Sichere Apps: Wie digitale Daten im Alltag geschützt bleiben

Die Nutzung einer Anwendungssoftware, oder kurz App, gehört für viele von uns zum Alltag: schnell per E-Banking Geld überwiesen, über die ID Austria Behördliches im digitalen Amt erledigen, Dateien in der Cloud verwalten oder Nachrichten verschicken und sich ein wenig auf Social Media ablenken. Bei all diesen Beschäftigungen senden und empfangen wir Daten, viele davon sind hochsensibel, da sie persönliche oder finanzielle Informationen betreffen. Umso wichtiger ist es, dass sie vor unberechtigtem Zugriff, Veränderung oder Missbrauch geschützt sind.

Software und Hardware im Zusammenspiel

Wie das gelingt und auch in Zukunft so bleibt, damit beschäftigt sich der Forschungsbereich Secure Applications am Institute of Information Security (ISEC) der TU Graz. „In der Sicherheit geht es immer darum, wie kritisch das Asset ist, das ich schützen muss“, sagt Arne Tauber, der sich am ISEC insbesondere mit der Informationssicherheit im öffentlichen Sektor befasst, also beispielsweise eGovernment-Anwendungen wie der ID Austria, deren Grundkonzept an der TU Graz entstanden ist.

Arne Tauber und sein Team arbeiten auf der Applikationsebene der Cybersicherheit, also dort, wo Nutzer*innen direkt mit Software und Hardware interagieren. Damit eine App gut abgesichert ist, müssen Hardware, Kryptographie und Anwendung nahtlos ineinandergreifen. Arne Tauber hat hierbei den Vorteil, dass am Institute of Information Security auch Expert*innen aus diesen Bereichen forschen und die Wege kurz sind, um sich mit ihnen auszutauschen.

Mathematik als Sicherheitsbasis

Verschlüsselungen basieren im Kern auf schwierigen mathematischen Problemen, die so komplex sind, dass selbst Hochleistungsrechner tausende Jahre brauchen würden, um sie ohne den passenden Schlüssel lösen zu können. „Nehmen wir das Beispiel der digitalen Signatur: Sie entspricht einem hochkomplexen mathematischen Problem, und nur die Nutzer*innen beziehungsweise deren Endgeräte besitzen die Lösung für dieses Problem. Durch Eingabe eines Passworts oder Biometrie wie Fingerabdruck und Gesichtserkennung wird der Zugriff auf diese Lösung freigegeben, um die eigene Identität für die Gegenseite nachzuweisen“, sagt Arne Tauber.

Dafür nutzen Tauber und sein Team kryptographische Bibliotheken, um digitale Signaturen oder Identitätsnachweise in Anwendungen zu implementieren. Die Herausforderung besteht darin, die von Kryptograph*innen entwickelten mathematischen Verfahren so in die Software einzubauen, dass dabei keine Sicherheitslücken oder Fehlerquellen entstehen und der Freigabemechanismus nicht umgangen werden kann.

Moderne Mobilgeräte sind besser geschützt

Neben der passenden Verschlüsselung müssen die Anwendungen auch mit der Hardware funktionieren, auf der sie laufen. Hierbei erachtet Arne Tauber moderne Mobilgeräte aufgrund ihrer System-Architektur als sicherer als klassische PCs oder Notebooks. „Die heutigen Smartphones haben eigene Sicherheitschips, die darauf optimiert sind, komplexe kryptographische Operationen durchzuführen. Sensible Informationen, wie kryptographische Schlüssel, sind direkt in diesen Chips gespeichert, können das Gerät also nicht verlassen“, sagt Arne Tauber. Zudem schränken mobile Betriebssysteme den Zugriff zwischen verschiedenen Apps sowie zwischen Apps und dem Betriebssystem stark ein, was die Sicherheit weiter erhöht. Bei klassischen PC-Betriebssystemen, die auf Konzepten der 60er- bis 80er-Jahre basieren, ist dies nicht der Fall.

KI und Quantencomputing als Herausforderung

Zwei Faktoren stehen für Arne Taubers Team derzeit ganz besonders im Mittelpunkt: KI und Quantencomputing. Die rasche Weiterentwicklung im Bereich künstliche Intelligenz hat das Katz-und-Maus-Spiel zwischen Angreifenden und Abwehrenden stark beschleunigt. „Mithilfe der KI findet man zwar mehr Sicherheitslücken, um diese zu schließen, aber natürlich wird sie auch genutzt, um Sicherheitssysteme zu umgehen. Angriffe lassen sich damit praktisch automatisieren und es werden bis dato unbekannte schwerwiegende Sicherheitslücken in kurzer Zeit gefunden, was ein großes Problem für bestehende Infrastruktur darstellt, wie das aktuelle Beispiel des bislang noch nicht öffentlich zugänglichen Modells Claude Mythos zeigt“, erklärt Arne Tauber.

Quantencomputer stellen eine gänzlich andere Herausforderung dar. Wenn diese operativ einsatzfähig sind, können sie aktuelle Verschlüsselungen auch ohne bekannten Schlüssel innerhalb von Minuten knacken. Denn sie sind im Lösen bestimmter komplexer mathematischer Probleme extrem effizient. Quantensichere Algorithmen gibt es zwar bereits, doch die lassen sich nicht einfach mit einem Update einspielen. Arne Tauber: „Das ist ein Prozess, der dauert sicher mehrere Jahre, bis das überall implementiert ist.“

User*innen als Türöffner

Derartige Angriffe mit Quantencomputern sind derzeit aber noch nicht absehbar. Die größte Gefahr ist laut Arne Tauber im Consumerbereich nach wie vor die Person vor dem Bildschirm. „Letztendlich sind es meist die User*innen selbst, die die Tür aufmachen.“ Dafür genügt ein Klick auf einen falschen Link, der entweder auf eine gefälschte Seite führt, die Login-Daten abgreift oder einen Trojaner auf das Gerät schleust. Gerade bei Trojanern ist der PC aufgrund seiner Architektur nach wie vor stärker gefährdet. Wer auf dem Mobiltelefon nur vertrauenswürdige Apps aus sicheren Quellen installiert, sollte wenig zu befürchten haben.

Technisch gesehen ist es bei modernen Mobilgeräten sehr schwierig, in das System einzudringen. Tauber rät daher zu besonderer Vorsicht bei E-Mails, die zur Eingabe sensibler Daten auffordern. „Wenn Sie nicht sicher sind, öffnen Sie die fragliche Website nur über die Ihnen bekannte Web-Adresse oder rufen Sie eine App selbst auf, ohne einen Link zu klicken.“ Gleiches gelte für Anrufe, bei denen Zugangsdaten abgefragt oder Fernzugriff auf den Computer verlangt wird. Sein Fazit: „Die Technik ist sehr sicher, wir müssen sie nur aufmerksam nutzen.“