Todesstoß für SHA-1? - zu früh für Panik, aber Zeit zum Handeln

Ein Kommentar von Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsanbieter Trend Micro

Hallbergmoos, (PresseBox) - Durch den erfolgreichen Angriff von Google und CWI ist die Sicherheit oder Unsicherheit des Hash-Algorithmus zur sicheren Signatur von Inhalten „SHA-1“ in aller Munde. Manche Publikationen sprechen sogar reißerisch von dessen „Todesstoß“. Doch was technisch möglich ist, stellt sich deshalb noch lange nicht als wirtschaftlich sinnvoll heraus. Ja, jetzt steht zwar endgültig fest, dass die Lebensdauer von SHA-1 begrenzt ist. Dennoch liegt kein Grund zur Panik vor. Vielmehr gilt es jetzt, eine nüchterne Risikoanalyse anzustellen und auf deren Basis den Umstieg auf stärkere Hash-Algorithmen zu planen. Je nach Risikoprofil kann und darf sich das durchaus auf Jahre erstrecken.

Für Verschlüsselungsexperten ist die Sache klar: SHA-1 ist tot. Wenn sich ein Algorithmus mittels eines einzigen Grafikprozessors (GPU) in einem Zeitraum von 110 Jahren und zu Kosten von 110.000 US-Dollar kompromittieren lässt, dann ist diesem Algorithmus nicht mehr zu vertrauen. Und tatsächlich ist die Gefahr für Unternehmen groß und unter Umständen existenzgefährdend, wenn vertraulichen Informationen oder Kundendaten nicht mehr vertraut werden kann, weil sich – wie von Google und CWI gezeigt – für verschiedene Inhalte auf Basis von SHA-1 ein und derselbe Hash-Wert erzeugen lässt. Durch einen solchen Kollisionsangriff wäre Manipulationen Tür und Tor geöffnet.

Und sicher lässt sich die Zeit für die Erzeugung eines identischen Hash-Wertes noch weiter verkürzen, wenn mehr Rechenressourcen aufgewendet werden. Doch um diese Bedrohung zu einem einträglichen Geschäft für Cyberkriminelle zu machen, bedarf es erst noch massiver Kostensenkungen. Und die werden noch einige Zeit auf sich warten lassen. Daher wäre Panikmache zum gegenwärtigen Zeitpunkt fehl am Platz, da mit breiten Angriffswellen auf SHA-1 nicht unmittelbar zu rechnen ist.

Risikoprofile erstellen

Auf der anderen Seite wäre es freilich falsch, daraus den Schluss zu ziehen, man könne weiterhin die Hände in den Schoß legen – wie 2005, als chinesische Forscher die Zahl der Rechenoperationen zur Erzeugung eines Kollisionsangriffs auf SHA-1 von 280 auf 263 reduzieren konnten.

Denn aufgrund des sich jetzt abzeichnenden Kostenaufwands könnte ein gezielter Angriff abhängig vom Wert des Zieles ab sofort in den Bereich des Möglichen gerückt sein. Unternehmen und Behörden sind daher gut beraten, ihr Risikomanagement auf den neuesten Stand zu bringen und dahingehend zu befragen, in welchem Zeithorizont die verschiedenen Systeme je nach Risikoprofil auf einen stärkeren Hash-Algorithmus wie zum Beispiel SHA256 oder SHA512 umgestellt werden müssen. Für hochsensible Bereiche mag da bereits unmittelbarer Handlungsbedarf bestehen.

Das ist das Gute an der Arbeit von Kryptographieexperten, wenn sie Algorithmen erfolgreich brechen: Sie geben uns dadurch den nötigen Denkanstoß und die nötige Zeit, um in Ruhe und nüchtern kalkulierend geeignete Gegenmaßnahmen einzuleiten – Zeit, die wir zum Nachdenken, Planen und Handeln nutzen sollten, und eben nicht für blinde Panik.

Weitere Informationen

Weitere Informationen zum aktuellen SHA-1-Kollisionsangriff sind im deutschsprachigen Trend-Micro-Blog abrufbar.

Über Udo Schneider

Udo Schneider kennt sich aus mit den Gefahren, die im Internet lauern, und weiß, wie man sich vor ihnen schützen kann. Bevor er beim IT-Sicherheitsanbieter Trend Micro seine jetzige Position als Pressesprecher antrat, beschäftigte er sich als Solution Architect EMEA mehrere Jahre lang mit der Entwicklung geeigneter Maßnahmen gegen diese Gefahren – mit Fokus auf Cloud-Computing, Virtualisierung, Verschlüsselung und Netzwerksicherheit.

Schneider kommt dabei seine langjährige Erfahrung zugute, die er als Berater, Trainer und Security-Analyst bei verschiedenen Anbietern des IT-Sicherheitsmarktes erworben hat.

Website Promotion

TREND MICRO Deutschland GmbH

Als weltweit führender Cybersicherheitsanbieter verfolgt Trend Micro seit über 25 Jahren das Ziel, eine sichere Welt für den digitalen Datenaustausch zu schaffen.

Die Lösungen für Privatanwender, Unternehmen und Behörden bieten mehrschichtigen Schutz für Rechenzentren einschließlich cloudbasierter und virtualisierter Umgebungen, Netzwerke und Endpunkte - unabhängig davon, wo sich die Daten befinden: von (mobilen) Endgeräten über Netzwerke bis hin zur Cloud. Trend Micros Lösungen sind für gängige Rechenzentrums- und Cloudumgebungen optimiert und sorgen so dafür, dass wertvolle Daten automatisch vor aktuellen Bedrohungen geschützt sind. Die miteinander kommunizierenden Produkte bilden einen Schutzmechanismus, der durch zentrale Transparenz und Kontrolle eine schnellere, bessere Absicherung ermöglicht.

Um Bedrohungen schnell erkennen, verhindern und entfernen zu können, nutzen alle Lösungen das Smart Protection Network: Diese cloudbasierte Sicherheitsinfrastruktur verwendet die neuesten datenwissenschaftlichen Methoden zur Big-Data-Analyse.

Trend Micro bietet seine Lösungen weltweit über Vertriebspartner an. Der Hauptsitz des japanischen Anbieters, der mit mehr als 5.000 Mitarbeitern in über 50 Ländern aktiv ist, befindet sich in Tokio, die deutsche Niederlassung in Hallbergmoos bei München. In der Schweiz kümmert sich die Niederlassung in Glattbrugg bei Zürich um die Belange des deutschsprachigen Landesteils, der französischsprachige Teil wird von Lausanne aus betreut; Sitz der österreichischen Vertretung ist Wien.

Weitere Informationen zum Unternehmen und seinen Lösungen sind unter www.trendmicro.de verfügbar, zu aktuellen Bedrohungen unter blog.trendmicro.de sowie blog.trendmicro.ch. Anwender können sich auch unter @TrendMicroDE informieren.


Diese Pressemitteilungen könnten Sie auch interessieren

Weitere Informationen zum Thema "Sicherheit":

ABAP-Code-Scans für mehr SAP-Sicherheit

Um Si­cher­heits­lü­cken in SAP-Ei­gen­ent­wick­lun­gen sys­te­ma­tisch auf­spü­ren und Feh­ler kor­ri­gie­ren zu kön­nen, führ­te die Kro­nes AG trotz an­fäng­li­cher in­ter­ner Be­den­ken au­to­ma­ti­sche Co­de­prü­fun­gen ein. Nach zwei­jäh­ri­ger Ein­satz­zeit zieht der Ma­schi­nen- und An­la­gen­bau­er ei­ne po­si­ti­ve Bi­lanz.

Weiterlesen

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.