Gibt es sie doch - die Revolution in Sachen IT-Security?

18. November 2010, 15:21
  • security
  • verschlüsselung
image

Das Schweizer Unternehmen Barclay Technologies behauptet, mit ihrem Certus Lateo die IT-Security-Branche revolutionieren zu können. Ein Besuchsbericht.

Das Schweizer Unternehmen Barclay Technologies behauptet, mit ihrem Certus Lateo die IT-Security-Branche revolutionieren zu können. Ein Besuchsbericht.
Fünfter Stock, höher geht es hier nicht. Grosszügige, hohe Räume durch eine Fensterfront vom Boden bis zur Decke vom imponierenden Balkon abgeschlossen. Freie Sicht von jedem Stuhl hinaus ins Umland. Kaum eine Wand, fast alles Glas – Transparenz pur, und das bei Security-Spezialisten. Ein kleiner Wehrmutstropfen stellt sich allenfalls ein, wenn eines der grossen Fenster offen steht, in der Tiefe rauscht der Verkehr auf der nahen Autobahn vorbei. Die hier am Rande von Urdorf arbeitenden rund 25 Angestellten können offensichtlich aus dem Vollen schöpfen. Nichts in diesem Büro entspricht herkömmlichen Standards: Willkommen beim Security-Newcomer Barclay Technologies. Gelockt hatte man inside-it.ch damit, etwas „Revolutionäres“ in Sachen Datenverschlüsselung vorgeführt zu bekommen.
Börsengang durch die Hintertür
Hinter dem Unternehmen steht die vor 15 Jahren von Freddy Zähner gegründete Schweizer PMS (Public Marketing Service), eine Entwicklungs-, Marketing - und Vertriebsgesellschaft. Sie wurde im letzten Jahr in Barclay Technologies umbenannt. Seit Mai 2010 ist Barclay an der Frankfurter Börse kotiert. 2007 begann das Unternehmen aus der bereits für Kundenprojekte entwickelten Sicherheitstechnologie eine eigenständige Security-Software zu entwickeln. An der letztjährigen Orbit sind die Produkte erstmals in der End-User-fertigen Version 4.8 vorgestellt worden. Mit einem als "reverse takeover" über die 4A Capital AG realisierten Börsengang - dem "Börsengang durch die Hintertür", wie Gregory A. Bournet es definiert - wurde im letzten Mai die finanzielle Zukunft gesichert. Die 4A Capital heisst heute Barclay Technologies Holding, ist in Zug domiziliert und verwaltet die Lizenzen.
Security made in Switzerland
Das Flaggschiff-Produkt der zu 100 Prozent in der Schweiz entwickelnden Firma wird bereits in mehreren Unternehmen mit sensiblen Daten verwendet, unter anderem in der Pharma- und Finanzbranche. Zudem laufen mehrere Pilotprojekte, die unterschiedliche Branchen und Einsatzszenarien abdecken, wie Gabi Gerber, die Marketingverantwortliche bei Barclay konkretisiert. Wie in der Sicherheitsbranche üblich, werden auch bei Barclay Zahlen und Kundennamen als vertraulich eingestuft und nur ausnahmsweise gegen aussen kommuniziert. Auch zu Umsatz und Gewinn sind keine Zahlen zu erhalten.
Das Gespräch konzentriert sich darum rasch auf die Technologie hinter Certus Lateo. Die These der Neulinge in der Branche sind vorderhand beeindruckend: "Statt erneut eine weitere unter den vielen Standard-Verschlüsselungslösungen zu liefern, definieren wir einen neuen Standard", sagt Gerber und spricht damit die angekündigte "Revolution" an. Technik-Chef Kilian Zantop streicht erst einmal hervor, dass die Lösung in praktisch jeder möglichen Netzwerkumgebung einsetzbar ist. Zantop, der im Verlauf des nächsten Quartals die 64-Bit-fähige Certus Lateo 5.0 vorlegen will, spricht von einer extrem einfachen und kostengünstigen Lösung: Die Software kostet in einer Lizenz für bis zu 50 User 96 Franken pro Gerät und Jahr. So viel zum Marketing. Dann geht’s zur Sache.
Verschlüsselung ohne Daten-Overhead
Certus Lateo verwendet als Grundpfeiler zwei Treiber, führt er im Weiteren aus, einen für die Kommunikation und einen für externe Massenspeicher. Die stellen sicher, dass ausgehende Daten verschlüsselt sind oder zumindest diejenigen Daten, die nicht explizit von der Verschlüsselung ausgenommen wurden. Die Schlüssel sind als One-Time-Pad gestaltet, was bedeutet, dass ein Schlüssel nur einmal und nur für ein Packet verwendet wird. Bei traditionellen One-Time-Pads ist der Schlüssel immer gleich lang wie das verschlüsselte Packet und die Schlüssel werden über eine getrennte Leitung übermittelt. Dies führt aber zu einer Verdoppelung der Datenmenge, da sowohl das verschlüsselte Packet als auch der Schlüssel übertragen werden müssen. Laut Zantop ist es Barclay gelungen, diesen Nachteil zu eliminieren, ohne dabei die durch das One-Time-Pad gewährte Sicherheit zu beeinträchtigen.
