Schlagwort-Archive: Anforderungen

Reality Check für Alice und Bob

November 26, 2025Anforderungen – Requirements, Freundlich zum Nutzer, Risiko, SecurityAbwägung, Anforderungen, elektronische Wahlen, Entwurfskompromiss, Sicherheit, Trade-off, VerschlüsselungSven Türpe

Kryptografie ist hauptsächlich ein Zweig der Mathematik. Um ihre Probleme und Lösungen anschaulich zu beschreiben, verwenden Kryptografen gerne eine Modellwelt aus abstrahierten, aber anthropomorphisierten Akteuren: Alice, Bob und so weiter. Die Bewohnerinnen dieser Modellwelt möchten gemeinsam irgendetwas mit Daten tun, ohne dass andere davon erfahren oder eingreifen können. Dabei helfen ihnen die Algorithmen der Kryprografen.

Das ist alles prima, solange man nicht vergisst, dass man in Wirklichkeit nur an Bausteinen für Sicherheitsarchitekturen arbeitet. Es geht zuverlässig in die Hose, sobald man vergisst, dass die reale Welt komplizierter ist als die abstrakte Erklärhilfe. Ersetzt man Alice, Bob und die übrigen Akteure durch reale Menschen oder Organisationen, wird man noch lange keine brauchbaren Lösungen für irgendein Sicherheitsproblem erhalten.

Diese Lektion lernt gerade die International Association for Cryptologic Research: Für ihre Wahlen zu Vereinsämtern nutzt sie das Online-Wahlsystem Helios, das alle möglichen Sicherheitsanforderungen geheimer und manipulationsresistenter Wahlen mit kryptografischen Mitteln zu erfüllen versucht. Das hat kryptografisch ein wenig zu gut funktioniert, denn nach dem Ende der Wahl bekommen sie ihr Ergebnis nicht entschlüsselt – eine/r der „Notare“ hat seinen geheimen Schlüssel versiebt.

Mit einem auf die realen Anforderungen zugeschnittenen System wäre das wahrscheinlich nicht passiert. Wahlen müssen nicht nur die einzelnen Stimmabgaben geheim halten und den unverfälschten Wählerwillen erfassen, sondern sie müssen auch robust gegen Störungen sein und auf (fast) jeden Fall ein Ergebnis liefern. Auf diesen Trade-off hat die Kryptografie keine Antwort, sie ignoriert Ziele wie die Verfügbarkeit oder Robustheit systematisch und konzentriert sich auf Vertraulichkeit und Integrität.

In der realen Welt stellt sich nicht nur das Problem etwas komplexer dar als in der Welt von Alice und Bob, sondern auch der Lösungsraum ist größer und hat mehr Dimensionen. Kleine Ungenauigkeiten etwa kann der statistische Prozesse einer Wahl oft verkraften und vor umfangreichen systematischen Manipulationen kann nicht nur Kryptografie schützen. Bei dezentralen Wahllokalen zum Beispiel wächst aufgrund der Bewegungskosten oder der erforderlichen Mittäter der Aufwand mit dem erzielbaren Effekt.

Der Kryptografie sind solche Erwägungen fremd, reale Sicherheitsarchitekturen hingegen leben davon. Selbst wenn ein System auf kryptografische Bausteine setzt und seine Sicherheit wesentlich von ihnen abhängig macht, muss man den Umgang mit Schlüsseln an den realen und nicht nur den theoretischen Anforderungen ausrichten. Auch für kryptografische Schlüssel gilt: Kein Backup – kein Mitleid!

Datenschutz: Anforderung oder Spezifikation?

März 24, 2012Begriffe, Datenkrake, Datenschutz, Forschung, SpackeriaAnforderungen, Datenschutzreform, SpezifikationSven Türpe

In der Diskussion um die Datenkrake Google fällt mir immer wieder eine begriffliche Ungenauigkeit auf. Datenschutz sei gut und nützlich und bewährt, wie könne man nur dagegen sein, so die Argumentation. Tatsächlich bin ich gar nicht gegen Datenschutz als Anfoderung, sondern ich halte einige Aspekte der gegenwärtigen Spezifikation für ungeignet, die Anforderungen zu erfüllen.

