ahresbericht 2011 der Fakultät EIM - Universität Paderborn: ONT
ahresbericht 2011 der Fakultät EIM - Universität Paderborn: ONT
ahresbericht 2011 der Fakultät EIM - Universität Paderborn: ONT
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
06 Berichte Forschung<br />
30<br />
J<strong>ahresbericht</strong> <strong>2011</strong><br />
Besserer Schutz für GELDAUTOMATEN<br />
INSTITUT FÜR INFORMATIK SICHERT SYSTEMINTEGRITÄT FÜR SELBSTBEDIENUNGSSYSTEME<br />
Kriminelle haben es immer wie<strong>der</strong> auf Geldautomaten abgesehen. Durch Manipulationen <strong>der</strong> Selbstbedienungsgeräte<br />
richten sie oftmals einen hohen fi nanziellen Schaden an. Das Institut für Informatik<br />
arbeitet unter <strong>der</strong> Leitung von Professor Dr. rer. nat. Johannes Blömer aus <strong>der</strong> Arbeitsgruppe Codes und<br />
Kryptografi e speziell an <strong>der</strong> Abwehr von Angriffen durch Mitarbeiter und Insi<strong>der</strong>. Ein ganzheitliches<br />
Konzept soll die Systemintegrität von Selbstbedienungsgeräten gewährleisten. Kooperationspartner<br />
sind die Unternehmen „Wincor Nixdorf“, „Safran Morpho“ und „achelos“.<br />
„Es geht uns um die Absicherung <strong>der</strong> Kommunikationsvorgänge in Selbstbedienungssystemen, wie<br />
sie zum Beispiel in einem Geldautomaten stattfi nden“, erklärt Professor Dr. Blömer. „Sowohl Software<br />
als auch Hardwareintegrität müssen sichergestellt werden.“ Die Geldautomaten sollen beispielsweise<br />
erkennen, ob die verän<strong>der</strong>ten Befehle, die sie erhalten, aus sicherer Quelle kommen o<strong>der</strong> nicht. Spezielle<br />
Aufgabe des Informatikinstituts ist es, neue identitätsbasierte kryptografi sche Verfahren einzusetzen,<br />
um die Verifi kation von Software- und Hardwareintegrität zu gewährleisten. „Typischerweise benutzt<br />
man dafür die asymmetrische Kryptografi e, wie sie unter an<strong>der</strong>em beim Online-Banking o<strong>der</strong> aber beim<br />
Versandhaus Amazon zum Einsatz kommt“, berichtet Professor Dr. Blömer.<br />
ÖFFENTLICHE UND PRIVATE SCHLÜSSEL<br />
Dabei handelt es sich um ein Verfahren, bei dem jede <strong>der</strong> kommunizierenden Parteien ein Schlüsselpaar<br />
besitzt, das aus einem öffentlichen und einem privaten Schlüssel besteht. Der öffentliche Schlüssel ist<br />
jedem frei zugänglich, <strong>der</strong> private wird von seinem Besitzer geheim gehalten. Während ein Chiffrat, das<br />
mit dem öffentlichen Schlüssel verschlüsselt wurde, mit dem passenden privaten Schlüssel entschlüsselt<br />
werden kann, wird analog dazu eine mit dem privaten Schlüssel erzeugte Signatur mit dem dazugehörigen<br />
öffentlichen Schlüssel überprüft. Dabei kann <strong>der</strong> öffentliche Schlüssel dem Inhaber des privaten<br />
Schlüssels zweifelsfrei zugeordnet werden. „Seit mehreren Jahren gibt es Methoden, die auch E-Mail-<br />
Adressen o<strong>der</strong> Seriennummern als öffentliche Schlüssel verwenden, um die Identität eines Auftraggebers<br />
zu überprüfen“, sagt Professor Dr. Blömer, <strong>der</strong> sich diese „leichtere“ Art <strong>der</strong> Identitätskontrolle auch<br />
für Geldausgabeautomaten wünscht.<br />
KEINE SICHERHEITSLÜCKEN<br />
„Die öffentlichen Schlüssel zur Überprüfung <strong>der</strong> Identität sollten möglichst einfach, aber sicher und effi -<br />
zient sein. Es dürfen keine Sicherheitslücken auftauchen.“ Ein Vorteil <strong>der</strong> identitätsbasierten Verfahren<br />
ist, dass <strong>der</strong> Verwaltungsaufwand <strong>der</strong> öffentlichen Schlüssel enorm reduziert wird. Denn <strong>der</strong> Kontakt des<br />
Absen<strong>der</strong>s mit dem zentralen Schlüsselcenter entfällt. Mittlerweile haben die Projektpartner des durch<br />
das Bundesministerium für Bildung und Forschung geför<strong>der</strong>ten Projekts erste Prototypen entwickelt, die<br />
weiter untersucht werden. „Wir warten zwar die praktischen Tests noch ab, wissen aber bereits, dass wir<br />
die Prototypen anpassen müssen. Beson<strong>der</strong>s den Schutz vor elektromagnetischen Messungen durch so<br />
genannte Seitenangriffe müssen wir optimieren“, erklärt Professor Dr. Blömer. Ein weiterer Faktor, auf den<br />
die Wissenschaftler bei allem Streben nach einem sicheren Umgang mit den persönlichen Daten achten,<br />
ist die Zeit. „Der Kunde darf durch die Sicherheitsmaßnahmen nicht ungewöhnlich lange Wartezeiten haben.<br />
Die Kombination aus Sicherheit und Effi zienz muss gewährleistet bleiben“, weiß Professor Dr. Blömer.<br />
SICHERHEIT BLEIBT EIN WETTLAUF<br />
Dass seine aktuellen Forschungen die kriminellen Angriffe auf die persönlichen Daten nicht beenden<br />
werden, ist dem Informatiker bewusst. „Es wird ein permanenter Wettkampf zwischen den Firmen und<br />
den Kriminellen bleiben. Wenn eine Sicherheitslücke geschlossen ist, kommt eine neue Angriffsidee.<br />
Entscheidend ist, auf dem neuesten Stand zu bleiben und die Lücken schnell zu schließen.“<br />
1 Professor Dr. Johannes Blömer neben dem Innenleben eines Geldausgabeautomaten des Projektpartners<br />
Wincor Nixdorf. Foto: <strong>Universität</strong> Pa<strong>der</strong>born (Simone Rudolph)