IT-Sicherheitskonzept Anlage 8.2 Datensicherheitskonzept Dieses Dokument wurde als Arbeitsmaterial konzipiert. Es wird empfohlen, Originaldokument aufzubewahren. Version: als Referenz stets das schreibgeschützte 2.0 Diese Grafik kann aus Kopien entfernt werden. Für Rückfragen wenden Sie sich bitte an die Geschäftsstelle der TMF unter [email protected] Autor(en): Ronald Speer Lizenzbedingung und Copyright: Dieses Werk ist einschließlich aller seiner Teile urheberrechtlich geschützt. Die Rechte liegen, sofern nicht anders angegeben, bei der TMF. Verantwortlicher: Eine Gewähr für die Richtigkeit der Inhalte kann die TMF nicht übernehmen. Eine Vervielfältigung und Weiterleitung ist ausschließlich innerhalb Ihrer Organisation oder Firma Initiator:sowie der TMF-Mitgliedschaft erlaubt, sofern keine anders lautende Vereinbarung mit der TMF besteht. Aus Gründen der Qualitätssicherung und der Transparenz bzgl. Verbreitung und Freigabe:Nutzung der TMF-Ergebnisse erfolgt die weitergehende Verbreitung ausschließlich über die TMF-Website oder die Geschäftsstelle der TMF. Dieses Werk wurde als Arbeitsmaterial konzipiert, weshalb Änderungen an Ausdrucken sowie Gültigkeitsende: an umbenannten Kopien der Originaldatei vorgenommen werden können, sofern diese angemessen gekennzeichnet werden, um eine Verwechslung mit dem Originaldokument auszuschließen. Die Nutzungsbedingungen Art: Konzept sowie das TMF-Logo dürfen aus den geänderten Kopien entfernt werden. Die TMF empfiehlt, als Referenz stets das gedruckte Originaldokument oder die schreibgeschützte Originaldatei vorzuhalten. Auch die Einstufung: Vertraulich. NurVersionen für den Dienstgebrauch. Vervielfältigung und Weiterleitung geänderter ist ausschließlich innerhalb Ihrer Organisation oder Firma sowie der TMF-Mitgliedschaft erlaubt, sofern keine anders lautende Vereinbarung mit der TMF besteht. Sofern geänderte Kopien oder mit Hilfe dieses Werks von Ihnen erstellten Dokumente in der Praxis zum Einsatz kommen, sollen diese per Email an die TMF Geschäftsstelle (info@tmf ev.de) gesandt werden. Diese zugesandten Dokumente werden von der TMF ausschließlich zum Zweck der Weiterentwicklung und Verbesserung der TMF-Ergebnisse genutzt und nicht publiziert. 1 Inhalt 1 2 Organisation ................................................................................................................................... 6 1.1 Anlegen Benutzeraccount ...................................................................................................... 6 1.2 Löschen Benutzeraccount ...................................................................................................... 6 Betriebssysteme ............................................................................................................................. 6 2.1 Passworte ............................................................................................................................... 6 2.1.1 Wahl der Passworte........................................................................................................... 7 2.1.2 Aging .................................................................................................................................. 7 2.1.3 Länge der Passworte.......................................................................................................... 8 2.1.4 Alternative Authentisierungsverfahren ............................................................................. 8 2.2 Maßnahmen Windows........................................................................................................... 9 2.2.1 Sicherheitkonfiguration und Sicherheitsvorlagen: ............................................................ 9 2.2.2 Wahl der Passworte......................................................................................................... 10 2.2.3 Aging ................................................................................................................................ 10 2.2.4 Länge der Passworte........................................................................................................ 10 2.2.5 Hinterlegung von Passworten ......................................................................................... 10 2.2.6 Details zum Passwortalgorithmus ................................................................................... 10 2.3 Linux ..................................................................................................................................... 10 2.3.1 Speicherung der Passworte ............................................................................................. 11 2.3.2 Länge der Passworte........................................................................................................ 11 2.3.3 Hinterlegung von Passworten ......................................................................................... 12 2.3.4 Details zum Passwortalgorithmus ................................................................................... 12 2.3.5 Erkennung schwacher Passworte .................................................................................... 13 2.4 2.4.1 Datenbanken ........................................................................................................................ 14 Oracle............................................................................................................................... 14 2 3 Datenträgeraustausch .................................................................................................................. 18 3.1 Beschreibung........................................................................................................................ 18 3.2 Gefährdungslage .................................................................................................................. 18 3.2.1 Höhere Gewalt:................................................................................................................ 18 3.2.2 Organisatorische Mängel:................................................................................................ 18 3.2.3 Menschliche Fehlhandlungen: ......................................................................................... 18 3.2.4 Technisches Versagen:..................................................................................................... 18 3.2.5 Vorsätzliche Handlungen: ................................................................................................ 18 3.3 4 Maßnahmen ......................................................................................................................... 19 3.3.1 Infrastruktur: ................................................................................................................... 19 3.3.2 Organisation: ................................................................................................................... 19 3.3.3 Personal ........................................................................................................................... 22 3.3.4 Hardware/Software: ........................................................................................................ 23 3.3.5 Kommunikation: .............................................................................................................. 26 3.3.6 Notfallvorsorge: ............................................................................................................... 28 Datenübertragungs- und Datenspeicherrichtlinien...................................................................... 29 4.1 Kryptokonzept ...................................................................................................................... 29 4.1.1 Beschreibung ................................................................................................................... 29 4.1.2 Gefährdungslage.............................................................................................................. 29 4.1.3 Maßnahmen .................................................................................................................... 31 4.1.4 Organisation .................................................................................................................... 34 4.1.5 Anlage Kryptokonzept ..................................................................................................... 37 4.1.6 Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte .............. 38 4.1.7 Erhebung der Einflussfaktoren für kryptographische Verfahren und Produkte ............. 42 4.1.8 Auswahl eines geeigneten kryptographischen Verfahrens ............................................. 51 4.1.9 Auswahl eines geeigneten kryptographischen Produktes............................................... 55 4.1.10 Regelung des Einsatzes von Kryptomodulen .............................................................. 59 3 4.1.11 Informationsbeschaffung über Sicherheitslücken des Systems.................................. 60 4.1.12 Reaktion auf Verletzungen der Sicherheitspolitik ....................................................... 61 4.1.13 Geeignetes Schlüsselmanagement ............................................................................. 62 4.2 Personal ............................................................................................................................... 66 4.2.1 Schulung vor Programmnutzung ..................................................................................... 66 4.2.2 Schulung zu IT-Sicherheitsmaßnahmen .......................................................................... 67 4.2.3 Einführung in kryptographische Grundbegriffe............................................................... 69 4.3 Hardware/Software: ............................................................................................................ 81 4.3.1 Geeignetes Schnittstellendesign bei Kryptomodulen ..................................................... 81 4.3.2 Sichere Rollenteilung und Konfiguration bei Kryptomodulen ......................................... 83 4.3.3 Physikalische Sicherheit von Kryptomodulen.................................................................. 84 4.3.4 Anforderungen an die Betriebssystem-Sicherheit beim Einsatz von Kryptomodulen .... 85 4.3.5 Abstrahlsicherheit............................................................................................................ 85 4.3.6 Einsatz von kryptographischen Verfahren auf den verschiedenen Schichten des ISO/OSIReferenzmodells ........................................................................................................................... 88 4.4 4.4.1 5 Notfallvorsorge .................................................................................................................... 95 Datensicherung bei Einsatz kryptographischer Verfahren .............................................. 95 Juristische Datenbegutachtung / Verträge ................................................................................... 97 4 Datensicherheitskonzept Die Verarbeitung und Speicherung von sicherheitsrelevanten Daten erfordert ein hohes Maß an Datensicherheit. Insbesondere sind bei der Verarbeitung von personenbezogenen Daten die datenschutzrechtlichen Bestimmungen und Gesetze zu beachten. Da das Erreichen der Projektziele die Verarbeitung und Speicherung von Patientendaten erfordert, ist besonders in diesem Bereich eine sorgfältige Vorangehensweise erforderlich, um den Projekterfolg nicht zu gefährden. Um diese Erfordernisse zu erfüllen, ist ein umfassendes Datensicherheitskonzept unabdingbar. Dieses Datensicherheitskonzept muss alle technischen und organisatorischen Maßnahmen abbilden, welche eine Sicherung der Datensicherheit und des Datenschutzes erreichen sollen. Das Datensicherheitskonzept behandelt folgende Punkte: Datenstruktur Voraussetzung für das Datensicherheitskonzept ist eine detaillierte Übersicht über die betreffenden Daten und deren Struktur. Aufgrund der beschriebenen Datenstruktur ist die Erarbeitung eines entsprechenden Zugriffskonzeptes möglich. Ebenfalls ist die Datenstruktur die Basis für die Datenübertragungs- und Datenspeicherrichtlinien. Benutzer- und Rollenkonzept Das Benutzer- und Rollenkonzept umfasst das Zugriffskonzept. Weiterhin sind im Benutzerund Rollenkonzept die Anforderungen an Passwortauswahl und Passwortüberprüfung verzeichnet. Diese Anforderungen dienen auch als unterstützende Materialien bei der Auswahl entsprechender Verfahren. Datenübertragungs- und Datenspeicherrichtlinien Entsprechend den datenschutzrechtlichen Anforderungen sind die Datenübertragungs- und Datenspeicherrichtlinien festzulegen. Diese umfassen die entsprechenden Konzepte zur Pseudonymisierung und Anonymisierung von personenbezogenen Daten. Weiterhin werden die eingesetzten Verschlüsselungsverfahren entsprechend dem Kryptokonzept abgelegt. Unter den Datenübertragungsrichtlinien findet man auch die Anforderungen an externe Partner für einen eventuellen Datenaustausch. Kryptokonzept Das Kryptokonzept beinhaltete eine Übersicht von existierenden Verschlüsselungsverfahren und ist als Hilfsmittel für die Auswahl eines geeigneten Verfahrens konzipiert. Die Entscheidung für das passende Verschlüsselungsverfahren ist entscheidend für die Sicherheit und Praktikabilität der Datenübertragung oder Datenspeicherung. Datenträgeraustausch 5 Ein Datenträgeraustausch ist mit verschiedenen Problemen, wie unter anderem Verlust oder Beschädigung des Datenträgers verbunden. Ebenfalls besteht die Gefahr der Inkompatibilität. Aus diesen Gründen sollte ein Datenträgeraustausch möglichst vermieden werden. Ist ein Datenträgeraustausch unumgänglich, sind im Abschnitt über den Datenträgeraustausch die notwendigen technischen und organisatorischen Maßnahmen beschrieben. juristische Datenbegutachtung / Verträge 1 Organisation Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Sicherheitsmanagement 1.1 Anlegen Benutzeraccount Bei der Einstellung neuer Mitarbeiter erfolgt durch den Vorgesetzten entsprechend den Hausinternen IT-Richtlinien eine Meldung an den verantwortlichen Systemadministrator. Diese Meldung erfolgt schriftlich. Gleichzeitig wird auch angemeldet, welche Rechte bzw. der neue Nutzer nutzen soll. 1.2 Löschen Benutzeraccount Beim Ausscheiden eines Mitarbeiters erfolgt durch den Vorgesetzten entsprechend den Hausinternen IT-Richtlinien eine Meldung an den verantwortlichen Systemadministrator. Diese Meldung erfolgt schriftlich. Gleichzeitig ist der ausscheidende Mitarbeiter verpflichtet entsprechend seinem Laufzettel (siehe Hausinterne IT-Richtlinien) sich beim Administrator abzumelden. Dabei sind entsprechende Daten des Mitarbeiters zu archivieren und anschließend zu löschen. Ebenfalls sind Daten, welche für eine weitere Bearbeitung benötigt werden dem Vorgesetzten zu übergeben. 2 Betriebssysteme 2.1 Passworte Ein Zugang zu einem Computersystem ist zumeist an einen so genannten Account gebunden. Durch diesen Account werden die Rechte eines Benutzers (z.B. Plattennutzung, Prozessorzeit, Zugriffsrechte) spezifiziert. Um bessere Strukturierungsmöglichkeiten zu erhalten, werden neben den Accounts auch noch Gruppen benutzt. Durch die Verwendung von Gruppen ist es möglich einer Menge von Benutzern die gleichen Rechte zuzuweisen. Die Rechte eines Benutzers ergeben sich somit aus der Addition der Accountrechte und der Rechte aller Gruppen, in denen der Benutzer Mitglied ist. Damit nicht jeder Benutzer einen beliebigen Account verwenden kann, sind die Accounts durch ein Passwort geschützt. Die Passworte bilden damit die Grundlage der Authentisierung von Benutzern gegenüber Computersystemen. 