speakerNEU!iShredder™ Business für iOS und Android sind ist jetzt für Geschäftskunden verfügbar.Mehr erfahren

Wie sicher ist Verschlüsselung noch?

Wie sicher ist Verschlüsselung noch?
April 15, 2025

Verschlüsselung ist heute allgegenwärtig – vom Messenger auf Deinem Smartphone bis zur schützenden Datei- oder Festplattenverschlüsselung auf Deinem PC. Vielleicht hast Du Begriffe gehört wie „AES-256“ oder „militärisch sicher“ und fragst Dich, was dahinter steckt und wie unknackbar solche Systeme wirklich sind. In diesem Ratgeber lernst Du Schritt für Schritt alles Wichtige über die Sicherheit von Verschlüsselung. Wir beginnen bei den Grundlagen für Einsteiger, vergleichen symmetrische und asymmetrische Verfahren und stellen moderne Algorithmen wie AES, RSA und ECC vor. Anschließend beleuchten wir, wie sicher AES-256 tatsächlich ist – in Theorie und Praxis. Du erfährst, welche Rolle Zufallszahlen spielen und warum manipulierte Zufallszahlengeneratoren ein enormes Risiko darstellen. Wir sprechen über echte Fälle von Backdoors (Hintertüren) in Krypto-Systemen – was Mythos, was Realität ist – und über Risiken, die selbst starke Verschlüsselung nicht abdecken kann (z.B. schwache Passwörter oder Social Engineering). Natürlich bekommst Du auch praktische Tipps für den Alltag: Wie Du Verschlüsselung richtig nutzt, worauf Du bei Tools achten solltest und Empfehlungen für bewährte Programme (etwa VeraCrypt, Signal). 

Bevor wir einsteigen, lass Dir eines gesagt sein: Starke Verschlüsselung ist kein Hexenwerk – wenn man sie richtig anwendet, ist sie eines der mächtigsten Werkzeuge, um Daten vor neugierigen Blicken zu schützen. Die Electronic Frontier Foundation (EFF) betont, dass Verschlüsselung „die beste uns zur Verfügung stehende Technologie zum Schutz unserer digitalen Sicherheit“ darstellt. In diesem Sinne – legen wir los und schauen uns zunächst die Grundlagen an. 

1. Grundlagen der Verschlüsselung 

Im Kern bedeutet Verschlüsselung, Informationen so zu verändern, dass sie ohne ein bestimmtes Geheimnis (einen Schlüssel) nicht mehr verständlich sind. Nur wer den richtigen Schlüssel besitzt, kann die Chiffre – also den unlesbar gemachten Text – wieder in den ursprünglichen Klartext zurückverwandeln. Man spricht dabei auch von Kryptografie, der Kunst der geheimen Kommunikation. Seit der Antike (man denke an die Caesar-Chiffre) bis zur modernen digitalen Verschlüsselung hat sich viel getan, aber das Prinzip ist ähnlich geblieben: Es braucht einen Schlüssel und eine Vorschrift (Algorithmus), um Daten zu verschlüsseln und wieder zu entschlüsseln​. 

Stelle Dir zum Verständnis ein einfaches Beispiel vor: Du möchtest eine Nachricht so verschlüsseln, dass niemand außer Deinem Freund sie lesen kann. Ihr vereinbart vorher einen geheimen Code, z.B. dass jeder Buchstabe durch den nächsten im Alphabet ersetzt wird. Dieses einfache Schema wäre der Algorithmus und das „eine Stelle weiter“ wäre der Schlüssel. Aus „HALLO“ würde so „IBMMP“. Dein Freund, der den Schlüssel kennt, kann das leicht wieder zurückwandeln, aber ein Fremder, der den Schlüssel nicht kennt, steht vor Kauderwelsch. Moderne Verfahren sind natürlich viel komplexer – aber folgen dem gleichen Grundprinzip: Schlüssel + Algorithmus = sichere Verschlüsselung. 

Symmetrische vs. asymmetrische Verfahren 

In der Kryptografie unterscheidet man zwei grundlegende Arten von Verschlüsselungsverfahren: symmetrische und asymmetrische Verfahren. Der Unterschied liegt vor allem im Umgang mit Schlüsseln: 

Symmetrische Verschlüsselung: Hier wird ein und derselbe Schlüssel zum Ver- und Entschlüsseln verwendet​. Sowohl Sender als auch Empfänger müssen also vorab dieses gemeinsame Geheimnis kennen. Das ist so, als hätten zwei Personen denselben Haustürschlüssel: Was der eine abschließt, kann der andere mit dem identischen Schlüssel wieder öffnen. Symmetrische Verfahren haben den Vorteil, sehr schnell zu sein und sich für große Datenmengen zu eignen​. Der Nachteil: Der Schlüssel muss irgendwie sicher zwischen den Kommunikationspartnern ausgetauscht werden – und darf nicht in falsche Hände geraten. In kleinen, geschlossenen Gruppen ist das machbar, aber in großen offenen Netzen (z.B. dem Internet-E-Mail-Verkehr) wäre es extrem unpraktisch, jedem vorher persönlich einen Schlüssel zu übergeben. Ein Beispiel eines symmetrischen Verfahrens aus der Antike ist die Caesar-Verschiebung, in der jeder Buchstabe durch einen anderen ersetzt wird – natürlich war diese Methode aus heutiger Sicht sehr schwach, aber das Prinzip eines gemeinsamen Geheimnisses sieht man dort schon​. 

Asymmetrische Verschlüsselung: Diese Methode löst das Schlüsselverteilungsproblem durch ein Schlüsselpaar aus öffentlichem und privatem Schlüssel​. Stell Dir dazu ein Tresor mit Schnappschloss vor​: Jeder kann die Tür zuhauen und damit etwas einschließen – dafür braucht man keinen Schlüssel (das entspricht dem öffentlichen Schlüssel, den jeder kennen darf). Aber um den Tresor wieder zu öffnen, benötigt man den geheimen Schlüssel (der private Key, den nur der Empfänger besitzt)​. Genauso funktioniert asymmetrische Kryptografie: Du gibst allen Deinen öffentlichen Schlüssel; damit kann man Dir Nachrichten verschlüsselt schicken. Entschlüsseln kannst aber nur Du mit Deinem privaten Schlüssel. Aus einem der Schlüssel lässt sich der jeweils andere nicht mit vertretbarem Aufwand berechnen – deshalb ist es kein Problem, wenn der Public Key überall bekannt ist​. Asymmetrische Verfahren basieren auf schweren mathematischen Problemen. Ein klassisches Beispiel: die Primfaktorzerlegung. Es ist einfach, zwei große Primzahlen zu multiplizieren, aber extrem schwierig, das Produkt ohne weitere Infos wieder in die ursprünglichen Primzahlen zu zerlegen​. RSA, ein bekanntes asymmetrisches Verfahren, nutzt genau dieses Prinzip: Der öffentliche Schlüssel entspricht dem Produkt zweier großer Primzahlen, der private Schlüssel kennt die Faktoren und kann damit Entschlüsselung betreiben. Vorteile asymmetrischer Verfahren: Schlüsselexchange wird einfach (öffentliche Schlüssel können frei verteilt werden) und man braucht pro Person nur ein Schlüsselpaar, nicht unzählige geheime Schlüssel mit jeder Person separat. Allerdings sind asymmetrische Methoden rechenaufwändiger und daher langsamer​. In der Praxis nutzt man daher häufig einen Mix aus beiden Welten – man spricht von hybriden Verfahren: Das langsame asymmetrische Verfahren wird nur benutzt, um einen Sitzungsschlüssel sicher auszutauschen, und die eigentliche Datenübertragung erfolgt dann schnell symmetrisch​. So macht es z.B. HTTPS im Web: Dein Browser tauscht erst per asymmetrischem Verfahren einen geheimen AES-Schlüssel mit dem Server aus und verschlüsselt dann die eigentlichen Daten symmetrisch mit AES. 

Moderne Verschlüsselungsalgorithmen: AES, RSA, ECC 

Schauen wir uns einige der heute gängigsten Algorithmen etwas genauer an: 

  • AES (Advanced Encryption Standard): AES ist der Standard für symmetrische Verschlüsselung weltweit. Er wurde im Jahr 2001 vom US-Institut NIST als neuer Standard verabschiedet​, nachdem der Vorgänger DES nicht mehr als sicher genug galt. AES basiert auf dem Algorithmus Rijndael, der in einem öffentlichen Wettbewerb als Sieger hervorging​. AES arbeitet blockweise: Daten werden in Blöcken zu 128 Bit (16 Bytes) verarbeitet. Es gibt AES mit 128-Bit-, 192-Bit- oder 256-Bit-Schlüsseln – meist spricht man von AES-128 oder AES-256. Grob gesagt bedeutet eine längere Schlüssellänge ein höheres Maß an theoretischer Sicherheit (dazu später mehr). AES ist sehr weit verbreitet: Es steckt in VPNs, in WLAN-Verschlüsselung (WPA2/WPA3), in Festplattenverschlüsselung (z.B. BitLocker unter Windows) und vielen weiteren Anwendungen. Zudem ist AES als einziger öffentlich zugänglicher Algorithmus vom US-Geheimdienst NSA für staatliche Dokumente mit höchster Geheimhaltung (“Top Secret”) zugelassen​ – das zeigt, welches Vertrauen in AES gesetzt wird. AES gilt dank umfangreicher Prüfungen durch Experten als äußerst sicher; signifikante Schwächen wurden nur in reduzierten Varianten mit weniger Runden gefunden​. 
  • RSA: RSA ist der bekannteste asymmetrische Algorithmus, benannt nach seinen Erfindern Rivest, Shamir und Adleman. RSA gibt es seit 1977 und es basiert – wie erwähnt – darauf, dass das Faktorisieren großer Zahlen schwer ist. Ein RSA-Schlüsselpaar besteht aus einem öffentlichen Modul (dem Produkt zweier großer Primzahlen, z.B. 2048 Bit lang) und einem privaten Exponenten, der auf den Primzahlen basiert. RSA wurde jahrzehntelang für sichere Webseiten (TLS), E-Mails (PGP/GnuPG) und digitale Signaturen verwendet. Die Sicherheit von RSA hängt von der Schlüssellänge ab – heute empfehlen Behörden wie das BSI mindestens 2000 bis 3000 Bit Schlüssellänge für neue RSA-Schlüssel, um ausreichend Sicherheit zu gewährleisten. RSA mit 1024 Bit gilt als unsicher (kann von staatlichen Akteuren inzwischen faktorsiert werden), 2048 Bit ist für viele Anwendungen noch okay, aber langfristig wird eher zu 3072 oder 4096 Bit geraten, gerade im Hinblick auf Quantencomputer-Zeithorizonte. RSA hat den Nachteil, vergleichsweise träge zu sein bei Schlüsselerzeugung und Entschlüsselung. Auch werden die Schlüssel sehr groß (mehrere hundert Bytes). Dennoch bleibt RSA ein Grundpfeiler der Kryptografie – zumindest bis Quantencomputer kommen, die RSA vermutlich brechen können. 
  • ECC (Elliptic Curve Cryptography): Dies ist eine neuere Form asymmetrischer Verfahren, die auf elliptischen Kurven basiert. ECC ermöglicht bei kleineren Schlüsseln die gleiche Sicherheit wie RSA mit sehr großen Schlüsseln. Zum Beispiel bietet ein 256-Bit-Schlüssel in einem elliptischen Kurvenverfahren (wie z.B. der Kurve secp256r1 oder Curve25519) ungefähr die Sicherheit eines 3072-Bit-RSA-Schlüssels – aber der ECC-Schlüssel besteht nur aus 256 Bit. Das macht ECC attraktiv für Anwendungen, wo Bandbreite oder Speicher knapp sind (IoT-Geräte, Mobilgeräte, etc.). Bekannte Anwendungen: ECDSA (elliptische Kurven Signaturalgorithmus) wird z.B. bei Bitcoin für Transaktionssignaturen genutzt, ECDH (elliptische Diffie-Hellman) wird für Schlüsselaustausch in vielen Protokollen verwendet, und auch der beliebte Messenger Signal setzt auf Curve25519 für seinen Schlüsselaustausch. ECC galt anfangs als etwas kontrovers, da einige der von NIST standardisierten Kurven (wie secp256r1 aka P-256) von der NSA mitentwickelt wurden – was zu Spekulationen führte, ob möglicherweise versteckte Schwächen (Backdoors) existieren. Bisher gibt es keine Belege für eine absichtliche Schwächung dieser Kurven; im Gegenteil, sie scheinen sicher. Trotzdem setzen manche Open-Source-Projekte (z.B. Signal, TLS 1.3 Standardgruppen) lieber auf Kurven, die von der akademischen Gemeinschaft entworfen wurden (Curve25519, Curve448), um jegliches Misstrauen zu vermeiden. Insgesamt ist ECC heute Stand der Technik bei asymmetrischer Verschlüsselung: effizient und sicher – allerdings teilt auch ECC das Schicksal von RSA, dass es von genügend starken Quantencomputern in Zukunft gebrochen werden könnte. 

