Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

09.02.2001 - 

Schutz der Daten und internen Kommunikation mit PKI

Ohne strategische Planung nützt Verschlüsselung nichts

MÜNCHEN (ave) - Informationsklau und Wirtschaftsspionage - um diesen Gefahren zu begegnen, entschließen sich immer mehr Unternehmen zur Verschlüsselung auf Basis einer Public Key Infrastructure (PKI). Dies erfordert jedoch eine durchdachte Planung, außerdem gibt es noch technische Schwierigkeiten.

James Bond hat ausgedient - heutzutage schnüffeln Spione auf elektronischem Weg nach Informationen. Dass auch Unternehmen Opfer solcher Attacken werden, belegt ein Bericht, den der britische Journalist Duncan Campbell Ende Januar dem Europäischen Parlamant vorgelegt hat. Er zeigt darin auf, dass Abhöranlagen wie das berüchtigte EchelonSystem auch zum Anzapfen von Firmennetzen dienen. Ein konkreter Fall: Campbell beschuldigt die amerikanische Firma Raytheon, im Jahr 1994 über Echelon gewonnene Informationen dazu benutzt zu haben, zwei konkurrierende französische Firmen bei einer Ausschreibung für einen Vertrag im Wert von 1,4 Milliarden Dollar zu unterbieten.

Ein Schicksal, das auch deutsche Unternehmen ereilen kann. Der einzige Schutz dagegen: konsequente Verschlüsselung aller unternehmenskritischen Informationen. Hartmut Pohl, Professor am Institut für Informationssicherheit (Isis) in Köln-Junkersdorf, sieht in dieser Hinsicht jedoch noch "erheblichen Nachholbedarf". Zwar seien Firmen, die finanzielle Schäden erleiden mussten, von der Notwendigkeit eines Sicherheitskonzepts überzeugt und überlegten höchstens noch, welcher Weg der richtige ist. "In den meisten Unternehmen muss aber zunächst massiv etwas vorfallen, damit der Vorstand unruhig wird", kritisiert der Experte. Er weiß von Fällen, in denen erst nach sicherheitsbedingten Gewinnausfällen in zweistelliger Millionenhöhe "der Vorstand im Dreieck sprang" und von heute auf morgen nach einer Lösung rief.

Dabei müssen es nicht unbedingt Hacker sein, die sich den Zugriff auf wichtige Daten verschaffen wollen. "90 Prozent aller Verstöße gegen die Datensicherheit werden von Mitarbeitern verübt", warnt Christoph Becker, Rechtsanwalt der Kanzlei Becker & Collegen in Köln. Pohl weist zudem darauf hin, dass in den meisten Unternehmen die Rechner außerhalb der Geschäftszeiten unkontrolliert herumstehen, eine Kontrolle etwa der Putzkolonnen, die zu jedem Raum einen Schlüssel haben, erfolge eher selten. Für den Fachmann ist es durchaus denkbar, dass sich jemand in eine Putzkolonne einschleicht, um so an sensible Unternehmensdaten zu kommen.

Um dem einen Riegel vorzuschieben, bietet sich der Aufbau einer Public Key Infrastructure (PKI, siehe Kasten "Was ist PKI?") an.

Für Pohl führt daran heutzutage kein Weg vorbei. Eine solche Lösung erlaubt es Unternehmen, wichtige Informationen vor dem Zugriff durch Unbefugte zu bewahren. Sie können damit aber auch ihr gesamtes Netz und die darin vorhandenen Datenströme genau überwachen. Der Experte erklärt: "Sie sehen dann gleich, wer E-Mails hin und her schickt, und können anhand der Signatur überprüfen, ob womöglich ein unbefugter Eindringling zugange ist. Bei Bedarf lässt sich die betreffende Mail sofort löschen." Außerdem verhindere das zentrale Time-Stamping einer PKI, dass die zeitliche Registrierung manipuliert werde.

Doch es ist bei weitem nicht damit getan, einfach nur alle Daten zu chiffrieren. Pohl betont: "Unternehmen brauchen vor allem genaue Richtlinien, denn ohne strategische Planung nützt die beste Verschlüsselung nichts. Die technischen Lösungen sind vorhanden, aber die Organisation des Gesamtkonzepts stellt den eigentlichen Knackpunkt dar." Wie er aus seiner Erfahrung berichtet, macht der dafür zu betreibende Aufwand 70 bis 80 Prozent der gesamten Kosten für ein solches Sicherheitsprojekt aus. "Eine PKI installiert ein Experte an einem Nachmittag, das ist nicht das Thema. Aber die konsequente Benutzung in einem Unternehmen mit 10000 oder mehr Mitarbeitern durchzusetzen, das ist ungeheuer aufwändig."