6 2.1.1 Wahl der Passworte Neben der Speicherung ist die Wahl eines „genügend sicheren“ Passwortes wichtig. Da dem Benutzer eines Rechnersystems bei der Wahl seines Passwortes große Verantwortung übertragen wird, ist eine umfassende Aufklärung der Benutzer zu diesem Thema wichtig. Bei der Auswahl eines Passwortes wird darauf geachtet, dass es sich dabei nicht um ein Passwort handelt, das leicht zu erraten ist. Problematisch sind alle Passworte, die von einem Angreifer ausprobiert werden, z.B.: Worte aus dem Sprachschatz (div. Wörterbücher) Worte aus anderen Sprachen (ebenfalls div. Wörterbücher) alle Arten von Namen (Personen, Städte, Gebäude, Comic-Figuren, ...) Rechnernamen, Benutzerkennungen Geburtsdaten, Telefonnummern Abkürzungen Tastaturfolgen (z.B. „qwerty“ oder „asdfgh“) Anfangsbuchstaben von bekannten Sprichwörtern, Liedern, etc. (z.B. amesads = „alle meine Entchen schwimmen auf dem See“, wrssdnuw = „wer reitet so spät durch Nacht und Wind“, fdhdgg, ...) Ebenso unbrauchbar sind Modifikationen dieser Worte durch z.B.: Anhängen oder Voranstellen einer Zahl (peter09, 7peter, ...) Rückwärtsschreibung (retep, reteP, ...) Anhängen oder Voranstellen eines beliebigen Zeichens (&peter, peter, ...) _ Obwohl die Aufklärung der Benutzer an erster Stelle steht, ist es notwendig, die Auswahl der möglichen Passworte durch weitere technische Maßnahmen einzuschränken. 2.1.2 Aging Wird ein Passwort längere Zeit verwendet, so steigt die Wahrscheinlichkeit, dass das Passwort (oder Teile davon) anderen Benutzern bekannt wird (z.B. durch ein „über die Schulter gucken“ bei der Eingabe des Passwortes). Die Notwendigkeit der gelegentlichen Passwort-Änderung muss dem Benutzer deutlich gemacht werden. Moderne Betriebssysteme bieten die Möglichkeit, den Benutzer nach einer vorgebbaren Zeit automatisch zu der Wahl eines neuen Passwortes aufzufordern. Diese Möglichkeit, die Gültigkeit eines Passwortes auf eine bestimmte Zeit einzuschränken, wird aging genannt. Dem Administrator sollte allerdings bewusst sein, dass dieser Mechanismus nur eine Aufforderung zum Passwortwechsel 7 darstellt. In der Regel wird nicht überprüft, ob das Passwort wirklich geändert wurde oder ob der Benutzer kurze Zeit später wieder sein altes Passwort wählt. Ein wichtiger Schritt bei der Aktivierung des Aging-Verfahrens ist also auch die Aufklärung der Benutzer. Ein weiteres Problem stellt die Wahl der maximalen Gültigkeitsdauer eines Passwortes dar. Während zu kurze Intervalle dazu führen können, dass sich die Benutzer ein Schema zur Generierung neuer Passworte überlegen (etwa die Verwendung der Monatsnummer bei einem monatlichen Wechsel), können zu lange Intervalle den Nutzen des Aging nachhaltig beeinflussen. In diesem Zusammenhang ist es zweckmäßig, Passworte mindestens jedes halbe Jahr zu wechseln. 2.1.3 Länge der Passworte Wie oben beschrieben werden die Passworte nicht im Klartext gespeichert. Ist der Verschlüsselungsalgorithmus für die Passworte hinreichend gut, so kann ein Passwort aus einem gegebenen verschlüsselten Passwort nur bestimmt werden, indem auf ein mögliches Passwort das Verschlüsselungsverfahren angewendet wird. Ist das Ergebnis dieses Verschlüsselungsverfahrens das gegebene verschlüsselte Passwort, so war das gewählte mögliche Passwort korrekt. Angriffe auf Passwortdatenbanken (mit Einträgen von verschlüsselten Passworten) werden häufig über zwei verschiedene Arten vorgenommen: Wörterbuchattacken Hierbei wird ein Wörterbuch mit wahrscheinlichen Worten benutzt und davon ausgehend versucht, das Passwort zu finden. Brute-Force-Attacken Hierbei werden alle möglichen Kombinationen über einem gegebenen Alphabet erzeugt und probiert. Damit ist ein Wörterbuchangriff für eine gegebene Passwortlänge schneller als ein Brute-ForceAngriff, wobei letzterer aber auch sämtliche möglichen Passworte findet. Um sich vor einem Brute-Force-Angriff zu schützen, müssen die Benutzer davon überzeugt werden, ein möglichst langes Passwort zu benutzen. Dieses wird durch technische Maßnahmen unterstützt. 2.1.4 Alternative Authentisierungsverfahren Wie oben beschrieben, erfordert das Anmelden an einem System üblicherweise die Angabe eines geheimen Passwortes, welches am Zielrechner verschlüsselt und mit den Einträgen in der PasswortDatei (/etc/passwd) verglichen wird. Problematisch ist dieses Verfahren beim Anmelden über ein Netzwerk, da das eingegebene Passwort unverschlüsselt über das Netz übertragen wird. Angreifer könnten die übertragenen Passworte abhören und missbrauchen. Es gibt zwei Möglichkeiten, dieses Problem zu lösen: Verschlüsselung bei einer Verbindung über das Netzwerk 8 Werden die Daten schon vor der Übertragung des Passwortes verschlüsselt, so können die Daten zwar abgehört werden, es ist jedoch nicht möglich, aus den erlauschten Daten ein Passwort zu erkennen. Eine Verschlüsselung bedingt aber, dass auf dem Zielrechner ein so genannter Dämon installiert ist, der einen verschlüsselten Verbindungsaufbau erkennt und entsprechend reagiert. Einsatz von Einmal-Passwortsystemen Hierbei wird für jeden Benutzer eine Liste von Passworten erzeugt, die in einer vorher definierten Reihenfolge zum Anmelden benutzt werden. Jedes Passwort auf dieser Liste wird genau einmal verwendet. Somit kann ein Angreifer auch nicht mit einem abgehörten Passwort einen Zugang zum System erhalten. Das Programmpaket S/Key unterstützt die Benutzung von Einmal-Passworten bei UnixSystemen. Durch dieses Programmpaket ist gewährleistet, dass das geheime Passwort des Benutzers niemals über das Netzwerk übertragen wird. Das S/Key - System schützt den Benutzer zwar nicht vor dem unerwünschten Abhören seines geheimen Passwortes, da ein Passwort jedoch nur einmal benutzt wird, ist eine abgehörtes Passwort in dem Moment des Abhörens veraltet. Beim Anmelden an einem entfernten Rechner (z.B. über rlogin, telnet, ftp, etc.) wird statt des geheimen Passwortes ein Einmal-Passwort zur Authentisierung benutzt. Dieses Passwort wird nie wieder verwendet, so dass das Abhören des Passwortes durch Dritte keinen Missbrauch ermöglicht. Das S/Key - System besteht aus zwei Seiten: Der Benutzer (Klient) muss das Einmal-Passwort erzeugen; das entfernte System (Server) muss dieses Passwort verifizieren. Die Generierung des Passwortes erfolgt am lokalen System durch das Programm key. Dieses Programm erwartet als Eingabe ein geheimes Passwort und liefert ein oder mehrere Einmal-Passworte. Nur das EinmalPasswort wird anschließend an den entfernten Rechner (den Server) übermittelt. Alternativ ist es dem Benutzer auch möglich, eine bestimmte Zahl von Einmal-Passworten im Voraus berechnen zu lassen und beispielsweise auf einem Zettel zu verwahren. 2.2 Maßnahmen Windows Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Sicherheitsmanagement 2.2.1 Sicherheitkonfiguration und Sicherheitsvorlagen: Über die Microsoft Management Console (MMC) können die Sicherheitskonfigurationen einfach vorgenommen werden. Das Snap-In Sicherheitsvorlagen ist das zentrale MMC-Snap-In zum Betrachten, Definieren und Ändern vorhandener Sicherheitsvorlagen oder zum Erstellen neuer Vorlagen. 9 Das Snap-In Sicherheitskonfiguration- und -analyse gestattet den Import einer oder mehrerer Sicherheitsvorlagen in eine Datenbank. Diese Datenbank kann dem Computer zugewiesen werden, oder zur Analyse der aktuellen Systemkonfiguration im Vergleich zu der in der Datenbank gespeicherten Konfiguration verwendet werden. Das Snap-In Gruppenrichtlinie gestattet die Definition der Sicherheitskonfiguration als Teil eines Gruppenrichtlinienobjekts. Die Gruppenrichtlinie kann auf einen bestimmten Computer, eine Domäne oder einem im Active Directory festgelegten Bereich zugewiesen werden. 2.2.2 Wahl der Passworte Durch das Betriebssystem wird über die Sicherheitsvorlagen die Auswahl eines Passwortes entsprechend unterstützt. Ebenfalls erfolgt eine umfassende Schulung der Mitarbeiter entsprechend den Hausinternen IT-Richtlinien. 2.2.3 Aging Durch die Sicherheitsvorlagen wird ebenfalls das Altern des Passwortes festgelegt. Alle Passworte müssen alle 6 Monate geändert werden. Hierfür erfolgt eine entsprechende Konfiguration des Betriebssystems. Eine Wiederverwendung alter Passworte ist erst nach einem Zeitraum von 2 Jahren möglich. 2.2.4 Länge der Passworte Die Länge der gewählten Passworte wird unter Windows durch die entsprechenden Sicherheitsvorlagen des Betriebssystemes unterstützt. 2.2.5 Hinterlegung von Passworten Von allen Windowsservern werden die Passwörter der loaklen Administratorenaccounts sowie das Passwort des Domainadministrators an zentraler Stelle in verschlossenen Umschlägen deponiert. Im Notfall können dann diese Umschläge geöffnet werden. Eine Öffnung der Umschläge ist zu dokumentieren (Datum, Wer hat Öffnung angeordnet, Welche Aufgaben wurden durchgeführt). Im Anschluss sind die betroffenen Passwörter zu ändern und in neuen Umschlägen zu hinterlegen. Dieses ist ebenfalls zu dokumentieren. Regelmässig werden Überprüfungen durchgeführt, ob die Umschläge noch ordnungsgemäß verschlossen sind. Diese Überprüfung ist ebenfalls zu dokumentieren. 2.2.6 Details zum Passwortalgorithmus Wenn ein Client eine Kerberos-Mitteilung an den Key Distribution Server (KDC) schickt, wird normalerweise das User Datagram Protocol (UDP) auf Port 88 verwendet. Ist die Mitteilung zwischen 1472 Bytes (maximale MTU 1500 Bytes) und 2000 Bytes gross, so wird fragmentiert. Bei Kerberos Mitteilungen über 2000 Bytes wird das Transmission Control Protocol (TCP) auf Port 88 verwendet. Dies wiederspricht eigentlich dem RFC 1510, nachdem Kerberos Mitteilungen über UDP geregelt werden sollte. Die Engineering Task Force (IETF) hat einen Entwurf zur Änderung des RFC1510 eingereicht. 2.3 Linux Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement 10 Verantwortlich für Umsetzung: IT-Sicherheitsmanagement 2.3.1 Speicherung der Passworte Linux-Betriebssysteme verschlüsseln die Passworte mit einem Verfahren, mit dem die Verschlüsselung nicht rückgängig gemacht werden kann. Das so erhaltene verschlüsselte Passwort wird zusammen mit anderen Benutzer-Informationen in der Datei /etc/passwd gespeichert. Viele Informationen in dieser Passwort-Datei müssen für alle Benutzer und Programme lesbar sein (um z.B. eine Zuordnung von numerischen Benutzer-IDs (UID’s) zu Benutzernamen durchführen zu können). Dadurch können auch potentielle Angreifer (Cracker) darauf zugreifen. Sind in dieser Datei auch die verschlüsselten Passworte enthalten, kann ein password cracking Programm darauf angesetzt werden und schlecht gewählte Passworte herausfinden. Der für Passworte benutzte Verschlüsselungsalgorithmus wurde bislang noch nicht „geknackt“. Somit kann auch kein Eindringling das verschlüsselte Passwort in das Klartext-Passwort entschlüsseln. Aber verschlüsselte Passworte können mit verschlüsselten Wörterbüchern verglichen werden. Dadurch können schlechte Passworte (siehe dazu auch Wahl der Passworte) leicht geraten werden. Aus diesem Grund unterstützen alle gängigen Linux-Implementationen shadow password files, bei denen die Passwortdatei in zwei verschiedene Dateien aufgeteilt wird: Die Datei /etc/passwd enthält nur allgemeine Informationen und ist für alle Benutzer lesbar, während die Datei mit den verschlüsselten Passworten (/etc/shadow) vor allen Zugriffen durch NichtRoot User geschützt ist. Damit können nur Programme, die unter root-Privilegien laufen, auf die Passworte zugreifen, was ausreichend ist. Maßnahmen: Es werden ausschließlich shadow password files eingesetzt. Der Einsatz von UnixImplementationen welche derartige shadow password files nicht unterstützen, ist ausgeschlossen. 2.3.2 Länge der Passworte Die Zeichen können aus dem gesamten Zeichenvorrat, der mit einer Terminaltastatur erzeugt werden kann, gewählt werden. Als realistische Schätzung wurde für die Zeitabschätzung in Tabelle C.1 angenommen, dass der Zeichenvorrat aus 96 verschiedenen Zeichen besteht. Sollte ein kurzes Passwort gewählt werden, so kann dieses eventuell durch vollständige Suche (d.h. automatisiertes Ausprobieren aller möglichen Kombinationen) erraten werden. Eine solche vollständige Suche wird auch Brute-Force-Attack genannt. Es werden dabei systematisch alle Buchstabenkombinationen verschlüsselt und mit dem gesuchten verschlüsselten Passwort verglichen. Ein Passwort sollte daher mindestens 8 Zeichen lang sein und den möglichen Zeichenvorrat nutzen. Es sollte möglichst immer aus einer Kombination von Klein-, Groß-, Buchstaben, Ziffern und Sonderzeichen bestehen. Maßnahmen: Die Auswahl von entsprechenden Passwörtern wird durch das Betriebssystem unterstützt. Durch den Einsatz entsprechender Prüfalgorithmen wird sichergestellt, dass Passworte eine Mindestlänge von 8 Zeichen mit mindestens einem Sonderzeichen haben. 11 2.3.3 Hinterlegung von Passworten Von allen Linuxservern werden die Passwörter der lokalen Administratorenaccounts an zentraler Stelle in verschlossenen Umschlägen deponiert. Im Notfall können dann diese Umschläge geöffnet werden. Eine Öffnung der Umschläge ist zu dokumentieren (Datum, Wer hat Öffnung angeordnet, Welche Aufgaben wurden durchgeführt). Im Anschluss sind die betroffenen Passwörter zu ändern und in neuen Umschlägen zu hinterlegen. Dieses ist ebenfalls zu dokumentieren. Regelmässig werden Überprüfungen durchgeführt, ob die Umschläge noch ordnungsgemäß verschlossen sind. Diese Überprüfung ist ebenfalls zu dokumentieren. 2.3.4 Details zum Passwortalgorithmus Bei der Anmeldung am System wird das vom Benutzer eingegebene Passwort mit dem Passwort aus der lokalen Passwortdatenbank verglichen. Die einfachste Möglichkeit wäre nun, diese Passworte in einer Datenbank zu speichern und direkt mit der Eingabe des Benutzers zu vergleichen. Dies ist aber wenig zweckmäßig, wenn ein Benutzer eben diese Datenbank mit den Passworten im Klartext lesen kann. Der Passwortalgorithmus beschreibt das Verfahren, mit dem verhindert wird, dass aus dem in der Datenbank gespeicherten Eintrag auf das Passwort zurückgeschlossen werden kann. Linux verwendet zur sicheren Speicherung der Passworte ein Verschlüsselungsverfahren, das gewährleistet, dass durch die Kenntnis des verschlüsselten Passwortes nicht auf das ursprüngliche Passwort geschlossen werden kann. Maßnahmen: Die Passworte werden mit der frei verfügbaren Funktion crypt() verschlüsselt. Crypt benutzt eine leicht modifizierte Version des bekannten DES Algorithmus’. Konkret wird ein 64-bit Block von Nullen mit dem Passwort des Benutzers als Schlüssel verschlüsselt. Die Modifikation des DES-Algorithmus besteht darin, dass nicht nur der zu verschlüsselnde Block und der Schlüssel als Parameter übergeben werden, sondern auch ein zufälliger 12-bit Wert, der sog. Salt. Die 12-bit werden durch zwei Zeichen aus dem Bereich [A..Z], [a..z], [1..9] und [.,], die vor das eigentliche Passwort in die Passwortdatei eingefügt werden, repräsentiert. Der Salt geht direkt in die Verschlüsselung mit ein und sorgt dafür, dass ein Benutzerpasswort den 64-bit Block von Nullen auf 4096 verschiedene Arten verschlüsseln kann. Dieses hat zwei Effekte: Zum einen werden Angriffe auf die Passwortdatenbank schwieriger, da es nicht mehr ausreicht, ein Wörterbuch mit z.B. 100.000 Wörtern zu verschlüsseln, sondern es müssen, um die gleiche Menge von Passworten testen zu können, 409.600.000 Einträge in dem Wörterbuch erzeugt werden, da jedes Wort auf 4096 verschiedene Arten verschlüsselt werden muss. Zum anderen werden für zwei Benutzer mit dem gleichen Passwort mit großer Wahrscheinlichkeit unterschiedliche Einträge in der Passwortdatei erzeugt. 