Security by obscurity
Security by obscurity (auf deutsch etwa "Sicherheit durch Verdunkelung") ist ein Prinzip in der Kryptologie und Computer- und Netzwerksicherheit, das im Gegensatz zu Kerckhoffs Prinzip steht. Während Kerckhoffs Prinzip unterstellt, dass der Feind das System (also den Verschlüsselungs-Algorithmus) kennt und das die Sicherheit alleine vom Schlüssel ausgehen muss, steckt die gesamte oder ein Teil der Sicherheit bei einem auf Security by obscurity basierenden Verfahren im Algorithmus selbst und es müssen Maßnahmen ergriffen werden, dieses im Dunkeln und geheim zu halten.Eine Gefahr von Security by obscurity Systemen ist, dass der Algorithmus doch nach außen gelangt und man deshalb viel Aufwand in die Geheimhaltung investieren muss.
Da ein Security by obscurity System eine Art Black Box darstellt, in die ein Außenstehender nicht hineinschauen kann (und wegen der Geheimhaltung ja auch nicht darf) und nicht weiß, wie sie funktioniert, wird man sich schwer tun, ein solches System als sicher zu verkaufen. Man kann die Sicherheit schlicht weg nicht beweisen, ohne das Geheimnis offenzulegen. Eine gesunde Skepsis gegenüber solchen Systemen ist darum angebracht. Schließlich kann jeder behaupten, sein System sei sicher, wenn er es nicht beweisen muss. Security by obscurity Systeme sind darum per se unseriös und schlecht "verkaufbar".
Wird ein System allerdings nur intern, etwa innerhalb einer Organisation eingesetzt, spricht nichts dagegen, das System zusätzlich geheimzuhalten; hier muss man schließlich niemandem etwas beweisen. Trotzdem sollte die Sicherheit vom Schlüssel ausgehen, denn die Funktionsweise des Systems könnte evtl. durch einen Ex-Mitarbeiter verraten werden.
Beispiele für Security by Obscurity sind:
- Der Schlüssel unter der Fußmatte oder im Blumentopf: Hier wird auf das Geheimnis des Ortes gesetzt. Die Sicherheit der Schließanlage wird völlig aufgehoben, wenn der Ort bekannt wird. Darauf sollte man sich nicht verlassen, denn womöglich kennt der Feind das System, heißt: der Einbrecher guckt unter der Fußmatte, im Blumentopf und im falschen Stein nach.
- BIOS-Standard-Passwörter: Motherboard-Hersteller hatten ein immer gültiges Kennwort für den Service eingebaut, mit dem man das persönlich vom Computer-Eigentümer gesetzte Kennwort umgehen kann, damit Techniker auch dann noch helfen konnten, wenn der Eigentümer das Passwort vergessen hatte. Es dauerte nicht lange, bis die Service-Kennwörter allgemein bekannt waren und damit die gesamte Schutzfunktion nutzlos.
- Berechnen von WLAN-Passwörtern aus der Mac-Adresse: Dies ähnelt den BIOS-Passwörtern. Auch heute noch wollen Hersteller oder Provider Geld und Servicezeit sparen und berechnen aus der Mac-ID (eindeutige Seriennummer einer Netzwerkkarte) WLAN-Kennwörter. Die Algorithmen dazu sind zwar kompliziert aber wohl nicht 100%ig sicher verwahrt worden: Hacker haben vom Algorithmus erfahren, lesen die Mac-Adresse aus, berechnen das Kennwort und brechen in das WLAN ein.
- Netzwerkdienste verstecken: Es gibt tatsächlich Hersteller, die meinen, es genüge, die Steuerung einer WebCam oder eine Anlagensteuerung über einen Webdienst dadurch zu sichern, indem der Dienst nicht auf dem Port 80, sondern irgendeiner zufälligen Port-Nr. läuft, um so den "Komfort" zu bieten, darauf ohne Passwort zugreifen zu können. Ein gefundenes Fressen für einen Portscanner und den Hacker, der dann die WebCam steuert oder die Heizung hochdreht. Mittlerweile gibt es sogar eine spezielle Suchmaschine, die solche Lücken automatisch findet und katalogisiert.
- Verschlüsselungsverfahren, die ohne Schlüssel funktionieren: Wird ein Klartext zu einem Geheimtext, ohne dass es eines Schlüssels bedarf, dann liegt die gesamte Sicherheit im angewendeten Algorithmus. Wird dieser bekannt, ist der Klartext offengelegt. Der Dateneigentümer ist völlig machtlos und kann nichts für die Sicherheit tun. Er ist völlig dem Hersteller ausgeliefert und muss darauf vertrauen, dass dieser das Geheimnis behüten kann und wird. Anders, wenn der Dateneigentümer selbst über den Schlüssel verfügt. Dann kann es selbst Sorge und Vorsorge für dieses Geheimnis treffen.