Aktuelle Nachrichten & Meldungen

Verschlüsselung und Codierung: Die Sicherheit in der digitalen Welt

Gepostet am Jan 17, 2018

Zahlencodes übersetzen Informationen in ein anderes Format und machen sie für die elektronische Datenverarbeitung lesbar.

Zahlencodes übersetzen Informationen in ein anderes Format und machen sie für die elektronische Datenverarbeitung lesbar.

Die gesamte digitale Welt lässt sich im Grunde auf eine Abfolge aus Einsen und Nullen reduzieren und ermöglicht so die Verarbeitung komplexer Vorgänge mit dem Computer. Wie funktioniert die Verschlüsselung durch Ziffernabfolgen, welche Codes begleiten uns in unserem digitalen Leben und wie sicher sind sie?

Zahlencodes können einerseits dazu dienen, Informationen in ein anderes Format zu übertragen, andererseits sind sie die Grundlage der elektronischen Datenverarbeitung. Unsere heutige digitalisierte Welt würde ohne sie nicht funktionieren. Steuernummern, Ausweis ID oder IP Adresse ? manche davon ändern sich im Laufe des Lebens, andere sind für immer mit unserer Identität verknüpft. In Datenbanken lassen sich die unterschiedlichsten Informationen zuordnen. Der Code soll dabei auch ein gewisses Maß an Anonymität und Sicherheit bieten. 

Die beiden Begriffe tauchen zwar häufig im selben Zusammenhang auf, unterscheiden sich jedoch in einem entscheidenden Punkt: Während eine Verschlüsselung oder Chiffrierung eine Übersetzung mit Hilfe eines geheimen Schlüssels bezeichnet, ist die Transformation bei der Codierung nicht geheim. Ersteres lässt sich nur durch Kenntnis oder Besitz des Schlüssels ?dechiffrieren?, eine Codierung hingegen kann jeder wieder Rückgängig machen.  

Anonymisierung und Pseudonymisierung

Als Maßnahme zum Datenschutz ist es schon immer üblich, Zahlenreihen oder auch eine Kombination von Buchstaben zur Anonymisierung oder Pseudonymisierung zu verwenden. Die beiden Begriffe unterscheiden sich dabei in gewisser Weise: 

  • Pseudonymisierung: Ein Name oder die Identität einer Person wird durch den Code verschleiert und eine Identifikation somit erschwert. Weitere Daten und Informationen können mit Hilfe eines Schlüssels zugeordnet werden. Beispiele dafür wären ein Nick Name zum Registrieren auf einem Internetportal oder auch die E-Mail-Adresse.
  • Anonymisierung: Durch den Code ist eine Identifizierung nicht mehr möglich. Eine Mobilfunk-SIM-Karte, für deren Erwerb kein Identitätsnachweis nötig ist, kann hier als Beispiel aufgeführt werden. Die Rufnummer lässt dann keine Rückschlüsse auf den Eigentümer zu. 
Laut einer Umfrage war jeder Dritte bereits einmal von einem Idenditätsklau im Internet betroffen. Am häufigsten wurde dabei die persönliche E-Mail-Adresse für den Versand von Spam-Mails missbraucht. Rund ein Drittel der Opfer erlitt dabei einen finanziellen Schaden, der im Schnitt 1.366 Euro betrug.

Quelle: PwC

 

Rentenversicherungs- und Ausweisnummer ? Codierung von Informationen im Alltag 

Zahlenreihen dienten auch schon vor dem Zeitalter des Internets zur Codierung von personenbezogenen Informationen. Dabei ermöglicht die Codierung in der Regel keine Anonymität, sondern stellt die Übersetzung von Informationen von einer Sprache in eine andere dar. 

Beim Anmelden zu einem Online-Dienst wird meist ein Pseudonym verwendet.

Beim Anmelden zu einem Online-Dienst wird meist ein Pseudonym verwendet.

