Unabhängig von der Beliebtheit eines bestimmten Geräts sollte die dahinterstehende Technologie in Bezug auf die Sicherheit zumindest einen Kerngedanken teilen: „Security by Desgin“ (und das am besten von Grund auf). Dieses Konzept griff schon die US-Amerikanische Consumer Trust Alliance (CTA) auf und selbst in der Europäischen Datenschutz-Grundverordnung findet es Platz.
Privatsphäre und Security by Design gehen weit über mandatierte Daten- und Privatsphäreschutzpraktiken sowie den einhergehenden Prozessen und Bestimmen hinaus, welche von der Datenschutz-Grundverordnung angesprochen werden. Darüber hinaus verlangt Security by Design von Software- und Hardware-Herstellern viel straffere Sicherheitsbestimmungen – und das schon bei der Entwicklung des Produkts. Für uns bei WeLiveSecurity haben die Cybersecurity Vorfälle Meltdown und Spectre allerdings gezeigt, dass nicht nur Malware und Software-Sicherheitslücken im Fokus von IT-Sicherheit stehen. Nun sind wir gezwungen, unser Verständnis über die digitale Welt aufzufrischen und auch Hardware-Hersteller und ihre Produkte näher unter die Lupe zu nehmen.
Regulierung vs. guter Glauben?
Einige betrachten Meltdown und Spectre als unvermeidliche Folge unserer Abhängigkeit von Technologie. Manche sehen hier eine Analogie zur Verschmutzung der Erde durch fossile Brennstoffe und den Empörungen durch Unternehmen und Verbraucher, was letztendlich zu organisierten Sammelklagen führte. Was sagt das über die Untersuchung älterer Technologien in der Zukunft aus?
Von Rechtsstreitigkeiten einmal abgesehen und angesichts des immer wichtiger werdenden Kommunikations- und Datenaustauschs sollten wir uns nicht nur Fragen, in wie weit Hardware-Anbieter ihre gebotene Sorgfaltspflicht einhalten, sondern auch in wie weit die User bereit sind, sich weiterzubilden und Investments in sicherheitsbedenkliche Produkte und Dienstleistungen zu limitieren.
[blockquote_right]“Die mobile dynamische Welt sieht sich mit einem Paradox konfrontiert.“[/blockquote_right]
Nur sehr wenige Forschende und Entwickelnde für Hardware oder Cybersecurity sahen die Auswirkung der Digitalisierung für Gesellschaft und Wirtschaft im Jahr 1995 voraus. Zu dieser Zeit spielten alle User dieselbe Rolle bei der Lösung dieser Herausforderung. Die Industrie versuchte seinerzeit die Markterwartungen in Bezug auf einen schnellen Ausgleich zwischen Zugang und Sicherheit in der digitalen Transformation zu gewährleisten.
Ein IT-Wachstum folgte in den mehr als zwanzig vergangenen Jahren in der Regel auf Regierungsversprechungen von Produktivitätssteigerungen, besserer Zusammenarbeit und Konnektivität – Sicherheit spielte eine eher untergeordnete Rolle.
Die letzten fünf Jahre zeigten jedoch eine deutliche Verschiebung: Fast jeder Webdienst benutzt heute HTTPS, nahezu alle Drittanbieter von Kommunikationsanwendungen greifen auf Verschlüsselungsmechanismen zurück und die meiste Software aktualisiert sich automatisch. In den vergangenen zwei Jahren konnten wir aber auch intensive Diskussionen in Regierungskreisen vernehmen, welche Verschlüsselungsmechanismen aufweichen oder gar die Implementierung einer Backdoor wollen.
Diese Entwicklungen offenbaren das heutige Schritthalten von Sicherheitstechnologie. Die Wünsche der User übersteigen oft ihr wahrgenommenes Risiko. Darauf reagiert die Industrie und in vielen Fällen ist sie der allgemeinen Nachfrage voraus. Trotz Meltdown und Spectre zum Jahresanfang: Im Rampenlicht stehen verbesserte Tools, mit denen sich Soft- und Hardware schützen lassen und sichereres Surfen garantieren. Welche Rolle spielt die geheimnisvolle Blockchain-Technologie dabei?
Die Blockchain-Technologie als Game Changer?
Zu Zwei-Faktor-Authentifizierung und Verschlüsselung gesellt sich die Blockchain-Technologie – populär durch die immer neuen Kryptowährungen. Obwohl wir bereits die Sicherheitsaspekte von Kryptowährungen beleuchteten, gingen wir auf die Blockchain-Technologie eher weniger ein.
Das mag daran liegen, dass angesichts der so vielfältigen Bedrohungslandschaft Belege dafürsprechen, dass die umfassendere Abdeckung grundlegender Aspekte der Cybersecurity bessere Ergebnisse für die gesamte Online-Welt liefern kann. Dennoch gilt die Blockchain-Technologie als Avantgarde für etwas Großes – der Encryption of Things (EoT). Diese Dinge (Geräte) existieren natürlich auch ohne ihre “Software-Eingeweide“, und in vielen Fällen kann Sicherheit nachträglich implementiert werden. Aber wie verhält sich das ganze beispielsweise bei Smartphones?
Okay, versuchen wir, ein paar extra sichere Smartphones aufzuspüren! Abgesehen von militärischen Endgeräten, abgesicherten Mobiltelefon für Unternehmen oder Satellitentelefonen scheinen die Optionen relativ spärlich zu sein. Primäre Gründe dürften die niedrigen und weiter fallenden Kosten für Verschlüsselungssoftware und Apps mit Verschlüsselungstechnologie sein. Angepriesene sichere Endgeräte wie von BitVault® verlassen sich ironischerweise vorwiegend auf Software Upgrades und Updates.
