Konferenz für Cyber-Sicherheit in Potsdam: Online-Tresor statt Dropbox

Potsdam - Späh-Affäre, Wirtschafts-Spionage, Cyber-Attacke auf den Bundestag. Spätestens seit den Enthüllungen von Edward Snowden ist auch Wirtschaft und Politik klar geworden, wie wichtig die Sicherheit der eigenen Computer-Infrastruktur ist. Eine bedeutende Rolle in diesem Feld spielt das Potsdamer Hasso-Plattner-Institut (HPI), das derzeit die 3. Potsdamer Konferenz für Nationale Cyber-Sicherheit ausrichtet.

Automatische Verschlüsselung

Auf der zweitägigen Konferenz, an der unter anderem Verfassungsschutz-Präsident Hans-Georg Maaßen und Nato-Vizegeneralsekretär Jamie Shea teilnahmen, stellte das HPI am Donnerstag den zusammen mit der Bundesdruckerei entwickelten „Online-Datentresor“ vor: Das Projekt ist als sichere Alternative zu populären Cloud-Speicher-Diensten wie Dropbox geplant, bei denen Nutzer Daten „in der Cloud“, also nicht auf ihrem eigenen Rechner, sondern auf Servern externer Unternehmen speichern können.

Da die Server oft außerhalb Deutschlands stehen und die Datenübertragung zumeist unverschlüsselt geschieht, besteht ein hohes Risiko für die Daten. Dies soll durch die vom HPI entwickelte Cloud-RAID-Technologie beim Online-Datentresor anders sein: „Die Daten werden automatisch verschlüsselt und durch ein Fragmentierungsverfahren auf verschiedene Speicherorte verstreut“, sagte HPI-Sprecher Hans-Joachim Allgaier. „Dadurch kann keiner der einzelnen Server-Betreiber etwas mit den verschlüsselten Datenfragmenten anfangen.“

Zudem werden die Daten nur auf Servern in Deutschland gespeichert, unterliegen also deutschem Recht. Damit keine Daten durch Speicherausfälle verloren gehen, werden bestimmte Teilinformationen der Daten mehrfach abgespeichert. Laut Allgaier soll der Online-Datentresor im September getestet werden und frühestens Anfang nächsten Jahres für kleine und mittelständische Unternehmen auf den Markt kommen.

Identifizierung über den Perso oder das Smartphone

Für einen zusätzlichen Sicherheitslevel sorgt die Bundesdruckerei, die unter anderem Personalausweise und Banknoten herstellt: Geschehen soll dies über eine „Trusted Service Plattform“, auf der sich die Nutzer sicher registrieren und identifizieren können sollen. Geschehen könne diese Authentifizierung laut HPI etwa per Personalausweis oder Smartphone. Dadurch soll sichergestellt werden, dass man auch der ist, der man vorgibt zu sein, sodass Identitätsmissbrauch im Netz verhindert wird. Diese Identifizierung ist zunächst nur für den Online-Datentresor geplant, laut Allgaier sei sie jedoch auch für andere Dienste denkbar. Mit dem Datentresor sollen vor allem Mitarbeiter innerhalb oder zwischen Unternehmen Dokumente und Daten sicher austauschen, doch auch Privatpersonen sollen ihn künftig nutzen.

Dafür besteht großer Bedarf, ist HPI-Direktor Christoph Meinel überzeugt: „Die fortschreitende Digitalisierung führt zu einer Zunahme an Identitätsmissbräuchen.“ Um dies zu verhindern und neue Konzepte und Technologien zur digitalen Identitätssicherung zu entwickeln, eröffnete das HPI zusammen mit der Bundesdruckerei am Donnerstag das „Secure Identity Lab“: In der von der Bundesdruckerei finanzierten Forschungseinrichtung sollen HPI-Doktoranden Lösungen für Sicherheitslücken erarbeiten. Das „Secure Identity Lab“ werde laut Allgaier drei Stellen umfassen und im HPI untergebracht sein.

Cyber-Angriffe in Echtzeit erkennen

Beherrschendes Thema der Konferenz war aber die große Cyber-Attacke auf den Deutschen Bundestag, bei dem vermutlich aus Geheimdienstkreisen Trojaner für einen Spähangriff in das Datennetz des Bundestages eingeschleust wurden. Auch für solche Angriffe hat das HPI vor Kurzem eine Technologie entwickelt: Christoph Meinel stellte auf der Sicherheitskonferenz das „Real-time Event Analytics and Monitoring System“ (REAMS) vor, mit dem Cyber-Angriffe in Echtzeit, also während sie geschehen, entdeckt und analysiert werden können.

Ob diese Technologie den Bundestag hätte schützen können, ist schwer zu sagen, denn laut Verfassungsschutz-Chef Maaßen handelte es sich dabei um einen „beachtlichen Angriff“. Woher er stammte, konnte Maaßen nicht sagen, denn obwohl der Angriff bereits vier Wochen zurückliegt, hat der Bundestag den Inlandsgeheimdienst bislang nicht an den Ermittlungen beteiligt.

Maaßen zeigte sich unzufrieden, dass der Bundestag seiner Behörde anscheinend nicht die Kompetenz für die Aufklärung der Cyberattacke zuzutrauen scheint: „Ich glaube, man sollte mehr Vertrauen zur inländischen Spionageabwehr haben als zu gegnerischen Nachrichtendiensten“, sagte der Verfassungsschutz-Chef . Eine Verantwortung für das Versagen der Computer-Infrastruktur wies Michael Hange, Präsident des Bundesamtes für Sicherheit in der Informationstechnologie (BSI), von sich: „Das BSI hatte umfangreiche Empfehlungen zu Sicherheitsmaßnahmen gegeben“, so Hange. „Aber für seine IT ist der Bundestag selber verantwortlich.“