12 2.3.5 Erkennung schwacher Passworte 2.3.5.1 Nachträgliche Erkennung ungeeigneter Passworte Da Passworte den Zugang zu einem Rechnersystem sichern, sind schwache, also leicht zu ratende Passworte der erste Punkt, den ein Angreifer testen wird. Bei einem bestehenden System sollte in regelmäßigen Abständen überprüft werden, ob die Benutzer schwache Passworte verwendet haben. Relativ bekannt ist die Methode, eine gegebene Passwort-Datei mit Hilfe eines Programms zum Ausprobieren von Passworten zu überprüfen. Diese Methode hat diverse Nachteile. Da nur die verschlüsselten Passwort-Einträge zur Verfügung stehen, muss jedes zu testende Wort ebenfalls verschlüsselt und anschließend mit dem gespeicherten Eintrag verglichen werden. Dieses erfordert ein großes Maß an Rechenzeit. Ein weiteres Problem ergibt sich aus der Zeitspanne zwischen der Wahl des Passwortes und der Erkennung als „schwaches“ Passwort. 2.3.5.2 Erkennung „schwacher“ Passworte bei der Wahl Eine effizientere Methode schwache Passworte zu finden ist, direkt bei der Eingabe zu prüfen, ob die Passworte bestimmten Regeln genügen. Damit kann dann eine langwierige Suche, wie sie bei der nachträglichen Erkennung nötig ist, umgangen werden. Um den Benutzer bei der Wahl eines Passwortes zu unterstützen, kann man unter Linux das passwdProgramm durch das npasswd- Programm ersetzen, welches ein gewünschtes neues Passwort nach vorgebbaren Regeln überprüft und dem Benutzer eventuell weitere Hilfestellungen gibt. Vorteilhaft an dieser Methode ist, dass die Überprüfung des Passwortes anhand des Klartext-Passwortes sehr effizient und zügig erfolgen kann. 13 2.4 Datenbanken Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Sicherheitsmanagement 2.4.1 Oracle 2.4.1.1 Benutzer Neue Benutzer werden durch ihren Vorgesetzten an den Verantwortlichen der DB-Gruppe gemeldet. Jeder Datenbankbenutzer erhält ein eindeutiges Datenbanklogin. Beim ersten Login muss der Nutzer sein Passwort ändern. ALTER PROFILE DEFAULT LIMIT PASSWORD_LIFE_TIME 180 PASSWORD_GRACE_TIME 10 PASSWORD_REUSE_TIME 1800 PASSWORD_REUSE_MAX UNLIMITED FAILED_LOGIN_ATTEMPTS 3 PASSWORD_LOCK_TIME 1/1440 2.4.1.2 Profile Jedem Datenbankbenutzer wird ein Profil zugeordnet. Dieses Profil umfasst die Definition eines limitierten Speicherbereiches sowie einer begrenzten CPU-Nutzung. Dies verhindert ein Überlasten des Systems. ALTER PROFILE DEFAULT LIMIT CPU_PER_SESSION 60000 LOGICAL_READS_PER_SESSION 1000 CONNECT_TIME 60 PRIVATE_SGA 102400 CPU_PER_CALL UNLIMITED COMPOSITE LIMIT 60000000; 14 2.4.1.3 Passwort Ein gültiges Passwort muss mindestens 8 Zeichen, davon mindestens ein numerisches oder ein Sonderzeichen, besitzen. Zum Überprüfen des Passwortes wird eine geeignete Prozedur eingesetzt. Die Gültigkeit eines Passwortes wird auf 60 Tage gesetzt, danach bleiben dem Nutzer 10 Tage sein Passwort zu ändern. Wird bei einem Anmeldeversuch dreimal ein falsches Passwort eingegeben, wird der Nutzer gesperrt. Die Sperre wird automatisch 10 Minuten später wieder aufgehoben. Durch diese Maßnahme wird der Einsatz von Passwortcrack-Programmen erschwert. Gleichzeitig werden alle erfolglosen Anmeldeversuche aufgezeichnet. 2.4.1.4 Rollen Das Verwenden von Rollen ermöglicht eine übersichtlichere Vergabe und Definition von Benutzerrechten. Hierbei werden einerseits bereits vordefinierte Rollen (CONNECT, RESOURCE, DBA), sowie anwendungsspezifische Rollen unterschieden. 2.4.1.4.1 Vordefinierte Rollen Die vordefinierten Rollen umfassen folgende Rechte: CONNECT ALTER SESSION, CREATE CLUSTER, CREATE DATABASE LINK, CREATE SEQUENCE, CREATE SESSION, CREATE SYNONYM, CREATE TABLE, RESOURCE CREATE CLUSTER, CREATE INDEXTYPE, 15 CREATE OPERATOR, CREATE PROCEDURE, CREATE SEQUENCE, CREATE TABLE, CREATE TRIGGER, CREATE TYPE DBA Alle Rechte mit ADMIN OPTION. 2.4.1.4.2 Anwendungsspezifische Rollen Bei den anwendungsspezifischen Rollen unterscheiden wir: Administrator: darf innerhalb einer Studie alle Daten eingeben, abfragen, ändern und löschen sowie Tabellen, Views, Prozeduren und Funktionen anlegen, ausführen und löschen Dokumentar: darf alle Daten eingeben, abfragen und ändern, sowie alle Prozeduren und Funktionen ausführen Dateneingabe: darf alle Daten eingeben, das Abfragen und Ändern von Daten kann gegebenenfalls nur in einem bestimmten Zeitrahmen (z.B. am selben Tag) gestattet sein Biometriker: darf alle Daten abfragen und ändern Randomisation: darf nur Daten eingeben und abfragen, die für die Randomisation notwendig sind, sowie die dafür nötigen Prozeduren und Funktionen ausführen Ansicht: darf alle Daten nur lesen, für Doktoranden etc. Diese Rechte werden studienspezifisch in Rollen festgelegt und dem entsprechend dazu berechtigten Benutzer zugeordnet. 16 17 3 Datenträgeraustausch 3.1 Beschreibung Betrachtet wird der Austausch von Datenträgern zur Datenübertragung zwischen nicht vernetzten ITSystemen. Berücksichtigte Datenträger sind USB-Sticks, Disketten, Wechselplatten (magnetisch, magneto-optisch), CDs, Magnetbänder und Kassetten. Daneben wird auch die Speicherung der Daten auf dem Sender- und Empfänger-System, soweit es in direktem Zusammenhang mit dem Datenträgeraustausch steht, sowie der Umgang mit den Datenträgern vor bzw. nach dem Versand berücksichtigt. 3.2 Gefährdungslage Im Rahmen des Austausches von Datenträgern werden folgende typische Gefährdungen angenommen: 3.2.1 Höhere Gewalt: Unzulässige Temperatur und Luftfeuchte Staub, Verschmutzung Datenverlust durch starke Magnetfelder beim Transport 3.2.2 Organisatorische Mängel: Fehlende, ungeeignete, inkompatible Betriebsmittel Nicht fristgerecht verfügbare Datenträger Mangelhafte Kennzeichnung der Datenträger Ungeordnete Zustellung der Datenträger Unzureichendes Schlüsselmanagement bei Verschlüsselung 3.2.3 Menschliche Fehlhandlungen: Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer Nichtbeachtung von IT-Sicherheitsmaßnahmen Verlust der Datenträger beim Versand Übertragung falscher oder nicht gewünschter Datensätze 3.2.4 Technisches Versagen: Defekte Datenträger 3.2.5 Vorsätzliche Handlungen: Manipulation/Zerstörung von IT-Geräten und Zubehör 18 Manipulation an Daten oder Software Diebstahl/Unberechtigte IT-Nutzung Computer-Viren Unberechtigtes Kopieren der Datenträger Makro-Viren 3.3 Maßnahmen 3.3.1 Infrastruktur: 3.3.1.1 Sichere Aufbewahrung der Datenträger vor und nach Versand Verantwortlich für Initiierung: IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Benutzer, Poststelle Vor dem Versand eines Datenträgers wird gewährleistet, dass für den Zeitraum zwischen dem Speichern der Daten auf dem Datenträger und dem Transport ein ausreichender Zugriffsschutz besteht. Nach dem Schreiben der zu übermittelnden Daten auf den Datenträger werden diese bis zum Transport in entsprechenden Behältnissen (Schrank, Tresor) verschlossen aufbewahrt. Die für den Transport oder für die Zustellung Verantwortlichen (z. B. Poststelle) werden auf sachgerechte und sichere Aufbewahrung und Handhabung des Datenträgers hingewiesen. 3.3.2 Organisation: 3.3.2.1 Datenträgerverwaltung Verantwortlich für Initiierung: Leiter IT Verantwortlich für Umsetzung: Archivverwalter, IT-Verfahrensverantwortlicher Aufgabe der Datenträgerverwaltung als Teil der Betriebsmittelverwaltung ist es, den Zugriff auf Datenträger im erforderlichen Umfang und in angemessener Zeit gewährleisten zu können. 3.3.2.1.1 Bestandsverzeichnisse Über den gesamten Bestand der archivierten Backupbänder wird eine Liste geführt, welche Aussage über das Datum des Backups, den Inhalt des Backups, den Ort der Einlagerung und die geplante Aufbewahrungsdauer gibt. Siehe hierzu auch Datensicherungskonzept. Für weitere Datenträger werden keine Bestandsverzeichnisse geführt, ausgenommen davon sind Softwareverzeichnisse. 3.3.2.1.2 Kennzeichnung Die entsprechenden Backupbänder werden eindeutig gekennzeichnet. Hierzu gehört eine eindeutige Nummerierung welche eine schnelle Identifizierung erlaubt. Diese Kennzeichnung erlaubt jedoch keinen Rückschluss auf den Inhalt. Siehe hierzu auch Datensicherungskonzept. 19 3.3.2.1.3 Aufbewahrung Die Aufbewahrung der Backupmedien erfolgt entsprechend dem Datensicherungskonzept in einem verschlossenen, brandschutzsicheren Stahlschrank im Bereich des Serverraums. Siehe hierzu auch Datensicherungskonzept. Der Versand oder Transport von Datenträgern muss in der Weise erfolgen, dass eine Beschädigung der Datenträger möglichst ausgeschlossen werden kann (z. B. Magnetbandversandtasche, luftgepolsterte Umschläge). Die Verpackung des Datenträgers ist an seiner Schutzbedürftigkeit auszurichten (z. B. mittels verschließbaren Transportbehältnissen). Versand- oder Transportarten (z. B. Kuriertransport) müssen ebenso festgelegt werden wie das Nachweisverfahren über den Versand (z. B. Begleitzettel, Versandscheine) und den Eingang beim Empfänger (z. B. Empfangsbestätigung). Der Datenträger darf über die zu versendenden Daten hinaus, keine "Restdaten" enthalten. Dies kann durch physikalisches Löschen erreicht werden. Stehen hierzu keine Werkzeuge zur Verfügung, so sollte der Datenträger zumindest formatiert werden. Dabei sollte sichergestellt werden, dass mit dem zugrundeliegenden Betriebssystem eine Umkehr des Befehls nicht möglich ist. Weiterhin ist zu beachten, dass vor Abgabe wichtiger Datenträger eine Sicherungskopie erstellt wird. Für den Fall, dass von Dritten erhaltene Datenträger eingesetzt werden, sind Regelungen über deren Behandlung vor dem Einsatz zu treffen. Werden zum Beispiel Daten für PCs übermittelt, sollte generell ein Computer-Viren-Check des Datenträgers erfolgen. Dies gilt entsprechend auch vor dem erstmaligen Einsatz neuer Datenträger. Es ist empfehlenswert, nicht nur beim Empfang, sondern auch vor dem Versenden von Datenträgern diese auf Computer-Viren zu überprüfen. Siehe hierzu auch Virenschutzkonzept. Eine geregelte Vorgehensweise für die Löschung oder Vernichtung von Datenträgern verhindert den Missbrauch der gespeicherten Daten. Vor der Wiederverwendung von Datenträgern muss die Löschung der gespeicherten Daten vorgenommen werden 3.3.2.2 Festlegung der möglichen Kommunikationspartner Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement, Datenschutzbeauftragter Verantwortlich für Umsetzung: IT-Sicherheitsmanagement Sollen Informationen an einen Kommunikationspartner übertragen werden, so muss sichergestellt werden, dass der Empfänger die notwendigen Berechtigungen zum Weiterverarbeiten dieser Informationen besitzt. Werden Informationen zwischen mehreren kommunizierenden Stellen ausgetauscht, so soll für alle Beteiligten ersichtlich sein, wer diese Informationen ebenfalls erhalten hat bzw. erhalten wird. Um die oben genannten Kriterien zu erfüllen, bedarf es einer Festlegung, welche Kommunikationspartner welche Informationen erhalten dürfen. 20 3.3.2.3 Ausreichende Kennzeichnung der Datenträger beim Versand Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Benutzer, Operator Neben den in Maßnahmekatalog dargestellten Umsetzungshinweisen ist bei einer ausreichenden Kennzeichnung von auszutauschenden Datenträgern darauf zu achten, dass Absender und (alle) Empfänger unmittelbar zu identifizieren sind. Die Kennzeichnung muss den Inhalt des Datenträgers eindeutig für den Empfänger erkennbar machen. Es ist jedoch bei schützenswerten Informationen wichtig, dass diese Kennzeichnung für Unbefugte nicht interpretierbar ist. Darüber hinaus sollten die Datenträger mit den für das Auslesen notwendigen Parametern gekennzeichnet werden. 3.3.2.4 Sichere Verpackung der Datenträger Verantwortlich für Initiierung: IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Benutzer, Poststelle Neben den in Maßnahmekatalog dargestellten Umsetzungshinweisen sollte die Verpackung dergestalt sein, dass Manipulationen am Datenträger durch Veränderungen an der Verpackung erkennbar sind. Mögliche Maßnahmen sind die Verwendung von Umschlägen mit Siegel, verplombten Behältnissen oder Umschlägen, die mit Klebefilm überklebt und anschließend mit nichtwasserlöslicher Tinte mehrmals unregelmäßig überzeichnet werden. Verfügt der Datenträger über einen Schreibschutz (Schieber bei Disketten, Schreibring bei Bändern) so sollte dieser genutzt werden. Sollen Manipulationen an den Informationen auf dem Datenträger selbst erkannt werden, sind Verschlüsselungs- oder Checksummenverfahren einzusetzen (siehe Maßnahmen Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen). 3.3.2.5 Regelung des Datenträgeraustausches Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Benutzer, Poststelle, Operator Sollen zwischen zwei oder mehreren Kommunikationspartnern Datenträger ausgetauscht werden, so sind zum ordnungsgemäßen Austausch folgende Punkte zu beachten: 21 Die Adressierung muss eindeutig erfolgen, um eine fehlerhafte Zustellung zu vermeiden. So muß neben dem Namen des Empfängers auch Organisationseinheit und die genaue Bezeichnung der Behörde/des Unternehmens angegeben sein. Entsprechendes gilt für die Adresse des Absenders. Dem Datenträger sollte (optional) ein Datenträgerbegleitzettel beigelegt werden, der folgende Informationen umfasst: o Absender, o Empfänger, o Art des Datenträgers, o Seriennummer (soweit vorhanden), o Identifikationsmerkmal für den Inhalt des Datenträgers, o Datum des Versandes, ggf. Datum bis wann der Datenträger spätestens den Empfänger erreicht haben muss, o Hinweis, dass Datenträger auf Viren überprüft sind, o Parameter, die zum Lesen der Informationen benötigt werden, z. B. Bandgeschwindigkeit. Jedoch darf nicht vermerkt werden, o welches Passwort für die eventuell geschützten Informationen vergeben wurde, o welche Schlüssel ggf. für eine Verschlüsselung der Informationen verwendet wurde, o welchen Inhalt der Datenträger hat. Der Versand des Datenträgers muß dokumentiert werden. Für jede stattgefundene Übermittlung ist in einem Protokoll festzuhalten, wer wann welche Informationen erhalten hat. Je nach Schutzbedarf beziehungsweise Wichtigkeit der übermittelten Informationen ist der Empfang zu quittieren ein Quittungsvermerk und dem erwähnten Protokoll beizufügen. Es sind jeweils Verantwortliche für den Versand und für den Empfang zu benennen. Die Versandart ist festzulegen. 3.3.2.6 Geeignetes Schlüsselmanagement Siehe Kryptokonzept. 3.3.3 Personal 3.3.3.1 Einweisung des Personals in den geregelten Ablauf eines Datenträgeraustausches Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Sicherheitsmanagement Mangelnde Information und Einweisung der Mitarbeiter führt in vielen Fällen dazu, dass Restriktionen der Informationsweitergabe nicht oder nur unzulänglich eingehalten werden. Die Festlegungen, welchen Kommunikationspartnern wann welche Daten übermittelt werden dürfen ( Maßnahme Festlegung der möglichen Kommunikationspartner ), ist den an einem Datenträgeraustausch Beteiligten daher zwingend bekannt zu geben. Außerdem sind die prinzipiellen 22 Schritte für den Ablauf eines Datenträgeraustausches zu fixieren (eventuell als Dienstanweisung) und die Mitarbeiter zur Einhaltung zu verpflichten. Zusätzlich ist eine Sensibilisierung der am Datenträgeraustausch beteiligten Mitarbeiter hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen vor, während und nach dem Transport der Datenträger notwendig. Werden bestimmte IT-gestützte Verfahren zum Schutz der Daten während des Austausches eingesetzt (wie etwa Verschlüsselung oder Checksummenverfahren), so sind diese Mitarbeiter in die Handhabung dieser Verfahren ausreichend einzuarbeiten. 3.3.4 Hardware/Software: 3.3.4.1 Physikalisches Löschen der Datenträger vor und nach Verwendung Verantwortlich für Initiierung: IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Verfahrensverantwortlicher Neben den in Maßnahme Sicheres Löschen von Datenträgern enthaltenen Hinweisen zur Löschung oder Vernichtung von Datenträgern sind für den Datenträgeraustausch folgende Punkte zu beachten: Magnetische Datenträger, die für den Austausch bestimmt sind, müssen vor dem Beschreiben mit den zu übermittelnden Informationen physikalisch gelöscht werden. Es soll damit sichergestellt werden, dass keine Restdaten weitergegeben werden, für deren Erhalt der Empfänger keine Berechtigung besitzt. Eine für den mittleren Schutzbedarf ausreichende physikalische Löschung wird erreicht, indem der komplette Datenträger oder zumindest die genutzten Bereiche mit einem bestimmten Muster überschrieben werden. Möglich ist auch eine Formatierung des Datenträgers, wenn diese nicht wieder rückgängig gemacht werden kann. In der Regel sind die übertragenen Daten auch für den Empfänger schützenswert. Analog ist auch hier nach dem Wiedereinspielen der Daten eine physikalische Löschung des Datenträgers vorzusehen. Auf den Einsatz von optischen Datenträger (hier: WORM) ist zum Zwecke des Datenaustausches dann zu verzichten, wenn sich darauf weitere, nicht für den Empfänger bestimmte Informationen befinden, die nicht gelöscht werden können. 3.3.4.2 Einsatz eines Viren-Suchprogramms bei Datenträgeraustausch und Datenübertragung Verantwortlich für Initiierung: IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Benutzer 23 Neben den in der Maßnahme Datenträgerverwaltung dargestellten Umsetzungshinweisen muß unmittelbar vor und unmittelbar nach einer Datenübertragung sowie beim Austausch bzw. beim Versand von Disketten oder anderen Datenträgern eine Viren-Überprüfung durchgeführt werden (vgl. Maßnahme Einsatz von Viren-Suchprogrammen). Dabei ist darauf zu achten, dass das eingesetzte Viren-Suchprogramm auch Makro-Viren erkennen kann. Siehe hierzu auch Virenschutzkonzept. Ein Protokoll der Absender-Überprüfung sollte dem übermittelten Datenträger beigefügt oder einer Datei, die elektronisch versandt wird, angehängt werden. Es empfiehlt sich, dieses Protokoll als Kopie zu verwahren. Der Empfänger hätte anhand dieses Protokolls einen ersten Eindruck von der Integrität der übermittelten Daten. Dies entbindet jedoch nicht von einer erneuten Virenüberprüfung. Der Absender kann andererseits bei eventuellen Beschwerden bezüglich Virenbefall der Daten plausibel machen, dass ein Befall bei ihm unwahrscheinlich war. 3.3.4.3 Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen Verantwortlich für Initiierung: IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Benutzer Werden vertrauliche Informationen oder Informationen mit hohem Integritätsanspruch übertragen und besteht eine gewisse Möglichkeit, dass diese Daten Unbefugten zur Kenntnis gelangen, von diesen manipuliert werden oder durch technische Fehler verändert werden können, muß ein kryptographisches Verfahren zum Schutz der Daten für den Transport oder die Übermittlung in Betracht gezogen werden. 3.3.4.3.1 Vertraulichkeitsschutz durch Verschlüsselung Für die Übertragung vertraulicher Informationen bedarf es deren Verschlüsselung. Das entscheidende Merkmal eines Verschlüsselungsverfahrens ist die Güte des Algorithmus sowie der Schlüsselauswahl. Ein anerkannter Algorithmus, der für den mittleren Schutzbedarf ausreicht, ist der Tripel-DES, der auf dem Data Encryption Standard (DES) basiert. Um den Anforderungen der Vertraulichkeit der zu übertragenden Informationen zu entsprechen, müssen das IT-System des Absenders und des Empfängers den Zugriffsschutz auf das Verschlüsselungsprogramm ausreichend gewährleisten. Ggf. sollte dieses Programm auf einem auswechselbaren Datenträger gespeichert, in der Regel verschlossen aufbewahrt und nur bei Bedarf eingespielt/genutzt werden. 3.3.4.3.2 Integritätsschutz durch Checksummen, Verschlüsselung oder Digitaler Signaturbildung Ist für den Datenaustausch lediglich die Integrität der zu übermittelnden Daten sicherzustellen, muss unterschieden werden, ob ein Schutz nur gegen zufällige Veränderungen, z. B. durch Übertragungsfehler, oder auch gegen Manipulationen geleistet werden soll. Sollen ausschließlich zufällige Veränderungen erkannt werden, können Checksummen-Verfahren (z. B. Cyclic Redundancy 24 Checks) oder fehlerkorrigierende Codes zum Einsatz kommen. Schutz gegenüber Manipulationen bieten darüber hinaus Verfahren, die unter Verwendung eines symmetrischen Verschlüsselungsalgorithmus (z. B. DES) aus der zu übermittelnden Information einen so genannten Message Authentication Code (MAC) erzeugen. Andere Verfahren bedienen sich eines asymmetrischen Verschlüsselungsalgorithmus (z. B. RSA) in Kombination mit einer Hashfunktion und erzeugen eine "Digitale Signatur". Die jeweiligen erzeugten "Fingerabdrücke" (Checksumme, fehlerkorrigierende Codes, MAC, Digitale Signatur) werden zusammen mit der Information an den Empfänger übertragen und können von diesem überprüft werden. Für die Übermittlung oder den Austausch ggf. notwendiger Schlüssel sei hier auf Maßnahme Geeignetes Schlüsselmanagement verwiesen. Weitere Informationen zum Einsatz kryptographischer Verfahren und Produkte finden sich in Kapitel Kryptokonzept. 3.3.4.4 Verifizieren der zu übertragenden Daten vor Versand Verantwortlich für Initiierung: IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Benutzer Vor dem Versenden des Datenträgers ist dieser darauf zu überprüfen, ob die gewünschten Informationen - und auch nur diese - vom Datenträger rekonstruierbar sind. Um die korrekte Übertragung zum Datenträger zu überprüfen, kann ein Programm eingesetzt werden, dass die ursprüngliche mit der übertragenen Datei zeichenweise vergleicht (auf einem PC unter DOS z. B. mittels des Befehls comp). Auch sollten alle Dateien des Datenträgers aufgelistet werden (z. B. mit dir unter DOS oder ls unter Unix), um sicherzustellen, dass nur für den Empfänger bestimmte Dateien auf diesem Datenträger enthalten sind. Befanden sich vorher andere Daten auf diesem Datenträger, so sind diese physikalisch zu löschen ( Maßnahme Physikalisches Löschen der Datenträger vor und nach Verwendung). 3.3.4.5 Prüfung eingehender Dateien auf Makro-Viren Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator, IT-Benutzer Eingehende Dateien im Wege des Datenträgeraustausch oder bei elektronischer Übermittlung sind einer Viren-Prüfung zu unterziehen. Dies gilt nicht nur für reguläre Programm-Dateien, sondern auch für solche Dateien, die mittels Anwendungsprogrammen, die eine Makrosprache verwenden können, erstellt wurden. Sofern ein aktuelles Viren-Schutzprogramm eingesetzt wird, das auch Makro-Viren erkennt, kann auf weitere Maßnahmen verzichtet werden. Darüber hinaus kann eine Testumgebung sinnvoll sein, um 25 übersandte Dateien mit dem jeweiligen Anwendungsprogramm auf Makro-Viren zu untersuchen. Alternativ besteht die Möglichkeit, empfangene Dateien mit einem Editor zu bearbeiten, der die Datei in ein Format umwandelt, in dem die Makros nicht ablauffähig sind. Die empfangenen Dateien können auch mit so genannten Viewern geöffnet werden, die es kostenlos für die Darstellung der verbreitetsten Dateiformate gibt und die ebenfalls die Ausführung von Makros nicht zulassen. Dokumente sollten möglichst nur im RTF-Format nach außen gegeben werden, da hierzu keine Makrosprache existiert und damit keine Gefahr von Makro-Viren besteht. Die Umwandlung nach RTF ist im Allgemeinen ohne nennenswerte Qualitätsverluste möglich. Als weitere Vorbeugung werden die Benutzer darauf hingewiesen, wie sie die automatische Ausführung möglicherweise vorhandener Makros verhindern können. Bei der Verwendung des RTF-Formats ist jedoch zu beachten, dass damit unter bestimmten Voraussetzungen der Makrovirus-Schutz von Microsoft Word umgangen werden kann. (Bekannte Viren werden jedoch von aktuellen Viren-Schutzprogrammen gefunden.) Für RTF existiert keine Makrosprache, es können jedoch Verknüpfungen mit Dokumentenvorlagen (DOT) eingebettet sein, die ihrerseits Makros enthalten können. Wird eine solche RTF-Datei geöffnet und ist die Dokumentvorlage ebenfalls im Zugriff, führt Microsoft Word in der Dokumentenvorlage evtl. enthaltene Makros ohne Rückfrage aus. Betroffen sind die Versionen Word 97, 98, 2000 und 2001 (Mac). Patches zur Behebung dieser Schwachstelle sind für die US-Versionen von Word verfügbar (siehe Microsoft Security Bulletin MS01-028), für internationale Versionen sind sie angekündigt. Diese Patches sollten installiert werden. Als zusätzliche Sicherheitsmaßnahme kann ein nicht Makrofähiges Viewer-Programm zur Anzeige von RTF-Dateien verwendet werden. 3.3.5 Kommunikation: 3.3.5.1 Kompatibilitätsprüfung des Sender- und Empfängersystems Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Verfahrensverantwortlicher Abhängig vom Grad der Kompatibilität von Empfänger- und Sendersystem lassen sich Informationen mehr oder weniger zuverlässig per Datenträgeraustausch übertragen. Dabei sind je nach Komplexität auszutauschender Daten unterschiedliche Anforderungen an die Kompatibilität zu stellen. Vor Einrichtung eines regelmäßigen Datenträgeraustausches sollte daher die Übereinstimmung folgender Eigenschaften überprüft werden, um im Vorfeld Inkompatibilitäten festzustellen und ggf. Abhilfe zu schaffen: Physikalisches Lesemedium: Notwendige Voraussetzung ist die Übereinstimmung der physikalischen Lesemedien von Empfänger- und Sendersystem. Dabei reicht aber mechanische Äquivalenz noch nicht aus, denn die Nichtübereinstimmung von Parametern wie Geschwindigkeit bei Bändern oder Kapazität bei Disketten kann zu Problemen führen. 26 Zeichencode (z. B. ASCII oder EBCDIC): Stimmen Sender- und Empfängersystem im verwendeten Zeichencode überein, so sind mit Hilfe des physikalischen Lesens einzelne Sektoren/Blöcke im Klartext lesbar, die unzusammenhängend auf dem Datenträger verteilt sein können. Stimmen die verwendeten Zeichencodes nicht überein, werden die übertragenen Daten falsch interpretiert. Formatierung des Betriebs- bzw. Dateisystem des Datenträgers: Verfügen beide Systeme darüber hinaus über das gleiche Betriebs- und Dateisystem oder sieht das Empfängerbetriebssystem vor, Formatierungen anderer Betriebssystem zu lesen (einige UnixBetriebssysteme können DOS-Disketten einlesen), dann können alle Dateien, wie sie beim Absender vorlagen, wiederhergestellt werden. Dies ist für Informationen ausreichend, die keiner weiteren Formatierung, wie sie von den meisten Anwendungsprogrammen (z. B. Textverarbeitungsprogrammen) vorgenommen werden, unterliegen. Anwendungssoftware: Wurden Anwendungsprogramme zur Erzeugung der zu übermittelten Dateien verwendet, ist auf Versionsgleichheit dieser Programme zu achten, da die Dateiformate evtl. unterschiedlich sein können. Die Versionsgleichheit muss nicht bestehen, wenn die Programmversionen aufwärts- bzw. abwärtskompatibel sind. IT-Sicherheitssoftware und IT-Sicherheitsparameter: Werden darüber hinaus IT-Sicherheitsprodukte oder Schutzmechanismen bestimmter Anwendungsprogramme (siehe Maßnahme Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen ) verwendet, so ist die Kompatibilität dieser Produkte sicherzustellen. Über die verwendeten Schlüssel oder Passworte müssen sich Absender und Empfänger auf geeignetem Wege verständigen. Treten Inkompatibilitäten auf, so sind zusätzliche Vorkehrungen bzw. Produkte bereitzustellen, die eine entsprechende Konvertierung vorsehen, oder die Absender- und Empfängersysteme sind identisch auszustatten. 3.3.5.2 Auswahl einer geeigneten Versandart für den Datenträger Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Benutzer Neben den in der Maßnahme Datenträgerverwaltung dargestellten Umsetzungshinweisen sollte sich die Versandart der Datenträger am Gefährdungspotential orientieren. Hinsichtlich Verfügbarkeit ist die Versandart derart auszuwählen, dass eine rechtzeitige Zustellung garantiert werden kann. Je mehr Personen mit der Beförderung befasst und je länger die Zeiten sind, in denen der Datenträger unbeaufsichtigt bleibt, desto weniger kann im allgemeinen die Vertraulichkeit und Integrität garantiert werden. Dementsprechend sind angemessene Versandarten auszuwählen. 27 Man kann dabei z. B. zwischen folgenden Versandarten wählen: Deutsche Post AG, Deutsche Bahn AG, Kurierdienste, persönlicher Kurier und persönliche Übergabe. 3.3.6 Notfallvorsorge: 3.3.6.1 Sicherungskopie der übermittelten Daten Verantwortlich für Initiierung: IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Benutzer Sind die zu übertragenden Daten nur zum Zweck der Datenübertragung erstellt bzw. zusammengestellt worden und nicht auf einem weiteren Medium gespeichert, muß eine Sicherungskopie dieser Daten vorgehalten werden. Bei Verlust oder Beschädigung des Datenträgers kann der Versand mit geringfügigem Aufwand erneut erfolgen. 28 4 Datenübertragungs- und Datenspeicherrichtlinien 4.1 Kryptokonzept 4.1.1 Beschreibung Dieser Baustein beschreibt eine Vorgehensweise, wie in einer heterogenen Umgebung sowohl die lokal gespeicherten Daten als auch die zu übertragenen Daten wirkungsvoll durch kryptographische Verfahren und Techniken geschützt werden können. Dazu wird beschrieben, wie und wo in einer heterogenen Umgebung kryptographische Verfahren und die entsprechenden Komponenten eingesetzt werden können. Da beim Einsatz kryptographischer Verfahren sehr viele komplexe Einflussfaktoren zu betrachten sind, sollte hierfür ein Kryptokonzept erstellt werden. In diesem Baustein wird daher beschrieben, wie ein Kryptokonzept erstellt werden kann. Beginnend mit der Bedarfsermittlung und der Erhebung der Einflussfaktoren geht es über die Auswahl geeigneter kryptographischer Lösungen und Produkte bis hin zur Sensibilisierung und Schulung der Anwender und zur Krypto-Notfallvorsorge. Dieser Baustein kann auch herangezogen werden, wenn nur ein kryptographisches Produkt für eines der möglichen Einsatzfelder ausgewählt werden soll. Dann können einige der im folgenden beschriebenen Schritte ausgelassen werden und nur die für das jeweilige Einsatzfeld relevanten Teile bearbeitet werden. Für die Umsetzung dieses Bausteins sollte ein elementares Verständnis der grundlegenden kryptographischen Mechanismen vorhanden sein. Ein Überblick über kryptographische Grundbegriffe findet sich in M 3.23 Einführung in kryptographische Grundbegriffe. 