Was hat SHA-1 mit Ihrem ISMS zu tun?

Wie mittlerweile in vielen Meldungen und Blogs zu lesen ist, wurde Anfang des Jahres ein Verfahren bekannt, mit dem es möglich ist eine Kollision bei SHA-1 zu erzeugen.
Die technischen Hintergründe sind bei heise-Security sehr anschaulich aufbereitet.
Und man kann den Appell von Olav Seyfarth, im BvD Blog nicht oft und laut genug wiederholen: "Beginnen Sie bereits heute! Machen Sie Ihre Entwicklungsabteilung, Netzwerk- und Server-Abteilung, Lieferanten, ... darauf aufmerksam. Alternativen wie die SHA-2-Familie (SHA-256, SHA-384 und SHA-512), SHA-3, Blake2 oder (je nach Einsatzgebiet) auch Poly1305 stehen zur Verfügung - informieren Sie sich und sagen Sie "Goodbye" zu SHA-1!"

Aber eigentlich sollte dieser Appell gar nicht notwendig sein! Denn wenn Hersteller und Betreiber ihren Job verantwortungsvoll wahrnehmen, ist er Umstand das SHA1 ab jetzt als unsicher einzustufen ist ein ganz normaler Vorgang im Rahmen des Lebenszyklus einer Produktes.
Und hier wird klar, dass gerade an dieser Stelle das eigentliche Problem besteht. Nämlich der Umgang mit dem Sachverhalt lässt sofort Rückschlüsse auf die Qualität und Güte von Entwicklungs- und Betriebsprozessen der Hersteller und Betreiber zu.

Anwender, die einen funktionierenden Informationssicherheitsmanagement-Prozess haben, können auf diesen vertrauen und sind durch mehrere Maßnahmen vor den Folgen "geschützt", bzw. können souverän mit der sich unter Umständen zukünftig entwickelnden Situation umgehen:

Diese Liste kann man sicher noch um einige Punkte erweitern und soll nur aufzeigen, wie wichtig ein gut konzipiertes ISMS ist. Nur damit sind Sie in der Lage solche Situationen zu beherrschen. Und es wird klar das jeder etwas tun kann. Zeigen Sie also nicht mit dem Finger auf die Hersteller und warten Sie auf eine Reaktion von dort. Sondern prüfen Sie Ihr ISMS und verbessern Sie falls notwendig Ihre Prozesse.

14 Mar 2017
ISMS Lebenszyklus SHA-1
Autor: dirk-groesser