Organisatorischer Aufwand ist enormErfahrungen von Anwendern bestätigen dies. Wie Ingo Böhmer von der West LB Systems GmbH auf der Fachkonferenz "Netsikom 2001 - Sicherheit in Rechnernetzen und Kommunikationssystemen" berichtete, ergaben sich bei dem Versuch, eine PKI in seinem Unternehmen einzuführen, "größere Probleme", die auf technische Schwierigkeiten, aber vor allem auf den enormen organisatorischen Aufwand zurückzuführen waren. So mussten zunächst Risikoklassen für sämtliche Daten innerhalb des Konzerns definiert werden. Außerdem galt es, verbindliche Richtlinien zu vereinbaren, in welchen Fällen die PKI zu benutzen ist.

Laut Böhmer kam die West LB auch nicht umhin, bestehende Arbeitsabläufe zu analysieren und an das Sicherheitskonzept anzupassen. Unter anderem war zu regeln, wie neue Mitarbeiter DV-technisch eingebunden und wie die Zugriffsrechte und Zertifikate ausgeschiedener Kollegen aufgehoben werden sollen. Für Notfälle brauchte man außerdem einen Desaster-Recovery-Plan, der genau festlegt, welche Schritte etwa zur Wiederherstellung eines Schlüssels notwendig sind.

Wie wichtig es ist, Nachschlüssel zu besitzen oder eine Möglichkeit zu haben, einen Chiffrierschlüssel rekonstruieren zu können, zeigt folgendes Beispiel: Ein Mitarbeiter hat an seinem Arbeitsplatzrechner wichtige Daten verschlüsselt und wird plötzlich krank. Die Kollegen müssen unbedingt auf wichtige Daten zugreifen, können dies aber ohne seine Hilfe nicht tun. Im Extremfall wären solche Informationen unwiederbringlich verloren.

Bei der BASF AG hat man eine PKI implementiert, um derartige Situationen auszuschließen. Die Verwaltung der Schlüssel (Erzeugung, Verteilung, Überprüfung und Widerrufen), das Management von Zertifikaten, Zeitdienste auf Basis von zuverlässigen Zeitstempeln und das Problem der Nachschlüssel sind dort genau geregelt. Wie Gerhard Klett, Referent für InformatikSicherheit bei BASF, erzählt, verschlüsselt der Konzern inzwischen vertrauliche Dokumente, den Inhalt wichtiger Festplatten, den E-Mail-Verkehr sowie für das E-Business wichtige Java-Klassen mit Hilfe einer PKI-Lösung auf Basis des Produkts "Pretty Good Privacy". Im April 2000 begann der Rollout, inzwischen nutzen 1000 Mitarbeiter das System. In diesem Frühjahr soll die europaweite Einführung erfolgen.

Manfred Schneider, Datenschutzbeauftragter und Leiter IT-Sicherheit bei der Benteler AG in Paderborn, sieht das Thema Wirtschaftsspionage als reale Gefahr für sein Unternehmen. "Der harte Wettbewerb am Markt sowie die hohe Entwicklungsgeschwindigkeit in der Industrie fordern die Kreativität der Firmen und führen dazu, dass sich auch Kriminelle neue Methoden der Informationsbeschaffung einfallen lassen." Einer der Geschäftsbereiche des Unternehmens arbeitet als Zulieferer für die Automobilindustrie und handelt tagtäglich mit großen Mengen sensibler Daten. Diese gilt es im Kundeninteresse zu schützen, außerdem müssen eigene Entwicklungen vor fremden Zugriffen bewahrt werden. Er sieht den Einsatz von PKI als mögliche Lösung für dieses Problem.

Der Experte warnt jedoch, dass gerade in großen Unternehmen mit vielen Nutzern vor der Einführung eines solchen Systems das Management der Schlüssel geplant werden solle: "Wer die Komplexität dieser Aufgabe unterschätzt und den organisatorischen Ablauf nicht oder nur unzureichend plant, läuft später Gefahr, die Kontrolle zu verlieren." Außerdem komme es darauf an, Vorgaben zu setzen, die - nach Absprache mit der Geschäftsleitung und dem Betriebsrat - den Einsatz von Nachschlüsseln regeln. Schneider fasst zusammen: "Im Vergleich zum organisatorischen Aufwand ist die Installation und Konfiguration der Software einfach."

Wer nun glaubt, technische Probleme seien eher selten, der irrt. BASF-Mann Klett warnt: "Auf Powerpoint-Basis funktionieren alle PKI-Lösungen hervorragend, in der Praxis tauchen dann aber an den unmöglichsten Stellen Probleme auf." Er berichtet beispielsweise, dass bei BASF anfangs das System abstürzte, wenn E-Mails mit Bilddateien im Anhang verschickt wurden. Außerdem weiß er um die Tücken, die das Zusammenspiel verschiedener PKI-Lösungen bereiten kann: "Versuchen Sie mal, einen S/Mime-Schlüssel in ein anderes E-Mail-System zu übertragen", forderte er die Besucher der Netsikom auf, "dann merken Sie schnell, dass das keine einfache Sache ist."

Auch Isis-Professor Pohl bestätigt, dass in dieser Hinsicht noch einiges im Argen liegt. So bemängelt der Experte, dass die Schnittstellen der verfügbaren PKI-Produkte nicht ganz sauber sind und viel Anpassung erfordern. Auch die Produktentscheidung falle den Kunden nicht unbedingt leicht. Isis bietet deshalb Hilfestellung: In seinen Labors testet das Institut PKI-Lösungen für Partnerunternehmen unentgeltlich auf Interoperabilität.

Trotz der noch bestehenden Probleme ist die Verschlüsselung von Daten auf Basis einer PKI empfehlenswert. Das gilt besonders, wenn Anwender über ungesicherte Netze wie das Internet vertraulich mit Geschäftspartnern kommunizieren möchten. Diese Ansicht scheint sich durchzusetzen: Nach Meinung der Analysten der Aberdeen Group wollen bis 2003 etwa 98 Prozent aller Unternehmen PKI als Sicherheitslösung einsetzen.

Was ist PKI?Public Key Infrastructure (PKI) ist ein umfassendes Sicherheitssystem, das sich digitaler Zertifikate bedient, um Anwender zu identifizieren, Kommunikation oder Dateien und Dokumente zu verschlüsseln sowie digital zu signieren. Dies geschieht auf Basis der asymmetrischen Verschlüsselung über das Public-Key-Verfahren. Dabei besitzt jeder Anwender einen privaten und einen öffentlichen Schlüssel, mit dem er Dokumente ver- oder entschlüsseln kann. Will Mitarbeiter A eine Nachricht an Mitarbeiter B schicken, benutzt er dessen öffentlichen Schlüssel (wird in der Regel in einem LDAP-kompatiblen Verzeichnis abgelegt), um die Nachricht zu verschlüsseln, und unterschreibt mit seinem privaten Schlüssel. Dabei wird ein Datenblock erzeugt, der - nach der Dechiffrierung mit dem öffentlichen Schlüssel von A - dessen Identität eindeutig bestätigt. Entsprechend kann die von A erzeugte Nachricht nur von B mit dessen privatem Schlüssel gelesen werden.

Damit dieses komplizierte System reibungslos funktioniert, bedarf es einer durchdachten Infrastruktur. Unter anderem muss eine zentrale Instanz (Certificate Authority = CA) die Zertifikate für Anwender, Services oder Anwendungen erstellen und auch wieder einziehen. Mit dem ihr eigenen privaten Schlüssel "unterschreibt" die CA diese digitalen Dokumente. Unter Verwendung des öffentlichen Schlüssels kontrollieren wiederum alle am PKI-System partizipierenden Parteien die Echtheit des Zertifikats. Die CA-Funktion kann innerhalb des Unternehmens auf einem oder mehreren Servern unter der Obhut der IT-Abteilung laufen oder von einem Drittanbieter (etwa Verisign oder GTE) als Service bereitgestellt werden.

Eine Registration Authority (RA) nimmt die Anträge auf Erteilung eines digitales Zertifikats entgegen und überprüft die Identität eines jeden Antragstellers (etwa anhand des Ausweises). Diese Aufgaben könnte beispielsweise die Personalabteilung eines Unternehmens erfüllen.

Des Weiteren ist ein zentrales Verzeichnis (in der Regel auf LDAP-Basis) nötig, in dem alle Zertifikate, öffentlichen Schlüssel und Certificate Revocation Lists (CRLs) vorgehalten werden. Da die CA normalerweise ein Verfallsdatum (Time Stamp) für digitale Zertifikate vergibt, wird mittels der CRLs festgehalten, wie lange bestimmte Zertifikate ihre Gültigkeit behalten. Unverzichtbar ist außerdem die Möglichkeit, verloren gegangene Schlüssel wiederherzustellen.

Abb: In einer PKI gehören neben einem Trust-Center mit Verzeichnisdienst vor allem Anwenderkomponenten wie Datei- oder E-Mail-Verschlüsselungssoftware. Quelle: Schmeh