Soweit die Grundlagen: Du kennst nun die Unterscheidung symmetrisch/asymmetrisch und einige prominente Vertreter. Im nächsten Schritt wollen wir tiefer in die Sicherheitsfrage schauen, konkret am Beispiel AES-256, das oft als Maß der Dinge bezeichnet wird. Wie sicher ist AES-256 wirklich? 

2. Wie sicher ist AES-256 wirklich? 

AES-256 gilt als einer der stärksten allgemein verfügbaren Verschlüsselungsstandards. Wenn man „militärisch sicher“ hört, ist meist AES-256 gemeint​. Doch was bedeutet das konkret? Schauen wir zunächst auf die theoretische Sicherheit und dann auf praktische Aspekte. 

Theoretische Sicherheit von AES-256 

Die Stärke eines symmetrischen Verfahrens hängt maßgeblich von der Schlüssellänge und der Robustheit des Algorithmus ab. AES-256 hat – wie der Name sagt – einen 256-Bit-Schlüssel. Das ist eine astronomisch große Zahl an möglichen Schlüsseln: $2^{256}$ verschiedene Kombinationen. Zum Vergleich: $2^{256}$ ist etwa eine 1 gefolgt von 77 Nullen – also 115 Quattuorvigintillionen Möglichkeiten (eine Zahl, für die es kaum noch Worte gibt). Ein Angreifer, der brute-force alle Schlüssel durchprobieren wollte, selbst mit Millionen Supercomputern, hätte keine Chance, auch nur einen nennenswerten Bruchteil in der Zeit des Universums zu testen. In der Kryptographie spricht man davon, dass AES-256 einen sehr großen Suchraum hat. Ein Brute-Force-Angriff (auch Exhaustive Key Search genannt) ist praktisch ausgeschlossen, solange nicht irgendeine fundamentale neue Physik ins Spiel kommt (z.B. Quantencomputer, dazu später mehr)​. 

Wichtig ist: Nicht nur die Schlüssellänge macht’s, sondern auch der Algorithmus selbst darf keine Abkürzungen erlauben. Bei AES haben Kryptanalytiker in den vergangenen Jahren intensiv geforscht, ob es Angriffe gibt, die weniger Aufwand benötigen als $2^{256}$. Die gute Nachricht: Für AES-256 (und auch AES-128) sind keine praktikablen Angriffe bekannt, die besser wären als reines Raten​. Es gab akademische Analysen, zum Beispiel sogenannte Related-Key-Angriffe, die unter konstruierten Bedingungen einen Vorteil bieten. Konkret wurde gezeigt, dass in einem Szenario, in dem ein Angreifer spezielle Zusammenhänge zwischen verschiedenen Schlüsseln herstellen kann (was im normalen Gebrauch von AES nicht vorkommt), AES-256 etwas schwächer sein könnte als AES-128​. Doch diese Angriffe sind für die Praxis irrelevant, da man in echten Systemen nie erlaubt, dass ein Angreifer mehrere verwandte Schlüssel bekommt. Stand heute sagt auch das deutsche BSI klar: Abgesehen von exotischen Related-Key-Szenarien gibt es keine Attacke auf AES, die signifikant schneller wäre als Brute-Force​. Anders ausgedrückt: AES-256 ist aus theoretischer Sicht extrem stark – es erfüllt alle Anforderungen, um selbst von gut ausgestatteten Angreifern (Staaten, Geheimdiensten) nicht durch reines Rechnen geknackt werden zu können. 

Interessant am Rande: Der Begriff "militärisch sicher" rührt daher, dass AES-256 von Behörden wie der US-Regierung für die höchste Geheimhaltungsstufe zugelassen ist und auch von vielen Militärs verwendet wird. Marketing nutzt diesen Begriff gern, um zu sagen „so sicher wie beim Militär“. Tatsächlich nutzen auch Banken, Krankenhäuser und andere Organisationen mit sensiblen Daten AES-256​. Natürlich garantiert dies allein nicht absolute Sicherheit – aber es zeigt das Vertrauen, das in die Verschlüsselung gesetzt wird. 

Praktische Sicherheit und mögliche Angriffsvektoren 

Wenn AES-256 an sich so robust ist, bedeutet das in der Praxis: Kein Angreifer wird sich die Mühe machen, direkt AES-256 zu knacken, indem er alle Schlüssel durchprobiert. Stattdessen sucht man in der echten Welt nach Schwachstellen in der Implementierung oder im Einsatzumfeld. Hier sind einige praktische Aspekte, die die Sicherheit beeinflussen: 

Implementierungssicherheit: Der beste Algorithmus nützt nichts, wenn er schlampig programmiert ist. In der Vergangenheit gab es Fehler in Kryptobibliotheken, die die Sicherheit schwächten. Ein berühmtes Beispiel ist der Heartbleed-Bug in OpenSSL (2014) – zwar betraf dieser einen anderen Teil (TLS-Heartbeat), aber er zeigt: Durch Implementierungsfehler können private Schlüssel ausgelesen werden. Für AES im Speziellen gab es Timing-Angriffe: Frühe Implementierungen von AES auf dem PC waren anfällig, weil sie je nach Schlüssel unterschiedliche Speicherzugriffe hatten. Ein Angreifer, der die Zeit messen konnte, die eine AES-Verschlüsselung dauert, konnte Rückschlüsse auf den Schlüssel ziehen. Moderne AES-Implementierungen (z.B. in OpenSSL) nutzen konstante Zeit und spezielle CPU-Befehle (AES-NI auf neueren Prozessoren), um solche Side-Channel-Leaks zu verhindern. 

Side-Channel-Angriffe: Das sind Angriffe, die nicht die Mathematik anpacken, sondern z.B. Laufzeit, Stromverbrauch, elektromagnetische Abstrahlung oder ähnliche Seiteneffekte nutzen, um an den Schlüssel zu kommen. In Laborbedingungen wurde gezeigt, dass man durch das Abhören von Stromverbrauch eines Geräts während AES-Verschlüsselungen Bits des Schlüssels rekonstruieren kann. In der Praxis sind solche Angriffe schwieriger, aber nicht unmöglich – gerade bei spezialisierten Zielen (z.B. Krypto-Chips auf Smartcards). Für den Normalnutzer ist das Szenario eher: Malware auf dem Smartphone oder Computer könnten versuchen, während die CPU AES ausführt, per sog. Cache-Angriff Informationen abzugreifen. 2018 wurden mit Meltdown und Spectre Schwachstellen in CPU-Architekturen bekannt, die es erlaubten, geschützte Speicherbereiche (sogar Kernel-Memory) auszulesen – theoretisch hätten so auch Krypto-Schlüssel entwendet werden können. Diese Lücken wurden zwar geschlossen, verdeutlichen aber: Die Umgebung muss genauso sicher sein wie der Algorithmus

Schlüsselaustausch und Modi: AES als Algorithmus ist ein Baustein. Man verwendet ihn in einem bestimmten Modus (ECB, CBC, GCM, etc.) und mit einem Protokoll darum herum. Die Sicherheit hängt auch davon ab, dass richtige Modi genutzt werden. Ein Beispiel: AES im ECB-Modus (Electronic Code Book) verschlüsselt jeden Block für sich. Das ist unsicher, weil gleiche Klartextblöcke zu gleichen Chiffreblöcken führen – Muster bleiben erkennbar (man kennt z.B. das berühmte ECB-Beispielbild des Linux-Pinguins, der trotz AES-ECB-Verschlüsselung noch schemenhaft erkennbar ist, da sich Muster wiederholen). Sichere Nutzung erfordert Modi wie CBC (mit Initialisierungsvektor) oder noch besser AEAD-Modi wie GCM oder ChaCha20-Poly1305, die gleichzeitig Vertraulichkeit und Integrität bieten. Wenn ein Entwickler hier Fehler macht (etwa einen festen Initialisierungsvektor verwendet, oder – ganz schlimm – einen Schlüssel mehrfach nutzt, wo er es nicht sollte), kann das die Sicherheit aushebeln. Das ist kein Fehler von AES selbst, aber ein Anwendungsfehler

Zusammengefasst: AES-256 selbst ist nach aktuellem Wissensstand „unknackbar“, solange korrekt eingesetzt. Praktische Angriffe zielen daher eher auf Implementierungen, Side-Channels oder Benutzerfehler. 

3. Manipulierte Zufallszahlengeneratoren und ihre Gefahren 

„Zufall“ klingt erst einmal trivial, ist aber das Herzstück fast jeder Verschlüsselung. Warum?  
Die Schlüssel, die für AES, RSA & Co. genutzt werden, müssen unvorhersehbar sein – und dafür braucht man echte (bzw. kryptographisch sichere) Zufallszahlen. Wenn die Zufallszahlengeneratoren schwach oder sogar absichtlich manipuliert sind, nutzt die stärkste Verschlüsselung nichts, weil der Angreifer dann die Schlüssel erraten oder nachbilden kann. 

Stell Dir vor, Du würfelst einen Zahlenschlüssel – wenn der Würfel gezinkt ist und immer nur kleine Zahlen zeigt, wird es für einen Angreifer viel leichter, den Schlüssel zu raten. In der Computerkryptografie gibt es sogenannte CSPRNGs (Cryptographically Secure Pseudo-Random Number Generators). Das sind Algorithmen, die eine Folge an sich zufälliger Bits erzeugen, ausgehend von einem Startwert (Seed), der von irgendeiner echten Entropiequelle stammen muss (z.B. Mausbewegungen). Wenn ein Angreifer den internen Zustand oder den Seed des Zufallsgenerators kennt, kann er alle daraus generierten „Zufallszahlen“ vorhersagen – und damit z.B. Deine Schlüssel rekonstruieren. 

Dual_EC_DRBG – ein Fallbeispiel für einen RNG mit Hintertür 

Ein berühmtes Beispiel ist Dual_EC_DRBG. Das ist ein Zufallszahlengenerator, der 2006/2007 vom US-NIST als Standard vorgeschlagen wurde – und der im Nachhinein in Verdacht geriet, eine absichtliche Hintertür der NSA zu enthalten. Was war da los? 

Dual_EC_DRBG basiert auf elliptischen Kurven (daher „EC“ im Namen). Im Standard war eine bestimmte Kurve festgelegt und zwei Konstanten, Punkte $P$ und $Q$ auf dieser Kurve. Kurz nach Veröffentlichung wiesen Kryptografen (u.a. Dan Shumow und Niels Ferguson von Microsoft) darauf hin, dass wenn $Q$ in einer bestimmten Beziehung zu $P$ steht, ein Angreifer mit entsprechendem Wissen alle Ausgaben des RNG vorhersagen kann​.  
Konkret: Es könnte eine geheime Zahl $d$ geben, so dass $Q = d \cdot P$ (dies nennt man den diskreten Logarithmus von Q zur Basis P). Kennt jemand diese Zahl $d$, kann er die internen Zustände des Zufallsgenerators berechnen und damit sämtliche „zufälligen“ Werte rekonstruieren​. Genau das wäre eine Backdoor

Nun wurde genau das vermutet: Die Wahl von $P$ und $Q$ im Standard war nicht transparent – und 2013 kamen durch die Snowden-Dokumente Hinweise ans Licht, dass die NSA tatsächlich eine solche Hintertür eingebaut haben könnte​. Dual_EC_DRBG war also verdächtig, absichtlich geschwächt zu sein. Die Folge: NIST hat Dual_EC_DRBG nach der Kontroverse zurückgezogen und aus seinen Empfehlungen entfernt​. Auch die Softwarefirma RSA (die ein gleichnamiges Kryptoprodukt anbietet) geriet in die Kritik, weil sie Dual_EC_DRBG voreingestellt in ihrer Bibliothek verwendet hatte – Berichten zufolge floss sogar Geld der NSA, um dies zu tun. Hier haben wir einen echten Fall, wo ein manipulierter Zufallszahlengenerator potenziell die Sicherheit vieler Systeme kompromittiert hat oder hätte, wäre er breit eingesetzt worden. 

Warum ist das so gefährlich? Angenommen, ein weit verbreitetes Betriebssystem hätte diesen RNG genutzt, um TLS-Schlüssel für Internetverbindungen zu erzeugen. Ein Angreifer (in diesem Fall die vermutete NSA) mit Kenntnis der Hintertür hätte dann trotz AES, RSA & Co. die verschlüsselte Kommunikation mitlesen können – einfach, weil die Schlüssel vorhersehbar waren. Dual_EC_DRBG zeigt eindrücklich: Die Qualität der Zufallszahlen ist entscheidend. Eine Kette ist nur so stark wie ihr schwächstes Glied, und wenn das schwächste Glied der Zufall ist, bricht die ganze Kette. 

Weitere Beispiele und Lehren aus RNG-Schwächen 

Nicht immer stecken böse Absichten dahinter – manchmal passieren auch Fehler, die fatale Folgen für die Kryptosicherheit haben. Ein Beispiel: 2008 wurde bekannt, dass die Debian-Distribution von Linux jahrelang einen fehlerhaften Patch in OpenSSL hatte, der den Zufallszahlengenerator drastisch schwächte. Ergebnis: Alle Schlüssel, die auf diesen Debian-Systemen erzeugt wurden (SSH-Schlüssel, OpenVPN-Schlüssel etc.), waren auf einen kleinen Bruchteil der eigentlich möglichen Werte beschränkt. Angreifer konnten somit diese Schlüssel relativ leicht erraten, weil nur 2^15 oder so verschiedene Kombinationen ausprobiert werden mussten, anstatt astronomisch viele. Das war zwar kein absichtlicher Backdoor, sondern ein Versehen – aber die Auswirkung war ähnlich: Viele als sicher geglaubte Schlüssel waren faktisch unsicher. 

Die Lehre aus all dem: Vertraue niemals blind dem Zufall! Gute Kryptosysteme stellen sicher, dass ihre Zufallszahlengeneratoren sicher sind – oft durch Kombination mehrerer Quellen (z.B. Hardware-RNG + Software-RNG + Rauschen aus verschiedenen Systemquellen). Nach der Dual_EC_DRBG-Affäre haben viele Entwickler misstrauisch auf staatliche Vorgaben reagiert – und setzen lieber auf Open-Source-Implementierungen und Algorithmen ohne merkwürdige konstante Parameter. 

Für Dich als Anwender heißt das: Nutze bewährte Kryptobibliotheken, die bekannt sind für gute RNGs (OpenSSL, die libsodium etc.). Und sei dir bewusst: Wenn irgendwo „Zufall“ draufsteht, der aber gar keiner ist, dann ist alle Verschlüsselung obsolet. 

4. Backdoors: Mythen, Fakten und reale Fälle 

Kaum ein Thema wird in der Kryptografie so emotional diskutiert wie Backdoors, also absichtliche Hintertüren in Verschlüsselungssystemen. Die Spannweite reicht von Verschwörungstheorien („XYZ enthält bestimmt eine NSA-Backdoor!“) bis hin zu gut dokumentierten realen Fällen, wo tatsächlich Hintertüren eingebaut wurden. Schauen wir uns beides an: Welche Mythen gibt es, und welche belegten Fälle? 

Mythen und Misstrauen 

Gerade weil Verschlüsselung Regierungen und Strafverfolgern die Überwachung erschwert, gibt es immer wieder Gerüchte und Theorien, dass populäre Algorithmen absichtlich manipuliert seien. Ein oft diskutierter Mythos: „Die NSA kann sowieso alles knacken“ – sei es durch geheime Mathematik oder eingebaute Lücken. Für Algorithmen wie AES, RSA oder ECC gibt es jedoch keine Hinweise auf generelle Hintertüren​. Diese Verfahren wurden offen von der Fachwelt geprüft und gelten als mathematisch solide. Es ist höchst unwahrscheinlich, dass etwa AES-256 eine unbekannte Schwäche hätte, die nur Geheimdienste kennen – denn kryptografische Forschung ist international und sehr aktiv; eine solche Schwäche wäre vermutlich längst publik geworden. 

Allerdings ist Misstrauen historisch durchaus angebracht: In den 90er Jahren versuchte z.B. die US-Regierung mit dem Clipper-Chip eine Telefon-Verschlüsselung einzuführen, die einen Behördenmasterkey hatte. Das Projekt scheiterte am Protest (u.a. EFF)​, zeigte aber, dass der Wunsch nach „gesetzlichen Hintertüren“ real ist. Auch wurden früher Export-Versionen von Software künstlich geschwächt (Stichwort 40-Bit-Exportkrypto), was sich später als Sicherheitslücke erwies. Ein weiteres Beispiel für Misstrauen: Die von der NSA mitentwickelten elliptischen Kurven (NIST P-256 etc.) – viele Kryptografen waren skeptisch, ob die zufällig aussehenden Parameter darin wirklich ohne Hintergedanken gewählt wurden. Bislang gilt: Diese Standardkurven zeigen keine Anzeichen einer Schwächung, aber die Diskussion führte dazu, dass Alternativen wie Curve25519 populär wurden, die ohne Einfluss von Geheimdiensten entstanden. 

Reale Fälle von Backdoors 

Es gibt belegte Fälle, in denen Backdoors implementiert wurden – sei es durch Geheimdienste oder andere Akteure. Hier einige der bekanntesten: 

