In der sich rasch entwickelnden Landschaft der Cybersicherheit ist die Kryptografie ein grundlegendes Instrument zum Schutz sensibler Daten und zur Gewährleistung einer sicheren Kommunikation. Trotz ihrer entscheidenden Rolle wird die Kryptografie jedoch oft als Blackbox behandelt, die einfach in ein System integriert wird, ohne dass ein tiefes Verständnis ihrer inneren Funktionsweise vorhanden ist. Dieser Ansatz ist zwar bequem, kann aber unglaublich gefährlich sein. Im Bereich der Kryptografie kann selbst der kleinste Fehler oder das kleinste Versehen katastrophale Folgen haben und Angreifern Tür und Tor öffnen, um Schwachstellen auszunutzen und ganze Systeme zu gefährden.

Die Tatsache, dass selbst Tech-Giganten wie Tesla und Sony sowie Unternehmen, deren Kerngeschäft sich um Cybersicherheit dreht, wie LastPass, Opfer von Cybersicherheitsvorfällen geworden sind, die auf die falsche Anwendung kryptografischer Prinzipien zurückzuführen sind, macht das Problem noch gravierender. In diesem Artikel erörtern wir fünf Vorfälle im Bereich der Cybersicherheit, die uns auf ernüchternde Weise daran erinnern, dass ein tiefes Verständnis der Kryptografie von entscheidender Bedeutung ist, um ihre Wirksamkeit als Sicherheitsmaßnahme zu gewährleisten.
 

PS3-Hack

Der PS3-Hack von 2010/2011, der es Angreifern ermöglichte, nicht autorisierte Software zu installieren und Spiele auf der beliebten Spielkonsole zu entwenden, ist eine deutliche Erinnerung daran, wie wichtig die Verwendung starker Zufallszahlengeneratoren in kryptografischen Systemen ist. Die Schwachstelle war darauf zurückzuführen, dass Sony einen Zufallszahlengenerator im Signierprozess der Konsole verwendete, den Hacker ausnutzen konnten, um Zugang zum Hauptschlüssel des Systems zu erhalten [1]. Mit diesem Hauptschlüssel konnte jede beliebige Software signiert werden, wodurch die Sicherheitsvorkehrungen der Konsole umgangen wurden und die Installation nicht autorisierter Anwendungen möglich war. Der Vorfall machte deutlich, wie wichtig robuste Zufallsverfahren für die Wahrung der Integrität kryptografischer Systeme sind. Für Entwickler*innen und Sicherheitsexpert*innen ist es von entscheidender Bedeutung, starke, gut geprüfte Zufallszahlengeneratoren einzusetzen, um die Widerstandsfähigkeit ihrer kryptografischen Implementierungen gegen potenzielle Angriffe zu gewährleisten.
 

LinkedIn-Hack

Im Jahr 2012 kam es bei LinkedIn, der weltweit größten Plattform für berufliche Netzwerke, zu einer verheerenden Datenpanne, bei der die Passwörter von über 6,5 Millionen Nutzer*innen offengelegt wurden [2]. Das Unternehmen hatte die Passwörter der Nutzer*innen mit so genannten SHA-1-Hashes gespeichert, eine Praxis, die seit langem als unzureichend für eine sichere Passwortspeicherung gilt. Das Fehlen eines Salt, also eines eindeutigen Zufallswertes, der jedem Kennwort vor dem Hashing hinzugefügt wird, machte es Angreifern deutlich leichter, die Kennwörter mithilfe von vorberechneten Hash-Tabellen, den so genannten Rainbow-Tables, zu knacken. Dieser Vorfall machte deutlich, wie wichtig die Verwendung von Salt beim Hashing von Passwörtern ist, da dies die Komplexität und den Zeitaufwand für das Knacken der Passwörter erheblich erhöht, selbst wenn der Hash-Algorithmus kompromittiert ist. Die LinkedIn-Sicherheitslücke diente als Weckruf für die Branche und verdeutlichte die Notwendigkeit einer robusten Passwortspeicherung und der Einführung sicherer Hash-Algorithmen, die von vornherein einen Salt beinhalten.
 

Infineon ROCA-Angriff

2017 wurde eine bedeutende Schwachstelle in der von Infineon entwickelten RSA-Bibliothek entdeckt, einer weit verbreiteten kryptografischen Komponente, die in verschiedenen Sicherheitsprodukten zu finden ist, darunter Smartcards, Secure Elements und TPMs (Trusted Platform Modules) [3]. Die als ROCA-Angriff (Return of Coppersmith's Attack) bekannte Schwachstelle ermöglichte es Angreifern, die von der Bibliothek generierten RSA-Schlüssel effizient zu knacken und so die Sicherheit der betroffenen Geräte zu umgehen [4]. Der ROCA-Angriff nutzte eine Schwachstelle im Schlüsselgenerierungsprozess aus, bei dem die Primzahlen, die zur Generierung von RSA-Schlüsseln verwendet wurden, einem bestimmten Muster folgten, was sie anfällig für eine modifizierte Version des Coppersmith-Angriffs machte. Die Entdeckung der ROCA-Schwachstelle versetzte die Cybersicherheitsgemeinschaft in Aufruhr und machte deutlich, dass selbst mathematisch sichere kryptografische Algorithmen aufgrund von Implementierungsproblemen angreifbar sein können. Sie unterstrich die entscheidende Bedeutung gründlicher Tests, Prüfungen und Validierungen von kryptografischen Implementierungen, um ihre Sicherheit gegenüber potenziellen Angriffen zu gewährleisten.
 