Seit 1964 ? der Einführung der elektronischen Datenverarbeitung beim Bund ? begleitet uns von Geburt an unser ganzes Leben lang eine individuell zusammengestellte Nummer: Die Rentenversicherungsnummer. Sie ist ein gutes Beispiel dafür, auf welche Weise persönliche Informationen codiert werden und wie dabei eine Verwechslung oder Doppelung vermieden werden kann. Die Zahlenreihe setzt sich aus verschiedenen Bausteinen zusammen, die jeweils bestimmte Informationskriterien repräsentieren:

  • Bereichsnummer des Rentenversicherungsträgers
  • Geburtsdatum des Versicherten
  • Anfangsbuchstaben des Namens des Versicherten
  • Angabe zum Geschlecht
  • Prüfziffer

Auch bei der Nummer auf unseren Personalausweisen liegt ein ähnliches System zugrunde. Hier stehen die ersten vier Ziffern für die entsprechende Behörde, die den Pass ausgestellt hat. Die übrigen fünf Ziffern werden zufällig zusammengestellt. Die aktuellen Ausweise im Scheckkartenformat können dabei auch Buchstaben enthalten.     

Von PINs und TANs

Die Persönliche Identifikationsnummer (PIN) oder Transaktionsnummer (TAN) ist ein Code, der nur über Zwischenbeziehungen einer Person zugeordnet werden kann. Ohne weitere Informationen lassen sich keine Rückschlüsse etwa auf den entsprechenden Kontoinhaber ziehen. Die Zahlencodes dienen hier der Sicherheit bei einem Anmeldeverfahren oder bei einer digitalen Transaktion.

Die Ausweisnummer dient auch zum Abgleich der Identität bei einem Visum.

Die Ausweisnummer dient auch zum Abgleich der Identität bei einem Visum.

Da sich der Einsatz meist auf einen ganz bestimmten Bereich oder eben eine einzige Transaktion beschränkt, sind die PIN-Codes meist nur vierstellig. TAN-Zahlenreihen hingegen bestehen in der Regel aus sechs Ziffern. Die Transaktionsnummer kann dabei durch verschiedene Verfahren erzeugt werden, die sich sowohl beim Komfort als auch der Sicherheit unterscheiden. Vorgedruckte Listen sind dabei immer weniger verbreitet und werden von den moderneren Methoden abgelöst, bei denen die TAN für jeden Auftrag separat erzeugt und versandt werden.

Geheimtext und notwendige Schlüssel 

Mit der rasanten Entwicklung der Technologie gewinnt die Sicherheit unserer Daten und Informationen eine enorme Wichtigkeit. Individuell geltende Datenschutzauflagen und die Gesetze des jeweiligen Landes sollen dies sicherstellen. Erst im Mai dieses Jahres wurden die europäischen Richtlinien hier auf einen aktuellen Stand gebracht.

 

Bei der Verschlüsselung werden verschiedene Systeme unterschieden:

  • Symmetrische Verschlüsselung: Für die Ver- und Entschlüsselung wird derselbe Schlüssel verwendet. Beispielsweise werden einzelne Buchstaben bestimmten Ziffernfolgen zugeordnet oder die Zahlen repräsentieren unterschiedliche vorher definierte Einzelinformationen. Wer den Schlüssel nicht kennt, kann die Information nicht dechiffrieren.
  • Asymmetrische Verschlüsselung: Eine größere Sicherheit bietet dieses Verfahren, bei dem für die Ver- und Entschlüsselung zwei verschiedene Schlüssel generiert werden. Ein öffentlicher Schlüssel (nicht geheim) dient dazu, die Daten zu codieren oder jemanden zu authentifizieren. Der zweite, private Schlüssel (geheim) wird dazu verwendet, die Informationen wieder zu entschlüsseln oder sich zu authentisieren.

Vor- und Nachteile der Ziffernreihen

Die Länge der Zahlencodes hängt unmittelbar mit der Sicherheit vor unerwünschtem dechiffrieren zusammen. Je kürzer die Reihe ist, umso einfacher ist es, den Code zu knacken. 

