In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

2 - TMF e.V.

Werbung 
IT-Sicherheitskonzept
Anlage 8.2 Datensicherheitskonzept
Dieses Dokument wurde als Arbeitsmaterial konzipiert. Es wird empfohlen,
Originaldokument aufzubewahren.
Version: als Referenz stets das schreibgeschützte
2.0
Diese Grafik kann aus Kopien entfernt werden. Für Rückfragen wenden Sie
sich bitte an die Geschäftsstelle der TMF unter [email protected]
Autor(en):
Ronald Speer
Lizenzbedingung und Copyright: Dieses Werk ist einschließlich aller seiner Teile
urheberrechtlich geschützt. Die Rechte liegen, sofern nicht anders angegeben, bei der TMF.
Verantwortlicher:
Eine Gewähr für die Richtigkeit der Inhalte kann die TMF nicht übernehmen. Eine
Vervielfältigung und Weiterleitung ist ausschließlich innerhalb Ihrer Organisation oder Firma
Initiator:sowie der TMF-Mitgliedschaft erlaubt, sofern keine anders lautende Vereinbarung mit der TMF
besteht. Aus Gründen der Qualitätssicherung und der Transparenz bzgl. Verbreitung und
Freigabe:Nutzung der TMF-Ergebnisse erfolgt die weitergehende Verbreitung ausschließlich über die
TMF-Website oder die Geschäftsstelle der TMF.
Dieses Werk wurde als Arbeitsmaterial konzipiert, weshalb Änderungen an Ausdrucken sowie
Gültigkeitsende:
an umbenannten Kopien der Originaldatei vorgenommen werden können, sofern diese
angemessen gekennzeichnet werden, um eine Verwechslung mit dem Originaldokument
auszuschließen. Die Nutzungsbedingungen
Art:
Konzept sowie das TMF-Logo dürfen aus den geänderten
Kopien entfernt werden. Die TMF empfiehlt, als Referenz stets das gedruckte
Originaldokument oder die schreibgeschützte Originaldatei vorzuhalten. Auch die
Einstufung:
Vertraulich.
NurVersionen
für den Dienstgebrauch.
Vervielfältigung und Weiterleitung
geänderter
ist ausschließlich innerhalb Ihrer
Organisation oder Firma sowie der TMF-Mitgliedschaft erlaubt, sofern keine anders lautende
Vereinbarung mit der TMF besteht.
Sofern geänderte Kopien oder mit Hilfe dieses Werks von Ihnen erstellten Dokumente in der
Praxis zum Einsatz kommen, sollen diese per Email an die TMF Geschäftsstelle (info@tmf
ev.de) gesandt werden. Diese zugesandten Dokumente werden von der TMF ausschließlich
zum Zweck der Weiterentwicklung und Verbesserung der TMF-Ergebnisse genutzt und nicht
publiziert.
1
Inhalt
1
2
Organisation ................................................................................................................................... 6
1.1
Anlegen Benutzeraccount ...................................................................................................... 6
1.2
Löschen Benutzeraccount ...................................................................................................... 6
Betriebssysteme ............................................................................................................................. 6
2.1
Passworte ............................................................................................................................... 6
2.1.1
Wahl der Passworte........................................................................................................... 7
2.1.2
Aging .................................................................................................................................. 7
2.1.3
Länge der Passworte.......................................................................................................... 8
2.1.4
Alternative Authentisierungsverfahren ............................................................................. 8
2.2
Maßnahmen Windows........................................................................................................... 9
2.2.1
Sicherheitkonfiguration und Sicherheitsvorlagen: ............................................................ 9
2.2.2
Wahl der Passworte......................................................................................................... 10
2.2.3
Aging ................................................................................................................................ 10
2.2.4
Länge der Passworte........................................................................................................ 10
2.2.5
Hinterlegung von Passworten ......................................................................................... 10
2.2.6
Details zum Passwortalgorithmus ................................................................................... 10
2.3
Linux ..................................................................................................................................... 10
2.3.1
Speicherung der Passworte ............................................................................................. 11
2.3.2
Länge der Passworte........................................................................................................ 11
2.3.3
Hinterlegung von Passworten ......................................................................................... 12
2.3.4
Details zum Passwortalgorithmus ................................................................................... 12
2.3.5
Erkennung schwacher Passworte .................................................................................... 13
2.4
2.4.1
Datenbanken ........................................................................................................................ 14
Oracle............................................................................................................................... 14
2
3
Datenträgeraustausch .................................................................................................................. 18
3.1
Beschreibung........................................................................................................................ 18
3.2
Gefährdungslage .................................................................................................................. 18
3.2.1
Höhere Gewalt:................................................................................................................ 18
3.2.2
Organisatorische Mängel:................................................................................................ 18
3.2.3
Menschliche Fehlhandlungen: ......................................................................................... 18
3.2.4
Technisches Versagen:..................................................................................................... 18
3.2.5
Vorsätzliche Handlungen: ................................................................................................ 18
3.3
4
Maßnahmen ......................................................................................................................... 19
3.3.1
Infrastruktur: ................................................................................................................... 19
3.3.2
Organisation: ................................................................................................................... 19
3.3.3
Personal ........................................................................................................................... 22
3.3.4
Hardware/Software: ........................................................................................................ 23
3.3.5
Kommunikation: .............................................................................................................. 26
3.3.6
Notfallvorsorge: ............................................................................................................... 28
Datenübertragungs- und Datenspeicherrichtlinien...................................................................... 29
4.1
Kryptokonzept ...................................................................................................................... 29
4.1.1
Beschreibung ................................................................................................................... 29
4.1.2
Gefährdungslage.............................................................................................................. 29
4.1.3
Maßnahmen .................................................................................................................... 31
4.1.4
Organisation .................................................................................................................... 34
4.1.5
Anlage Kryptokonzept ..................................................................................................... 37
4.1.6
Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte .............. 38
4.1.7
Erhebung der Einflussfaktoren für kryptographische Verfahren und Produkte ............. 42
4.1.8
Auswahl eines geeigneten kryptographischen Verfahrens ............................................. 51
4.1.9
Auswahl eines geeigneten kryptographischen Produktes............................................... 55
4.1.10
Regelung des Einsatzes von Kryptomodulen .............................................................. 59
3
4.1.11
Informationsbeschaffung über Sicherheitslücken des Systems.................................. 60
4.1.12
Reaktion auf Verletzungen der Sicherheitspolitik ....................................................... 61
4.1.13
Geeignetes Schlüsselmanagement ............................................................................. 62
4.2
Personal ............................................................................................................................... 66
4.2.1
Schulung vor Programmnutzung ..................................................................................... 66
4.2.2
Schulung zu IT-Sicherheitsmaßnahmen .......................................................................... 67
4.2.3
Einführung in kryptographische Grundbegriffe............................................................... 69
4.3
Hardware/Software: ............................................................................................................ 81
4.3.1
Geeignetes Schnittstellendesign bei Kryptomodulen ..................................................... 81
4.3.2
Sichere Rollenteilung und Konfiguration bei Kryptomodulen ......................................... 83
4.3.3
Physikalische Sicherheit von Kryptomodulen.................................................................. 84
4.3.4
Anforderungen an die Betriebssystem-Sicherheit beim Einsatz von Kryptomodulen .... 85
4.3.5
Abstrahlsicherheit............................................................................................................ 85
4.3.6 Einsatz von kryptographischen Verfahren auf den verschiedenen Schichten des ISO/OSIReferenzmodells ........................................................................................................................... 88
4.4
4.4.1
5
Notfallvorsorge .................................................................................................................... 95
Datensicherung bei Einsatz kryptographischer Verfahren .............................................. 95
Juristische Datenbegutachtung / Verträge ................................................................................... 97
4
Datensicherheitskonzept
Die Verarbeitung und Speicherung von sicherheitsrelevanten Daten erfordert ein hohes Maß an
Datensicherheit. Insbesondere sind bei der Verarbeitung von personenbezogenen Daten die
datenschutzrechtlichen Bestimmungen und Gesetze zu beachten. Da das Erreichen der Projektziele
die Verarbeitung und Speicherung von Patientendaten erfordert, ist besonders in diesem Bereich
eine sorgfältige Vorangehensweise erforderlich, um den Projekterfolg nicht zu gefährden.
Um diese Erfordernisse zu erfüllen, ist ein umfassendes Datensicherheitskonzept unabdingbar.
Dieses Datensicherheitskonzept muss alle technischen und organisatorischen Maßnahmen abbilden,
welche eine Sicherung der Datensicherheit und des Datenschutzes erreichen sollen.
Das Datensicherheitskonzept behandelt folgende Punkte:

Datenstruktur
Voraussetzung für das Datensicherheitskonzept ist eine detaillierte Übersicht über die
betreffenden Daten und deren Struktur. Aufgrund der beschriebenen Datenstruktur ist die
Erarbeitung eines entsprechenden Zugriffskonzeptes möglich. Ebenfalls ist die Datenstruktur
die Basis für die Datenübertragungs- und Datenspeicherrichtlinien.

Benutzer- und Rollenkonzept
Das Benutzer- und Rollenkonzept umfasst das Zugriffskonzept. Weiterhin sind im Benutzerund Rollenkonzept die Anforderungen an Passwortauswahl und Passwortüberprüfung
verzeichnet. Diese Anforderungen dienen auch als unterstützende Materialien bei der
Auswahl entsprechender Verfahren.

Datenübertragungs- und Datenspeicherrichtlinien
Entsprechend den datenschutzrechtlichen Anforderungen sind die Datenübertragungs- und
Datenspeicherrichtlinien festzulegen. Diese umfassen die entsprechenden Konzepte zur
Pseudonymisierung und Anonymisierung von personenbezogenen Daten. Weiterhin werden
die eingesetzten Verschlüsselungsverfahren entsprechend dem Kryptokonzept abgelegt.
Unter den Datenübertragungsrichtlinien findet man auch die Anforderungen an externe
Partner für einen eventuellen Datenaustausch.

Kryptokonzept
Das Kryptokonzept beinhaltete eine Übersicht von existierenden Verschlüsselungsverfahren
und ist als Hilfsmittel für die Auswahl eines geeigneten Verfahrens konzipiert. Die
Entscheidung für das passende Verschlüsselungsverfahren ist entscheidend für die Sicherheit
und Praktikabilität der Datenübertragung oder Datenspeicherung.

Datenträgeraustausch
5
Ein Datenträgeraustausch ist mit verschiedenen Problemen, wie unter anderem Verlust oder
Beschädigung des Datenträgers verbunden. Ebenfalls besteht die Gefahr der Inkompatibilität.
Aus diesen Gründen sollte ein Datenträgeraustausch möglichst vermieden werden. Ist ein
Datenträgeraustausch unumgänglich, sind im Abschnitt über den Datenträgeraustausch die
notwendigen technischen und organisatorischen Maßnahmen beschrieben.

juristische Datenbegutachtung / Verträge
1 Organisation
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
1.1 Anlegen Benutzeraccount
Bei der Einstellung neuer Mitarbeiter erfolgt durch den Vorgesetzten entsprechend den
Hausinternen IT-Richtlinien eine Meldung an den verantwortlichen Systemadministrator. Diese
Meldung erfolgt schriftlich. Gleichzeitig wird auch angemeldet, welche Rechte bzw. der neue Nutzer
nutzen soll.
1.2 Löschen Benutzeraccount
Beim Ausscheiden eines Mitarbeiters erfolgt durch den Vorgesetzten entsprechend den
Hausinternen IT-Richtlinien eine Meldung an den verantwortlichen Systemadministrator. Diese
Meldung erfolgt schriftlich. Gleichzeitig ist der ausscheidende Mitarbeiter verpflichtet entsprechend
seinem Laufzettel (siehe Hausinterne IT-Richtlinien) sich beim Administrator abzumelden. Dabei sind
entsprechende Daten des Mitarbeiters zu archivieren und anschließend zu löschen. Ebenfalls sind
Daten, welche für eine weitere Bearbeitung benötigt werden dem Vorgesetzten zu übergeben.
2 Betriebssysteme
2.1 Passworte
Ein Zugang zu einem Computersystem ist zumeist an einen so genannten Account gebunden. Durch
diesen Account werden die Rechte eines Benutzers (z.B. Plattennutzung, Prozessorzeit,
Zugriffsrechte) spezifiziert. Um bessere Strukturierungsmöglichkeiten zu erhalten, werden neben den
Accounts auch noch Gruppen benutzt. Durch die Verwendung von Gruppen ist es möglich einer
Menge von Benutzern die gleichen Rechte zuzuweisen. Die Rechte eines Benutzers ergeben sich
somit aus der Addition der Accountrechte und der Rechte aller Gruppen, in denen der Benutzer
Mitglied ist.
Damit nicht jeder Benutzer einen beliebigen Account verwenden kann, sind die Accounts durch ein
Passwort geschützt. Die Passworte bilden damit die Grundlage der Authentisierung von Benutzern
gegenüber Computersystemen.
6
2.1.1 Wahl der Passworte
Neben der Speicherung ist die Wahl eines „genügend sicheren“ Passwortes wichtig. Da dem Benutzer
eines Rechnersystems bei der Wahl seines Passwortes große Verantwortung übertragen wird, ist
eine umfassende Aufklärung der Benutzer zu diesem Thema wichtig.
Bei der Auswahl eines Passwortes wird darauf geachtet, dass es sich dabei nicht um ein Passwort
handelt, das leicht zu erraten ist. Problematisch sind alle Passworte, die von einem Angreifer
ausprobiert werden, z.B.:

Worte aus dem Sprachschatz (div. Wörterbücher)

Worte aus anderen Sprachen (ebenfalls div. Wörterbücher)

alle Arten von Namen (Personen, Städte, Gebäude, Comic-Figuren, ...)

Rechnernamen, Benutzerkennungen

Geburtsdaten, Telefonnummern

Abkürzungen

Tastaturfolgen (z.B. „qwerty“ oder „asdfgh“)

Anfangsbuchstaben von bekannten Sprichwörtern, Liedern, etc. (z.B. amesads = „alle meine
Entchen schwimmen auf dem See“, wrssdnuw = „wer reitet so spät durch Nacht und Wind“,
fdhdgg, ...)
Ebenso unbrauchbar sind Modifikationen dieser Worte durch z.B.:

Anhängen oder Voranstellen einer Zahl (peter09, 7peter, ...)

Rückwärtsschreibung (retep, reteP, ...)

Anhängen oder Voranstellen eines beliebigen Zeichens (&peter, peter, ...)
_
Obwohl die Aufklärung der Benutzer an erster Stelle steht, ist es notwendig, die Auswahl der
möglichen Passworte durch weitere technische Maßnahmen einzuschränken.
2.1.2 Aging
Wird ein Passwort längere Zeit verwendet, so steigt die Wahrscheinlichkeit, dass das Passwort (oder
Teile davon) anderen Benutzern bekannt wird (z.B. durch ein „über die Schulter gucken“ bei der
Eingabe des Passwortes).
Die Notwendigkeit der gelegentlichen Passwort-Änderung muss dem Benutzer deutlich gemacht
werden. Moderne Betriebssysteme bieten die Möglichkeit, den Benutzer nach einer vorgebbaren
Zeit automatisch zu der Wahl eines neuen Passwortes aufzufordern. Diese Möglichkeit, die Gültigkeit
eines Passwortes auf eine bestimmte Zeit einzuschränken, wird aging genannt. Dem Administrator
sollte allerdings bewusst sein, dass dieser Mechanismus nur eine Aufforderung zum Passwortwechsel
7
darstellt. In der Regel wird nicht überprüft, ob das Passwort wirklich geändert wurde oder ob der
Benutzer kurze Zeit später wieder sein altes Passwort wählt. Ein wichtiger Schritt bei der Aktivierung
des Aging-Verfahrens ist also auch die Aufklärung der Benutzer.
Ein weiteres Problem stellt die Wahl der maximalen Gültigkeitsdauer eines Passwortes dar. Während
zu kurze Intervalle dazu führen können, dass sich die Benutzer ein Schema zur Generierung neuer
Passworte überlegen (etwa die Verwendung der Monatsnummer bei einem monatlichen Wechsel),
können zu lange Intervalle den Nutzen des Aging nachhaltig beeinflussen. In diesem Zusammenhang
ist es zweckmäßig, Passworte mindestens jedes halbe Jahr zu wechseln.
2.1.3 Länge der Passworte
Wie oben beschrieben werden die Passworte nicht im Klartext gespeichert. Ist der
Verschlüsselungsalgorithmus für die Passworte hinreichend gut, so kann ein Passwort aus einem
gegebenen verschlüsselten Passwort nur bestimmt werden, indem auf ein mögliches Passwort das
Verschlüsselungsverfahren angewendet wird. Ist das Ergebnis dieses Verschlüsselungsverfahrens das
gegebene verschlüsselte Passwort, so war das gewählte mögliche Passwort korrekt.
Angriffe auf Passwortdatenbanken (mit Einträgen von verschlüsselten Passworten) werden häufig
über zwei verschiedene Arten vorgenommen:

Wörterbuchattacken
Hierbei wird ein Wörterbuch mit wahrscheinlichen Worten benutzt und davon ausgehend
versucht, das Passwort zu finden.

Brute-Force-Attacken
Hierbei werden alle möglichen Kombinationen über einem gegebenen Alphabet erzeugt und
probiert.
Damit ist ein Wörterbuchangriff für eine gegebene Passwortlänge schneller als ein Brute-ForceAngriff, wobei letzterer aber auch sämtliche möglichen Passworte findet.
Um sich vor einem Brute-Force-Angriff zu schützen, müssen die Benutzer davon überzeugt werden,
ein möglichst langes Passwort zu benutzen. Dieses wird durch technische Maßnahmen unterstützt.
2.1.4 Alternative Authentisierungsverfahren
Wie oben beschrieben, erfordert das Anmelden an einem System üblicherweise die Angabe eines
geheimen Passwortes, welches am Zielrechner verschlüsselt und mit den Einträgen in der PasswortDatei (/etc/passwd) verglichen wird. Problematisch ist dieses Verfahren beim Anmelden über ein
Netzwerk, da das eingegebene Passwort unverschlüsselt über das Netz übertragen wird. Angreifer
könnten die übertragenen Passworte abhören und missbrauchen. Es gibt zwei Möglichkeiten, dieses
Problem zu lösen:

Verschlüsselung bei einer Verbindung über das Netzwerk
8
Werden die Daten schon vor der Übertragung des Passwortes verschlüsselt, so können die
Daten zwar abgehört werden, es ist jedoch nicht möglich, aus den erlauschten Daten ein
Passwort zu erkennen.
Eine Verschlüsselung bedingt aber, dass auf dem Zielrechner ein so genannter Dämon
installiert ist, der einen verschlüsselten Verbindungsaufbau erkennt und entsprechend
reagiert.

Einsatz von Einmal-Passwortsystemen
Hierbei wird für jeden Benutzer eine Liste von Passworten erzeugt, die in einer vorher
definierten Reihenfolge zum Anmelden benutzt werden. Jedes Passwort auf dieser Liste wird
genau einmal verwendet. Somit kann ein Angreifer auch nicht mit einem abgehörten
Passwort einen Zugang zum System erhalten.
Das Programmpaket S/Key unterstützt die Benutzung von Einmal-Passworten bei UnixSystemen. Durch dieses Programmpaket ist gewährleistet, dass das geheime Passwort des
Benutzers niemals über das Netzwerk übertragen wird.
Das S/Key - System schützt den Benutzer zwar nicht vor dem unerwünschten Abhören seines
geheimen Passwortes, da ein Passwort jedoch nur einmal benutzt wird, ist eine abgehörtes
Passwort in dem Moment des Abhörens veraltet.
Beim Anmelden an einem entfernten Rechner (z.B. über rlogin, telnet, ftp, etc.) wird statt des
geheimen Passwortes ein Einmal-Passwort zur Authentisierung benutzt. Dieses Passwort wird nie
wieder verwendet, so dass das Abhören des Passwortes durch Dritte keinen Missbrauch ermöglicht.
Das S/Key - System besteht aus zwei Seiten: Der Benutzer (Klient) muss das Einmal-Passwort
erzeugen; das entfernte System (Server) muss dieses Passwort verifizieren. Die Generierung des
Passwortes erfolgt am lokalen System durch das Programm key. Dieses Programm erwartet als
Eingabe ein geheimes Passwort und liefert ein oder mehrere Einmal-Passworte. Nur das EinmalPasswort wird anschließend an den entfernten Rechner (den Server) übermittelt. Alternativ ist es
dem Benutzer auch möglich, eine bestimmte Zahl von Einmal-Passworten im Voraus berechnen zu
lassen und beispielsweise auf einem Zettel zu verwahren.
2.2 Maßnahmen Windows
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
2.2.1 Sicherheitkonfiguration und Sicherheitsvorlagen:
Über die Microsoft Management Console (MMC) können die Sicherheitskonfigurationen einfach
vorgenommen werden.
Das Snap-In Sicherheitsvorlagen ist das zentrale MMC-Snap-In zum Betrachten, Definieren und
Ändern vorhandener Sicherheitsvorlagen oder zum Erstellen neuer Vorlagen.
9
Das Snap-In Sicherheitskonfiguration- und -analyse gestattet den Import einer oder mehrerer
Sicherheitsvorlagen in eine Datenbank. Diese Datenbank kann dem Computer zugewiesen werden,
oder zur Analyse der aktuellen Systemkonfiguration im Vergleich zu der in der Datenbank
gespeicherten Konfiguration verwendet werden.
Das Snap-In Gruppenrichtlinie gestattet die Definition der Sicherheitskonfiguration als Teil eines
Gruppenrichtlinienobjekts. Die Gruppenrichtlinie kann auf einen bestimmten Computer, eine
Domäne oder einem im Active Directory festgelegten Bereich zugewiesen werden.
2.2.2 Wahl der Passworte
Durch das Betriebssystem wird über die Sicherheitsvorlagen die Auswahl eines Passwortes
entsprechend unterstützt. Ebenfalls erfolgt eine umfassende Schulung der Mitarbeiter entsprechend
den Hausinternen IT-Richtlinien.
2.2.3 Aging
Durch die Sicherheitsvorlagen wird ebenfalls das Altern des Passwortes festgelegt.
Alle Passworte müssen alle 6 Monate geändert werden. Hierfür erfolgt eine entsprechende
Konfiguration des Betriebssystems. Eine Wiederverwendung alter Passworte ist erst nach einem
Zeitraum von 2 Jahren möglich.
2.2.4 Länge der Passworte
Die Länge der gewählten Passworte wird unter Windows durch die entsprechenden
Sicherheitsvorlagen des Betriebssystemes unterstützt.
2.2.5 Hinterlegung von Passworten
Von allen Windowsservern werden die Passwörter der loaklen Administratorenaccounts sowie das
Passwort des Domainadministrators an zentraler Stelle in verschlossenen Umschlägen deponiert. Im
Notfall können dann diese Umschläge geöffnet werden. Eine Öffnung der Umschläge ist zu
dokumentieren (Datum, Wer hat Öffnung angeordnet, Welche Aufgaben wurden durchgeführt). Im
Anschluss sind die betroffenen Passwörter zu ändern und in neuen Umschlägen zu hinterlegen.
Dieses ist ebenfalls zu dokumentieren. Regelmässig werden Überprüfungen durchgeführt, ob die
Umschläge noch ordnungsgemäß verschlossen sind. Diese Überprüfung ist ebenfalls zu
dokumentieren.
2.2.6 Details zum Passwortalgorithmus
Wenn ein Client eine Kerberos-Mitteilung an den Key Distribution Server (KDC) schickt, wird
normalerweise das User Datagram Protocol (UDP) auf Port 88 verwendet. Ist die Mitteilung zwischen
1472 Bytes (maximale MTU 1500 Bytes) und 2000 Bytes gross, so wird fragmentiert. Bei Kerberos
Mitteilungen über 2000 Bytes wird das Transmission Control Protocol (TCP) auf Port 88 verwendet.
Dies wiederspricht eigentlich dem RFC 1510, nachdem Kerberos Mitteilungen über UDP geregelt
werden sollte. Die Engineering Task Force (IETF) hat einen Entwurf zur Änderung des RFC1510
eingereicht.
2.3 Linux
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
10
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
2.3.1 Speicherung der Passworte
Linux-Betriebssysteme verschlüsseln die Passworte mit einem Verfahren, mit dem die
Verschlüsselung nicht rückgängig gemacht werden kann. Das so erhaltene verschlüsselte Passwort
wird zusammen mit anderen Benutzer-Informationen in der Datei /etc/passwd gespeichert. Viele
Informationen in dieser Passwort-Datei müssen für alle Benutzer und Programme lesbar sein (um z.B.
eine Zuordnung von numerischen Benutzer-IDs (UID’s) zu Benutzernamen durchführen zu können).
Dadurch können auch potentielle Angreifer (Cracker) darauf zugreifen. Sind in dieser Datei auch die
verschlüsselten Passworte enthalten, kann ein password cracking Programm darauf angesetzt
werden und schlecht gewählte Passworte herausfinden. Der für Passworte benutzte
Verschlüsselungsalgorithmus wurde bislang noch nicht „geknackt“.
Somit kann auch kein Eindringling das verschlüsselte Passwort in das Klartext-Passwort entschlüsseln.
Aber verschlüsselte Passworte können mit verschlüsselten Wörterbüchern verglichen werden.
Dadurch können schlechte Passworte (siehe dazu auch Wahl der Passworte) leicht geraten werden.
Aus diesem Grund unterstützen alle gängigen Linux-Implementationen shadow password files, bei
denen die Passwortdatei in zwei verschiedene Dateien aufgeteilt wird:
Die Datei /etc/passwd enthält nur allgemeine Informationen und ist für alle Benutzer lesbar,
während die Datei mit den verschlüsselten Passworten (/etc/shadow) vor allen Zugriffen durch NichtRoot User geschützt ist. Damit können nur Programme, die unter root-Privilegien laufen, auf die
Passworte zugreifen, was ausreichend ist.
Maßnahmen: Es werden ausschließlich shadow password files eingesetzt. Der Einsatz von UnixImplementationen welche derartige shadow password files nicht unterstützen, ist ausgeschlossen.
2.3.2 Länge der Passworte
Die Zeichen können aus dem gesamten Zeichenvorrat, der mit einer Terminaltastatur erzeugt werden
kann, gewählt werden. Als realistische Schätzung wurde für die Zeitabschätzung in Tabelle C.1
angenommen, dass der Zeichenvorrat aus 96 verschiedenen Zeichen besteht. Sollte ein kurzes
Passwort gewählt werden, so kann dieses eventuell durch vollständige Suche (d.h. automatisiertes
Ausprobieren aller möglichen Kombinationen) erraten werden. Eine solche vollständige Suche wird
auch Brute-Force-Attack genannt. Es werden dabei systematisch alle Buchstabenkombinationen
verschlüsselt und mit dem gesuchten verschlüsselten Passwort verglichen.
Ein Passwort sollte daher mindestens 8 Zeichen lang sein und den möglichen Zeichenvorrat nutzen.
Es sollte möglichst immer aus einer Kombination von Klein-, Groß-, Buchstaben, Ziffern und
Sonderzeichen bestehen.
Maßnahmen: Die Auswahl von entsprechenden Passwörtern wird durch das Betriebssystem
unterstützt. Durch den Einsatz entsprechender Prüfalgorithmen wird sichergestellt, dass Passworte
eine Mindestlänge von 8 Zeichen mit mindestens einem Sonderzeichen haben.
11
2.3.3 Hinterlegung von Passworten
Von allen Linuxservern werden die Passwörter der lokalen Administratorenaccounts an zentraler
Stelle in verschlossenen Umschlägen deponiert. Im Notfall können dann diese Umschläge geöffnet
werden. Eine Öffnung der Umschläge ist zu dokumentieren (Datum, Wer hat Öffnung angeordnet,
Welche Aufgaben wurden durchgeführt). Im Anschluss sind die betroffenen Passwörter zu ändern
und in neuen Umschlägen zu hinterlegen. Dieses ist ebenfalls zu dokumentieren. Regelmässig
werden Überprüfungen durchgeführt, ob die Umschläge noch ordnungsgemäß verschlossen sind.
Diese Überprüfung ist ebenfalls zu dokumentieren.
2.3.4 Details zum Passwortalgorithmus
Bei der Anmeldung am System wird das vom Benutzer eingegebene Passwort mit dem Passwort aus
der lokalen Passwortdatenbank verglichen. Die einfachste Möglichkeit wäre nun, diese Passworte in
einer Datenbank zu speichern und direkt mit der Eingabe des Benutzers zu vergleichen. Dies ist aber
wenig zweckmäßig, wenn ein Benutzer eben diese Datenbank mit den Passworten im Klartext lesen
kann.
Der Passwortalgorithmus beschreibt das Verfahren, mit dem verhindert wird, dass aus dem in der
Datenbank gespeicherten Eintrag auf das Passwort zurückgeschlossen werden kann.
Linux verwendet zur sicheren Speicherung der Passworte ein Verschlüsselungsverfahren, das
gewährleistet, dass durch die Kenntnis des verschlüsselten Passwortes nicht auf das ursprüngliche
Passwort geschlossen werden kann.
Maßnahmen: Die Passworte werden mit der frei verfügbaren Funktion crypt() verschlüsselt. Crypt
benutzt eine leicht modifizierte Version des bekannten DES Algorithmus’. Konkret wird ein 64-bit
Block von Nullen mit dem Passwort des Benutzers als Schlüssel verschlüsselt. Die Modifikation des
DES-Algorithmus besteht darin, dass nicht nur der zu verschlüsselnde Block und der Schlüssel als
Parameter übergeben werden, sondern auch ein zufälliger 12-bit Wert, der sog. Salt. Die 12-bit
werden durch zwei Zeichen aus dem Bereich [A..Z], [a..z], [1..9] und [.,], die vor das eigentliche
Passwort in die Passwortdatei eingefügt werden, repräsentiert. Der Salt geht direkt in die
Verschlüsselung mit ein und sorgt dafür, dass ein Benutzerpasswort den 64-bit Block von Nullen auf
4096 verschiedene Arten verschlüsseln kann. Dieses hat zwei Effekte:
Zum einen werden Angriffe auf die Passwortdatenbank schwieriger, da es nicht mehr ausreicht, ein
Wörterbuch mit z.B. 100.000 Wörtern zu verschlüsseln, sondern es müssen, um die gleiche Menge
von Passworten testen zu können, 409.600.000 Einträge in dem Wörterbuch erzeugt werden, da
jedes Wort auf 4096 verschiedene Arten verschlüsselt werden muss.
Zum anderen werden für zwei Benutzer mit dem gleichen Passwort mit großer Wahrscheinlichkeit
unterschiedliche Einträge in der Passwortdatei erzeugt.
12
2.3.5 Erkennung schwacher Passworte
2.3.5.1 Nachträgliche Erkennung ungeeigneter Passworte
Da Passworte den Zugang zu einem Rechnersystem sichern, sind schwache, also leicht zu ratende
Passworte der erste Punkt, den ein Angreifer testen wird. Bei einem bestehenden System sollte in
regelmäßigen Abständen überprüft werden, ob die Benutzer schwache Passworte verwendet haben.
Relativ bekannt ist die Methode, eine gegebene Passwort-Datei mit Hilfe eines Programms zum
Ausprobieren von Passworten zu überprüfen.
Diese Methode hat diverse Nachteile. Da nur die verschlüsselten Passwort-Einträge zur Verfügung
stehen, muss jedes zu testende Wort ebenfalls verschlüsselt und anschließend mit dem
gespeicherten Eintrag verglichen werden. Dieses erfordert ein großes Maß an Rechenzeit. Ein
weiteres Problem ergibt sich aus der Zeitspanne zwischen der Wahl des Passwortes und der
Erkennung als „schwaches“ Passwort.
2.3.5.2 Erkennung „schwacher“ Passworte bei der Wahl
Eine effizientere Methode schwache Passworte zu finden ist, direkt bei der Eingabe zu prüfen, ob die
Passworte bestimmten Regeln genügen. Damit kann dann eine langwierige Suche, wie sie bei der
nachträglichen Erkennung nötig ist, umgangen werden.
Um den Benutzer bei der Wahl eines Passwortes zu unterstützen, kann man unter Linux das passwdProgramm durch das npasswd- Programm ersetzen, welches ein gewünschtes neues Passwort nach
vorgebbaren Regeln überprüft und dem Benutzer eventuell weitere Hilfestellungen gibt. Vorteilhaft
an dieser Methode ist, dass die Überprüfung des Passwortes anhand des Klartext-Passwortes sehr
effizient und zügig erfolgen kann.
13
2.4 Datenbanken
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
2.4.1 Oracle
2.4.1.1 Benutzer
Neue Benutzer werden durch ihren Vorgesetzten an den Verantwortlichen der DB-Gruppe gemeldet.
Jeder Datenbankbenutzer erhält ein eindeutiges Datenbanklogin. Beim ersten Login muss der Nutzer
sein Passwort ändern.
ALTER PROFILE DEFAULT LIMIT
PASSWORD_LIFE_TIME 180
PASSWORD_GRACE_TIME 10
PASSWORD_REUSE_TIME 1800
PASSWORD_REUSE_MAX UNLIMITED
FAILED_LOGIN_ATTEMPTS 3
PASSWORD_LOCK_TIME 1/1440
2.4.1.2 Profile
Jedem Datenbankbenutzer wird ein Profil zugeordnet. Dieses Profil umfasst die Definition eines
limitierten Speicherbereiches sowie einer begrenzten CPU-Nutzung. Dies verhindert ein Überlasten
des Systems.
ALTER PROFILE DEFAULT LIMIT
CPU_PER_SESSION 60000
LOGICAL_READS_PER_SESSION 1000
CONNECT_TIME 60
PRIVATE_SGA 102400
CPU_PER_CALL UNLIMITED
COMPOSITE LIMIT 60000000;
14
2.4.1.3 Passwort
Ein gültiges Passwort muss mindestens 8 Zeichen, davon mindestens ein numerisches oder ein
Sonderzeichen, besitzen. Zum Überprüfen des Passwortes wird eine geeignete Prozedur eingesetzt.
Die Gültigkeit eines Passwortes wird auf 60 Tage gesetzt, danach bleiben dem Nutzer 10 Tage sein
Passwort zu ändern.
Wird bei einem Anmeldeversuch dreimal ein falsches Passwort eingegeben, wird der Nutzer gesperrt.
Die Sperre wird automatisch 10 Minuten später wieder aufgehoben. Durch diese Maßnahme wird
der Einsatz von Passwortcrack-Programmen erschwert. Gleichzeitig werden alle erfolglosen
Anmeldeversuche aufgezeichnet.
2.4.1.4 Rollen
Das Verwenden von Rollen ermöglicht eine übersichtlichere Vergabe und Definition von
Benutzerrechten.
Hierbei werden einerseits bereits vordefinierte Rollen (CONNECT, RESOURCE, DBA), sowie
anwendungsspezifische Rollen unterschieden.
2.4.1.4.1 Vordefinierte Rollen
Die vordefinierten Rollen umfassen folgende Rechte:
CONNECT

