Eine Frage des Vertrauens
Die digitale Welt ist längst nicht so sicher, wie wir gemeinhin denken. ETH-Forschende wollen deshalb eine fundamental neue Sicherheitsarchitektur entwickeln, die einen vertrauensvollen Datenaustausch ermöglicht. Unterstützt wird das Vorhaben durch eine Donation der Werner Siemens-Stiftung.
Vertrauen ist zentral für unsere Gesellschaft. Ob wir jemandem etwas abkaufen oder persönliche Daten mitteilen, hängt nicht zuletzt davon ab, ob wir dem Gegenüber vertrauen. Da wir heute immer mehr Aktivitäten ins Internet verlagern, wird es immer wichtiger, dass wir uns in der digitalen Welt sicher bewegen können. Stammt die vertrauliche E-Mail tatsächlich von unserem Chef? Tätigen wir Online-Zahlungen wirklich auf der Webseite unserer Bank? Rechnet der Kartenleser im Supermarkt effektiv nur das ab, was wir eingekauft haben?
Banken, Behörden oder Online-Händler unternehmen heute einiges, um das Vertrauen ihrer Kundinnen und Kunden zu gewinnen. Verschlüsselte Webseiten, Echtheitszertifikate, Zweiweg-Authentifizierung sind beispielsweise Instrumente, die einen sicheren Datentransfer gewährleisten sollen. Doch bei näherem Hinsehen zeigt sich: Die digitale Welt ist längst nicht so sicher, wie wir denken.
Das Problem an der Wurzel anpacken
Die ETH-Professoren David Basin, Peter Müller und Adrian Perrig wollen nun zusammen mit Matthew Smith, Professor an der Universität Bonn, die bestehenden Sicherheitslücken bei der Übertragung von heiklen Daten beheben. In einem grossen Projekt, das zunächst auf acht Jahre angelegt ist, wollen sie die technischen Voraussetzungen schaffen, dass Transaktionen in der digitalen Welt künftig sicher und damit auch vertrauenswürdig abgewickelt werden können.
Unterstützt wird das Projekt von der Werner Siemens-Stiftung, die das «Zentrum für Digitales Vertrauen» mit einer Donation von 9,83 Mio. Franken fördert. «Die ETH Zürich verfügt im Bereich Cyber-Security über eine grosse Kompetenz», erklärt ETH-Präsident Joël Mesot. «Dank der grosszügigen Schenkung der Werner Siemens-Stiftung können wir mit unserer Forschung dazu beitragen, dass die digitale Welt grundsätzlich sicherer wird.» Hubert Keiber, Obmann des Kuratoriums der Werner Siemens-Stiftung, ergänzt: «Informationssicherheit gehört zu den zentralen Herausforderungen unserer Zeit. Mit seinem Pioniercharakter passt dieses Projekt hervorragend zu unserer Stiftung.»
Fragiles Sicherheitssystem
Dass es eine fundamental neue Sicherheitsarchitektur im Internet braucht, davon ist David Basin, Professor für Informationssicherheit, fest überzeugt. «Die Zertifikate, mit denen man heute digitale Daten signiert, werden von über 1400 Zertifizierungsstellen in aller Welt ausgestellt. Es ist mehr als fraglich, ob dieses System wirklich zuverlässig ist.» Tatsächlich kommt es immer wieder vor, dass Zertifikate manipuliert werden und damit das System ausgehebelt wird.
Ansätze, dem Problem Herr zu werden, gibt es bereits einige, so etwa das Projekt Certificate Transparency von Google oder die Authentifizierung mittels geografischer Information. Doch nach Ansicht der ETH-Forschenden reicht das nicht aus. «Wir brauchen eine umfassende Neuausrichtung», ist Peter Müller, Professor für Programmiermethodik, überzeugt. «Das heutige Sicherheitssystem wurde in den Anfängen des Internets entwickelt und reicht für heutige Bedürfnisse nicht mehr aus.»
Die reale Welt als Vorbild
In ihrem Projekt wollen die Forschenden Eigenschaften, die uns in der realen Welt Vertrauen geben, in die digitale Welt übertragen. «Wenn wir uns in einem Schalterraum in einer Bank befinden oder einer Person direkt begegnen, dann schafft das Vertrauen», erläutert Müller. Eine mögliche Idee, wie man diese Elemente in die virtuelle Welt übertragen könnte, ist das «Handy-Schütteln» als Ergänzung zum herkömmlichen Händeschütteln bei der Begrüssung. Die Idee: Wenn sich zwei Personen in der Realität begegnen, tauschen sie über eine App elektronische Schlüssel aus. Diese werden später verwendet, um Daten zu verschlüsseln und authentisieren. «Damit wissen beide Partner, dass eine übermittelte Nachricht tatsächlich vom Gegenüber stammt», erklärt Adrian Perrig, Professor für Netzwerksicherheit.
Den Faktor Mensch berücksichtigen
Zentral am neuen Projekt sind zwei Punkte: Die neuen Systeme werden so ausgelegt, dass sich ihre Sicherheit mathematisch beweisen lässt. Und die Forschenden werden berücksichtigen, dass Menschen nicht fehlerfrei funktionieren. «Wir müssen die Technik an den Menschen anpassen und nicht umgekehrt», hält Basin fest. «Genau deshalb haben wir die Gruppe von Matthew Smith ins Boot geholt.» Der Professor für Usable Security and Privacy wird anhand von Fallbeispielen untersuchen, ob die entwickelten Technologien in der Realität tatsächlich so angewendet werden wie gedacht oder ob sich aus dem Verhalten der Akteure Sicherheitsprobleme ergeben.
Doch lässt sich eine solche grundsätzlich neue Sicherheitsarchitektur überhaupt noch implementieren? «Unsere Technologien erfordern keine globale Änderung des Internets, sondern können parallel zur heutigen Infrastruktur genutzt werden», erklärt Müller. «Aber wir streben natürlich eine breite Nutzung unserer Ergebnisse an, denn wir möchten ja, dass das Internet fundamental sicherer wird.»
Eine langjährige Partnerschaft
Die Donation für das «Zentrum für Digitales Vertrauen» ist bereits die fünfte Schenkung der Werner Siemens-Stiftung an die ETH Foundation: Im Jahr 2004 unterstützte sie die Realisierung des flexiblen Auditoriums im HIT-Gebäude auf dem Hönggerberg («Werner Siemens-Auditorium»). 2013 leistete sie eine Anschubfinanzierung für eine neue Professur auf dem Gebiet der Geothermie, welche 2015 mit Martin O. Saar besetzt werden konnte. 2017 ermöglichte sie den Aufbau des Zentrums für Einzelatom-Elektronik und -Photonik, das von Jürg Leuthold geleitet wird. 2018 beteiligte sich die Werner Siemens-Stiftung massgeblich am Bau des Bedretto-Felslabors, in welchem unter der Leitung von Domenico Giardini die Dynamik von Erdbeben erforscht wird.