  1. Crypto AG (Operation Rubikon): Dies ist vermutlich der größte Kryptografie-Skandal des 20. Jahrhunderts. Crypto AG war ein Schweizer Hersteller von Chiffriermaschinen, der weltweit an über 120 Länder Geräte verkaufte – angeblich neutral und vertrauenswürdig. In Wirklichkeit gehörte die Firma heimlich dem US-Geheimdienst CIA und dem deutschen BND gemeinsam! Die Geräte von Crypto AG wurden bewusst mit Schwächen versehen, sodass die Geheimdienste die verschlüsselte Kommunikation fremder Regierungen mitlesen konnten. Jahrzehntelang – bis 2018 – lief diese Operation, ohne dass die Kundenstaaten es ahnten. Beispielsweise konnte die USA während der Iran-Geiselnahme in den 1970ern und anderen Konflikten so mitlauschen. Erst 2020 kamen durch investigative Berichte die Details ans Licht. Dieses Beispiel zeigt: Backdoors müssen nicht im Algorithmus selbst stecken; sie können auch in der Implementierung eines Geräts/Produktes sein. Vertrauen und Transparenz sind hier entscheidend. Viele Länder nutzen seither bevorzugt offene Standards und Open-Source-Software, damit so etwas nicht nochmal passiert. 
  2. Juniper ScreenOS Backdoor (2015): Juniper Networks entdeckte 2015 in seinem Firewall-Betriebssystem ScreenOS verdächtigen Code. Es stellte sich heraus, dass unbekannte Angreifer (bis heute nicht offiziell geklärt, wer – vermutet wird ebenfalls ein Geheimdienst) den Zufallszahlengenerator der VPN-Verschlüsselung ausgetauscht hatten – und zwar ausgerechnet gegen Dual_EC_DRBG, plus einer Modifikation am $Q$-Parameter. Das heißt, jemand hat vermutlich genau die oben beschriebene Dual-EC-Hintertür genutzt oder sogar erweitert. Durch diesen Code konnte der Angreifer VPN-Verkehr entschlüsseln, der eigentlich sicher sein sollte​. Zusätzlich fand Juniper eine Hardcoded-Passwort-Backdoor für Remote-Zugriff. Diese Vorfälle zeigten, wie real das Risiko ist, dass Dritte (nicht nur Hersteller) Backdoors einschleusen. Für Unternehmen war das ein Weckruf: Man muss die Integrität der eigenen Krypto-Software im Auge behalten. Und politisch war es brisant, weil es deutlich machte, dass absichtliche Schwächungen – selbst wenn „nur“ für Geheimdienste gedacht – von anderen ausgenutzt werden können. 
  3. Hardware-RNG und Intel: Ein weiteres Beispiel, wenn auch kein bestätigter “Angriff”, ist das Misstrauen gegenüber Hardware-Zufallsnummerngeneratoren in Prozessoren. Intel etwa bietet seit Jahren eine Anweisung RDRAND, die Zufallszahlen ausgibt. Nach Snowden gab es Spekulationen, ob diese eventuell manipuliert sein könnte (Intel hat dies stets bestritten). Einige Betriebssysteme, wie OpenBSD, entschieden sich dennoch dafür, RDRAND-Output stets mit anderen Entropiequellen zu vermischen, um sicherzugehen. Hier sieht man: Auch ohne konkreten Beweis führt die Möglichkeit einer Backdoor (und die Geschichte von Dual_EC) zu vorsorglichen Maßnahmen. Sicherheitssysteme sollten möglichst nicht auf die absolute Vertrauenswürdigkeit einer einzelnen Komponente angewiesen sein. 

Neben diesen Fällen gab es noch mehrere Geschichten: In den 1980ern soll etwa ein sowjetischer Abhördienst gezielt unsichere Kryptogeräte an Botschaften verteilt haben. Oder Dokumente aus den Snowden-Leaks (Stichwort Bullrun-Programm) legen nahe, dass die NSA versucht hat, Kryptostandards zu beeinflussen (Dual_EC war vermutlich Teil davon). 

Möglichkeiten für Backdoors: Algorithmus, Software, Hardware 

Backdoors können an verschiedenen Stellen eingebaut werden: 

Im Algorithmus selbst: Das ist am schwierigsten, wenn der Algorithmus öffentlich ist, weil viele Experten ihn analysieren. Dual_EC_DRBG war ein seltener Fall, wo es fast gelungen wäre – auch nur, weil es sehr kompliziert war und erst wer genauer hinschaute, die Schwäche entdeckte. Ein normaler Verschlüsselungsalgorithmus wie AES, der offenliegt, wäre praktisch unmöglich zu sabotieren, ohne dass es jemand merkt. Daher: Offene, gut geprüfte Algorithmen sind in der Regel frei von absichtlichen Schwächen. 

In der Software-Implementierung: Viel einfacher ist es, in einer Software einen Hintertür-Code zu verstecken. Etwa: Man könnte in ein Verschlüsselungsprogramm einen Code einbauen, der bei einer bestimmten geheimen Tastenkombination oder einem bestimmten Schlüssel immer einen Master-Decrypt-Key akzeptiert. Oder man baut eine Schwachstelle ein, die nur der Einbauer kennt. Closed-Source-Software bietet hier natürlich Nährboden, weil niemand von außen den Code auditieren kann. Aber auch Open Source ist nicht komplett gefeit – jedoch deutlich besser überprüfbar. Die Juniper-Backdoor z.B. wurde jahrelang nicht bemerkt, weil der Code closed source war. Wäre er offen gewesen, hätte die Community die merkwürdige Dual_EC-Nutzung wahrscheinlich bemerkt. Ein Beispiel aus der Open-Source-Welt: In der Linux Kernel-Entwicklung versuchte 2003 jemand, eine Backdoor einzuschleusen (durch einen subtilen Fehler im Zufallszahlencode). Der Patch wurde jedoch entdeckt und zurückgewiesen, weil die Open-Source-Community eben hinschaut. 

In der Hardware: Noch tückischer – ein Chip könnte im Design eine Backdoor haben. Z.B. ein verschlüsselnder Chip in einem Smartphone könnte bei Eingabe einer bestimmten Bitfolge den Schlüssel herausrücken. Solche Hardwaretrojaner sind schwer nachweisbar, weil man sie nur mit aufwändiger Chip-Analyse finden würde. In der Praxis wurde so etwas selten publik, aber denkbar ist es. Deshalb bevorzugen viele sicherheitsbewusste Stellen offene Hardware-Designs oder setzen auf etablierte Hersteller und Audits. Auch hier gilt: Vertrauen ist gut, Kontrolle (wo möglich) ist besser. 

Vertrauen vs. Transparenz: Die Rolle von Open Source 

Transparenz ist ein Schlüssel im Kampf gegen Backdoors. Wenn der Code offenliegt und von vielen begutachtet wird, sinkt die Wahrscheinlichkeit, dass eine Hintertür unentdeckt bleibt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) formuliert es so: Großes Vertrauen wird heute vor allem in Techniken und Programme gesetzt, deren Funktionsweise offenliegt. Denn bei proprietären, geschlossenen Systemen muss man dem Hersteller blind vertrauen – und hoffen, dass niemand in der Lieferkette Schindluder treibt. Bei Open Source kann theoretisch jeder überprüfen, ob z.B. die Implementierung von AES in VeraCrypt oder die Signal-App irgendwelche unerwünschten “Features” hat. 

Natürlich heißt Open Source nicht automatisch „sicher“. Es muss auch tatsächlich jemand hinsehen (viele Augen Prinzip). Und manche Backdoors können so raffiniert sein, dass sie nicht sofort auffallen. Aber die Chance ist ungleich höher, dass sie entdeckt werden, bevor Schaden entsteht. Ein Beispiel: Die TrueCrypt-Audit-Projekte haben den Quellcode der populären Verschlüsselungssoftware nach dem plötzlichen Ende von TrueCrypt untersucht. Man fand keine Hinweise auf Backdoors – was das Vertrauen in den Nachfolger VeraCrypt gestärkt hat. Hätte TrueCrypt komplett geschlossen und von einer unbekannten Firma stammen können, wäre die Unsicherheit groß gewesen. 

EFF und andere Organisationen betonen auch: Jede absichtliche Schwächung der Verschlüsselung schadet am Ende allen. Eine Hintertür, die „nur“ für gute Zwecke gedacht ist (z.B. Strafverfolgung), kann genauso von Kriminellen ausgenutzt werden​. Kryptographie ist am effektivsten, wenn sie einfach sicher ist – ohne Sonderzugänge. Darum setzen sich Experten weltweit dafür ein, starke Verschlüsselung ohne Hintertüren zu erhalten. In politischen Diskussionen tauchen immer wieder Forderungen auf, man möge doch „gesetzlich Backdoors einführen“ (z.B. in Messengern) – aber kryptografisch gibt es kein „bisschen sicher“: Entweder eine Kommunikation ist Ende-zu-Ende sicher, oder nicht. Einen Zugang für Polizei einzubauen bedeutet automatisch einen Schwachpunkt, den auch andere finden können​. 

Insgesamt gilt: Die größten uns bekannten Backdoor-Gefahren liegen weniger in den Algorithmen selbst, sondern in der Implementierung und Distribution von Verschlüsselungssystemen. Mit gesunder Skepsis, Nutzung transparenter Technologien und regelmäßigen Updates kann man diesem Risiko aber gut begegnen.  
 

5. Risiken trotz starker Verschlüsselung 

Angenommen, Du verwendest den besten Algorithmus (z.B. AES-256), mit einem perfekten Zufallszahlengenerator und keiner Backdoor weit und breit – heißt das, Deine Daten sind garantiert sicher? Leider nein, denn es gibt einige praktische Risiken, die außerhalb der Kryptologie liegen, aber die Verschlüsselung aushebeln können. Oft heißt es: „Krypto scheitert meist nicht am Knacken der Mathematik, sondern am Menschen.“ Schauen wir uns die größten Stolpersteine an: 

Schwache Passwörter und Schlüsselschutz 

Die meisten Verschlüsselungslösungen für Endnutzer hängen letztlich an einem Passwort, das den Schlüssel schützt. Beispielsweise verschlüsselst Du Deine Festplatte mit VeraCrypt – das Programm erzeugt intern einen zufälligen Schlüssel, aber dieser wiederum wird mit Deinem gewählten Passwort geschützt. Rate mal, wo Angreifer zuerst ansetzen: Natürlich beim Passwort! Ein schlecht gewähltes Passwort (z.B. „123456“, „Passwort123“ oder ein kurzes Wort aus dem Wörterbuch) kann durch Brute-Force oder Wörterbuch-Angriffe relativ leicht herausgefunden werden. Dann braucht niemand AES-256 zu knacken – man hat ja den Generalschlüssel direkt vom Nutzer erhalten (bzw. erraten). 

Deshalb ist das erste Gebot: Verwende sichere, ausreichend lange Passwörter​. Idealerweise Passphrasen (eine Kombination aus mehreren Wörtern) oder vollkommen zufällige Zeichenketten, die mindestens 12-15 Zeichen lang sind (lieber mehr). In vielen Fällen sind die verschlüsselten Daten nämlich „effektiv nur durch ein Passwort geschützt“ – wer das hat, kann alle kryptographischen Schlüssel ableiten. Die Stärke der Verschlüsselung steht und fällt also mit der Stärke Deines Passworts. 

Doch selbst ein super komplexes Passwort kann gestohlen werden: durch Malware beispielsweise, die Tastatureingaben mitliest​. Ein sogenannter Keylogger (Trojaner) protokolliert Dein Master-Passwort, sobald Du es eingibst – und der Angreifer umgeht damit wiederum jede Kryptografie. Hier hilft nur allgemeine IT-Sicherheit: ein aktuelles System, Virenscanner, Firewall, Vorsicht bei E-Mail-Anhängen und Downloads. Keine Verschlüsselungslösung schützt vor einem kompromittierten Rechner. Das muss man sich klar machen: Wenn Dein Smartphone oder PC voller Malware ist, kann diese womöglich Deine eingegebenen Passwörter abgreifen oder sogar – falls sie mit Admin-Rechten läuft – den Arbeitsspeicher scannen, um Schlüssel zu finden. 