4.1.2 Gefährdungslage Kryptographische Verfahren werden eingesetzt zur Gewährleistung von Vertraulichkeit, Integrität, Authentizität und Nichtabstreitbarkeit. Daher werden für den IT-Grundschutz primär die folgenden Gefährdungen für kryptographische Verfahren betrachtet: Schlechte oder fehlende Authentikation Integritätsverlust schützenswerter Informationen Nichtanerkennung einer Nachricht Vertraulichkeitsverlust schützenswerter Informationen 29 Werden kryptographische Verfahren eingesetzt, sollten für den IT-Grundschutz zusätzlich folgende Gefährdungen betrachtet werden: 30 4.1.2.1 Organisatorische Mängel: Fehlende oder unzureichende Regelungen Unzureichende Kenntnis über Regelungen Unzureichende Kontrolle der IT-Sicherheitsmaßnahmen Unzureichendes Schlüsselmanagement bei Verschlüsselung 4.1.2.2 Menschliche Fehlhandlungen: Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer Verstoß gegen rechtliche Rahmenbedingungen beim Einsatz von kryptographischen Verfahren Fehlbedienung von Kryptomodulen 4.1.2.3 Technisches Versagen: Software-Schwachstellen oder -Fehler (hier: schwache Verschlüsselungsverfahren) Ausfall eines Kryptomoduls Unsichere kryptographische Algorithmen Fehler in verschlüsselten Daten 4.1.2.4 Vorsätzliche Handlungen: Unautorisierte Benutzung eines Kryptomoduls Manipulation eines Kryptomoduls Kompromittierung kryptographischer Schlüssel Gefälschte Zertifikate 4.1.3 Maßnahmen Darüber hinaus sind im Bereich kryptographische Verfahren im wesentlichen die folgenden Schritte durchzuführen: 1. Entwicklung eines Kryptokonzepts (siehe M 2.161) Der Einsatz kryptographischer Verfahren wird von einer großen Zahl von Einflussfaktoren bestimmt. Das IT-System, das Datenvolumen, das angestrebte Sicherheitsniveau und die Verfügbarkeitsanforderungen sind einige dieser Faktoren. Daher sollte zunächst ein Konzept entwickelt werden, in dem alle Einflussgrößen und Entscheidungskriterien für die Wahl eines konkreten kryptographischen Verfahrens und der entsprechenden Produkte berücksichtigt werden und das gleichzeitig unter Kostengesichtspunkten wirtschaftlich vertretbar ist. 2. Ermittelung der Anforderungen an die kryptographischen Verfahren 31 Es muss ein Anforderungskatalog erstellt werden, in dem die Einflussgrößen und die Entscheidungskriterien beschrieben werden, die einem Einsatz von kryptographischen Verfahren zugrunde liegen (siehe M 2.162 Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte und M 2.163 Erhebung der Einflußfaktoren für kryptographische Verfahren und Produkte). Kryptographische Verfahren können auf den verschiedenen Schichten des ISO/OSI-Schichtenmodells eingesetzt werden. Je nach den festgestellten Anforderungen oder Gefährdungen ist der Einsatz auf bestimmten Schichten zu empfehlen (siehe auch M 4.90 Einsatz von kryptographischen Verfahren auf den verschiedenen Schichten des ISO/OSI-Referenzmodells). 3. Auswahl geeigneter kryptographischer Verfahren (M 2.164) Bei der Auswahl von kryptographischen Verfahren steht zunächst die Frage, ob symmetrische, asymmetrische oder hybride Algorithmen geeignet sind, im Vordergrund und dann die Mechanismenstärke. Anschließend sind geeignete Produkte zu bestimmen. 4. Auswahl eines geeigneten kryptographischen Produktes (M 2.165 Auswahl eines geeigneten kryptographischen Produktes) Nachdem alle Rahmenbedingungen bestimmt worden sind, muss ein Produkt ausgewählt werden, das die im Kryptokonzept dargelegte Sicherheitsfunktionalität bietet. Ein solches Produkt, im folgenden kurz Kryptomodul genannt, kann dabei aus Hardware, Software, Firmware oder aus einer diesbezüglichen Kombination sowie der zur Durchführung der Kryptoprozesse notwendigen Bauteilen wie Speicher, Prozessoren, Busse, Stromversorgung etc. bestehen. Ein Kryptomodul kann zum Schutz von sensiblen Daten bzw. Informationen in unterschiedlichsten Rechner- oder Telekommunikationssystemen Verwendung finden. 5. Geeigneter Einsatz der Kryptomodule (M 2.166 Regelung des Einsatzes von Kryptomodulen) Auch im laufenden Betrieb müssen eine Reihe von Sicherheitsanforderungen an ein Kryptomodul gestellt werden. Neben der Sicherheit der durch das Kryptomodul zu schützenden Daten geht es schwerpunktmäßig auch darum, das Kryptomodul selbst gegen unmittelbare Angriffe und Fremdeinwirkung zu schützen. 6. Die sicherheitstechnischen Anforderungen an die IT-Systeme, auf denen die kryptographischen Verfahren eingesetzt werden, sind den jeweiligen systemspezifischen Bausteinen zu entnehmen. So finden sich die Bausteine für Clients (inkl. Laptops) in Kapitel 5, die für Server in Kapitel 6. 7. Notfallvorsorge, hierzu gehören die Datensicherung bei Einsatz kryptographischer Verfahren (siehe M 6.56), also die Sicherung der Schlüssel, der Konfigurationsdaten der eingesetzten Produkte, der verschlüsselten Daten, die Informationsbeschaffung über sowie die Reaktion auf Sicherheitslücken. 32 Nachfolgend wird das Maßnahmenbündel für den Bereich "Kryptokonzept" vorgestellt. Auf eine Wiederholung von Maßnahmen anderer Kapitel wird hier verzichtet. 33 4.1.4 Organisation 4.1.4.1 Entwicklung eines Kryptokonzepts Verantwortlich für Initiierung: IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Sicherheitsmanagement Unternehmen und Behörden sind mittlerweile zunehmend von ihrer informationstechnischen Infrastruktur abhängig. Aus diesem Grund sind Sicherheitsdienste erforderlich und in ein Gesamtsystem zu integrieren, die über die bloße Verschlüsselung hinausgehen. Aufgrund der Vielfalt kryptographischer Problemstellungen und unterschiedlicher Einflussfaktoren gibt es auch vielfältige Lösungsansätze und Realisierungsmöglichkeiten. Man kann nicht davon ausgehen, dass es eine Lösung gibt, die alle Sicherheitsprobleme in Rechnernetzen und/oder Kommunikationssystemen beseitigen kann. Vielmehr kommt es auf ein abgestimmtes Zusammenspiel passend ausgewählter Komponenten an, um den benötigten Grad an Sicherheit zu erreichen. Daher ist es erforderlich, ein Kryptokonzept zu entwickeln, das in das ITSicherheitskonzept der Behörde bzw. des Unternehmens integriert wird. Die Auswahl geeigneter kryptographischer Komponenten muss dabei auf diesem Konzept basieren. Dabei ist das Schlüsselmanagement ein kritisches Element im gesamten Kryptokonzept. Konzepte und Lösungsansätze können nur dann erfolgreich erarbeitet und gezielt umgesetzt werden, wenn deutlich wird, welche speziellen Sicherheitsfunktionalitäten bzw. Sicherheitsdienste benötigt werden. Darüber hinaus gibt es eine Reihe systemrelevanter Fragestellungen und Aspekte, die nicht speziell in den Bereich der Sicherheitstechnik fallen. Dies umfaßt z. B. Performanceanforderungen, Systemanbindungs- oder Interoperabilitäts- und Standardkonformitätsanforderungen. 34 Abb.: Sichtweisen und Aspekte bei der Auswahl kryptographischer Verfahren und Komponenten In vernetzten IT-Infrastrukturen ist es nicht mehr ausreichend, die Sicherheit einer einzelnen Domäne zu gewährleisten. Vielmehr muss die Sicherheit aller beteiligten Endeinrichtungen und Übertragungssysteme aufeinander abgestimmt werden. Diese Abstimmung gestaltet sich insbesondere in solchen Fällen als besonders schwierig, in denen es sich nicht nur um vernetzte Einrichtungen innerhalb einer organisatorischen Einheit (z. B. LAN-Umgebung), sondern um einen Verbund von IT-Installationen unterschiedlicher Zuständigkeits- und Anwendungsbereiche handelt. Der Einsatz - aber auch die Funktionalität und technologische Ausgestaltung - eines ITSicherheitssystems wird von zahlreichen Einflussfaktoren bestimmt, wie z. B. Lokalisierung, Sicherheitsniveau, Häufigkeit und Umfang der Anwendung, die für das IT-Sicherheitsmanagement wichtige Rahmen- und Entscheidungsbedingungen darstellen. Desweiteren sind die technischen Möglichkeiten für die Realisierung und Gestaltung eines IT-Sicherheitssystems vielfältig, z. B. integriert in einer Applikation auf dem Arbeitsplatzrechner, in einer Firewall oder als Spezialkomponente für Netzkomponenten wie Switch oder Router. Ein erschwingliches Preisniveau für ein Kryptoprodukt ist nur durch eine querschnittliche Nutzbarkeit zu erzielen. Hier spielen z. B. eine standardisierte Systemanbindung, einheitliche Einsatzbedingungen etc. eine wichtige Rolle. Ein letzter Punkt betrifft das Zusammenwirken der Sicherheitsdienste auf unterschiedlichen Protokollschichten. Die Sicherheitsdienste der höheren Protokollschichten (nach OSIReferenzmodell) schützen in aller Regel nur dann ausreichend, wenn die unteren Schichten ebenso einen Schutz bieten (siehe M 4.90 ). 35 Desweiteren ist die Definition einer organisationseigenen Kryptopolitik wichtig. Dabei muss aus Sicht des Managements geklärt werden, welcher Schutzbedarf besteht bzw. welches Sicherheitsniveau es zu erreichen gilt, welches Budget und wieviel Personal zur Verfügung stehen, um die geplanten Sicherheitsmechanismen einzurichten und - ganz wichtig - auch den Betrieb zu gewährleisten, welche Systemanbindung angestrebt wird bzw. welche Einsatzbedingungen für Sicherheitskomponenten vorherrschen, welcher Funktions- und Leistungsumfang anzupeilen ist und wer letztendlich die Verantwortung übernimmt. Im Kryptokonzept ist außerdem der technische bzw. organisatorische Einsatz der kryptographischen Produkte zu beschreiben, also z. B. wer welche Zugriffsrechte erhält, welche Dienste remote angeboten werden, wie die Verwaltung von Paßwörtern und Schlüsseln bezüglich Gültigkeitsdauer, Verwendung von Zeichen, Länge, Vergabe gehandhabt werden soll, ob, wann und wie die Daten verschlüsselt oder signiert werden müssen, wer mit wem kryptographisch gesichert bzw. ungesichert kommunizieren darf, wer bestimmte Rechte vergeben darf, u.s.w. In Abhängigkeit von den systemtechnischen Rahmenbedingungen bezüglich des zu betrachtenden Datenvolumens und der Zeitabhängigkeit, der Verfügbarkeitsanforderungen und Gefährdungslage, Art und Häufigkeit der zu schützenden Anwendungen etc. können darauf basierend geeignete Realisierungsmöglichkeiten analysiert und für konkrete Einsatzbereiche wie z. B. einen PC-Arbeitsplatz, im LAN-Bereich oder in Verbindung mit einer TKAnlage konzipiert und technisch ausgestaltet werden. Nur aufgrund einer solch ganzheitlichen Betrachtungsweise gelingt es, Entscheidungsgrundlagen und -bedingungen für kryptographische Produkte zusammenzutragen, deren Einsatz bzw. Verwendung sowohl sicherheitstechnisch angemessen als auch wirtschaftlich vertretbar ist. Es sollte jedoch darauf hingewiesen werden, dass die vorgenommene Einteilung keinesfalls zwingend oder von grundsätzlicher Bedeutung sondern bestenfalls hilfreich ist. Wesentlich ist nur, dass der Fragenumfang die Vorstellung nach einer möglichst umfassenden Klärung der Ausgangslage konsequent widerspiegelt. Natürlich ergeben sich in der Praxis zwischen einigen Fragestellungen bzw. Antworten Wechselwirkungen und Abhängigkeiten, die im allgemeinen allerdings zur Vervollständigung des Gesamtbildes beitragen. Die diversen Einflussgrößen für den Einsatz kryptographischer Verfahren sind zu bestimmen und nachvollziehbar zu dokumentieren (siehe M 2.163 Erhebung der Einflussfaktoren für kryptographische Verfahren und Produkte). Anschließend muss eine geeignete Verfahrensweise für 36 ihren Einsatz entwickelt und dokumentiert werden. Zum Abschluß muss durch die Behörden- bzw. Unternehmensleitung die Durchführung angeordnet werden. 4.1.5 Anlage Kryptokonzept 1. Definitionen Kryptographische Verfahren ... 2. Gefährdungslage zur Motivation Abhängigkeit der Institution vom Datenbestand Typische Gefährdungen wie ... Institutionsrelevante Schadensursachen Schadensfälle im eigenen Haus 3. Festlegung einer organisationsinternen Sicherheitspolitik Festlegung von Verantwortlichkeiten Zielsetzung, Sicherheitsniveau 4. Einflussfaktoren Identifikation der zu schützenden Daten Vertraulichkeitsbedarf der Daten Integritätsbedarf der Daten Verfügbarkeitsanforderungen an die Daten Anforderungen an die Performance Schlüsselverteilung Datenvolumen Art der Daten (lokal / verteilt (LAN/WAN) ) Art der Anwendungen, bei denen kryptographische Verfahren zum Einsatz kommen sollen Häufigkeit des Einsatzes des kryptographischen Verfahrens Anforderungen an die Widerstandsfähigkeit der Algorithmen bzw. Verfahren (Manipulationsresistenz) Wiederherstellbarkeit der gesicherten Daten Personalaufwand Erforderliche Funktionalität Kosten einschließlich Folgekosten (Wartung, Administration, Updates, ...) Kenntnisse und datenverarbeitungsspezifische Qualifikationen der IT-Benutzer 5. Festlegung des Einsatzes Art der kryptographischen Verfahren Einsatzbedingungen an die kryptographischen Produkte 37 Häufigkeit und Zeitpunkt des Einsatzes Benennung der Verantwortlichen Festlegung der organisatorischen Regelungen Durchführung der personellen Maßnahmen (Schulung, Verpflichtungen, Rollenzuteilung) Dokumentation der Einsatzbedingungen / Konfiguration Interoperabilität, Standardkonformität, Investitionsschutz Vertretungsregelungen, 6. Schlüsselmanagement Einzelne Punkte dieses Konzepts werden in den Maßnahmen M 2.162 Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte, M 2.163 Erhebung der Einflussfaktoren für kryptographische Verfahren und Produkte, M 2.166 Regelung des Einsatzes von Kryptomodulen etc. näher ausgeführt. Bei der Erstellung eines Kryptokonzeptes handelt es sich nicht um eine einmalige Aufgabe, sondern um einen dynamischen Prozeß. Ein Kryptokonzept muss daher regelmäßig den aktuellen Gegebenheiten angepaßt werden. 4.1.6 Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte Verantwortlich für Initiierung: IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administratoren, Verantwortliche der einzelnen IT- Anwendungen Um bei der Verarbeitung und Übertragung sensitiver Informationen zu realistischen, verläßlichen und anwendungsgerechten Bedarfsanforderungen und Rahmenbedingungen für den Einsatz kryptographischer Verfahren und Produkte zu kommen, müssen zunächst die schützenswerten Daten identifiziert und bewertet werden. Identifikation der zu schützenden Daten Zunächst muss festgestellt werden, für welche Aufgaben kryptographische Verfahren eingesetzt werden sollen und welche Daten damit gesichert werden sollen. Der Einsatz kryptographischer Verfahren kann aus verschiedenen Gründen erforderlich sein (siehe auch M 3.23 ): zum Schutz der Vertraulichkeit bzw. der Integrität von Daten, zur Authentisierung, für Sende- oder Empfangsnachweise. Je nach Einsatzzweck können verschiedene kryptographische Methoden wie z. B. Verschlüsselung oder Hashverfahren sinnvoll sein. Die typischen Einsatzfelder für kryptographische Verfahren sind: 1. lokale Verschlüsselung, 2. Kommunikationssicherung, auf Anwendungsebene bzw. auf Übertragungsebene, 38 3. Authentikation, 4. Nichtabstreitbarkeit, 5. Integrität. Im folgenden werden einige Beispiele aus den verschiedenen typischen Einsatzfeldern für kryptographische Verfahren gegeben: Auf einer PC-Festplatte befinden sich Daten, die vor unbefugtem Zugriff durch Verschlüsselung geschützt werden sollen. Es sollen Informationen über Telefon, Fax oder Datennetze weitergegeben werden, z. B. sollen sie per E-Mail oder per Datenträgeraustausch versandt werden. Die zu schützenden Informationen sind nicht unter alleiniger Kontrolle der verantwortlichen Organisationseinheit (LAN führt durch Gebäudeteile, die von Fremdfirmen benutzt werden; ein Server mit Personaldaten wird durch Mitarbeiter betreut, die nicht zum Personalreferat gehören). Remote-Zugriffe sollen durch eine starke Authentisierung abgesichert werden. Bei E-Mails soll zweifelsfrei feststellbar sein, wer die Absender waren und ob die Inhalte unverändert übertragen wurden. Um festzustellen, welche kryptographischen Verfahren bzw. Produkte benötigt werden und welche Daten damit zu schützen sind, sollte zunächst die aktuelle IT-Struktur ermittelt werden (siehe zur Erfassung von IT-Systemen und Anwendungen auch Kapitel 2). Ermittelt werden sollte, welche IT-Systeme es gibt, auf denen Daten verarbeitet bzw. gespeichert (PCs, Laptops, Server, ...) oder mit denen Daten übermittelt werden (Bridge, Router, Gateway, Firewall, ...) und welche Übertragungswege es gibt. Dazu sollte die logische und physikalische Vernetzungsstruktur erfaßt werden (siehe auch M 2.139 Ist-Aufnahme der aktuellen Netzsituation). Schutzbedarf der Daten (Vertraulichkeit, Integrität, Authentizität, Nichtabstreitbarkeit) Es sollten alle Anwendungen bzw. Daten ermittelt werden, bei denen ein besonderer Anspruch an Vertraulichkeit, Integrität, Authentizität bzw. Nichtabstreitbarkeit besteht (siehe Kapitel 2). Allerdings werden nicht nur für IT-Systeme, Anwendungen oder Informationen mit höherem Schutzbedarf kryptographische Produkte benötigt, sondern auch für solche mit mittlerem Schutzbedarf. Beispiele für Daten mit besonderem Vertraulichkeitssanspruch sind personenbezogene Daten, Paßwörter und kryptographische Schlüssel, vertrauliche Informationen, deren Veröffentlichung Regreßforderungen nach sich ziehen könnte, Daten, aus denen ein Konkurrenzunternehmen finanzielle Gewinne ziehen könnte, 39 Daten, ohne deren Vertraulichkeit die Aufgabenerfüllung gefährdet Ermittlungsergebnisse, Standortregister über gefährdete Pflanzen), Daten, deren Veröffentlichung eine Rufschädigung verursachen könnte. ist (z. B. Hinweis: Durch die Kumulation von Daten erhöht sich der Schutzbedarf einer Datensammlung, so dass eine Verschlüsselung erforderlich sein kann, auch wenn deren einzelne Datensätze nicht so sensitiv sind. Beispiele für Daten mit besonderem Integritätsanspruch sind finanzwirksame Daten, durch deren Manipulation finanzielle Schäden entstehen können, Informationen, deren verfälschte Veröffentlichung Regreßforderungen nach sich ziehen könnte, Daten, deren Verfälschung zu falschen Geschäftsentscheidungen führen kann, Daten, deren Verfälschung zu einer verminderten Produktqualität führen kann. Ein Beispiel für Anwendungen mit besonderem Anspruch an Authentizität sind Remote- Zugriffe. Ein Beispiel für Daten mit besonderem Anspruch an Nichtabstreitbarkeit sind Bestellungen oder Reservierungen, bei denen der Besteller identifizierbar sein sollte. Als Ergebnis der Schutzbedarfsfeststellung sollte festgelegt werden, welche Anwendungen oder Daten kryptographisch gesichert werden sollen. Diese Festlegung kann später noch verfeinert werden und sollte regelmäßig überarbeitet werden. Als Resultat ergibt sich somit ein Überblick über alle Speicherorte und Übertragungsstrecken, die kryptographisch gesichert werden müssen. Damit erhält man praktisch eine IT-Landschaftskarte mit markierten Kryptobereichen. Bedarfs- und Anforderungsabfrage Als Hilfsmittel für eine derartige Bedarfserhebung bietet sich ein Fragenkatalog mit den in der Abbildung dargestellten Gliederungspunkten an. Dabei können die technischen, organisatorischen und wirtschaftlichen Aspekte jeweils in 4 weitere Unterkategorien aufgeteilt werden. 