---

---

11.08.2025 14:15

Wie agil ist deine Krypto? Interviewstudie erhebt Chancen und Herausforderungen von kryptographischen Updateprozessen

Eva Michely Unternehmenskommunikation
CISPA Helmholtz Center for Information Security

Stellt man sich Software als Gebäude vor, so könnte man sagen, sie besteht aus Code-Bausteinen. Viele dieser Bausteine sind gebäudespezifisch und werden eigens dafür programmiert. Andere hingegen sind Standardbausteine und werden bei vielen Gebäuden benötigt: so etwa kryptographische Algorithmen und Funktionen. In einer qualitativen Interviewstudie mit 21 internationalen Teilnehmenden hat CISPA-Forscher Alexander Krause erhoben, vor welchen Hindernissen Softwareentwickler:innen stehen, wenn sie Krypto-Implementierungen in einer Software erneuern oder gleich bessere Krypto-Bausteine entwickeln wollen. Die Studie wird am 14.08.2025 auf dem Usenix Security Symposium in Seattle, USA vorgestellt.

Crypto Agility, oder: Wieso verfällt Krypto eigentlich?

Ein fundamentaler Baustein in der Programmierung neuer Anwendungen sind kryptographische Algorithmen. Sie sorgen dafür, dass Daten und Informationen verschlüsselt kommuniziert und zuverlässig vor den Augen unbefugter Dritter geschützt werden können. Anders als andere Code-Sequenzen verlieren bestimmte kryptographische Implementierungen mit der Zeit an Wirksamkeit: Schreitet die Entwicklung auf anderen technologischen Gebieten voran, gewinnen Computer etwa signifikant an Rechenleistung, werden beispielsweise asymmetrische Verschlüsselungen potenziell brechbar. Quanten-Computing ist dafür ein Paradebeispiel, wie CISPA-Forscher Alexander Krause erklärt: „Wenn Verbindungen etwa mit TLS verschlüsselt sind, dann kann man diese Datenströme zum aktuellen Zeitpunkt noch nicht auslesen – sehr wohl aber in der Zukunft. Denn Quantencomputer werden viel effizienter rechnen können, weil sie nicht mit binären Zuständen – also 0 und 1 – arbeiten, sondern mit den drei Zuständen 0, 1, und 01 gleichzeitig.“ Das Rechnen mit drei möglichen Zuständen befähigt Quantencomputer, mathematische Probleme in geringerer Zeit zu lösen. Dabei können sie neue effizientere Algorithmen nutzen, welche auf „herkömmlichen“ Computern nicht zur Verfügung stehen.

Das Aktualisieren kryptographischer Implementierungen ist also eine wiederkehrende Aufgabe, und eine mit weitreichender Bedeutung für die Programmnutzer:innen: Denn gehen Krypto-Updates schief, hat das mitunter gravierende Folgen für die allgemeine Sicherheit der Software. Krause erwähnt in diesem Kontext das Konzept der „Krypto-Agilität“: „Dieser wiederkehrende Updateprozess von kryptographischen Implementierungen beginnt idealerweise mit etwas, das man „crypto agility“ nennt. Das bedeutet, dass Entwickler:innen schon während des Software-Designs daran denken, dass sie die kryptographische Implementierung vielleicht irgendwann einmal austauschen oder updaten müssen.“ Dieses Vorausdenken soll die spätere Aktualisierung der Software auf zeitgemäße kryptographische Methoden erleichtern. Allerdings erfordern Krypto-Updates ein sehr bereichsspezifisches Wissen, das längst nicht allen Software-Entwicker:innen zur Verfügung steht.

Krypto-Bibliotheken wollen gepflegt werden

In der Regel stammen kryptographischen Implementationen aus öffentlich zugänglichen, kostenfreien Krypto-Bibliotheken, die von spezialisierten Entwickler-Communities gepflegt werden. Hinter diesen Open-Source-Projekten, von denen Entwickler:innen auf der ganzen Welt profitieren, stehen oft nur wenige Köpfe, die sich in der Regel unentgeltlich für das Projekt engagieren. „Es ist ein grundlegendes Prinzip der Softwareentwicklung, dass Entwickler:innen bestehende Dinge weiternutzen, wenn sie nicht gerade eine Speziallösung brauchen“, erklärt Krause. „Das bedeutet aber auch, dass ich nicht jedes Mal eine Implementierung für einen kryptographischen Standard selbst neu schreibe, sondern ich importiere in der jeweiligen Programmiersprache eine verfügbare Bibliothek, die diese Funktion bereits zur Verfügung stellt.“ Während die Wiederverwendung bestehender Algorithmen und Funktionen effiziente Programmierarbeit erlaubt, birgt sie für die Kryptographie besondere Sicherheitsrisiken. Denn wenn Krypto-Bibliotheken nicht richtig gepflegt und Fehler nicht behoben werden, proliferieren diese Schwachstellen gleich in einer Vielzahl von Anwendungen. Im Kontext der „supply-chain“, eine Art Abhängigkeit innerhalb von Softwareprojekten von anderen Resourcen, spricht man hier von einem „single point of failure“: Wird eine Krypto-Bibliothek nicht zuverlässig gewartet, kann sie die Funktionstüchtigkeit aller an der „supply-chain“ beteiligten Produkte in Gefahr bringen.

Wie gewinnt man Expertenpopulationen für eine Studie? Mit harter Arbeit

Vor welchen Fragen und Herausforderungen Software-Entwickler:innen – die selbst zumeist keine Krypto-Expert:innen sind – beim Updaten von Krypto-Implementierungen stehen, haben Alexander Krause und seine Kolleg:innen am CISPA anhand einer qualitativen Interviewstudie mit 21 Teilnehmenden erhoben. So sollten Antworten auf vier eng definierte Forschungsfragen gefunden werden: Wie erlangen Entwickler:innen Kenntnis von einem empfohlenen Krypto-Update?, Welche Ziele verfolgen sie damit?, Welche Prozesse durchlaufen sie bei der Planung und Durchführung eines Krypto-Updates? und schließlich, Welche Erfahrungen haben sie beim Durchführen dieser Updates gemacht? „Zu dem reinen Updaten von Softwareprojekten gibt es schon viel Forschung. Aber wir haben uns hier die Frage gestellt, ob auch Expertenpopulationen, die über ein hochspezialisiertes Wissen verfügen, besondere Anforderungen haben“, so Krause.

Bei der Rekrutierung ihrer Teilnehmerschaft sahen die Forschenden sich vor Herausforderungen gestellt. „Es war schwierig, diese 21 Entwickler:innen zusammenzubekommen, das war harte Arbeit. Denn wir haben nur erfahrene Entwickler:innen einbezogen und die Erfahrung haben wir gemessen anhand der Contributions, die sie bereits zu Software-Projekten gemacht haben.“ Neben der Rekrutierung aus dem eigenen professionellen Netzwerk veröffentlichten die Forschenden ihren Aufruf auch auf Upwork und schrieben eine Vielzahl weiterer potenzieller Teilnehmender per Email an. Die Rekrutierung per Email war zugleich die zeitaufwendigste, da ihr eine intensive Internetrecherche nach frei zugänglichen Kontaktdaten geeigneter Kandidat:innen vorausging. Die Rücklaufquote der Emailkampagne schätzt Krause auf lediglich ca. 1 Prozent. „Die Leute haben aus unterschiedlichen Gründen an der Studie teilgenommen“, fasst er zusammen. „Da war zum einen eine intrinsische Motivation, weil man die Forschung wichtig findet und weiterbringen möchte. Andere fühlten sich persönlich angesprochen; die haben gesagt: Oh, ihr habt meinen GitHub-Code und mein Projekt angesehen. Wie schön, dass ihr meine Arbeit wahrgenommen habt.“

Heterogene Studienergebnisse: Krypto-Updates sind kontextabhängig

Zu den wichtigsten Ergebnissen der Interviewstudie zählt die Erkenntnis, dass der Informationsfluss rund um empfehlenswerte Krypto-Updates uneinheitlich und zum Teil lückenhaft ausfällt. Zu den Auslösern eines Updates zählten vorrangig Informationen, die den Entwickler:innen über Quellen wie Blogs, Social Media und GitHub zugingen. Anhängig von institutioneller Zugehörigkeit erhalten einige Entwicklergruppen jedoch eher relevante Informationen über Updates als andere Kolleg:innen. „Wenn man in einem großen Unternehmen arbeitet, dann bestehen häufig Absprachen. Die erhalten oft vorab Informationen zu Sicherheitslücken und können die als erstes schließen, zum Beispiel im Rahmen eines Disclosure-Prozesses. Diese Informationen kommen dann über private Mailinglisten, auf die nur wenige Zugriff haben“, fasst Krause zusammen. „Es war ein wichtiges Takeaway für uns, dass es schwer ist, in diese Communities reinzukommen. Jemand der jetzt anfangen möchte, wo findet der Anschluss? Wie kommt man auf eine dieser Listen?“

Die Interviewstudie ergab zudem, dass es in Unternehmen und Projekten kaum etablierte, strukturierte Prozesse gibt, um Krypto-Updates zu regeln. Auch hing die Priorisierung solcher Updates mitunter von Arbeitsressourcen wie beispielsweise Teamgröße ab. Zuweilen waren die Entscheidungsprozesse und Zuständigkeiten rund um Krypto-Updates unklar. „Das war eine negative Überraschung für uns“, sagt Krause. „Wer entscheidet darüber, wer die Verantwortlichkeit für ein Krypto-Update übernimmt? Das ist sehr unterschiedlich gewesen. Manchmal gab es tatsächlich Führungskräfte, die dafür verantwortlich waren. In anderen Situationen hieß es aber, „du hast doch gerade selber festgestellt, dass wir diese Sicherheitslücke haben, dann ist es auch deine Aufgabe, das Problem zu beheben“.“ Als einen zentralen Forschungsbeitrag haben die Forschenden einen solchen Update-Prozess skizziert, und so die heterogenen Aussagen der Teilnehmenden zusammengeführt. Der mehrschrittige Prozess ordnet die verschiedenen Stakeholdergruppen (intern, extern und Nutzer:innen) den sechs Phasen Auslöser, Ziele, Planung, Durchführung, Qualitätssicherung und Rollout zu.

Andere Studienergebnisse fielen positiver und erwartbarer für die Forschenden aus. Ein Beispiel hierfür sind die Ziele, die jeweils mit Krypto-Updates verfolgt werden. „Hier waren wir insgesamt positiv überrascht, dass viele Entwickler:innen das aus der intrinsischen Motivation heraus machen, dass ihre Software zukunftssicher sein soll“, erklärt Krause. Zudem wurden präventive Updates vorgenommen, um einen Sicherheitsvorsprung gegenüber zukünftigen Bedrohungen zugewinnen. Recht einheitlich fiel auch die Rückmeldung dazu aus, dass Krypto-Updates als beschwerlich und komplex wahrgenommen werden. Krause fasst zusammen: „Alle unsere Teilnehmenden hatten einen sehr individuellen Background und sehr individuelle Projekte, aber im Großen und Ganzen macht das Updaten von Krypto schwer, dass man das Wissen dazu braucht und das haben ganz viele letztlich nicht. Das haben wir so erwartet, denn das ist in ganz vielen Security-Bereichen so, nicht nur im Bereich von Krypto-Implementierungen.“

Netzwerk ist alles: Eine Lücke zwischen Forschung und Praxis

Die Frage danach, wie man diese Wissenslücke zukünftig im Sinne der IT-Sicherheit schließen könnte, beschäftigt Alexander Krause nachhaltig. „Krypto-Updates werden auch zukünftig eine Herausforderung bleiben. Wir sehen aber, dass die Leute im Zweifel nicht die notwendige Ausbildung dazu besitzen. Die größte Herausforderung, die wir sehen – und das bezieht sich nicht nur auf unser Paper, sondern allgemein auf die Krypto-Forschung – ist, neue Forschungserkenntnisse in ein Format zu übertragen, in dem sie die Developer:innen auch erreichen.“ Während der Zugang zu den einschlägigen Mailinglisten schwierig zu erlangen ist, haben die Antworten aus der Interviewstudie zudem gezeigt, dass Software-Entwickler:innen sich kaum in wissenschaftlichen Publikationsdatenbanken über Neuerungen informieren. „In unserer Studie hatten hier diejenigen einen Vorteil, die einen hohen Bildungsabschluss hatten, einen Master oder einen PhD, denn die bringen das Skillset dafür mit“, erklärt Krause. Letzen Endes bleibt die Beschaffung relevanter Informationen zu einem maßgeblichen Teil abhängig von der persönlichen Initiative der einzelnen Entwickler:innen. In dieser Hinsicht klafft eine Lücke zwischen Forschung und Praxis, die es zu überwinden gilt – denn es besteht kaum eine Schnittmenge zwischen den Konferenzen, die relevant sind für den wissenschaftlichen Diskurs, und den Industriemessen, die bedeutsam sind für Entwickler-Communities. Die CISPA-Forschenden haben ihre Ergebnisse bereits allen Entwickler:innen, die an ihrer Interviewstudie teilgenommen haben, zur Verfügung gestellt. Einem wissenschaftlichen Fachpublikum wird die Studie am 14. August 2025 auf dem Usenix Security Symposium in Seattle, USA präsentiert.

---

Originalpublikation:

Alexander Krause, Harjot Kaur, Jan Klemmer, Oliver Wiese, and Sascha Fahl. 2025. “That’s my perspective from 30 years of doing this”: An Interview Study on Practices, Experiences, and Challenges of Updating Cryptographic Code.
https://doi.org/10.60882/cispa.29581451.v1

---

<
CISPA-Interviewstudie zu kryptographischen Updateprozessen

Copyright: CISPA

---

Merkmale dieser Pressemitteilung:
Journalisten, Studierende, Wissenschaftler
Informationstechnik
überregional
Forschungsergebnisse
Deutsch

---