07.11.2013

Bewertung der neuen ENISA-Empfehlungen zur Nutzung von kryptografischen Technologien zum Schutz personenbezogener Daten aus technischer Sicht

Portrait von Oliver Stiemerling
Oliver Stiemerling Öffentlich bestellter und vereidigter Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung

CRonline hat bereits auf die neuen ENISA-Empfehlungen zur Nutzung von kryptografischen Technologien zum Schutz personenbezogener Daten hingewiesen ("ENISA-Empfehlungen zum Schutz personenbezogener Daten durch Kryptographie " CRonline News v. 6.11.2013).

In einem Begleitpapier zu den Empfehlungen werden konkrete kryptografische Algorithmen und Protokolle beschrieben und im Bezug auf ihre Sicherheit im Hinblick auf heute bekannte Angriffsmöglichkeiten bewertet (ENISA, "Algorithms, Key Sizes and Parameters Report", Oktober 2013).

Offizielle Bewertung von kryptografischen Algorithmen durch EU

Grundsätzlich ist die offizielle Bewertung und Empfehlung kryptografischer Technologien durch eine europäische Einrichtung sehr zu begrüßen, da diese – bei richtiger Anwendung – tatsächlich eine deutliche Verbesserung des Schutzes personenbezogener (und anderer kritischer) Daten ermöglichen.

Eine aktuelle, von der EU bestätigte und aus meiner Sicht gute und richtige Darstellung des Standes der Technik in diesem Bereich zu haben ist - insbesondere im Hinblick auf die Überwachungs-Skandale der letzten Monate - für Informatiker in Europa ein Gewinn.

Offizielle Fehlinformationen in USA

Es hat sich nämlich herausgestellt, dass die entsprechende Stelle in den USA, das National Insitute for Standards and Technology (NIST) in der Vergangenheit anscheinend unter dem Einfluss von Geheimdienstinteressen bewusst unsichere Verfahren und Algorithmen standardisiert und empfohlen hat ("NIST lässt Zufalls-Generatoren neu prüfen", Heise Online v. 11.9.2013). Dadurch ist der Wert des NIST als Referenz bei der Bewertung von kryptografischen Systemen stark vermindert.

Ausklammerung von wichtigen Teilbereichen der Sicherheit kryptografischer Verfahren

Die aktuellen Veröffentlichungen der ENISA haben allerdings auch ihre Grenzen:

  • Fokus:  Die ENISA weist selbst darauf hin, dass insbesondere die technischen Richtlinien stark auf die mathematische Ebene fokussieren und wichtige Teilfragen (z.B. die Generierung von Zufallszahlen, korrekte Implementierung der Algorithmen) ausgeklammert wurden.
  • Zielgruppe:  Das Paper ist aus meiner Sicht nicht einfach von Mittelständlern oder andere kleine Organisationseinheiten bei der Einrichtung der eigenen IT-Landschaft anwendbar, sondern richtet sich eher an Entwicklung von Sicherheitssoftware und Verantwortliche in großen Unternehmen und Behörden.

Es verbleiben Aufgaben für Evaluierungsstellen und Sicherheitslabore

Die ENISA versteht sich selbst auch nicht als Evaluierungsstelle oder Labor, sondern eher als Vermittler von Informationen und Berater (siehe "About ENISA - What das ENISA do?" und "ENISA - Sichert Europas Informationsgesellschaft").

Tiefergehende Evaluierungen oder Empfehlungen (z.B. für spezifische Produkte, die auch von kleinen Organisationen schnell eingeführt werden können) sind eher von Stellen wie beispielsweise dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland zu erwarten.

 

Zurück