Kryptographische Verschlüsselung

= eine Methode, die Daten so zu verschlüsseln, dass ein für eine Unbefugten der Aufwand der Entschlüsselung größer ist als der daraus
resultierende Nutzen. Gegenstand der Verschlüsselung sind Daten, die gespeichert sind oder mit Hilfe des Netzwerkes transportiert werden. Hierbei muss eine relativ hohe Sicherheit gewährleistet sein.
Ein Bsp. für eine Verschlüsselung mit dem Prinzip der Vertauschung wäre: CRYPTOGRAM " RCPYOTRGMA " um das Lösen zu können braucht man einen Schlüssel.
( vgl. Heinrich; Wirtschaftsinformatik ). Weitere Informationen zur allgemeinen Verschlüsselung findet man unter
http://newmedia.idv.edu/medienlehre/nim04w/

/9956383

Der Einsatz von Computersystemen ebnete den Weg für die Kryptographie. Es bietet sich die Möglichkeit allgemeine Verschlüsselungsverfahren zu implementieren und so den Benutzerkreis zu erweitern. Durch diese Vereinigung von mehreren Benutzern wollte man die Informationsweitergabe in Papierform durch die EDV ersetzen. Natürlich resultieren daraus viele Probleme die mitunter auch zum Missbrauch führen können. Jede kann die Information kopieren, aktualisieren und bearbeiten. Vor allem auch im Bereich der elektronischen Kommunikation kommt es sehr häufig zu Attacken. D.h. viele versuchen, Informationen z.B. über eine Firma zu bekommen um einen Startvorteil zu erlangen. Problematisch wird es auch für die Abwicklung der Kommunikation mit Geschäftspartnern über den elektronischen Wege. Kundenzufriedenheit steht an oberster Stelle und deshalb muss unbedingte Geheimhaltung der Daten gesichert sein.
Durch die kurze Auflistung möglicher Probleme zeigt sich, dass es in der heutigen Zeit immer wichtiger wird, Maßnahmen dagegen zu setzen. Bedrohungen müssen in Form eine Risikoanalyse aufgestellt werden . Nach Durchführung dieser, müssen die einzelnen Vorfälle priorisiert werden d.h. wie häufig tritt diese Bedrohung ein. Mit dieser Aufstellung wird dann eine entsprechende Sicherheitsstrategie entworfen.
Es ist nahezu unmöglich das Risiko der Entschlüsselung gleich Null zu setzen. Ziel sollte es sein, eine Sicherheitsstrategie zu entwerfen wo ein kalkulierbares Restrisiko für das Unternehmen bestehen bleibt. Wichtig ist, dass die Sicherheitssysteme immer aufwendiger werden, sodass der Aufwand der Entschlüsselung in keiner Korrelation zum Nutzen steht. Dennoch muss man sagen, dass wenn das notwendige Kleingeld und die Dringlichkeit vorhanden ist, sicherlich Wege zur Entschlüsselung gefunden wird. Ist die Bedeutung der Daten ungeheuer wichtig, wird es sicher nicht am Geld und an der Zeit scheitern. Heute finden wir eine Welt voll Korruption, Bestechung, Protektionismus .. . deshalb wird es immer Wege geben, eine als sicher konzipierte Verschlüsselung zu entschlüsseln. Geld spielt dabei eine wichtige Rolle.

Jedoch gibt es einige Verfahren die eine Sicherheit gewährleisten. Diese sind noch jung und ihre Einsatz ist relativ teuer. Ich möchte in meinem Beitrag noch im speziellen auf die biometrische Authentifikation eingehen.


BIOMETRISCHE AUTHENTIFIKATION

Das Bedürfnis, Personen einwandfrei und unwiderlegbar zu identifizieren,
besteht schon sehr lange. Die Berechtigung, ein Haus zu betreten, einen Schrank zu öffnen, eine Grenze zu überschreiten, Geld von einer Bank zu beziehen, usw. usw. ist immer an die Identität einer Person geknüpft. Diese Identität muss in irgend einer Weise bewiesen werden. In allen diesen Fällen sprechen wir von Verifizierung: Eine Person behauptet, berechtigt zu sein bzw. eine bestimmte Identität zu besitzen, und dies muss verifiziert werden.

Wohl der älteste Identitäts- und damit Berechtigungsbeweis, der auf einer technischen Einrichtung und nicht auf dem persönlichen Wiedererkennen einer Person beruht, ist der mechanische Schlüssel. Hier beruht der Nachweis der Identität und damit Berechtigung auf einem Besitz. Neuere Ausformungen derselben Kategorie sind alle Arten von Kunststoffkarten, die elektrisch, magnetisch oder optisch lesbar sind. Alle diese Formen von Berechtigungsbeweisen haben heute einen hohen technischen Stand erreicht und sind zum Teil schwer nachzuahmen oder zu fälschen. Es haftet ihnen aber ein prinzipieller Nachteil an: Die technische Einrichtung kann wohl die Identität und Berechtigung der Karte oder des Schlüssels feststellen, aber nicht diejenige des Besitzers oder Überbringers. Mit andern Worten: Besitz kann gestohlen, verloren, oder an Unberechtigte weitergegeben werden.

Diesen Nachteil suchen Systeme zu vermeiden, die nicht auf Besitz, sondern auf Wissen beruhen. Passwörter sind hier die älteste Methode, Identität und Berechtigung zu beweisen. In neuerer Zeit sind diese Verfahren ebenfalls automatisiert worden in Form von Zugangspasswörtern z.B. bei Computern,
oder von Persönlichen Identifikations-Nummern (PIN). Der Missbrauch durchDiebstahl ist hier ausgeschaltet, jedoch nicht die Weitergabe an Unberechtigte.
Einziges Mittel, die Identität einer Person unwiderlegbar festzustellen, ist die automatische Erkennung persönlicher Eigenschaften. Wir bezeichnen diese als biometrische Eigenschaften, die Technik dieser Erkennung als Biometrie.

