Zum Einloggen fürs Online-Banking wurden ein Benutzername und Passwort in eine Suchmaske eingegeben

Kryptologie

Kryptologie im Alltag

Drahtlos ins Netz und online Geld überweisen, mit der EC-Karte im Supermarkt zahlen und am Automaten Geld abheben – all das wäre ohne die Kryptografie undenkbar.

Von Franziska Badenschier

Fällt kaum auf

"Wir benutzen die Kryptologie täglich und bemerken das oft nicht einmal", sagt Johannes Blömer, der Leiter der Arbeitsgruppe Codes und Kryptografie an der Universität Paderborn. Doch wer darauf achtet, kann die Verschlüsselungstechniken im Alltag wahrnehmen.

Etwa wenn wir uns im W-LAN anmelden, wenn wir im Supermarkt mit EC-Karte bezahlen oder wenn wir im Internet surfen. In der Adressleiste des Browsers steht dann häufig "https" statt "http" – vor allem bei den Seiten, bei denen es wichtig ist, etwa auf der Seite eines Shops oder einer Bank.

SSL und TSL für eine sichere Datenleitung

Das Wort SSL steht für "Secure Sockets Layer". Hinter den drei Buchstaben verbirgt sich ein Protokoll für eine sichere Datenleitung zwischen zwei Rechnern. "Bevor zwei Rechner vertraulich miteinander kommunizieren können, müssen sie sich erst einmal miteinander vertraut machen", sagt Blömer.

Stellen sich zwei Menschen einander vor, geben sie sich die Hand. So ähnlich machen es auch zwei Rechner, wenn sie sich übers SSL-Protokoll begrüßen. Vor der Sitzung gibt es einen "Handshake" und ein Sitzungsschlüssel wird vereinbart. Diesen verwenden die beiden Rechner, um alle folgenden Nachrichten zu verschlüsseln – und um diese zu entschlüsseln.

Zudem wird ein sogenannter Fingerabdruck berechnet. "Dieser wird bei jeder Nachricht mitgeschickt. So kann sich der eine Rechner vergewissern, dass die Nachricht wirklich von dem vertrauten Rechner kommt und dass diese unterwegs nicht verändert wurde."

Das Unternehmen Netscape veröffentlichte das SSL-Verfahren 1994. Parallel dazu begann eine Arbeitsgruppe der Internet Engineering Task Force damit, das SSL-Protokoll weiterzuentwickeln. Der Nachfolger von SSL wurde Transport Layer Security genannt, kurz TSL. Die Bezeichnung SSL ist aber nach wie vor üblich, auch wenn die Daten heute eigentlich mit der TSL-Methode verschlüsselt und übertragen werden.

Icon mit Schriftzug "SSL" und "Datensicherheit".

SSL-Symbol: Ein Zeichen für sichere Datenleitung

Sicher surfen im Netz

HTTPS ist eine Abkürzung für Hyper Text Transfer Protocol Secure. Dieses "sichere Hypertext-Übertragungsprotokoll" sorgt dafür, dass Daten im World Wide Web abhörsicher übertragen werden. Im Prinzip ist https eine übliche http-Übertragung plus SSL-Sicherung.

Das hat zwei entscheidende Vorteile: Der Browser eines Computers und der Webserver der angesteuerten Internet-Seite authentifizieren sich gegenseitig. Die Daten, die diese beiden Sender und Empfänger austauschen, werden von Anfang an verschlüsselt.

Wer sich in sein Online-Konto einloggt, sollte unbedingt darauf achten, dass in der URL-Zeile des Browsers HTTPS steht und nicht nur HTTP: Fehlt das S, ist die Leitung nicht sicher und die Wahrscheinlichkeit hoch, dass es sich um eine Kopie der Website handelt, über die Betrüger an die Kontodaten und ans Geld des Nutzers kommen wollen.

Der Beginn einer URL-Zeile zum Online-Banking beginnt mit https.

Sicher surfen mit HTTPS

EC-Karte und PIN

An der Kasse im Supermarkt zahlen viele mit der EC-Karte. Das geht schnell, aber ist es auch sicher? Die vierstellige Geheimzahl PIN darf auf keinen Fall im Klartext übermittelt werden: Das verlangt der Datensicherheitsstandard des Zentralen Kreditausschusses. Das gilt für jede Form des kartengestützten Zahlungsverkehrs, also auch am Geldautomaten.

Die PIN darf nicht weitergegeben werden. Dafür sorgt das sogenannte Hardware-Sicherheitsmodul (HSM). Das HSM ist ein Chip, der kryptografische Schlüssel erzeugt und speichert. Das ist sicherer, als wenn die Verschlüsselung nur in einem Computer ablaufen würde.

Eine Frau steht an einer Supermarkt-Kasse und bezahlt mit Karte.

Mit der Karte zahlen

Wahl-Computer

So ein Wahl-Computer könnte praktisch sein: Die Wahlhelfer müssten die Stimmen nicht mehr von Hand zählen, es würde viel Papier und Personal gespart. 2009 erklärte jedoch das Bundesverfassungsgericht die Wahl mit dem Computer für verfassungswidrig. Die Begründung: Die Ergebnisse könnten nicht unabhängig überprüft werden.

Bei der Bundestagswahl 2005 wurden in den Niederlanden Wahlgeräte des Unternehmens NEDAP verwendet. Ein paar Wochen vor den Parlamentswahlen im Jahr danach knackte Rop Gonggrijp eine ähnliche Wahlmaschine.

"Es gab keine Kryptografie", sagte der Hacker gegenüber der Presse. "Wir mussten keine Schlüssel suchen." Geholfen hatten Gonggrijp Freunde aus der Bürgerinitiative "Wij vertrouwen stemcomputers niet" (deutsch: "Wir vertrauen Stimmcomputern nicht") und Mitglieder des deutschen Chaos Computer Club.

Damit Wahlgeräte besser werden, bräuchten sie mehr Kryptografie, sagte der deutsche Software-Entwickler Ulrich Wiesner in einem Vortrag. Jeder solle für seine abgegebene Stimme eine Quittung erhalten, mitsamt einer Identifikationsnummer und der verschlüsselten Information über die Stimmabgabe. Nur so könne der Wähler sicher sein, dass seine Stimme zähle und dass das Wahlgeheimnis gewahrt bleibe.

Es entstünden jedoch neue Probleme, warnte Wiesner. Schon ein Papierkorb im Wahlbüro könnte dazu führen, dass Wähler ihre Quittung unbedacht wegwerfen und Betrüger die Stimme auf einen anderen Kandidaten umlenken.

Testwahl im Ministerium für Inneres und Sport in Rheinland-Pfalz im Jahr 2002.

Wahlgeräte: Kryptografie soll sie sicherer machen

(Erstveröffentlichung 2013. Letzte Aktualisierung 24.01.2021)

Quelle: WDR

Darstellung: