Warum echte Zufallszahlen der IT-Sicherheit Leben einhauchen – und wie Lava-Lampen dabei helfen
In meinem „Die 42-Falle“ habe ich aufgezeigt, wie Large Language Models auf die einfache Frage nach einer zufälligen Zahl oft mit „42“ antworten – nicht, weil sie etwas wissen, sondern weil sie auf das Wahrscheinlichste trainiert sind. Was humorvoll beginnt, offenbart eine ernsthafte Schwachstelle: Computer – egal ob KI oder klassisch – tun sich schwer mit echtem Zufall.
Doch was ist überhaupt das Problem?
Warum Computer beim Zufall an ihre Grenzen kommen
Klassische Computer sind deterministische Maschinen. Das bedeutet: Gebe ich denselben Input, bekomme ich denselben Output – immer. Für Berechnungen ideal, für Zufall katastrophal.
Zufallszahlen in Software werden meist durch sogenannte Pseudozufallszahlengeneratoren (PRNGs) erzeugt. Diese sind schnell, effizient, aber vorhersehbar – sie simulieren Zufall anhand mathematischer Formeln. Wer den Startwert (Seed) kennt, kann die gesamte Sequenz vorhersagen. In Spielen mag das nur den Spaß trüben. In der Kryptografie kann es fatale Folgen haben.
Echte Zufälligkeit ist in der IT-Sicherheit entscheidend
Sichere Verschlüsselung, digitale Signaturen oder Zwei-Faktor-Authentifizierung – sie alle beruhen auf der Annahme, dass bestimmte Informationen wirklich zufällig sind. Denn Zufall schützt vor Vorhersagbarkeit – und damit vor Angriffen.
Wenn der Zufall vorhersagbar wird, wird auch die Verschlüsselung angreifbar. Genau das ist bereits mehrfach passiert – etwa bei schwachen Schlüsseln in IoT-Geräten oder schlecht implementierten Kryptosystemen.
Wer ist Cloudflare – und warum ist Zufall für sie so wichtig?
So etwas schon mal gesehen? Dahinter steckt Cloudflare.
Cloudflare ist ein globales Unternehmen, das Websicherheit, DDoS-Schutz und Content-Delivery-Netzwerke (CDNs) für Millionen von Websites bereitstellt. Sie sitzen gewissermaßen am Tor zum Internetverkehr von Milliarden von Menschen – und tragen damit eine enorme Verantwortung für dessen Sicherheit.
Für Cloudflare ist sichere, nicht manipulierbare Verschlüsselung kein „Nice to have“, sondern fundamentaler Bestandteil ihrer Infrastruktur. Und weil sie wissen, dass Software-Zufall nicht ausreicht, haben sie eine geniale Idee umgesetzt.
Die Genialität von LavaRand: Zufall aus Chaos
LavaRand ist keine Science-Fiction. Es ist ein reales System, das bei Cloudflare in Betrieb ist. Es nutzt physikalisches Chaos, um echte Zufälligkeit zu erzeugen – genauer gesagt: Lava-Lampen.
In einem abgeschirmten Raum stehen dutzende Lava-Lampen. Ihre chaotisch fließende Bewegung wird per Kamera kontinuierlich aufgenommen. Diese Bilder werden digitalisiert, verrauscht, gehasht und daraus werden Zufallsbits gewonnen.
Warum funktioniert das? Weil die physikalische Bewegung der Wachskugeln in der Lampe durch thermodynamische Prozesse beeinflusst wird, die in dieser Form nicht vorhersagbar sind – ein echtes Beispiel für Entropie, also Unvorhersagbarkeit in Reinform.
Die Geschichte dahinter -die Idee gibt es länger, als vermutet
Was heute bei Cloudflare für Sicherheit sorgt, begann bereits in den 1990er Jahren – mit einer ungewöhnlichen Idee bei Silicon Graphics (SGI). Die Ingenieure Landon Curt Noll, Robert G. Mende und Sanjeev Sisodiya entwickelten ein Verfahren, das echte physikalische Zufälligkeit in kryptografisch nutzbare Form brachte. Ihr Konzept wurde 1998 unter dem US-Patent 5,732,138 festgehalten: Mithilfe regelmäßig aufgenommener Fotos von Lava-Lampen erzeugten sie chaotische, nicht vorhersagbare Eingabewerte, die zur Initialisierung eines Pseudozufallszahlengenerators dienten.
