Was eine Prise Salz mit Online-Geheimnissen zu tun hat

Planet33 Saltify Interview

Vom sicheren Online-Informationsaustausch mit  saltify.planet33.com


Ein Interview mit Martin Schindler, dem Schöpfer von Saltify – geführt von Ulrich Theilacker, Vorstand von PLANET 33.


Immer wieder haben wir bei PLANET 33 das Problem, dass Kunden vertrauliche Informationen wie etwa Zugangsdaten einfach per E-Mail im Klartext mit uns teilen wollen. Erst letzte Woche hielt ein Kunde es für eine gute Idee, uns Kreditkarteninformation für die Freischaltung von Diensten zu übermitteln. Zum Glück hatten wir die Sicherheitsrichtlinien von Microsoft 365 bereits konfiguriert und die E-Mail wurde blockiert. Doch leider sind hier noch nicht alle Kunden sensibilisiert und nicht jedes Geheimnis ist für eine Blockier-Regel so einfach zu erkennen.

Diese Tatsache in Verbindung mit der Archivierung und der Weigerung vieler Kunden, Ihre Passwörter zu ändern, kreiert tickende Zeitbomben in den Posteingängen und Archiven von uns und denen unserer Kunden. Ein Konto, das 2023 „feindlich“ übernommen wird, enthält möglicherweise ein unverändertes Passwort von 2019, welches noch immer gültig ist. Fatal!


Also gingen wir auf die Suche nach einem Tool, das dieses Problem lösen konnte und stießen auf Saltify. Heute spreche ich mit Martin Schindler, dem Schöpfer des Tools.


Hallo Martin. Danke, dass du dich bereit erklärt hast, uns einige Fragen zu dir und der Entstehung von Saltify zu beantworten. Erzähl uns doch zunächst ein wenig über dich und deinen beruflichen Hintergrund.


Ich habe vor zehn Jahren an der Hochschule Rosenheim meinen Bachelor of Science im Fach Informatik gemacht und danach viele Jahre zunächst als Softwareentwickler, später als Softwarearchitekt bei der Shopware Agentur dasistweb in Holzkirchen angefangen. Hauptsächlich bin ich im E-Commerce Umfeld zuhause, habe deshalb in erster Linie mit webbasierten Technologien zu tun und schon zahlreiche, namhafte Projekte realisiert und unterstützt. Inzwischen bin ich nur noch nebenberuflich für denselben Arbeitgeber tätig und habe vor einigen Jahren das Unternehmen meines Vaters übernommen.   Wer jetzt denkt, das wäre auch etwas mit IT, der irrt sich gewaltig. Ich habe komplett das Berufsfeld gewechselt und führe ein kleines, aber erfolgreiches Fahrradfachgeschäft mit Schwerpunkt (E-)Mountainbike. Unser Familienbetrieb feiert 2024 sein dreißigjähriges Bestehen und ich bin sehr stolz, dass ich dabei von meiner wundervollen Frau und meinem Vater, dem Seniorchef, unterstützt werde! Und wer sich jetzt wundert, wie sich Fahrradhandel mit Werkstatt und IT-Job an der Tastatur unter einen Hut bringen lassen: Ich finde, es könnte nicht besser passen! Meine eigenen Mountainbike-Aktivitäten kann man übrigens auf www.mtbsepp.de verfolgen. Nebenbei bin ich auch noch Musiker bei der Band HoamatBeat am Tegernsee. Mir wird also selten langweilig. (lacht)   


Gerne würde ich wissen, welches Geheimnis du übermitteln wolltest, als dir die Idee zu saltify gekommen ist.  Wie ist Saltify entstanden?


Eigentlich begann alles als eine Fingerübung, das heißt als Freizeitprojekt, um mich beim Thema Coding ein wenig voranzubringen. Hin und wieder kommen mir verschiedene Dinge in den Sinn, die ich ausprobieren möchte…

Bei meinem Arbeitgeber im E-Commerce- Business haben wir oft mit Credentials, also Anmeldedaten von Kunden, zu tun. Ihre Übermittlung mithilfe der üblichen Kanäle ging allerdings nie ganz ohne Bauchschmerzen vonstatten. Bei meiner Recherche bin ich durchaus auf Tools gestoßen, die es einem versprechen, Geheimnisse sicher zu teilen. Allerdings hat es mir immer an der Seriosität gefehlt. Die Art und Weise, wie sich diese Tools optisch und inhaltlich präsentierten, wirkte für mich schlichtweg nicht vertrauenswürdig. Dann habe ich mich kurzerhand dazu entschieden, selbst tätig zu werden und ein Tool dafür zu entwickeln – so entstand Saltify.


Wann ging die erste Version von Saltify online?


Das müsste Ende 2017 gewesen sein, wenn ich mich richtig erinnere.


Wann hast du gemerkt, dass deine Problemlösung auch für andere relevant sein könnte?


Das ging relativ schnell. Der CEO der dasistweb GmbH, Martin Weinmayr, hatte sich mein Tool kurze Zeit nach Release angesehen, für gut empfunden und Zack, war es im Firmenprozess integriert. Spätestens mit der Integration für Slack wurde es dort im Daily Business regelmäßig eingesetzt. Dann dauerte es nicht mehr lange bis die ersten Menschen außerhalb meines Arbeitsumfeldes darauf aufmerksam wurden.   


Musstest du nicht häufig die Frage beantworten, warum man dir glauben soll, dass die Passwörter beim Verschlüsseln nicht in eine Datenbank geschrieben werden?


Das passierte eigentlich gar nicht so oft. Immer mal wieder melden sich Menschen aus aller Welt und möchten ein Whitepaper von mir, oder möchten wissen, ob ich diese und jene Zertifizierung habe erstellen lassen.  

Meine Antwort hierbei ist stets dieselbe: Ich biete dieses Tool kostenlos an, ich übernehme keine Haftung. Wenn mir jemand nicht traut, muss er das Tool ja auch nicht verwenden. Das mag etwas vermessen klingen, doch mein Antrieb für Saltify war es, ein Problem zu lösen und das habe ich getan. Ich habe mein Bestes getan, um die Nachrichten so sicher zu verschlüsseln, dass selbst ich, der ja Zugriff auf die Datenquelle hat, keine Möglichkeit besitze, sie zu entschlüsseln. 

Selbst die URL zum Geheimnis wird zur Laufzeit erzeugt und kann aus den temporär gespeicherten Datensätzen nicht manuell zusammengesetzt werden. Alle abgeholten oder zeitlich abgelaufenen Geheimnisse werden zudem rückstandslos gelöscht. Ich kann also mit gutem Gewissen sagen, dass mein Tool eine hohe Sicherheit aufweist.  

Dennoch empfehle ich jedem Nutzer, immer nur einen Teil eines Geheimnisses via Saltify Preis zu geben. Statt in die zu verschlüsselnde Nachricht etwa zu schreiben: „Hallo Peter, hier das Passwort für meinen Amazon-Account…” ist mein Tipp: Telefoniere vorab mit Peter, sag ihm, er bekommt das Passwort für den Amazon Account und schick das Passwort ohne weitere Anmerkungen via Saltify durch. Im unwahrscheinlichen Fall, dass jemand das Passwort abfangen sollte, kann er überhaupt nichts damit anfangen. Es ist also wie immer im Leben – oder speziell beim Thema Datensicherheit – eine Frage der Eigenverantwortlichkeit und des Bewusstseins für Sachverhalte.  


Da stimme ich dir zu – Eigenverantwortung und Mitdenken – kein Tool der Welt macht einen Leichtsinnigen sicher. 


Und wie kam es zum Namen Saltify? Für alle, die nicht Informatik studiert haben: Was ist der Zusammenhang zwischen Salz und Geheimnissen? (lacht) 


Um zu verstehen, warum man Passwörter salzt, muss man das Konzept des Hashs verstehen. Ein Hash ist wie ein Fingerabdruck eines Passwortes, mit dem man das Passwort eigentlich nicht rekonstruieren kann, aber man ist sich sehr sicher, dass ein eingegebenes Passwort stimmt, wenn der Fingerabdruck mit dem Ergebnis der Hashfunktion übereinstimmt. So kann man also in passwortgesicherten Systemen Hashes hinterlegen zum Abgleichen der eingegebenen Passwörter, ohne die Passwörter selbst dort abzulegen. Wenn man jetzt aber den Hash und die Hashfunktion kennt, kann man mit roher Gewalt so lange Passwörter eingeben, bis das Ergebnis mit dem Hash, also dem Fingerabdruck, übereinstimmt. Dann hätte man das Passwort aus einem Hash generiert. Das dauert im Normalfall ganz schön lange und ist daher relativ sicher. Hier hat nun aber der Schweizer Philipp Oechslin eine Methodik vorgestellt, wie mit sogenannten Rainbow Tables noch schneller von einem Hash auf ein Passwort geschlossen werden kannUm jetzt den Einsatz dieser Methode wiederum zu behindern, verlängert man das Passwort einfach mit einigen benutzerspezifischen Zeichen. Diesen Vorgang nennt man „Salzen“ und dies erschwert wiederum den Einsatz von Rainbow Tables zum Knacken eines Passwortes.  


Was hat das jetzt mit dem Tool zur Übermittlung von Geheimnissen zu tun?   


Streng genommen arbeitet Saltify nur gar nicht mit Hashes – es legt ja das echte Passwort verschlüsselt in eine temporäre Datenbank. Für die Namensfindung war eher die unidirektionale Eigenschaft von Hashes ausschlaggebend. Und so soll es mit Saltify eben nur möglich sein, von einer Richtung auf ein verschlüsseltes Geheimnis zugreifen zu können, eben über den einzigartig erzeugten Link und auch nur ein einziges Mal.   


Ah, so wurde also der Name für Saltify geboren – in seiner Urform saltify.io und in seiner PLANET 33 Version saltify.planet33.com.  

 

Herzlichen Dank für diese Einblicke und das nette Gespräch, lieber Martin. 


Sehr gern. 

Picture of Ulrich Theilacker

Ulrich Theilacker

Uli ist Mitgründer und Vorstand von PLANET 33. Themen, die ihn begeistern sind innovative Technologien, Cloud-Systeme und IT-Sicherheit.

Jetzt vernetzen
Picture of Ulrich Theilacker

Ulrich Theilacker

Uli ist Mitgründer und Vorstand von PLANET 33. Themen, die ihn begeistern sind innovative Technologien, Cloud-Systeme und IT-Sicherheit.

Jetzt vernetzen

Ihre fragen, unsere expertise!

Lassen Sie uns gemeinsam die digitale Zukunft Ihres Unternehmens gestalten. Hinterlassen Sie uns Ihre Kontaktdaten und wir melden uns in Kürze bei Ihnen zurück.

Jetzt die nötigen Maßnahmen für NIS-2 und Ihre Cybersecurity ergreifen

Wir unterstützen Sie bei der Umsetzung: Hinterlassen Sie uns einfach Ihr Anliegen und Ihre Kontaktdaten. Wir melden uns so schnell wie möglich bei Ihnen zurück. 

Jetzt die nötigen Maßnahmen für NIS-2 und Ihre Cybersecurity ergreifen

Wir unterstützen Sie bei der Umsetzung: Hinterlassen Sie uns einfach Ihr Anliegen und Ihre Kontaktdaten. Wir melden uns so schnell wie möglich bei Ihnen zurück. 

Jetzt die nötigen Maßnahmen für NIS-2 und Ihre Cybersecurity ergreifen

Wir unterstützen Sie bei der Umsetzung: Hinterlassen Sie uns einfach Ihr Anliegen und Ihre Kontaktdaten. Wir melden uns so schnell wie möglich bei Ihnen zurück. 

Jetzt die nötigen Maßnahmen für NIS-2 und Ihre Cybersecurity ergreifen

Wir unterstützen Sie bei der Umsetzung: Hinterlassen Sie uns einfach Ihr Anliegen und Ihre Kontaktdaten. Wir melden uns so schnell wie möglich bei Ihnen zurück. 

Folgen Sie uns schon auf Social Media?

HEBEN SIE IHRE IT AUF DAS NÄCHSTE SICHERHEITS-LEVEL MIT KEEPIT

Welche Potenziale birgt Keepit für Ihr Unternehmen? Finden wir es heraus! Hinterlassen Sie uns Ihre Kontaktdaten und wir melden uns so schnell wie möglich bei Ihnen zurück. 

Entlasten Sie Ihre IT-Audits mit Netwrix Auditor.

Erfahren Sie von unseren Experten, wie Netwrix Auditor Ihre IT-Sicherheitsprüfungen effizienter macht. Hinterlassen Sie uns einfach Ihr Anliegen und Ihre Kontaktdaten. Wir melden uns so schnell wie möglich bei Ihnen zurück.

Starke Passwörter im ganzen Unternehmen - mit dem Netwrix Password Policy Enforcer.

Möchten Sie mehr über die Lösung erfahren? Unsere Experten beraten Sie gerne. Hinterlassen Sie uns einfach Ihr Anliegen und Ihre Kontaktdaten. Wir melden uns so schnell wie möglich bei Ihnen zurück.

Höchste sicherheit für priviligierte konten dank netwrix privilege secure.

Sie haben eine Frage zum Produkt? Wir beantworten Sie gerne.

Hinterlassen Sie uns einfach Ihr Anliegen und Ihre Kontaktdaten. Wir melden uns so schnell wie möglich bei Ihnen zurück.

Sie haben eine Frage zur Copilot für Microsoft 365 bzw. KI-gestützem Arbeiten?

Unser Experte Fred Zschiedrich freut sich darauf, Ihr Anliegen persönlich mit Ihnen zu besprechen. Hinterlassen Sie hier Ihre Kontaktdaten und wir melden uns schnellstmöglich bei Ihnen zurück.

Die beste Telefonie-Lösung für Ihr Unternehmen

Lassen Sie uns gemeinsam die beste Variante unserer Telefonie-Lösungen finden. Setzten Sie sich jetzt mit unseren Experten in Kontakt.

deine bewerbung

Wie schön, dass du den Weg zu uns gefunden hast und dich für einen Ausbildungsplatz bei PLANET 33 interessierst. Bitte trage unten deine Kontaktdaten ein und lade deine Bewerbungsunterlagen hoch.

Deine Bewerbung bei PLANET 33

Wie schön, dass du dich für einen Job in unserem Team bei PLANET 33 interessierst. Hier kannst du deine persönlichen Daten und deine Bewerbungsunterlagen in unser Bewerbungsportal hochladen. Wir freuen uns darauf, dich kennenzulernen!

Deine Initiativbewerbung bei PLANET 33

Wie schön, dass du den Weg zu PLANET 33 gefunden hast und dich bewerben möchtest. Hier kannst du deine persönlichen Daten und deine Bewerbungsunterlagen in unser Bewerbungsportal hochladen. Wir freuen uns darauf, dich kennenzulernen!

Unsere vielseitigen IT-Services für Ihre Operational Excellence

Wie können wir Ihr Unternehmen in Sachen IT unterstützen? Lassen Sie es uns besprechen. Hinterlassen Sie uns einfach Ihre Kontaktdaten und wir melden uns so schnell wie möglich bei Ihnen zurück.

Immer gut informiert mit dem PLANET 33 Newsletter

Erhalten Sie relevante Neuigkeiten aus der IT-Branche direkt in Ihre Inbox: mit dem PLANET 33 Newsletter. Hinterlassen Sie uns einfach Ihre E-Mail-Adresse und freuen Sie sich auf die nächste Ausgabe.

Datenschutzerklärung

Erfahren Sie mehr über unser Partnernetzwerk

Sie haben eine Frage zu unserem Partnernetzwerk? Hinterlassen Sie uns einfach Ihr E-Mail-Adresse und wir melden uns in Kürze bei Ihnen zurück. Wir freuen uns darauf, Sie kennenzulernen.

Busylight, die smarte "Bitte-Nicht-Stören"-Lampe

Dank Busylight können Teams die tägliche Kommunikation im Büro verbessern und Konzentrationsphasen ungestört nutzen. Teilen Sie uns Ihre Anforderungen mit und wir melden uns zeitnah mit einem passenden Angebot bei Ihnen zurück.

Filesharing ohne Sorgen? DRACOON macht's möglich.

Lernen Sie das beeindruckende Filesharing Produkt DRACOON besser kennen. Hinterlassen Sie uns einfach Ihre Fragen und Kontaktdaten und wir melden uns in Kürze bei Ihnen zurück.

Microsoft Teams: Zusammenarbeit neu gedacht

Finden Sie heraus, wie Sie und Ihre Kollegen effizienter und agiler zusammenarbeiten können. Erzählen Sie uns von Ihren individuellen Anforderungen und lassen Sie uns Ihnen die Potenziale dieses leistungsstarken Tools vorstellen.

Sicherheit so einfach wie nie. Mit YubiKey.

Finden Sie heraus, wie Yubikey Ihre IT-Sicherheit maßgeblich erhöhen kann. Schreiben Sie uns. Wir beantworten sie gerne.

Sicher in die Zukunft mit Netwrix

Finden Sie heraus, wie die Produkte von Netwrix sich in Ihre IT-Sicherheit-Strategie integrieren lassen. Stellen Sie uns Ihre Fragen hier. Wir beraten Sie gern.

Heben Sie Ihre IT-Sicherheit auf das nächste Level

Möchten Sie mehr über Ihre individuellen Möglichkeiten im Bereich IT-Sicherheit erfahren? Gemeinsam finden wir die Lösungen, die auf Ihre Bedürfnisse zugeschnitten sind. Hinterlassen Sie uns einfach Ihre Kontakdaten und wir melden uns in Kürze bei Ihnen zurück.

Die ideale Internetanbindung für Ihr Unternehmen

Internet ist nicht gleich Internet. Egal wie anspruchsvoll Ihre Anforderungen sein mögen, unsere Experten stehen Ihnen kompetent zur Seite. Hinterlassen Sie uns hier Ihre Kontaktdaten und wir melden uns so schnell wie möglich zurück. 

Gemeinsam zur passenden Lösung für Ihre Unternehmens-IT

Jedes Unternehmen hat in Sachen IT ganz unterschiedliche Anforderungen. Um Sie bestmöglich zu beraten, lassen Sie uns über Ihre sprechen. Unverbindlich und persönlich. Hinterlassen Sie uns Ihre Kontaktdaten und wir melden uns in Kürze bei Ihnen zurück.

Fragen zur Cloud? Unsere Experten beantworten Sie.

Welche Potenziale birgt die Coud für Ihr Unternehmen? Finden wir es heraus! Hinterlassen Sie uns Ihre Kontaktdaten und wir melden uns so schnell wie möglich bei Ihnen zurück.