IT-Trends-Blog

IT-Trends-Blog

Opinions expressed on this blog reflect the writer’s views and not the position of the Capgemini Group

Wissen Sie, wie viele Schlüssel zur Verschlüsselung von Daten in Ihrem Unternehmen existieren?

Kategorie: Trends des Monats
iStock | © ThinkstockDie Enthüllungen im Rahmen der NSA-Affäre und die Diebstählen von Email-Adressen in den letzten Monaten haben zur Folge, dass Sicherheitsexperten CIOs verstärkt zur Verschlüsselung von Nachrichten und Dateien raten.
Vielleicht haben Sie bereits die Verschlüsselung von Emails und Files in Ihrem Unternehmen umgesetzt oder beabsichtigen zumindest, dies zu tun. Prinzipiell ist dies, auch unserer Meinung nach, der richtige Schritt. Aber haben Sie sich auch schon Gedanken über die Verwaltung der Schlüssel, insbesondere der privaten Schlüssel, gemacht?
 
Gängige Verschlüsselungsmethoden
Die meisten Verschlüsselungsmethoden basieren heute auf dem Prinzip der asymmetrischen Verschlüsselung. Dabei werden zwei Schlüssel (ein Schlüsselpaar) erstellt, wobei ein Schlüssel immer in den Händen des Besitzers verbleibt (privater Schlüssel) während der andere verteilt werden kann (öffentlicher Schlüssel). Eine Nachricht, die mit dem einen Schlüssel verschlüsselt wird, kann nur mit dem anderen Schlüssel entschlüsselt werden. Den öffentlichen Schlüssel kann man auch in den sogenannten öffentlichen Registern, Trust Center (TC) genannt, hinterlegen.
 
Im Gegensatz dazu wird bei der symmetrischen Verschlüsselung nur ein und derselbe Schlüssel zur Ver- und Entschlüsselung verwendet. Dieser Schlüssel muss, wie der private Schlüssel oben, immer mit besonderer Sorgfalt geschützt werden.
 
Die asymmetrische Verschlüsselung ist die am weitesten verbreitete Methode bei der Verschlüsselung von Emails, während die symmetrische Methode i.d.R. zur Verschlüsselung von Daten auf Speichermedien und andern Endgeräten zum Einsatz kommt. Die Funktionsweise und Nutzung von symmetrischer und asymmetrischer Verschlüsselung und insbesondere auch der Public-Key-Infrastruktur ist in der einschlägigen Fachliteratur hinreichend beschrieben, so dass hier nicht weiter darauf eingegangen wird.
 
Sicher ist sicher ist sicher?
Vom öffentlichen Schlüssel gibt es viele Kopien. Diese werden von den TCs verwaltet und können bei Bedarf vom Empfänger bezogen werden. Eine besondere Verwaltung im Unternehmen entfällt.
 
Problematisch wird es bei der Verwaltung der privaten Schlüssel. Sie betrifft besonders Mitarbeiter im Außendienst  beziehungsweise mit mobilen Arbeitsplätzen. Diese müssen besonders darauf achten, die Daten auf ihren mobilen Endgeräten, wie Notebooks, Smartphones oder USB-Sticks zusätzlich zu verschlüsseln. Diese Daten werden entweder mittels einer Verschlüsselungssoftware auf dem Rechner oder aber über einen eingebauten Chip codiert. Diese Werkzeuge generieren somit weitere symmetrische private Schlüssel, die verwaltet werden müssen. Nicht selten werden hierbei viele unterschiedliche und oft miteinander nicht kompatible Werkzeuge eingesetzt, was den Verwaltungsaufwand zusätzlich erhöht.
 
Die Verwaltung all dieser Schlüssel, insbesondere der symmetrischen Schlüssel zur Verschlüsselung der Daten auf mobilen Endgeräten, obliegt den Mitarbeitern oftmals selbst und entzieht sich somit der Kontrolle des CIOs. Da die meisten Schlüssel deutlich länger als 100 Zeichen sind (bei Verschlüsselung von Emails sollte dies die Regel sein), ist es kaum möglich, sich diese zu merken.
 
Von privaten Schlüsseln gibt es in der Regel nur eine Kopie. Gelangt diese in die falschen Hände, kann jeder auf die verschlüsselte Daten zugreifen. Gehen die privaten Schlüssel verloren, kann auch das Unternehmen nicht mehr auf die verschlüsselten Daten zugreifen, was – je nach Inhalt – schwerwiegende bis existenzgefährdende Folgen haben kann.
 