Werden statt der Ziffern von Null bis Neun noch Klein- und Großbuchstaben als mögliche Elemente zur Verschlüsselung hinzugenommen, vergrößert sich die Sicherheit exponentiell. Umgekehrt weist ein kürzerer Code eine entsprechend geringere Sicherheit auf. 

Bei einer vierstelligen PIN sind 10.000 verschiedene Kombinationen möglich (10 Ziffern bei 4 Stellen). In der Regel sind drei Versuche erlaubt, bevor der Vorgang gesperrt wird, somit ergibt sich eine Wahrscheinlichkeit von 0,0003 Prozent, die PIN zu erraten. Bei sechsstelligen TANs sind bereits 1.000.000 unterschiedliche Kombinationen möglich. Hier verringert sich die Aussicht auf Erfolg beim Raten auf 0,000003 Prozent.

Der Vorteil der Zahlencodes liegt in ihrer universellen Einsetzbarkeit. Vor allem bei der elektronischen Datenverarbeitung sorgen sie sowohl für einen schnellen Ablauf als auch für die Möglichkeit zur Anonymisierung. Die heutigen Fähigkeiten zur Erfassung und Speicherung von Informationen in digitaler (codierter) Form haben jedoch zu einer massenhaften Erhebung und Speicherung verschiedenster Daten geführt, die auch zueinander in Beziehung gesetzt und ausgewertet werden können. Unter dem Stichwort ?Big Data? zeigen sich dabei die Grenzen der Anonymisierung.   

Sicherheit bei der PIN
Verwendeter Zeichensatz Minimale PIN-Länge Maximale PIN-Länge

0-9

0-9, A-Z

0-9, A-Z, a-z

Druckbare ASCII-Zeichen

12 Zeichen

8 Zeichen

7 Zeichen

6 Zeichen

19 Zeichen

12 Zeichen

11 Zeichen

10 Zeichen

Empfehlungen des Bundesamts für Sicherheit und Informationstechnik

 

Sicherheit durch Zahlencodes 

Neben den vier- oder sechsstelligen Codes haben sich für die verschiedensten Anwendungen noch andere Verfahren etabliert, die jeweils ein Höchstmaß an Sicherheit bieten sollen.

Wie funktioniert die Verschlüsselung?

Die Verschlüsselung bei digitalen Anwendungen wird mit Hilfe eines kryptographischen Algorithmus umgesetzt. Heutzutage kommt dabei meist das Blockverfahren zum Einsatz. Dies bedeutet, dass die zu verschlüsselnde Information zunächst in gleich lange Blöcke aufgeteilt werden und dann jede Portion einzeln verschlüsselt weiterverarbeitet oder übertragen wird. Da jedes Datenpaket einzeln verarbeitet wird, kann so eine hohe Sicherheit erreicht werden.

Als Zugangssperre für Smartphones sind drei Verfahren am weitestens verbreitet:

1. Passwort- oder Zahlenabfrage: 74 Prozent
2. Mustereingabe: 33 Prozent
3. Fingerabdruckscanner: 23 Prozent

Quelle: Deloitte/Bitkom

 

Informationen sowohl in Form von Zahlen, als auch Wörter- oder Bildinformationen werden dabei zunächst in Zahlenreihen umgewandelt. Diese werden dann chiffriert, wobei der erzeugte Schlüssel zum Einsatz kommt. 

Innerhalb der symmetrischen und asymmetrischen Verschlüsselung sind zahlreiche Methoden erdacht und hierbei wiederum unterschiedliche Algorithmen programmiert worden, die bei den verschiedensten Anwendungen eingesetzt werden. Je nachdem wie komplex sie sind, ist für die Erzeugung, Übertragung und Dechiffrierung mal mehr, mal weniger Zeit vonnöten. Vor allem, wenn der Schlüssel genauso lang ist, wie die Information, die dahintersteckt, kommt eine große Datenmenge zustande, was den Prozess enorm verlangsamt. Um die Verschlüsselung zu beschleunigen, werden manchmal auch symmetrische und asymmetrische Verfahren kombiniert. 

