03. April 2014

Warum der Aufbau von sicheren Kommunikationsnetzen so schwierig ist – oder: Die innere Logik von Kommunikationsnetzen

In einer aufschlussreichen Gesprächsrunde haben wir über ein neues digitales Geschäftsmodell im Gesundheitswesen diskutiert, beim dem das Thema „sichere Kommunikation“ eine zentrale Rolle spielt. Dabei haben wir ein paar interessante Aspekte erarbeitet, die mir vorher so nicht klar waren. Diese Gedanken lassen sich sehr allgemein und grundsätzlich in drei Thesen zusammenfassen:

These 1: Die gesamte Struktur und Kultur innerhalb eines Kommunikationsnetzes entscheiden sich an erstaunlich wenigen Punkten.

These 2: Sichere Kommunikation (in Bezug auf Authentifizierung) ohne ein persönliches Kennen ist nicht möglich.

These 3: Auch beim persönlichen Kennen muss man sich entweder persönlich treffen zum Austausch von Schlüsselpaaren, oder einen anderen Kommunikationsdienst als Referenz benutzen.

In diesem Blogeintrag geht es nicht um das Thema Verschlüsselung, sondern darum, wie sicher ich mir sein kann, dass am anderen Ende der Leitung wirklich der gewünschte Kommunikationspartner ist.

Netze mit Verzeichnisdiensten

Kommunikation in Netzen mit Verzeichnisdiensten hat per Definition das Problem, dass man sich nicht ganz sicher sein, wer sich am anderen Ende der Kommunikationsleitung tatsächlich befindet. Man muss zwingend weitere Eigenschaften des Kommunikationspartners  kennen – und letztlich helfen auch diese nicht bei der eindeutigen Identifikation.

Einleuchtend ist diese Behauptung für Dienste, bei denen man sich ohne Zugangsvoraussetzung anmelden kann, und in denen die Profileinträge von den Benutzern selber gepflegt werden: Fotos, Namen und eine Menge Kontextinfos sind mit kurzer Recherche im Internet schnell besorgt. Aber auch formal korrekt anmutende eMail- Adressen helfen faktisch kein Stück bei der Identifikation: Gehört meinem erwarteten Gegenüber wirklich die Adresse stefan.fritz32@gmail.com oder stefan.fritz@synaix-it.de? – Nein, beide gehören mir leider nicht!

Damit wird uns deutlich vor Augen geführt, wie unbestimmt ein Account bei Xing, LinkedIn, twitter oder Facebook eigentlich ist. Und die wenigen unter uns, die jemanden kennen, in dessen Namen einmal ein Fake- Profil angelegt wurde, kennen die Facetten der Albträume und der Verwirrung. Das ist handfester digitaler Identitätsdiebstahl.

Ok, aber all das kann in Netzen, bei denen es einen Boss gibt, doch nicht passieren, wenden wir ein – und hoffen auf eine Institution mit Durchblick: Versuchen wir es doch mal in Gedanken mit einer Berufsgruppe, die sicher ein Interesse daran haben Dinge vertraulich auszutauschen – unsere Ärzte. Alles ganz einfach, denn es gibt ja den Arztausweis und ein Verzeichnis, welches von offizieller Stelle verwaltet wird. Dann suche ich nach Dr. Max Mustermann – und finde in Deutschland je nach dem tatsächlichen Namen zwischen drei und 100 Einträgen. Und damit geht es schon los: ich benötige weitere Identifikationsmerkmale wie Wohnort, vielleicht eine Straße, oder besser ein Foto – oder gar das Geburtsdatum der gesuchten Person.

Doch zum einen ist das nicht datensparsam und – ganz auf die Spitze getrieben – nützt es mir auch nichts: wenn ich nicht alle Merkmale zu der Person klar identifizieren kann, dann kann ich mir letztlich nicht sicher sein, dass es sich wirklich um die Person handelt, mit der ich in Kontakt treten will!

Der einzige Ausweg aus diesem Dilemma ist, dass ich ein wirklich eindeutiges Merkmal (Key) aus einer anderen Kommunikationsinfrastruktur habe, wie die Mobiltelefonnummer oder eine mir schon bekannte eMail- Adresse.

Fazit: Weder ein von Benutzern selbst gepflegter Verzeichnisdienst noch ein von einer zentralen Instanz gepflegter Verzeichnisdienst sichern mir die wirklich eindeutige Identifikation einer mir unbekannten Person zu. Erst das persönliche Kennen eines Schlüssels aus einer anderen Kommunikationsinfrastruktur ermöglicht mir die Übertragung des persönlichen Kennens in die neue Kommunikationsinfrastruktur.

Netze ohne Verzeichnisdienste

Und damit wird klar, warum WhatsApp, iMessage und viele andere Kommunikationsnetze zum einen auf Verzeichnisdienste direkt verzichten – denn ihr Nutzen ist ja systemimmanent  fraglich – und zum anderen in der Regel auf eine Verbindung zu einer anderen Kommunikationsinfrastruktur setzen, häufig die Mobiltelefonnummer.

Denn letztlich ermöglicht nur das persönliche Kennen in Verbindung mit der Kenntnis eines Primärschlüssels aus einem anderen Kommunikationsnetz die authentifizierte Kommunikation,  also die Gewissheit, wer tatsächlich am anderen Ende des Kanals ist.

Sobald ich mich schon bei der Kenntnis des primären Schlüssels auf dessen korrekte Weitergabe durch eine andere Person verlassen muss, kann dies zu einer gefährlich unbestimmten Vertrauenskaskade führen.

Fazit: Im Alltag funktioniert die Kommunikation über die diversen Netze ja überraschend gut.  Aber wenn man wirklich ein großes digitales und sicheres Kommunikationsnetz aufbauen will, bei dem man Sicherheit garantieren will und muss, so kann man das faktisch nicht über technische Randbedingungen erzwingen. Sondern man ist immer auf den geschickten und richtigen Umgang der User mit den Kommunikationsdaten angewiesen.

Oder noch kürzer: In Bezug auf die Authentifizierung sichere Kommunikationsnetze können ohne den richtigen Umgang der Nutzer und ohne Einbeziehung weiterer Kommunikationsnetze nicht aufgebaut werden. (Und sind damit für sich gesehen eine Fiktion.)

Nachbemerkung

Die vollständige Übernahme eines Schlüsselpaares aus einem gut gesicherten anderen Kommunikationsnetz (Mobiltelefonnummer) bei Messaging- Diensten wie WhatsApp belegt den Wert einer hochwertigen Kommunikationsinfrastruktur. Emailadressen sind gegenüber Mobiltelefonnummern, die faktisch eine Smartcard- Infrastruktur darstellen, als schwach einzustufen. Das gilt insbesondere für Domänen, unter denen man die „persönliche“ Adresse selber auswählen kann.

(Stefan Fritz)

Keine Kommentare