ALTER SESSION,

CREATE CLUSTER,

CREATE DATABASE LINK,

CREATE SEQUENCE,

CREATE SESSION,

CREATE SYNONYM,

CREATE TABLE,
RESOURCE

CREATE CLUSTER,

CREATE INDEXTYPE,
15

CREATE OPERATOR,

CREATE PROCEDURE,

CREATE SEQUENCE,

CREATE TABLE,

CREATE TRIGGER,

CREATE TYPE
DBA
Alle Rechte mit ADMIN OPTION.
2.4.1.4.2 Anwendungsspezifische Rollen
Bei den anwendungsspezifischen Rollen unterscheiden wir:

Administrator:
darf innerhalb einer Studie alle Daten eingeben, abfragen,
ändern und löschen sowie Tabellen, Views, Prozeduren und
Funktionen anlegen, ausführen und löschen

Dokumentar:
darf alle Daten eingeben, abfragen und ändern, sowie alle
Prozeduren und Funktionen ausführen

Dateneingabe:
darf alle Daten eingeben, das Abfragen und Ändern von Daten kann
gegebenenfalls nur in einem bestimmten Zeitrahmen (z.B. am selben
Tag) gestattet sein

Biometriker:
darf alle Daten abfragen und ändern

Randomisation:
darf nur Daten eingeben und abfragen, die für die Randomisation
notwendig sind, sowie die dafür nötigen Prozeduren und Funktionen
ausführen

Ansicht:
darf alle Daten nur lesen, für Doktoranden etc.
Diese Rechte werden studienspezifisch in Rollen festgelegt und dem entsprechend dazu berechtigten
Benutzer zugeordnet.
16
17
3 Datenträgeraustausch
3.1 Beschreibung
Betrachtet wird der Austausch von Datenträgern zur Datenübertragung zwischen nicht vernetzten ITSystemen. Berücksichtigte Datenträger sind USB-Sticks, Disketten, Wechselplatten (magnetisch,
magneto-optisch), CDs, Magnetbänder und Kassetten. Daneben wird auch die Speicherung der Daten
auf dem Sender- und Empfänger-System, soweit es in direktem Zusammenhang mit dem
Datenträgeraustausch steht, sowie der Umgang mit den Datenträgern vor bzw. nach dem Versand
berücksichtigt.
3.2
Gefährdungslage
Im Rahmen des Austausches von Datenträgern werden folgende typische Gefährdungen
angenommen:
3.2.1 Höhere Gewalt:



Unzulässige Temperatur und Luftfeuchte
Staub, Verschmutzung
Datenverlust durch starke Magnetfelder beim Transport
3.2.2 Organisatorische Mängel:





Fehlende, ungeeignete, inkompatible Betriebsmittel
Nicht fristgerecht verfügbare Datenträger
Mangelhafte Kennzeichnung der Datenträger
Ungeordnete Zustellung der Datenträger
Unzureichendes Schlüsselmanagement bei Verschlüsselung
3.2.3 Menschliche Fehlhandlungen:




Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer
Nichtbeachtung von IT-Sicherheitsmaßnahmen
Verlust der Datenträger beim Versand
Übertragung falscher oder nicht gewünschter Datensätze
3.2.4 Technisches Versagen:

Defekte Datenträger
3.2.5 Vorsätzliche Handlungen:

Manipulation/Zerstörung von IT-Geräten und Zubehör
18





Manipulation an Daten oder Software
Diebstahl/Unberechtigte IT-Nutzung
Computer-Viren
Unberechtigtes Kopieren der Datenträger
Makro-Viren
3.3 Maßnahmen
3.3.1 Infrastruktur:
3.3.1.1 Sichere Aufbewahrung der Datenträger vor und nach Versand
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer, Poststelle
Vor dem Versand eines Datenträgers wird gewährleistet, dass für den Zeitraum zwischen dem
Speichern der Daten auf dem Datenträger und dem Transport ein ausreichender Zugriffsschutz
besteht. Nach dem Schreiben der zu übermittelnden Daten auf den Datenträger werden diese bis
zum Transport in entsprechenden Behältnissen (Schrank, Tresor) verschlossen aufbewahrt. Die für
den Transport oder für die Zustellung Verantwortlichen (z. B. Poststelle) werden auf sachgerechte
und sichere Aufbewahrung und Handhabung des Datenträgers hingewiesen.
3.3.2 Organisation:
3.3.2.1 Datenträgerverwaltung
Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: Archivverwalter, IT-Verfahrensverantwortlicher
Aufgabe der Datenträgerverwaltung als Teil der Betriebsmittelverwaltung ist es, den Zugriff auf
Datenträger im erforderlichen Umfang und in angemessener Zeit gewährleisten zu können.
3.3.2.1.1 Bestandsverzeichnisse
Über den gesamten Bestand der archivierten Backupbänder wird eine Liste geführt, welche Aussage
über das Datum des Backups, den Inhalt des Backups, den Ort der Einlagerung und die geplante
Aufbewahrungsdauer gibt. Siehe hierzu auch Datensicherungskonzept.
Für weitere Datenträger werden keine Bestandsverzeichnisse geführt, ausgenommen davon sind
Softwareverzeichnisse.
3.3.2.1.2 Kennzeichnung
Die entsprechenden Backupbänder werden eindeutig gekennzeichnet. Hierzu gehört eine eindeutige
Nummerierung welche eine schnelle Identifizierung erlaubt. Diese Kennzeichnung erlaubt jedoch
keinen Rückschluss auf den Inhalt. Siehe hierzu auch Datensicherungskonzept.
19
3.3.2.1.3 Aufbewahrung
Die Aufbewahrung der Backupmedien erfolgt entsprechend dem Datensicherungskonzept in einem
verschlossenen, brandschutzsicheren Stahlschrank im Bereich des Serverraums. Siehe hierzu auch
Datensicherungskonzept.
Der Versand oder Transport von Datenträgern muss in der Weise erfolgen, dass eine Beschädigung
der Datenträger möglichst ausgeschlossen werden kann (z. B. Magnetbandversandtasche,
luftgepolsterte Umschläge). Die Verpackung des Datenträgers ist an seiner Schutzbedürftigkeit
auszurichten (z. B. mittels verschließbaren Transportbehältnissen). Versand- oder Transportarten (z.
B. Kuriertransport) müssen ebenso festgelegt werden wie das Nachweisverfahren über den Versand
(z. B. Begleitzettel, Versandscheine) und den Eingang beim Empfänger (z. B. Empfangsbestätigung).
Der Datenträger darf über die zu versendenden Daten hinaus, keine "Restdaten" enthalten. Dies
kann durch physikalisches Löschen erreicht werden. Stehen hierzu keine Werkzeuge zur Verfügung,
so sollte der Datenträger zumindest formatiert werden. Dabei sollte sichergestellt werden, dass mit
dem zugrundeliegenden Betriebssystem eine Umkehr des Befehls nicht möglich ist. Weiterhin ist zu
beachten, dass vor Abgabe wichtiger Datenträger eine Sicherungskopie erstellt wird.
Für den Fall, dass von Dritten erhaltene Datenträger eingesetzt werden, sind Regelungen über deren
Behandlung vor dem Einsatz zu treffen. Werden zum Beispiel Daten für PCs übermittelt, sollte
generell ein Computer-Viren-Check des Datenträgers erfolgen. Dies gilt entsprechend auch vor dem
erstmaligen Einsatz neuer Datenträger. Es ist empfehlenswert, nicht nur beim Empfang, sondern
auch vor dem Versenden von Datenträgern diese auf Computer-Viren zu überprüfen. Siehe hierzu
auch Virenschutzkonzept.
Eine geregelte Vorgehensweise für die Löschung oder Vernichtung von Datenträgern verhindert den
Missbrauch der gespeicherten Daten. Vor der Wiederverwendung von Datenträgern muss die
Löschung der gespeicherten Daten vorgenommen werden
3.3.2.2 Festlegung der möglichen Kommunikationspartner
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement, Datenschutzbeauftragter
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Sollen Informationen an einen Kommunikationspartner übertragen werden, so muss sichergestellt
werden, dass der Empfänger die notwendigen Berechtigungen zum Weiterverarbeiten dieser
Informationen besitzt. Werden Informationen zwischen mehreren kommunizierenden Stellen
ausgetauscht, so soll für alle Beteiligten ersichtlich sein, wer diese Informationen ebenfalls erhalten
hat bzw. erhalten wird. Um die oben genannten Kriterien zu erfüllen, bedarf es einer Festlegung,
welche Kommunikationspartner welche Informationen erhalten dürfen.
20
3.3.2.3 Ausreichende Kennzeichnung der Datenträger beim Versand
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer, Operator
Neben den in Maßnahmekatalog dargestellten Umsetzungshinweisen ist bei einer ausreichenden
Kennzeichnung von auszutauschenden Datenträgern darauf zu achten, dass Absender und (alle)
Empfänger unmittelbar zu identifizieren sind. Die Kennzeichnung muss den Inhalt des Datenträgers
eindeutig für den Empfänger erkennbar machen. Es ist jedoch bei schützenswerten Informationen
wichtig, dass diese Kennzeichnung für Unbefugte nicht interpretierbar ist.
Darüber hinaus sollten die Datenträger mit den für das Auslesen notwendigen Parametern
gekennzeichnet werden.
3.3.2.4 Sichere Verpackung der Datenträger
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer, Poststelle
Neben den in Maßnahmekatalog dargestellten Umsetzungshinweisen sollte die Verpackung
dergestalt sein, dass Manipulationen am Datenträger durch Veränderungen an der Verpackung
erkennbar sind.
Mögliche Maßnahmen sind die Verwendung von



Umschlägen mit Siegel,
verplombten Behältnissen oder
Umschlägen, die mit Klebefilm überklebt und anschließend mit nichtwasserlöslicher Tinte
mehrmals unregelmäßig überzeichnet werden.
Verfügt der Datenträger über einen Schreibschutz (Schieber bei Disketten, Schreibring bei Bändern)
so sollte dieser genutzt werden. Sollen Manipulationen an den Informationen auf dem Datenträger
selbst erkannt werden, sind Verschlüsselungs- oder Checksummenverfahren einzusetzen (siehe
Maßnahmen Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen).
3.3.2.5 Regelung des Datenträgeraustausches
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer, Poststelle, Operator
Sollen zwischen zwei oder mehreren Kommunikationspartnern Datenträger ausgetauscht werden, so
sind zum ordnungsgemäßen Austausch folgende Punkte zu beachten:
21


Die Adressierung muss eindeutig erfolgen, um eine fehlerhafte Zustellung zu vermeiden. So
muß neben dem Namen des Empfängers auch Organisationseinheit und die genaue
Bezeichnung der Behörde/des Unternehmens angegeben sein. Entsprechendes gilt für die
Adresse des Absenders.
Dem Datenträger sollte (optional) ein Datenträgerbegleitzettel beigelegt werden, der
folgende Informationen umfasst:
o Absender,
o Empfänger,
o Art des Datenträgers,
o Seriennummer (soweit vorhanden),
o Identifikationsmerkmal für den Inhalt des Datenträgers,
o Datum des Versandes, ggf. Datum bis wann der Datenträger spätestens den
Empfänger erreicht haben muss,
o Hinweis, dass Datenträger auf Viren überprüft sind,
o Parameter, die zum Lesen der Informationen benötigt werden, z. B.
Bandgeschwindigkeit.
Jedoch darf nicht vermerkt werden,
o



welches Passwort für die eventuell geschützten Informationen vergeben wurde,
o welche Schlüssel ggf. für eine Verschlüsselung der Informationen verwendet wurde,
o welchen Inhalt der Datenträger hat.
Der Versand des Datenträgers muß dokumentiert werden. Für jede stattgefundene
Übermittlung ist in einem Protokoll festzuhalten, wer wann welche Informationen erhalten
hat. Je nach Schutzbedarf beziehungsweise Wichtigkeit der übermittelten Informationen ist
der Empfang zu quittieren ein Quittungsvermerk und dem erwähnten Protokoll beizufügen.
Es sind jeweils Verantwortliche für den Versand und für den Empfang zu benennen.
Die Versandart ist festzulegen.
3.3.2.6 Geeignetes Schlüsselmanagement
Siehe Kryptokonzept.
3.3.3 Personal
3.3.3.1 Einweisung des Personals in den geregelten Ablauf eines Datenträgeraustausches
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Mangelnde Information und Einweisung der Mitarbeiter führt in vielen Fällen dazu, dass
Restriktionen der Informationsweitergabe nicht oder nur unzulänglich eingehalten werden. Die
Festlegungen, welchen Kommunikationspartnern wann welche Daten übermittelt werden dürfen (
Maßnahme Festlegung der möglichen Kommunikationspartner ), ist den an einem
Datenträgeraustausch Beteiligten daher zwingend bekannt zu geben. Außerdem sind die prinzipiellen
22
Schritte für den Ablauf eines Datenträgeraustausches zu fixieren (eventuell als Dienstanweisung) und
die Mitarbeiter zur Einhaltung zu verpflichten.
Zusätzlich ist eine Sensibilisierung der am Datenträgeraustausch beteiligten Mitarbeiter hinsichtlich
möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen vor, während und nach dem
Transport der Datenträger notwendig.
Werden bestimmte IT-gestützte Verfahren zum Schutz der Daten während des Austausches
eingesetzt (wie etwa Verschlüsselung oder Checksummenverfahren), so sind diese Mitarbeiter in die
Handhabung dieser Verfahren ausreichend einzuarbeiten.
3.3.4 Hardware/Software:
3.3.4.1 Physikalisches Löschen der Datenträger vor und nach Verwendung
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Verfahrensverantwortlicher
Neben den in Maßnahme Sicheres Löschen von Datenträgern enthaltenen Hinweisen zur Löschung
oder Vernichtung von Datenträgern sind für den Datenträgeraustausch folgende Punkte zu beachten:
Magnetische Datenträger, die für den Austausch bestimmt sind, müssen vor dem Beschreiben mit
den zu übermittelnden Informationen physikalisch gelöscht werden. Es soll damit sichergestellt
werden, dass keine Restdaten weitergegeben werden, für deren Erhalt der Empfänger keine
Berechtigung besitzt.
Eine für den mittleren Schutzbedarf ausreichende physikalische Löschung wird erreicht, indem der
komplette Datenträger oder zumindest die genutzten Bereiche mit einem bestimmten Muster
überschrieben werden. Möglich ist auch eine Formatierung des Datenträgers, wenn diese nicht
wieder rückgängig gemacht werden kann.
In der Regel sind die übertragenen Daten auch für den Empfänger schützenswert. Analog ist auch
hier nach dem Wiedereinspielen der Daten eine physikalische Löschung des Datenträgers
vorzusehen.
Auf den Einsatz von optischen Datenträger (hier: WORM) ist zum Zwecke des Datenaustausches dann
zu verzichten, wenn sich darauf weitere, nicht für den Empfänger bestimmte Informationen
befinden, die nicht gelöscht werden können.
3.3.4.2 Einsatz eines Viren-Suchprogramms bei Datenträgeraustausch und
Datenübertragung
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
23
Neben den in der Maßnahme Datenträgerverwaltung dargestellten Umsetzungshinweisen muß
unmittelbar vor und unmittelbar nach einer Datenübertragung sowie beim Austausch bzw. beim
Versand von Disketten oder anderen Datenträgern eine Viren-Überprüfung durchgeführt werden
(vgl. Maßnahme Einsatz von Viren-Suchprogrammen). Dabei ist darauf zu achten, dass das
eingesetzte Viren-Suchprogramm auch Makro-Viren erkennen kann. Siehe hierzu auch
Virenschutzkonzept.
Ein Protokoll der Absender-Überprüfung sollte dem übermittelten Datenträger beigefügt oder einer
Datei, die elektronisch versandt wird, angehängt werden. Es empfiehlt sich, dieses Protokoll als Kopie
zu verwahren. Der Empfänger hätte anhand dieses Protokolls einen ersten Eindruck von der
Integrität der übermittelten Daten. Dies entbindet jedoch nicht von einer erneuten
Virenüberprüfung. Der Absender kann andererseits bei eventuellen Beschwerden bezüglich
Virenbefall der Daten plausibel machen, dass ein Befall bei ihm unwahrscheinlich war.
3.3.4.3 Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Werden vertrauliche Informationen oder Informationen mit hohem Integritätsanspruch übertragen
und besteht eine gewisse Möglichkeit, dass diese Daten Unbefugten zur Kenntnis gelangen, von
diesen manipuliert werden oder durch technische Fehler verändert werden können, muß ein
kryptographisches Verfahren zum Schutz der Daten für den Transport oder die Übermittlung in
Betracht gezogen werden.
3.3.4.3.1 Vertraulichkeitsschutz durch Verschlüsselung
Für die Übertragung vertraulicher Informationen bedarf es deren Verschlüsselung. Das
entscheidende Merkmal eines Verschlüsselungsverfahrens ist die Güte des Algorithmus sowie der
Schlüsselauswahl. Ein anerkannter Algorithmus, der für den mittleren Schutzbedarf ausreicht, ist der
Tripel-DES, der auf dem Data Encryption Standard (DES) basiert.
Um den Anforderungen der Vertraulichkeit der zu übertragenden Informationen zu entsprechen,
müssen das IT-System des Absenders und des Empfängers den Zugriffsschutz auf das
Verschlüsselungsprogramm ausreichend gewährleisten. Ggf. sollte dieses Programm auf einem
auswechselbaren Datenträger gespeichert, in der Regel verschlossen aufbewahrt und nur bei Bedarf
eingespielt/genutzt werden.
3.3.4.3.2 Integritätsschutz durch Checksummen, Verschlüsselung oder Digitaler
Signaturbildung
Ist für den Datenaustausch lediglich die Integrität der zu übermittelnden Daten sicherzustellen, muss
unterschieden werden, ob ein Schutz nur gegen zufällige Veränderungen, z. B. durch
Übertragungsfehler, oder auch gegen Manipulationen geleistet werden soll. Sollen ausschließlich
zufällige Veränderungen erkannt werden, können Checksummen-Verfahren (z. B. Cyclic Redundancy
24
Checks) oder fehlerkorrigierende Codes zum Einsatz kommen. Schutz gegenüber Manipulationen
bieten darüber hinaus Verfahren, die unter Verwendung eines symmetrischen
Verschlüsselungsalgorithmus (z. B. DES) aus der zu übermittelnden Information einen so genannten
Message Authentication Code (MAC) erzeugen. Andere Verfahren bedienen sich eines
asymmetrischen Verschlüsselungsalgorithmus (z. B. RSA) in Kombination mit einer Hashfunktion und
erzeugen eine "Digitale Signatur". Die jeweiligen erzeugten "Fingerabdrücke" (Checksumme,
fehlerkorrigierende Codes, MAC,
Digitale Signatur) werden zusammen mit der Information an den Empfänger übertragen und können
von diesem überprüft werden.
Für die Übermittlung oder den Austausch ggf. notwendiger Schlüssel sei hier auf Maßnahme
Geeignetes Schlüsselmanagement verwiesen. Weitere Informationen zum Einsatz kryptographischer
Verfahren und Produkte finden sich in Kapitel Kryptokonzept.
3.3.4.4 Verifizieren der zu übertragenden Daten vor Versand
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Vor dem Versenden des Datenträgers ist dieser darauf zu überprüfen, ob die gewünschten
Informationen - und auch nur diese - vom Datenträger rekonstruierbar sind.
Um die korrekte Übertragung zum Datenträger zu überprüfen, kann ein Programm eingesetzt
werden, dass die ursprüngliche mit der übertragenen Datei zeichenweise vergleicht (auf einem PC
unter DOS z. B. mittels des Befehls comp).
Auch sollten alle Dateien des Datenträgers aufgelistet werden (z. B. mit dir unter DOS oder ls unter
Unix), um sicherzustellen, dass nur für den Empfänger bestimmte Dateien auf diesem Datenträger
enthalten sind.
Befanden sich vorher andere Daten auf diesem Datenträger, so sind diese physikalisch zu löschen (
Maßnahme Physikalisches Löschen der Datenträger vor und nach Verwendung).
3.3.4.5 Prüfung eingehender Dateien auf Makro-Viren
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Eingehende Dateien im Wege des Datenträgeraustausch oder bei elektronischer Übermittlung sind
einer Viren-Prüfung zu unterziehen. Dies gilt nicht nur für reguläre Programm-Dateien, sondern auch
für solche Dateien, die mittels Anwendungsprogrammen, die eine Makrosprache verwenden können,
erstellt wurden.
Sofern ein aktuelles Viren-Schutzprogramm eingesetzt wird, das auch Makro-Viren erkennt, kann auf
weitere Maßnahmen verzichtet werden. Darüber hinaus kann eine Testumgebung sinnvoll sein, um
25
übersandte Dateien mit dem jeweiligen Anwendungsprogramm auf Makro-Viren zu untersuchen.
Alternativ besteht die Möglichkeit, empfangene Dateien mit einem Editor zu bearbeiten, der die
Datei in ein Format umwandelt, in dem die Makros nicht ablauffähig sind. Die empfangenen Dateien
können auch mit so genannten Viewern geöffnet werden, die es kostenlos für die Darstellung der
verbreitetsten Dateiformate gibt und die ebenfalls die Ausführung von Makros nicht zulassen.
Dokumente sollten möglichst nur im RTF-Format nach außen gegeben werden, da hierzu keine
Makrosprache existiert und damit keine Gefahr von Makro-Viren besteht. Die Umwandlung nach RTF
ist im Allgemeinen ohne nennenswerte Qualitätsverluste möglich.
Als weitere Vorbeugung werden die Benutzer darauf hingewiesen, wie sie die automatische
Ausführung möglicherweise vorhandener Makros verhindern können.
Bei der Verwendung des RTF-Formats ist jedoch zu beachten, dass damit unter bestimmten
Voraussetzungen der Makrovirus-Schutz von Microsoft Word umgangen werden kann. (Bekannte
Viren werden jedoch von aktuellen Viren-Schutzprogrammen gefunden.) Für RTF existiert keine
Makrosprache, es können jedoch Verknüpfungen mit Dokumentenvorlagen (DOT) eingebettet sein,
die ihrerseits Makros enthalten können. Wird eine solche RTF-Datei geöffnet und ist die
Dokumentvorlage ebenfalls im Zugriff, führt Microsoft Word in der Dokumentenvorlage evtl.
enthaltene Makros ohne Rückfrage aus. Betroffen sind die Versionen Word 97, 98, 2000 und 2001
(Mac). Patches zur Behebung dieser Schwachstelle sind für die US-Versionen von Word verfügbar
(siehe Microsoft Security Bulletin MS01-028), für internationale Versionen sind sie angekündigt.
Diese Patches sollten installiert werden. Als zusätzliche Sicherheitsmaßnahme kann ein nicht Makrofähiges Viewer-Programm zur Anzeige von RTF-Dateien verwendet werden.
3.3.5 Kommunikation:
3.3.5.1 Kompatibilitätsprüfung des Sender- und Empfängersystems
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Verfahrensverantwortlicher
Abhängig vom Grad der Kompatibilität von Empfänger- und Sendersystem lassen sich Informationen
mehr oder weniger zuverlässig per Datenträgeraustausch übertragen. Dabei sind je nach Komplexität
auszutauschender Daten unterschiedliche Anforderungen an die Kompatibilität zu stellen. Vor
Einrichtung eines regelmäßigen Datenträgeraustausches sollte daher die Übereinstimmung folgender
Eigenschaften überprüft werden, um im Vorfeld Inkompatibilitäten festzustellen und ggf. Abhilfe zu
schaffen:

Physikalisches Lesemedium:
Notwendige Voraussetzung ist die Übereinstimmung der physikalischen Lesemedien von
Empfänger- und Sendersystem. Dabei reicht aber mechanische Äquivalenz noch nicht aus, denn die
Nichtübereinstimmung von Parametern wie Geschwindigkeit bei Bändern oder Kapazität bei
Disketten kann zu Problemen führen.
26

Zeichencode (z. B. ASCII oder EBCDIC):
Stimmen Sender- und Empfängersystem im verwendeten Zeichencode überein, so sind mit Hilfe des
physikalischen Lesens einzelne Sektoren/Blöcke im Klartext lesbar, die unzusammenhängend auf
dem Datenträger verteilt sein können. Stimmen die verwendeten Zeichencodes nicht überein,
werden die übertragenen Daten falsch interpretiert.

Formatierung des Betriebs- bzw. Dateisystem des Datenträgers:
Verfügen beide Systeme darüber hinaus über das gleiche Betriebs- und Dateisystem oder sieht das
Empfängerbetriebssystem vor, Formatierungen anderer Betriebssystem zu lesen (einige UnixBetriebssysteme können DOS-Disketten einlesen), dann können alle Dateien, wie sie beim Absender
vorlagen, wiederhergestellt werden. Dies ist für Informationen ausreichend, die keiner weiteren
Formatierung,
wie
sie
von
den
meisten
Anwendungsprogrammen
(z.
B.
Textverarbeitungsprogrammen) vorgenommen werden, unterliegen.

Anwendungssoftware:
Wurden Anwendungsprogramme zur Erzeugung der zu übermittelten Dateien verwendet, ist auf
Versionsgleichheit dieser Programme zu achten, da die Dateiformate evtl. unterschiedlich sein
können. Die Versionsgleichheit muss nicht bestehen, wenn die Programmversionen aufwärts- bzw.
abwärtskompatibel sind.