Keine Anonymität durch die IP-Adresse

Wer im Internet surft, kann durch die jeweilige IP-Adresse eindeutig zugeordnet werden. Bei jeder Anfrage, die im Netz gestartet wird, ist der Datenstrom mit dieser Adresse verknüpft, damit die Rückantwort an die entsprechende Stelle gelangt.

Anonymität ist im Internet heute meist eine Illusion, denn wir hinterlassen bei jedem Klick eine Datenspur.

Anonymität ist im Internet heute meist eine Illusion, denn wir hinterlassen bei jedem Klick eine Datenspur.

Die Adresse ist dabei in der Regel eindeutig einem einzelnen Rechner (oder Smartphone) zugeteilt. Die Anonymität ist dabei deshalb relativ zu bewerten. Einerseits ist der Internetzugang meist einer bestimmten Person zuzuordnen oder durch weitere Eingaben, wie das Anmelden zu einem E-Mail-Portal ist eine Identifikation möglich. Es werden verschiedene Arten unterschieden:

  • Automatisch zugewiesene IP-Adresse: nach dem Hochfahren des Rechners wird eine verfügbare Adresse vom Server zugeordnet.
  • Dynamische IP-Adresse: Bei jeder Neuverbindung mit dem Internetanbieter wird eine neue IP-Adresse zugewiesen.   
  • Statische IP-Adresse: Hier bleibt die Adresse immer gleich. Dies wird beispielsweise bei Servern oder Gateways so gehandhabt.

Verschiedenen Diensten ist es dann möglich, die besuchten Webseiten oder die individuellen Suchanfragen zu verfolgen: 

  • Der Internet-Zugangsprovider
  • Der besuchte Webserver, der die Anfrage verarbeitet
  • Mögliche Lauscher, welche sich in die Verbindung einklinken

Standards und Regeln für mehr Sicherheit im WWW

Laut Gesetz ist es jedoch nicht (mehr) erlaubt, die dynamische IP-Adresse zu speichern, da es sich dabei um personenbezogene Daten handelt. Nach Ende der direkten Nutzung muss sie in der Regel gelöscht werden.

Darüber hinaus steht jedem Internetnutzer das Recht auf Pseudonymität zu. Dies ist im Telemediengesetz geregelt. Dies bedeutet, dass für verschiedene Anwendungen oder Portale das Nutzungsverhalten nicht den jeweiligen Profilen zuordnungsbar sein darf. Personenbezogene Daten bei dem Nutzerkonto eines Shoppingportals etwa müssen zudem so geschützt sein, dass sie nicht von Dritten weiterverarbeitet oder in einen Zusammenhang mit weiteren Metadaten gesetzt werden können. Durch die verschiedenen Maßnahmen soll einen höherer Anonymisierungsgrad und ein besserer Schutz der Privatsphäre gewährleistet werden.

 

„Der Dienstanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.“

§ 13 Abs. 6 Telemediengesetz

 

Weitere Möglichkeiten des Schutzes 

Zur Verschleierung der IP-Adresse oder der Identität des Surfers gibt es noch weitere Dienste und Anwendungen. Eine Möglichkeit wäre des sogenannte ?CyberGhost-VPN? (Virtual Private Network). Dieser Dienst sorgt dafür, dass die Internetverbindung des Nutzers über den Umweg eines speziellen und verschlüsselten VPN Server hergestellt wird. Die individuelle IP-Adresse wird dadurch von der allgemeinen und von vielen Nutzern gleichzeitig verwendeten Adresse ersetzt Die Methode funktionieren umso besser, je mehr einzelne Nutzer sich dem System angeschlossen haben.   

 

Auch beim Surfen über einen TOR-Browser oder einer anonymen Übertragung von E-Mails wird dieser Mechanismus verwendet. Zwischengeschaltete Stationen oder ?Remailer? verwischen dabei die Spuren zum eigentlichen Absender. 

