Security by Obscurity - Oder doch nicht? Marc Ruef | 21.05.2012 Wer neu ist im Bereich Informationssicherheit, der stolpert als erstes Mal über den Ausdruck "Security by Obscurity". Nicht nur in der Kryptologie wird gelehrt, dass ein System nicht sicher sein kann, indem nur die Eigenschaften dessen geheim gehalten werden. Denn irgendwann werden sie preisgegeben oder herausgefunden, so dass die Geheimhaltung kein Vorteil mehr darstellen kann. Dann nämlich wird sich herausstellen, ob das System nun wirklich unbrechbar ist - oder halt eben nicht. Als Einsteiger ereifert man sich dann schnell, wenn man jemandem vorhalten kann, dass "Security by Obscurity" nicht funktionieren kann. Man freut sich wahrscheinlich umso mehr, da man selber - vor dem Erlangen der besagten Erkenntnis - dieser Meinung gewesen war. Und nun ist man schliesslich weiter und möchte das auch jedem zeigen. In seinen Grundzügen ist das auch gut so, agiert man schliesslich im Sinne der Wahrheit. Doch so einfach sich dieses Schwarz-Weiss-Denken anfühlt, desto so schwieriger wird es, dieses im richtigen Leben durchsetzen zu können. Wann beginnt Security by Obscurity? Ist nicht aller Schutz von geheimen Informationen auf Security by Obscurity fussend? Und ist wirklich alle Security by Obscurity schlecht? Ich bin ziemlich sicher, dass die wenigsten diese Fragen beantworten können. Ich bin mir nicht mal sicher, ob ich die richtigen Antworten bereithalten kann. Gehen wir davon aus, dass ich ein Verschlüsselungssystem nutze. Dieses basiert auf dem Einsatz eines geheimen Passworts. Das System selbst lege ich mit all seinen Spezifikationen offen. Das Passwort bleibt aber naturgemäss geheim. Betreibe ich dann nicht Security by Obscurity? Schliesslich verhindere ich die Veröffentlichung des Passworts. Mancherorts wird ein Passwort schliesslich als "Pre-Shared-Secret" (zum Beispiel bei WLAN und IPsec) bezeichnet. Wäre ein Verschlüsselungssystem, das auf einem nicht-geheimen Authentisierungsmerkmal beruht, nicht das einzig wahre System? Ist Biometrie der evolutionär nächste Schritt? Ist mein Fingerabdruck oder die Beschaffenheit meiner Retina geheim? Okay, ich gebe zu, das erstgenannte Beispiel vermag nicht ganz zu überzeugen. Gehen wir nun davon aus, dass ich eine Netzwerkumgebung einsetze, in der ein SSH-Dienst zur Fernwartung angeboten wird. Um unerwünschte Zugriffe zu erschweren, wird dieser nicht an den Standardport tcp/22, sondern an den untypischen Port tcp/1222 gebunden. Betreibe ich hier schon Security by Obscurity? Falls ja, ist dies die schlechte Form von Security by Obscurity? Oder habe ich einen echten, wenn auch nur zeitlich stark begrenzten, Vorteil erarbeitet? Im Rahmen dieser Diskussion komme ich zum Schluss, dass Sicherheit ohne Geheimhaltung - mindestens von einzelnen Komponenten - nicht betrieben werden kann. Dabei ist aber wichtig zu berücksichtigen, dass die Sicherheit eines Systems nicht alleine auf der Geheimhaltung beruhen darf. Ein Verschlüsselungssystem darf geheime Passwörter nutzen. Und ein SSH-Dienst darf an einen alternativen Port gebunden werden. Aber die Verschlüsselung muss dennoch möglichst stark und der SSH-Dienst gut gewartet (z.B. Firewalling, Hardening und Monitoring) sein. Denn das alleinige Geheimhalten ihrer Existenz darf nicht die einzige Komponente zur Erlangung und Wahrung ihrer Sicherheit sein.