IT-Sicherheitssoftware und IT-Sicherheitsparameter:
Werden darüber hinaus IT-Sicherheitsprodukte oder Schutzmechanismen bestimmter
Anwendungsprogramme (siehe Maßnahme Nutzung der in Anwendungsprogrammen angebotenen
Sicherheitsfunktionen ) verwendet, so ist die Kompatibilität dieser Produkte sicherzustellen. Über die
verwendeten Schlüssel oder Passworte müssen sich Absender und Empfänger auf geeignetem Wege
verständigen.
Treten Inkompatibilitäten auf, so sind zusätzliche Vorkehrungen bzw. Produkte bereitzustellen, die
eine entsprechende Konvertierung vorsehen, oder die Absender- und Empfängersysteme sind
identisch auszustatten.
3.3.5.2 Auswahl einer geeigneten Versandart für den Datenträger
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Neben den in der Maßnahme Datenträgerverwaltung dargestellten Umsetzungshinweisen sollte sich
die Versandart der Datenträger am Gefährdungspotential orientieren. Hinsichtlich Verfügbarkeit ist
die Versandart derart auszuwählen, dass eine rechtzeitige Zustellung garantiert werden kann. Je
mehr Personen mit der Beförderung befasst und je länger die Zeiten sind, in denen der Datenträger
unbeaufsichtigt bleibt, desto weniger kann im allgemeinen die Vertraulichkeit und Integrität
garantiert werden. Dementsprechend sind angemessene Versandarten auszuwählen.
27
Man kann dabei z. B. zwischen folgenden Versandarten wählen:





Deutsche Post AG,
Deutsche Bahn AG,
Kurierdienste,
persönlicher Kurier und
persönliche Übergabe.
3.3.6 Notfallvorsorge:
3.3.6.1 Sicherungskopie der übermittelten Daten
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Sind die zu übertragenden Daten nur zum Zweck der Datenübertragung erstellt bzw.
zusammengestellt worden und nicht auf einem weiteren Medium gespeichert, muß eine
Sicherungskopie dieser Daten vorgehalten werden. Bei Verlust oder Beschädigung des Datenträgers
kann der Versand mit geringfügigem Aufwand erneut erfolgen.
28
4
Datenübertragungs- und Datenspeicherrichtlinien
4.1 Kryptokonzept
4.1.1 Beschreibung
Dieser Baustein beschreibt eine Vorgehensweise, wie in einer heterogenen Umgebung sowohl die
lokal gespeicherten Daten als auch die zu übertragenen Daten wirkungsvoll durch kryptographische
Verfahren und Techniken geschützt werden können. Dazu wird beschrieben, wie und wo in einer
heterogenen Umgebung kryptographische Verfahren und die entsprechenden Komponenten
eingesetzt werden können. Da beim Einsatz kryptographischer Verfahren sehr viele komplexe
Einflussfaktoren zu betrachten sind, sollte hierfür ein Kryptokonzept erstellt werden.
In diesem Baustein wird daher beschrieben, wie ein Kryptokonzept erstellt werden kann. Beginnend
mit der Bedarfsermittlung und der Erhebung der Einflussfaktoren geht es über die Auswahl
geeigneter kryptographischer Lösungen und Produkte bis hin zur Sensibilisierung und Schulung der
Anwender und zur Krypto-Notfallvorsorge.
Dieser Baustein kann auch herangezogen werden, wenn nur ein kryptographisches Produkt für eines
der möglichen Einsatzfelder ausgewählt werden soll. Dann können einige der im folgenden
beschriebenen Schritte ausgelassen werden und nur die für das jeweilige Einsatzfeld relevanten Teile
bearbeitet werden.
Für die Umsetzung dieses Bausteins sollte ein elementares Verständnis der grundlegenden
kryptographischen Mechanismen vorhanden sein. Ein Überblick über kryptographische
Grundbegriffe findet sich in M 3.23 Einführung in kryptographische Grundbegriffe.
4.1.2 Gefährdungslage
Kryptographische Verfahren werden eingesetzt zur Gewährleistung von




Vertraulichkeit,
Integrität,
Authentizität und
Nichtabstreitbarkeit.
Daher werden für den IT-Grundschutz primär die folgenden Gefährdungen für kryptographische
Verfahren betrachtet:




Schlechte oder fehlende Authentikation
Integritätsverlust schützenswerter Informationen
Nichtanerkennung einer Nachricht
Vertraulichkeitsverlust schützenswerter Informationen
29
Werden kryptographische Verfahren eingesetzt, sollten für den IT-Grundschutz zusätzlich folgende
Gefährdungen betrachtet werden:
30
4.1.2.1 Organisatorische Mängel:




Fehlende oder unzureichende Regelungen
Unzureichende Kenntnis über Regelungen
Unzureichende Kontrolle der IT-Sicherheitsmaßnahmen
Unzureichendes Schlüsselmanagement bei Verschlüsselung
4.1.2.2 Menschliche Fehlhandlungen:



Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer
Verstoß gegen rechtliche Rahmenbedingungen beim Einsatz von kryptographischen
Verfahren
Fehlbedienung von Kryptomodulen
4.1.2.3 Technisches Versagen:




Software-Schwachstellen oder -Fehler (hier: schwache Verschlüsselungsverfahren)
Ausfall eines Kryptomoduls
Unsichere kryptographische Algorithmen
Fehler in verschlüsselten Daten
4.1.2.4 Vorsätzliche Handlungen:




Unautorisierte Benutzung eines Kryptomoduls
Manipulation eines Kryptomoduls
Kompromittierung kryptographischer Schlüssel
Gefälschte Zertifikate
4.1.3 Maßnahmen
Darüber hinaus sind im Bereich kryptographische Verfahren im wesentlichen die folgenden Schritte
durchzuführen:
1. Entwicklung eines Kryptokonzepts (siehe M 2.161)
Der Einsatz kryptographischer Verfahren wird von einer großen Zahl von Einflussfaktoren bestimmt.
Das IT-System, das Datenvolumen, das angestrebte Sicherheitsniveau und die
Verfügbarkeitsanforderungen sind einige dieser Faktoren. Daher sollte zunächst ein Konzept
entwickelt werden, in dem alle Einflussgrößen und Entscheidungskriterien für die Wahl eines
konkreten kryptographischen Verfahrens und der entsprechenden Produkte berücksichtigt werden
und das gleichzeitig unter Kostengesichtspunkten wirtschaftlich vertretbar ist.
2. Ermittelung der Anforderungen an die kryptographischen Verfahren
31
Es muss ein Anforderungskatalog erstellt werden, in dem die Einflussgrößen und die
Entscheidungskriterien beschrieben werden, die einem Einsatz von kryptographischen Verfahren
zugrunde liegen (siehe M 2.162 Bedarfserhebung für den Einsatz kryptographischer Verfahren und
Produkte und M 2.163 Erhebung der Einflußfaktoren für kryptographische Verfahren und Produkte).
Kryptographische Verfahren können auf den verschiedenen Schichten des ISO/OSI-Schichtenmodells
eingesetzt werden. Je nach den festgestellten Anforderungen oder Gefährdungen ist der Einsatz auf
bestimmten Schichten zu empfehlen (siehe auch M 4.90 Einsatz von kryptographischen Verfahren auf
den verschiedenen Schichten des ISO/OSI-Referenzmodells).
3. Auswahl geeigneter kryptographischer Verfahren (M 2.164)
Bei der Auswahl von kryptographischen Verfahren steht zunächst die Frage, ob symmetrische,
asymmetrische oder hybride Algorithmen geeignet sind, im Vordergrund und dann die
Mechanismenstärke. Anschließend sind geeignete Produkte zu bestimmen.
4. Auswahl eines geeigneten kryptographischen Produktes (M 2.165 Auswahl eines geeigneten
kryptographischen Produktes)
Nachdem alle Rahmenbedingungen bestimmt worden sind, muss ein Produkt ausgewählt werden,
das die im Kryptokonzept dargelegte Sicherheitsfunktionalität bietet. Ein solches Produkt, im
folgenden kurz Kryptomodul genannt, kann dabei aus Hardware, Software, Firmware oder aus einer
diesbezüglichen Kombination sowie der zur Durchführung der Kryptoprozesse notwendigen
Bauteilen wie Speicher, Prozessoren, Busse, Stromversorgung etc. bestehen. Ein Kryptomodul kann
zum Schutz von sensiblen Daten bzw. Informationen in unterschiedlichsten Rechner- oder
Telekommunikationssystemen Verwendung finden.
5. Geeigneter Einsatz der Kryptomodule (M 2.166 Regelung des Einsatzes von Kryptomodulen)
Auch im laufenden Betrieb müssen eine Reihe von Sicherheitsanforderungen an ein Kryptomodul
gestellt werden. Neben der Sicherheit der durch das Kryptomodul zu schützenden Daten geht es
schwerpunktmäßig auch darum, das Kryptomodul selbst gegen unmittelbare Angriffe und
Fremdeinwirkung zu schützen.
6. Die sicherheitstechnischen Anforderungen an die IT-Systeme, auf denen die kryptographischen
Verfahren eingesetzt werden, sind den jeweiligen systemspezifischen Bausteinen zu entnehmen. So
finden sich die Bausteine für Clients (inkl. Laptops) in Kapitel 5, die für Server in Kapitel 6.
7. Notfallvorsorge, hierzu gehören


die Datensicherung bei Einsatz kryptographischer Verfahren (siehe M 6.56), also die
Sicherung der Schlüssel, der Konfigurationsdaten der eingesetzten Produkte, der
verschlüsselten Daten,
die Informationsbeschaffung über sowie die Reaktion auf Sicherheitslücken.
32
Nachfolgend wird das Maßnahmenbündel für den Bereich "Kryptokonzept" vorgestellt. Auf eine
Wiederholung von Maßnahmen anderer Kapitel wird hier verzichtet.
33
4.1.4 Organisation
4.1.4.1 Entwicklung eines Kryptokonzepts
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Unternehmen und Behörden sind mittlerweile zunehmend von ihrer informationstechnischen
Infrastruktur abhängig. Aus diesem Grund sind Sicherheitsdienste erforderlich und in ein
Gesamtsystem zu integrieren, die über die bloße Verschlüsselung hinausgehen.
Aufgrund der Vielfalt kryptographischer Problemstellungen und unterschiedlicher Einflussfaktoren
gibt es auch vielfältige Lösungsansätze und Realisierungsmöglichkeiten. Man kann nicht davon
ausgehen, dass es eine Lösung gibt, die alle Sicherheitsprobleme in Rechnernetzen und/oder
Kommunikationssystemen beseitigen kann. Vielmehr kommt es auf ein abgestimmtes
Zusammenspiel passend ausgewählter Komponenten an, um den benötigten Grad an Sicherheit zu
erreichen. Daher ist es erforderlich, ein Kryptokonzept zu entwickeln, das in das ITSicherheitskonzept der Behörde bzw. des Unternehmens integriert wird.
Die Auswahl geeigneter kryptographischer Komponenten muss dabei auf diesem Konzept basieren.
Dabei ist das Schlüsselmanagement ein kritisches Element im gesamten Kryptokonzept. Konzepte
und Lösungsansätze können nur dann erfolgreich erarbeitet und gezielt umgesetzt werden, wenn
deutlich wird, welche speziellen Sicherheitsfunktionalitäten bzw. Sicherheitsdienste benötigt werden.
Darüber hinaus gibt es eine Reihe systemrelevanter Fragestellungen und Aspekte, die nicht speziell in
den Bereich der Sicherheitstechnik fallen. Dies umfaßt z. B. Performanceanforderungen,
Systemanbindungs- oder Interoperabilitäts- und Standardkonformitätsanforderungen.
34
Abb.: Sichtweisen und Aspekte bei der Auswahl kryptographischer Verfahren und Komponenten
In vernetzten IT-Infrastrukturen ist es nicht mehr ausreichend, die Sicherheit einer einzelnen Domäne
zu gewährleisten. Vielmehr muss die Sicherheit aller beteiligten Endeinrichtungen und
Übertragungssysteme aufeinander abgestimmt werden. Diese Abstimmung gestaltet sich
insbesondere in solchen Fällen als besonders schwierig, in denen es sich nicht nur um vernetzte
Einrichtungen innerhalb einer organisatorischen Einheit (z. B. LAN-Umgebung), sondern um einen
Verbund von IT-Installationen unterschiedlicher Zuständigkeits- und Anwendungsbereiche handelt.
Der Einsatz - aber auch die Funktionalität und technologische Ausgestaltung - eines ITSicherheitssystems wird von zahlreichen Einflussfaktoren bestimmt, wie z. B. Lokalisierung,
Sicherheitsniveau, Häufigkeit und Umfang der Anwendung, die für das IT-Sicherheitsmanagement
wichtige Rahmen- und Entscheidungsbedingungen darstellen. Desweiteren sind die technischen
Möglichkeiten für die Realisierung und Gestaltung eines IT-Sicherheitssystems vielfältig, z. B.
integriert in einer Applikation auf dem Arbeitsplatzrechner, in einer Firewall oder als
Spezialkomponente für Netzkomponenten wie Switch oder Router. Ein erschwingliches Preisniveau
für ein Kryptoprodukt ist nur durch eine querschnittliche Nutzbarkeit zu erzielen. Hier spielen z. B.
eine standardisierte Systemanbindung, einheitliche Einsatzbedingungen etc. eine wichtige Rolle. Ein
letzter Punkt betrifft das Zusammenwirken der Sicherheitsdienste auf unterschiedlichen
Protokollschichten. Die Sicherheitsdienste der höheren Protokollschichten (nach OSIReferenzmodell) schützen in aller Regel nur dann ausreichend, wenn die unteren Schichten ebenso
einen Schutz bieten (siehe M 4.90 ).
35
Desweiteren ist die Definition einer organisationseigenen Kryptopolitik wichtig. Dabei muss aus Sicht
des Managements geklärt werden,





welcher Schutzbedarf besteht bzw. welches Sicherheitsniveau es zu erreichen gilt,
welches Budget und wieviel Personal zur Verfügung stehen, um die geplanten
Sicherheitsmechanismen einzurichten und - ganz wichtig - auch den Betrieb zu
gewährleisten,
welche Systemanbindung angestrebt wird bzw. welche Einsatzbedingungen für
Sicherheitskomponenten vorherrschen,
welcher Funktions- und Leistungsumfang anzupeilen ist und
wer letztendlich die Verantwortung übernimmt.
Im Kryptokonzept ist außerdem der technische bzw. organisatorische Einsatz der kryptographischen
Produkte zu beschreiben, also z. B.






wer welche Zugriffsrechte erhält,
welche Dienste remote angeboten werden,
wie die Verwaltung von Paßwörtern und Schlüsseln bezüglich Gültigkeitsdauer, Verwendung
von Zeichen, Länge, Vergabe gehandhabt werden soll,
ob, wann und wie die Daten verschlüsselt oder signiert werden müssen,
wer mit wem kryptographisch gesichert bzw. ungesichert kommunizieren darf,
wer bestimmte Rechte vergeben darf, u.s.w.
In Abhängigkeit von den systemtechnischen Rahmenbedingungen bezüglich



des zu betrachtenden Datenvolumens und der Zeitabhängigkeit,
der Verfügbarkeitsanforderungen und Gefährdungslage,
Art und Häufigkeit der zu schützenden Anwendungen etc.
können darauf basierend geeignete Realisierungsmöglichkeiten analysiert und für konkrete
Einsatzbereiche wie z. B. einen PC-Arbeitsplatz, im LAN-Bereich oder in Verbindung mit einer TKAnlage konzipiert und technisch ausgestaltet werden. Nur aufgrund einer solch ganzheitlichen
Betrachtungsweise gelingt es, Entscheidungsgrundlagen und -bedingungen für kryptographische
Produkte zusammenzutragen, deren Einsatz bzw. Verwendung sowohl sicherheitstechnisch
angemessen als auch wirtschaftlich vertretbar ist. Es sollte jedoch darauf hingewiesen werden, dass
die vorgenommene Einteilung keinesfalls zwingend oder von grundsätzlicher Bedeutung sondern
bestenfalls hilfreich ist. Wesentlich ist nur, dass der Fragenumfang die Vorstellung nach einer
möglichst umfassenden Klärung der Ausgangslage konsequent widerspiegelt. Natürlich ergeben sich
in der Praxis zwischen einigen Fragestellungen bzw. Antworten Wechselwirkungen und
Abhängigkeiten, die im allgemeinen allerdings zur Vervollständigung des Gesamtbildes beitragen.
Die diversen Einflussgrößen für den Einsatz kryptographischer Verfahren sind zu bestimmen und
nachvollziehbar zu dokumentieren (siehe M 2.163 Erhebung der Einflussfaktoren für
kryptographische Verfahren und Produkte). Anschließend muss eine geeignete Verfahrensweise für
36
ihren Einsatz entwickelt und dokumentiert werden. Zum Abschluß muss durch die Behörden- bzw.
Unternehmensleitung die Durchführung angeordnet werden.
4.1.5 Anlage Kryptokonzept
1. Definitionen


Kryptographische Verfahren
...
2. Gefährdungslage zur Motivation




Abhängigkeit der Institution vom Datenbestand
Typische Gefährdungen wie ...
Institutionsrelevante Schadensursachen
Schadensfälle im eigenen Haus
3. Festlegung einer organisationsinternen Sicherheitspolitik


Festlegung von Verantwortlichkeiten
Zielsetzung, Sicherheitsniveau
4. Einflussfaktoren
















Identifikation der zu schützenden Daten
Vertraulichkeitsbedarf der Daten
Integritätsbedarf der Daten
Verfügbarkeitsanforderungen an die Daten
Anforderungen an die Performance
Schlüsselverteilung
Datenvolumen
Art der Daten (lokal / verteilt (LAN/WAN) )
Art der Anwendungen, bei denen kryptographische Verfahren zum Einsatz kommen sollen
Häufigkeit des Einsatzes des kryptographischen Verfahrens
Anforderungen an die Widerstandsfähigkeit der Algorithmen bzw. Verfahren
(Manipulationsresistenz)
Wiederherstellbarkeit der gesicherten Daten
Personalaufwand
Erforderliche Funktionalität
Kosten einschließlich Folgekosten (Wartung, Administration, Updates, ...)
Kenntnisse und datenverarbeitungsspezifische Qualifikationen der IT-Benutzer
5. Festlegung des Einsatzes


Art der kryptographischen Verfahren
Einsatzbedingungen an die kryptographischen Produkte
37






Häufigkeit und Zeitpunkt des Einsatzes
Benennung der Verantwortlichen
Festlegung der organisatorischen Regelungen
Durchführung der personellen Maßnahmen (Schulung,
Verpflichtungen, Rollenzuteilung)
Dokumentation der Einsatzbedingungen / Konfiguration
Interoperabilität, Standardkonformität, Investitionsschutz
Vertretungsregelungen,
6. Schlüsselmanagement
Einzelne Punkte dieses Konzepts werden in den Maßnahmen M 2.162 Bedarfserhebung für den
Einsatz kryptographischer Verfahren und Produkte, M 2.163 Erhebung der Einflussfaktoren für
kryptographische Verfahren und Produkte, M 2.166 Regelung des Einsatzes von Kryptomodulen etc.
näher ausgeführt.
Bei der Erstellung eines Kryptokonzeptes handelt es sich nicht um eine einmalige Aufgabe, sondern
um einen dynamischen Prozeß. Ein Kryptokonzept muss daher regelmäßig den aktuellen
Gegebenheiten angepaßt werden.
4.1.6 Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administratoren, Verantwortliche der einzelnen IT- Anwendungen
Um bei der Verarbeitung und Übertragung sensitiver Informationen zu realistischen, verläßlichen und
anwendungsgerechten Bedarfsanforderungen und Rahmenbedingungen für den Einsatz
kryptographischer Verfahren und Produkte zu kommen, müssen zunächst die schützenswerten Daten
identifiziert und bewertet werden.
Identifikation der zu schützenden Daten
Zunächst muss festgestellt werden, für welche Aufgaben kryptographische Verfahren eingesetzt
werden sollen und welche Daten damit gesichert werden sollen. Der Einsatz kryptographischer
Verfahren kann aus verschiedenen Gründen erforderlich sein (siehe auch M 3.23 ):



zum Schutz der Vertraulichkeit bzw. der Integrität von Daten,
zur Authentisierung,
für Sende- oder Empfangsnachweise.
Je nach Einsatzzweck können verschiedene kryptographische Methoden wie z. B. Verschlüsselung
oder Hashverfahren sinnvoll sein. Die typischen Einsatzfelder für kryptographische Verfahren sind:
1. lokale Verschlüsselung,
2. Kommunikationssicherung, auf Anwendungsebene bzw. auf Übertragungsebene,
38
3. Authentikation,
4. Nichtabstreitbarkeit,
5. Integrität.
Im folgenden werden einige Beispiele aus den verschiedenen typischen Einsatzfeldern für
kryptographische Verfahren gegeben:





Auf einer PC-Festplatte befinden sich Daten, die vor unbefugtem Zugriff durch
Verschlüsselung geschützt werden sollen.
Es sollen Informationen über Telefon, Fax oder Datennetze weitergegeben werden, z. B.
sollen sie per E-Mail oder per Datenträgeraustausch versandt werden.
Die zu schützenden Informationen sind nicht unter alleiniger Kontrolle der verantwortlichen
Organisationseinheit (LAN führt durch Gebäudeteile, die von Fremdfirmen benutzt werden;
ein Server mit Personaldaten wird durch Mitarbeiter betreut, die nicht zum Personalreferat
gehören).
Remote-Zugriffe sollen durch eine starke Authentisierung abgesichert werden.
Bei E-Mails soll zweifelsfrei feststellbar sein, wer die Absender waren und ob die Inhalte
unverändert übertragen wurden.
Um festzustellen, welche kryptographischen Verfahren bzw. Produkte benötigt werden und welche
Daten damit zu schützen sind, sollte zunächst die aktuelle IT-Struktur ermittelt werden (siehe zur
Erfassung von IT-Systemen und Anwendungen auch Kapitel 2). Ermittelt werden sollte,


welche IT-Systeme es gibt, auf denen Daten verarbeitet bzw. gespeichert (PCs, Laptops,
Server, ...) oder mit denen Daten übermittelt werden (Bridge, Router, Gateway, Firewall, ...)
und
welche Übertragungswege es gibt. Dazu sollte die logische und physikalische
Vernetzungsstruktur erfaßt werden (siehe auch M 2.139 Ist-Aufnahme der aktuellen
Netzsituation).
Schutzbedarf der Daten (Vertraulichkeit, Integrität, Authentizität, Nichtabstreitbarkeit)
Es sollten alle Anwendungen bzw. Daten ermittelt werden, bei denen ein besonderer Anspruch an
Vertraulichkeit, Integrität, Authentizität bzw. Nichtabstreitbarkeit besteht (siehe Kapitel 2). Allerdings
werden nicht nur für IT-Systeme, Anwendungen oder Informationen mit höherem Schutzbedarf
kryptographische Produkte benötigt, sondern auch für solche mit mittlerem Schutzbedarf.
Beispiele für Daten mit besonderem Vertraulichkeitssanspruch sind




personenbezogene Daten,
Paßwörter und kryptographische Schlüssel,
vertrauliche Informationen, deren Veröffentlichung Regreßforderungen nach sich ziehen
könnte,
Daten, aus denen ein Konkurrenzunternehmen finanzielle Gewinne ziehen könnte,
39


Daten, ohne deren Vertraulichkeit die Aufgabenerfüllung gefährdet
Ermittlungsergebnisse, Standortregister über gefährdete Pflanzen),
Daten, deren Veröffentlichung eine Rufschädigung verursachen könnte.
ist
(z.
B.
Hinweis: Durch die Kumulation von Daten erhöht sich der Schutzbedarf einer Datensammlung, so
dass eine Verschlüsselung erforderlich sein kann, auch wenn deren einzelne Datensätze nicht so
sensitiv sind.
Beispiele für Daten mit besonderem Integritätsanspruch sind




finanzwirksame Daten, durch deren Manipulation finanzielle Schäden entstehen können,
Informationen, deren verfälschte Veröffentlichung Regreßforderungen nach sich ziehen
könnte,
Daten, deren Verfälschung zu falschen Geschäftsentscheidungen führen kann,
Daten, deren Verfälschung zu einer verminderten Produktqualität führen kann.
Ein Beispiel für Anwendungen mit besonderem Anspruch an Authentizität sind Remote- Zugriffe. Ein
Beispiel für Daten mit besonderem Anspruch an Nichtabstreitbarkeit sind Bestellungen oder
Reservierungen, bei denen der Besteller identifizierbar sein sollte.
Als Ergebnis der Schutzbedarfsfeststellung sollte festgelegt werden, welche Anwendungen oder
Daten kryptographisch gesichert werden sollen. Diese Festlegung kann später noch verfeinert
werden und sollte regelmäßig überarbeitet werden.
Als Resultat ergibt sich somit ein Überblick über alle Speicherorte und Übertragungsstrecken, die
kryptographisch gesichert werden müssen. Damit erhält man praktisch eine IT-Landschaftskarte mit
markierten Kryptobereichen.
Bedarfs- und Anforderungsabfrage
Als Hilfsmittel für eine derartige Bedarfserhebung bietet sich ein Fragenkatalog mit den in der
Abbildung dargestellten Gliederungspunkten an. Dabei können die technischen, organisatorischen
und wirtschaftlichen Aspekte jeweils in 4 weitere Unterkategorien aufgeteilt werden.
40
Abb: Gliederungsgesichtspunkte zur Erstellung eines Fragenkataloges
Bei den technischen Aspekten ist es unter „Benutzerdienste und Anwendungen&qout; beispielsweise
wichtig zu erfahren, ob vornehmlich Echtzeit- oder Nicht-Echtzeit-Daten betrachtet werden. In der
Kategorie Nutzungsprofil ist zu erfragen, für welche Anwendungen und Daten kryptographische
Verfahren eingesetzt werden sollen, z. B. für die externe Kommunikation oder für die kurzzeitige
oder längerfristige Bearbeitung von VS-Daten. Weiterhin sind die Netzinfrastruktur und das Endgerät
betreffende Informationen zu ermitteln, wie z. B. Anschlusskonfiguration.
Als organisatorische Aspekte sind der Einsatzbereich, d. h. Teilnehmer- oder Netzbereich; die Frage
nach einem existierenden Migrationskonzept sowie die Zeitvorstellungen und betrieblichen
Rahmenbedingungen des Endbenutzers zu betrachten.
Aus wirtschaftlicher Sicht sind die wesentlichen Punkte:



Rationalisierungsaspekte, z. B. durch Einsatz eines Produktes mit transparenter
Verschlüsselung statt manueller Ansteuerung,
eine Abschätzung im Hinblick auf Stückzahlen und Beschaffungskosten sowie
die zu erwartenden Administrations- und Wartungskosten.
Auf Basis dieser Abfrage kann ein möglichst praxisnahes Einsatz- und Anforderungskonzept erstellt
werden, was dann als Ausgangspunkt für konkrete Realisierungsentscheidungen bzw. die Auswahl
geeigneter Kryptokomponenten/-produkte (siehe M 2.165 Auswahl eines geeigneten
kryptographischen Produktes) dient.
41
Die hier vorgestellte Vorgehensweise soll dem Sicherheitsverantwortlichen helfen, den Einsatz und
den Umfang einzusetzender Sicherheitstechnik in unterschiedlichen Systemlokalitäten,
Netzübergängen und Endeinrichtungen festzustellen, zu bewerten und zu koordinieren. Ferner soll
im Verlauf der Planungsphase durch die Ermittlung des notwendigen Schutzes (Schutzbedarf) die
Frage nach Angemessenheit der IT-Sicherheit beantwortet werden. Die skizzierte Vorgehensweise
stellt einen pragmatischen Ansatz dar und berücksichtigt Sicherheitsaspekte in offenen, verteilten ITInfrastrukturen, so wie sie sich vielerorts darstellen.
Die so betrachteten Sicherheitsinvestitionen müssen für den betroffenen Einsatzbereich
wirtschaftlich vertretbar sein. Die Funktions- und Betriebsweise von realisierten Sicherheitsstrategien
müssen den Erwartungen der Endbenutzer hinsichtlich der Flexibilität, Transparenz und Performance
Rechnung tragen. Die geplanten und integrierten Sicherheitsdienste dürfen den Endbenutzer nicht
über das notwendige Maß hinaus einschränken.
4.1.7 Erhebung der Einflussfaktoren für kryptographische Verfahren und Produkte
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administratoren, Verantwortliche der einzelnen IT- Anwendungen
Bevor eine Entscheidung getroffen werden kann, welche kryptographischen Verfahren und Produkte
eingesetzt werden sollen, müssen eine Reihe von Einflussfaktoren ermittelt werden. Dazu können die
Systemadministratoren und die Verantwortlichen der einzelnen IT-Systeme bzw. IT- Anwendungen
befragt werden. Die Ergebnisse sind nachvollziehbar zu dokumentieren.
Für sämtliche in M 2.162 Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte
festgelegten Speicherorte und Übertragungsstrecken sind folgende Einflussfaktoren zu ermitteln:
Sicherheitsaspekte



Welcher Schutzbedarf besteht bzw. welches Sicherheitsniveau gilt es zu erreichen?
Welche kryptographischen Funktionen sind dafür notwendig (Verschlüsselung,
Integritätsschutz, Authentizität und/oder Nichtabstreitbarkeit)?
Angreiferpotential: Mit welchen Angreifern wird gerechnet (zeitliche und finanzielle
Ressourcen, technische Fähigkeiten)?
Die Antworten auf diese Fragen ergeben sich aus M 2.162 Bedarfserhebung für den Einsatz
kryptographischer Verfahren und Produkte.
Technische Aspekte
Der Betrieb von weitverzweigten IT-Infrastrukturen mit ihrer Vielzahl von Einzelkomponenten und
Spezialeinrichtungen (Netzknoten, Server, Datenbanken, etc.) macht ein ebenfalls weitverzweigtes
Sicherheitssystem mit mehreren Funktionseinheiten (Sicherheitsmanagement, Sicherheitsserver,
Sicherheitsanwenderkomponente, etc.)
erforderlich. In der
Regel müssen dabei
42
Systembetrachtungen angestellt werden, die nicht nur auf die eigentlichen Funktionalitäten abzielen,
sondern auch bauliche und organisatorische Aspekte einbeziehen. Auch in bezug auf die konkrete
technische Platzierung von Sicherheitskomponenten sowie deren Integration in NichtSicherheitskomponenten gilt es zu differenzieren, da dies einen unmittelbaren Einfluss auf die
Implementierung der Sicherheitsfunktionen, auf die notwendige Unterstützung durch die
Betriebssysteme, die Aufwände und den Kostenfaktor und nicht zuletzt auf die erreichbare Sicherheit
hat. Ganz entscheidend für die Sicherheitsbewertung ist der Umstand, an welchen geographischen
Lokalitäten und in welchen Ebenen des Protokollstacks die jeweiligen Sicherheitsdienste realisiert
sind und wie diese in die Prozesse des zu schützenden IT-Systems eingebunden sind. Somit ergeben
sich als Fragen:





Umfeldschutz: Welchen Schutz bietet das Umfeld (infrastrukturell (Zutritt), organisatorisch,
personell, technisch (Schutz durch Betriebssystem, ...))?
IT-Systemumfeld: Welche Technik wird eingesetzt, welche Betriebssysteme, etc.?
Datenvolumen: Welches Datenvolumen ist zu schützen?
Häufigkeit: Wie häufig besteht Kryptierbedarf?
Performance: Wie schnell müssen kryptographische Funktionen arbeiten (Offline, OnlineRate)?
Personelle und organisatorische Aspekte






Benutzerfreundlichkeit: Benötigen die Benutzer für die Bedienung kryptographische
Grundkenntnisse? Behindert der Einsatz eines Kryptoprodukts die Arbeit?
Zumutbarkeit: Wieviel Belastung durch zusätzliche Arbeit ist dem Anwender zumutbar
(Arbeitszeit, Wartezeit)?
Zuverlässigkeit: Wie zuverlässig werden die Benutzer mit der Kryptotechnik umgehen?
Schulungsbedarf: Inwieweit müssen die Benutzer geschult werden?
Personalbedarf: Ist zusätzliches Personal erforderlich, z. B. für Installation, Betrieb,
Schlüsselmanagement?
Verfügbarkeit: Kann durch den Einsatz eines Kryptoproduktes die Verfügbarkeit reduziert
werden?
Wirtschaftliche Aspekte

Finanzielle Randbedingungen: Wieviel darf der kryptographische Schutz kosten? Wie hoch
sind die
- einmaligen Investitionen,
- laufenden Kosten, inklusive der Personalkosten,
- Lizenzgebühren?