Vorsicht geboten ist bei der Nutzung eines ungesicherten WLANs, beispielsweise in einem Internetcafé. Auch hier kann ?anonym? über die dort vergebene IP-Adresse gesurft werden. Doch dann sind ebenfalls Rückschlüsse auf die Identität möglich, wenn entsprechend ungesicherte Informationen versendet werden. Zudem bietet das ungesicherte Netz mehr Möglichkeiten, die Aktivitäten von außen zu verfolgen. 

Sicherheit bei der Datenübertragung

Für die Datenübertragung im Internet haben sich heute verschiedene Verfahren etabliert. Dabei sorgt beispielsweise eine ?Ende-zu-Ende?-Verschlüsselung dafür, dass die Information vom Absenden bis zur Übertragung ans eigentliche Ziel codiert weitergeschickt wird. Zwei verschiedene Standards sind heute am weitesten verbreitet:
  • HTTPS (Hypertext Transfer Protocol Secure): Diese Transportverschlüsselung wird für die Kommunikation zwischen dem Browser und dem Server verwendet. Die Informationen werden dabei verschlüsselt und benötigen eine Authentifizierung zur Entschlüsselung. Die Datenverarbeitung läuft dabei über eine gesicherte HTTPS-Verbindung. Die eigentliche Verschlüsselung wird durch das SSL-Protokoll hergestellt.   
  • SSL (Secure Sockets Layer): Heute ist dieses Verschlüsselungsprotokoll auch unter dem Namen TLS (Transport Layer Security) bekannt. Mit einem SSL-Zertifikat authentifiziert sich der Server beim Nutzer, wobei die Vertrauenswürdigkeit überprüft wird. Danach wird ein Schlüssel für die Codierung generiert, der von beiden Parteien für den Austausch der jeweiligen Daten genutzt wird.

Mehr Sicherheit beim Bezahlen 

Vor allem bei Bezahlverfahren im Internet, spielen Sicherheitscodes eine wichtige Rolle. Sie werden an verschiedenen Stellen eingesetzt, etwa um sensible Daten zu verschlüsseln oder eine Authentifizierung zu bestätigen. 

Das als sicher geltende Verfahren mit einem Sicherheitscode per TAN-Generator oder mobile-TAN kann nicht nur zum Online-Banking, sondern auch zum Bezahlen ? etwa bei der Sofort-Überweisung ? eingesetzt werden. 

Neuere Methoden sind für das bargeldlose Bezahlen im Bereich des sogenannten ?mobile Payment? hierzulande noch nicht so weit verbreitet. Die Skepsis, ob die Verfahren auch ausreichend Sicherheit bieten können ist groß. Bei den kontaktlosen Übertragungstechniken, für die meist eine App auf dem Smartphone installiert werden muss, kommt es vor allem auf die Verschlüsselung der Verbindung an: 

  • Software-Lösung mit QR-Code: Für die Transaktion wird ein QR-Code generiert, der vom Käufer gescannt werden muss. Meist ist auch eine Bestätigung der Einzelheiten zur Transaktion notwendig. 
  • Hardware-Lösung per NFC-Technik (Near Field Communication): Die entsprechenden Informationen werden per Funk übertragen. 

Im Gegensatz zur Verschlüsselung per TAN-Zahlencode sind die Möglichkeiten zur Manipulation oder Missbrauch hier noch größer. Deshalb ist die Höhe der möglichen Transaktion vom Gesetzgeber begrenzt worden. Die Verfahren können also nur zur Bezahlung von kleineren Beträgen genutzt werden. 

Sicherheitsbedenken sind die größte Hürde bei der Etablierung von Mobile Payment Angeboten in Deutschland. 56 Prozent der Befragten haben Angst vor Datenklau oder Betrug. In Deutschland verwenden 4 Prozent der Mobilfunknutzer Mobile Payment. In Japan sind es 49 Prozent.