Die neue Technologie stelle sicher, dass das Schlüsselmaterial auf beiden Seiten gleich ist, ohne dass die Schlüssel übertragen werden müssen. Dazu muss auf beiden Seiten die gleiche Zufallszahl generiert werden, die aber dennoch zufällig sein muss und nicht vorhersehbar sein darf, wie der CTO erklärt. Für die Netzwerkverbindungen stellt ein zuständiger sogenannter low-level-Treiber sicher, dass die Daten nur in verschlüsselter Form den Rechner verlassen. Verwendet wird eine Verschlüsselung im Transport-Modus, der nur den Inhalt eines Datenpakets verschlüsselt. Der IP-Header wird im Klartext übertragen, um eine umfassende Netzwerkkompatibilität sicher zu stellen und Verschlüsselungs-Overhead zu vermeiden. Ähnlich verhält es sich mit den Daten, die auf ein externes Speichermedium geschrieben werden: Der zuständige low-level-Treiber sorgt dafür, dass die Daten den Rechner nur in verschlüsselter Form verlassen.
Geräte sichern und nicht Benutzer
Die mit Certus Lateo gesicherten Rechner bilden einen eigenen Verbund. Daten können diesen Verbund nicht verlassen – auch nicht auf externen Speichermedien. Laut Gerber wird das Netzwerk "einfach dicht gemacht und gegen aussen abgeschottet". Die Folge sei, dass die Verantwortlichen nicht mehr irgendwelche Datenbestände absichern, sondern vielmehr das Gerät. Abfliessen können die Daten nur, wenn man entweder bewusst Ausnahmen definiert oder die Verschlüsselung der jeweiligen Geräte deaktiviert. Umgekehrt können verschlüsselte Daten auf einem Massenspeicher nur gelesen werden, wenn dort die Software installiert ist. Datensicherheit wird also über die Sicherheit des Geräts definiert und nicht über die Sicherheit des Benutzers. Die allermeisten bisherigen Missbrauchspotentiale sind damit ausgeschlossen, erklärt Zantop.
Eine Zertifizierung gibt es für Certus Lateo noch nicht. Diese würde sich auch nicht auf den Verschlüsselungsalgorithmus beziehen, sondern auf das System. Dieses muss in sich sicher sein, was bei Certus Lateo der Fall sei, wie Zantop und Gerber unisono betonen. Unklar ist aber, welche Zertifizierungen überhaupt sinnvoll wären. Denn beim eigenen, neuen Ansatz sei man der Schwerfälligkeit bisheriger Verschlüsselung, die mit ihren Variationen immer grösser werden und langsam an ihre Grenzen stossen, von Anfang an aus dem Weg gegangen.
Die Verschlüsselungstechnologie von Certus Lateo benötige - erster wichtiger Vorteil - keine Schlüsselübertragung, resümiert Gerber. Damit wird die bisherige Schlüsselverwaltung hinfällig, folglich auch alle damit verbunden Backup-Funktionen. Es wird also kein kryptographischer Overhead mehr generiert, was – nächster Vorteil - die verschlüsselte Datenübertragung schnell mache. Die Netzwerke werden nicht mehr wie bisher durch die Verschlüsselung belastet, so Zantop. Wichtig sei dabei auch, dass die Unternehmen mit dieser Geräte-basierten Philosophie viel weniger abhängig seien von der oft beschworenen "Schwachstelle Mensch". Denn die einzelnen Geräte werden unabhängig vom Benutzer abgesichert.
Abschied vom Algorithmus
Jedes Gerät mit Certus Lateo, illustriert Gerber die Funktionsweise, verfüge gewissermassen über einen eigenen Treiber. Ist der installiert, lassen sich die Daten gefahrlos austauschen. Dort, wo er fehlt, gibt es keinen Datenaustausch. Kommen die gesendeten Daten an der richtigen, eben Certus-Lateo-verschlüsselten Stelle an, werden sie mit dem pro Datenpaket individuellen Schlüssel dechiffriert. Ansonsten werden die Daten zwar verschickt und kommen an, liefern aber nur "Datensalat", erklärt Zantop. Grundsätzlich, und Zantop möchte an diesem Punkt die Diskussion nicht weiter vertiefen, habe man die bisher an einen Algorithmus gebundenen Verschlüsselung mit Certus Lateo überwunden.
Beim Verlassen der vom Tageslicht regelrecht durchfluteten Räume fragt man sich, ob das nun tatsächlich die angekündigte Revolution in der Security-Branche ist. Gabi Gerber und Kilian Zantop sind sich immerhin sicher, dass sie "eine absolut geniale Lösung" anzubieten haben. (Volker Richert)

Loading

Mehr zum Thema

image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023
image

Zurich investiert erneut in kanadische Cyberversicherung

Boxx Insurance hat unter der Leitung von Zurich in einer Serie-B-Finanzierung 14,4 Millionen US-Dollar gesammelt.

publiziert am 31.1.2023