Investitionsschutz: Sind die geplanten kryptographischen Verfahren bzw. Produkte konform
zu bestehenden Standards? Sind sie interoperabel mit anderen Produkten?
43
Key Recovery
Falls die zur Verschlüsselung benutzten Schlüssel verloren gehen, sind im allgemeinen auch die damit
geschützten Daten verloren. Viele Kryptoprodukte bieten daher Funktionen zur
Datenwiedergewinnung für solche Fälle an. Bevor solche Funktionen eingesetzt werden, sollte man
sich auch deren Risiken klar machen: Wenn dadurch vertrauliche Schlüssel wiederhergestellt werden
können, muss sichergestellt sein, dass dies nur Berechtigte können. Wenn es möglich ist, ohne
Wissen des Original-Schlüsselbenutzers auf dessen Daten zuzugreifen, hat dieser keine Möglichkeit,
böswillige Manipulationen zu beweisen. Der Einsatz von Key Recovery Mechanismen führt auch
häufig aufgrund des entgegengebrachten Mißtrauens zu Vorbehalten innerhalb des eigenen
Unternehmens bzw. Behörde, aber auch bei den Kommunikationspartnern. Bei der
Datenübertragung sollte daher generell auf Key Recovery verzichtet werden. Hierfür gibt es auch
keine Notwendigkeit, da beim Schlüssel- oder Datenverlust diese einfach noch einmal ausgetauscht
werden können. Bei der lokalen Speicherung von Daten sollte der Einsatz sorgfältig überlegt werden
(siehe auch M 6.56 Datensicherung bei Einsatz kryptographischer Verfahren). Auf der CD-ROM zum
IT- Grundschutzhandbuch befindet sich im Verzeichnis Hilfsmittel ein Artikel zu Möglichkeiten und
Risiken des Key-Recovery.
Lebensdauer von kryptographischen Verfahren
Kryptographische Verfahren und Produkte müssen regelmäßig daraufhin überprüft werden, ob sie
noch dem Stand der Technik entsprechen. Die verwendeten Algorithmen können durch neue
technische Entwicklungen, z. B. schnellere, billigere IT-Systeme, oder durch neue mathematische
Erkenntnisse zu schwach werden. Die eingesetzten kryptographischen Produkte können
Implementierungsfehler aufweisen. Bereits bei der Auswahl kryptographischer Verfahren sollte
daher eine zeitliche Grenze für deren Einsatz festgelegt werden. Zu diesem Zeitpunkt sollte noch
einmal gründlich überdacht werden, ob die eingesetzten Kryptomodule noch den erwarteten Schutz
bieten.
44
Gesetzliche Rahmenbedingungen
Beim Einsatz kryptographischer Produkte sind diverse gesetzliche Rahmenbedingungen zu beachten.
In einigen Ländern dürfen beispielsweise kryptographische Verfahren nicht ohne Genehmigung
eingesetzt werden. Daher muss untersucht werden (siehe M 2.165 Auswahl eines geeigneten
kryptographischen Produktes),


ob innerhalb der zum Einsatzgebiet gehörenden Länder Einschränkungen beim Einsatz
kryptographischer Produkte zu beachten sind (innerhalb Deutschland gibt es keinerlei
Einschränkungen) und
ob für in Frage kommende Produkte Exportbeschränkungen beachtet werden müssen.
Es gibt allerdings nicht nur Maximalanforderungen, sondern auch Minimalanforderungen an die
verwendeten kryptographischen Algorithmen oder Verfahren. So müssen z. B. bei der Übermittlung
von personenbezogenen Daten Verschlüsselungsverfahren mit ausreichender Schlüssellänge
eingesetzt werden.
Technische Lösungsbeispiele:
Im folgenden finden sich einige Anwendungsbeispiele zu den verschiedenen Einsatzfeldern für
kryptographische Verfahren. Dabei ist zu sehen, dass die meisten Produkte gleich mehrere
Einsatzfelder abdecken.
Beispiel 1: Festplattenverschlüsselung
Die auf der Festplatte eines Stand-Alone-PC gespeicherten sensitiven Daten sollen so geschützt
werden, dass



der PC nur von autorisierten Nutzern gebootet werden kann,
nur autorisierte Nutzer Zugriff auf die gespeicherten Daten erhalten,
die gespeicherten Daten bei abgeschaltetem PC - auch im Falle des Diebstahls - hinreichend
vor Kenntnisnahme durch Unberechtigte geschützt sind.
Im Vordergrund soll hier der Schutz der Vertraulichkeit stehen. Dabei soll der PC gegen die folgenden
Bedrohungen geschützt werden:



Unbefugte Kenntnisnahme der auf der Festplatte gespeicherten Daten
Manipulation der auf der Festplatte gespeicherten Daten
Manipulation des Kryptosystems
Bei Diebstahl bzw. Verlust des PC oder der Festplatte steht dem Angreifer sehr viel Zeit für die
unbefugte Kenntnisnahme zur Verfügung. Eine Schutzmaßnahme muss auch bei solchen
Langzeitangriffen die Vertraulichkeit der gespeicherten Daten gewährleisten.
45
Als Schutzmaßnahme soll daher ein Produkt mit Bootschutz und Festplattenverschlüsselung
eingesetzt werden. Auf dem Markt sind verschiedene Lösungen verfügbar. Zum Einsatz kann
entweder eine Verschlüsselungs-Software (Lösung A), eine Verschlüsselungs-Hardware- Komponente
(Lösung B) oder eine Kombination aus Hardware- und Software-Komponente (Lösung C) kommen.
Lösung C wird typischerweise aus einer Verschlüsselungs-Software in Kombination mit einem
Chipkartenleser zur Zugangskontrolle bestehen. Welche Lösung gewählt werden sollte, hängt von
verschiedenen Entscheidungskriterien ab:

Sicherheit (Kryptoalgorithmus und Schlüssellänge, Betriebsart der Verschlüsselung,
Zugriffsschutz, Schlüsselerzeugung/ -verteilung/ -speicherung/ -eingabe, Einbindung in das
Betriebssystem, etc.)
Je nachdem auf welcher Betriebssystem-Plattform Verschlüsselung betrieben wird, stößt man mit
Software-Lösungen (Lösungen A oder C) unweigerlich an Grenzen. Kann man kein sicheres
Betriebssystem mit strikter Task- und Speicherbereichs-Trennung voraussetzen (bisher ist das bei
keinem Betriebssystem sicher nachgewiesen!), muss der während der Ver- bzw. Entschlüsselung
verwendete Schlüssel zumindest kurzzeitig ungeschützt im Speicher des PC gehalten werden. Die
Vertraulichkeit des Schlüssels ist somit nicht mehr sichergestellt. Hardware-VerschlüsselungsKomponenten (Lösung B) können (müssen aber nicht!) mehr bieten. Der Schlüssel kann in die
Hardware-Komponente geladen und dort - gegen Auslesen gesichert - gespeichert werden. Der
Schlüssel wird die Hardware-Komponente nicht mehr verlassen und ist vor Ausspähversuchen
geschützt. Er kann nur durch berechtigte Benutzer mittels Besitz und Wissen (z. B. Chipkarte und
Paßwort) aktiviert werden. Wichtig sind weitere Aspekte wie die zur Verschlüsselung verwendeten
Algorithmen (meist ein Blockchiffrier-Algorithmus), deren Betriebsarten (z. B. CBC) sowie die Art und
Weise der Einbindung in das PC-System. Die Verschlüsselungs-Hardware sollte idealerweise so
eingebunden werden, dass sie die gesamte Festplatte zwangsweise kryptiert und durch Angriffe nicht
unbemerkt abgeschaltet bzw. umgangen werden kann. Werden im Gegensatz dazu lediglich einzelne
Dateien verschlüsselt besteht die Gefahr, dass die Inhalte dieser Dateien unkontrollierbar zumindest
teilweise zusätzlich im Klartext auf die Festplatte geschrieben werden (z. B. in den
Auslagerungsdateien verschiedener Betriebssysteme oder in Backup-Dateien).

Performance (Geschwindigkeit der ausführbaren Programme)
Software-Verschlüsselung nutzt die Systemressourcen des PC, belastet also die CPU und benötigt
Arbeitsspeicher. Spätestens bei der Verschlüsselung der gesamten Festplatte wird die Performance
des PC sinken. Hardware-Komponenten mit eigenem Prozessor können die Verschlüsselung ohne
Belastung der PC-CPU und somit ohne nennenswerten Performanceverlust durchführen. Hier ist je
nach Bauart die Durchsatzrate der verwendeten Kryptier-Hardware mitentscheidend.

Organisatorischer/Personeller Aufwand (Administration, Keymanagement, Schulung, etc.)
Der organisatorische bzw. personelle Aufwand ist von der Umsetzung der Sicherheitspolitik und dem
"Komfort" der Verschlüsselungs-Komponenten abhängig. Generelle Entscheidungskriterien für oder
gegen eine der drei Lösungen können nicht allgemeingültig formuliert werden.
46

Wirtschaftlichkeit (Anschaffung, Schulungs-/Administrationskosten, ...)
Eine allgemeine Aussage zur Wirtschaftlichkeit ist schwierig. Betrachtet man nur die
Anschaffungskosten, so werden Software-Lösungen oft preiswerter sein als Hardware-Lösungen.
Kalkuliert man dagegen auch die Schäden ein, die durch unzureichenden Schutz auf längere Sicht
entstehen können, kann sich im Vergleich die Investition in sicherere und vielleicht teurere Lösungen
lohnen. Wirtschaftliche Nachteile können u. U. durch Performanceverlust des PC-Systems entstehen.

Restrisiken (Betriebssystem, Kompromittierung des Festplattenschlüssels, etc.)
Bei der Auswahl der geeigneten Verschlüsselungs-Komponente spielt die Restrisikobetrachtung eine
wesentliche Rolle. Es stellen sich u. a. die Fragen


Welche Restrisiken kann man in Kauf nehmen? und
Welche Restrisiken werden bzw. können durch andere Maßnahmen (z. B. materielle oder
organisatorische Maßnahmen) minimiert werden?
Es können sich durchaus mehrere tragbare Lösungsmöglichkeiten durch die Kombination
verschiedener Maßnahmen ergeben.
Beispiel 2: E-Mail-Verschlüsselung
Der Austausch von elektronischer Post (E-Mail) über bzw. in Computernetzen gewinnt zunehmend an
Bedeutung. Werden dabei sensible Informationen (z. B. Firmengeheimnisse) über ungesicherte Netze
ausgetauscht, so sind dabei Mechanismen zum Schutz der Vertraulichkeit bzw. für die Gewähr der
Authentizität von Nachrichten erforderlich. Zu diesen Zwecken dienen E-MailVerschlüsselungsprogramme. Am weitesten verbreitet sind dabei zwei Programmpakete bzw.
Standards amerikanischer Herkunft:


PGP ("Pretty Good Privacy") und
S/MIME (Secure Multipurpose Internet Mail Extensions).
Dabei ist PGP ein Programmpaket, das ursprünglich als Freeware im Internet erhältlich war und sich
daher weit verbreitet hat. Der S/MIME Standard wird u. a. von den Secure-E-Mail Anwendungen der
Firmen Microsoft, Netscape und RSA Data Security Inc. verwendet.
Was muss ein solches E-Mail-Verschlüsselungsprogamm leisten?
Die Antwort hängt zu einem gewissen Grad natürlich von den umgebenden Sicherungsmaßnahmen
ab. Die Anforderungen sind sicherlich dann am größten, wenn die Nachrichten über ein großes,
offenes, ungesichertes Netz wie z. B. das Internet verschickt werden sollen. Hier wollen evtl. sogar
einander persönlich Unbekannte vertraulich und authentisch miteinander kommunizieren. Welche
kryptographischen Dienste sind dazu erforderlich?
47
Vertraulichkeit
Da die Nachrichten verschlüsselt werden sollen, müssen (einer oder mehrere)
Verschlüsselungsalgorithmen implementiert sein. Dazu bieten sich wegen der höheren Performance
symmetrische Verfahren an.
Schlüsselmanagement


Erzeugung: die Schlüssel für das symmetrische Verfahren müssen durch einen geeigneten
(Zufalls-) Prozeß so erzeugt werden, dass Erraten bzw. Vorhersage weiterer Schlüssel auch
bei Kenntnis einiger vorhergehender Schlüssel praktisch unmöglich ist.
Schlüsseleinigung/Austausch: da eine zentrale Schlüsselversorgung mittels symmetrischer
Verfahren im Internet schon wegen der schieren Masse der möglichen
Kommunikationspartner ausscheidet, ist die Verwendung asymmetrischer Verfahren für
Schlüsseleinigung bzw. Schlüsselaustausch geboten.
Authentizität
Da aufgrund der Anforderungen aus dem Schlüsselmanagement ohnehin ein asymmetrisches
Verfahren implementiert ist (und evtl. Verbindlichkeit verlangt wird), wird man zu diesem Zweck eine
digitale Signatur einsetzen. Signaturschlüssel sollten dabei ausschließlich zu Signaturzwecken
verwendet werden. Dabei muss - wie immer bei der Verwendung von Public-Key-Verfahren - das
Problem der Authentizität der öffentlichen Schlüssel gelöst werden.
Verbindlichkeit
Verbindlichkeit setzt eine Public-Key-Infrastruktur voraus (PKI, Registrierung von Teilnehmern und
Zertifizierung von öffentlichen Schlüsseln durch eine vertrauenswürdige dritte Instanz, inkl.
Einsatzregeln). Bisher existiert allerdings keine globale PKI, daher ist es schwierig, für E-Mails von
vorher unbekannten Teilnehmern einen verbindlichen Herkunftsnachweis zu bekommen. In einem
lokalen Netz wäre zu diesem Zweck eine geeignete PKI zu schaffen.
Standardkonformität
Aus Interoperabilitätsgründen und zum Investitionsschutz ist es sinnvoll, möglichst weit verbreitete
und akzeptierte Internet-Standards zu verwenden. Sowohl S/MIME als auch PGP befinden sich im
Stadium der Standardisierung.
Beispiel 3: Sichere Sprach- und Datenkommunikation bei ISDN-Netzanbindungen
Beim folgenden Anwendungsbeispiel wird die Kommunikation per ISDN betrachtet. Geschützt
werden sollen die Anwendungen "Telefonverkehr" und "Videokonferenzen" sowie der Datenverkehr
zwischen Rechnernetzen. Als Ziel soll ein wirkungsvoller Schutz übermittelter vertraulicher
Informationen und verbindlicher personenbezogener Daten gewährleistet werden. Es wird davon
ausgegangen, dass alle zu übertragenen Informationen in digitaler Form (PCM-Code) vorliegen und
48
dass die in firmeneigenen Netzen und TK-Anlagen übliche Sprachkomprimierung für verschlüsselte
Anwendungen abgeschaltet werden kann, damit die Nutzkanäle (B-Kanäle) verschlüsselt werden
können.
Dafür soll eine ISDN-Sicherheitskomponente eingesetzt werden, mit der ein S0-Anschluss mit zwei 64
kbit/s-Kanälen abgesichert werden kann. Dabei ist es unerheblich, ob am S0-Bus einzelne ISDNEndgeräte (Telefon, Fax, PC mit ISDN-Einsteckkarte etc.) angeschlossen sind oder eine kleine TKAnlage nachgeschaltet ist. Alle Verbindungen sollen wahlweise verschlüsselt oder unverschlüsselt
aufgebaut und betrieben werden. Folgende Abbildung zeigt die entsprechende Systemkonfiguration.
Es wurde ein ISDN-Kryptogerät ausgewählt, das mittels einer Chipkarte gegen unbefugte Benutzung
abgesichert werden kann. Alternativ steht auch eine serielle V.24-Schnittstelle zur Verfügung, um die
Sicherheitskomponente mit Hilfe eines PC konfigurieren zu können. Der Benutzer oder die
Endanwendung kann die Verschlüsselung direkt mit der Chipkarte bzw. durch die Vorwahl einer
speziellen Kennziffer steuern. Auch ist es möglich, die ISDN-Sicherheitskomponente so zu
konfigurieren, dass bestimmte Verbindungen (Nummern) verschlüsselt oder unverschlüsselt
49
voreingestellt sind. Für das Schlüsselmanagement, d. h. die Generierung und Verteilung von
Schlüsselzertifikaten wird an einer zentralen Stelle des ISDN-Netzes eine Managementstation
angeschlossen. Somit ist sichergestellt, dass die einzelnen ISDN-Sicherheitskomponenten netzweit
registriert und mit aktuellem Schlüsselmaterial versorgt werden können.
Die Möglichkeit des sicheren Transports von Informationen und schützenswerten Daten in einem
ISDN-Netz sind vielfältig und komplex. Dabei muss jeder relevanten Grundbedrohung mit einer
konkreten Sicherheitsmaßnahme begegnet werden. Zur Gewährleistung der Vertraulichkeit erfolgt
eine Online-Verschlüsselung des übertragenen Datenstroms am wirkungsvollsten auf der
Sicherungsschicht. Hierzu werden die Daten vor ihrer Übertragung von einer Kryptohardware
automatisch verschlüsselt und auf der Empfängerseite wieder entschlüsselt. Die Verschlüsselung ist
dabei vollständig transparent für den Endteilnehmer und für Anwenderprogramme. Das verwendete
Kryptomodul ermöglicht nicht nur eine Echtzeitverarbeitung, sondern bietet - im Vergleich zu einer
Dateiverschlüsselung (Softwarelösung) - einen höheren Schutz gegen Angriffsversuche. Zur Sicherung
der Übersendung von verbindlichen oder beweispflichtigen Daten können diese zusätzlich mit einer
digitalen Signatur des Absenders versehen werden. Damit kann die Herkunft und Echtheit der
übertragenen Nachricht vom Empfänger verifiziert und eventuelle Manipulationen innerhalb des
öffentlichen Netzes zuverlässig erkannt werden. Für die sichere Erzeugung und Speicherung des
Signaturschlüssels wird wiederum auf die Chipkarte zurückgegriffen, die ein wesentlicher Bestandteil
des Sicherheitskonzeptes ist. Außerordentlich wichtig für die Verbindung von Rechnern ist es, dass
der Möglichkeit einer ungewollten Fehlvermittlung, die - anders als bei Telefongesprächen - meist
nicht vor oder während der Übertragung erkannt werden, angemessen begegnet wird. Dies kann
durch eine eingebaute Firewall-Funktionalität in der ISDN- Sicherheitskomponente erreicht werden.
Durch eine Überwachung des Signalisierungskanals (D-Kanal) kann dann die Sicherheitskomponente
so eingestellt werden, dass ausschließlich explizit vorkonfigurierte Kryptoverbindungen zustande
kommen. In Verbindung mit TK-Anlagen ist ferner vorgesehen, dass bestimmte Rufnummern und
Funktionen dieser Nebenstellenanlagen gesperrt werden. Damit läßt sich die Ausnutzbarkeit der
Schwachstellen "Fernwartung" und "Rufweiterleitung" einschränken.
Um sowohl ein sicheres Schlüsselmanagement als auch eine schnelle Echtzeitverschlüsselung der
Nutzdaten zu erreichen, sollten Hybridverfahren eingesetzt werden. Unter Beibehaltung der
symmetrischen Informationsverschlüsselung wird der sogenannte Sitzungsschlüssel mit Hilfe eines
asymmetrischen Verfahrens ausgetauscht. Dies läuft im Praxisbetrieb völlig automatisch ab. Ohne
nennenswerte Beeinträchtigung des Bedienungskomforts können auf diese Weise für jede neue
ISDN- Verbindung neue Sitzungsschlüssel vereinbart werden.
Aus sicherheitstechnischer Sicht sollte der Endteilnehmer folgende Einsatzkriterien und -auflagen bei
der Auswahl bzw. beim Einsatz einer ISDN-Sicherheitskomponente heranziehen:
(Bewertung: + = wichtig bis +++ = sehr wichtig):

Die individuellen Teilnehmerschlüssel und Authentisierungsinformationen sind auf einem
sicheren Medium (z. B. einer Chipkarte) zu speichern und mit Hilfe einer vertrauenswürdigen
Signatur zu sichern (+++).
50






Für die Verschlüsselung einer Kommunikationsbeziehung (Sprache, Daten, Bild, etc.) ist pro
Übertragung ein geheimer Schlüssel, der sogenannte Sitzungsschlüssel, neu zu vereinbaren
(++).
Die ausgeführten Sicherheitsdienste erfolgen automatisch und für das Endsystem bzw. den
Endteilnehmer völlig transparent (+).
Für ausgewählte Verbindungen ist die Sicherheitskomponente immer im Kryptobetrieb
eingerichtet (+++).
Die bestehende Infrastruktur sollte bei Verwendung der Sicherheitskomponenten voll
erhalten bleiben (+).
Die Sicherheitsadministration der Sicherheitskomponenten sollte netzweit und möglichst von
zentraler Stelle aus möglich sein (+).
Wünschenswert ist eine Online-Betriebsüberwachung und Registrierung aller
Sicherheitskomponenten im Dialog mit der Managementstation (+).
Es sollten ISDN-Sicherheitskomponenten ausgewählt werden, die normierte Schnittstellen haben,
keine Änderungen in den zu schützenden Endgeräten erfordern und die leicht in eine bestehende
Kommunikationslandschaft zu integrieren sind.
4.1.8 Auswahl eines geeigneten kryptographischen Verfahrens
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Die Auswahl eines kryptographischen Verfahrens zerfällt in die beiden Teilaufgaben


Auswahl des kryptographischen Algorithmus und
Auswahl einer technischen Realisierung.
Bevor der Anwender sich auf bestimmte Verfahren festlegt, sollte er genaue Vorstellungen davon
haben, welche Anforderungen er an Vertraulichkeit und Authentizität der bearbeiteten Daten in
jedem "Punkt" seines informationsverarbeitenden Systems stellt.
Auswahl von kryptographischen Algorithmen
Bei der Auswahl von kryptographischen Algorithmen ist zunächst zu klären, welche Art
kryptographischer Verfahren benötigt werden, also symmetrische, asymmetrische oder hybride
Verfahren, und dann sind geeignete Algorithmen, also solche mit entsprechender
Mechanismenstärke auszuwählen.
Verschlüsselungsverfahren

symmetrische Verschlüsselung: Die Vor- bzw. Nachteile symmetrischer Verfahren sind in M
3.23 beschrieben. Geeignete Algorithmen sind z. B. Tripel-DES, IDEA, RC 5, wobei bei RC 5 die
Schlüssellänge mindestens 80 Bit sein sollte.
51

asymmetrische Verschlüsselung: Die Vor- bzw. Nachteile asymmetrischer Verfahren sind in
M 3.23 beschrieben. Geeignete Algorithmen sind z. B. RSA oder auf Elliptischen Kurven
basierende Verschlüsselungsverfahren (zur Schlüssellänge siehe unten).
Authentisierungsverfahren

Nachrichtenauthentisierung
Zur Nachrichtenauthentisierung können verschiedene Verfahren eingesetzt werden, etwa ein
Message Authentication Code (MAC) oder ein digitales Signaturverfahren. Der Einsatz eines MACs ist
von Vorteil, wenn extrem hohe Durchsatzraten gefordert sind (oder nur eine geringe
Rechenkapazität zur Verfügung steht) und das Risiko der Schlüsseloffenlegung auf beiden Seiten sehr
gering ist. Der Einsatz eines digitalen Signaturverfahrens ist von Vorteil, wenn das Risiko der
(Signatur-) Schlüsseloffenlegung auf einer Seite wesentlich höher ist als auf der anderen Seite; und in
aller Regel geboten, wenn Verbindlichkeitsdienste verlangt werden. Es sei noch einmal bemerkt, dass
für den Dienst Verbindlichkeit eine Infrastruktur vertrauenswürdiger Dritter vorhanden sein muss.
Der bekannteste MAC-Algorithmus ist die Verschlüsselung einer Nachricht mit DES oder einem
anderen Block-Chiffrierverfahren im CBC- oder CFB-Mode. Dabei wird als MAC der letzte
verschlüsselte Block an die Nachricht angehängt. Solche Varianten sind z. B. in den Normen ANSI
X9.9, ANSI X9.19, ISO 8731-1 oder ISO 9797 spezifiziert.
Geeignete Algorithmen für Digitale Signaturen sind z. B. RSA, DSA (Digital Signature Algorithm) oder
auf elliptischen Kurven basierende DSA-Varianten, z. B. ISO/IEC 15946-2, IEEE-Standard P1363,
Abschnitt 5.3.3 ("Nyberg-Rueppel Version"), IEEE-Standard P1363, Abschnitt 5.3.4 ("DSA Version").

Authentisierung von Benutzern oder Komponenten
Ein einfaches Verfahren zur Authentisierung ist eine Paßwortabfrage. Werden die Paßwörter
dabei aber unverschlüsselt über ein Netz übertragen, können diese verhältnismäßig einfach
mitgelesen werden. Daher sollten hier bessere Verfahren verwendet werden. Geeignete
Verfahren sind beispielsweise
o
o
o
o
Einmalpaßwörter (siehe auch M 5.34 Einsatz von Einmalpaßwörtern), die softwareoder hardwaregestützt erzeugt werden können. Hierbei sind die hardwarebasierten
Authentifikationsmethoden vorzuziehen, da sie einen geringeren organisatorischen
Aufwand und höhere Sicherheit bieten.
Die Authentisierung mittels PAP oder besser CHAP, die bei der Nutzung des Point-toPoint-Protocol eingesetzt werden (siehe M 5.50 ).
Die Authentisierung mittels CLIP/COLP, die bei der Kommunikation über ISDN
eingesetzt wird (siehe M 5.48 ).
Ein weiteres bekanntes Verfahren ist das Authentikationsprotokoll Kerberos, das am
MIT (Massachusetts Institute of Technology) entwickelt wurde. Es wird in Netzen zur
gegenseitigen Authentisierung von Benutzer/Client und Servern eingesetzt. Die
zentrale Autorität bei Kerberos ist der Ticket-Granting-Server, der Tickets ausstellt,
52
mit denen sich Clients und Server gegenseitig authentisieren können. Mit Hilfe dieser
Tickets können Benutzer sich nach einmaliger Authentikation Sitzungsschlüssel für
die verschiedensten Dienste anfordern.
Hashverfahren
Geeignete Algorithmen sind z. B. MD5, SHA-1, RIPEMD-160.
Auswahlkriterien

Mechanismenstärke / Schlüssellänge
Ein wesentliches Kriterium für die Auswahl von kryptographischen Verfahren ist ihre
Mechanismenstärke. Bei symmetrischen Verfahren sollte insbesondere die Schlüssellänge
ausreichend groß sein. Je größer die verwendete Schlüssellänge bei einem kryptographischen
Verfahren ist, desto länger dauert es, ihn z. B. durch eine Brute-Force-Attacke zu berechnen.
Andererseits werden die Verfahren bei der Verwendung längerer Schlüssel langsamer, so dass immer
zu überlegen ist, welche Schlüssellänge unter Nutzen- /Leistungsgesichtspunkten angemessen ist. Als
Faustregel für gute Verfahren (Tripel-DES, IDEA, RC5,...) und mittleren Schutzbedarf gilt derzeit, dass
die eingesetzten Schlüssel mindestens 80 Bit lang sein sollten. Bei Verwendung von Blockchiffren
sollten größere, strukturierte Datenmengen nicht im ECB-Modus verschlüsselt werden. Stattdessen
sollten dazu der CBC-Modus oder der CFB-Modus verwendet werden. Mindestens eine dieser
Betriebsarten sollte daher implementiert sein.
Bei asymmetrischen Verfahren sollte die Mechanismenstärke so gewählt werden, dass die Lösung
der zu Grunde liegenden mathematischen Probleme einen unvertretbar großen bzw. praktisch
unmöglichen Rechenaufwand erfordert (die zu wählende Mechanismenstärke hängt daher vom
gegenwärtigen Stand der Algorithmik und der Rechentechnik ab). Gegenwärtig kann man davon
ausgegehen, dass man mit


Modullängen von 768 Bit bei RSA bzw.
Untergruppenordnungen in der Größe von 160 Bit bei ElGamal-Verfahren auf einer
geeigneten elliptischen Kurve
"auf der sicheren Seite" ist.
Es sollten keine "unbekannten" Algorithmen verwendet werden, d. h. es sollten Algorithmen
eingesetzt werden, die veröffentlicht sind, die von einem breiten Fachpublikum intensiv untersucht
worden sind und von denen keine Sicherheitslücken bekannt sind. Häufig bieten Hersteller
Sicherheitsprodukte an mit neuen Algorithmen, die "noch viel sicherer und noch viel schneller" sein
sollen als andere Algorithmen. Aber vor der Verwendung von unbekannten Algorithmen aus Quellen,
deren kryptographische Kompetenz nicht ausreichend nachgewiesen ist, kann nur gewarnt werden.

Symmetrische oder hybride Verfahren?
53
Aus Performancegründen werden für Verschlüsselungszwecke keine reinen Public-KeyImplementierungen eingesetzt. Alle gängigen Implementierungen von Public-Key-Kryptographie
nutzen hybride Verfahren (siehe M 3.23 ).
In Anwendungen mit großen oder offenen Nutzergruppen empfiehlt sich meist die Verwendung
eines hybriden Verfahrens (wegen der Vorzüge für das Schlüsselmanagement). Bei kleinen,
geschlossenen Nutzergruppen (insbesondere natürlich bei einem einzelnen Benutzer) kann man sich
auf symmetrische Verfahren beschränken. Bei Einsatz hybrider Verfahren ist es sinnvoll, die Stärken
des symmetrischen und des asymmetrischen Anteils aufeinander abzustimmen. Da mit dem
asymmetrischen Verfahren vor einem Schlüsselwechsel in der Regel viele Schlüssel für das
symmetrische Verfahren überschlüsselt werden, sollte der asymmetrische Algorithmus eher etwas
stärker ausgelegt werden.

