Mail immer mit etwas Aufwand verbunden. Dies ist wohl auch der Grund, weshalb sich E-Mail-Verschlüsselung bislang noch nicht so richtig durchgesetzt hat. Dabei gibt es wirklich gute Gründe, sich mit dem Thema etwas näher zu befassen.

Die Situation an der Universität Mannheim wird immer mysteriöser. Auch Tom fällt auf eine Phishing-Mail herein. Obwohl er seine Daten per Cryptomator verschlüsselt hat, ist nun das gesamte Forschungsprojekt in Gefahr. Es scheint sich um gezielte Angriffe zu handeln. Wer steckt dahinter?