Vom sicheren Online-Informationsaustausch mit saltify.planet33.com
Ein Interview mit Martin Schindler, dem Schöpfer von Saltify – geführt von Ulrich Theilacker, Vorstand von PLANET 33.
Immer wieder haben wir bei PLANET 33 das Problem, dass Kunden vertrauliche Informationen wie etwa Zugangsdaten einfach per E-Mail im Klartext mit uns teilen wollen. Erst letzte Woche hielt ein Kunde es für eine gute Idee, uns Kreditkarteninformation für die Freischaltung von Diensten zu übermitteln. Zum Glück hatten wir die Sicherheitsrichtlinien von Microsoft 365 bereits konfiguriert und die E-Mail wurde blockiert. Doch leider sind hier noch nicht alle Kunden sensibilisiert und nicht jedes Geheimnis ist für eine Blockier-Regel so einfach zu erkennen.
Diese Tatsache in Verbindung mit der Archivierung und der Weigerung vieler Kunden, Ihre Passwörter zu ändern, kreiert tickende Zeitbomben in den Posteingängen und Archiven von uns und denen unserer Kunden. Ein Konto, das 2023 „feindlich“ übernommen wird, enthält möglicherweise ein unverändertes Passwort von 2019, welches noch immer gültig ist. Fatal!
Also gingen wir auf die Suche nach einem Tool, das dieses Problem lösen konnte und stießen auf Saltify. Heute spreche ich mit Martin Schindler, dem Schöpfer des Tools.
Hallo Martin. Danke, dass du dich bereit erklärt hast, uns einige Fragen zu dir und der Entstehung von Saltify zu beantworten. Erzähl uns doch zunächst ein wenig über dich und deinen beruflichen Hintergrund.
Ich habe vor zehn Jahren an der Hochschule Rosenheim meinen Bachelor of Science im Fach Informatik gemacht und danach viele Jahre zunächst als Softwareentwickler, später als Softwarearchitekt bei der Shopware Agentur dasistweb in Holzkirchen angefangen. Hauptsächlich bin ich im E-Commerce Umfeld zuhause, habe deshalb in erster Linie mit webbasierten Technologien zu tun und schon zahlreiche, namhafte Projekte realisiert und unterstützt. Inzwischen bin ich nur noch nebenberuflich für denselben Arbeitgeber tätig und habe vor einigen Jahren das Unternehmen meines Vaters übernommen. Wer jetzt denkt, das wäre auch etwas mit IT, der irrt sich gewaltig. Ich habe komplett das Berufsfeld gewechselt und führe ein kleines, aber erfolgreiches Fahrradfachgeschäft mit Schwerpunkt (E-)Mountainbike. Unser Familienbetrieb feiert 2024 sein dreißigjähriges Bestehen und ich bin sehr stolz, dass ich dabei von meiner wundervollen Frau und meinem Vater, dem Seniorchef, unterstützt werde! Und wer sich jetzt wundert, wie sich Fahrradhandel mit Werkstatt und IT-Job an der Tastatur unter einen Hut bringen lassen: Ich finde, es könnte nicht besser passen! Meine eigenen Mountainbike-Aktivitäten kann man übrigens auf www.mtbsepp.de verfolgen. Nebenbei bin ich auch noch Musiker bei der Band HoamatBeat am Tegernsee. Mir wird also selten langweilig. (lacht)
Gerne würde ich wissen, welches Geheimnis du übermitteln wolltest, als dir die Idee zu saltify gekommen ist. Wie ist Saltify entstanden?
Eigentlich begann alles als eine Fingerübung, das heißt als Freizeitprojekt, um mich beim Thema Coding ein wenig voranzubringen. Hin und wieder kommen mir verschiedene Dinge in den Sinn, die ich ausprobieren möchte…
Bei meinem Arbeitgeber im E-Commerce- Business haben wir oft mit Credentials, also Anmeldedaten von Kunden, zu tun. Ihre Übermittlung mithilfe der üblichen Kanäle ging allerdings nie ganz ohne Bauchschmerzen vonstatten. Bei meiner Recherche bin ich durchaus auf Tools gestoßen, die es einem versprechen, Geheimnisse sicher zu teilen. Allerdings hat es mir immer an der Seriosität gefehlt. Die Art und Weise, wie sich diese Tools optisch und inhaltlich präsentierten, wirkte für mich schlichtweg nicht vertrauenswürdig. Dann habe ich mich kurzerhand dazu entschieden, selbst tätig zu werden und ein Tool dafür zu entwickeln – so entstand Saltify.
Wann ging die erste Version von Saltify online?
Das müsste Ende 2017 gewesen sein, wenn ich mich richtig erinnere.
Wann hast du gemerkt, dass deine Problemlösung auch für andere relevant sein könnte?
Das ging relativ schnell. Der CEO der dasistweb GmbH, Martin Weinmayr, hatte sich mein Tool kurze Zeit nach Release angesehen, für gut empfunden und Zack, war es im Firmenprozess integriert. Spätestens mit der Integration für Slack wurde es dort im Daily Business regelmäßig eingesetzt. Dann dauerte es nicht mehr lange bis die ersten Menschen außerhalb meines Arbeitsumfeldes darauf aufmerksam wurden.