Realisierbarkeit von technischen Anforderungen
Die Chiffrieralgorithmen müssen so beschaffen sein, dass die technischen Anforderungen,
insbesondere die geforderte Performance, durch eine geeignete Implementation erfüllt werden
können. Hierunter fallen Anforderungen an die Fehlerfortpflanzung (z. B. falls über stark rauschende
Kanäle gesendet wird), aber auch Anforderungen an Synchronisationsoverhead und Zeitverzögerung
(z. B. falls "Echtzeit"-Verschlüsselung von großen Datenmengen erfordert wird).
Beispiel: Sprachverschlüsselung bei ISDN
Für die Planung eines Kommunikationsnetzes sind eine Reihe von Parametern zu berücksichtigen, die
einen Einfluss auf die zu erwartende Sprachqualität haben und sich in Form von Rauschen, Knacken,
Nebensprechen oder Pfeifen bemerkbar machen. Zu solchen Einflussfaktoren zählen beispielsweise
die eingesetzten Verschlüsselungsverfahren. Um eine zufriedenstellende Sprachqualität erzielen zu
können, müssen alle Einrichtungen längs eines Übertragungsweges betrachtet und bewertet werden.
Eine isolierte Betrachtungsweise einer Einzelkomponente ist zwar aufgrund der Verkopplung aller
relevanten Einzeleffekte als nicht gerechtfertigt anzusehen, dennoch ist die Kenntnis der
Einflussfaktoren jeder Einzelkomponente (z. B. der Kryptokomponente) wichtig. Hieraus können
sowohl die Rahmenbedingungen für die Realisierung als auch für die Auswahl abgeleitet werden. Das
Verhalten einer Verschlüsselungskomponente wird dabei hauptsächlich durch folgende Faktoren
charakterisiert:




die verstreichende Zeitdauer bei der Verschlüsselung eines Datenblocks (führt i. allg. zu
Verzögerungen),
die für Synchronisationszwecke zusätzlich in den Datenstrom eingeführten
Steuerinformationen (führen u. U. zu Schwankungen),
der von der Kryptokomponente maximal zu leistende Datendurchsatz (führt - wenn
Zwischenspeicherung notwendig - ebenfalls zu Schwankungen),
die durch die Verschlüsselung resultierende Fehlerfortpflanzung (führt i. allg. zu einem
Anstieg der Fehlerrate).
54
Gerade bei einer Sprachverschlüsselung (Echtzeitdienst) machen sich die vorgenannten
Einflussfaktoren in einer Erhöhung der Ende-zu-Ende-Laufzeit, in Laufzeitschwankungen sowie in
einer höheren Fehlerrate negativ bemerkbar, d. h. in einer Qualitätsminderung, die meßtechnisch
ermittelt und der Kryptokomponente zugeordnet werden kann.

Andere Einflussfaktoren
Manche kryptographische Algorithmen (z. B. IDEA) sind patentiert, für ihren Einsatz in kommerziellen
Anwendungen (wozu auch der behördliche Bereich zählt) sind evtl. Lizenzgebühren zu entrichten.
Dies ist insbesondere beim Einsatz von Verfahren wie PGP zu beachten, von denen es auch
Implementationen gibt, die ansonsten als Public-Domain-Software eingesetzt werden können.
4.1.9 Auswahl eines geeigneten kryptographischen Produktes
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Das Spektrum kryptographischer Anwendungen ist sehr breit, es reicht von einem einfachen
Programm zur Dateiverschlüsselung auf einem Single-User PC über Firewallrechner mit
Kryptofunktionen zur Absicherung eines lokalen Netzes bis hin zur "Echtzeit"Hardwareverschlüsselung von Videokonferenzen. Es ist klar, dass bei dieser Breite Empfehlungen zur
Auswahl von kryptographischen Produkten allgemeingültig gehalten sind.
Vor einer Auswahl sollte der Nutzer sämtliche Anforderungen an das Produkt festlegen. Das
ausgewählte Produkt sollte die Benutzeranforderungen in einem möglichst hohen Grad abdecken.
Funktionalität
Das ausgewählte Produkt muss die vom Anwender spezifizierte Funktionalität aufweisen,
insbesondere muss es




die geforderten kryptographischen Grunddienste leisten,
evtl. besonderen Anforderungen durch die Einsatzumgebung genügen (z. B. SingleUser/Multi-User- PC, LAN-Umgebung, WAN-Anbindung),
die geforderten technischen Leistungsmerkmale aufweisen (z. B. Durchsatzraten),
die geforderten Sicherheitsfunktionalitäten aufweisen, insbesondere müssen die
eingesetzten kryptographischen Mechanismen die erforderliche Stärke aufweisen.
Interoperabilität
Das ausgewählte Produkt wird in der Regel in eine bestehende IT-Umgebung eingefügt. Es muss dort
möglichst interoperabel sein. Die Einhaltung interner Standards ist nötig, um die Interoperabilität mit
dem bereits vorhandenen IT-System bzw. Systemkomponenten zu gewährleisten. Die Anwendung
55
internationaler Standards für kryptographische Techniken sollte selbstverständlich sein, sie
erleichtert auch eine Sicherheitsevaluierung der kryptographischen Komponente.
Wirtschaftlichkeit
Das ausgewählte Produkt sollte möglichst wirtschaftlich sein. Dabei müssen Anschaffungskosten,
Stückzahlen, Kosten für Wartung und Produktpflege, aber auch Einsparungen durch etwaige
Rationalisierungseffekte berücksichtigt werden.
Zertifizierte Produkte
In den letzten Jahrzehnten hat sich eine international anerkannte Methodologie zur Bewertung von
IT- Sicherheitsprodukten durchgesetzt: die europäischen ITSEC (Information Technology Security
Evaluation Criteria) bzw. deren Weiterentwicklung CC (The Common Criteria for Information
Technology Security Evaluation). Die ITSEC bzw. CC bieten einen Rahmen, innerhalb dessen die
Sicherheitsfunktionalitäten eines IT-Produktes durch Anlegen von etablierten Kriterien in eine genau
spezifizierte
Hierarchie
von
Sicherheitsstufen
eingeordnet
werden
können.
Die
Informationssicherheitsbehörden
mehrerer
Staaten
haben
jeweils
ein
nationales
Zertifizierungsschema nach diesen Kriterien aufgebaut.
Der Einsatz eines zertifizierten Produktes bietet die Gewähr, dass die Sicherheitsfunktionalität dieses
Produktes unabhängig geprüft wurde und den im Evaluationslevel spezifizierten Standard nicht
unterschreitet (siehe auch M 2.66 Beachtung des Beitrags der Zertifizierung für die Beschaffung).
Importprodukte
In mehreren Staaten, insbesondere den USA, unterliegt der Export von starker Kryptographie
gegenwärtig (noch) starken Beschränkungen. Insbesondere wird die Stärke von an sich starken
Verschlüsselungsprodukten künstlich (durch Reduzierung der Schlüsselmannigfaltigkeit)
herabgesetzt. Solche künstlich geschwächten Verfahren erreichen i.d.R. nicht die für mittleren
Schutzbedarf erforderliche Mechanismenstärke.
In Deutschland und den meisten anderen Ländern unterliegen kryptographische Produkte beim
Einsatz innerhalb der Landesgrenzen keinerlei Einschränkungen. Beim Einsatz von Importprodukten
sollte immer darauf geachtet werden, ob sie den vollen Leistungsumfang bieten.
Grenzüberschreitender Einsatz
Viele Unternehmen und Behörden haben zunehmend das Problem, das sie auch ihre internationale
Kommunikation, z. B. mit ausländischen Tochterunternehmen, kryptographisch absichern wollen.
Hierfür muss zunächst untersucht werden,

ob innerhalb der jeweiligen Länder Einschränkungen beim Einsatz kryptographischer
Produkte zu beachten sind und
56

ob für in Frage kommende Produkte Export- oder Importbeschränkungen beachtet werden
müssen.
57
Fehlbedienungs- und Fehlfunktionssicherheit
Das Gefährliche an kryptographischen Produkten ist, dass sie den Anwender in einer - mitunter
trügerischen - Sicherheit wiegen: Es ist ja "alles verschlüsselt"! Insofern kommt Maßnahmen gegen
Kompromittierungen durch Bedienungsfehler oder technisches Versagen besondere Bedeutung zu,
da deren Folgen eben nicht nur auf einen schlichten Defekt beschränkt werden können, sondern
sogleich einen Sicherheitseinbruch nach sich ziehen. Allerdings ist die Bandbreite bezüglich
redundanter Systemauslegung und zusätzlicher Überwachungsfunktionen - und damit an
Gerätekosten - groß, so dass hier die Maßnahmen im Einzelfall in Abhängigkeit von den
Anforderungen festzulegen sind.
Implementierung in Software, Firmware oder Hardware
Kryptographische Algorithmen können sowohl in Software, in Firmware als auch in Hardware
implementiert werden. Softwarerealisierungen werden in der Regel vom Betriebssystem des
jeweiligen IT- Systems gesteuert. Unter Firmware versteht man Programme und Daten, die
permanent so in Hardware gespeichert sind, dass die Speicherinhalte nicht dynamisch verändert
werden können, und die während ihres Ablaufs nicht modifiziert werden können. Bei
Hardwarelösungen wird das kryptographische Verfahren direkt in Hardware realisiert, z. B. als
separates Sicherheitsmodul oder als Einsteckkarte.
Dazu, welche Art der Implementierung gewählt werden sollte, kann keine generelle Empfehlung
abgegeben werden, da die Entscheidung eine Abwägung von verschiedenen Faktoren erfordert:





den Schutzbedarf der durch das kryptographische Verfahren zu schützenden Daten bzw. das
angestrebte Sicherheitsniveau,
den angestrebten Datendurchsatz,
wirtschaftliche Überlegungen/Zwänge,
die Einsatzumgebung/ umgebende Sicherungsmaßnahmen,
eine evtl. vorliegende nationale Einstufung der bearbeiteten Daten.
Softwarelösungen bieten den Vorteil, leicht anpaßbar und kostengünstig zu sein.
Hardwarerealisierungen bieten im allgemeinen sowohl höhere Manipulationsresistenz (und damit
Sicherheit) als auch höheren Datendurchsatz als Softwarerealisierungen, sie sind aber normalerweise
auch teurer.
Firmwarelösungen kann man als Kompromiß der beiden vorangegangenen Möglichkeiten verstehen.
Die Vor- und Nachteile der jeweiligen Realisierung beziehen sich jedoch immer nur auf lokale
Aspekte (dazu gehört vor allem das Schlüsselmanagement). Sind die Daten einmal verschlüsselt und
befinden sie sich auf dem Kommunikationsweg, ist im Prinzip das Zustandekommen der
Verschlüsselung nicht mehr relevant.
Ein Beispiel für (relativ) preiswerte, transportable und benutzerfreundliche Kryptomodule sind
Chipkarten, die im Bereich der lokalen Verschlüsselung als sicheres Speichermedium für die
58
kryptographischen Schlüssel oder im Bereich der Authentikation zur Paßwort-Generierung und
Verschlüsselung eingesetzt werden können.
Wenn alle Anforderungen an das kryptographische Produkt festgelegt worden sind, erhält man damit
einen Anforderungskatalog, der dann auch direkt für eine Ausschreibung verwendet werden kann,
sofern eine solche notwendig ist.
4.1.10 Regelung des Einsatzes von Kryptomodulen
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Auch im laufenden Betrieb müssen eine Reihe von Sicherheitsanforderungen an den Einsatz von
Kryptomodulen gestellt werden. Diese müssen adäquat in das technische und organisatorische
Umfeld eingebunden sein, in dem sie eingesetzt werden.
Dafür müssen einige organisatorische Regelungen getroffen werden:







Es müssen Verantwortliche benannt werden, und zwar für die Erstellung des
Kryptokonzeptes, für die Auswahl sowie für den sicheren Betrieb der kryptographischen
Produkte.
Es sind geeignete personelle Maßnahmen festzulegen bzw. durchzuführen (Schulung,
Benutzer- Support, Vertretungsregelungen, Verpflichtungen, Rollenzuteilungen).
Die Benutzer sollten nicht nur im Umgang mit den von ihnen zu bedienenden Kryptomodulen
geschult werden, sie sollten darüber hinaus für den Nutzen und die Notwendigkeit der
kryptographischen Verfahren sensibilisiert werden und einen Überblick über
kryptographische Grundbegriffe erhalten (siehe auch M 3.23 ).
Falls Probleme oder gar der Verdacht auf Sicherheitsvorfälle beim Einsatz von
Kryptomodulen auftritt, muss klar definiert sein, was in solchen Fällen zu unternehmen ist.
Alle Benutzer müssen über die entsprechenden Verhaltensregeln und Meldewege informiert
sein.
Im Rahmen des Kryptokonzeptes ist festzulegen, wer wann welche Kryptoprodukte benutzen
muss bzw. darf und welche Randbedingungen dabei zu beachten sind (z. B.
Schlüsselhinterlegung).
Der korrekte Einsatz der Kryptomodule sollte regelmäßig überprüft werden. Ebenso ist
regelmäßig zu hinterfragen, ob die eingesetzten kryptographischen Verfahren noch dem
Stand der Technik entsprechen (siehe dazu auch M 2.35 Informationsbeschaffung über
Sicherheitslücken des Systems).
Je nach den definierten Verfügbarkeitsanforderungen sollten Ersatz-Kryptomodule vorrätig
gehalten werden, um einen reibungslosen Betrieb zu gewährleisten. Dies ist insbesondere
dort wichtig, wo der Zugriff auf verschlüsselte Daten von der Funktionsfähigkeit eines
einzelnen Kryptomoduls abhängt, z. B. bei der Datenarchivierung oder der ISDNVerschlüsselung.
59
Es ist ein sicherer Betrieb der Kryptomodule zu gewährleisten, dazu gehören:







Vor der Inbetriebnahme muss die optimale Konfiguration der Kryptomodule festgelegt
werden, z. B. hinsichtlich Schlüssellänge, Betriebsmodi oder Kryptoalgorithmen.
Die festgelegte Konfiguration muss dokumentiert sein, damit sie nach einem Systemversagen
oder einer Neuinstallation schnell wieder eingerichtet werden kann.
Für die Benutzer müssen die Kryptoprodukte durch den Administrator so vorkonfiguriert
sein, dass ohne weiteres Zutun der Benutzer maximale Sicherheit erreicht werden kann.
Bei komplexeren Kryptoprodukten müssen geeignete Handbücher verfügbar sein.
Die Kryptomodule müssen sicher installiert werden und anschließend getestet werden (z. B.
ob es korrekt verschlüsselt und ob es vom Benutzer bedient werden kann).
Die Anforderungen an die Einsatzumgebung müssen festgelegt sein, eventuell sind dafür
ergänzende Maßnahmen im IT-Umfeld zu treffen. Die sicherheitstechnischen Anforderungen
an die IT-Systeme, auf denen die kryptographischen Verfahren eingesetzt werden, sind den
jeweiligen systemspezifischen Bausteinen zu entnehmen, z. B. für Clients (inkl. Laptops) aus
Kapitel 5, für Server aus Kapitel 6.
Es muss festgelegt werden, wer wie häufig die Kryptomodule zu warten hat.
Auch im Rahmen des Schlüsselmanagements (siehe M 2.46 Geeignetes Schlüsselmanagement)
müssen diverse Vorgaben gemacht werden:



Vorgaben zur Schlüsselerzeugung und -auswahl,
Vorgaben zur gesicherten Speicherung kryptographischer Schlüssel,
Festlegung der Schlüsselwechsel-Strategie und -Intervalle.
4.1.11 Informationsbeschaffung über Sicherheitslücken des Systems
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Gegen bekannt gewordene und durch Veröffentlichungen zugänglich gemachte Sicherheitslücken
müssen die erforderlichen organisatorischen und administrativen Maßnahmen ergriffen oder
zusätzliche Sicherheitshardware bzw. Sicherheitssoftware eingesetzt werden.
Es ist daher sehr wichtig, sich über neu bekannt gewordene Schwachstellen zu informieren.
Informationsquellen:



Bundesamt für Sicherheit in der Informationstechnik (BSI), Postfach 20 03 63, 53133 Bonn,
Telefon: 0228- 9582-444, Fax: -427, E-Mail: [email protected], WWW: www.bsi.bund.de/bsi-cert
Hersteller bzw. Vertreiber des Betriebssystems informieren registrierte Kunden über bekannt
gewordene Sicherheitslücken ihrer Systeme und stellen korrigierte Varianten des Systems
oder Patches zur Behebung der Sicherheitslücken zur Verfügung.
Computer Emergency Response Teams (CERT) sind Organisationen, die über bekannt
gewordene Betriebssystemfehler und deren Behebungsmöglichkeiten informieren.
60
Computer Emergency Response Team / Coordination Center (CERT/CC), Software
Engineering Institute, Carnegie Mellon University, Pittsburgh, PA 15213-3890,
Telefon: +1-412-268-7090 (24-Stunden-Hotline), E-Mail: [email protected], FTP: ftp.cert.org,
WWW: www.cert.org
Die CERT-Mitteilungen werden in Newsgruppen ( comp.security.announce und
info.nsfnet.cert) und über Mailinglisten (Aufnahme durch E-Mail an: [email protected]) veröffentlicht.

CERT in Deutschland:
o
o
BSI-CERT, Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63,
53133 Bonn, Telefon: 0228-9582-444, Fax: -427, E-Mail: [email protected]
DFN-CERT, Universität Hamburg, Fachbereich Informatik, Vogt-Kölln-Straße 30,
22527 Hamburg, Telefon: 040-54715-262, Fax: -241,
E-Mail: [email protected], FTP:ftp.cert.dfn.de,
WWW: www.cert.dfn.de,
gopher: gopher.cert.dfn.de,
Aufnahme in Mailingliste für CERT-Mitteilungen durch E-Mail an: [email protected]
Mailinglisten für Diskussionen: [email protected]
Mailinglisten für sicherheitsrelevante Informationen:
[email protected]
win-sec-



Micro-BIT Virus Center/CERT, Universität Karlsruhe, Postfach 6980,
76128 Karlsruhe, Telefon: 0721-376422, Fax: 0721-32550, E-Mail:
[email protected]
hersteller- und systemspezifische sowie sicherheitsspezifische Newsgruppen
oder Mailinglisten, wie z. B. die englisch-sprachige Mailingliste BUGTRAQ
(Aufnahme in die Mailingliste durch E-Mail an: [email protected])
IT-Fachzeitschriften
4.1.12 Reaktion auf Verletzungen der Sicherheitspolitik
Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Es ist festzulegen, welche Reaktion auf Verletzungen der Sicherheitspolitik erfolgen soll, um eine
klare und sofortige Reaktion gewährleisten zu können.
61
Untersuchungen sollten durchgeführt werden, um festzustellen, wie und wo die Verletzung
entstanden ist. Anschließend müssen die angemessenen schadensbehebenden oder -mindernden
Maßnahmen durchgeführt werden. Soweit erforderlich, müssen zusätzliche schadensvorbeugende
Maßnahmen ergriffen werden. Die durchzuführenden Aktionen hängen sowohl von der Art der
Verletzung als auch vom Verursacher ab.
Es muss geregelt sein, wer für Kontakte mit anderen Organisationen verantwortlich ist, um
Informationen über bekannte Sicherheitslücken einzuholen (siehe auch M 2.35
Informationsbeschaffung über Sicherheitslücken des Systems ) oder um Informationen über
aufgetretene Sicherheitslücken weiterzugeben. Es muss dafür Sorge getragen werden, dass evtl.
mitbetroffene Stellen schnellstens informiert werden.
4.1.13 Geeignetes Schlüsselmanagement
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Verfahrensverantwortlicher, IT-Verfahrensverantwortlicher
Die Verwendung kryptographischer Sicherheitsmechanismen (z. B. Verschlüsselung, digitale Signatur)
setzt die vertrauliche, integere und authentische Erzeugung, Verteilung und Installation von
geeigneten Schlüsseln voraus. Schlüssel, die Unbefugten zur Kenntnis gelangt sind, bei der Verteilung
verfälscht worden sind oder gar aus unkontrollierter Quelle stammen (dies gilt auch für die
Schlüsselvereinbarung zwischen Kommunikationspartnern), können den kryptographischen
Sicherheitsmechanismus genauso kompromittieren wie qualitativ schlechte Schlüssel, die auf
ungeeignete Weise erzeugt worden sind. Qualitativ gute Schlüssel werden in der Regel unter
Verwendung geeigneter Schlüsselgeneratoren erzeugt (s. u.). Für das Schlüsselmanagement sind
folgende Punkte zu beachten:
Schlüsselerzeugung
Die Schlüsselerzeugung sollte in sicherer Umgebung und unter Einsatz geeigneter
Schlüsselgeneratoren erfolgen. Kryptographische Schlüssel können zum einen direkt am Einsatzort
(und dann meistens durch den Benutzer initiiert) oder zum anderen zentral erzeugt werden. Bei der
Erzeugung vor Ort müssen meistens Abstriche an die Sicherheit der Umgebung gemacht werden, bei
einer zentralen Schlüsselgenerierung muss sichergestellt sein, dass sie ihre Besitzer authentisch und
kompromittierungsfrei erreichen.
Geeignete Schlüsselgeneratoren müssen kontrollierte, statistisch gleichverteilte Zufallsfolgen unter
Ausnutzung des gesamten möglichen Schlüsselraums produzieren. Dazu erzeugt z. B. eine
Rauschquelle zufällige Bitfolgen, die mit Hilfe einer Logik nachbereitet werden. Anschließend wird
unter Verwendung verschiedener Testverfahren die Güte der so gewonnenen Schlüssel überprüft.
Einige Kryptomodule, insbesondere solche, die keinen integrierten Zufallszahlengenerator besitzen,
greifen auf Benutzereingaben zur Schlüsselerzeugung zurück. Beispielsweise werden hier Paßwörter
abgefragt, aus denen dann ein Schlüssel abgeleitet wird, oder der Benutzer wird gebeten, beliebigen
62
Text einzutippen, um zufällige Startwerte für die Schlüsselgenerierung zu erhalten. Solche Paßwörter
sollten dabei gut gewählt sein und möglichst lang sein. Wenn möglichst "zufällige" Benutzereingaben
angefordert werden, sollten diese auch zufällig, also schlecht vorhersagbar, sein.
63
Schlüsseltrennung
Kryptographische Schlüssel sollten möglichst nur für einen Einsatzzweck dienen. Insbesondere sollten
für die Verschlüsselung immer andere Schlüssel als für die Signaturbildung benutzt werden. Dies ist
sinnvoll,



damit bei der Offenlegung eines Schlüssels nicht alle Verfahren betroffen sind,
da es manchmal erforderlich sein kann, Verschlüsselungsschlüssel weiterzugeben
(Vertretungsfall),
da es unterschiedliche Zyklen für den Schlüsselwechsel geben kann.
Schlüsselverteilung / Schlüsselaustausch
Kryptographische Kommunikationsbeziehungen können nur dann funktionieren, wenn die
Kommunikationspartner über aufeinander abgestimmte kryptographische Schlüssel verfügen. Dazu
müssen alle Kommunikationspartner mit den dazu erforderlichen Schlüsseln versorgt werden. Zur
Schlüsselverteilung und zum Schlüsselaustausch können unterschiedliche Verfahren verwendet
werden. Die Unterschiede ergeben sich aus der Anwendung verschiedener kryptographischer
Verfahren und Mechanismen bzw. aus ihrer Kombination (siehe M 2.164 Auswahl kryptographischer
Verfahren). Unter Schlüsselverteilung wird hier die initiale Versorgung der Kommunikationspartner
mit Grundschlüsseln verstanden. Die Schlüssel werden dazu von einer meist zentralen
Schlüsselerzeugungsstelle (z. B. einem Trust Center) an die einzelnen Kommunikationspartner
übermittelt.
Die Verteilung der Schlüssel sollte auf geeigneten Datenträgern (z. B. Chipkarten) oder über
Kommunikationsverbindungen (z. B. LAN, WAN) vertraulich (z. B. mit KEK - Key Encryption Key verschlüsselt), integer (z. B. MAC-gesichert) und authentisch (z. B. digital signiert gemäß SignaturGesetz) erfolgen. Die unbefugte Kenntnisnahme bzw. Verfälschung der Schlüssel muss verhindert
oder wenigstens erkannt werden können.
Mit Schlüsselaustausch wird die Schlüsseleinigungsprozedur zwischen zwei Kommunikationspartnern
auf einen Sitzungsschlüssel (Session Key) bezeichnet. Der Session Key ist ein Schlüssel, der nur eine
begrenzte Zeit, etwa für die Dauer einer Kommunikationsverbindung, verwendet wird. Diese Zeit
muss festgelegt werden, da Sitzungen sehr lange dauern können. Die Festlegung erfolgt z. B. durch
einen relativen Zeitablauf oder durch einen Paketzähler. Für jede neue Verbindung wird ein neuer
Session Key zwischen den Kommunikationspartnern ausgehandelt.
Moderne Systeme bedienen sich heute asymmetrischer kryptographischer Verfahren zur
Schlüsselverteilung und zum Schlüsselaustausch. Zum Nachweis der Authentizität der öffentlichen
Schlüssel kann eine vertrauenswürdige Zertifizierungsstelle eingerichtet werden. Die
Kommunikationsteilnehmer müssen sich gegenüber der Zertifizierungsstelle ausweisen und dort
ihren öffentlichen Schlüssel mittels einer digitalen Signatur der Zertifizierungsstelle beglaubigen
lassen. Das so erzeugte digitale Zertifikat sollte mindestens den öffentlichen Schlüssel und ein
Identifikationsmerkmal des Kommunikationsteilnehmers, die Gültigkeitsdauer des Zertifikats und die
digitale Signatur der Zertifizierungsstelle enthalten. Mit Kenntnis des öffentlichen Signaturschlüssels
64
der Zertifizierungsstelle ist jeder Kommunikationsteilnehmer in der Lage, die Authentizität des
öffentlichen Schlüssels des Kommunikationspartners zu verifizieren.
Schlüsselinstallation und -speicherung
Im Zuge der Schlüsselinstallation ist die authentische Herkunft sowie die Integrität der Schlüsseldaten
zu überprüfen. Generell sollten Schlüssel nie in klarer Form, sondern grundsätzlich verschlüsselt im
System gespeichert werden. Bei Software-Verschlüsselungsprodukten muss berücksichtigt werden,
dass Schlüssel zumindest zeitweise während des Ver-/Entschlüsselungsprozesses in Klarform im PCSystem vorliegen müssen. Bieten die IT-Systeme, auf denen das kryptographische Produkt eingesetzt
ist, keinen ausreichenden Zugriffsschutz für die Schlüssel, sollten diese nicht auf diesem IT-System
gespeichert werden. Es bietet sich dann eine bedarfsorientierte manuelle Eingabe an. Eine andere
Möglichkeit wäre die Auslagerung der Schlüssel auf einen externen Datenträger, der dann aber sicher
verwahrt werden muss, wie unter Schlüsselarchivierung beschrieben. Aus Sicherheitsaspekten ist
deshalb der Einsatz von Hardware-Verschlüsselungskomponenten vorzuziehen, bei denen die
Schlüssel vom Datenträger (z. B. Chipkarte) verschlüsselt auf direktem Weg in die
Verschlüsselungskomponente geladen werden und diese nie in Klarform verlassen.
Auf jeden Fall muss sichergestellt werden, dass bei der Installation des Verschlüsselungsverfahrens
voreingestellte Schlüssel geändert werden.
Schlüsselarchivierung
Für Archivierungszwecke sollte das kryptographische Schlüsselmaterial auch außerhalb des
Kryptomoduls in überschlüsselter Form speicherbar und gegebenenfalls wieder einlesbar sein. Dazu
können mehrere Schlüssel zu einem Satz zusammengefaßt werden, der dann ebenfalls mit Hilfe eines
KEK (Key-Encryption-Key: Überschlüsselungsschlüssel) kryptiert wird. Der KEK muss entsprechend
sicher (z. B. auf Chipkarte im Safe) aufgehoben werden. Splittet man den KEK in zwei Teilschlüssel, so
läßt sich das "Vier-Augen-Prinzip" umsetzen: zwei verschiedene Personen haben Zugriff auf je einen
Datenträger (z. B. Chipkarte, Diskette), auf der sich nur jeweils einer der beiden Teilschlüssel
befindet. Um den KEK zu generieren, müssen sich beide Datenträger gleichzeitig oder nacheinander
in der Leseeinheit des Kryptomoduls befinden.
Zugriffs- und Vertreterregelung
In der Sicherheitspolitik sollten Fragen bzgl. der Zugriffs- und Vertretungsrechte geregelt sein.
Entsprechende Mechanismen müssen vom Schlüsselmanagement und von den einzusetzenden
Kryptomodulen/-geräten unterstützt werden (z. B. Schlüsselhinterlegung für den Fall, dass ein
Mitarbeiter das Unternehmen verläßt oder wegen Krankheit längere Zeit ausfällt, vgl.
Schlüsselarchivierung).
65
Schlüsselwechsel
Im Kryptokonzept muss basierend auf der Sicherheitspolitik festgelegt werden, wann und wie oft
Schlüssel gewechselt werden müssen. Je größer die Menge verschlüsselter Daten ist, die einem
Angreifer für eine Analyse zur Verfügung steht, um so größer ist bei manchen Verfahren die Chance,
dass das Analyseverfahren erfolgreich ist. Ein regelmäßiger Schlüsselwechsel minimiert die
Angriffsmöglichkeiten auf verschlüsselte Daten. Die Wechselfrequenz ist von verschiedenen Faktoren
abhängig. Dabei spielt die Art des verschlüsselten Mediums (z. B. Langzeitdatenträger,
Datenübertragungsmedium) ebenso eine Rolle wie der kryptographische Algorithmus, die Detektion
von Angriffen (z. B. Diebstahl oder Verlust eines Schlüssels) und die Schutzwürdigkeit der Daten.
Weitere Faktoren bei der Festlegung der Wechselfrequenz sind die Häufigkeit des Schlüsseleinsatzes,
das relevante Bedrohungspotential und die Sicherheit der lokalen Aufbewahrung der Schlüssel.
Je nach verwendetem Verfahren sind für jede einzelne Kommunikationsverbindung neue Schlüssel
auszuhandeln, also Sitzungsschlüssel (Session Keys) zu verwenden. Dies sollte natürlich für die
Benutzer unbemerkt durch die Verfahren gesteuert werden. Schlüsselwechsel bedeutet hierbei den
Austausch der Masterkeys, die die Grundlage bilden, auf der die Sitzungsschlüssel gebildet werden,
und sollte natürlich auch regelmäßig durchgeführt werden.
Besteht der Verdacht, dass ein verwendeter Schlüssel bloßgestellt wurde, so ist dieser Schlüssel nicht
mehr zu verwenden und alle Beteiligten sind zu informieren. Bereits mit diesem Schlüssel
verschlüsselte Informationen sind zu entschlüsseln und mit einem anderen Schlüssel zu
verschlüsseln.
Schlüsselvernichtung
Nicht mehr benötigte Schlüssel (z. B. Schlüssel, deren Gültigkeitsdauer abgelaufen sind) sind auf
sichere Art zu löschen bzw. zu vernichten (z. B. durch mehrfaches Löschen/Überschreiben und/oder
mechanische Zerstörung des Datenträgers). Auf Produkte mit unkontrollierbarer Schlüsselablage
sollte generell verzichtet werden.
4.2 Personal
4.2.1 Schulung vor Programmnutzung
Verantwortlich für Initiierung: Leiter Personal, Vorgesetzte
Verantwortlich für Umsetzung: Vorgesetzte, Verfahrensverantwortliche
Durch unsachgemäßen Umgang mit IT-Anwendungen hervorgerufene Schäden können vermieden
werden, wenn die Benutzer eingehend in die IT-Anwendungen eingewiesen werden. Daher ist es
unabdingbar, dass die Benutzer vor der Übernahme IT-gestützter Aufgaben ausreichend geschult
werden. Dies betrifft sowohl die Nutzung von Standardprogrammpaketen als auch von speziell
entwickelten IT-Anwendungen.
66
Darüber hinaus müssen auch bei umfangreichen Änderungen in einer IT-Anwendung
Schulungsmaßnahmen durchgeführt werden.
Stehen leicht verständliche Handbücher zu IT-Anwendungen bereit, so kann anstelle der Schulung
auch die Aufforderung stehen, sich selbständig einzuarbeiten. Eine wesentliche Voraussetzung dazu
ist allerdings die Bereitstellung ausreichender Einarbeitungszeit.
4.2.2 Schulung zu IT-Sicherheitsmaßnahmen
Verantwortlich für Initiierung: Vorgesetzte, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Vorgesetzte, IT-Sicherheitsmanagement
Die überwiegende Zahl von Schäden im IT-Bereich entsteht durch Nachlässigkeit. Um dies zu
verhindern, ist jeder einzelne zum sorgfältigen Umgang mit der IT zu motivieren. Zusätzlich sind
Verhaltensregeln zu vermitteln, die ein Verständnis für die IT-Sicherheitsmaßnahmen wecken.
Insbesondere sollen folgende Themen in der Schulung zu IT-Sicherheitsmaßnahmen vermittelt
werden:
- Sensibilisierung für IT-Sicherheit
Jeder Mitarbeiter ist auf die Notwendigkeit der IT-Sicherheit hinzuweisen. Das Aufzeigen der
Abhängigkeit der Behörde bzw. des Unternehmens und damit der Arbeitsplätze von dem
reibungslosen Funktionieren der IT-Systeme ist ein geeigneter Einstieg in die Sensibilisierung.
Darüber hinaus ist der Wert von Informationen herauszuarbeiten, insbesondere unter den
Gesichtspunkten
Vertraulichkeit,
Integrität
und
Verfügbarkeit.
Diese
Sensibilisierungsmaßnahmen sind in regelmäßigen Zeitabständen zu wiederholen, evtl. auch
durch praktische Hinweise z. B. in der Hauspost.
- Die mitarbeiterbezogenen IT-Sicherheitsmaßnahmen
Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden, die in einem ITSicherheitskonzept erarbeitet wurden und von den einzelnen Mitarbeitern umzusetzen sind.
Dieser Teil der Schulungsmaßnahmen hat eine große Bedeutung, da viele ITSicherheitsmaßnahmen erst nach einer entsprechenden Schulung und Motivation effektiv
umgesetzt werden können.
- Die produktbezogenen IT-Sicherheitsmaßnahmen
Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden, die inhärent mit
einem Softwareprodukt verbunden sind und bereits im Lieferumfang enthalten sind. Dies
können neben Passwörtern zur Anmeldung, der Pausenschaltung durch Bildschirmschoner
auch Möglichkeiten der Verschlüsselung von Dokumenten oder Datenfeldern sein. Hinweise
und Empfehlungen über die Strukturierung und Organisation von Dateien, die
Bewegungsdaten enthalten, können die Vergabe von Zugriffsrechten erleichtern und den
Aufwand zu Datensicherung deutlich reduzieren.
67
- Das Verhalten bei Auftreten eines Computer-Virus auf einem PC
Hier soll den Mitarbeitern vermittelt werden, wie mit Computer-Viren umzugehen ist.
Mögliche Inhalte dieser Schulung sind (siehe M 6.23 Verhaltensregeln bei Auftreten eines
Computer-Virus):
o
o
o
o
o
Erkennen des Computer-Virusbefalls
Wirkungsweise und Arten von Computer-Viren
Sofortmaßnahmen im Verdachtsfall
Maßnahmen zur Eliminierung des Computer-Virus
Vorbeugende Maßnahmen
- Der richtige Einsatz von Passwörtern
Hierbei sollen die Bedeutung des Passwortes für die IT-Sicherheit sowie die
Randbedingungen erläutert werden, die einen wirksamen Einsatz eines Passwortes erst
ermöglichen (vgl. auch M 2.11 Regelung des Passwortgebrauchs).
- Die Bedeutung der Datensicherung und deren Durchführung
Die regelmäßige Datensicherung ist eine der wichtigsten IT-Sicherheitsmaßnahmen in jedem
IT- System. Vermittelt werden soll das Datensicherungskonzept (s. Kapitel 3.4
Datensicherungskonzept) der Behörde bzw. des Unternehmens und die von jedem einzelnen
durchzuführenden Datensicherungsaufgaben. Besonders bedeutend ist dies für den PCBereich, in dem jeder Benutzer selbst die Datensicherung verantwortlich durchführen muss.
- Der Umgang mit personenbezogenen Daten
An den Umgang mit personenbezogene Daten sind besondere Anforderungen zu stellen.
Mitarbeiter, die mit personenbezogenen Daten (sowohl in IT-Systemen als auch in Akten)
arbeiten müssen, sind für die gesetzlich erforderlichen Sicherheitsmaßnahmen zu schulen.
Dies betrifft den Umgang mit Auskunftsersuchen, Änderungs- und Verbesserungswünschen
der Betroffenen, gesetzlich vorgeschriebene Löschfristen, Schutz der Vertraulichkeit und die
Übermittlung der Daten.
- Die Einweisung in Notfallmaßnahmen
Sämtliche Mitarbeiter (auch nicht unmittelbar mit IT befaßte Personen wie Pförtnerdienst
oder Wachpersonal) sind in bestehende Notfallmaßnahmen einzuweisen. Dazu gehört die
Erläuterung der Fluchtwege, die Verhaltensweisen bei Feuer, der Umgang mit Feuerlöschern,
das Notfall-Meldesystem (wer als erstes wie zu benachrichtigen ist) und der Umgang mit
dem Notfall-Handbuch.
- Vorbeugung gegen Social Engineering
Die Mitarbeiter sollen auf die Gefahren des Social Engineering hingewiesen werden. Die
typischen Muster solcher Versuche, über gezieltes Aushorchen an vertrauliche Informationen
zu gelangen, ebenso wie die Methoden, sich dagegen zu schützen, sollten bekannt gegeben
68
werden. Da Social Engineering oft mit der Vorspiegelung einer falschen Identität einhergeht,
sollten Mitarbeiter regelmäßig darauf hingewiesen werden, die Identität von
Gesprächspartnern zu überprüfen und insbesondere am Telefon keine vertraulichen
Informationen weiterzugeben.
Bei der Durchführung von Schulungen sollte immer beachtet werden, dass es nicht reicht, einen
Mitarbeiter einmal während seines gesamten Arbeitsverhältnisses zu schulen. Für nahezu alle
Formen von Schulungen, insbesondere Front-Desk-Schulungen, gilt, dass sehr viele neue
Informationen auf die Teilnehmer einstürzen. Diese gelangen nur zu einem kleinen Teil ins
Langzeitgedächtnis, 80% sind meist schon bei Schulungsende wieder vergessen.
Daher sollten Mitarbeiter immer wieder zu Themen der IT-Sicherheit geschult bzw. sensibilisiert
werden. Dies kann beispielsweise