Ein weiteres Risiko sind unsaubere Speicherungen: Wenn Du Passwörter oder Schlüssel irgendwo im Klartext notierst oder abspeicherst, hilft die beste Verschlüsselung nichts. Halte Deinen „Schlüsselbund“ geheim und sicher verwahrt – sei es das physische Stück Papier mit dem Masterpasswort (am besten in einem Safe) oder die Schlüsseldatei auf einem USB-Stick (gut versteckt und mit Backup)​. Viele empfehlen, von wichtigen Schlüsseln eine Sicherung zu machen und getrennt aufzubewahren​ (damit Du Dich nicht selbst aussperrst, falls Du das Original verlierst). Aber diese Backups müssen natürlich ebenso geschützt werden. 

Social Engineering und menschlicher Faktor 

Technisch gesehen könntest Du alles richtig machen, und doch kann ein Angreifer an Deine Daten kommen – indem er Dich überlistet. Social Engineering ist ein großes Thema: Das kann ein Anruf sein, bei dem sich jemand als Support-Mitarbeiter ausgibt und Dich dazu bringt, Dein Passwort preiszugeben. Oder eine Phishing-Mail: „Ihr Konto wurde kompromittiert, klicken Sie hier und bestätigen Sie mit Ihrem Passwort...“. Viele große Hacks passieren nicht, weil die Verschlüsselung versagt, sondern weil jemand auf einen Trick hereinfällt. Hier helfen Schulung, Misstrauen und gesunder Menschenverstand. Gib Dein Entschlüsselungs-Passwort niemals an Dritte weiter, egal in welchem Vorwand. Kein seriöser Dienst wird je Dein Passwort verlangen. 

Auch im Unternehmensumfeld sind Angriffe oft simpel: Ein Angreifer könnte z.B. einen vergifteten USB-Stick mit Aufschrift „Gehaltslisten 2024“ im Empfangsbereich „verlieren“. Ein neugieriger Mitarbeiter steckt ihn ein – zack, Malware infiziert den Rechner und späht die Festplatte aus, nachdem sie vom berechtigten Nutzer entsperrt wurde. Wieder hat die Verschlüsselung technisch gehalten, aber der menschliche Faktor wurde ausgenutzt.  

Daten im unverschlüsselten Zustand (RAM, Anzeigen, temporäre Dateien) 

Eine weitere Schwachstelle: Deine Daten sind nicht immer verschlüsselt. In dem Moment, wo Du ein verschlüsseltes Dokument öffnest, liegt es im Arbeitsspeicher und auf Deinem Bildschirm im Klartext vor. Wenn ein Angreifer in diesem Moment Zugriff hat, nützt es nichts, dass es vorher und nachher verschlüsselt war. Ein konkreter Angriffsvektor ist der bereits erwähnte Cold-Boot-Angriff: Dabei klemmt ein Angreifer den Strom ab und startet den Rechner sofort neu mit einem eigenen Minimal-OS, um den RAM auszulesen​. Der Trick: RAM verliert seinen Inhalt nicht sofort, teilweise bleiben die Daten Sekunden oder mit Kühlung sogar Minuten erhalten​. Forscher konnten so beispielsweise Schlüssel von laufenden TrueCrypt-Systemen auslesen​. Ein laufendes, entsperrtes System kann also immer kompromittiert werden, wenn der Angreifer physischen Zugang hat. Lösung: Geräte im Zweifel komplett herunterfahren (damit Schlüssel aus dem RAM gelöscht werden) und auf moderne Hardware setzen, die ggf. den RAM verschlüsselt. 

Auch Speicherauslagerung kann problematisch sein. Wenn Dein System Klartextdaten oder Schlüssel in die Auslagerungsdatei (Swapfile) schreibt und diese nicht verschlüsselt ist, könnten dort Reste liegen. Moderne Systeme ermöglichen allerdings auch die Verschlüsselung des Swap bzw. virtuellen Speichers. 

Temporäre Dateien und Caches: Manche Anwendungen erzeugen beim Bearbeiten einer verschlüsselten Datei temporäre Dateien (z.B. in einem Temp-Ordner), die unverschlüsselt sein könnten. Es gilt: Wenn Du mit sensiblen verschlüsselten Daten arbeitest, beachte auch die Umgebung. Lösche Temp-Dateien oder nutze Tools, die gar keine erstellen. Texteditoren etwa haben oft Backupfiles – stell sicher, dass diese nicht im Klartext auf der Platte landen. 

Backups: Nicht zu vergessen – erstelle ich ein Backup meiner Daten, muss dieses ebenfalls verschlüsselt werden, sonst habe ich eine schöne verschlüsselte Festplatte, aber alle Daten liegen im Cloud-Backup offen herum. 

Kurzum, die Endpunkte sind kritisch: Verschlüsselung schützt besonders Daten auf dem Speicher (ruhende Daten) und auf dem Transport (z.B. Netzwerk). Doch am Endpunkt, wo Daten genutzt werden, braucht es zusätzliche Schutzmaßnahmen. Dazu zählt zum Beispiel die Zugangssicherung des Geräts (starke Passwörter, Zwei-Faktor-Authentifizierung, Bildschirmsperre) und die Absicherung gegen Malware. Verschlüsselung ist ein wichtiges Puzzleteil, aber eben nicht das einzige. 

6. Tipps für den Alltag 

Verschlüsselung im Alltag zu nutzen, ist heute einfacher denn je. Hier sind konkrete Tipps, worauf Du achten solltest und wie Du Deine digitale Kommunikation und Datenspeicherung effektiv absicherst: 

1. Nutze Ende-zu-Ende-Verschlüsselung für Kommunikation: Für Chats und Telefonate bieten sich sichere Messenger wie Signal oder Session an. Beide sind darauf ausgelegt, dass nur Sender und Empfänger die Nachrichten lesen können – niemand dazwischen. Signal ist Open Source und gilt als besonders vertrauenswürdig; selbst unabhängige Experten und Medien wie die Tagesschau bestätigen, dass Signal „als besonders sicher gilt“ und eine Ende-zu-Ende-Verschlüsselung nutzt, „die selbst von modernen Quantencomputern nicht geknackt werden kann“​.  
Kommuniziere sensible Inhalte bevorzugt nur über solche sicheren Kanäle. (WhatsApp hat zwar auch Signal-Protokoll-Verschlüsselung, aber aufgrund der Meta/Facebook-Anbindung gibt es Datenschutzbedenken bei den Metadaten.) 

2. Verschlüssele Deine Festplatte/Dateien: Auf dem PC oder Laptop solltest Du Deine Daten im Ruhezustand verschlüsseln, besonders wenn es sich um ein mobiles Gerät handelt, das verloren oder gestohlen werden könnte. Tools dafür: Unter Windows bietet sich BitLocker an – achte darauf, ein starkes Passwort bzw. TPM+PIN zu verwenden. Auf macOS ist FileVault integriert und kann mit einem Klick aktiviert werden. Für Linux gibt es LUKS (dm-crypt) oder einfache Lösungen bei der Installation. Eine plattformübergreifende Lösung ist VeraCrypt (der Nachfolger von TrueCrypt): Damit kannst Du Container-Dateien erstellen oder ganze Partitionen/USB-Sticks verschlüsseln. VeraCrypt ist Open Source, wurde extern auditiert und gilt als sehr sicher, wenn es korrekt eingerichtet ist. Denke daran, auch den Ruhezustand/Swap zu verschlüsseln (meist automatisch mit, wenn Du die gesamte Systempartition verschlüsselst). So sind Deine Daten selbst bei physischem Zugriff geschützt – ohne Passwort oder Schlüssel geht nichts. Wichtig: Mach Dir von Deinem VeraCrypt-Volume und Schlüssel eine Backup-Kopie für den Notfall und bewahre sie getrennt auf (z.B. auf einer externen Festplatte im Schließfach). 

3. Sichere Cloud-Daten clientseitig: Wenn Du Cloud-Speicher nutzt (Dropbox, Google Drive, etc.) und dort vertrauliche Daten ablegst, verschlüssele sie, bevor Du sie hochlädst. Tools wie Cryptomator sind dafür super – sie legen einen virtuellen Tresor an und verschlüsseln darin alle Dateien, bevor sie in die Cloud synchronisiert werden. Cryptomator ist Open Source und nutzt AES-256, auch Dateinamen werden verschlüsselt​. So stellst Du sicher, dass selbst bei einem Cloud-Leak Deine Dateien unlesbar bleiben. Alternativ kannst Du auch VeraCrypt-Container in der Cloud speichern – der Nachteil ist, dass bei kleinen Änderungen immer gleich die ganze Containerdatei neu hochgeladen werden muss. Cryptomator arbeitet dateibasiert, was effizienter ist. Für Backups in der Cloud gibt es auch Tools wie Duplicati, die automatisch verschlüsseln. Grundprinzip: Nur Du solltest Zugriff auf die Schlüssel haben, nicht der Cloud-Anbieter („Zero-Knowledge“). 

4. E-Mails und Dokumente: E-Mail-Verschlüsselung ist leider immer noch komplizierter als Messenger, aber für hochsensible Kommunikation solltest Du es in Betracht ziehen. Lösungen: PGP/GPG für Mail (z.B. mit Plugins wie Enigmail für Thunderbird) ermöglicht Dir, E-Mails Ende-zu-Ende zu verschlüsseln. Der Aufwand ist höher, da beide Parteien Schlüssel austauschen müssen, aber Sicherheit ist top. Für Dokumente, die Du versendest oder speicherst, kannst Du bei PDF-Dateien oder Office-Dokumenten eine Verschlüsselung mit Passwort setzen – das ist aber häufig nicht so stark wie dedizierte Kryptotools und kann je nach Verfahren schwächer sein. Besser: Packe Dateien mit 7-Zip o.ä. in ein verschlüsseltes Archiv (7z/Zip mit AES-256) bevor Du sie über unsichere Kanäle sendest. Teile das Passwort dann über einen separaten Kanal (z.B. Passwort per SMS, Datei per Mail). So sind die Daten wenigstens geschützt, falls z.B. die Mail abgefangen wird. 

5. Auf Vertrauenswürdigkeit der Tools achten: Wie im Backdoor-Abschnitt erwähnt, sollte man Tools nutzen, die einen guten Leumund haben. Open Source ist ein Plus, ebenso Audits durch Dritte. Beispielsweise wurden Signal und der zugrundeliegende Signal-Protokollalgorithmus von Kryptographen eingehend geprüft und für sehr gut befunden – WhatsApp hat dieses Protokoll daher auch übernommen​. VeraCrypt wurde als TrueCrypt-Fork ebenfalls geprüft. Bei anderen Tools lohnt ein kurzer Check: Ist das Projekt aktiv? Gibt es Berichte über Schwachstellen? Misstraue vor allem Lösungen, die „proprietäre Superverschlüsselung“ versprechen ohne Details offenzulegen. Kryptografie sollte immer nach dem Motto funktionieren: „No security through obscurity“ – also keine Geheimniskrämerei über das Verfahren. Seriöse Programme dokumentieren, welche Algorithmen und Einstellungen sie nutzen. 

