Bruce Schneier: Secrets & Lies - IT-Sicherheit in einer vernetzten Welt, Weinheim 2001

.

Vorwort

Teilweise habe ich dieses Buch geschrieben, um mich selbst zu berichtigen. Vor sieben Jahren habe ich "Applied Cryptography" (Angewandte Kryptographie, Addison-Wesley, München) geschrieben. Darin beschrieb ich eine mathematische Utopie: Algorithmen, die unsere tiefsten Geheimnisse über Jahrtausende geheim halten würden, Protokolle, welche die fantastischsten elektronischen Interaktionen durchführen würden - freies Glücksspiel, unerkennbare Authentifizierung, anonymes Inkasso - geschützt und sicher. Aus meiner Sicht war Kryptographie der große technologische Ausgleichsfaktor. Jeder mit einem preiswerten (und jedes Jahr preiswerter werdenden) Computer könnte über die gleiche Sicherheit wie die mächtigste Regierung verfügen. In der zweiten Auflage des gleichen Buchs zwei Jahre später ging ich noch weiter und schrieb folgendes: "Es genügt nicht, durch Gesetze geschützt zu werden. Wir müssen uns mit Mathematik schützen."

Das stimmt einfach nicht. Kryptographie kann nichts davon. Nicht etwa, weil Kryptographie seit 1994 schwächer geworden wäre oder die von mir in jenem Buch beschriebenen Dinge nicht mehr stimmen. Die Sache ist die, dass Kryptographie nicht in einem Vakuum existiert.

Kryptographie ist ein Zweig der Mathematik. Und wie die gesamte Mathematik umfasst sie Zahlen, Gleichungen und Logik. Sicherheit, d.h. greifbare Sicherheit, die Sie oder ich in unserem Leben nützlich finden, umfasst Menschen - ihr Wissen, ihre Beziehungen untereinander und ihr Umgang mit Maschinen. Digitale Sicherheit umfasst Computer - komplexe, instabile, fehlerbehaftete Maschinen.

Mathematik ist perfekt; Realität ist subjektiv. Mathematik ist definiert; Computer sind störrisch. Mathematik ist logisch; Menschen sind unberechenbar, launenhaft und schwer zu durchschauen.

Der Fehler in Applied Cryptography bestand darin, überhaupt nicht über den Zusammenhang zu sprechen. Kryptographie war für mich die Antwort auf alle Fragen. Ich war ganz schön naiv.

Das Ergebnis war nicht sehr erbaulich. Leser glaubten, dass Kryptographie eine Art magischer Sicherheitsstaub sei, mit dem man seine Software verzaubern könne, damit sie sicher werde, dass sie magische Zaubereien wie "128-Bit-Schlüssel" und "Public-Key-Infrastruktur" heraufbeschwören könne. Ein Kollege sagte mir, dass die Welt voller schlechter Sicherheitssysterne sei, die von Leuten entwickelt wurden, die Applied Cryptograpby gelesen hatten.

Seitdem ich jenes Buch schrieb, habe ich meinen Lebensunterhalt als Kryptographie-Berater verdient - mit der Entwicklung und Analyse von Sicherheitssystemen. Zu meiner anfänglichen Überraschung stellte ich fest, dass die Schwachpunkte nichts mit Mathematik zu tun hatten. Sie lagen an der Hardware, der Software, den Netzwerken und den Menschen. Schöne mathematische Werke wurden durch schlechte Programmierung, durch ein miserables Betriebssystem oder durch eine unglückliche Passwortwahl irrelevant. Ich lernte, hinter die Kulissen der Kryptographie als Gesamtsystern zu blicken, um Schwächen aufzudecken. Dabei kamen mir wiederholt Gedanken, die Sie in diesem Buch an verschiedenen Stellen wieder finden: "Sicherheit ist eine Kette; sie ist nur so sicher wie das schwächste Glied." "Sicherheit ist ein Prozess und kein Produkt."

Jedes System der wirklichen Welt umfasst eine komplizierte Reihe von Wechselwirkungen. Sicherheit muss das System - seine Komponenten und Verbindungen durchdringen. In diesem Buch argumentiere ich, dass moderne Systeme derart viele Komponenten und Verbindungen haben - von denen einige den Entwicklern, Systemhäusern oder Benutzern des Systems nicht einmal bekannt sind -, so dass immer Unsicherheiten bleiben. Kein System ist perfekt; keine Technologie kann alle Probleme lösen.

Das ist für jemanden, der mit Sicherheit in der wirklichen Welt zu tun hat, ganz klar. In der echten Welt hat Sicherheit mit Prozessen zu tun. Sie hat mit vorbeugenden Technologien, aber auch mit Erkennungs- und Reaktionsprozessen sowie mit einem gesamten juristischen System für die Verfolgung und die Verurteilung des Schuldigen zu tun. Sicherheit ist kein Produkt; sie ist ein Prozess. Und falls wir unsere digitalen Systeme jemals sicher machen wollen, werden wir mit dem Aufbau von Prozessen beginnen müssen.

Vor ein paar Jahren hörte ich ein Zitat, das ich hier abgeändert wiedergebe: "Falls Sie glauben, dass Technologie Ihre Sicherheitsprobleme lösen kann, verstehen Sie die Probleme nicht, und Sie haben von Technologie keine Ahnung."

Dieses Buch handelt von diesen Sicherheitsproblemen, den Grenzen der Technologie und den Lösungen.

(...)

Impressum