in kürzeren Veranstaltungen zu aktuellen IT-Sicherheitsthemen,
im Rahmen regelmäßiger Veranstaltungen wie Abteilungsbesprechungen, oder
durch interaktive Schulungsprogramme, die allen Mitarbeitern zur verfügung stehen,
erfolgen.
4.2.3 Einführung in kryptographische Grundbegriffe
Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Leiter IT
Der Einsatz von Kryptoprodukten kann für die Benutzer zusätzlichen Aufwand bedeuten oder - je
nach Komplexität der eingesetzten Produkte - sogar vertiefte Kenntnisse erfordern. Daher sollten alle
Mitarbeiter, die kryptographische Verfahren und Produkte einsetzen sollen, für den Nutzen und die
Notwendigkeit der kryptographischen Verfahren sensibilisiert werden und eine Einführung in
kryptographische Grundbegriffe erhalten. Dies gilt natürlich insbesondere für diejenigen, die ein
Kryptokonzept erstellen, Kryptoprodukte auswählen, installieren oder betreuen sollen.
Der folgende Text soll ein elementares Verständnis der grundlegenden kryptographischen
Mechanismen vermitteln. Nachfolgend wird an Beispielen erläutert, in welcher Situation welche
kryptographische Technik eingesetzt werden kann.
Elemente der Kryptographie
Mathematische Methoden und Techniken, die zum Schutz von Information gegen unbefugte
Kenntnisnahme und/oder absichtliche Manipulation dienen können, nennt man kryptographisch. Der
Schutz der Information durch kryptographische Methoden ist - im Unterschied zu infrastrukturellen
und technischen Sicherungsmaßnahmen - mathematisch-logischer Natur.
69
Bei kryptographischen Verfahren wird ein mathematischer Rechenvorgang - ein Algorithmus - in
konkrete Technik umgesetzt. Ihre Wirksamkeit beruht darauf, dass ein potentieller Angreifer ein
gewisses mathematisches Problem nicht zu lösen vermag - und zwar nicht wegen mangelnder
Fähigkeiten, sondern wegen fehlenden Wissens um ganz bestimmte "Schlüssel"-Informationen.
Kryptographische Methoden beziehen sich stets auf folgende Situation: Ein Sender A (dieser wird,
wie in der Kryptographie üblich, "Alice" genannt) schickt über einen unsicheren Kanal eine Nachricht
an einen Empfänger B (er wird "Bob" genannt).
Sender und Empfänger dürfen dabei auch identisch sein, unter einem Kanal ist ein beliebiges
Transportmedium zu verstehen. Bei der Verschlüsselung lokaler Daten sind Sender und Empfänger
natürlich identisch, unter "Kanal" ist hier das Speichermedium zu verstehen.
Kryptographische Grundziele
Auf Grund theoretischer und praktischer Erwägungen unterscheidet man vier kryptographische
Grundziele:
1. Vertraulichkeit/Geheimhaltung: Keine unbefugte dritte Partei E (sie sei "Eve" genannt) soll an
den Inhalt der Nachricht bzw. Datei gelangen.
2. Integrität: Unbefugte Manipulationen an der Nachricht bzw. Datei (z. B. Einfügen, Weglassen,
Ersetzung von Teilen) sollen entdeckt werden können.
3. Authentizität:
o Identitätsnachweis
(Authentisierung von Kommunikationspartnern): Eine
Kommunikationspartei (z. B. Person, Organisation, IT-System) soll einer anderen ihre
Identität zweifelsfrei beweisen können.
o Herkunftsnachweis (Nachrichtenauthentisierung): A soll B beweisen können, dass
eine Nachricht von ihr stammt und nicht verändert wurde.
4. Nichtabstreitbarkeit (Verbindlichkeit, non repudiation): Hier liegt der Schwerpunkt verglichen
mit der Nachrichtenauthentisierung auf der Nachweisbarkeit gegenüber Dritten.
o Nichtabstreitbarkeit der Herkunft: Es soll A unmöglich sein, das Absenden einer
bestimmten Nachricht an B nachträglich zu bestreiten.
o Nichtabstreitbarkeit des Erhalts: Es soll B unmöglich sein, den Erhalt einer von A
gesendeten Nachricht nachträglich zu bestreiten.
Es ist klar, dass zwischen diesen Zielen Beziehungen bestehen, aber eine wesentliche Einsicht der
modernen Kryptographie ist folgende: Die Gewährleistung von Vertraulichkeit bzw. von Authentizität
sind unabhängige Grundziele eines kryptographischen Systems: Authentisierung beschränkt den
Kreis der möglichen Sender einer Nachricht, Geheimhaltung den der möglichen Empfänger.
Die grundlegende kryptographische Methode zur Wahrung von Vertraulichkeit ist Verschlüsselung,
die grundlegenden Methoden zur Gewährleistung von Integrität, Authentizität und
Nichtabstreitbarkeit sind Hashfunktionen, Message Authentication Codes (MACs), digitale
Signaturen und kryptographische Protokolle. Die einzelnen kryptographischen Konzepte werden im
folgenden kurz vorgestellt.
70
I. Verschlüsselung
Verschlüsselung (Chiffrieren) transformiert einen Klartext in Abhängigkeit von einer
Zusatzinformation, die "Schlüssel" genannt wird, in einen zugehörigen Geheimtext (Chiffrat), der für
diejenigen, die den Schlüssel nicht kennen, nicht entzifferbar sein soll. Die Umkehrtransformation die Zurückgewinnung des Klartextes aus dem Geheimtext - wird Entschlüsselung genannt. In allen
modernen Verschlüsselungsalgorithmen sind Klartexte, Geheimtexte und Schlüssel jeweils als Folgen
von Bits gegeben.
Um praktisch einsetzbar zu
Mindestanforderungen erfüllen:



sein,
müssen
Verschlüsselungsalgorithmen
folgende
Sie sollten entzifferungsresistent sein, d. h. ohne Kenntnis des Schlüssels darf das Chiffrat
nicht entschlüsselt werden können, insbesondere muss hierfür die Menge der möglichen
Schlüssel "ausreichend groß" sein, da sonst ein einfaches Ausprobieren aller Schlüssel
möglich wäre,
sie müssen einfach einzusetzen sein, und
Ver-/Entschlüsselung müssen "schnell genug" sein.
Die Forderung nach Entzifferungsresistenz ist immer relativ zu den aktuellen technischen und
mathematischen Möglichkeiten zu betrachten. Wichtig bei der Bewertung von
Verschlüsselungsalgorithmen ist, dass es zum Nutzungszeitpunkt praktisch nicht möglich sein darf,
das Chiffrat ohne Kenntnis des Schlüssels zu entschlüsseln, d. h. nicht mit der dann verfügbaren
Technik innerhalb eines akzeptablen Zeitrahmens.
Wenn A und B eine vertrauliche Verbindung einrichten wollen, gehen sie wie folgt vor:
1.
2.
3.
4.
sie vereinbaren ein Chiffrierverfahren,
sie vereinbaren einen Schlüssel bzw. ein Schlüsselpaar,
A verschlüsselt eine Nachricht und sendet diese an B,
B entschlüsselt das von A gesendete Chiffrat.
Es gibt zwei große Klassen von Chiffrierverfahren:
Symmetrische Verschlüsselungsverfahren benutzen denselben Schlüssel sowohl für die Ver- als auch
für die Entschlüsselung. Symmetrische Verfahren werden deshalb gelegentlich auch als "einSchlüssel"-Verfahren bezeichnet, da die Kenntnis eines Schlüssels ausreicht, um chiffrieren und
dechiffrieren zu können.
Bekannte symmetrische Verschlüsselungsverfahren sind z. B. DES, Tripel-DES, IDEA oder RC5.
Bei symmetrischen Verfahren unterscheidet man weiter zwischen Stromchiffren und Blockchiffren.
Bei Stromchiffren wird unter Verwendung des Schlüssels eine möglichst zufällig aussehende Bitfolge
(ein Bitstrom) generiert, die auf die Klarbitfolge (modulo 2) aufaddiert wird. Die Klarbitfolge wird also
71
Bit für Bit (durch Addition von Schlüsselstrombits) verschlüsselt. Für die Sicherheit von Stromchiffren
ist wesentlich, dass niemals zwei (verschiedene) Nachrichten mit demselben Schlüsselstrom
verschlüsselt werden - dafür muss mit speziellen Maßnahmen (Synchronisierinformation in Form
eines Spruchschlüssels) gesorgt werden. Beispiele für Stromchiffren sind RC4 und SEAL.
Bei Blockchiffren dagegen wird in einem Verschlüsselungstakt jeweils ein ganzer Block von Bits
verschlüsselt, heutzutage sind dies in der Regel 64 Bits. Die meisten symmetrischen
Verschlüsselungsverfahren sind Blockchiffren, dazu gehören auch DES, IDEA oder RC5. Für
Blockchiffren sind eine Reihe von Betriebsarten (Modi) definiert (und standardisiert). Es sind dies



der ECB (Electronic Code Book)-Modus, bei dem jeder Block für sich - unabhängig von den
anderen Blöcken - verschlüsselt wird,
der CBC (Cipher Block Chaining)-Modus und der CFB (Cipher Feed Back)-Modus, bei diesen
Modi wird, nach Wahl eines zusätzlichen Initialisierungsvektors, eine Abhängigkeit der
Chiffretextblöcke von allen vorhergehenden Chiffretextblöcken hergestellt, sowie
der OFB (Output Feedback Modus), dieser Modus kann so aufgefaßt werden, dass die
verwendete Blockchiffre zur Generierung eines "Blockstroms" verwendet wird, der auf die
Klarblöcke bitweise (modulo 2) aufaddiert wird.
Beim Einsatz symmetrischer Verfahren ist generell zu beachten, dass ein Schlüsselaustausch
zwischen den Kommunikationspartnern vorausgegangen sein muss. Dieser muss über einen sicheren
Kanal (z. B. Kurier, persönliche Übergabe) erfolgen und beide Parteien müssen anschließend den
Schlüssel geheimhalten. Es gibt verschiedene Verfahren für einen sicheren Schlüsselaustausch. In
geschlossenen Systemen ist der Schlüsselaustausch im allgemeinen unproblematisch zu realisieren,
da hier meist "sichere Kanäle" vorhanden sind. In offenen Systemen mit einer Vielzahl von
Kommunikationspartnern gestaltet sich dies schwieriger. Generell besteht jedoch das Problem, dass
bei einer Vielzahl möglicher Kommunikationspartner entsprechend viele Schlüssel vor der
eigentlichen Kommunikation ausgetauscht werden müssen und dass dabei die potentiellen
Kommunikationspartner vorab bekannt sein müssen.
72
Asymmetrische (Public Key)-Chiffrierverfahren dagegen benutzen zwei verschiedene (aber
mathematisch verwandte) Schlüssel: einen "öffentlichen" Schlüssel (Public Key) für die
Verschlüsselung, und einen "privaten" Schlüssel (Private Key) für die Entschlüsselung. Das
Schlüsselpaar muss dabei folgende Eigenschaft aufweisen: für alle, die lediglich den "Public Key"
kennen, muss es praktisch unmöglich sein, den zugehörigen "Private Key" zu bestimmen oder eine
mit dem "Public Key" verschlüsselte Nachricht zu entschlüsseln.
Asymmetrische Verschlüsselung hat also eine "Einbahn"-Eigenschaft: eine Nachricht kann nicht
wiederhergestellt werden, wenn der "Private Key" vergessen oder gelöscht wurde.
Die Bezeichnung "Public Key"-Verschlüsselung rührt daher, dass der "Public Key" öffentlich bekannt
gemacht werden kann, ohne die Sicherheit des Verfahrens zu kompromittieren. Der "Private Key"
hingegen muss geheim gehalten werden.
Will nun Alice eine Nachricht verschlüsselt an Bob senden, so holt sich Alice den öffentlichen
Schlüssel Bobs aus einer frei zugänglichen Datei und verschlüsselt damit die Nachricht. Nach Erhalt
der Nachricht benutzt Bob seinen geheimen Schlüssel, um die von Alice erhaltene Nachricht zu
entschlüsseln. Wenn Alice und Bob ein asymmetrisches Verfahren zum Zweck der Vertraulichkeit
verwenden, benötigen sie also keinen sicheren Kanal für den Schlüsselaustausch, aber Alice muss
sicher sein, dass sie tatsächlich Bobs öffentlichen Schlüssel benutzt und keinen Schlüssel, der ihr als
Bobs Schlüssel untergeschoben wurde. Würde Alice eine Nachricht mit einem untergeschobenen
Schlüssel verschlüsseln, so könnte der Täter, dem ja der passende geheime Schlüssel bekannt ist, die
Nachricht entschlüsseln. Der Sender benötigt in der Regel die Bestätigung einer vertrauenswürdigen
dritten Partei, dass der öffentliche Schlüssel des Empfängers wirklich zu diesem gehört. Diese
Bestätigung, das "Zertifikat", wird im allgemeinen auch durch ein kryptographisches Verfahren
erzeugt und dem öffentlichen Schlüssel beigefügt.
Zwei bekannte asymmetrische Verschlüsselungsverfahren sind das RSA-Verfahren (benannt nach den
Erfindern Rivest, Shamir, Adleman) und die Klasse der Elgamal-Verfahren. Zu letzteren gehören auch
die auf Elliptischen Kurven basierenden Verschlüsselungsverfahren.
Symmetrische und asymmetrische Chiffrierverfahren haben z. T. sich ergänzende Vor- und Nachteile:
Vorteile (guter) symmetrischer Verfahren:




Sie sind schnell, d. h. sie haben einen hohen Datendurchsatz.
Die Sicherheit ist im wesentlichen durch die Schlüssellänge festgelegt, d. h. bei guten
symmetrischen Verfahren sollte es keine Attacken geben, die wesentlich besser sind als das
Durchprobieren aller Schlüssel (Brute-Force-Attacken).
Sie bieten hohe Sicherheit bei relativ kurzem Schlüssel.
Die Schlüsselerzeugung ist einfach, da gewöhnlich als Schlüssel jede Bitfolge einer festen
Länge erlaubt ist und als Schlüssel eine Zufallszahl gewählt werden kann.
Nachteile symmetrischer Verfahren:
73



Jeder Teilnehmer muss sämtliche Schlüssel seiner Kommunikationspartner geheimhalten.
Zur Schlüsselverteilung sind sie weniger gut geeignet als asymmetrische Verfahren,
insbesondere bei einer großen Anzahl von Kommunikationspartnern.
Für Verbindlichkeitszwecke sind sie weniger praktikabel als asymmetrische Verfahren, da bei
der Verwendung symmetrischer Schlüssel nicht ohne weiteres erkannt werden kann, welcher
der beiden Kommunikationspartner die Nachricht verschlüsselt hat. Dies läßt sich nur durch
eine zwischengeschaltete dritte Partei sicherstellen, die über entsprechende
kryptographische Protokolle in den Nachrichtenfluss eingebunden wird.
Vorteile (guter) asymmetrischer Verfahren:




Jeder Teilnehmer einer vertraulichen Kommunikation muss nur seinen eigenen privaten
Schlüssel geheimhalten.
Sie lassen sich einfach für digitale Signaturen benutzen.
Sie bieten elegante Lösungen für die Schlüsselverteilung in Netzen, da die öffentlichen
Schlüssel bzw. Schlüsselzertifikate frei zugänglich auf zentralen Servern gespeichert werden
können, ohne die Sicherheit des Verfahrens zu beeinträchtigen.
Sie sind gut geeignet für Nicht-Abstreitbarkeitszwecke.
Nachteile asymmetrischer Verfahren:


Sie sind langsam, d. h. sie haben im allgemeinen einen geringen Datendurchsatz.
Sicherheit: für alle bekannten Public-Key-Verfahren gilt:
o
o

Es gibt wesentlich bessere Attacken als das Durchprobieren aller Schlüssel, deshalb
werden (im Vergleich zu symmetrischen Verfahren) relativ lange Schlüssel benötigt,
um ein gleich hohes Maß an Sicherheit zu erreichen.
Die Sicherheit beruht "nur" auf der vermuteten, aber von der Fachwelt anerkannten,
algorithmischen Schwierigkeit eines mathematischen Problems (zum Beispiel die
Zerlegung einer großen Zahl in die Primfaktoren).
Die Schlüsselerzeugung ist i. allg. komplex und aufwendig, da die Erzeugung "schwacher"
Schlüsselpaare vermieden werden muss.
Hybride Verfahren versuchen, die Vorteile beider Arten von Verschlüsselung zu kombinieren: sie
benutzen asymmetrische Verschlüsselung, um einen Sitzungsschlüssel ("Sessionkey") für ein
symmetrisches Verfahren zu übermitteln, und verschlüsseln die Massendaten mit dem
symmetrischen Verfahren. Der Sessionkey wird gewöhnlich nur für eine Sitzung (Übertragung)
verwendet und dann vernichtet. Das asymmetrische Schlüsselpaar wird je nach Umständen für einen
langen Zeitraum verwendet.
II. Integritätsschutz
Das Ziel des Integritätsschutzes ist es, dass ein Empfänger einer Nachricht feststellen kann, ob er
diese Nachricht unverfälscht erhalten hat. Das Grundprinzip des Integritätsschutzes besteht darin,
74
die Nachricht unverschlüsselt und unverändert zu übersenden, gleichzeitig aber bestimmte
Kontrollinformationen mitzuschicken, die die Kontrolle auf Unverfälschtheit der eigentlichen
Nachricht ermöglichen. Voraussetzung dazu ist allerdings, dass der Empfänger die Kontrolldaten
unmanipuliert erhält. Für diese Kontrolldaten stellen sich damit folgende Bedingungen:



Der Umfang der Kontrollinformationen muss möglichst gering sein, um die zusätzlich zu
übertragenden Informationen zu minimieren.
Praktisch jede Manipulation, auch nur eines einzelnen Bits der Nachricht muss anhand der
Kontrollinformationen feststellbar sein.
Die Kontrollinformationen müssen unmanipulierbar übertragen bzw. Manipulationen
müssen entdeckt werden können.
Zur Berechnung der Kontrollinformationen werden typischerweise zwei Verfahren verwendet:
Hashfunktionen und Message Authentication Codes.
Eine (Einweg-) Hashfunktion ist eine Datentransformation mit folgenden Eigenschaften:



Kompressionseigenschaft: Beliebig lange Bitfolgen werden auf Bitfolgen fester, i. allg.
kürzerer Länge abgebildet (typischerweise 128 - 160 Bit).
"Einweg"-Eigenschaft: Es muss "praktisch unmöglich" sein, zu einem vorgegebenen Hashwert
eine Nachricht zu finden, deren Hashwert der vorgegebene Hashwert ist.
Kollisionswiderstand: Es muss "praktisch unmöglich" sein, zwei Nachrichten zu finden, die
zum gleichen Hashwert führen.
Mit Hilfe einer beiden Kommunikationspartnern bekannten Hashfunktion können A und B die
Integrität einer Nachricht überprüfen: Alice hasht ihre Nachricht, und übermittelt diese und den
Hashwert so an Bob, dass die Unverfälschtheit des Hashwertes gewährleistet ist. Bob hasht die
empfangene Nachricht ebenfalls und vergleicht sein Ergebnis mit dem von Alice gelieferten
Hashwert. Stimmen beide Werte überein, so kann er davon ausgehen, dass kein Bit der Nachricht
verändert wurde.
Ein Message Authentication Code (MAC)ist eine kryptographische Checksumme zur
Nachrichtensicherung, also eine Datentransformation, bei der zusätzlich ein geheimer Schlüssel in die
Berechnung eingeht, mit folgenden Eigenschaften:


Kompressionseigenschaft: Beliebig lange Bitfolgen werden auf Bitfolgen fester, i. allg.
kürzerer Länge abgebildet.
Fälschungssicherheit: Für jeden, der nicht im Besitz des Schlüssels ist, muss es "praktisch
unmöglich" sein, den MAC-Wert einer neuen Nachricht zu berechnen, selbst wenn er in den
Besitz einiger alter Nachrichten mit den zugehörigen MAC-Werten gelangt ist.
Besitzen Alice und Bob einen MAC und einen gemeinsamen, geheimen MAC-Schlüssel, so
authentisiert Alice ihre Nachricht einfach dadurch, dass sie den MAC-Wert der Nachricht berechnet
und zusammen mit der Nachricht an Bob schickt. Bob berechnet seinerseits den MAC-Wert der
empfangenen Nachricht mit dem auch ihm bekannten MAC-Schlüssel. Stimmt dieser mit Alices Wert
75
überein, so kann er davon ausgehen, dass die Nachricht authentisch ist (d. h. dass sie nicht verändert
wurde und wirklich von Alice stammt). Alice hat also ihre Nachricht durch Verwendung des nur ihr
und Bob bekannten Schlüssels gegenüber Bob authentisiert.
MACs werden häufig auf Basis symmetrischer Chiffrierverfahren konstruiert. Die bekannteste
Variante ist hierbei die Verschlüsselung einer Nachricht mit DES oder einem anderem BlockChiffrierverfahren im CBC- oder CFB-Mode. Dabei wird als MAC der letzte verschlüsselte Block an die
Nachricht angehängt. Daneben gibt es aber auch MACs, die nicht auf Chiffrierverfahren beruhen. Der
MAC-Wert einer Nachricht kann als fälschungssichere, schlüsselabhängige, kryptographische
Checksumme dieser Nachricht angesehen werden. Die Anwendung von MACs zum Zweck der
Authentisierung erfordert, dass beide Parteien den geheimen Authentisierungsschlüssel zuverlässig
schützen.
Als Nebeneffekt des Integritätsschutzes kann mit oben skizzierten Verfahren gleichzeitig vom
Empfänger der Nachricht nachgeprüft werden, dass die als unmanipuliert verifizierte Nachricht nur
vom tatsächlich bekannten Sender verschickt werden konnte. Dieser Schluß läßt sich ziehen, da nur
dieser Sender die notwendigen Schlüssel zur Verschlüsselung bzw. Ermittlung der
Kontrollinformationen besitzt.
III. Authentizitätsnachweise
Bei der Authentisierung von Benutzern gegenüber Kommunikationspartnern/IT-Systemen bzw.
Clients gegenüber Servern sollen



illegitime Zugriffe erkannt und abgewehrt werden,
legitime Zugriffe erlaubt werden und
sensible Daten auch bei Übertragungen über Netze geschützt bleiben.
Dazu sind Verfahren erforderlich, die allen Beteiligten die Feststellung der Identität ihrer
Kommunikationspartner unmißverständlich erlauben. Dies schließt einen Zeitaspekt ein: Alice will
Bob in "real time" davon überzeugen, dass tatsächlich sie mit ihm kommuniziert. Die Haupttechniken
für solche Authentisierungen sind kryptographische Challenge-Response-Protokolle.
Hierbei sendet Bob Daten an Alice und fordert sie auf (Challenge), ihm den Besitz eines Geheimnisses
(also einer Schlüsselinformation) nachzuweisen, und Alice demonstriert ihm diesen Besitz ohne das
Geheimnis selbst preiszugeben, indem sie eine vom Geheimnis und seiner Challenge abhängige
Antwort sendet (Response). Bob wiederum überprüft anhand der Antwort, dass zur Berechnung der
Antwort wirklich das korrekte Geheimnis verwendet wurde.
Für eine "starke" Authentisierung dürfen sich die Challenges nicht wiederholen. Bei ChallengeResponse-Verfahren können sowohl symmetrische als auch asymmetrische Techniken verwendet
werden.
Beispiel: Alice und Bob verständigen sich vorab auf ein symmetrisches Verschlüsselungsverfahren
und einen gemeinsamen kryptographischen Schlüssel. Zur Authentisierung sendet Bob eine
76
Zufallszahl als Challenge an Alice. Alice wiederum verschlüsselt diese Zufallszahl mit dem
gemeinsamen geheimen Schlüssel und sendet das Ergebnis zurück an Bob. Im nächsten Schritt
entschlüsselt Bob die Nachricht und vergleicht, ob das Ergebnis seine anfangs gewählte Zufallszahl
ist. Bei Gleichheit ist es tatsächlich Alice, da nur sie den geheimen Schlüssel kennt.
IV. Digitale Signatur
Das kryptographische Konstrukt einer digitalen Signatur dient dem Ziel, für digitale Dateien und
Nachrichten ein Pendant zur handschriftlichen Unterschrift einsetzen zu können. Dazu werden einige
der schon erläuterten kryptographischen Verfahren wie Hashfunktionen und asymmetrische
Verfahren zusammengeführt. Die wesentliche Voraussetzung für digitale Signaturen ist, dass jeder
Teilnehmer ein nur ihm bekanntes Geheimnis besitzt, mit dem er zu beliebigen Dateien eine digitale
Signatur bilden kann. Anhand von öffentlichen Informationen muss es dann möglich sein, diese
digitale Signatur zu überprüfen.
In diesem Sinne ist eine digitale Signatur ein spezieller Integritätsschutz mit zusätzlichen
Besonderheiten. Eine digitale Signatur ist eine Kontrollinformation, die an eine Nachricht oder Datei
angehängt wird, mit der folgende Eigenschaften verbunden sind:


Anhand einer digitalen Signatur kann eindeutig festgestellt werden, wer diese erzeugt hat,
und
es ist authentisch überprüfbar, ob die Datei, an die die digitale Signatur angehängt wurde,
identisch ist mit der Datei, die tatsächlich signiert wurde.
Kann also anhand der öffentlich zugänglichen Informationen die digitale Signatur verifiziert werden,
so ist einerseits die Integrität der signierten Datei gegeben und andererseits die Nichtabstreitbarkeit,
da nur die Person, der die digitale Signatur eindeutig zugeordnet werden kann, diese Signatur
anhand ihrer geheimen Informationen gebildet haben kann. Zu beachten ist, dass unterschiedliche
Dateien auch unterschiedliche digitale Signaturen zur Folge haben und das geringste Änderungen an
den Dateien zu nicht verifizierbaren Signaturen führen.
Beispiel: Ein weitverbreitetes Verfahren für digitale Signaturen ist die umgekehrte Anwendung des
RSA-Verfahrens. Dabei besitzt jeder Teilnehmer einen nur ihm bekannten geheimen Signierschlüssel.
Öffentlich zugänglich sind Verifizierschlüssel-Zertifikate, in denen der passende öffentliche Schlüssel
und die Angaben zum Besitzer des passenden geheimen Signierschlüssels unfälschbar miteinander
verknüpft sind. Diese Zertifikate werden von vertrauenswürdigen Stellen herausgegeben, die zuvor
die Personalien der Teilnehmer geprüft haben.
Um für eine beliebige Datei eine digitale Signatur zu berechnen und zu prüfen, wird nun wie folgt
vorgegangen:
1. Schritt: Alice berechnet den Hashwert der ausgewählten Datei.
2. Schritt: Alice verschlüsselt diesen Hashwert mit dem nur ihr bekannten geheimen Signierschlüssel.
Das Ergebnis ist die digitale Signatur von Alice zu dieser Datei.
77
3. Schritt: Alice überträgt die digitale Signatur gemeinsam mit dem Verifizierschlüssel-Zertifikat und
der Datei an Bob.
4. Schritt: Bob verifiziert das Zertifikat (z. B. mit dem öffentlichen Schlüssel einer
Zertifizierungsstelle).
5. Schritt: Bob berechnet den Hashwert der erhaltenen Datei.
6. Schritt: Anhand des im Verifizierschlüssel-Zertifikat enthaltenen öffentlichen Verifizierschlüssels
entschlüsselt Bob die digitale Signatur.
7. Schritt: Bob vergleicht den in Schritt 4 berechneten Hashwert und die entschlüsselte Signatur. Sind
sie identisch, so ist die digitale Signatur verifiziert. Besteht keine Gleichheit, kann Bob keine weiteren
Schlüsse ziehen.
8. Schritt:Nach der Verifikation der digitalen Signatur kann Bob als Ergebnisse festhalten:
o
o
Falls sichergestellt ist, dass tatsächlich nur Alice den geheimen Schlüssel besitzt, kann
Bob sicher sein, dass die digitale Signatur von Alice, die im VerifizierschlüsselZertifikat aufgeführt ist, erzeugt wurde.
Die erhaltene Datei ist identisch mit der Datei, für die Alice die digitale Signatur
berechnet hat.
Betont sei, dass digitale Signaturen ausschließlich die Ziele Integrität und Nichtabstreitbarkeit
sicherstellen, jedoch in keiner Weise die Vertraulichkeit. Eine digital signierte Nachricht wird im
Klartext übertragen, ist sie vertraulich, muss sie zusätzlich verschlüsselt werden.
Enthält eine digital signierte Datei eine Willenserklärung des Signierers, kann dann anhand der
Signatur diese Willenserklärung unabstreitbar dem Signierer, ggf. auch vor Gericht, zugerechnet
werden.
Die verwendeten Verifizierschlüssel-Zertifikate wiederum sind selbst von der vertrauenswürdigen
Stelle digital signierte Dateien, die analog überprüft werden können und die Auskunft geben über
den Verifizierschlüssel und die Person, die den dazu passenden geheimen Signierschlüssel besitzt.
Man beachte die Unterschiede zwischen MACs und digitalen Signaturen:


Die digitale Signatur kann durch jeden, der das Verifizierschlüssel-Zertifikat besitzt, verifiziert
werden, MACs dagegen nur durch die Parteien, die den geheimen Authentisierungsschlüssel
kennen.
Alices digitale Signatur einer Nachricht kann nur von Alice erstellt werden, der MAC-Wert
einer Nachricht dagegen von beiden Parteien, Alice und Bob (und allen anderen, die den
geheimen Authentisierungsschlüssel kennen). Es ist deshalb unmöglich, MACs für den Zweck
der Verbindlichkeit einzusetzen.
78
Mit Artikel 3 des Informations- und Kommunikationsdienste-Gesetzes (Bundesgesetzblatt 1879, Teil
1, 1997) ist für die Bundesrepublik Deutschland ein Gesetz zur digitalen Signatur in Kraft getreten.
Dieses regelt, welche Sicherheitsanforderungen die technischen Komponenten, die für digitale
Signaturen eingesetzt werden, erfüllen müssen und welche Aufgaben Zertifizierungsstellen, die
Verifizierschlüssel-Zertifikate ausstellen, haben. Darüber hinaus wird geregelt, wie die erforderliche
Sicherheit der Komponenten und Zertifizierungsstellen geprüft wird. Im Ergebnis wird digitalen
Signaturen nach dem Signaturgesetz auch vor Gericht eine hohe Sicherheit zugebilligt.
Schlüsselmanagement
Bei jedem Einsatz von Verschlüsselung entsteht die Aufgabe, die Schlüssel angemessen zu verwalten.
Es stellt sich die Frage, wie man











Erzeugung/Initialisierung,
Vereinbarung/Etablierung,
Verteilung/Transport,
Wechsel/Update,
Speicherung,
Beglaubigung/Zertifizierung,
Rückruf,
Wiedergewinnung im Fall von Vernichtung/Verlust,
Vernichtung/Löschen,
Archivierung und
Escrow (treuhänderische Hinterlegung)
während des gesamten Lebenszyklus der Schlüssel durchführt. Das Schlüsselmanagement kann und
wird sich gewöhnlich auch kryptographischer Techniken bedienen. Es muss für die Gesamtheit der
Kryptomodule eines kryptographisch basierten Sicherungssystems durchgeführt werden. Geheime
Schlüssel müssen vor unbefugter Aufdeckung, Modifizierung und Ersetzung geschützt werden.
Öffentliche Schlüssel müssen vor unbefugter Modifizierung und Ersetzung geschützt werden.
Angemessenes Schlüsselmanagement ist die Voraussetzung dafür, dass Information durch
kryptographische Methoden überhaupt geschützt werden kann. Schlüsselmanagement benötigt
eigens dieser Aufgabe gewidmete Ressourcen!
Zertifizierungsstellen
Trust Center bzw. Zertifizierungsstellen werden immer dann benötigt, wenn man für eine nicht mehr
überschaubare Anzahl von Teilnehmern asymmetrische Kryptoverfahren für die digitale Signatur
oder für Verschlüsselung einsetzen will. Solche Verfahren benötigen bei der Signaturbildung bzw. der
Verschlüsselung einen anderen Schlüssel als bei der Signaturprüfung bzw. der Entschlüsselung. Dazu
wird benutzerbezogen ein Schlüsselpaar korrespondierender Schlüssel erzeugt. Ein Schlüssel, der
sogenannte öffentliche Schlüssel, wird öffentlich bekanntgegeben. Der andere Schlüssel, der
sogenannte private Schlüssel, ist absolut geheimzuhalten. Mit dem privaten Schlüssel - und nur mit
diesem - kann eine digitale Signatur erzeugt bzw. ein Text entschlüsselt und mit dem zugehörigen
öffentlichen Schlüssel - und nur mit diesem - verifiziert bzw. verschlüsselt werden. Will man nun die
79
Echtheit der öffentlichen Schlüssel und die sichere Zuordnung der Schlüssel zu Personen
sicherstellen, bedarf es der bereits erwähnten Trust Center / Zertifizierungsstellen, die die Zuordnung
einer Person zu einem öffentlichen Schlüssel durch ein Zertifikat bestätigen.
Innerhalb solcher Zertifizierungsstellen werden typischerweise folgende Aufgaben wahrgenommen:






Schlüsselgenerierung: Es sind für die Zertifizierungsstelle und ggf. für Teilnehmer
Schlüsselpaare zu generieren.
Schlüsselzertifizierung: Die Teilnehmerdaten, der korrespondierende öffentliche Schlüssel
und weitere Daten werden zu einem Zertifikat zusammengefaßt und von der
Zertifizierungsstelle digital signiert.
Personalisierung: Das Zertifikat und ggf. öffentlicher und privater Schlüssel werden auf eine
Signaturkomponente (i. a. eine Chipkarte) übertragen.
Identifizierung und Registrierung: Die Teilnehmer werden gegen Vorlage eines
Ausweispapieres identifiziert und registriert.
Verzeichnisdienst: Zertifikate werden in einem öffentlichen Verzeichnis abrufbar gehalten.
Darüber hinaus muss der Verzeichnisdienst Auskunft darüber geben, ob ein Zertifikat
gesperrt ist oder nicht.
Zeitstempeldienst: Für bestimmte Daten kann es notwendig sein, diese mit einem
vertrauenswürdigen Zeitpunkt zu verknüpfen. Dazu wird der Zeitpunkt an die Daten
angehängt und das Ergebnis vom Zeitstempeldienst digital signiert.
Trust Center können außerdem zusätzlich Schlüsselaufbewahrung als Dienstleistung anbieten, wenn
die kryptographischen Schlüssel für Verschlüsselung eingesetzt werden sollen. Um bei
Schlüsselverlust noch auf die verschlüsselten Daten zugreifen zu können, kann dann der
Schlüsselbesitzer (und nur dieser) eine Schlüsseldublette erhalten, die im Trust Center geschützt
aufbewahrt wird.
Schlüsselverteilungszentralen
Die Sicherheit symmetrischer Verschlüsselungsverfahren hängt davon ab, ob der gemeinsam
benutzte geheime Schlüssel nur den zum Zugriff auf die geschützten Informationen berechtigten
Benutzern bekannt ist. Im Falle des Schutzes gespeicherter Daten, auf die nur deren Eigentümer
Zugriff haben soll, ist dies relativ einfach zu gewährleisten, da dieser Eigentümer lediglich den
Schlüssel so schützen muss, dass Unbefugte nicht darauf zugreifen können.
Anders sieht es jedoch aus, wenn Nachrichten, die von einem Sender über ein unsicheres
Übertragungsmedium an einen Empfänger zu übermitteln sind, mit einem symmetrischen
Verschlüsselungsverfahren geschützt werden sollen. In diesem Fall muss der geheime Schlüssel
sowohl beim Sender als auch beim Empfänger vorliegen, d. h. es muss eine Möglichkeit geschützten
Informationsaustauschs zwischen den beiden Partnern verfügbar sein. In der Praxis wird dies oft
durch die verschlüsselte Verteilung von Kommunikationsschlüsseln durch sogenannte
Schlüsselverteilungszentralen (Key Distribution Centers, KDCs) realisiert, wobei ganze Hierarchien
voneinander sicherheitstechnisch abhängiger Schlüssel aufgebaut werden. Die hier zum Einsatz
kommenden Verfahren sind teilweise sehr komplex und hängen hinsichtlich ihrer Sicherheit von
80
einer Vielzahl von Komponenten ab, insbesondere von der physischen, organisatorischen,
personellen und technischen Sicherheit der KDCs und der zur Kommunikation mit den KDCs
vereinbarten Schlüssel.
Eine Kompromittierung eines geheimen Schlüssels, d. h. sein Bekanntwerden gegenüber einem
unberechtigten Dritten, führt zum Verlust der Vertraulichkeit aller Daten, deren Verschlüsselung mit
diesem Schlüssel erfolgte bzw. davon abhängt. Dies ist insbesondere dann kritisch, wenn einer der
zentralen Schlüssel einer Schlüsselverteilungshierarchie kompromittiert wurde.
Einsatz kryptographischer Verfahren
Bei sachgemäßem Einsatz sind kryptographische Verfahren hervorragend geeignet, folgende
Bedrohungen abzuwehren:



Kenntnisnahme von Informationen durch Unbefugte,
bewußte Manipulation von Daten durch Unbefugte und
Manipulationen an der Urheberschaft von Informationen.
Der alleinige Einsatz von Kryptographie reicht allerdings nicht aus, um alle Bedrohungen
abzuwehren.



Der Einsatz kryptographischer Methoden trägt nichts dazu bei, um die Verfügbarkeit von
Daten zu gewährleisten (bei unsachgemäßem Gebrauch von Verschlüsselung droht sogar
Datenverlust!).
Kryptographische Methoden können gegen Denial-of-Service-Attacken (siehe auch G 5.28
Verhinderung von Diensten) nichts ausrichten. Sie können aber zur frühzeitigen Erkennung
solcher Attacken beitragen.
Sie helfen auch nicht gegen zufällige Verfälschungen von Informationen (etwa durch
"Rauschen"). Sie können Verfälschungen aber nachträglich erkennbar machen.
4.3 Hardware/Software:
4.3.1 Geeignetes Schnittstellendesign bei Kryptomodulen
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Ein Kryptomodul sollte so beschaffen und konfigurierbar sein, dass der gesamte Informationsfluss
von und zu dem Modul oder gar ein unmittelbarer physikalischer Zugriff auf den Datenbestand des
Moduls kontrolliert bzw. eingeschränkt werden kann. Je nach Anwendungsfall bzw. Schutzbedarf
empfiehlt sich die Verwendung von physikalisch getrennten Ein- und Ausgabeports. In jedem Fall
sollten die Modulschnittstellen so aufgebaut sein, dass die einzelnen Datenkanäle logisch
voneinander verschieden sind, obwohl sie möglicherweise einen gemeinsamen Ein- oder
Ausgangsport teilen. Im Zusammenhang mit dem Schlüsselmanagement des Kryptomoduls muss
81
gewährleistet sein, dass die Ausgabekanäle von der internen Schlüsselgenerierung bzw. dem
Eingabeport für die manuelle Schlüsseleingabe zumindest logisch getrennt sind. In vielen Fällen
werden zum Anschluss einer externen Versorgungsspannung bzw. eines externen Versorgungstakts
und zur ausschließlichen Verwendung von Reparatur- oder Wartungsaufgaben separate
Schnittstellen zur Verfügung stehen. Aus der Perspektive des Kryptomoduls ist daher die folgende
Aufteilung und Verwendung zweckmäßig:




Dateneingabeschnittstelle, die all diejenigen Eingabedaten des Kryptomoduls führt, die im
Modul weiterverarbeitet oder bearbeitet werden (z. B. kryptographische Schlüssel,
Authentisierungsinformationen, Statusinformationen von anderen Kryptomodulen,
Klartextdaten etc.).
Datenausgabeschnittstelle, die all diejenigen Daten des Kryptomoduls führt, die vom Modul
an
dessen
Umgebung
gelangen
sollen
(z.
B.
verschlüsselte
Daten,
Authentisierungsinformationen, Steuerinformationen für andere Kryptomodule, etc.).
Steuereingabeschnittstelle, die sämtliche Steuerbefehle, -signale und -daten zur
Ablaufsteuerung und Einstellung der Betriebsweise des Moduls führt.
Statusausgabeschnittstelle, die alle Signale, Anzeigen und Daten an die Umgebung abführt,
um den inneren Sicherheitszustand des Kryptomoduls anzuzeigen.
Und schließlich

Maintenance-Schnittstelle, die ausschließlich Wartungs- und/oder Reparaturzwecken dient.
Die Dokumentation für eine Kryptokomponente sollte eine Beschreibung sämtlicher Komponenten
enthalten (Hard-, Firm- und/oder Software).
Ferner sollte die Dokumentation die komplette Spezifikation der Modulschnittstellen beinhalten
zuzüglich der physikalischen oder logischen Ports, manuellen oder logischen Steuereinheiten,
physikalischen oder logischen Anzeigeelementen sowie deren physikalischen, logischen oder
elektrischen Eigenschaften. Wenn eine Kryptokomponente eine Maintenance-Schnittstelle enthält,
sollte die Dokumentation auch die vollständige Spezifikation der durchzuführenden
Wartungsprozesse zur Verfügung stellen. Alle physikalischen und logischen Ein- und Ausgabekanäle
innerhalb des Moduls müssen explizit offengelegt sein. Neben der konkreten Einbindung der
Kryptokomponente in eine vorgesehene Einsatzumgebung ist auch die Bedienung und Benutzung der
Kryptokomponente zu beschreiben.
Die Dokumentation sollte weiterhin eine Zusammenstellung der Sicherheitsfunktionalität enthalten
und womöglich die Abhängigkeit von Hard-, Firm- oder Software aufzeigen, die je nach Konzeption
der Kryptokomponente nicht unmittelbar zum Lieferumfang der Kryptokomponente gehören.
Die Dokumentation über die Modulschnittstellen sind vom Modulhersteller zur Verfügung zu stellen.
Die Dokumentation wird beispielsweise von einem Administrator benötigt, der beabsichtigt, das
Kryptomodul in seine Systemumgebung zu integrieren, oder von einem Evaluator, der eine
Sicherheitsbeurteilung des Kryptomoduls vornehmen möchte.
82
4.3.2 Sichere Rollenteilung und Konfiguration bei Kryptomodulen
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Viele kryptographische Sicherheitskomponenten bieten die Möglichkeit, dass mehrere Nutzerrollen
sowie die zugehörigen Handlungen, die durch das autorisierte Personal ausgeführt werden können,
unterschieden werden können. Abhängig vom Schutzbedarf sind hierzu Zugriffskontroll- und
Authentisierungsmechanismen erforderlich, um verifizieren zu können, ob ein Nutzer zur Ausführung
des gewünschten Dienstes auch tatsächlich autorisiert ist. In Bezug auf die unterschiedlichen Rollen
bietet sich folgende Unterteilung an:


Benutzerrolle, der die Benutzung und Verwendung der Sicherheitskomponente obliegt (z. B.
Endteilnehmer, Benutzer).
Operatorrolle, die für die Installation und das Kryptomanagement verantwortlich ist (z. B.
Sicherheitsadministrator).
Und zumindest eine

Maintenance-Rolle, die für Wartungs- und Reparaturarbeiten zuständig ist (z. B.
Wartungstechniker, Revisor).
Bei Kryptokomponenten, bei denen die Benutzer- und die Administratorrolle getrennt werden kann,
sollte diese Möglichkeit auch genutzt werden und durch die Administration Grundeinstellungen
vorgegeben werden, wie z. B. Paßwortlänge oder Schlüssellänge, so dass die Benutzer nicht aus
Bequemlichkeit oder Unkenntnis unsichere Einstellungen wählen können.
Neben den unterschiedlichen Rollen gilt es entsprechend auch die verschiedenen Handlungen bzw.
die von der Sicherheitskomponente bereitgestellten Dienste zu unterscheiden. Ein Kryptomodul
sollte zumindest folgende Dienste zur Verfügung stellen:



Statusanzeige zur Ausgabe des momentanen Status der Kryptokomponente,
Selbsttest zur Initialisierung und Durchführung von selbständigen Selbsttests,
Bypass zur Aktivierung und Deaktivierung eines Bypass mittels dessen durch das
Kryptomodul Klarinformationen bzw. ungesicherte Daten transportiert werden.
Zur erforderlichen Authentisierung des Personals gegenüber der Sicherheitskomponente bieten sich
eine Vielzahl von unterschiedlichen Techniken an: Paßwort, PIN, kryptographische Schlüssel,
biometrische Merkmale etc. Die Kryptokomponente sollte so konfiguriert sein, dass bei jedem
Rollenwechsel
oder
bei
Inaktivität
nach
einer
bestimmten
Zeitdauer
die
Authentisierungsinformationen erneut eingegeben werden müssen. Ferner empfiehlt sich an dieser
Stelle eine Beschränkung der Authentisierungsversuche (z. B. indem der Fehlbedienungszähler auf 3
gesetzt wird).
83
4.3.3 Physikalische Sicherheit von Kryptomodulen
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Wie in M 2.165 Auswahl eines geeigneten kryptographischen Produktes beschrieben, können
Kryptomodule in Software, Firmware oder Hardware realisiert sein. Firmware- bzw. HardwareProdukte werden insbesondere dann gewählt, wenn das Kryptomodul besonders
manipulationsresistent sein soll.
Unter diesem Gesichtspunkt sollte das Kryptomodul unter Verwendung von physikalischen
Sicherheitsmaßnahmen oder unter Ausnutzung entsprechender Materialeigenschaften so konstruiert
sein, dass ein unautorisierter physikalischer Zugriff auf Modulinhalte erfolgreich verhindert werden
kann. Dies soll möglichen technischen Manipulationen oder sonstigen Beeinträchtigungen im
laufenden Betrieb vorbeugen. In Abhängigkeit von der Sicherheitsstufe des Kryptomoduls sind hierzu
beispielsweise die Verwendung von Passivierungsmaterialien, geeignete Tamperschutzmaßnahmen
oder mechanische Schlösser in Betracht zu ziehen. Eine automatische Notlöschung, die eine aktive
Löschung oder die Vernichtung aller im Klartext enthaltenen sensitiven Schlüsseldaten und parameter bewerkstelligen kann, innerhalb des Kryptomoduls nach identifizierten Angriffsversuchen,
zählt ebenfalls in diese Maßnahmenkategorie.
Mit dem Einsatz von diversen Sensoren und Überwachungseinrichtungen läßt sich sicherstellen, dass
das Kryptomodul - was Spannungsversorgung, Taktung, Temperatur, mechanische Beanspruchung,
elektromagnetische Beeinträchtigung etc. anbelangt - in seinem vorgesehenen Arbeitsbereich
betrieben wird.
Zur Aufrechterhaltung seiner beabsichtigten Funktionalität sollte das Kryptomodul Selbsttests
initiieren und durchführen können. Diese Tests können sich auf folgende Bereiche erstrecken:
Algorithmentests, Software und Firmwaretests, Funktionstests, statistische Zufallstests,
Konsistenztests, Bedingungstests sowie Schlüsselgenerierungs- und -ladetests. Im Anschluss an ein
negatives Testergebnis sollte dem Benutzer des Kryptomoduls eine entsprechende Fehlermeldung
signalisiert und ein entsprechender Fehlerzustand eingenommen werden. Erst nach Behebung der
Fehlerursache(n) darf eine Freischaltung aus diesem Fehlerzustand möglich sein.
Beim Einsatz von Softwareprodukten muss die physikalische Sicherheit des Kryptomoduls durch das
jeweilige IT-System bzw. dessen Einsatzumgebung geleistet werden. Sicherheitstechnische
Anforderungen an solche IT-Systeme können den systemspezifischen Bausteinen entnommen
werden.
Eine Softwarelösung sollte Selbsttests durchführen können, um Modifikationen durch Trojanische
Pferde oder Coputer-Viren erkennen zu können.
84
4.3.4 Anforderungen an die Betriebssystem-Sicherheit beim Einsatz von Kryptomodulen
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Beim Einsatz von Kryptomodulen spielt deren Einbindung ins bzw. Abhängigkeit vom jeweiligen
Betriebssystem des Hostsystems eine wesentliche Rolle. Das Zusammenwirken von Betriebssystem
und Kryptomodul muss gewährleisten, dass




das Kryptomodul nicht abgeschaltet oder umgangen werden kann (z. B. durch Manipulation
oder Austausch von Treibern),
die angewendeten oder gespeicherten Schlüssel nicht kompromittiert werden können (z. B.
durch Auslesen von RAM-Bereichen),
die zu schützenden Daten nur mit Wissen und unter Kontrolle des Anwenders auch
unverschlüsselt auf Datenträgern abgespeichert werden können bzw. das
informationsverarbeitende System verlassen (z. B. bei Netzanbindung),
Manipulationsversuche am Kryptomodul erkannt werden.
Je nach Art des Kryptomoduls (Hardware- oder Software-Realisierung, Einbindungsstrategie in die ITKomponente etc.), den Einsatzbedingungen und dem Schutzbedarf der zu sichernden Daten können
sich unterschiedlich starke Anforderungen bzgl. der Betriebssystem-Sicherheit ergeben. Bei in
Software realisierten Kryptomodulen ist der Einsatz eines sicheren Betriebssystems besonders
wichtig. Kommerzielle PC- Betriebssysteme sind in der Regel derart komplex und kurzen
Innovationszyklen unterworfen, dass die Daten- bzw. Systemsicherheit kaum nachweisbar oder
beweisbar ist. Eine Ausnahme können proprietäre oder für spezielle Anwendungen optimierte
Betriebssysteme bilden (z. B. spezielle Betriebssysteme in Kryptogeräten). Daher ist es beim Einsatz
von kryptographischen Produkten auf Standard-Betriebssystemen wie z. B. zur Dateiverschlüsselung
oder zur E-Mail-Absicherung wichtig, dass alle Standardsicherheitsmaßnahmen für dieses
Betriebssystem umgesetzt sind. Die sicherheitstechnischen Anforderungen an diese IT-Systeme
können den jeweiligen systemspezifischen Bausteinen entnommen werden, so etwa für Clients in
Kapitel 5, für Server in Kapitel 6.
In Hardware realisierte Kryptomodule können so konstruiert sein, dass sie Mängel der
Betriebssystem-Sicherheit kompensieren oder vollständig ausräumen. Hier liegt die Verantwortung
zur Erfüllung der o. g. Anforderungen allein beim Kryptomodul. Es muss z. B. erkennen können, ob
unverschlüsselte Daten berechtigt oder unberechtigt am Modul vorbei auf Datenträger oder andere
Geräteschnittstellen geschrieben werden. Der Anwender muss in Übereinstimmung mit der für sein
Umfeld individuell erstellten Sicherheitspolitik entscheiden, welche Kombination Betriebssystem /
Kryptomodul erforderlich ist.
4.3.5 Abstrahlsicherheit
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
85
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Jedes elektronische Gerät strahlt mehr oder weniger starke elektromagnetische Wellen ab. Diese
Abstrahlung ist als Störstrahlung bekannt und ihre maximal zulässige Stärke ist im Gesetz über die
elektromagnetische Verträglichkeit von Geräten (EMVG) geregelt. Bei Geräten, die Informationen
verarbeiten (PC, Drucker, Fax-Gerät, Modem, etc.) kann diese Störstrahlung auch die gerade
verarbeitete Information mit sich führen. Derartige informationstragende Abstrahlung wird
bloßstellende Abstrahlung genannt. Wird die bloßstellende Abstrahlung in einiger Entfernung, z. B. in
einem Nachbarhaus oder auch in einem in der Nähe abgestellten Fahrzeug empfangen, kann daraus
die Information rekonstruiert werden. Die Vertraulichkeit der Daten ist damit in Frage gestellt. Die
Grenzwerte des EMVG reichen im allgemeinen nicht aus, um das Abhören der bloßstellenden
Abstrahlung zu verhindern. Hierzu müssen in aller Regel zusätzliche Maßnahmen getroffen werden.
Bloßstellende Abstrahlung kann einen Raum auf unterschiedliche Weise verlassen:






in Form von elektromagnetischen Wellen, die sich wie Rundfunkwellen durch den freien
Raum ausbreiten.
als leitungsgebundene Abstrahlung entlang metallischer Leiter (Kabel, Klimakanäle,
Heizungsrohre).
durch Überkoppeln von einem Datenkabel in parallel hierzu verlegte Kabel. Auf dem
Parallelkabel breitet sich die Abstrahlung aus und kann von diesem noch in großer
Entfernung abgegriffen werden.
als akustische Abstrahlung, z. B. bei Druckern. Die Detailinformationen des Druckvorgangs
breiten sich über Schall beziehungsweise Ultraschall aus und können mit Mikrofonen
aufgenommen werden.
in Form von akustischer Überkopplung auf andere Geräte. Die Schallwandlung in elektrische
Signale erfolgt dabei durch schallempfindliche Geräteteile, die unter bestimmten
Voraussetzungen ähnlich wie ein "Mikrofon" arbeiten können. Die weitere Ausbreitung
erfolgt dann entlang metallischer Leiter oder auch in Form elektromagnetischer
Raumstrahlung.
Bloßstellende Abstrahlung kann auch durch eine äußere Manipulation von Geräten
verursacht werden. Wird z. B. ein Gerät mit Hochfrequenzenergie bestrahlt, können die im
Gerät ablaufenden elektrischen Vorgänge die eingestrahlten Wellen so beeinflussen, dass
diese nun die verarbeitete Information mit sich tragen.
In allen Fällen hat die Installation, also die Verkabelung der Geräte untereinander und mit dem
Stromversorgungsnetz, einen wesentlichen Einfluss auf die Ausbreitung und damit auch auf die
Reichweite der Abstrahlung.
Vom BSI wurden und werden verschiedene Schutzmaßnahmen entwickelt, welche die Gefährdung
ohne wesentliche Kostensteigerung wirksam reduzieren. Dazu gehören:

Zonenmodell
86
Vom BSI wurde ein Zonenmodell entwickelt, welches die Ausbreitungsbedingungen für bloßstellende
Abstrahlung bei den jeweiligen Gebäude- und Geländeverhältnissen berücksichtigt. Dabei wird die
Abschwächung der Abstrahlung auf ihrem Weg vom verursachenden IT-Gerät zum potentiellen
Empfänger meßtechnisch erfaßt. Abhängig von den Gegebenheiten am Einsatzort können
gegebenenfalls Geräte eingesetzt werden, an denen nur geringfügige oder gar keine
Sonderentstörmaßnahmen durchgeführt wurden.