6. Regelmäßig aktualisieren: Halte Deine Krypto-Software (und generell alle Programme) aktuell. Sicherheitslücken in Verschlüsselungs-Plugins oder -Bibliotheken werden durch Updates behoben. Angenommen, es gäbe doch mal einen Durchbruch oder eine Schwäche (z.B. ein Bug in der RNG-Implementierung oder eine neue Angriffsmethode), werden vertrauenswürdige Anbieter schnell reagieren und Patches bereitstellen. Nur wenn Du die einspielst, profitierst Du davon. 

7. Backups sicher gestalten: Verschlüsselung schützt zwar vor unbefugtem Zugriff, aber denke daran, auch Du willst im Ernstfall noch an Deine Daten kommen. Also mache Backups – aber verschlüssele auch diese! Ein unverschlüsseltes Backup würde wieder alles zunichtemachen. Viele Backup-Programme bieten Verschlüsselung als Option. Teste Deine Backups gelegentlich, damit Du im Notfall nicht vor verschlossenen Türen stehst. 

8. Physische Sicherheit: Vergiss nicht die simpelsten Dinge: Ein Zettel unterm Keyboard mit Deinem TrueCrypt-Passwort ist eine Einladung für jeden, der kurz an Deinem Rechner ist. Ebenso sollten Datenträger, die vertrauliche verschlüsselte Daten enthalten, nicht gestohlen werden können – oder zumindest sollte das Gerät ein starkes Login-Passwort haben, damit Diebe es nicht einfach einschalten und im entsperrten Zustand vorfinden. Wenn Du Deinen Laptop in der Pause rumliegen lässt, sperr den Bildschirm. Das klingt banal, aber das Sicherheitskonzept ist immer so stark wie das schwächste Glied. 

Zusammengefasst: Benutze die verfügbaren Verschlüsselungswerkzeuge konsequent und mit Bedacht. Heutzutage muss niemand mehr Informatik studiert haben, um seine Chats, Festplatten oder Cloud-Daten zu schützen – viele benutzerfreundliche Lösungen stehen bereit. In Kombination mit allgemeinen Sicherheitsvorkehrungen (gute Passwörter, Updates, Vorsicht vor Betrug) erreichst Du damit ein sehr hohes Schutzniveau. Für die meisten „Alltags-Gegner“ – sei es der Datendieb, der dein verlorenes Smartphone findet, oder der Hacker, der es auf einfache Beute abgesehen hat – wirst Du damit zur harten Nuss. Selbst staatliche Akteure hätten es sehr schwer, an Deine Daten zu kommen, und würden wahrscheinlich auf andere Methoden ausweichen müssen. 

7. Kryptografie im Detail 

In diesem Abschnitt gehen wir etwas mehr ins Eingemachte. Wir betrachten die interne Struktur von AES, diskutieren, wie genau RNG-Backdoors funktionieren können und was „Entropie“ bedeutet, und werfen einen Blick auf Perfect Forward Secrecy sowie auf die Herausforderungen der Post-Quanten-Kryptografie

Interne Struktur von AES – warum es so stark ist 

AES (Rijndael) ist ein Blockchiffre-Algorithmus und arbeitet auf 128-Bit-Blöcken. Intern kann man sich AES als eine Reihe von Runden vorstellen – für AES-128 sind es 10 Runden, für AES-256 sind es 14 Runden. Jede Runde führt bestimmte Transformationen auf dem Datenblock durch, kombiniert mit dem jeweiligen Rundenschlüssel (der aus dem Hauptschlüssel abgeleitet wird). Die drei Hauptoperationen pro Runde sind: 

  • SubBytes: Eine nichtlineare Byte-Substitution mittels einer S-Box (Substitutionsbox). Dabei wird jedes Byte des 16-Byte-Datenblocks durch ein anderes Byte ersetzt, nach einer festgelegten Tabelle. Diese S-Box ist so designt, dass sie kryptografisch stark ist (sie ist die einzige nichtlineare Komponente, wichtig für die Sicherheit). Interessant: Die AES S-Box ist invertierbar (damit der Prozess insgesamt umkehrbar bleibt) und hat bestimmte mathematische Eigenschaften (basiert auf der Multiplikation im GF(2^8)-Körper gefolgt von einer Affintransformation). 
  • ShiftRows: Eine permutationelle Operation, bei der die Bytes in den vier Reihen der 4x4-Byte-Matrix (so kann man die 128 Bit anordnen) um verschiedene Offsets rotiert werden. Das sorgt für Diffusion quer durch den Block – Bits wandern an andere Positionen. 
  • MixColumns: Eine Mischung innerhalb jeder Spalte der 4x4-Matrix via Linearkombination (Multiplikation in GF(2^8) mit einer konstanten Matrix). Dadurch werden die Bits innerhalb jeder Spalte miteinander vermengt, was die Diffusion weiter erhöht. 
  • AddRoundKey: Schließlich wird in jeder Runde der Rundenschlüssel (der aus dem Hauptschlüssel via Key Schedule generiert wurde) per XOR mit dem Block verknüpft. Das verknüpft die Schlüsselbits mit den Daten. 

Die erste Runde hat davor nur AddRoundKey (die plaintext wird initial mit dem ersten Schlüssel XOR-verknüpft), die letzte Runde verzichtet auf MixColumns. 

Durch diese Kombination aus Substitution (S-Box) und Permutation (Shift/Mix) erreicht AES sowohl Konfusion (die Beziehung zwischen Schlüssel und Chiffrat ist komplex) als auch Diffusion (jede Änderung eines Bits im Klartext oder Schlüssel wirkt sich avalanchartig auf viele Bits des Chiffrats aus). 

Der Schlüsselplan (Key Schedule) bei AES erweitert den ursprünglichen Schlüssel auf mehrere Rundenschlüssel. Interessanterweise sind die Related-Key-Angriffe, die wir erwähnt haben, auf Schwächen im AES-Key-Schedule zurückzuführen. AES-256 hat eine etwas andere Key Schedule als AES-128, was in bestimmten künstlichen Szenarien kleine Verwundbarkeiten erzeugt, aber nicht in der Praxis, da dort keine Related-Key-Situation entsteht. 

Warum gilt AES als so stark? Weil trotz intensiver Kryptanalyse seit über 20 Jahren keine Angriffe gefunden wurden, die besser sind als ein Brute-Force-Versuch (siehe Abschnitt 2). Es gab Verbesserungen gegenüber naivem Brute-Force, wie der Biclique-Angriff, der AES-128 in effektiven $2^{126.1}$ statt $2^{128}$ Operationen knacken würde – ein minimaler theoretischer Vorteil, der praktisch irrelevant ist. Oder eben die erwähnten Related-Key-Angriffe auf AES-256, die etwa eine Komplexität von $2^{99.5}$ haben​ – aber eben unter Annahme, dass der Angreifer bestimmte verwandte Schlüsselpaare verschlüsseln lassen darf (was im echten Einsatz ausgeschlossen ist). Somit verbleibt AES (speziell AES-128 und AES-256) nahe an ideal

Warum nicht noch länger? Manche fragen: Wenn 256 Bit gut sind, wären 512 Bit nicht noch besser? Hier spielt eine Rolle, dass AES als Algorithmus auf 128 Bit Blockgröße festgelegt ist; eine Version mit größerer Schlüsselgröße würde auch mehr Runden etc. erfordern. Faktisch bietet AES-256 schon so viel Sicherheit, dass andere Faktoren (z.B. Passwörter, Nebenkanäle) lange vorher zum Limit werden. AES-128 ist derzeit auch noch vollkommen ausreichend gegen brute-force (2^128 ist unvorstellbar groß). AES-256 ist eher zukunftssicher bzw. hat Reserven für eventuelle neue Angriffsmethoden. Außerdem: Quantencomputer könnten per Grover-Algorithmus die Komplexität quadratisch reduzieren, d.h. AES-128 auf ca. 2^64, AES-256 auf 2^128. 2^128 gilt als weiterhin sehr sicher, daher ist AES-256 im Hinblick auf Quantencomputing eine Vorsichtsmaßnahme. 

RNG-Manipulation und Entropiequellen – technische Details 

Im Abschnitt 3 haben wir den Dual_EC_DRBG-Fall besprochen. Hier gehen wir noch etwas genauer auf Zufallszahlengeneratoren ein: 

Ein Zufallszahlengenerator (Random Number Generator, RNG) kann echt zufällig (hardwarebasiert, z.B. Rauschen, Quanteneffekte) oder deterministisch (PRNG, der aus kleinem Seed pseudozufällige Folge erzeugt) sein. Ein Kryptographisch sicherer PRNG (CSPRNG) nimmt eine kleine Menge echten Zufalls (Entropie) und dehnt sie algorithmisch zu vielen Zufallsbits. Wichtig dabei: Aus der Sicht eines Beobachters ohne Kenntnis des internen Zustands muss die Ausgabe unvorhersehbar sein. 

In vielen Betriebssystemen läuft das so: Es werden kontinuierlich Entropie gesammelt (Maus, Tastaturtimings, Netzwerklatenzen, spezielle Instruktionen, etc.) und in einen Entropie-Pool eingespeist (z.B. /dev/random, /dev/urandom auf Linux). Daraus speist sich der CSPRNG, der dann für Anwendungen Zufallsbits liefert. Moderne CSPRNGs wie ChaCha20-based in Linux Kernel oder AES-CTR-DRBG (NIST SP800-90A, aber nicht Dual_EC) sind so gebaut, dass auch wenn Teile des internen Zustands bekannt würden, die Zukunft unvorhersagbar bleibt (durch periodisches Reseeding, etc.). 

Manipulation eines RNG kann auf zwei Weisen passieren: 

Vorhersehbarkeit erhöhen: Z.B. durch Reduzieren der Entropie. Wie im Debian-Bug, wo der Seed praktisch immer 16 Bit war statt 128 Bit – das machte die Ergebnisse erratbar. Oder wenn ein Entwickler aus Bequemlichkeit immer denselben Seed nimmt (Horrorszenario, aber kam schon vor in simplen Skripten). Eine aktuelle CPU hat Befehl RDRAND, aber wenn man einem Angreifer unterstellt, Intel hätte da ne Backdoor, dann würde der RNG vielleicht Werte ausgeben, die vom NSA in einem großen Buch vorher berechnet wurden. Das klingt weit hergeholt – wahrscheinlicher ist die Backdoor via mathematische Konstrukte wie Dual_EC. 

