Die Forscher des Zurich Information Security and Privacy Centers der ETH Zürich haben es sich zur Aufgabe gemacht, Sicherheitslücken aufzuspüren und diese zu eliminieren. Jüngstes Beispiel: Um das sichere Löschen von sensiblen Daten auf dem Smartphone zu garantieren, entwickelten die Forscher eine eigene Applikation.
Smartphones sind die smarten Alleskönner in der Kommunikation. Deshalb telefonieren wir nicht mehr nur damit, sondern speichern darauf E-Mails, Fotos, Dokumente, Web-Browser-Verläufe – kurz: eine Menge sensibler Daten aus dem privaten, aber auch aus dem geschäftlichen Bereich. Selbstverständlich geht man davon aus, dass alle diese heiklen Daten auch sicher gelöscht werden können. Dass dem nicht so ist, zeigen nun Forscher des Zurich Information Security and Privacy Centers der ETH Zürich. Sie beschreiben existierende Sicherheitslücken und gehen der Frage nach, wie man das Löschen von Daten noch sicherer machen kann.
Smartphones bieten zwar Löschfunktionen an, aber die Löschung erfolgt nicht sofort. Selbst wenn der Benutzer seine E-Mails löscht oder seinen Cache leert, bleiben die Daten Tage oder gar Monate auf dem Smartphone gespeichert, je nach Telefongebrauch. Eine technisch versierte Person kann diese Daten leicht wiederherstellen. Gerät das Handy also in falsche Hände, ohne dass es auf die Werkeinstellungen zurückgesetzt wird, ist ein Datenmissbrauch nicht auszuschliessen.
Die unterschiedlichen Speichersysteme haben technische Grenzen, was das Löschen von Daten anbelangt. Die ZISC-Forscher untersuchen deshalb das File System auf Android-Smartphones sowie allgemein das Flash File System. Android erlaubt es den Benutzern nicht, spezifische Files zu überschreiben. Die ZISC-Wissenschaftler entwickelten deshalb eine Applikation – mit Namen SHREDroid – welche Android-Geräte dazu zwingt, die Daten sowohl auf dem internen als auch auf den externen Speichern,wie zum Beispiel SD-Cards, definitiv zu löschen. Diese Applikation bieten die Forscher zurzeit in einer eingeschränkten Version kostenlos an.
Das Löschen von Daten in Flash File-Systemen ist ein grundsätzliches Problem und betrifft den Kern des Betriebssystems. Zwar kann der Inhalt des Flash-Speichers gelöscht werden, aber bei grossen Datenmengen ist das sehr ineffizient. ETH-Forscher untersuchen nun die Möglichkeit, heikle Daten verschlüsselt zu speichern und nur den Chiffrierungsschlüssel beim Entfernen der Daten durch Überschreiben zu löschen. In diesem Fall dient die Verschlüsselung nicht der Geheimhaltung, sondern dem verlässlichen Löschen von Daten. Dies würde es ermöglichen, dass Benutzer die Daten sicher und schnell löschen können, ohne dass die grundlegenden Systemeigenschaften – wie zum Beispiel die Applikationsunabhängigkeit oder das Wear-Leveling – beeinträchtigt werden.
«Diese Lösung lässt sich aber nicht über eine Applikation implementieren, sondern benötigt Änderungen im Betriebssystemkern», betont Srdjan Capkun. Der Spezialist für Informationssicherheit glaubt aber, dass sich dieser Aufwand durchaus lohnen würde: «Einfach löschen ist nicht sicher genug.»
Seit 2003 haben sich Forschende der ETH Zürich mit Industriepartnern im Zurich Information Security Center (ZISC) zusammengeschlossen, um die Kräfte auf diesem Forschungsgebiet zu bündeln. Das ZISC arbeitet an Lösungen für mehr Sicherheit und hat bereits neun PhD-Projekte erfolgreich abgeschlossen.
Zurzeit gehören dem ZISC vier Professoren und neun Doktoranden an. «Für die Informationsgesellschaft des 21. Jahrhunderts sind Sicherheitsfragen zentral und das ZISC versucht dazu einen Beitrag zu leisten», betont Capkun, der seit September 2011 das ZISC leitet.
Viele Bereiche vom Finanzwesen, über die Energieversorgung, das Transportwesen bis hin zur Bildung und der Unterhaltung basieren heute auf vernetzten Informationssystemen. Wirtschaft und Gesellschaft werden immer abhängiger von solchen Systemen.
Das ZISC wird zurzeit von vier Industriepartnern, die sich ganz unterschiedlich mit Sicherheitsfragen befassen, finanziell unterstützt. Es sind dies Armasuisse, Google und Credit Suisse (durch die IT Security Architecture Group) sowie die Sicherheitstechnik-Firma Kaba. Capkun freut sich über dieses Engagement: «Wir schätzen die Zusammenarbeit sehr, da wir vom fundierten Fachwissen der Partner, ihrer Kenntnis der Anforderungen in der Industrie und der grosszügigen finanziellen Unterstützung in unserer Forschung profitieren können.»
Der Online-Stellenmarkt für ICT Professionals