Quellenentstörung
Die Quellenentstörung bewährt sich besonders bei der Neuentwicklung von IT-Produkten. Hier wird
die bloßstellende Abstrahlung bereits am Entstehungsort innerhalb des Gerätes unterdrückt oder so
verändert, dass sie nicht mehr auswertbar ist. Durch diese Methode kann z. B. auch der Einsatz
kostengünstiger Kunststoffgehäuse möglich werden, mit vernachlässigbar geringen Auswirkungen
auf den Serienpreis.

Abstrahlkriterienwerk
Ein detailliertes Abstrahlkriterienwerkes dient zur abgestuften Prüfung von IT-Geräten bzw. systemen. Grundgedanke dieses Konzeptes ist es, den Umfang der Schutzmaßnahmen so gut wie
möglich an die vom Anwender angenommene Bedrohungslage anzupassen, um so bei minimalem
Kostenaufwand ein Optimum an Abstrahlsicherheit zu erzielen.

Kurzmeßverfahren
Die Erarbeitung von Kurzmeßverfahren und Manipulationsprüfverfahren erlaubt, auch nach
Wartung, Reparatur oder möglichen unberechtigten Zugriffen die Abstrahlsicherheit mit möglichst
geringem Aufwand sicherzustellen.

Einsatz abstrahlarmer bzw. abstrahlgeschützter Geräte
Hersteller von PC-Bildschirmen werben häufig mit dem Begriff "abstrahlarm" nach MPR II, TCO oder
SSI. Diese Richtlinien berücksichtigen jedoch ausschließlich mögliche gesundheitsschädliche
Auswirkungen der Gerätestrahlung. Die Meßverfahren und Grenzwerte für die Strahlung sind daher
für den Nachweis bloßstellender Abstrahlung völlig ungeeignet und ermöglichen keine Bewertung
der Sicherheit gegen unberechtigtes Mitlesen der Daten über bloßstellende Abstrahlung.
Daneben werden aber auch speziell abstrahlgeschützte IT-Systeme angeboten. In diesem Bereich gibt
es zahlreiche Abstufungen des angebotenen Abstrahlschutzes. Um insbesondere bei
hochschutzbedürftigen IT-Systemen eine Einstufung zu ermöglichen, wurden vom BSI sogenannte
TEMPEST-Kriterien (Temporary Emission and Spurious Transmission) entwickelt. Ob ein Hersteller
abstrahlgeschützte Geräte gemäß diesen TEMPEST-Kriterien in seinem Lieferprogramm anbietet,
sollte durch eine Rückfrage beim Hersteller, beim BSI bzw. durch Einsicht in die offizielle
Produktübersicht BSI 7206 geklärt werden. Dabei gehört zu der Aussage, dass für ein Gerät eine
TEMPEST-Zulassung vorliegt, immer auch die Aussage des Zulassungsgrades.
87
4.3.6 Einsatz von kryptographischen Verfahren auf den verschiedenen Schichten des
ISO/OSI- Referenzmodells
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Das OSI-Referenzmodell nach ISO
Kryptographische Verfahren können auf den verschiedenen Schichten des ISO/OSI-Referenzmodells
implementiert werden. Dieses Modell, welches in Maßnahme M 5.13 Geeigneter Einsatz von
Elementen zur Netzkopplung dieses Handbuches kurz erläutert wird, definiert vier
transportorientierte Schichten und drei anwendungsorientierte Schichten. Instanzen einer Schicht in
verschiedenen Systemen kommunizieren über Protokolle miteinander. Jede Schicht bietet der nächst
höheren Schicht ihre Dienste an. Das kann neben den üblichen Kommunikationsdiensten auch ein
Sicherheitsdienst sein. Welcher Sicherheitsdienst in welcher Schicht des Schichtenmodells plaziert
werden sollte und welche Mechanismen dazu genutzt werden können, ist im Teil 2 der ISO 7498
(Security Architecture) beschrieben.
Auch wenn konkrete Kommunikationssysteme, Referenzmodelle oder Protokolle sich nicht immer
konform zum ISO-Referenzmodell verhalten, so hilft die Kenntnis des ISO-Referenzmodells bei der
Beurteilung von Sicherheitsfunktionen von Produkten und erleichtert damit auch die systematische
Erstellung "sicherer" Gesamtsysteme.
88
Im folgenden soll erläutert werden, welche Vor- bzw. Nachteile mit dem Einsatz von
kryptographischen Verfahren auf den jeweiligen Schichten verbunden sind.
Sicherheitsdienste
Kryptographische Verfahren werden zur Sicherung verschiedener bei der Kommunikation anfallender
Informationen eingesetzt, also um Informationen zu verschlüsseln, mit kryptographischen
Prüfsummen zu versehen oder zu signieren. Zum einen können die vom Benutzer zu übermittelnden
Daten gesichert werden, zum anderen aber auch Informationen, die sich beim
Informationsaustausch implizit ergeben (z. B. Verkehrsflussinformationen).
Sicherheitsbeziehungen können für verschiedene Sicherheitsdienste in verschiedenen OSI- Schichten
gleichzeitig existieren. Oberhalb der Schicht, in der ein Sicherheitsdienst realisiert ist, liegen die
Informationen (bezüglich dieses Dienstes) ungesichert vor. Kryptographische Mechanismen
(Verschlüsselung, digitale Signatur, kryptographische Prüfsummen) liefern Beiträge zur Realisierung
wichtiger Sicherheitsdienste (Authentizität, Vertraulichkeit, Integrität, Kommunikations- und
Datenursprungsnachweise).
Hierzu wird zunächst ein Überblick über die Gesichtspunkte gegeben, die für oder gegen den Einsatz
von kryptographischen Verfahren auf den verschiedenen OSI-Schichten sprechen:
89
Ein einfaches Schlüsselmanagement ergibt sich i.d.R. dann, wenn Gruppenschlüssel verwendet
werden können, z. B. beim Aufbau von sicheren Teilnetzen (VPNs), bei denen die Zugänge mit
Kryptogeräten versehen werden.
Kryptographische Produkte für die unteren Schichten liegen im Anschaffungspreis meist deutlich
über solchen für obere Schichten, dafür werden allerdings auch weniger benötigt. Außerdem ist der
Administrations- und Implementierungsaufwand meist niedriger, da Sicherheitsdienste nicht in
verschiedensten Anwendungen implementiert werden müssen. Auch "exotische" Anwendungen ohne eigene Sicherheitsfunktionalität - können dadurch gesichert Daten austauschen.
In vielen Fällen bietet sich auch eine Kombination von kryptographischen Diensten auf verschiedenen
Schichten an. Dies hängt von den jeweiligen Sicherheitsanforderungen und den Einsatzbedingungen
ab, wie Kosten, Performance und inwieweit entsprechende Komponenten erhältlich sind.
Entscheidende Faktoren sind auch die angenommenen Gefährdungen, gegen die die
implementierten Sicherheitsdienste wirken sollen, sowie die zugrundeliegende Systemarchitektur.
Sicherheits-Endgeräte <-> Sicherheits-Koppelelemente
90
Sicherheitssysteme können als Endgerät bzw. Teil eines Endgeräts oder als Koppelelement bzw. Teil
eines Koppelelements ausgelegt sein. Koppelelemente sind z. B. aktive Netzkomponenten wie Router
oder Gateways.
Im Unterschied zu Endgeräten weisen Sicherheits-Koppelelemente gewöhnlich zwei
Netzschnittstellen auf, die auf einer für dieses System typischen Schicht über ein Kryptomodul (Hardoder Software) gekoppelt sind. Eine Schnittstelle ist mit dem "sicheren" Netz verbunden (z. B.
Hausnetz), die andere Schnittstelle mit einem als "unsicher" bewerteten Netz (z. B. öffentliche
Netze).
Sicherheits-Endgeräte haben den Vorteil, dass die Sicherheitsmechanismen gut an die
Anforderungen der Anwendung angepaßt werden können. Typische SicherheitsEndgeräte sind
Kryptotelefone, Kryptofaxgeräte oder hard-/softwarebasierte Sicherheitslösungen für PCs.
Sicherheits-Endgeräte bieten i.d.R. Lösungen für einzelne Arbeitsplätze. Teilweise unterstützen diese
Lösungen lediglich einen Dienst. Die Grenzen sind hier jedoch fließend (Telefonie über Internet-PC,
Kryptotelefon mit Dateneingang). In Endgeräten ist im Gegensatz zum Koppelelement die Wahl der
Sicherheitsschicht nicht eingeschränkt, da Endgeräte grundsätzlich vollständig sind, also über 7
Schichten verfügen.
Sicherheits-Koppelelemente sind häufig derart leistungsfähig konstruiert, dass sie größere
Arbeitseinheiten bis hin zu ganzen Liegenschaften absichern können. Dabei versuchen die Hersteller
solcher Systeme möglichst viele Dienste bzw. übergeordnete Protokolle zu unterstützen, damit eine
universelle Verwendung möglich ist. Auch die weitgehende Unabhängigkeit von den
Betriebssystemen der Endgeräte liefert einen Beitrag zur universellen Einsatzbarkeit von
Koppelelementen. Natürlich können auch einzelne Endgeräte durch Sicherheits-Koppelelemente
abgesichert werden. Jedoch führt die höhere Leistungsfähigkeit der Geräte häufig zu höheren
Kosten. Bei Koppelelementen handelt es sich definitionsgemäß um unvollständige OSI-Systeme.
Daher ist auch die Implementierung von Sicherheitsdiensten auf die Schichten beschränkt, die das
Koppelelement aufweist.
Auch Mischformen sind im Einsatz. Das setzt voraus, dass Sicherheits-Endgeräte und SicherheitsKoppelelemente aufeinander abgestimmt sind, insbesondere bezüglich der verwendeten
Sicherheitsmechanismen und Sicherheitsparameter (z. B. kryptographische Schlüssel).
Nutzer-, Steuer- und Managementinformationen
Ein Anwender ist hauptsächlich an der Übermittlung von Nutzerinformationen an entfernte
Anwender interessiert. Je nach konkretem Referenzmodell (z. B. ISDN) werden aber zwischen den
Systemen (Endgeräte, Koppelelemente) zudem Steuer-, Signalisier- und Managementinformationen
zwecks Aufbau/Abbau von Verbindungen, Aushandeln von Dienstgüteparametern, Konfiguration und
Überwachung des Netzes durch Netzbetreiber, usw. übertragen.
Das jeweilige Netz hat dabei die Aufgabe, Benutzerinformationen unverändert und unausgewertet zu
übertragen, d. h. Benutzerinformationen müssen nur von den Endgeräten interpretiert werden
können. Damit lassen sich diese Informationen unabhängig von der übrigen Netzinfrastruktur
91
sichern, notfalls sogar unter Verwendung proprietärer Sicherheitsfunktionen (geschlossene
Benutzergruppe). Steuer-, Signalisier- und Managementinformationen der Transportschichten
müssen von Netzelementen des Netzbetreibers ausgewertet, geändert oder erzeugt werden können.
Damit entziehen sich diese Informationen einer vom Netzbetreiber unabhängigen Sicherung (z. B.
Verschlüsselung) weitgehend. Die Sicherung dieser Informationen erfordert neben entsprechenden
Standards die vertrauensvolle Zusammenarbeit mit dem Netzbetreiber. Bedrohungen können sich
dadurch ergeben, dass Sicherheitsfunktionen von Produkten falsch eingeschätzt werden. Bei der
Auswahl von Kryptogeräten ist genau zu prüfen, welche Informationsanteile gesichert oder gefiltert
werden. Ebenso ist im Umkehrschluß zu überprüfen, welche Informationen trotz des Einsatzes von
Kryptogeräten ungesichert bleiben und in wieweit dies zu tolerieren ist.
Beispiel: Beim ISDN erfolgt die Übertragung der Benutzerinformationen i.d.R. über die B-Kanäle.
Aber auch der D-Kanal, welcher primär für die Signalisierung genutzt wird, kann zur Übertragung
paketierter Daten verwendet werden. Ist das Ziel die Sicherung aller Benutzerdaten, so reicht im Fall
der Übertragung von paketierten Daten über den D-Kanal die Absicherung der B- Kanäle
offensichtlich nicht aus.
Sicherheit in leitungsvermittelten Netzen
Bei leitungsvermittelten Netzen werden durch den Verbindungsaufbau Kanäle definierter Bandbreite
eingerichtet, die den Kommunikationspartnern exklusiv zur Verfügung stehen. Nach Einrichten der
Verbindung erfolgt die Übertragung der Nutzdaten, anschließend der Verbindungsabbau. Der
Netzbetreiber kann Festverbindungen einrichten, bei denen dann der durch den Teilnehmer
gewöhnlich durchzuführende Verbindungsauf- und -abbau entfällt. Ein Beispiel für ein
leitungsvermitteltes Netz ist ISDN.
Durch den Verbindungsaufbau werden Nutzdatenkanäle auf OSI-Schicht 1 zwischen den
Kommunikationspartnern eingerichtet, die beim ISDN B-Kanäle heißen. Um die Vertraulichkeit der
übertragenen Nutzdaten zu gewährleisten, kann dieser Kanal verschlüsselt werden. Soll darüber
hinaus der Signalisierungskanal abgesichert werden, bei N-ISDN also der D-Kanal (Schicht 1-3), so
muss bedacht werden, dass als Gegenstellen eines Endgeräts sowohl das Endgerät des
Kommunikationspartners als auch Vermittlungsstellen des Netzbetreibers auftreten können. Der DKanal wird normalerweise nicht verschlüsselt, da hierzu besondere Anforderungen an den
Netzbetreiber zu stellen wären. In diesem Fall sollte man die Überwachung und Filterung des DKanals vorsehen (siehe auch M 4.62 Einsatz eines D-Kanal-Filters).
Leitungsverschlüssler: Als Sonderfall muss die Verschlüsselung synchroner vollduplex
Festverbindungen gesehen werden, da in diesem Fall die Vertraulichkeit - auch des Verkehrsflusses gewährleistet werden kann. Stehen keine Daten zur Übertragung an, werden Fülldaten verschlüsselt,
so dass auf der Leitung immer ein kontinuierliches "Rauschen" zu sehen ist. Der Leitungsverschlüssler
stellt eine Alternative zur Verlegung geschützter Leitungen dar.
Sicherheit in paketvermittelten Netzen
92
Bei paketvermittelten Netzen ist zwischen verbindungsorientierter und verbindungsloser
Paketvermittlung zu unterscheiden. Bei der verbindungsorientierten Paketvermittlung wird während
der Verbindungsaufbauphase eine virtuelle Verbindung eingerichtet, wodurch der Datenpfad durch
das Paketnetz im Anschluss festgelegt ist. Datenpakete werden nach dem Verbindungsaufbau auf
Basis der zugeordneten virtuellen Kanalnummer auf dem selben Pfad durch das Netz geroutet.
Sende- und/oder Empfängeradressen sind hierzu nicht mehr erforderlich. Ein Beispiel hierfür ist das
X.25-Netz.
Bei verbindungsloser Paketvermittlung gibt es keine Verbindungsauf und -abbauphasen.
Datenpakete werden - u. a. ausgestattet mit Quell- und Zieladresse - einzeln vermittelt. Dies ist
typisch für LAN- Datenverkehr.
Die Wahl der Schicht, in der die Sicherheitsmechanismen wirken, bestimmt, welche
Informationsanteile gesichert werden. Je niedriger die gewählte Sicherheitsschicht, desto
umfangreicher die Informationssicherung. Beim Durchlauf der Benutzerdaten durch die Instanzen
der Schichten 7 bis 1 (Sender) werden den Daten zusätzliche Steuerinformationen hinzufügt. Geht es
also nicht nur um die Sicherung von Benutzerdaten, sondern auch um die Sicherung des
Verkehrsflusses, so bietet sich die Wahl einer niedrigen OSI-Schicht an. Andererseits gilt: je niedriger
die gewählte OSI-Schicht, desto weniger Koppelelemente (Repeater, Bridge, Switch, Router,
Gateway) lassen sich transparent überwinden.
Sollen Sicherheitsdienste über Koppelelemente hinweg wirken, dann sind sie in einer Schicht zu
implementieren, die oberhalb der höchsten (Teil-) Schicht der Koppelelemente liegt. Dadurch wird
sichergestellt, dass die Übermittlungseinrichtungen die gesicherten Informationen unverarbeitet/
uninterpretiert weiterleiten können.
Beispiele und Folgen fehlerhafter Netzkonfigurationen:
Beispiel 1: Sämtliche Endgeräte zweier über Router und öffentliche Kommunikationsnetze
gekoppelter LANs sollen zur Gewährleistung der Vertraulichkeit - insbesondere im Bereich
öffentlicher Kommunikationsnetze - mit Schicht-2-Verschlüsselungskomponenten ausgestattet
werden. Der Router muss zur Weiterleitung der LAN-Datenpakete über das öffentliche Netz die
Adressen der Schicht 3 auswerten. Da sämtliche Schicht-3-Daten jedoch durch die Schicht-2Verschlüsselung verborgen sind, kann die Auswertung der Schicht-3-Adressen nicht erfolgreich
durchgeführt werden. Dadurch wird die Datenübertragung verhindert. Zur Abhilfe müssen hier die
Verschlüsselungskomponenten für Schicht 3 (obere Teilschicht) oder höher eingesetzt werden.
93
Beispiel 2: Ein Großteil des Schriftverkehrs einer Institution soll zukünftig elektronisch über X.400
(Schicht 7) abgewickelt werden. Zur Sicherung der Datenintegrität plant die Institution den Einsatz
von Schicht-4-Kryptokomponenten in den Endgeräten (hier PCs). Zum Zweck der Sicherung werden
die Datenpakete beim Sender auf Schicht 4 mit kryptographischen Prüfsummen versehen, welche
von der zugehörigen Schicht-4-Kryptokomponente des Empfängers geprüft wird. Nur Datenpakete
mit korrekten Prüfsummen sollen zugestellt werden. Falls aber nicht alle MTAs (Message Transfer
Agents, also die Vermittler für elektronische Mitteilungen auf Schicht 7) ebenfalls mit interoperablen
Kryptokomponenten ausgestattet sind, können die MTAs ohne Kryptokomponente keine gültigen
Prüfsummen erzeugen, so dass nachfolgende MTAs oder Endgeräte mit Kryptokomponente die
Daten laut Vorgabe verwerfen müssen.
Aber selbst wenn sämtliche genutzten MTAs ebenso wie die Endgeräte mit interoperablen
Kryptokomponenten und Sicherheitsparametern ausgestattet sind, ist die Datenintegrität nicht
sichergestellt. Dann kann die abschnittsweise Sicherung der Daten zwar gewährleistet sein, eine
Verfälschung der Daten innerhalb der MTAs ist jedoch unbemerkt möglich. Ferner könnten (je nach
Protokoll) einzelne Schicht-4-Datenpakete verloren gehen, was zu Lücken in der Gesamtnachricht
führt, deren Unversehrtheit eigentlich gesichert werden sollte. Eine Abhilfe ist hier die
Integritätssicherung der Daten auf Schicht 7.
Wie die Beispiele zeigen, ist genau zu untersuchen, welche Netztopologie vorliegt und welche
Netzbereiche wie gesichert werden müssen, damit eine angepaßte Lösung mit den gewünschten
(Sicherheits-)Merkmalen gefunden werden kann.
Abschnittsweise Sicherheit <-> Ende-zu-Ende-Sicherheit
Benutzer von Kommunikationssystemen erwarten häufig, dass Sicherheitsdienste durchgängig
erbracht werden (Ende-zu-Ende-Sicherheit), also von der Eingabe der Information (Daten, Sprache,
Bilder, Text) am Endgerät A bis zur Ausgabe der Information an einem entfernten Endgerät B. Ist kein
durchgehender Sicherheitsdienst gewährleistet, so existieren - abgesehen von den beteiligten
Endgeräten - weitere Systeme, auf denen die Informationen ungesichert vorliegen. Existiert
beispielsweise keine Ende-zu-Ende-Verschlüsselung zur Sicherung der Vertraulichkeit einer
Kommunikationsbeziehung zwischen zwei Teilnehmern, so liegen die Daten in mindestens einem
weiteren Netzelement unverschlüsselt vor. Solche Netzelemente müssen lokalisiert und durch
zusätzliche Maßnahmen abgesichert werden. Personal, welches Zugriff auf insbesondere solche
ungesicherten Netzelemente hat (z. B. Administrator), muss entsprechend vertrauenswürdig sein.
Sicherheitsdienste werden in diesem Fall nicht durchgängig, sondern abschnittsweise erbracht. Auf
die angemessene Sicherung aller relevanten Abschnitte ist zu achten.
Mehrfache Sicherung auf verschiedenen OSI-Schichten
Gegen eine Mehrfachsicherung der zu übertragenden Informationen auf verschiedenen OSISchichten ist nichts einzuwenden, wenn gewisse Regeln befolgt werden, die bei standardkonformen
Produkten jedoch implizit gewährleistet sind. Insbesondere bei der Verschlüsselung sind die aus der
Schule bekannten Klammerregeln anzuwenden. So entspricht das Verschlüsseln dem Öffnen einer
94
Klammer, das Entschlüsseln dem Schließen einer Klammer. Innerhalb der Klammer können nun
wiederum weitere Sicherheitsmechanismen zur Anwendung kommen.
Nachteilig kann sich die Mehrfachsicherung dadurch auswirken, dass der Datendurchsatz aufgrund
zusätzlicher Operationen reduziert wird oder dass sich die übertragbare Nutzdatenmenge dadurch
vermindert, dass zusätzliche Daten zur Erhöhung der Redundanz (z. B. kryptographische
Prüfsummen) übertragen werden müssen. Auch durch Daten, die vor der Übermittlung über
Kryptosysteme gesichert werden, z. B. digital signierte Dokumente, ergibt sich implizit eine
Mehrfachsicherung. Dadurch erhöht sich die Sicherheit der Datenübertragung hinsichtlich der
verwendeten Sicherheitsdienste.
Oft läßt sich die Sicherheit des Gesamtsystems erst durch die Kombination mehrerer
Sicherheitsprotokolle oder Sicherheitsprodukte erreichen. Sind beispielsweise anwendungsnahe
Sicherheitslösungen verfügbar, deren vertrauenswürdige Implementierung jedoch nicht (von
unabhängiger Seite) überprüft wurde (z. B. Evaluierung nach ITSEC, CC) und existieren gleichzeitig
vertrauenswürdige transportorientierte Sicherheitsprodukte zur Absicherung unsicherer
Netzabschnitte zwischen entfernten Liegenschaften, so kann durch die Kombination der Maßnahmen
u. U. eine den Anforderungen genügende Gesamt-Sicherheitslösung geschaffen werden. Nachteilig
wirken sich dabei meist der erhöhte Administrationsaufwand und/oder erhöhte Anschaffungskosten
aus.
4.4 Notfallvorsorge
4.4.1 Datensicherung bei Einsatz kryptographischer Verfahren
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter
Beim Einsatz kryptographischer Verfahren darf die Frage der Datensicherung nicht vernachlässigt
werden. Neben der Frage, wie sinnvollerweise eine Datensicherung der verschlüsselten Daten
erfolgen sollte, muss auch überlegt werden, ob und wie die benutzten kryptographischen Schlüssel
gespeichert werden sollen. Daneben ist es noch zweckmäßig, die Konfigurationsdaten der
eingesetzten Kryptoprodukte zu sichern.
Datensicherung der Schlüssel
Es muss sehr genau überlegt werden, ob und wie die benutzten kryptographischen Schlüssel
gespeichert werden sollen, da jede Schlüsselkopie eine potentielle Schwachstelle ist.
Trotzdem kann es aus verschiedenen Gründen notwendig sein, kryptographische Schlüssel zu
speichern. Es gibt unterschiedliche Methoden der Schlüsselspeicherung:
95



die Speicherung zu Transportzwecken auf einem transportablen Datenträger, z. B. Diskette,
Chipkarte (dient vor allem zur Schlüsselverteilung bzw. zum Schlüsselaustausch, siehe M 2.46
Geeignetes Schlüsselmanagement),
die Speicherung in IT-Komponenten, die dauerhaft auf kryptographische Schlüssel zugreifen
müssen, also z. B. zur Kommunikationsverschlüsselung,
die Schlüsselhinterlegung als Vorbeugung gegen Schlüsselverlust oder im Rahmen von
Vertretungsregelungen.
Hierbei ist grundsätzlich zu beachten:



Kryptographische Schlüssel sollten so gespeichert bzw. aufbewahrt werden, dass Unbefugte
sie nicht unbemerkt auslesen können. Beispielsweise könnten Schlüssel in spezieller
Sicherheitshardware gespeichert werden, die die Schlüssel bei Angriffen automatisch löscht.
Falls sie in Software gespeichert werden, sollten sie auf jeden Fall überschlüsselt werden.
Hierbei ist zu bedenken, dass die meisten Standard-Anwendungen, bei denen Schlüssel oder
Paßwörter in der Anwendung gespeichert werden, dies im allgemeinen mit leicht zu
brechenden Verfahren geschieht. Als weitere Variante kann auch das Vier-Augen-Prinzip bei
der Schlüsselspeicherung benutzt werden, also die Speicherung eines Schlüssels in
Schlüsselhälften oder Schlüsselteilen.
Von Kommunikationsschlüsseln und anderen kurzlebigen Schlüsseln sollten keine Kopien
erstellt werden. Damit eine unautorisierte Nutzung ausgeschlossen ist, sollten auch von
privaten Signaturschlüsseln i. allg. keine Kopien existieren. Falls jedoch für die
Schlüsselspeicherung eine reine Softwarelösung gewählt wurde, d. h. wenn keine Chipkarte
o. ä. verwendet wird, ist das Risiko des Schlüsselverlustes erhöht, z. B. durch Bitfehler oder
Festplattendefekt. In diesem Fall ist es unter Umständen weniger aufwendig, eine
ausreichend gesicherte Möglichkeit der Schlüsselhinterlegung zu schaffen, als bei jedem
Schlüsselverlust alle Kommunikationspartner zu informieren.
Von langlebigen Schlüsseln, die z. B. zur Archivierung von Daten oder zur Generierung von
Kommunikationsschlüsseln eingesetzt werden, sollten auf jeden Fall Sicherungskopien
angefertigt werden.
Datensicherung der verschlüsselten Daten
Besondere Sorgfalt ist bei der Datensicherung von verschlüsselten Daten bzw. beim Einsatz von
Verschlüsselung während der Datenspeicherung notwendig. Treten hierbei Fehler auf, sind nicht nur
einige Datensätze, sondern meist alle Daten unbrauchbar.
Die Langzeitspeicherung von verschlüsselten oder signierten Daten bringt viele zusätzliche Probleme
mit sich. Hierbei muss nicht nur sichergestellt werden, dass die Datenträger regelmäßig aufgefrischt
werden und jederzeit noch die technischen Komponenten zum Verarbeiten dieser zur Verfügung
stehen, sondern dass die verwendeten kryptographischen Algorithmen und die Schlüssellänge noch
dem Stand der Technik entsprechen. Bei der langfristigen Archivierung von Daten kann es daher
sinnvoller sein, diese unverschlüsselt zu speichern und dafür entsprechend sicher zu lagern, also z. B.
in Tresoren.
96
Die verwendeten Kryptomodule sollten vorsichtshalber immer archiviert werden, da die Erfahrung
zeigt, dass auch noch nach Jahren Daten auftauchen, die nicht im Archiv gelagert waren.
Datensicherung der Konfigurationsdaten der eingesetzten Produkte
Bei komplexeren Kryptoprodukten sollte nicht vergessen werden, deren Konfigurationsdaten zu
sichern (siehe auch M 4.78 Sorgfältige Durchführung von Konfigurationsänderungen). Die gewählte
Konfiguration sollte dokumentiert sein, damit sie nach einem Systemversagen oder einer
Neuinstallation schnell wieder eingerichtet werden kann.
5 Juristische Datenbegutachtung / Verträge
Dieses Dokument wird zu einem späteren Zeitpunkt erstellt (siehe Projektplan Grundkonzept).
97
Zugehörige Unterlagen
AKTEN- UND DATENTRÄGERVERNICHTUNG
AKTEN- UND DATENTRÄGERVERNICHTUNG
Fachbegriffe im E-Business
Fachbegriffe im E-Business
Wichtige Begriffe aus dem E-Business
Wichtige Begriffe aus dem E-Business
Analyse größerer Systeme, häufige Sicherheitsprobleme
Analyse größerer Systeme, häufige Sicherheitsprobleme
Lösung_12 - CDC - Technische Universität Darmstadt
Lösung_12 - CDC - Technische Universität Darmstadt
News Alert als PDF
News Alert als PDF
PDF herunterladen
PDF herunterladen
Lösungsvorschlag deutsch ideen Schülerband 8 Nordrhein
Lösungsvorschlag deutsch ideen Schülerband 8 Nordrhein
Objektorientierte Analyse und Design - home.edvsz.fh
Objektorientierte Analyse und Design - home.edvsz.fh
Eine Google E-Mailadresse anlegen und loslegen
Eine Google E-Mailadresse anlegen und loslegen
Folien - Arbeitsgruppe Kryptographie und Sicherheit
Folien - Arbeitsgruppe Kryptographie und Sicherheit
Braun111025
Braun111025
Datenschutzerklärung
Datenschutzerklärung
Password Management Guide HMS 9700_DE - MICROS
Password Management Guide HMS 9700_DE - MICROS
Beschreibung / Problem: Nach einem Update auf Java 8 u40 ist
Beschreibung / Problem: Nach einem Update auf Java 8 u40 ist
2. Rechtliche Rahmenbedingungen für eBusiness
2. Rechtliche Rahmenbedingungen für eBusiness
Tag 2b - Python
Tag 2b - Python
Datei- und Metadaten-Sicherheit in Firebird
Datei- und Metadaten-Sicherheit in Firebird
Schadsoftware
Schadsoftware
Notfallcheckliste „intern“ - Landwirtschaftliches Zentrum Liebegg
Notfallcheckliste „intern“ - Landwirtschaftliches Zentrum Liebegg
Herunterladen
Werbung