40 Abb: Gliederungsgesichtspunkte zur Erstellung eines Fragenkataloges Bei den technischen Aspekten ist es unter „Benutzerdienste und Anwendungen&qout; beispielsweise wichtig zu erfahren, ob vornehmlich Echtzeit- oder Nicht-Echtzeit-Daten betrachtet werden. In der Kategorie Nutzungsprofil ist zu erfragen, für welche Anwendungen und Daten kryptographische Verfahren eingesetzt werden sollen, z. B. für die externe Kommunikation oder für die kurzzeitige oder längerfristige Bearbeitung von VS-Daten. Weiterhin sind die Netzinfrastruktur und das Endgerät betreffende Informationen zu ermitteln, wie z. B. Anschlusskonfiguration. Als organisatorische Aspekte sind der Einsatzbereich, d. h. Teilnehmer- oder Netzbereich; die Frage nach einem existierenden Migrationskonzept sowie die Zeitvorstellungen und betrieblichen Rahmenbedingungen des Endbenutzers zu betrachten. Aus wirtschaftlicher Sicht sind die wesentlichen Punkte: Rationalisierungsaspekte, z. B. durch Einsatz eines Produktes mit transparenter Verschlüsselung statt manueller Ansteuerung, eine Abschätzung im Hinblick auf Stückzahlen und Beschaffungskosten sowie die zu erwartenden Administrations- und Wartungskosten. Auf Basis dieser Abfrage kann ein möglichst praxisnahes Einsatz- und Anforderungskonzept erstellt werden, was dann als Ausgangspunkt für konkrete Realisierungsentscheidungen bzw. die Auswahl geeigneter Kryptokomponenten/-produkte (siehe M 2.165 Auswahl eines geeigneten kryptographischen Produktes) dient. 41 Die hier vorgestellte Vorgehensweise soll dem Sicherheitsverantwortlichen helfen, den Einsatz und den Umfang einzusetzender Sicherheitstechnik in unterschiedlichen Systemlokalitäten, Netzübergängen und Endeinrichtungen festzustellen, zu bewerten und zu koordinieren. Ferner soll im Verlauf der Planungsphase durch die Ermittlung des notwendigen Schutzes (Schutzbedarf) die Frage nach Angemessenheit der IT-Sicherheit beantwortet werden. Die skizzierte Vorgehensweise stellt einen pragmatischen Ansatz dar und berücksichtigt Sicherheitsaspekte in offenen, verteilten ITInfrastrukturen, so wie sie sich vielerorts darstellen. Die so betrachteten Sicherheitsinvestitionen müssen für den betroffenen Einsatzbereich wirtschaftlich vertretbar sein. Die Funktions- und Betriebsweise von realisierten Sicherheitsstrategien müssen den Erwartungen der Endbenutzer hinsichtlich der Flexibilität, Transparenz und Performance Rechnung tragen. Die geplanten und integrierten Sicherheitsdienste dürfen den Endbenutzer nicht über das notwendige Maß hinaus einschränken. 4.1.7 Erhebung der Einflussfaktoren für kryptographische Verfahren und Produkte Verantwortlich für Initiierung: IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administratoren, Verantwortliche der einzelnen IT- Anwendungen Bevor eine Entscheidung getroffen werden kann, welche kryptographischen Verfahren und Produkte eingesetzt werden sollen, müssen eine Reihe von Einflussfaktoren ermittelt werden. Dazu können die Systemadministratoren und die Verantwortlichen der einzelnen IT-Systeme bzw. IT- Anwendungen befragt werden. Die Ergebnisse sind nachvollziehbar zu dokumentieren. Für sämtliche in M 2.162 Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte festgelegten Speicherorte und Übertragungsstrecken sind folgende Einflussfaktoren zu ermitteln: Sicherheitsaspekte Welcher Schutzbedarf besteht bzw. welches Sicherheitsniveau gilt es zu erreichen? Welche kryptographischen Funktionen sind dafür notwendig (Verschlüsselung, Integritätsschutz, Authentizität und/oder Nichtabstreitbarkeit)? Angreiferpotential: Mit welchen Angreifern wird gerechnet (zeitliche und finanzielle Ressourcen, technische Fähigkeiten)? Die Antworten auf diese Fragen ergeben sich aus M 2.162 Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte. Technische Aspekte Der Betrieb von weitverzweigten IT-Infrastrukturen mit ihrer Vielzahl von Einzelkomponenten und Spezialeinrichtungen (Netzknoten, Server, Datenbanken, etc.) macht ein ebenfalls weitverzweigtes Sicherheitssystem mit mehreren Funktionseinheiten (Sicherheitsmanagement, Sicherheitsserver, Sicherheitsanwenderkomponente, etc.) erforderlich. In der Regel müssen dabei 42 Systembetrachtungen angestellt werden, die nicht nur auf die eigentlichen Funktionalitäten abzielen, sondern auch bauliche und organisatorische Aspekte einbeziehen. Auch in bezug auf die konkrete technische Platzierung von Sicherheitskomponenten sowie deren Integration in NichtSicherheitskomponenten gilt es zu differenzieren, da dies einen unmittelbaren Einfluss auf die Implementierung der Sicherheitsfunktionen, auf die notwendige Unterstützung durch die Betriebssysteme, die Aufwände und den Kostenfaktor und nicht zuletzt auf die erreichbare Sicherheit hat. Ganz entscheidend für die Sicherheitsbewertung ist der Umstand, an welchen geographischen Lokalitäten und in welchen Ebenen des Protokollstacks die jeweiligen Sicherheitsdienste realisiert sind und wie diese in die Prozesse des zu schützenden IT-Systems eingebunden sind. Somit ergeben sich als Fragen: Umfeldschutz: Welchen Schutz bietet das Umfeld (infrastrukturell (Zutritt), organisatorisch, personell, technisch (Schutz durch Betriebssystem, ...))? IT-Systemumfeld: Welche Technik wird eingesetzt, welche Betriebssysteme, etc.? Datenvolumen: Welches Datenvolumen ist zu schützen? Häufigkeit: Wie häufig besteht Kryptierbedarf? Performance: Wie schnell müssen kryptographische Funktionen arbeiten (Offline, OnlineRate)? Personelle und organisatorische Aspekte Benutzerfreundlichkeit: Benötigen die Benutzer für die Bedienung kryptographische Grundkenntnisse? Behindert der Einsatz eines Kryptoprodukts die Arbeit? Zumutbarkeit: Wieviel Belastung durch zusätzliche Arbeit ist dem Anwender zumutbar (Arbeitszeit, Wartezeit)? Zuverlässigkeit: Wie zuverlässig werden die Benutzer mit der Kryptotechnik umgehen? Schulungsbedarf: Inwieweit müssen die Benutzer geschult werden? Personalbedarf: Ist zusätzliches Personal erforderlich, z. B. für Installation, Betrieb, Schlüsselmanagement? Verfügbarkeit: Kann durch den Einsatz eines Kryptoproduktes die Verfügbarkeit reduziert werden? Wirtschaftliche Aspekte Finanzielle Randbedingungen: Wieviel darf der kryptographische Schutz kosten? Wie hoch sind die - einmaligen Investitionen, - laufenden Kosten, inklusive der Personalkosten, - Lizenzgebühren? Investitionsschutz: Sind die geplanten kryptographischen Verfahren bzw. Produkte konform zu bestehenden Standards? Sind sie interoperabel mit anderen Produkten? 43 Key Recovery Falls die zur Verschlüsselung benutzten Schlüssel verloren gehen, sind im allgemeinen auch die damit geschützten Daten verloren. Viele Kryptoprodukte bieten daher Funktionen zur Datenwiedergewinnung für solche Fälle an. Bevor solche Funktionen eingesetzt werden, sollte man sich auch deren Risiken klar machen: Wenn dadurch vertrauliche Schlüssel wiederhergestellt werden können, muss sichergestellt sein, dass dies nur Berechtigte können. Wenn es möglich ist, ohne Wissen des Original-Schlüsselbenutzers auf dessen Daten zuzugreifen, hat dieser keine Möglichkeit, böswillige Manipulationen zu beweisen. Der Einsatz von Key Recovery Mechanismen führt auch häufig aufgrund des entgegengebrachten Mißtrauens zu Vorbehalten innerhalb des eigenen Unternehmens bzw. Behörde, aber auch bei den Kommunikationspartnern. Bei der Datenübertragung sollte daher generell auf Key Recovery verzichtet werden. Hierfür gibt es auch keine Notwendigkeit, da beim Schlüssel- oder Datenverlust diese einfach noch einmal ausgetauscht werden können. Bei der lokalen Speicherung von Daten sollte der Einsatz sorgfältig überlegt werden (siehe auch M 6.56 Datensicherung bei Einsatz kryptographischer Verfahren). Auf der CD-ROM zum IT- Grundschutzhandbuch befindet sich im Verzeichnis Hilfsmittel ein Artikel zu Möglichkeiten und Risiken des Key-Recovery. Lebensdauer von kryptographischen Verfahren Kryptographische Verfahren und Produkte müssen regelmäßig daraufhin überprüft werden, ob sie noch dem Stand der Technik entsprechen. Die verwendeten Algorithmen können durch neue technische Entwicklungen, z. B. schnellere, billigere IT-Systeme, oder durch neue mathematische Erkenntnisse zu schwach werden. Die eingesetzten kryptographischen Produkte können Implementierungsfehler aufweisen. Bereits bei der Auswahl kryptographischer Verfahren sollte daher eine zeitliche Grenze für deren Einsatz festgelegt werden. Zu diesem Zeitpunkt sollte noch einmal gründlich überdacht werden, ob die eingesetzten Kryptomodule noch den erwarteten Schutz bieten. 44 Gesetzliche Rahmenbedingungen Beim Einsatz kryptographischer Produkte sind diverse gesetzliche Rahmenbedingungen zu beachten. In einigen Ländern dürfen beispielsweise kryptographische Verfahren nicht ohne Genehmigung eingesetzt werden. Daher muss untersucht werden (siehe M 2.165 Auswahl eines geeigneten kryptographischen Produktes), ob innerhalb der zum Einsatzgebiet gehörenden Länder Einschränkungen beim Einsatz kryptographischer Produkte zu beachten sind (innerhalb Deutschland gibt es keinerlei Einschränkungen) und ob für in Frage kommende Produkte Exportbeschränkungen beachtet werden müssen. Es gibt allerdings nicht nur Maximalanforderungen, sondern auch Minimalanforderungen an die verwendeten kryptographischen Algorithmen oder Verfahren. So müssen z. B. bei der Übermittlung von personenbezogenen Daten Verschlüsselungsverfahren mit ausreichender Schlüssellänge eingesetzt werden. Technische Lösungsbeispiele: Im folgenden finden sich einige Anwendungsbeispiele zu den verschiedenen Einsatzfeldern für kryptographische Verfahren. Dabei ist zu sehen, dass die meisten Produkte gleich mehrere Einsatzfelder abdecken. Beispiel 1: Festplattenverschlüsselung Die auf der Festplatte eines Stand-Alone-PC gespeicherten sensitiven Daten sollen so geschützt werden, dass der PC nur von autorisierten Nutzern gebootet werden kann, nur autorisierte Nutzer Zugriff auf die gespeicherten Daten erhalten, die gespeicherten Daten bei abgeschaltetem PC - auch im Falle des Diebstahls - hinreichend vor Kenntnisnahme durch Unberechtigte geschützt sind. Im Vordergrund soll hier der Schutz der Vertraulichkeit stehen. Dabei soll der PC gegen die folgenden Bedrohungen geschützt werden: Unbefugte Kenntnisnahme der auf der Festplatte gespeicherten Daten Manipulation der auf der Festplatte gespeicherten Daten Manipulation des Kryptosystems Bei Diebstahl bzw. Verlust des PC oder der Festplatte steht dem Angreifer sehr viel Zeit für die unbefugte Kenntnisnahme zur Verfügung. Eine Schutzmaßnahme muss auch bei solchen Langzeitangriffen die Vertraulichkeit der gespeicherten Daten gewährleisten. 45 Als Schutzmaßnahme soll daher ein Produkt mit Bootschutz und Festplattenverschlüsselung eingesetzt werden. Auf dem Markt sind verschiedene Lösungen verfügbar. Zum Einsatz kann entweder eine Verschlüsselungs-Software (Lösung A), eine Verschlüsselungs-Hardware- Komponente (Lösung B) oder eine Kombination aus Hardware- und Software-Komponente (Lösung C) kommen. Lösung C wird typischerweise aus einer Verschlüsselungs-Software in Kombination mit einem Chipkartenleser zur Zugangskontrolle bestehen. Welche Lösung gewählt werden sollte, hängt von verschiedenen Entscheidungskriterien ab: Sicherheit (Kryptoalgorithmus und Schlüssellänge, Betriebsart der Verschlüsselung, Zugriffsschutz, Schlüsselerzeugung/ -verteilung/ -speicherung/ -eingabe, Einbindung in das Betriebssystem, etc.) Je nachdem auf welcher Betriebssystem-Plattform Verschlüsselung betrieben wird, stößt man mit Software-Lösungen (Lösungen A oder C) unweigerlich an Grenzen. Kann man kein sicheres Betriebssystem mit strikter Task- und Speicherbereichs-Trennung voraussetzen (bisher ist das bei keinem Betriebssystem sicher nachgewiesen!), muss der während der Ver- bzw. Entschlüsselung verwendete Schlüssel zumindest kurzzeitig ungeschützt im Speicher des PC gehalten werden. Die Vertraulichkeit des Schlüssels ist somit nicht mehr sichergestellt. Hardware-VerschlüsselungsKomponenten (Lösung B) können (müssen aber nicht!) mehr bieten. Der Schlüssel kann in die Hardware-Komponente geladen und dort - gegen Auslesen gesichert - gespeichert werden. Der Schlüssel wird die Hardware-Komponente nicht mehr verlassen und ist vor Ausspähversuchen geschützt. Er kann nur durch berechtigte Benutzer mittels Besitz und Wissen (z. B. Chipkarte und Paßwort) aktiviert werden. Wichtig sind weitere Aspekte wie die zur Verschlüsselung verwendeten Algorithmen (meist ein Blockchiffrier-Algorithmus), deren Betriebsarten (z. B. CBC) sowie die Art und Weise der Einbindung in das PC-System. Die Verschlüsselungs-Hardware sollte idealerweise so eingebunden werden, dass sie die gesamte Festplatte zwangsweise kryptiert und durch Angriffe nicht unbemerkt abgeschaltet bzw. umgangen werden kann. Werden im Gegensatz dazu lediglich einzelne Dateien verschlüsselt besteht die Gefahr, dass die Inhalte dieser Dateien unkontrollierbar zumindest teilweise zusätzlich im Klartext auf die Festplatte geschrieben werden (z. B. in den Auslagerungsdateien verschiedener Betriebssysteme oder in Backup-Dateien). Performance (Geschwindigkeit der ausführbaren Programme) Software-Verschlüsselung nutzt die Systemressourcen des PC, belastet also die CPU und benötigt Arbeitsspeicher. Spätestens bei der Verschlüsselung der gesamten Festplatte wird die Performance des PC sinken. Hardware-Komponenten mit eigenem Prozessor können die Verschlüsselung ohne Belastung der PC-CPU und somit ohne nennenswerten Performanceverlust durchführen. Hier ist je nach Bauart die Durchsatzrate der verwendeten Kryptier-Hardware mitentscheidend. Organisatorischer/Personeller Aufwand (Administration, Keymanagement, Schulung, etc.) Der organisatorische bzw. personelle Aufwand ist von der Umsetzung der Sicherheitspolitik und dem "Komfort" der Verschlüsselungs-Komponenten abhängig. Generelle Entscheidungskriterien für oder gegen eine der drei Lösungen können nicht allgemeingültig formuliert werden. 