Hintertür durch Trapdoor-One-Way-Funktion: Dual_EC_DRBG fällt in diese Kategorie. Man baut den RNG so, dass er für jeden außer dem Ersteller wie ein normaler CSPRNG aussieht (sogar beweisbar sicher unter einer Annahme, hier dem schweren Problem des diskreten Logarithmus), aber der Ersteller kennt eine Abkürzung (die Trapdoor: den Wert $d$, der $P$ und $Q$ verknüpft) und kann damit die Outputs vorhersagen​de.wikipedia.org. Das ist raffiniert, weil es kaum auffällt, sofern die Parameter $P,Q$ nicht hinterfragt werden. Um das zu verhindern, sollte man RNG-Parameter möglichst transparent erzeugen (z.B. „nothing-up-my-sleeve“ Zahlen, die aus bekannten Konstanten wie Pi-Digits gewonnen werden, statt zufällig gewählte Punkte ohne Erklärung). So macht man es z.B. bei SHA-3 oder bei bestimmten Kurven (Curve25519’s Parameter sind ebenfalls auf Transparenz ausgelegt). 

Entropiequellen: Ein Fachbegriff ist hier Entropie, gemessen in Bit. Ein guter RNG-Pool sollte z.B. kontinuierlich >128 Bit Entropie sammeln für sicherheitskritische Anwendungen. Hardware-RNGs wie Intel’s RDRAND oder AMD’s RdSeed generieren wohl recht gute Zufallszahlen aus on-chip Quellen (thermal noise, ring oscillator jitter). Dennoch mischt das Linux-Kernel diese Werte mit anderen, um nicht allein drauf angewiesen zu sein. Falls ein Hardware RNG nämlich mal ausfällt (gab es auch: Via C3 CPU hatte mal einen fehlerhaften RNG, der immer 0 lieferte), dann springt das Software-Mischen ein. 

Für dich als Entwickler oder Admin heißt das: Setze auf bewährte RNG-Implementierungen. Verwende keine unsicheren PRNGs für Kryptographie (z.B. rand() in C ist nicht geeignet!). Nutze Bibliotheken oder Systemrandom. Wenn Du eigene Kryptosysteme parametrisierst (z.B. Auswahl einer Kurve), verwende anerkannte Parameter oder generiere sie offen. Und habe immer auf dem Schirm: Ein RNG ist so etwas wie die Achillesferse – einfach, ihn falsch zu machen, fatal in der Wirkung. 

Noch ein Wort zu Hintertüren in RNG-Hardware: Es ist theoretisch denkbar, dass ein staatlicher Hersteller einen Hardware-RNG so baut, dass er z.B. mit einem geheimen Schlüssel initialisiert ist und dann deterministische, aber für Außenstehende zufällig wirkende Folgen liefert. So eine Entdeckung wäre schwer. Deswegen gilt: diversifiziere Entropiequellen. Linux z.B. XORt Outputs verschiedener Quellen – selbst wenn eine kompromittiert ist, machen die anderen das wett, da XOR mit echtem Zufall das schlechte Signal überdeckt. 

8. Forward Secrecy – Sicherheit für vergangene Kommunikation 

Forward Secrecy (genauer Perfect Forward Secrecy, PFS, perfekte vorwärts gerichtete Geheimhaltung) bedeutet, dass der Kompromiss eines langfristigen Schlüssels (z.B. Deines Server-Zertifikats) nicht zur Entschlüsselung früherer Sitzungen führt. Das erreicht man, indem für jede Sitzung ein eigener temporärer Sitzungsschlüssel per Diffie-Hellman ausgehandelt wird, der nach Gebrauch verworfen wird. 

Ein Beispiel: Stellen wir uns klassisches TLS vor (ohne PFS): Wenn eine HTTPS-Verbindung mit RSA-Schlüsseltausch arbeitet, verschlüsselt der Client einen zufälligen Session-Key mit dem RSA-Public-Key des Servers. Der Server entschlüsselt mit seinem RSA-Private-Key und beide haben den Session-Key. Problem: Zeichnet ein Angreifer den gesamten Verkehr auf und gelingt es ihm später, den Server-Schlüssel zu stehlen oder zu knacken, kann er den mitgeschnittenen Session-Key entschlüsseln und damit rückwirkend die gesamte Sitzung lesen. Ohne Forward Secrecy sind also Aufzeichnungen später kompromittierbar, falls der Master-Key kompromittiert wird. 

Mit PFS (z.B. TLS mit ECDHE – Ephemeral Diffie-Hellman) einigen sich Client und Server über einen Diffie-Hellman-Handshake auf einen Schlüssel. Diffie-Hellman hat die Eigenschaft, dass ein Angreifer, der die Übertragung mitschneidet, daraus allein nicht den gemeinsamen Schlüssel berechnen kann – er müsste die DH-Geheimnisse der beiden Parteien kennen, die nicht übermittelt werden. Selbst wenn später der Server-Schlüssel (der nur noch zur Authentifizierung diente) gestohlen wird, nützt er nichts: Die DH-Ephemeralschlüssel dieser alten Sitzung sind längst gelöscht. Somit bleiben vergangene Sitzungen geheim. 

Heute setzen alle modernen Protokolle auf Forward Secrecy: TLS 1.3 erfordert PFS (es gibt gar keinen RSA-Schlüsselaustausch mehr dort, nur noch (EC)DH). Messenger wie Signal gehen noch weiter: Sie nutzen sogenannte Double Ratchet-Algorithmen, die für jede Nachricht praktisch neue Schlüssel ableiten. Somit wird nicht nur Vergangenheit, sondern auch Zukunft separat gesichert – selbst wenn ein Schlüssel kompromittiert würde, bleibt alles davor und (durch erneutes Ratchen) auch alles danach geschützt. 

Für Dich als Nutzer heißt das: Achte darauf, dass PFS aktiviert ist. Bei Servern: Deaktiviere alte nicht-PFS-Cipher-Suiten. Bei eigenen Anwendungen: Verwende möglichst kurze Lebenszeiten für Schlüssel und ziehe regelmäßig neue Schlüssel auf (z.B. bei VPN-Verbindungen mit langfristigen Sessions, nutze re-keying). Forward Secrecy ist besonders relevant im Kontext von staatlichen Gegnern, die eventuell Verkehr mitschneiden in der Hoffnung, später an Schlüssel zu gelangen. Mit PFS kannst Du dieser Bedrohung vorbeugen. 

Im Alltag merkst Du von alledem wenig – außer vielleicht beim erneuten Verbindungsaufbau (der Diffie-Hellman-Austausch ist ein bisschen rechenintensiv, aber heutige Hardware schafft das leicht). Die minimal höhere CPU-Last ist ein kleiner Preis für den großen Sicherheitsgewinn. 

9. Post-Quanten-Kryptografie – Vorbereitung auf künftige Bedrohungen 

Wir haben es mehrfach angeschnitten: Quantencomputer könnten bestimmte Verschlüsselungsverfahren brechen, die auf mathematischen Problemen basieren. Insbesondere sind RSA und ECC betroffen, weil Shor’s Algorithmus auf einem Quantencomputer diese Probleme (Faktorisierung, diskreter Logarithmus) effizient lösen kann​. Ein ausreichend großer Quantencomputer könnte also RSA-2048 knacken – theoretisch in Stunden oder Tagen, wo klassische Computer Milliarden Jahre bräuchten. Auch die meisten aktuellen Austauschverfahren (DH, ECDH) und Signaturen (ECDSA, RSA, DSA) wären unsicher. Symmetrische Verfahren wie AES würden durch Quantencomputing weniger stark getroffen: Grover’s Algorithmus gäbe eine quadratische Beschleunigung, d.h. der Sicherheitsfaktor halbiert sich in der Bitlänge – AES-256 würde auf die Komplexität von AES-128 zurückfallen, was immer noch ziemlich sicher ist. SHA-256 gälte wie ein 128-Bit-Hash usw. Daher empfiehlt man schon jetzt: lieber AES-256 statt 128 verwenden, einfach um Reserve zu haben. 

Die Post-Quanten-Kryptografie (PQC) beschäftigt sich mit neuen Algorithmen, die selbst gegen Quantenangriffe sicher sein sollen​. Diese basieren auf Problemen, die wir aktuell sowohl klassisch als auch quantenmäßig für schwer halten – z.B. Gitterprobleme (Lattice-based), Code-basierte Probleme (Fehlerkorrekturcode-Problem), multivariate Polynom-Systeme oder Hash-basiertes Signieren. 

Seit 2016 läuft ein Wettbewerb des NIST zur Standardisierung solcher Verfahren. Im Juli 2022 hat NIST die ersten Favoriten bekannt gegeben: Für Schlüsselaustausch/Kryptosysteme wurde CRYSTALS-Kyber ausgewählt, und für digitale Signaturen CRYSTALS-Dilithium, sowie zwei weitere (Falcon, SPHINCS+ für spezielle Anwendungsfälle)​. Diese Algorithmen werden nun standardisiert und wahrscheinlich in den nächsten Jahren als neue Standards veröffentlicht. Auch Behörden raten schon jetzt, sich mit PQC zu befassen, insbesondere für Daten, die langfristig vertraulich bleiben müssen (Stichwort „harvest now, decrypt later“ – ein Angreifer könnte heute Kommunikation aufzeichnen, die er dann in 10-20 Jahren entschlüsselt, wenn Quantencomputer verfügbar sind). 

Was bedeuten PQC-Algorithmen praktisch? Einige sind von den Schlüssellängen/Strukturen sehr anders: Kyber ist ein KEM (Key Encapsulation Mechanism) auf Gitterbasis und hat Public Keys von etwa 800-1500 Bytes (je nach Sicherheitsstufe) – deutlich größer als ein 32-Byte ECC-Key, aber handhabbar. Die Rechenzeit ist auch geringfügig höher, aber noch im Millisekundenbereich. Dilithium als Signatur hat öffentliche Schlüssel um ~1-2 kB und Signaturen um ~2-3 kB, was ebenfalls okay ist. Code-basierte KEMs wie Classic McEliece haben sehr große öffentliche Schlüssel (um die 0,5 MB), was für breite Anwendung unpraktisch scheint – daher wurde McEliece zwar als Alternative behalten (für sehr hohe Sicherheit), aber primär setzt man wohl auf Gitter (Kyber). 

