Kein Passwort, trotzdem sicher

00:00:00: Dieser Schlüssel, den ich dafür benutze, der ist beschränkt auf dieser eine Seite.

00:00:06: Das heißt, wenn ein Angreif in der Seite macht, zum Beispiel lowSolutions.com, dann kann ich mich auf dieser Seite nicht einloggen mit mein HiSolutions.com Zugangsdaten, weil für diese Seite habe ich ja gar kein Passkey registriert.

00:00:24: HiWay, dein Wegweiser für Digitalisierung und Sicherheit, präsentiert von HiSolutions.

00:00:31: Hallo und herzlich willkommen zum HiSolutions Podcast HiWay, mit drei Fragen an einen Experten in zehn Minuten.

00:00:44: Und ich freue mich sehr, heute Justus bei uns begrüßen zu dürfen. Justus, du bist Experte für Nischenthemen bei uns, ja.

00:00:51: Du bist relativ tief in der Technik drin, du scheust dich nicht davor, auch mal was aufzuschrauben und ein bisschen zu löten, um zu gucken, ob man da irgendwie eine Sicherheitsmaßnahme umgehen kann.

00:01:00: Du bist auch mit Betriebssystemen beschäftigt, also mit modernen Betriebssystemkonzepten.

00:01:05: Du trägst selbst zu Open Source Projekten auch bei in dem Bereich und hast aus der Erfahrung heraus auch ein Interesse an sicherer Entwicklung.

00:01:13: Und wir hatten im Vorfeld geguckt, welches von den vielen Nischenthemen, das du belegst, vielleicht eines ist, was sich gut eignet.

00:01:19: Und du hast gesagt, du würdest sehr gerne ein Thema wählen, wo unser Publikum nicht einfach nur irgendwie einen coolen Gedanken mitnimmt,

00:01:26: sondern irgendwie eine konkrete Lösung für ein ganz konkretes Problem.

00:01:29: Probleme gibt es viele. Wir haben mal eins ausgewählt, wo ich sagen würde, das ist vielleicht ein neues Problem.

00:01:38: Wir haben ja dieses Buzzword KI, das im Moment in aller Munde ist. KI ist jetzt an sich nicht so neue künstliche Intelligenz,

00:01:44: aber dass es so breit verfügbar ist für so viele verschiedene Parteien, die das jetzt nutzen können.

00:01:48: Das ist schon neu und daraus ergeben sich natürlich auch Probleme für Cyber-Sicherheit oder IT-Sicherheit.

00:01:54: Magst du mal ein Beispielhaftes rausgreifen?

00:01:56: Klar, da gibt es natürlich zum Beispiel das Thema Fishing.

00:01:59: Da haben wir ganz konkret gesehen, dass in den letzten paar Jahren die Qualität von Fishing-E-Mails, also E-Mails, die versuchen, mich zu überzeugen.

00:02:06: Zum Beispiel meine Zugangsdaten, woanders einzugeben, qualitativ immer besser werden.

00:02:11: Also gerade auch die gezielten Fishing-Angriffe, da kann ich mittlerweile sehr viel Personalisierter und sehr viel gezielter mit genau dem richtigen Ton,

00:02:20: der in der Firma zum Beispiel verwendet wird, gezielt versuchen, eine bestimmte Firma in Beschlag zu nehmen, aber quasi das Größere skalieren.

00:02:28: Einfach dadurch, dass ich durch diese Large-Language-Models, wie zum Beispiel Chat-GPT in der Lage bin,

00:02:32: natürlich klingende Texte, die auch sich an einem vordefinierten Stil orientieren, automatisiert zu generieren und zugeschnitten auf eine bestimmte Person.

00:02:40: Das heißt, das was sozusagen vorher nur für die möglich war, die jetzt vielleicht eine ganz gezielte Fishing-Kampagne fahren wollten mit viel Recherche,

00:02:46: ist jetzt in einem viel größeren Umfang möglich sozusagen?

00:02:49: Genau, das ist auf der einen Seite irgendwie ganz nett, wenn man eine Fishing-Kampagne fahren will.

00:02:53: Auf der anderen Seite ist das Problem aber auch nicht neu.

00:02:56: Also gerade irgendwie sowas wie Fishing ist eigentlich ein sehr, sehr altes Problem und wir haben durch die KI eigentlich kein neues Problem bekommen,

00:03:04: sondern eher eine Verstärkung von den bestehenden Problemen, also irgendwie sowas wie Identitätsdiebstahl, Fishing oder andere Versuche, Leute zu impersonieren.

00:03:13: Also das geht ja zum Beispiel auch mit Stimmen, die ich kann ja auch klonen.

00:03:18: Das heißt, es ist eigentlich gar nicht so ein neues Problem, sondern eher ein altes und deswegen gibt es wahrscheinlich auch alte Lösungen dafür.

