Integralis Security World etabliert sich als Branchentreff
Phil Zimmermann: VoIP gerät ins Visier des organisierten Verbrechens
Auf der Hausmesse "Security World" des IT-Sicherheitsdienstleisters Integralis vom 23. bis 24. Juni in Stuttgart warnte "Mr. PGP" Phil Zimmermann als Keynote-Speaker davor, Voice over IP weiterhin unverschlüsselt zu benutzen. VoIP werde künftig ebenso ins Visier des organisierten Verbrechens und der Industriespione rücken, wie es heutzutage die IT-Infrastrukturen der Unternehmen schon sind.
Zur Eröffnung der Integralis Security World verkündete Johann Miller, Geschäftsführer Central
Europe bei Integralis, sichtlich stolz, man habe hochrangige Vetreteter von 35 der weltweit
wichtigsten Security-Anbieter versammelt, die zusammen rund 80 Prozent des Marktes ausmachten.
Verteten waren hier unter anderem Blue Coat, Check Point, Cisco, Enterasys, F5, IBM, Juniper,
Loglogic, McAfee, RSA und Tripwire, aber auch diverse kleinere Anbieter wie Tufin. Alle 35 Anbieter
kombinierte der Veranstalter zu einem live zu begutachtenden Solution Campus.
Nach der erfolgreichen ersten ISW im letzten Jahr hat man die Veranstaltung von einem auf zwei
Tage ausgedehnt. Den rund 460 Besuchern (laut Voranmeldungen) präsentierte Integralis ein
umfangreiches Programm bestehend aus 29 Vorträgen aus sechs Themenbereichen sowie Kundenvorträgen
und Live-Hacks – und nicht zuletzt den PGP-Gründer Phil Zimmermann als Eröffnungsredner.
http://llschnuerer.cmpdm.de//articles/zombie-commerce_ist_realitaet_cyber-banditen_handeln_via_web_mit_bot-pcs:/2009007/31980565_ha_LL.html?thes=8001,9779,9780,9781,9782,9783,9784,9785,9786,9787&tp=/themen/security">Zombie-Commerce
ist Realität: Cyber-Banditen handeln via Web mit Bot-PCs
http://llschnuerer.cmpdm.de//articles/zensur-software_aus_china_koennte_das_gesamte_netz_gefaehrden:/2009007/31978070_ha_LL.html?thes=8001,9779,9780,9781,9782,9783,9784,9785,9786,9787&tp=/themen/security">Zensur-Software
aus China könnte das gesamte Netz gefährden
http://llschnuerer.cmpdm.de//themen/security-awareness/index.html?thes=10191">LANline-Themenkanal Security
Awareness
Positiv hob Zimmermann hervor, dass der Gesetzgeber in den USA heutzutage – anders als zur
Anfangszeit von PGP im Kalten Krieg – starke Verschlüsselung fördert, unter anderem durch Maßnahmen
wie die Pflicht zur Veröffentlichung verlorener oder gestohlener Kundendaten oder gesetzliche
Regularien wie HIPAA im US-Gesundheitswesen. Vor diesem Hintergrund habe PGP – "ursprüglich ein
Werkzeug für Menschenrechte" – den Weg vom Tool für individuellen Datenschutz in die Unternehmen
gefunden.
Zimmermann berichtete von seinem aktuellen Projekt Zfone (www.zfone.com) zur Verschlüsselung von
VoIP-Verkehr. Dieses Projekt finanziert Zimmermann selbst und nutzt dazu Entwickler in der Ukraine.
"Die Zeit ist reif für VoIP-Verschlüsselung", so Zimmermann. Den während klassische Telefonie
(PSTN) physisch gut geschützt gewesen sei, genüge heute in Unternehmen mitunter ein infizierter PC,
um andere PCs wie auch VoIP-Telefone zu kompromittieren.
Während Unternehmen früher "Teenager mit ulkigen Haarschnitten" als Gegner hatten, so
Zimmermann, habe man es heute mit organisiertem Verbrechen zu tun, da Datendiebstahl inzwischen ein
lukrativer Markt ist: "Das organisierte Verbrechen wird beginnen, VoIP anzugreifen, so wie es den
Rest der IT schon heute angreift", warnte der Verschlüsselungsfachmann.
Den Bedarf für VoIP-Verschlüsselung umschrieb Zimmermann wie folgt: "Die gesamte Gesellschaft
braucht VoIP-Verschlüsselung wenn wir den Umschwung zu VoIP vornehmen wollen." Entgegen
Vorbehalten, die verschlüsselte Kommunikation diene auch den Übeltätern und Terroristen,
prophezeite er: "Wir werden eine allgemeine Akzeptanz von verschlüsseltem VoIP erleben." Denn es
sei das "manifestierte Schicksal" der Telefonie, sich in VoIP-Telefonie zu wandeln.
Blackberry biete bereits einige PGP-basierte Features, und für Android stünden
Third-Party-Applikationen bereit. Er selbst benutze ein Iphone und SSL-Verschlüsselung.
Das verbreitete Benutzerverhalten von Mobiltelefonierern, in der Öffentlichkeit oftmals
lautstark auch Geschäftsinternes zu besprechen, hält Zimmermann hingegen nicht für problematisch: "
Hier hören zufällig fünf oder sechs Personen eine Konversation mit." Dies sei gar nicht zu
vergleichen mit dem enormen Aufwand zum Beispiel chinesischer Regierungsstellen, um gezielt
Industriespionage zu betreiben. Dass unter den "zufällig" vorhandenen "fünf oder sechs" Lauschern
auch ein Social Engineer sein könnte, beunruhigt den Verschlüsselungsguru hingegen nicht: "Darüber
mache ich mir keine Sorgen."
Wichtiger sei es, dass die Anwender sich sichere Passphrasen überlegen: "Die meisten Leute haben
keine guten Passphrasen. Sie haben Passwörter, und die sind oft über einen Wörterbuchangriff zu
ermitteln." Wichtig sei zudem die sichere Speicherung der privaten Schlüssel. Zimmermann rät dazu,
die Schlüssel auf einer verschlüsselten Festplatte abzulegen. Denn das Speichern auf Tokens erfolge
unverschlüsselt, sodass die Daten mit geeigneten Hilfmitteln schnell auszulesen seien: "Das ist
trivial", so Zimmermann.
Für Zfone setzt Zimmermann auf ephemere Diffie-Hellmann-Schlüssel, die nach dem Telefonat
verworfen werden. Denn für Telefonate benötige man keine dauerhaften Schlüssel, somit also auch
keine PKI (Public Key Infrastructure). Zfone nutze einen HMAC-Hash der Sesssion-Keys, die die
Gesprächspartner dann verbal vergleichen, um Man-in-the-Middle-Angriffe auszuschließen. Dies sei
widerstandsfähiger und flexibler als statische Systeme, was insbesondere in Fällen von Vorteil sei,
in denen Anwender spontan sicher kommunizieren müssen, etwa im Fall eines
Katastrophenschutzeinsatzes mit unterschiedlichen Teams.
LANline/Dr. Wilhelm Greiner
Lesen Sie mehr zum Thema