Musstest du nicht häufig die Frage beantworten, warum man dir glauben soll, dass die Passwörter beim Verschlüsseln nicht in eine Datenbank geschrieben werden?
Das passierte eigentlich gar nicht so oft. Immer mal wieder melden sich Menschen aus aller Welt und möchten ein Whitepaper von mir, oder möchten wissen, ob ich diese und jene Zertifizierung habe erstellen lassen.
Meine Antwort hierbei ist stets dieselbe: Ich biete dieses Tool kostenlos an, ich übernehme keine Haftung. Wenn mir jemand nicht traut, muss er das Tool ja auch nicht verwenden. Das mag etwas vermessen klingen, doch mein Antrieb für Saltify war es, ein Problem zu lösen und das habe ich getan. Ich habe mein Bestes getan, um die Nachrichten so sicher zu verschlüsseln, dass selbst ich, der ja Zugriff auf die Datenquelle hat, keine Möglichkeit besitze, sie zu entschlüsseln.
Selbst die URL zum Geheimnis wird zur Laufzeit erzeugt und kann aus den temporär gespeicherten Datensätzen nicht manuell zusammengesetzt werden. Alle abgeholten oder zeitlich abgelaufenen Geheimnisse werden zudem rückstandslos gelöscht. Ich kann also mit gutem Gewissen sagen, dass mein Tool eine hohe Sicherheit aufweist.
Dennoch empfehle ich jedem Nutzer, immer nur einen Teil eines Geheimnisses via Saltify Preis zu geben. Statt in die zu verschlüsselnde Nachricht etwa zu schreiben: „Hallo Peter, hier das Passwort für meinen Amazon-Account…” ist mein Tipp: Telefoniere vorab mit Peter, sag ihm, er bekommt das Passwort für den Amazon Account und schick das Passwort ohne weitere Anmerkungen via Saltify durch. Im unwahrscheinlichen Fall, dass jemand das Passwort abfangen sollte, kann er überhaupt nichts damit anfangen. Es ist also wie immer im Leben – oder speziell beim Thema Datensicherheit – eine Frage der Eigenverantwortlichkeit und des Bewusstseins für Sachverhalte.
Da stimme ich dir zu – Eigenverantwortung und Mitdenken – kein Tool der Welt macht einen Leichtsinnigen sicher.
Und wie kam es zum Namen Saltify? Für alle, die nicht Informatik studiert haben: Was ist der Zusammenhang zwischen Salz und Geheimnissen? (lacht)
Um zu verstehen, warum man Passwörter salzt, muss man das Konzept des Hashs verstehen. Ein Hash ist wie ein Fingerabdruck eines Passwortes, mit dem man das Passwort eigentlich nicht rekonstruieren kann, aber man ist sich sehr sicher, dass ein eingegebenes Passwort stimmt, wenn der Fingerabdruck mit dem Ergebnis der Hashfunktion übereinstimmt. So kann man also in passwortgesicherten Systemen Hashes hinterlegen zum Abgleichen der eingegebenen Passwörter, ohne die Passwörter selbst dort abzulegen. Wenn man jetzt aber den Hash und die Hashfunktion kennt, kann man mit roher Gewalt so lange Passwörter eingeben, bis das Ergebnis mit dem Hash, also dem Fingerabdruck, übereinstimmt. Dann hätte man das Passwort aus einem Hash generiert. Das dauert im Normalfall ganz schön lange und ist daher relativ sicher. Hier hat nun aber der Schweizer Philipp Oechslin eine Methodik vorgestellt, wie mit sogenannten Rainbow Tables noch schneller von einem Hash auf ein Passwort geschlossen werden kann. Um jetzt den Einsatz dieser Methode wiederum zu behindern, verlängert man das Passwort einfach mit einigen benutzerspezifischen Zeichen. Diesen Vorgang nennt man „Salzen“ und dies erschwert wiederum den Einsatz von Rainbow Tables zum Knacken eines Passwortes.
Was hat das jetzt mit dem Tool zur Übermittlung von Geheimnissen zu tun?
Streng genommen arbeitet Saltify nur gar nicht mit Hashes – es legt ja das echte Passwort verschlüsselt in eine temporäre Datenbank. Für die Namensfindung war eher die unidirektionale Eigenschaft von Hashes ausschlaggebend. Und so soll es mit Saltify eben nur möglich sein, von einer Richtung auf ein verschlüsseltes Geheimnis zugreifen zu können, eben über den einzigartig erzeugten Link und auch nur ein einziges Mal.
Ah, so wurde also der Name für Saltify geboren – in seiner Urform saltify.io und in seiner PLANET 33 Version saltify.planet33.com.
Herzlichen Dank für diese Einblicke und das nette Gespräch, lieber Martin.
Sehr gern.
Ulrich Theilacker
Uli ist Mitgründer und Vorstand von PLANET 33. Themen, die ihn begeistern sind innovative Technologien, Cloud-Systeme und IT-Sicherheit.
Ulrich Theilacker
Uli ist Mitgründer und Vorstand von PLANET 33. Themen, die ihn begeistern sind innovative Technologien, Cloud-Systeme und IT-Sicherheit.