Quelle: Statista, Deloitte

 

Viele Nutzer sind zudem skeptisch, wie die einzelnen Anbieter der Apps mit den personenbezogenen Daten umgehen. Handelt es sich dabei um eine Firma mit Sitz im Ausland, werden oftmals die hier geltenden Datenschutzbestimmungen nicht eingehalten. Aber auch bei deutschen Anbietern gibt es oft Mängel bei den Sicherheitsmechanismen.  

De-Anonymisierung und Re-Identifikation

Die ganze Anonymisierung und Pseudonymisierung durch Zahlencodes und verschlüsselte Datenverbindungen ist inzwischen jedoch an ihre Grenzen gestoßen, beziehungsweise wird sie durch einen weiteren Mechanismus in gewisser Weise ausgehebelt: Die Erfassung von Metadaten bei unseren Aktivitäten im Internet.

Das Leben in Form von Metadaten

Die Informationen, die wir über uns im Netz beim Surfen hinterlassen, sind oft wie in Stein gemeißelt und lassen sich nur schwer wieder löschen.

Die Informationen, die wir über uns im Netz beim Surfen hinterlassen, sind oft wie in Stein gemeißelt und lassen sich nur schwer wieder löschen.

Nicht nur Datenkraken wie Google, auch andere Dienste wie Facebook, WhatsApp oder auch Internetanbieter und Onlineshops sammeln Informationen darüber, wie lange wir auf verschiedenen Seiten verweilt haben, wonach wir gesucht haben oder an welchen Orten wir mit unserem Smartphone eingeloggt waren.

Diese Daten werden von vielen Unternehmen gespeichert und können trotz ursprünglicher Anonymität das Verhalten einer Person widerspiegeln. Je mehr dieser Informationen zusammenkommen, umso einfacher ist es, daraus ein Profil abzuleiten. Vor allem beim Surfen mit dem Smartphone werden dabei mehr Daten preisgegeben, als wir dies vielleicht vermuten. Zwar können die Inhalte von Nachrichten oder Chats nicht ausgelesen werden, doch aus den Informationen, wie und wann wir wie häufig bestimmte Anwendungen nutzen, lassen sich daraus umfassende Schlüsse über unser Leben ziehen. 

Die k-Anonymität

Viele Unternehmen rechtfertigen ihre Datensammelwut mit der Begründung, dass durch die Informationen der Service verbessert oder individuell besser zugeschnitten werden kann. Auch für die Entwicklung von neuen Angeboten können Hinweise über das Nutzerverhalten weiterhelfen. 

Das Modell der k-Anonymität ist eine Möglichkeit, durch gezieltes Trennen oder Generalisieren einzelner Informationen zu einer Person eine Anonymität herzustellen. Die Datenbanken sollen dabei so aufgebaut sein, dass die Angaben nicht wieder eindeutig einer Person zugeordnet werden können.   

Fazit

Codes in Form von Zahlen und Ziffern sind die Grundlage der modernen Verschlüsselungstechniken, die in der digitalen Welt ein gewisses Maß an Sicherheit vor Datenklau oder Identitätsmissbrauch bieten. Dennoch können sie dabei nicht unsere totale Anonymität sicherstellen. 

Meist lassen wir uns durch komfortable Angebote oder Anwendungen zu einfach dazu hinreißen, bereitwillig sensible Informationen über uns preiszugeben. In der großen Summe lassen sich daraus komplexere Zusammenhänge erzeugen. Eines der größten Sicherheitsrisiken liegt deshalb oftmals bei uns selbst. Auch bei der Wahl unserer Passwörter sind wir dabei häufig nicht besonders kreativ.

Bild 1: Fotolia, © lassedesignen

Bild 2: Fotolia, © Rawpixel.com

Bild 3: Fotolia, © Björn Wylezich

Bild 4: Fotolia, © cendeced

Bild 5: Fotolia, © ozan

 

News Redaktion am Donnerstag, 30.11.2017 18:40 Uhr

Tags: anonymität internet anonym datensicherheit cyber-security pins code anonymisierungsdienste cybersicherheit tan world wide web payment verschlüsselung

Weitere interessante News

-> Zu dem Artikel Proceed to Homepage

passend zum Thema