Dies vor Augen, ziehen Mitarbeiter nicht selten zusätzlich Kopien der Schlüssel auf externen Medien, wie USB-Sticks oder CDs und verwahren diese zu Hause auf, für den Fall, dass das Gerät mit der Schlüsselverwaltung beschädigt wird oder verloren geht. Somit ist eine effektive Kontrolle der Kopien der Schlüssel kaum noch möglich.
 
Der Flut privater Schlüssel Herr werden – aber wie?
Die Verwaltung von privaten Schlüsseln reduziert sich aber nicht nur auf die Frage, wo man die Kopien des Schlüssels aufbewahren soll. Es gilt auch zu klären, wie viele Kopien überhaupt vorhanden und auf welchen Geräten sie gespeichert sind. Es stellt sich ebenso die Frage, wie mit den Schlüsseln und den Daten zu verfahren ist, wenn der Mitarbeiter das Unternehmen verlässt oder verlassen muss.
 
Keine (organisatorische) Maßnahme wird verhindern, dass der Mitarbeiter Kopien der Daten und Schlüssel anfertigt und diese mitnimmt. Sie müssen sich also Gedanken über die Lebensdauer von Schlüsseln machen, wie auch über die Art und Weise, wie die Schlüssel für ungültig erklärt werden und gegebenenfalls aus dem Verkehr gezogen werden müssen. Die Certificate Revocation List (CRL) ist ein probates Mittel, um ungültige asymmetrische Schlüsselpaare öffentlich bekannt zu machen, damit die Geschäftspartner diese nicht mehr einsetzen. Ansonsten kann es passieren, dass ehemalige Mitarbeiter weiterhin über die Möglichkeit verfügen, auf interne Daten zuzugreifen und diese zu lesen.
 
Checkliste für die Schlüsselverwaltung
Folgende Punkte sollten im Rahmen der Schlüsselverwaltung unbedingt vorab geklärt worden sein:
  • Wie werden die Schlüssel erzeugt?
  • Wie und wo werden die Schlüssel registriert?
  • Wie und wo werden private Schlüssel aufbewahrt?
  • Wie ist die Lebensdauer von Schlüsseln geregelt?
  • Wie werden kompromittierte Schlüssel deaktiviert und aus dem Verkehr gezogen bzw. ersetzt?
  • Wie wird verschlüsseltes Material beim Verlust oder der Kompromittierung des privaten Schlüssels sichergestellt?
  • Wer ist für die Verwaltung der privaten Schlüssel verantwortlich?
  • Wer wird wann und wie informiert, sobald Schlüssel ungültig geworden sind oder wenn unsicher gewordene Schlüssel ersetzt wurden?
 
Zurzeit existieren viele Standards zur Verwaltung von Schlüsseln. Die bekanntesten sind P1619-3 von IEEE oder das von einer Gruppe namhafter Unternehmen, u.a. HP, IBM und Oracle, erarbeitete Key Management Interoperability Protocol (KMIP). Auch Softwarelösungen zur Verwaltung von Schlüsseln gibt es unzählige auf dem Markt. Wir helfen Ihnen gerne bei der Erstellung eines PKI Konzeptes zur Verwaltung Ihrer Schlüssel.
 
 
 
Bildnachweis: iStock | © Thinkstock

Über den Autor

Ismet Gülkanat
Ismet Gülkanat
Seit seinem Informatikstudium verfolgt Ismet Gülkanat die Trends rund um die Informationssicherheit und ist stets auf der Suche nach neuen Methoden und Werkzeugen, um den stetig steigenden Sicherheitsanforderungen gerecht zu werden. Als Technologie-Experte von Capgemini beschäftigt er sich vor allem mit IT-Infrastruktur und Betriebsprozessen. Derzeit konzentriert er sich auf die Beratung von Unternehmen und unterstützt sie bei der Umsetzung von Sicherheitskonzepten.
Wie sicher ist die Verschlüsselung? Werden permanente Schlüssel verwendet? Ändert sich die Verschlüsselung bei Bedarf automatisch? Wie wird die Verschlüsselung generiert? Das sind z.T. wesentliche Fragen um die Qualität einer Verschlüsselung beurteilen zu können. Viel wichtiger noch: Was nützt mir die beste Verschlüsselung, wenn ich nicht zu 100% sicher sein kann, dass auch nur die gewünschten Empfänger meine Mail, Chat etc. erhalten? Wie das parallel gelöst werden kann zeigen wir z.B. auf.

Kommentar hinterlassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit einem * gekennzeichnet.