46 Wirtschaftlichkeit (Anschaffung, Schulungs-/Administrationskosten, ...) Eine allgemeine Aussage zur Wirtschaftlichkeit ist schwierig. Betrachtet man nur die Anschaffungskosten, so werden Software-Lösungen oft preiswerter sein als Hardware-Lösungen. Kalkuliert man dagegen auch die Schäden ein, die durch unzureichenden Schutz auf längere Sicht entstehen können, kann sich im Vergleich die Investition in sicherere und vielleicht teurere Lösungen lohnen. Wirtschaftliche Nachteile können u. U. durch Performanceverlust des PC-Systems entstehen. Restrisiken (Betriebssystem, Kompromittierung des Festplattenschlüssels, etc.) Bei der Auswahl der geeigneten Verschlüsselungs-Komponente spielt die Restrisikobetrachtung eine wesentliche Rolle. Es stellen sich u. a. die Fragen Welche Restrisiken kann man in Kauf nehmen? und Welche Restrisiken werden bzw. können durch andere Maßnahmen (z. B. materielle oder organisatorische Maßnahmen) minimiert werden? Es können sich durchaus mehrere tragbare Lösungsmöglichkeiten durch die Kombination verschiedener Maßnahmen ergeben. Beispiel 2: E-Mail-Verschlüsselung Der Austausch von elektronischer Post (E-Mail) über bzw. in Computernetzen gewinnt zunehmend an Bedeutung. Werden dabei sensible Informationen (z. B. Firmengeheimnisse) über ungesicherte Netze ausgetauscht, so sind dabei Mechanismen zum Schutz der Vertraulichkeit bzw. für die Gewähr der Authentizität von Nachrichten erforderlich. Zu diesen Zwecken dienen E-MailVerschlüsselungsprogramme. Am weitesten verbreitet sind dabei zwei Programmpakete bzw. Standards amerikanischer Herkunft: PGP ("Pretty Good Privacy") und S/MIME (Secure Multipurpose Internet Mail Extensions). Dabei ist PGP ein Programmpaket, das ursprünglich als Freeware im Internet erhältlich war und sich daher weit verbreitet hat. Der S/MIME Standard wird u. a. von den Secure-E-Mail Anwendungen der Firmen Microsoft, Netscape und RSA Data Security Inc. verwendet. Was muss ein solches E-Mail-Verschlüsselungsprogamm leisten? Die Antwort hängt zu einem gewissen Grad natürlich von den umgebenden Sicherungsmaßnahmen ab. Die Anforderungen sind sicherlich dann am größten, wenn die Nachrichten über ein großes, offenes, ungesichertes Netz wie z. B. das Internet verschickt werden sollen. Hier wollen evtl. sogar einander persönlich Unbekannte vertraulich und authentisch miteinander kommunizieren. Welche kryptographischen Dienste sind dazu erforderlich? 47 Vertraulichkeit Da die Nachrichten verschlüsselt werden sollen, müssen (einer oder mehrere) Verschlüsselungsalgorithmen implementiert sein. Dazu bieten sich wegen der höheren Performance symmetrische Verfahren an. Schlüsselmanagement Erzeugung: die Schlüssel für das symmetrische Verfahren müssen durch einen geeigneten (Zufalls-) Prozeß so erzeugt werden, dass Erraten bzw. Vorhersage weiterer Schlüssel auch bei Kenntnis einiger vorhergehender Schlüssel praktisch unmöglich ist. Schlüsseleinigung/Austausch: da eine zentrale Schlüsselversorgung mittels symmetrischer Verfahren im Internet schon wegen der schieren Masse der möglichen Kommunikationspartner ausscheidet, ist die Verwendung asymmetrischer Verfahren für Schlüsseleinigung bzw. Schlüsselaustausch geboten. Authentizität Da aufgrund der Anforderungen aus dem Schlüsselmanagement ohnehin ein asymmetrisches Verfahren implementiert ist (und evtl. Verbindlichkeit verlangt wird), wird man zu diesem Zweck eine digitale Signatur einsetzen. Signaturschlüssel sollten dabei ausschließlich zu Signaturzwecken verwendet werden. Dabei muss - wie immer bei der Verwendung von Public-Key-Verfahren - das Problem der Authentizität der öffentlichen Schlüssel gelöst werden. Verbindlichkeit Verbindlichkeit setzt eine Public-Key-Infrastruktur voraus (PKI, Registrierung von Teilnehmern und Zertifizierung von öffentlichen Schlüsseln durch eine vertrauenswürdige dritte Instanz, inkl. Einsatzregeln). Bisher existiert allerdings keine globale PKI, daher ist es schwierig, für E-Mails von vorher unbekannten Teilnehmern einen verbindlichen Herkunftsnachweis zu bekommen. In einem lokalen Netz wäre zu diesem Zweck eine geeignete PKI zu schaffen. Standardkonformität Aus Interoperabilitätsgründen und zum Investitionsschutz ist es sinnvoll, möglichst weit verbreitete und akzeptierte Internet-Standards zu verwenden. Sowohl S/MIME als auch PGP befinden sich im Stadium der Standardisierung. Beispiel 3: Sichere Sprach- und Datenkommunikation bei ISDN-Netzanbindungen Beim folgenden Anwendungsbeispiel wird die Kommunikation per ISDN betrachtet. Geschützt werden sollen die Anwendungen "Telefonverkehr" und "Videokonferenzen" sowie der Datenverkehr zwischen Rechnernetzen. Als Ziel soll ein wirkungsvoller Schutz übermittelter vertraulicher Informationen und verbindlicher personenbezogener Daten gewährleistet werden. Es wird davon ausgegangen, dass alle zu übertragenen Informationen in digitaler Form (PCM-Code) vorliegen und 48 dass die in firmeneigenen Netzen und TK-Anlagen übliche Sprachkomprimierung für verschlüsselte Anwendungen abgeschaltet werden kann, damit die Nutzkanäle (B-Kanäle) verschlüsselt werden können. Dafür soll eine ISDN-Sicherheitskomponente eingesetzt werden, mit der ein S0-Anschluss mit zwei 64 kbit/s-Kanälen abgesichert werden kann. Dabei ist es unerheblich, ob am S0-Bus einzelne ISDNEndgeräte (Telefon, Fax, PC mit ISDN-Einsteckkarte etc.) angeschlossen sind oder eine kleine TKAnlage nachgeschaltet ist. Alle Verbindungen sollen wahlweise verschlüsselt oder unverschlüsselt aufgebaut und betrieben werden. Folgende Abbildung zeigt die entsprechende Systemkonfiguration. Es wurde ein ISDN-Kryptogerät ausgewählt, das mittels einer Chipkarte gegen unbefugte Benutzung abgesichert werden kann. Alternativ steht auch eine serielle V.24-Schnittstelle zur Verfügung, um die Sicherheitskomponente mit Hilfe eines PC konfigurieren zu können. Der Benutzer oder die Endanwendung kann die Verschlüsselung direkt mit der Chipkarte bzw. durch die Vorwahl einer speziellen Kennziffer steuern. Auch ist es möglich, die ISDN-Sicherheitskomponente so zu konfigurieren, dass bestimmte Verbindungen (Nummern) verschlüsselt oder unverschlüsselt 49 voreingestellt sind. Für das Schlüsselmanagement, d. h. die Generierung und Verteilung von Schlüsselzertifikaten wird an einer zentralen Stelle des ISDN-Netzes eine Managementstation angeschlossen. Somit ist sichergestellt, dass die einzelnen ISDN-Sicherheitskomponenten netzweit registriert und mit aktuellem Schlüsselmaterial versorgt werden können. Die Möglichkeit des sicheren Transports von Informationen und schützenswerten Daten in einem ISDN-Netz sind vielfältig und komplex. Dabei muss jeder relevanten Grundbedrohung mit einer konkreten Sicherheitsmaßnahme begegnet werden. Zur Gewährleistung der Vertraulichkeit erfolgt eine Online-Verschlüsselung des übertragenen Datenstroms am wirkungsvollsten auf der Sicherungsschicht. Hierzu werden die Daten vor ihrer Übertragung von einer Kryptohardware automatisch verschlüsselt und auf der Empfängerseite wieder entschlüsselt. Die Verschlüsselung ist dabei vollständig transparent für den Endteilnehmer und für Anwenderprogramme. Das verwendete Kryptomodul ermöglicht nicht nur eine Echtzeitverarbeitung, sondern bietet - im Vergleich zu einer Dateiverschlüsselung (Softwarelösung) - einen höheren Schutz gegen Angriffsversuche. Zur Sicherung der Übersendung von verbindlichen oder beweispflichtigen Daten können diese zusätzlich mit einer digitalen Signatur des Absenders versehen werden. Damit kann die Herkunft und Echtheit der übertragenen Nachricht vom Empfänger verifiziert und eventuelle Manipulationen innerhalb des öffentlichen Netzes zuverlässig erkannt werden. Für die sichere Erzeugung und Speicherung des Signaturschlüssels wird wiederum auf die Chipkarte zurückgegriffen, die ein wesentlicher Bestandteil des Sicherheitskonzeptes ist. Außerordentlich wichtig für die Verbindung von Rechnern ist es, dass der Möglichkeit einer ungewollten Fehlvermittlung, die - anders als bei Telefongesprächen - meist nicht vor oder während der Übertragung erkannt werden, angemessen begegnet wird. Dies kann durch eine eingebaute Firewall-Funktionalität in der ISDN- Sicherheitskomponente erreicht werden. Durch eine Überwachung des Signalisierungskanals (D-Kanal) kann dann die Sicherheitskomponente so eingestellt werden, dass ausschließlich explizit vorkonfigurierte Kryptoverbindungen zustande kommen. In Verbindung mit TK-Anlagen ist ferner vorgesehen, dass bestimmte Rufnummern und Funktionen dieser Nebenstellenanlagen gesperrt werden. Damit läßt sich die Ausnutzbarkeit der Schwachstellen "Fernwartung" und "Rufweiterleitung" einschränken. Um sowohl ein sicheres Schlüsselmanagement als auch eine schnelle Echtzeitverschlüsselung der Nutzdaten zu erreichen, sollten Hybridverfahren eingesetzt werden. Unter Beibehaltung der symmetrischen Informationsverschlüsselung wird der sogenannte Sitzungsschlüssel mit Hilfe eines asymmetrischen Verfahrens ausgetauscht. Dies läuft im Praxisbetrieb völlig automatisch ab. Ohne nennenswerte Beeinträchtigung des Bedienungskomforts können auf diese Weise für jede neue ISDN- Verbindung neue Sitzungsschlüssel vereinbart werden. Aus sicherheitstechnischer Sicht sollte der Endteilnehmer folgende Einsatzkriterien und -auflagen bei der Auswahl bzw. beim Einsatz einer ISDN-Sicherheitskomponente heranziehen: (Bewertung: + = wichtig bis +++ = sehr wichtig): Die individuellen Teilnehmerschlüssel und Authentisierungsinformationen sind auf einem sicheren Medium (z. B. einer Chipkarte) zu speichern und mit Hilfe einer vertrauenswürdigen Signatur zu sichern (+++). 50 Für die Verschlüsselung einer Kommunikationsbeziehung (Sprache, Daten, Bild, etc.) ist pro Übertragung ein geheimer Schlüssel, der sogenannte Sitzungsschlüssel, neu zu vereinbaren (++). Die ausgeführten Sicherheitsdienste erfolgen automatisch und für das Endsystem bzw. den Endteilnehmer völlig transparent (+). Für ausgewählte Verbindungen ist die Sicherheitskomponente immer im Kryptobetrieb eingerichtet (+++). Die bestehende Infrastruktur sollte bei Verwendung der Sicherheitskomponenten voll erhalten bleiben (+). Die Sicherheitsadministration der Sicherheitskomponenten sollte netzweit und möglichst von zentraler Stelle aus möglich sein (+). Wünschenswert ist eine Online-Betriebsüberwachung und Registrierung aller Sicherheitskomponenten im Dialog mit der Managementstation (+). Es sollten ISDN-Sicherheitskomponenten ausgewählt werden, die normierte Schnittstellen haben, keine Änderungen in den zu schützenden Endgeräten erfordern und die leicht in eine bestehende Kommunikationslandschaft zu integrieren sind. 4.1.8 Auswahl eines geeigneten kryptographischen Verfahrens Verantwortlich für Initiierung: IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Sicherheitsmanagement Die Auswahl eines kryptographischen Verfahrens zerfällt in die beiden Teilaufgaben Auswahl des kryptographischen Algorithmus und Auswahl einer technischen Realisierung. Bevor der Anwender sich auf bestimmte Verfahren festlegt, sollte er genaue Vorstellungen davon haben, welche Anforderungen er an Vertraulichkeit und Authentizität der bearbeiteten Daten in jedem "Punkt" seines informationsverarbeitenden Systems stellt. Auswahl von kryptographischen Algorithmen Bei der Auswahl von kryptographischen Algorithmen ist zunächst zu klären, welche Art kryptographischer Verfahren benötigt werden, also symmetrische, asymmetrische oder hybride Verfahren, und dann sind geeignete Algorithmen, also solche mit entsprechender Mechanismenstärke auszuwählen. Verschlüsselungsverfahren symmetrische Verschlüsselung: Die Vor- bzw. Nachteile symmetrischer Verfahren sind in M 3.23 beschrieben. Geeignete Algorithmen sind z. B. Tripel-DES, IDEA, RC 5, wobei bei RC 5 die Schlüssellänge mindestens 80 Bit sein sollte. 51 asymmetrische Verschlüsselung: Die Vor- bzw. Nachteile asymmetrischer Verfahren sind in M 3.23 beschrieben. Geeignete Algorithmen sind z. B. RSA oder auf Elliptischen Kurven basierende Verschlüsselungsverfahren (zur Schlüssellänge siehe unten). Authentisierungsverfahren Nachrichtenauthentisierung Zur Nachrichtenauthentisierung können verschiedene Verfahren eingesetzt werden, etwa ein Message Authentication Code (MAC) oder ein digitales Signaturverfahren. Der Einsatz eines MACs ist von Vorteil, wenn extrem hohe Durchsatzraten gefordert sind (oder nur eine geringe Rechenkapazität zur Verfügung steht) und das Risiko der Schlüsseloffenlegung auf beiden Seiten sehr gering ist. Der Einsatz eines digitalen Signaturverfahrens ist von Vorteil, wenn das Risiko der (Signatur-) Schlüsseloffenlegung auf einer Seite wesentlich höher ist als auf der anderen Seite; und in aller Regel geboten, wenn Verbindlichkeitsdienste verlangt werden. Es sei noch einmal bemerkt, dass für den Dienst Verbindlichkeit eine Infrastruktur vertrauenswürdiger Dritter vorhanden sein muss. Der bekannteste MAC-Algorithmus ist die Verschlüsselung einer Nachricht mit DES oder einem anderen Block-Chiffrierverfahren im CBC- oder CFB-Mode. Dabei wird als MAC der letzte verschlüsselte Block an die Nachricht angehängt. Solche Varianten sind z. B. in den Normen ANSI X9.9, ANSI X9.19, ISO 8731-1 oder ISO 9797 spezifiziert. Geeignete Algorithmen für Digitale Signaturen sind z. B. RSA, DSA (Digital Signature Algorithm) oder auf elliptischen Kurven basierende DSA-Varianten, z. B. ISO/IEC 15946-2, IEEE-Standard P1363, Abschnitt 5.3.3 ("Nyberg-Rueppel Version"), IEEE-Standard P1363, Abschnitt 5.3.4 ("DSA Version"). Authentisierung von Benutzern oder Komponenten Ein einfaches Verfahren zur Authentisierung ist eine Paßwortabfrage. Werden die Paßwörter dabei aber unverschlüsselt über ein Netz übertragen, können diese verhältnismäßig einfach mitgelesen werden. Daher sollten hier bessere Verfahren verwendet werden. Geeignete Verfahren sind beispielsweise o o o o Einmalpaßwörter (siehe auch M 5.34 Einsatz von Einmalpaßwörtern), die softwareoder hardwaregestützt erzeugt werden können. Hierbei sind die hardwarebasierten Authentifikationsmethoden vorzuziehen, da sie einen geringeren organisatorischen Aufwand und höhere Sicherheit bieten. Die Authentisierung mittels PAP oder besser CHAP, die bei der Nutzung des Point-toPoint-Protocol eingesetzt werden (siehe M 5.50 ). Die Authentisierung mittels CLIP/COLP, die bei der Kommunikation über ISDN eingesetzt wird (siehe M 5.48 ). Ein weiteres bekanntes Verfahren ist das Authentikationsprotokoll Kerberos, das am MIT (Massachusetts Institute of Technology) entwickelt wurde. Es wird in Netzen zur gegenseitigen Authentisierung von Benutzer/Client und Servern eingesetzt. Die zentrale Autorität bei Kerberos ist der Ticket-Granting-Server, der Tickets ausstellt, 52 mit denen sich Clients und Server gegenseitig authentisieren können. Mit Hilfe dieser Tickets können Benutzer sich nach einmaliger Authentikation Sitzungsschlüssel für die verschiedensten Dienste anfordern. Hashverfahren Geeignete Algorithmen sind z. B. MD5, SHA-1, RIPEMD-160. Auswahlkriterien Mechanismenstärke / Schlüssellänge Ein wesentliches Kriterium für die Auswahl von kryptographischen Verfahren ist ihre Mechanismenstärke. Bei symmetrischen Verfahren sollte insbesondere die Schlüssellänge ausreichend groß sein. Je größer die verwendete Schlüssellänge bei einem kryptographischen Verfahren ist, desto länger dauert es, ihn z. B. durch eine Brute-Force-Attacke zu berechnen. Andererseits werden die Verfahren bei der Verwendung längerer Schlüssel langsamer, so dass immer zu überlegen ist, welche Schlüssellänge unter Nutzen- /Leistungsgesichtspunkten angemessen ist. Als Faustregel für gute Verfahren (Tripel-DES, IDEA, RC5,...) und mittleren Schutzbedarf gilt derzeit, dass die eingesetzten Schlüssel mindestens 80 Bit lang sein sollten. Bei Verwendung von Blockchiffren sollten größere, strukturierte Datenmengen nicht im ECB-Modus verschlüsselt werden. Stattdessen sollten dazu der CBC-Modus oder der CFB-Modus verwendet werden. Mindestens eine dieser Betriebsarten sollte daher implementiert sein. Bei asymmetrischen Verfahren sollte die Mechanismenstärke so gewählt werden, dass die Lösung der zu Grunde liegenden mathematischen Probleme einen unvertretbar großen bzw. praktisch unmöglichen Rechenaufwand erfordert (die zu wählende Mechanismenstärke hängt daher vom gegenwärtigen Stand der Algorithmik und der Rechentechnik ab). Gegenwärtig kann man davon ausgegehen, dass man mit Modullängen von 768 Bit bei RSA bzw. Untergruppenordnungen in der Größe von 160 Bit bei ElGamal-Verfahren auf einer geeigneten elliptischen Kurve "auf der sicheren Seite" ist. Es sollten keine "unbekannten" Algorithmen verwendet werden, d. h. es sollten Algorithmen eingesetzt werden, die veröffentlicht sind, die von einem breiten Fachpublikum intensiv untersucht worden sind und von denen keine Sicherheitslücken bekannt sind. Häufig bieten Hersteller Sicherheitsprodukte an mit neuen Algorithmen, die "noch viel sicherer und noch viel schneller" sein sollen als andere Algorithmen. Aber vor der Verwendung von unbekannten Algorithmen aus Quellen, deren kryptographische Kompetenz nicht ausreichend nachgewiesen ist, kann nur gewarnt werden. Symmetrische oder hybride Verfahren? 