Die Grundidee war dabei so einfach wie genial: Klassische Computer können nur schwer echten Zufall erzeugen. Die thermodynamischen Bewegungen in einer Lavalampe hingegen sind physikalisch komplex, entziehen sich der Berechenbarkeit – und eignen sich damit hervorragend als Entropiequelle. SGI installierte eine Wand mit Lavalampen, fotografierte sie regelmäßig und setzte die Bilddaten zur sicheren Generierung kryptografischer Schlüssel ein. Zwischen 1997 und 2001 war dieses System öffentlich unter lavarand.sgi.com zugänglich.
Landon Curt Noll führte das Konzept später unter dem Namen LavaRnd weiter – ohne Lava-Lampen, aber mit alternativen chaotischen Quellen. Die Grundidee blieb: Sichere Systeme brauchen unvorhersagbare Ursprünge.
Cloudflare hat dieses Prinzip in die heutige Zeit übertragen – mit neuen Mitteln, aber derselben Überzeugung: Echte Sicherheit beginnt dort, wo wir das Unvorhersehbare kontrolliert nutzbar machen.
Nicht nur Lavalampen bieten das gewünschte Chaos
Cloudflare ist bislang einzigartig in der konsequenten Weiterentwicklung der LavaRand-Idee – doch das Denken hinter der Methode inspiriert weltweit ähnliche Ansätze. Seit 2017 betreibt das Unternehmen in San Francisco seine bekannte „Wall of Entropy“ mit rund 100 Lavalampen. Doch auch an anderen Standorten setzt Cloudflare auf physikalisches Chaos, um kryptografische Sicherheit zu erhöhen:
In London wird die Bewegung von Doppelpendeln genutzt – chaotisch, unvorhersehbar, visuell einprägsam.
In Austin, Texas, erzeugen bunte Mobiles durch Luftzüge und Lichtveränderungen ständig neue Schattenmuster.
In Singapur misst ein Geigerzähler die natürliche Radioaktivität eines Uranpellets – eine seit jeher bewährte Quelle echter Zufälligkeit.
In Portugal wurde 2025 eine Wellensimulationsmaschine eingeführt – kontrolliertes, aber chaotisches Wasserverhalten als Quelle von Entropie.
Bemerkenswert: Kein anderes großes Unternehmen nutzt Lavalampen in vergleichbarer Form. Doch das zugrunde liegende Prinzip – echte physikalische Zufallsquellen statt mathematisch berechenbarer Algorithmen – hat weltweit Schule gemacht.
So verwenden Hardware-Sicherheitsmodule (HSMs) häufig das thermische Rauschen elektronischer Bauteile. Dienste wie HotBits generieren Zufallszahlen durch den radioaktiven Zerfall. Und in der Quantenkryptografie setzen Unternehmen wie ID Quantique, QuintessenceLabs oder QNu Labs auf das Unvorhersagbare der Quantenwelt – etwa Photonenverhalten oder Quantenrauschen.
Was all diese Ansätze verbindet: Sie akzeptieren, dass der digitale Zufall seine Grenzen hat – und dass wir ihn nur dann wirklich sicher machen, wenn wir uns auf die Unvorhersagbarkeit der Natur verlassen.
Fazit
Technologie ist mächtig, aber nicht magisch.
Wer denkt, Computer könnten alles, hat die Physik vergessen.
Und wer glaubt, Künstliche Intelligenz wisse alles, unterschätzt, wie stark sie von den Mustern der Vergangenheit abhängt.
Vertrauen wir Systemen nicht blind. Verstehen wir, wie sie funktionieren – und wo sie an ihre Grenzen stoßen. Dann können wir nicht nur sicherer, sondern auch klüger bauen.
Zum Einstieg: Die 42-Falle – Mangelndes KI-Verständnis und Bias
Und meine Workshops bieten weiteren Einblick, wo die Grenzen der Systeme liegen, um ihre Stärken richtig und im passenden Rahmen komplett ausreizen zu können.
Weitere Artikel zu diesem Themenfeld
Dieses Thema hat mehr Facetten, als ein einzelner Artikel abbilden kann. Hier sind Beiträge, die verschiedene Aspekte davon vertiefen: