«US-Politik behindert Mailverschlüsselung»

Kryptographie ist für die Banken-IT unverzichtbar. Doch selbst Banken versenden noch immer E-Mails ohne Verschlüsselung. Für Ueli Maurer, ETH-Professor und anerkannter Verschlüsselungsexperte, gibt

es dafür einleuchtende Gründe. Diese allerdings haben weniger mit den Algorithmen und Verfahren als vielmehr mit den Interessen von Politikern und Geheimdiensten zu tun.

» Von Jens Stark, 05.11.2007 08:49. Letztes Update, 05.11.2007 09:32.

weitere Artikel

Computerworld: Herr Maurer. Nutzen Sie, als ETH-Professor für Theoretische Informatik und als -anerkannte Schweizer Kryptographie-Koriphäe, persönlich Online-Banking?

Maurer:Klar nutze ich E-Banking. Die von den Banken verwendeten Systeme sind technisch sicher. Das Problem sind vielmehr die PC-Benutzer, die sich unsicher verhalten oder die zwischengeschaltete Attacken nicht erkennen und einschätzen können. Hier herrscht noch Aufklärungsbedarf.

Wie hoch ist der Sicherheitsstandard innerhalb der Finanzinstitute?

Ich behaupte nicht, die Systeme der Schweizer Finanzwelt seien absolut sicher. Dafür müssten nicht zu rechtfertigende Summen investiert werden. Die Banken handeln durchaus pragmatisch und schauen bei den Aufwendungen für Security auch auf die Konkurrenz. Aber als jemand, der selbst schon Gutachten für Banken erstellt hat, stelle ich fest: Die Systemabsicherung in der Schweiz hat einen guten Stand.

Wie eng arbeiten Sie mit den Banken in Sachen Sicherheit zusammen?

Sicherheit ist ein Schwerpunkt an der ETH und es gibt Kooperationen zwischen der ETH und der Wirtschaft. So sind IBM und Credit Suisse an der Finanzierung des ZISC (Zurich Information Security Center) beteiligt. Ich habe auch Kollegen, die angewandte Forschungsprojekte im Bereich Sicherheit haben. Ich selbst habe viele Kontakte zur Wirtschaft, aber eher im Bereich Knowhow-Transfer. In der eigent-lichen Forschung überwiegt in meiner Gruppe die Grundlagenforschung, deren Anwendungen in der Zukunft liegen. Daher sehe ich meine Forschungsgruppe nicht primär als Beratungsfirma für die Wirtschaft, weshalb ich Mitarbeiter auch nicht nach ihren Qualifikationen als Berater auswähle. Meine Gutachten für Banken habe ich nicht als ETH-Vertreter, sondern als Privatmann erstellt.

Wie wichtig ist die Kryptographie für die Finanzwelt?

Sehr. Praktisch ist überall Verschlüsselungstechnik am Werk. Wenn Sie etwa mit Ihrer EC-Karte beim Bankomaten Geld beziehen, läuft diese Kommunikation chiffriert ab. Ein Beispiel, das belegt: Kryptographie ist dann am wirksamsten, wenn sie der Benutzer nicht spürt.

Es gibt aber auch Anwendungen, bei denen es um Kryptographie noch nicht sonderlich gut bestellt ist. So werden noch immer die meisten E-Mails unverschlüsselt verschickt. Sind hier die Banken besser? Oder woran fehlt es?

Nein. Auch in der Finanzwelt werden viele Mails unverschlüsselt verschickt. Meine These ist: Es liegt nicht an den Algorithmen. Die sind längst vorhanden und ausgereift. Vielmehr gibt es Institutionen, sprich Geheimdienste, die nicht wollen, dass der E-Mail-Verkehr abgesichert wird. Vor allem die US-amerikanische Regierung und Politik haben dies bislang verhindert. Sonst könnte man heute E-Mails problemlos verschlüsseln und ein standardisiertes Verfahren wäre in allen E-Mail-Programmen integriert. Auch sollte, meiner Vermutung nach, das langjährige Exportverbot von PGP (Pretty Good Privacy) nicht primär den Export verhindern. Der fand so oder so statt. Vielmehr bestand die Strategie wohl darin, die Teilnahme der US-amerikanischen IT-Industrie am Standardisierungsprozess zu verhindern. Aus denselben Gründen fehlt auch der politische Wille, ein globales System für die Verwaltung der öffentlichen Schlüssel aufzubauen. Das Fehlen einer weltweiten Public Key Infrastructure (PKI) ist der zweite Hemmschuh, weshalb sich Verschlüsselung beim E-Mail-Verkehr noch nicht durchgesetzt hat. Dabei zeigt das Beispiel SSL (Secure Socket Layer), dass man sich durchaus auf Standards einigen kann. Jeder verwendet SSL, wenn er online einkauft, und zwar ohne dass er sich dessen bewusst ist. Genau so sollte E-Mail-Verschlüsselung künftig auch ablaufen.

Inwiefern arbeiten Sie an einer Verbesserung oder einem Ausbau der Public Key Infrastructure?

Hier muss zunächst klar sein, dass es zwei Typen von PKI gibt. Erstens jene für den Austausch von Schlüsseln. Deren Problematik habe ich ja gerade angesprochen. Zweitens jene für digitale Signaturen ...

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.