Übergangsphase: Aktuell (2025) sind Quantencomputer noch nicht in der Lage, RSA- oder ECC-Schlüssel relevanter Größe zu brechen. Aber man weiß nicht genau, wann der Durchbruch kommt – Schätzungen reichen von „nie richtig praktikabel“ bis „in 10-15 Jahren könnten genügend Qubits da sein“. Daher verfolgen Experten eine Strategie des „Hybrid“. Heißt: Man führt neue PQC-Verfahren ein, verwendet sie parallel zu den alten, um nicht von einem Tag auf den anderen alles umstellen zu müssen. TLS 1.3 z.B. könnte hybrid erweitert werden: Client und Server vereinbaren sowohl einen ECDH als auch einen PQC-Schlüsselaustausch und kombinieren die Schlüssel (z.B. XOR). So wäre die Verbindung sicher, solange entweder ECC oder PQC nicht gebrochen ist. Momentan testet man solche Ansätze (es gab Google-Experimente mit NewHope, einem Vorläufer von Kyber, schon vor einigen Jahren). 

Für Dich als technisch interessierten Nutzer heißt das: In den nächsten Jahren könnten Updates für Protokolle kommen, die Du nutzen wirst – z.B. Firmware-Updates für VPN-Geräte, Browser-Updates für PQC in TLS, vielleicht neue PGP-Versionen mit PQC oder neue Standards für verschlüsselte Messenger. Es ist ein sicheres Gefühl zu wissen, dass bereits aktiv an der quantenresistenten Zukunft gearbeitet wird, damit Verschlüsselung auch im nächsten technologischen Zeitalter sicher bleibt​. 

Für den Moment ist AES-256, RSA-3072, ECC-secp384r1 etc. noch sicher. Wer auf Nummer sicher gehen will für Daten, die 2040+ noch geheim sein müssen, sollte aber schon bald PQC-Lösungen einplanen. Die gute Nachricht: Du musst dafür kein komplett neues Prinzip lernen, es werden einfach neue Algorithmen in Softwareupdates kommen. Vielleicht nutzt Dein Messenger in ein paar Jahren transparent einen Mix aus X25519 (ECC) und Kyber – Du wirst es kaum merken, aber es wird Quantenangreifer abschrecken. 

Damit sind wir am Ende unseres Rundgangs durch die Welt der Verschlüsselungssicherheit. Wir haben viel behandelt – von Grundlagen bis Zukunftsmusik. Aber das Fazit lässt sich recht einfach zusammenfassen: 

Verschlüsselung ist so sicher, wie Du sie machst. Die grundlegenden Bausteine (AES, RSA, ECC...) sind bei korrekter Anwendung äußerst robust​. Die größten Schwächen entstehen durch Implementationsfehler, schlechte Zufälle oder menschliches Versagen – nicht, weil ein Angreifer die Mathematik bezwingt. Wenn Du also die Tipps beherzigst (starke Passwörter, seriöse Tools, Misstrauen gegenüber zu schönen Versprechen, Updates, etc.), dann kannst Du Dich auf Verschlüsselung als Schutzschild verlassen. Selbst mächtige Angreifer brauchen dann enorme Ressourcen oder müssten auf risikoreiche andere Angriffe ausweichen. 

Zum Abschluss vielleicht noch ein motivierendes Zitat frei nach dem Kryptografen Bruce Schneier: „Verschlüsselung funktioniert. Richtig eingesetzt, ist sie einer der wenigen Dinge, auf die Du dich verlassen kannst.“ Die EFF und Datenschutzorganisationen weltweit kämpfen daher dafür, dass wir dieses mächtige Werkzeug frei nutzen dürfen – ohne Hintertüren und ohne Einschränkungen. 
 

Quellenverzeichnis 

BSI-Empfehlungen zu kryptografischen Verfahren  
Bundesamt für Sicherheit in der Informationstechnik (BSI)  
https://www.bsi.bund.de/DE/Themen/Kryptografie/kryptografie_node.html  
→ Überblick über empfohlene Algorithmen, Schlüssellängen und Sicherheitsaspekte in Deutschland. 

Technische Richtlinie BSI TR-02102 (Kryptografische Verfahren: Empfehlungen und Schlüssellängen)  
Bundesamt für Sicherheit in der Informationstechnik (BSI)  
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/  
→ Detaillierte Richtlinien für symmetrische und asymmetrische Kryptographie, inklusive AES, RSA, ECC und Zukunftsempfehlungen. 

FIPS-197: Advanced Encryption Standard (AES)  
National Institute of Standards and Technology (NIST)  
https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.197.pdf  
→ Offizielle NIST-Spezifikation für AES (Rijndael). 

RSA: A Method for Obtaining Digital Signatures and Public-Key Cryptosystems  
Rivest, Shamir, Adleman (1978)  
https://people.csail.mit.edu/rivest/Rsapaper.pdf  
→ Das Original-Paper zu RSA, dem bekanntesten asymmetrischen Verfahren. 

Elliptische-Kurven-Kryptographie (ECC) – SEC 1 Standard  
Standards for Efficient Cryptography Group (SECG)  
https://www.secg.org/sec1-v2.pdf  
→ Technische Spezifikationen zu ECC, Kurven, Schlüsselableitungen und Implementierungsdetails. 

Shumow und Ferguson: „On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng“  
Microsoft Kryptographie Rump Session (CRYPTO 2007)  
https://rump2007.cr.yp.to/15-shumow.pdf  
→ Präsentation, die die mögliche Hintertür in Dual_EC_DRBG aufdeckte. 

Offizielle Entfernung von DUAL_EC_DRBG aus den NIST-Empfehlungen  
NIST, 2014  
https://csrc.nist.gov/News/2014/NIST-removes-DUAL-EC-DRBG-from-recommended-list  
→ Hintergrund, wie und warum NIST den umstrittenen Zufallszahlengenerator zurückzog. 

Juniper ScreenOS Backdoor  
Erste Analyse von Rapid7 (2015)  
https://blog.rapid7.com/2015/12/21/analyzing-the-juniper-backdoor/  
→ Berichtet über den Austausch der RNG-Parameter in Juniper-Firewalls und die mögliche Hintertür. 

Heartbleed-Bug in OpenSSL (2014)  
https://heartbleed.com/  
→ Beispiel für eine schwere Implementierungsschwachstelle, die private Schlüssel kompromittieren konnte. 

Debian/Ubuntu OpenSSL RNG-Bug (2006–2008)  
Bugreport #363516  
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=363516  
→ Ein Patch entfernte kritische Codezeilen und machte die generierten Schlüssel vorhersagbar. 

Operation Rubikon / Crypto AG-Skandal  
ZDF/Washington Post (2020)  
https://www.zdf.de/nachrichten/politik/crypto-affaere-operation-rubikon-100.html  
→ Geheime Übernahme der Schweizer Firma Crypto AG durch CIA und BND, um weltweit manipulierte Verschlüsselung zu verbreiten. 

Clipper-Chip und US-Krypto-Exportbeschränkungen  
Electronic Frontier Foundation (EFF)  
https://www.eff.org/pages/clipper-chip  
→ Historisches Beispiel für staatliche Versuche, Hintertüren zu etablieren. 

EFF – Warum Verschlüsselung wichtig ist  
Electronic Frontier Foundation  
https://www.eff.org/encryption  
→ Zusammenfassung der Position der EFF zu freier und sicherer Verschlüsselung, ohne Hintertüren. 

NSA-BULLRUN-Programm  
The Guardian (2013, Snowden-Leaks)  
https://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-surveillance  
→ Dokumente, die zeigten, wie die NSA Kryptostandards und Implementierungen zu schwächen versuchte. 

TrueCrypt-Audit-Projekt  
https://istruecryptauditedyet.com/  
→ Community-geführter Audit, der potenzielle Hintertüren in TrueCrypt untersuchte; bildet die Basis für VeraCrypt. 

VeraCrypt (Offizielle Webseite)  
https://www.veracrypt.fr/  
→ Quelloffene Software zur Festplatten- und Container-Verschlüsselung, Nachfolger von TrueCrypt. 

Cryptomator (Clientseitige Cloud-Verschlüsselung)  
https://cryptomator.org/  
→ Open-Source-Lösung, mit der Du Dateien vor dem Hochladen in die Cloud lokal verschlüsselst. 

Signal-Protokoll (Open Source)  
https://signal.org/docs/  
→ Dokumentation zum Ende-zu-Ende-Verschlüsselungsprotokoll, auf dem Signal, WhatsApp und andere basieren. 

ProtonMail: Sicherheitsfunktionen  
https://proton.me/support/security-features  
→ Informationen über die Verschlüsselung und Zero-Access-Architektur des schweizerischen E-Mail-Dienstes. 

Forward Secrecy / Perfect Forward Secrecy  
Mozilla Developer Network (MDN)  
https://developer.mozilla.org/en-US/docs/Web/Security/Forward_Secrecy  
→ Überblick zum Prinzip der vorwärts gerichteten Geheimhaltung (PFS) in TLS und anderen Protokollen. 

NIST Post-Quantum Cryptography (PQC) Project  
https://csrc.nist.gov/Projects/post-quantum-cryptography  
→ Informationen über die Standardisierungsbemühungen für quantenresistente Verfahren (z. B. CRYSTALS-Kyber, CRYSTALS-Dilithium). 

Kyber, Dilithium & Co.: NISTs Auswahl erster PQC-Standards (2022)  
https://www.nist.gov/news-events/news/2022/07/nist-announces-first-four-quantum-resistant-cryptographic-algorithms  
→ Aktueller Stand zur Post-Quantum-Kryptografie und den neuen Algorithmus-Familien. 

Tutanota – Mailverschlüsselung  
https://tutanota.com/de/how-tutanota-works  
→ Erklärungen zum Ende-zu-Ende-Verschlüsselungsverfahren in Tutanota für E-Mails. 

Meltdown und Spectre (CPU-Sicherheitslücken)  
Informationen & FAQ von Meltdownattack.com  
https://meltdownattack.com/  
→ Beispiel für Side-Channel-Angriffe auf modernen Prozessoren, potentiell nutzbar zum Auslesen von Krypto-Schlüsseln. 

War dieser Artikel hilfreich? Ja Nein
2 von insgesamt 2 Personen fanden diesen Artikel hilfreich
Abbrechen Senden

Dazugehörige Artikel

iPhone Zero-Click-Exploits: Wie sie funktionieren und wie du dich schützen kannst

iPhone Zero-Click-Exploits: Wie sie funktionieren und wie du dich schützen kannst
Spyware auf Android-Geräten erkennen, entfernen und vorbeugen

Spyware auf Android-Geräten erkennen, entfernen und vorbeugen
Zero-Day-Sicherheitslücken und Malvertising auf Android: Ratgeber für Schutz und Sicherheit

Zero-Day-Sicherheitslücken und Malvertising auf Android: Ratgeber für Schutz und Sicherheit
Back zurück