[blockquote_right]“ In den vergangenen zwei Jahren konnten wir aber auch intensive Diskussionen in Regierungskreisen vernehmen, welche Verschlüsselungsmechanismen aufweichen oder gar die Implementierung einer Backdoor wollen.“[/blockquote_right]
Wenige Google-Suchen später stößt man auf das Solarin Smartphone von Sirin Labs. Sie stellten eines der ersten Smartphones vor, das mit einer Blockchain-Technologie gesichert ist. Der Preis lag im Jahr 2016 bei etwa 14.000 US-Dollar. Der Absatz gestaltete sich dadurch recht mühselig. Nun wurde ein neues Modell vorgestellt. Das Finney Phone – benannt nach dem Bitcoin-Pionier Hal Finney – liegt bei einem erschwinglicheren Verkaufspreis von etwa 1.000 US-Dollar. Von diesem einmal abgesehen stellt auch das durch die Blockchain-Technologie gesicherte Betriebssystem des Smartphones eine Herausforderung dar. Allein der Energieverbrauch von Milliarden solcher Smartphones ist unvorstellbar. Wie soll das Ganze skalieren?
Die FINNEY-Geräte werden auf der Sirin-Website als "das [bzw. der] erste Cyber-geschützte Blockchain-fähige Mobiltelefon und PC" vermarktet. Wir sprechen von Geräten, da es neben einem Smartphone also auch einen PC im Angebot gibt. Diese bilden ein "eigenständiges Blockchain-Netzwerk mit dediziertem dezentralen Ledger Wallet, dass skalierbar und leicht ist".
SIRINs Finney-Telefon verfügt über eine Reihe von Sicherheitsvorkehrungen, die unter Cybersicherheitsanbietern bekannt sind. Zu nennen wäre da ein verhaltensbasiertes Intrusion Prevention System (IPS) oder eine Multi-Faktor-Authentifizierung. Einen neuen Weg (gegenüber herkömmlichen Smartphone-Herstellern) schlägt das Unternehmen mit dem physischen Sicherheitsschalter (Wallet-Schutz), Secured Communications (VoIP, Text, E-Mail) und seinem Kernmerkmal - dem manipulationssicheren Blockchain-basierten Android-Betriebssystem – ein.
Ein Schritt zu weit?
Weiter oben stellte ich schon einmal die Frage nach der Skalierbarkeit. Zwar leben die Smartphones, wie die von Sirin Labs, die Idee Security by Design. Doch ist dieses hohe Maß an Sicherheit wirklich nützlich oder auch praktikabel?
Die mobile dynamische Welt sieht sich mit einem Paradox konfrontiert. Sie kann nur so sicher sein, wie öffentliches Bewusstsein und Anwendung "hergeben". Letztendlich verantwortet jeder Mensch ein eigenes Maß an Cybersecurity auch selbst. Wenn Personen beispielsweise keine RFID-geschützen Portmonees benutzten, wie nützlich sind dann Kryptowährungen? Oder ein Beispiel im Heimbereich: Warum sollte der Mensch in supersichere Smartphones investieren, wenn der Home-Router bloß auf der Grundlage von Werkseinstellungen arbeitet?
Mit Blockchain-Technologie gesicherte Mobiltelefone: Ein Business Case von 2017
Die Idee der mit Blockchain-Technologie gesicherten Smartphones ist einleuchtend: Dezentralisierte Verschlüsselung bedeutet eine deutlich verbesserte Cybersecurity. Durch das erfolgreiche ICO am 26. Dezember 2017 scheint die Produktion von Sirin Labs grünes Licht bekommen zu haben.
Ausstattung ist die eine Sache, aber über die Erfolgsaussichten des durch die Blockchain-Technologie gesicherten Smartphones lässt sich nur spekulieren. Eine andere Hürde kann die Akzeptanz von Diensten wie Apple Pay und anderen sicheren Bezahlplattformen als eine Art von Kryptowährung darstellen. Kein Bargeld wechselt den Besitzer und keine Kredit-/ Debitkarten-Details werden übertragen. Dieser Bezahl-Ansatz beweist Stabilität und hat die Unterstützung der Banken und Regierungen dieser Welt. Er gewährleistet eine praktische Sicherheit, die selbst der durchschnittliche Benutzer auch nicht durch schlechte Praktiken untergräbt.
Insgesamt scheinen der Security by Design Ansatz und das FINNEY Phone den richtigen Moment abgepasst zu haben. Das Jahr 2017 bewies auf beeindruckende Weise – angefangen mit der Vielzahl von Bedrohungen, den Ausfällen von kritischen Infrastrukturen in der Ukraine, bis hin zu den verheerenden WannaCryptor und DiskCoder Ausbrüchen – welche Kosten durch Cyberangriffe entstehen.
Anhaltende Angriffe auf Kryptowährungsinfrastrukturen, mobile Malware und Zombie-IoT-Geräte schüren Ängste. Es ist kein Wunder, dass der Bitcoin-Kurs vor Weihnachten einen enormen Höhenflug erfuhr und das das Interesse in Kryptowährungen und der Blockchain-Technologie anstieg. Ganz zum Glück für Sirin Labs und deren Wettbewerber. In den vergangenen zwölf Monaten nahm ihr Marktumfeld eine konkretere Form an. In diesem Jahr werden wahrscheinlich viele weitere Cybersecurity-Anbieter folgen. Auf dem Mobile World Congress können wir die vorläufigen Ergebnisse der Entwickler begutachten.