00:03:27: Genau, da gab es schon weiter vor, gab es irgendwann mal sogenannte Fito II-Tropens, das waren so kleine USB-Sticks,

00:03:34: die konnte man früher als zweiten Faktor benutzen, da hat man sich irgendwie angemeldet mit Benutzernamen und Passwort,

00:03:39: konnte die reinstecken, einmal drauf drücken und dann war man eingelockt und das war der zweite Faktor.

00:03:44: Der große Vorteil von denen damals war, dass die Fishing sicher sind, also es gibt nicht die Möglichkeit zwischendrin das abzugreifen

00:03:50: und die neue Entwicklungen findet so ein bisschen unter dem Marketing namen Passkeys statt.

00:03:55: Bei den Passkeys, da ist quasi der Fokus, dass wir Benutzernamen und Passwort einfach weglassen können

00:04:00: und wir stattdessen uns quasi authentifizieren mit, was das nennt sich Public Private Key Kryptografie.

00:04:06: Also ich habe quasi einen Schlüsselpaar und ich gebe nicht mein Geheimnis, also mein Passwort raus, sondern das bleibt bei mir

00:04:13: und ich muss dagegen nur noch beweisen, dass ich das Passwort kenne, aber ohne das wirklich aktiv zu verraten.

00:04:18: Das mache ich zum Beispiel durch eine digitale Unterschrift.

00:04:21: Okay, das heißt, es ist ein Verfahren, wo gar nicht passieren kann, dass ich mein Passwort jemandem gebe

00:04:26: und das auf der Übertragung zum Beispiel jemand mitschneiden kann,

00:04:29: sondern es hilft, weil ich gar nicht mehr dieses Passwort selbst rausgeben muss, sozusagen.

00:04:34: Und das ist tatsächlich, also die Public Key Kryptografie, ist ja ein altes Verfahren,

00:04:40: das ist keine neue Idee und du sagst, diese Fido 2 Schlüssel oder diese Passkeys,

00:04:44: die sind jetzt auch schon eine Weile unterwegs.

00:04:46: Genau, also neu ist halt die Idee davon, dass ich das gar nicht mehr benutze als zweiten Faktor.

00:04:52: sondern ich den ersten und den zweiten Faktor am Grunde abschaffe und ersitze damit.

00:04:55: Das gibt es jetzt irgendwie Google und Apple machen, das ist relativ groß mittlerweile

00:05:00: unter dem Marketing namen Passkeys, im Grunde ist es aber nur eine Weiterentwicklung von

00:05:03: dem, was man früher schon so kannte als zweiten Faktor oder von Smart-Cards kennen von früher.

00:05:07: Und das Neue ist, dass man dafür eben nicht mehr unbedingt diese USB-Sticks benötigt,

00:05:13: sondern dass man das auch einfach mit dem Smartphone machen kann, das jeder in der Tasche

00:05:16: hat.

00:05:17: Und da wir dann quasi zusätzlich, damit das quasi wie ein zweiter Faktor wirkt, kann

00:05:23: ich das zusätzlich sichern auf einem lokalen Gerät mit zum Beispiel in dem Fingerabdruck

00:05:27: oder mit einem Pincode oder generell anderen biometrischen Merkmalen oder meinem normalen

00:05:35: Sperrbildschirm-Muster.

00:05:36: Das heißt, es ist eine Komplexitätsreduktion, der Faktor klingt immer kompliziert, wir hören

00:05:40: das natürlich auch von unseren Kunden zum Beispiel, das einzuführen ist irgendwie eine

00:05:45: komplizierte Sache.

00:05:46: Das ist aber sozusagen insofern gar nicht so kompliziert, weil es im Prinzip mir erspart,

00:05:52: noch mehr Nutzernamen und Passwörter haben zu können, weil ich was benutzen kann, was

00:05:56: ich schon da habe oder was konzeptionell gar nicht so eine neue Sache ist.

00:06:00: Und es nützt mir, weil es, also ich muss sozusagen gar nicht die Skalierung verhindern,

00:06:06: die die KI bringt, weil es mir in jedem einzelnen Fall einfach schon nützt, dass ich genau

00:06:13: was.

00:06:14: Also kannst du den sozusagen zusammenhandeln mit dem Fishing noch mal erklären?

00:06:16: Genau.

00:06:17: Also die Idee ist so ein bisschen, dass ich eben nichts übermittel, was eine schützenswerte

00:06:20: Information ist.

00:06:21: Und dadurch, dass ich nichts übermittel, was eine schützenswerte Information ist, kann

00:06:25: ich die auch in der Mitte nicht abgreifen.

00:06:26: Das heißt, wenn ich der Angreifer bin und schicke dir eine Fishing-E-Mail, wo drin steht, bitte

00:06:30: auf diesen Link klicken und dort sollst du deine Zugangsdaten eingeben, dann bekomme

00:06:35: ich als Angreifer gar nicht dein Geheimnis, deine Zugangsdaten und kann es deswegen auch

00:06:39: nicht woanders verwenden.

