Das Forschungsquartett — dieses Mal in Kooperation mit dem CISPA Helmholtz-Zentrum für Informationssicherheit

Side-Channel-Angriffe: Das vermeintlich Nebensächliche nutzen

Laptops, Handys, Smartwatches verarbeiten jeden Tag riesige Datenmengen. Dabei entstehen neben der Information auch kleine Nebeneffekte, wie ein veränderter Stromverbrauch je nach Rechnung, veränderte Wärmeentwicklung und nicht zuletzt ein anderes Rechentempo. Diese Spuren nutzen Hacker bei sogenannten Side-Channel-Angriffen. Statt Sicherheitslücken in der Software zu suchen, lesen sie unter anderem physikalische Begleiterscheinungen aus. Und ziehen daraus Rückschlüsse auf geheime Informationen.

Side-Channel-Angriffe gibt es nicht erst, seitdem es Laptops und Smartwatches gibt. Bereits in den 1940er Jahren gab es beispielsweise die Idee, dass ein Laser winzige Schwingungen auffangen könnte, die Schall auf glatten Flächen wie Fenstern hinterlässt und diese dann in hörbare Töne umwandelt. Und auch heute gibt es überraschend kreative Methoden, die über Nebenwege Informationen herausfinden. 2018 haben Journalistinnen und Journalisten sich zum Beispiel die App Strava zunutze gemacht um herauszufinden, wo sich Präsidenten aufhalten — allein über die Laufstrecken ihrer Leibwächter.

Physik als Schwachstelle

Vor solchen Angriffen kann man sich am Ende kaum schützen. Denn physikalische Nebeneffekte, wie die Wärmeabstrahlung eines Computers, wird man kaum bemerken und auch nur schwer verhindern können. Auch das unterscheidet Side-Channel-Angriffe von anderen Cyberattacken, die meistens Spuren hinterlassen.

Manche Risiken lassen sich trotzdem verringern. Zum Beispiel kann man Computerprozesse so einstellen, dass sie immer gleich lange dauern, egal, wie komplex die Aufgabe ist. Das erschwert Rückschlüsse auf die Rechnung selbst, macht aber das System insgesamt deutlich langsamer.

Wie kann man Computer trotz dieser physikalischen Grenzen sicherer machen? Darüber sprechen detektor.fm-Moderatorin Karolin Breitschädel und ihre Kollegin Esther Stephan in der neuen Folge vom Forschungsquartett. Ihr Gast ist Dr. Michael Schwarz, er forscht am CISPA Helmholtz-Zentrum für Informationssicherheit und erklärt, warum Side-Channel-Angriffe so schwer zu erkennen sind und wieso absolute Sicherheit in der digitalen Welt wahrscheinlich nie möglich sein wird.