Hören Sie auf, sich mit der Verschlüsselung zu beschäftigen

Wir sind so fasziniert von unserer eigenen Brillanz in der Kryptographie, dass wir vergessen, dass die meisten ruhenden Daten – versteckt in Datenbanken – unverschlüsselt sind.

Ein typisches Beispiel hierfür ist eine Analyse der Verschlüsselungskontrollen durch Skyhigh. Sie ergab, dass 81,8 % der Cloud-Service-Provider Daten während der Übertragung mit SSL oder TLS verschlüsseln, aber nur 9,4 % der Provider die Daten verschlüsseln, sobald sie in der Cloud gespeichert sind. Das macht die wachsende Zahl von Organisationen, die uneingeschränkten Zugriff auf Cloud-Datenbanken und AWS S3-Speicher-Buckets anbieten, zu einem bevorstehenden Albtraum.

Die heutigen Cyberabwehrmaßnahmen basieren in hohem Maße auf der Tatsache, dass selbst die leistungsstärksten klassischen Supercomputer nahezu unvorstellbar viel Zeit benötigen würden, um die kryptografischen Algorithmen zu entschlüsseln, die unsere Daten, Computernetzwerke und andere digitale Systeme schützen.
Von < https://it.slashdot.org/story/18/12/05/2342226/quantum-computers-pose-a-security-threat-that-were-still-totally-unprepared-for >

Diese Aussage ist unbestreitbar wahr. Das Problem besteht darin, dass die Kryptografie unsere Daten, Computernetzwerke und andere digitale Systeme nicht vollständig schützt. Es schützt Daten während der Übertragung und – wenn wir Glück haben – auch im Ruhezustand. Es erweitert die Zugriffskontrolle für kritische Systeme. Die Realität sieht jedoch so aus: Damit die „Netzwerke“ und „Systeme“ Daten verarbeiten und Logik ausführen können, müssen sie in der Lage sein, Daten im Klartext anzuzeigen. Für Unternehmen besteht ein größeres Risiko durch ungeschützte und ungepatchte Anwendungen als durch digitale Spanner.

Dies ist letztlich der Grund dafür, dass es weiterhin immer häufiger zu Datenschutzverstößen kommt. Nicht weil die Daten während der Übertragung oder im Ruhezustand nicht verschlüsselt sind, sondern weil Anwendungen und APIs die Daten in verschlüsselter Form nicht verarbeiten können. Die Daten müssen unverschlüsselt sein, da sie sonst gefährdet sind. Und Schwachstellen ziehen Angreifer an.

Die Anwendungen und APIs, die mit diesen unverschlüsselten Daten interagieren und sie verarbeiten, stellen eine größere Bedrohung für die Sicherheit und den Schutz der Daten dar als das Knacken quantenbasierter Kryptografie. Das ist einer der Gründe, warum sie so häufig ins Visier geraten. Einer Analyse von F5 Labs zufolge, die sich über ein Jahrzehnt von Sicherheitsverletzungen erstreckte , „waren bei 53 % der Sicherheitsverletzungen Anwendungen das erste Ziel.“ Sie stellen nicht nur den einfachsten Weg zu den Daten dar, sondern sind auch einer der wenigen Orte im zunehmend verschlüsselten Datenpfad, an dem die Daten unverschlüsselt und für diejenigen, die sie suchen, sofort nutzbar sind.

Heutzutage reagieren wir nahezu unempfindlich auf Datendiebstähle, weil sie mit einer so alarmierenden Häufigkeit geschehen, dass es heute ganz normal ist, in den Nachrichten zu hören, dass Millionen von Datensätzen über eine Anwendung aus einer Datenbank gestohlen wurden. Und das trotz der Bemühungen, uns zur Verschlüsselung zu zwingen – zur Verwendung von HTTPS statt HTTP. Und das, obwohl Browser kryptografische Standards für die Algorithmen und Schlüssellängen durchsetzen, mit denen die Daten vor „neugierigen“ Blicken geschützt werden.

Wenn die heutige „Cyberabwehr“ tatsächlich so stark auf der Stärke der Kryptografie beruht, dann sind wir wirklich in Schwierigkeiten. Denn es ist nicht allein die Stärke der Kryptografie, die die Verstöße und die Exfiltration von Daten verhindert, die unsere Newsfeeds plagen und unsere Posteingänge verstopfen. Es ist die Stärke – und zunehmend auch die Intelligenz – mit der wir einen Angriff erkennen und verhindern können, der zum Verlust von Daten führt.

Verschlüsselter Schadcode ist immer noch bösartig. In Anwendungsauthentifizierungssysteme eingeschleuste, verschlüsselte gestohlene Anmeldeinformationen sind immer noch gestohlene Anmeldeinformationen. Durch die Beseitigung von Middleboxes wird die Gefahr nicht beseitigt, dass ein anfälliger Web- oder Anwendungsserver einen Exploit ausführt, um Zugriff auf wertvolle, nackte Daten zu erhalten.

Es genügt nicht, unsere Fähigkeit zur Verbesserung der Verschlüsselung zu loben, wenn dadurch die Angriffe, die die Ausbeutung von Anwendungen und APIs bedrohen, direkt ins Herz unserer digitalen Wirtschaft getragen werden.  Der Schutz unserer digitalen Assets (Anwendungen) und der Kanäle, über die auf sie zugegriffen wird (APIs), erfordert einen ganzheitlicheren Ansatz zum Anwendungsschutz, der neben starker Kryptografie auch Intelligenz, Identität und Angriffserkennung kombiniert.