Hack des Tesla-Schlüsselanhängers

Im Jahr 2018 befand sich der renommierte Elektrofahrzeughersteller Tesla inmitten einer Sicherheitskrise, als Forscher*innen eine kritische Schwachstelle in dem von seinen Fahrzeugen verwendeten Schlüsselanhängersystem entdeckten [5]. Die Schwachstelle ermöglichte es Angreifern, den Schlüsselanhänger zu klonen und sich unbefugten Zugang zum Fahrzeug zu verschaffen, so dass sie das Auto stehlen konnten, ohne physischen Zugang zum Originalschlüssel zu haben. Die Ursache für diese Schwachstelle wurde auf die Entscheidung von Tesla zurückgeführt, ein proprietäres kryptografisches Protokoll für sein Schlüsselanhängersystem zu verwenden. Die Verwendung proprietärer Kryptografie kann zwar ein Gefühl der Einzigartigkeit und Kontrolle vermitteln, doch fehlt ihr oft die strenge Prüfung und der Test, dem standardisierte kryptografische Protokolle unterzogen werden. Im Fall von Tesla wies das proprietäre Protokoll inhärente Schwachstellen auf, die von den Angreifern ausgenutzt wurden. Dieser Vorfall dient als abschreckendes Beispiel dafür, wie wichtig es ist, sich auf etablierte, umfassend geprüfte und standardisierte kryptografische Protokolle zu verlassen, anstatt sich für benutzerdefinierte, firmeninterne Lösungen zu entscheiden.
 

LastPass-Hack

Im Dezember 2022 gab LastPass, ein weit verbreiteter Passwortverwaltungsdienst, eine verheerende Datenpanne bekannt, die die Cybersicherheitsgemeinschaft schockierte. Das Unternehmen enthüllte, dass es Angreifern gelungen war, Benutzerdaten, einschließlich verschlüsselter Passwortspeicher, durch Ausnutzung einer schwachen Parametrisierung der von LastPass verwendeten Schlüsselableitungsfunktion (Key Derivation Function, KDF) zu exfiltrieren [6]. Auf diese Weise konnten die Angreifer die gestohlenen Passwortspeicher effizient entschlüsseln und so die sensiblen Anmeldedaten von Millionen von Nutzer*innen preisgeben. Dieser Vorfall unterstreicht, wie wichtig es ist, starke Schlüsselableitungsfunktionen mit geeigneten Parametern zu verwenden, um sich vor solchen Angriffen zu schützen und die Sicherheit der verschlüsselten Daten zu gewährleisten. Er zeigt auch die Notwendigkeit strenger Tests und Prüfungen von kryptografischen Implementierungen, selbst für Unternehmen, deren Hauptaugenmerk auf der Cybersicherheit liegt.
 

Fazit

Diese fünf Beispiele aus der Praxis zeigen, wie wichtig die richtige Implementierung von Kryptografie für die Aufrechterhaltung der Cybersicherheit ist. Von der Verwendung starker Zufallswerte für Passwörtern bis hin zur Vermeidung proprietärer Kryptographie und schwacher Schlüsselableitungsfunktionen erinnern diese Beispiele an die potenziellen Folgen kryptographischer Fehlentscheidungen. Da wir uns weiterhin auf die Kryptografie verlassen, um unsere digitalen Daten zu schützen, ist es wichtig, aus diesen Vorfällen zu lernen und die korrekte Anwendung kryptografischer Prinzipien zu priorisieren, um künftige Cyber-Sicherheitskatastrophen zu verhindern.

Um Fachleuten dabei zu helfen, der Zeit voraus zu sein und die Feinheiten der Kryptographie zu beherrschen, bietet das VDI Wissensforum ein Seminar über angewandte Kryptographie an. Dieser umfassende Kurs vermittelt den Teilnehmenden ein solides Fundament an kryptographischen Prinzipien und deren praktischer Anwendung im Kontext der Cybersicherheit. Durch dieses Seminar können Fachleute das Wissen und die Fähigkeiten erwerben, die erforderlich sind, um sich in der komplexen Welt der Kryptographie zurechtzufinden, häufige Fallstricke zu vermeiden und zur Entwicklung sicherer Systeme beizutragen, die den sich ständig weiterentwickelnden Bedrohungen in der digitalen Landschaft standhalten können.

Quellen:

[1] BBC News. (2011). PlayStation 3 'master key' leaked online. www.bbc.com/news/technology-12116051

[2] Silveira, V. (2012). An update on LinkedIn member passwords compromised. LinkedIn Blog. blog.linkedin.com/2012/06/06/linkedin-member-passwords-compromised

[3] Nemec, M., Sys, M., Svenda, P., Klinec, D., & Matyas, V. (2017). The return of Coppersmith's attack: Practical factorization of widely used RSA moduli. Proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security, 1631-1648. doi.org/10.1145/3133956.3133969

[4] Goodin, D. (2017, October 16). Millions of high-security crypto keys crippled by newly discovered flaw. Ars Technica. arstechnica.com/information-technology/2017/10/crypto-failure-cripples-millions-of-high-security-keys-750k-estonian-ids/

[5] Greenberg, A. (2018, September 10). Hackers Can Steal a Tesla Model S in Seconds by Cloning Its Key Fob. Wired. www.wired.com/story/hackers-steal-tesla-model-s-seconds-key-fob/

[6] Toulas, B. (2022, December 23). LastPass says hackers accessed customer data in new breach. Bleeping Computer. www.bleepingcomputer.com/news/security/lastpass-says-hackers-accessed-customer-data-in-new-breach/