Was ist der Unterschied zwischen Anforderungen und Spezifikationen? Anforderungen beschreiben die Ziele, die man verfolgt. Spezifikationen beschreiben den Weg. Charles B. Haley erklärt den Unterschied so:

»The distinction between requirement and specification is an important one. A requirement does not describe how a system is to be implemented, but instead describes what is desired by the stakeholders in terms of phenomena visible at certain domains in the real world. It is the specification that describes how, in terms of the phenomena of all the domains in the system, the requirement is fulfilled. For example, the requirement “given a temperature input in Fahrenheit, the system shall display that temperature in Celsius” is describing some input phenomena on one domain (probably a keyboard) and some output phenomena of another domain: the display; these are the requirement phenomena. The rest of the phenomena in the system exist to make the system produce its output requirement phenomena, given its input requirement phenomena.«

(Charles B. Haley, Arguing Security: A Framework for Analyzing Security Requirements)

Auf den Datenschutz übertragen finden wir unter einem Begriff, eben Datenschutz, eine bunte Mischung von Anforderungen und Spezifikation. Zu den Anforderungen gehören Ideen wie die der informationellen Selbstbestimmung und des Persönlichkeitsrechts und ihre Konkretisierungen. Alle spezifischen Regelungen hingegen stellen eine Spezifikation dar, eine Umsetzung der Anforderungen.

Dass beides in einem Gesetz vermischt ist, bedeutet nicht, dass die Spezifikation automatisch die Anfoderungen erfüllt. Ich bin der Ansicht, dass sie das im Fall des Datenschutzes heute nur noch teilweise tut. Daraus folgt nicht die Forderung nach einer Abschaffung des Datenschutzes, sondern die Forderung nach einer Anpassung der Spezifikation.

Deutlicher wird das, wenn wir die begriffliche Unterscheidung zwischen Anforderungen und Spezifikation in unsere Diskusionen abbilden. Ich bevorzuge deshalb die Bezeichnung Privatsphärenschutz für die Anforderungen. Ausdrücklich offen bleibt dabei, ob, unter welchen Bedingungen und in welchen Ausprägungen Datenschutz gemäß der aktuellen Spezifikation ein geeignetes und das einzige Mittel dazu ist. Vielleicht fällt uns ja noch was besseres ein.

Gute Ingenieure haben keine Visionen

September 5, 2009Geschäft, Propaganda, StammtischAnforderungen, Anwendung, Chipkarte, elektronischer Personalausweis, ePA, Fortschritt, Ingenieur, VisionSven Türpe

Kein technischer Fortschritt ist je aus einer Anwendungsvision hervorgegangen. Stets waren es Bastler und Tüftler, die ein Stück Technik um seiner selbst willen schufen und optimierten, die universelle Technologien entwickelten und der Menschheit zum Fortschritt verhalfen. Die Dampfmaschien war Auslöser der Industrialisierung, aber sie entstand nicht mit der Industrialisierung als Ziel; der Verbrennungsmotor ermöglichte Autos, Panzer und Flugzeuge, wurde aber nicht für Autos, Panzer und Flugzeuge geschaffen; der Weg zum Internet führte über die Entwicklung der Glühbirne und des Telegraphen, ohne dass dabei jemand an ein Internet gedacht hätte.

Genau umgekehrt stellt man sich die Sache vor, wo man versucht, den Fortschritt zu bürokratisieren. Wer schon einmal Fördergelder für die Forschung beantragt hat, der kennt dieses Spiel. Da kommt erst die Vision und dann die Technik. Das Ergebnis ist oft ziemlicher Käse, der schlichteren Naturen – Anforderungsanalyse ist anspruchsvoll – gleichwohl plausibel erscheint. Gute Ingenieure haben keine Visionen weiterlesen →

Würden Sie diesem Zaun Ihre Haustiere anvertrauen?

Februar 13, 2008Erich fragt, Fundbüro, Geschäft, WahrnehmungAnforderungen, Sicherheitsanalyse, WerbungSven Türpe

Und wieder Werbung, die Fragen aufwirft:

Werbebanner von Qualsys

(Banner aus einer Anzeige von Qalsys auf Heise Online)

Wo sehen Sie hier Schwachstellen und was müssen Sie tun, damit Sie hinterher sicher sind? Oder anders, unter welchen Umständen erhöht es Ihre Sicherheit, wenn Sie die Lücke im Zaun schließen?

Sicher ist sicher?

Ängste, Risiken, Vorsorge und unser gestörtes Verhältnis zur IT