00:06:40: Genau.

00:06:41: Also ich gebe meine Zugangsdaten überhaupt nicht woanders ein, sondern stattdessen

00:06:45: wenn ich so ein Schlüssel registriere oder so ein Telefon, wenn ich so ein Passkey registriere,

00:06:50: dann kriege ich von Betriebssystem oder von dem Webbrowser, kriege ich so ein Popup und

00:06:55: das fragt mich, hey, möchtest du dich wirklich registrieren bei dieser Seite?

00:06:58: Dann sage ich ja.

00:06:59: Dann gebe ich irgendwie einmal, halte ich einmal mein Finger drauf auf mein Telefon und dann

00:07:02: ist der abgespeichert.

00:07:03: Und beim nächsten Mal kann die Webseite, wenn ich mich einloggen möchte, sage ich einfach

00:07:07: Sign in with Passkey, halte mein Finger auf mein Telefon und ich bin eingeloggt.

00:07:10: Und dieser Schlüssel, den ich dafür benutze, der ist beschränkt auf diese eine Seite.

00:07:16: Das heißt, wenn ein Angreifer in der Seite macht, zum Beispiel lowSolutions.com, dann

00:07:22: kann ich mich auf dieser Seite nicht einloggen mit mein HiSolutions.com Zugangsdaten, weil

00:07:26: für diese Seite habe ich ja gar kein Passkey registriert.

00:07:29: Frage 3.

00:07:31: Jetzt sagst du, das ist was, was es eigentlich schon lange gibt, Fishing gibt es eigentlich

00:07:35: auch schon lange.

00:07:36: Siehst du eine Tendenz, dass sich der Einsatz davon tatsächlich verändert?

00:07:40: Also diese Lösung, wenn es die schon lange gibt, hätte man sie schon lange einsetzen

00:07:43: können, auch gegen reguläres Fishing, siehst du eine Tendenz, dass es jetzt tatsächlich

00:07:46: mehr in den Einsatz kommt?

00:07:47: Also ich sehe, dass es deutlich mehr wird, also gerade die großen Software-Giganten aus

00:07:52: den USA haben angefangen, das in all ihre Produkte zu implementieren.

00:07:55: Wenn man zum Beispiel einen iPhone hat und sich auf seinem Apple-Account einloggt, dann

00:07:59: geht das mittlerweile voll automatisiert, so wie Google als auch Apple, haben angefangen

00:08:03: automatisiert Passkeys auszurollen.

00:08:05: Große Zahlungsdienstleister machen das mittlerweile, aber auch generell sehe ich das mittlerweile

00:08:11: im Kundenumfeld immer mehr.

00:08:12: Also es gibt mittlerweile mehrere Kunden, bei denen das so funktioniert, dass man einfach

00:08:16: nur seinen Token ansteckt, seine Pinnen eingibt, einmal drauf drückt und dann ist man eingeloggt

00:08:21: im Betriebssystem, beim VPN, beim Company-Netzwerk, also das wird schon mehr.

00:08:25: Ja, das heißt, wir haben jetzt nochmal eine große Runde gedreht.

00:08:29: Wir haben festgestellt, manche neuen Probleme sind gar nicht so neue Probleme, sondern vielleicht

00:08:33: alte Probleme, auch wenn es mit neuen fancy-Words daherkommt, KI, dann ist Fishing letzten Endes

00:08:39: immer noch Fishing und es greifen eigentlich dann auch ähnliche Maßnahmen zum Glück eigentlich,

00:08:43: die wir schon kennen und die wir eigentlich schon in der Hand haben, die etabliert sind

00:08:47: und für die es gar nicht so viel Neuentwicklung, neue Konzeption eigentlich braucht.

00:08:52: Und was du uns gerade erzählt, das ist ja, dass diese Maßnahmen tatsächlich langsam,

00:08:57: langsam, aber schrittweise und jetzt doch auch tatsächlich in die Umsetzung gehen.

00:09:00: Justus, ich sage dir vielen Dank für diesen sozusagen Funkenhoffnung und diese konkrete

00:09:06: Lösung für ein Problem, was schon lange da ist, aber was jetzt sozusagen durch einen

00:09:09: technologischen Sprung noch einmal verstärkt wurde.

00:09:11: Und ich sage euch, liebe Zuhörerinnen, liebe Zuhörer, liebe Zuhörerinnen, herzlichen Dank

00:09:18: fürs dabei sein.

00:09:19: Ich freue mich, wenn ihr das nächste Mal wieder dabei seid beim HiWay Podcast, wenn wir

00:09:23: wieder einen Experten da haben für drei Fragen in zehn Minuten.