Auf der Suche nach der Sicherheitslücke
In seiner kooperativen Promotion am Fachbereich Elektrotechnik und Informatik unserer Hochschule forschte Fabian Ising zu angewandter Kryptografie. Ein Schwerpunkt lag auf unsicherer E-Mail-Verschlüsselung.
Fabian Ising beschäftigte sich in seiner kooperativen Doktorarbeit am Fachbereich Elektrotechnik und Informatik der FH Münster mit angewandter Kryptografie. (Foto: FH Münster/Jana Bade)
Informationen so zu verschlüsseln, dass Unbefugte sie nicht lesen können – das ist ein wichtiges Ziel in der Kryptografie. Insbesondere im digitalen Zeitalter sind Verfahren zur Verschlüsselung ein wichtiges Werkzeug zur Wahrung von Betriebsgeheimnissen und der Privatsphäre. Mit steigender Komplexität wird es jedoch immer schwieriger, ein System vor unerwünschten Zugriffen zu schützen. Wie das Zusammenspiel verschiedener Aspekte letztlich dazu führen kann, dass Kryptografie unsicher wird, untersuchte Fabian Ising in seiner kooperativen Promotion am Fachbereich Elektrotechnik und Informatik unserer Hochschule und der Ruhr-Universität Bochum (RUB). Für seine Dissertation erhielt er das bestmögliche Prädikat „summa cum laude“.
Einen Schwerpunkt legte der Informatiker auf die Verschlüsselung von E-Mails. Der Ausgangspunkt seiner Forschung war dabei eine Sicherheitslücke in den Technologien OpenPGP und S/MIME, an deren Aufdeckung Ising 2018 als Teil eines Teams der FH Münster, der RUB sowie des Unternehmens NXP Semiconductors beteiligt war. „Das Problem damals war, dass OpenPGP und S/MIME seit den 90er-Jahren ohne größere Updates im Einsatz waren“, erläutert Ising. Bei ihrem sogenannten Efail-Angriff hätten die Wissenschaftler die verschlüsselten Mails so modifiziert, dass externe Bilder über HTTP-Links nachgeladen wurden, in deren Pfad wiederum Teile der Nachricht eingebettet waren. Auf diese Weise erhielten sie in ihrer vorgetäuschten Rolle der Angreifer*innen Zugriff auf den Klartext. In weiteren Studien untersuchte Ising, ob sich diese Art der Schwachstelle auch auf andere Dateiformate wie PDF- oder Office-Dokumente übertragen ließ – und deckte auch dort gravierende Sicherheitslücken auf.
„Das ist eine gängige Methode in der angewandten Kryptografie“, beschreibt Ising sein Vorgehen. „Wenn es einen Fehler in einer Software gibt, ist die Wahrscheinlichkeit recht hoch, dass er noch an anderer Stelle auftritt. Darüber hinaus schaue ich mir die zugrundeliegenden Spezifikationen der Kommunikationsprotokolle an. Ich mache dann eine Liste der möglichen Interaktionen und überlege, was passieren könnte, wenn man sich nicht genau an die Spezifikation hält. Auch Blogposts und Foren sind eine spannende Quelle, um Programmfehler, die auf den ersten Blick nicht sicherheitsspezifisch sind, miteinander in Verbindung zu bringen.“ Die Ergebnisse sechs verschiedener Publikationen der vergangenen Jahre flossen schließlich in Isings Doktorarbeit ein. „Fast alle Sicherheitslücken sind inzwischen von den Herstellern behoben worden“, erklärt er. Ihm persönlich ginge es bei seiner Arbeit vor allem darum, die Sicherheit von Software für Anwender*innen zu verbessern.
Insbesondere mit ihrer Forschung im Bereich Ende-zu-Ende-Verschlüsselung von E-Mails betraten Ising und die kooperierenden Arbeitsgruppen unter Leitung seines fachlichen Betreuers Prof. Dr. Sebastian Schinzel von der FH Münster und seines Gutachters Prof. Dr. Jörg Schwenk von der RUB Neuland. „Das hat in dem Umfang vor uns noch keiner gemacht“, betont Ising. Bei allein rund 150 Standards in E-Mails sei es kein Wunder, dass es zu unerwünschten Wechselwirkungen käme. „Und das Grundproblem bleibt bestehen: E-Mail-Programme werden weiterwachsen. Bisher unkritische Standards, beispielsweise zur Einbindung von Emojis in E-Mails, könnten dann in Kombination mit neuen Funktionen plötzlich sicherheitskritisch werden.“ Entsprechend formuliert er auch eine seiner zentralen Erkenntnisse: „Mit zunehmender Komplexität werden Systeme an Stellen unsicher, an denen man es nicht erwartet hätte.“ Da helfe nur, wachsam zu bleiben und weiterhin Sicherheitslücken aufzuspüren.
Der gebürtige Borghorster, der bereits sein Bachelor- und Masterstudium in der Informatik mit dem Schwerpunkt IT-Sicherheit an der FH Münster absolviert hat, wurde während seiner Promotion im Rahmen einer Qualifizierungsstelle von der Hochschule gefördert. Nach dem Abschluss ist er weiterhin auf dem Steinfurter Campus tätig, wenn auch in anderer Funktion. Seit wenigen Wochen arbeitet Ising dort als wissenschaftlicher Mitarbeiter in der von Schinzel neugegründeten Forschungsabteilung „Applied Cryptography and Medical IT Security“ (ACM) des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT). Er wird insbesondere den Part der „Applied Cryptography“ ausfüllen und im Rahmen des „Lernlabors Cybersicherheit“ Unternehmen stärker für das Thema sensibilisieren und Schulungen für Beschäftigte aus dem IT-Bereich anbieten. Am Fachbereich Elektrotechnik und Informatik der FH Münster übernimmt er außerdem noch einen Lehrauftrag für die Vorlesung Hackerpraktikum.