Anforderungen an diese biometrischen Eigenschaften zu stellen:
- Invarianz der Eigenschaften. Diese dürfen sich über einen längeren Zeitabschnitt nicht verändern
- Erfassbarkeit. Die Eigenschaften müssen in relativ kurzer Zeit messtechnisch erfassbar sein
- Einzigartigkeit. Die Eigenschaften sollten genügend eindeutige Merkmale beinhalten, um die Person von jeder andern zu unterscheiden
- Akzeptanz. Die Messung der Eigenschaften muss in für ein breites
- Publikum akzeptabler Form erfolgen. Auszuschließen sind insbesondere
- invasive Techniken, d.h. Techniken, die zur Prüfung einen Teil des Körpers benötigen oder (scheinbar) beeinträchtigen.
- Reduzierbarkeit. Die erfassten Eigenschaften müssen auf einen leicht handhabbaren Datensatz reduziert werden können.
- Zuverlässigkeit. Das Verfahren muss eine hohe Zuverlässigkeit und Reproduzierbarkeit aufweisen.
- Datenschutz. Die Privatsphäre der erfassten Personen ist zu schützen.

Grundsätzlich können biometrische Merkmale in 2 Gruppen eingeteilt werden:

Aktivdynamische, verhaltensorientierteMerkmale:z.B. Handschrift
Passivstatisch, physiologischbedingte Merkmale:z.b. Retina

Technische Voraussetzungen für die Verifizierung einer Person ist, dass die betreffende Person zuerst als XY im Erkennungssystem registriert und ein Datensatz abgespeichert wurde, der die biometrischen Merkmale festhält.
Unabhängig vom eingesetzten System wird anschließend folgender Vorgang durchlaufen, um die Identität einer Person zu überprüfen:
- Eingabe der behaupteten Identität der Person
- Abruf des gespeicherten Datensatzes dieser Person aus einem Speicher
- Messtechnische Erfassung der biometrischen Merkmale
- Vergleich der erfassten Merkmale mit den gespeicherten Daten
- Anzeige bzw. Verwertung des Resultats

Zur Beurteilung von biometrischen Systemen werden im wesentlichen fünf Werte angeführt:
- Zeitbedarf der Erstregistrierung
- Zeitbedarf einer Verifikation
- Falsche Akzeptanz
- Nichterkennung einer registrierten Person.
- Gleichfehlerpunkt (Equal Error Rate EER)

Sind biometrische Sicherheitssysteme teuer?
Die Verwertung biometrischer Merkmale zur Erkennung von Personen wird immer teurer bleiben als das Lesen von Ausweiskarten mit einem Magnetstreifen oder einem andern physikalischen Speichermedium. Das ergibt sich aus der Komplexität der Aufgabe. Dabei ist ein Kostenvergleich natürlich
nur zu ziehen bei in etwa vergleichbaren Herstellungs-Stückzahlen, und in dieser Hinsicht sind die biometrischen Geräte bis heute noch deutlich im Nachteil.
Ein Vergleich lediglich der Stückkosten solcher Geräte ist jedoch kaum aussagekräftig. Vielmehr sollten weitere Faktoren in die Kalkulation eingehen, wie zum Beispiel:
- Installationskosten
- Einführungskosten

- Kosten des Betriebs
- Lebensdauer
- Einsparungen durch Vermeiden von Betrug

Die Installationskosten sind in den meisten Fällen weder wesentlich höher noch tiefer als bei konventionellen Systemen. Die Einführungskosten dürften höher liegen, da zu berücksichtigen ist, dass die Benutzer zunächst einzeln registriert werden müssen, und da der Gewöhnungsbedarf mindestens heute noch höher liegt.
Gegenüber besitzesbasierten Systemen sind jedoch die Betriebskosten biometrischer Systeme wesentlich geringer. Es entfällt der Ersatz, die Neuausgabe und die Verwaltung von Karten. Die biometrischen Merkmale sind digital gespeichert und lassen sich ebenso leicht löschen wie validieren und devalidieren. Obwohl die Erfassung biometrischer Eigenschaften technisch nicht unproblematisch ist, kann diesem Sicherheitssystem ein Aufschwung vorausgesagt werden. Sicherheit und Sicherheitsdenken wird immer wichtiger und nimmt eine sehr bedeutungsvolle Stellung in unserer Gesellschaft ein.
Dennoch gibt es zB viele Bedenken was die Privatsphäre der Benutzer solcher Systeme betrifft. Mancher solcher Merkmale kann man gewisse Informationen entnehmen, welche die Gesundheit des Benutzers anbelangen. Bei dem Netzhautscan kann man beispielsweise Hinweise auf Hypertonie finden. Die größte Gefahr besteht in diesem Zusammenhang natürlich beim Einsatz von DNA als Merkmal. Man könnte alle genetischen Anlagen auswerten, unter Umständen auch an Versicherungen oder andere Institutionen weiterverkaufen die an solchen Daten interessiert sind.
Die Hinterlegung biometrischer Eigenschaften einer Person berührt deren Persönlichkeitsrechte und wird deshalb bezüglich Datenschutz relevant. (vgl. Gora, Walter / Krampert, Thomas: Handbuch IT-Sicherheit: Strategien, Grundlagen und Projekte, Addison-Wesley-Verlag 2002)


Weitere Informationen finden sich unter :
http://www.e-business.fhg.de/web/produkbl/iisbiomeaut.pdf
bits.informatik.hu-berlin.de/ bits2_vortraege/07Biometrie-BITS.pdf
http://www.identalink.com/html/body_bpss.html