53 Aus Performancegründen werden für Verschlüsselungszwecke keine reinen Public-KeyImplementierungen eingesetzt. Alle gängigen Implementierungen von Public-Key-Kryptographie nutzen hybride Verfahren (siehe M 3.23 ). In Anwendungen mit großen oder offenen Nutzergruppen empfiehlt sich meist die Verwendung eines hybriden Verfahrens (wegen der Vorzüge für das Schlüsselmanagement). Bei kleinen, geschlossenen Nutzergruppen (insbesondere natürlich bei einem einzelnen Benutzer) kann man sich auf symmetrische Verfahren beschränken. Bei Einsatz hybrider Verfahren ist es sinnvoll, die Stärken des symmetrischen und des asymmetrischen Anteils aufeinander abzustimmen. Da mit dem asymmetrischen Verfahren vor einem Schlüsselwechsel in der Regel viele Schlüssel für das symmetrische Verfahren überschlüsselt werden, sollte der asymmetrische Algorithmus eher etwas stärker ausgelegt werden. Realisierbarkeit von technischen Anforderungen Die Chiffrieralgorithmen müssen so beschaffen sein, dass die technischen Anforderungen, insbesondere die geforderte Performance, durch eine geeignete Implementation erfüllt werden können. Hierunter fallen Anforderungen an die Fehlerfortpflanzung (z. B. falls über stark rauschende Kanäle gesendet wird), aber auch Anforderungen an Synchronisationsoverhead und Zeitverzögerung (z. B. falls "Echtzeit"-Verschlüsselung von großen Datenmengen erfordert wird). Beispiel: Sprachverschlüsselung bei ISDN Für die Planung eines Kommunikationsnetzes sind eine Reihe von Parametern zu berücksichtigen, die einen Einfluss auf die zu erwartende Sprachqualität haben und sich in Form von Rauschen, Knacken, Nebensprechen oder Pfeifen bemerkbar machen. Zu solchen Einflussfaktoren zählen beispielsweise die eingesetzten Verschlüsselungsverfahren. Um eine zufriedenstellende Sprachqualität erzielen zu können, müssen alle Einrichtungen längs eines Übertragungsweges betrachtet und bewertet werden. Eine isolierte Betrachtungsweise einer Einzelkomponente ist zwar aufgrund der Verkopplung aller relevanten Einzeleffekte als nicht gerechtfertigt anzusehen, dennoch ist die Kenntnis der Einflussfaktoren jeder Einzelkomponente (z. B. der Kryptokomponente) wichtig. Hieraus können sowohl die Rahmenbedingungen für die Realisierung als auch für die Auswahl abgeleitet werden. Das Verhalten einer Verschlüsselungskomponente wird dabei hauptsächlich durch folgende Faktoren charakterisiert: die verstreichende Zeitdauer bei der Verschlüsselung eines Datenblocks (führt i. allg. zu Verzögerungen), die für Synchronisationszwecke zusätzlich in den Datenstrom eingeführten Steuerinformationen (führen u. U. zu Schwankungen), der von der Kryptokomponente maximal zu leistende Datendurchsatz (führt - wenn Zwischenspeicherung notwendig - ebenfalls zu Schwankungen), die durch die Verschlüsselung resultierende Fehlerfortpflanzung (führt i. allg. zu einem Anstieg der Fehlerrate). 54 Gerade bei einer Sprachverschlüsselung (Echtzeitdienst) machen sich die vorgenannten Einflussfaktoren in einer Erhöhung der Ende-zu-Ende-Laufzeit, in Laufzeitschwankungen sowie in einer höheren Fehlerrate negativ bemerkbar, d. h. in einer Qualitätsminderung, die meßtechnisch ermittelt und der Kryptokomponente zugeordnet werden kann. Andere Einflussfaktoren Manche kryptographische Algorithmen (z. B. IDEA) sind patentiert, für ihren Einsatz in kommerziellen Anwendungen (wozu auch der behördliche Bereich zählt) sind evtl. Lizenzgebühren zu entrichten. Dies ist insbesondere beim Einsatz von Verfahren wie PGP zu beachten, von denen es auch Implementationen gibt, die ansonsten als Public-Domain-Software eingesetzt werden können. 4.1.9 Auswahl eines geeigneten kryptographischen Produktes Verantwortlich für Initiierung: IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Sicherheitsmanagement Das Spektrum kryptographischer Anwendungen ist sehr breit, es reicht von einem einfachen Programm zur Dateiverschlüsselung auf einem Single-User PC über Firewallrechner mit Kryptofunktionen zur Absicherung eines lokalen Netzes bis hin zur "Echtzeit"Hardwareverschlüsselung von Videokonferenzen. Es ist klar, dass bei dieser Breite Empfehlungen zur Auswahl von kryptographischen Produkten allgemeingültig gehalten sind. Vor einer Auswahl sollte der Nutzer sämtliche Anforderungen an das Produkt festlegen. Das ausgewählte Produkt sollte die Benutzeranforderungen in einem möglichst hohen Grad abdecken. Funktionalität Das ausgewählte Produkt muss die vom Anwender spezifizierte Funktionalität aufweisen, insbesondere muss es die geforderten kryptographischen Grunddienste leisten, evtl. besonderen Anforderungen durch die Einsatzumgebung genügen (z. B. SingleUser/Multi-User- PC, LAN-Umgebung, WAN-Anbindung), die geforderten technischen Leistungsmerkmale aufweisen (z. B. Durchsatzraten), die geforderten Sicherheitsfunktionalitäten aufweisen, insbesondere müssen die eingesetzten kryptographischen Mechanismen die erforderliche Stärke aufweisen. Interoperabilität Das ausgewählte Produkt wird in der Regel in eine bestehende IT-Umgebung eingefügt. Es muss dort möglichst interoperabel sein. Die Einhaltung interner Standards ist nötig, um die Interoperabilität mit dem bereits vorhandenen IT-System bzw. Systemkomponenten zu gewährleisten. Die Anwendung 55 internationaler Standards für kryptographische Techniken sollte selbstverständlich sein, sie erleichtert auch eine Sicherheitsevaluierung der kryptographischen Komponente. Wirtschaftlichkeit Das ausgewählte Produkt sollte möglichst wirtschaftlich sein. Dabei müssen Anschaffungskosten, Stückzahlen, Kosten für Wartung und Produktpflege, aber auch Einsparungen durch etwaige Rationalisierungseffekte berücksichtigt werden. Zertifizierte Produkte In den letzten Jahrzehnten hat sich eine international anerkannte Methodologie zur Bewertung von IT- Sicherheitsprodukten durchgesetzt: die europäischen ITSEC (Information Technology Security Evaluation Criteria) bzw. deren Weiterentwicklung CC (The Common Criteria for Information Technology Security Evaluation). Die ITSEC bzw. CC bieten einen Rahmen, innerhalb dessen die Sicherheitsfunktionalitäten eines IT-Produktes durch Anlegen von etablierten Kriterien in eine genau spezifizierte Hierarchie von Sicherheitsstufen eingeordnet werden können. Die Informationssicherheitsbehörden mehrerer Staaten haben jeweils ein nationales Zertifizierungsschema nach diesen Kriterien aufgebaut. Der Einsatz eines zertifizierten Produktes bietet die Gewähr, dass die Sicherheitsfunktionalität dieses Produktes unabhängig geprüft wurde und den im Evaluationslevel spezifizierten Standard nicht unterschreitet (siehe auch M 2.66 Beachtung des Beitrags der Zertifizierung für die Beschaffung). Importprodukte In mehreren Staaten, insbesondere den USA, unterliegt der Export von starker Kryptographie gegenwärtig (noch) starken Beschränkungen. Insbesondere wird die Stärke von an sich starken Verschlüsselungsprodukten künstlich (durch Reduzierung der Schlüsselmannigfaltigkeit) herabgesetzt. Solche künstlich geschwächten Verfahren erreichen i.d.R. nicht die für mittleren Schutzbedarf erforderliche Mechanismenstärke. In Deutschland und den meisten anderen Ländern unterliegen kryptographische Produkte beim Einsatz innerhalb der Landesgrenzen keinerlei Einschränkungen. Beim Einsatz von Importprodukten sollte immer darauf geachtet werden, ob sie den vollen Leistungsumfang bieten. Grenzüberschreitender Einsatz Viele Unternehmen und Behörden haben zunehmend das Problem, das sie auch ihre internationale Kommunikation, z. B. mit ausländischen Tochterunternehmen, kryptographisch absichern wollen. Hierfür muss zunächst untersucht werden, ob innerhalb der jeweiligen Länder Einschränkungen beim Einsatz kryptographischer Produkte zu beachten sind und 56 ob für in Frage kommende Produkte Export- oder Importbeschränkungen beachtet werden müssen. 57 Fehlbedienungs- und Fehlfunktionssicherheit Das Gefährliche an kryptographischen Produkten ist, dass sie den Anwender in einer - mitunter trügerischen - Sicherheit wiegen: Es ist ja "alles verschlüsselt"! Insofern kommt Maßnahmen gegen Kompromittierungen durch Bedienungsfehler oder technisches Versagen besondere Bedeutung zu, da deren Folgen eben nicht nur auf einen schlichten Defekt beschränkt werden können, sondern sogleich einen Sicherheitseinbruch nach sich ziehen. Allerdings ist die Bandbreite bezüglich redundanter Systemauslegung und zusätzlicher Überwachungsfunktionen - und damit an Gerätekosten - groß, so dass hier die Maßnahmen im Einzelfall in Abhängigkeit von den Anforderungen festzulegen sind. Implementierung in Software, Firmware oder Hardware Kryptographische Algorithmen können sowohl in Software, in Firmware als auch in Hardware implementiert werden. Softwarerealisierungen werden in der Regel vom Betriebssystem des jeweiligen IT- Systems gesteuert. Unter Firmware versteht man Programme und Daten, die permanent so in Hardware gespeichert sind, dass die Speicherinhalte nicht dynamisch verändert werden können, und die während ihres Ablaufs nicht modifiziert werden können. Bei Hardwarelösungen wird das kryptographische Verfahren direkt in Hardware realisiert, z. B. als separates Sicherheitsmodul oder als Einsteckkarte. Dazu, welche Art der Implementierung gewählt werden sollte, kann keine generelle Empfehlung abgegeben werden, da die Entscheidung eine Abwägung von verschiedenen Faktoren erfordert: den Schutzbedarf der durch das kryptographische Verfahren zu schützenden Daten bzw. das angestrebte Sicherheitsniveau, den angestrebten Datendurchsatz, wirtschaftliche Überlegungen/Zwänge, die Einsatzumgebung/ umgebende Sicherungsmaßnahmen, eine evtl. vorliegende nationale Einstufung der bearbeiteten Daten. Softwarelösungen bieten den Vorteil, leicht anpaßbar und kostengünstig zu sein. Hardwarerealisierungen bieten im allgemeinen sowohl höhere Manipulationsresistenz (und damit Sicherheit) als auch höheren Datendurchsatz als Softwarerealisierungen, sie sind aber normalerweise auch teurer. Firmwarelösungen kann man als Kompromiß der beiden vorangegangenen Möglichkeiten verstehen. Die Vor- und Nachteile der jeweiligen Realisierung beziehen sich jedoch immer nur auf lokale Aspekte (dazu gehört vor allem das Schlüsselmanagement). Sind die Daten einmal verschlüsselt und befinden sie sich auf dem Kommunikationsweg, ist im Prinzip das Zustandekommen der Verschlüsselung nicht mehr relevant. Ein Beispiel für (relativ) preiswerte, transportable und benutzerfreundliche Kryptomodule sind Chipkarten, die im Bereich der lokalen Verschlüsselung als sicheres Speichermedium für die 58 kryptographischen Schlüssel oder im Bereich der Authentikation zur Paßwort-Generierung und Verschlüsselung eingesetzt werden können. Wenn alle Anforderungen an das kryptographische Produkt festgelegt worden sind, erhält man damit einen Anforderungskatalog, der dann auch direkt für eine Ausschreibung verwendet werden kann, sofern eine solche notwendig ist. 4.1.10 Regelung des Einsatzes von Kryptomodulen Verantwortlich für Initiierung: IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Sicherheitsmanagement Auch im laufenden Betrieb müssen eine Reihe von Sicherheitsanforderungen an den Einsatz von Kryptomodulen gestellt werden. Diese müssen adäquat in das technische und organisatorische Umfeld eingebunden sein, in dem sie eingesetzt werden. Dafür müssen einige organisatorische Regelungen getroffen werden: Es müssen Verantwortliche benannt werden, und zwar für die Erstellung des Kryptokonzeptes, für die Auswahl sowie für den sicheren Betrieb der kryptographischen Produkte. Es sind geeignete personelle Maßnahmen festzulegen bzw. durchzuführen (Schulung, Benutzer- Support, Vertretungsregelungen, Verpflichtungen, Rollenzuteilungen). Die Benutzer sollten nicht nur im Umgang mit den von ihnen zu bedienenden Kryptomodulen geschult werden, sie sollten darüber hinaus für den Nutzen und die Notwendigkeit der kryptographischen Verfahren sensibilisiert werden und einen Überblick über kryptographische Grundbegriffe erhalten (siehe auch M 3.23 ). Falls Probleme oder gar der Verdacht auf Sicherheitsvorfälle beim Einsatz von Kryptomodulen auftritt, muss klar definiert sein, was in solchen Fällen zu unternehmen ist. Alle Benutzer müssen über die entsprechenden Verhaltensregeln und Meldewege informiert sein. Im Rahmen des Kryptokonzeptes ist festzulegen, wer wann welche Kryptoprodukte benutzen muss bzw. darf und welche Randbedingungen dabei zu beachten sind (z. B. Schlüsselhinterlegung). Der korrekte Einsatz der Kryptomodule sollte regelmäßig überprüft werden. Ebenso ist regelmäßig zu hinterfragen, ob die eingesetzten kryptographischen Verfahren noch dem Stand der Technik entsprechen (siehe dazu auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems). Je nach den definierten Verfügbarkeitsanforderungen sollten Ersatz-Kryptomodule vorrätig gehalten werden, um einen reibungslosen Betrieb zu gewährleisten. Dies ist insbesondere dort wichtig, wo der Zugriff auf verschlüsselte Daten von der Funktionsfähigkeit eines einzelnen Kryptomoduls abhängt, z. B. bei der Datenarchivierung oder der ISDNVerschlüsselung. 59 Es ist ein sicherer Betrieb der Kryptomodule zu gewährleisten, dazu gehören: Vor der Inbetriebnahme muss die optimale Konfiguration der Kryptomodule festgelegt werden, z. B. hinsichtlich Schlüssellänge, Betriebsmodi oder Kryptoalgorithmen. Die festgelegte Konfiguration muss dokumentiert sein, damit sie nach einem Systemversagen oder einer Neuinstallation schnell wieder eingerichtet werden kann. Für die Benutzer müssen die Kryptoprodukte durch den Administrator so vorkonfiguriert sein, dass ohne weiteres Zutun der Benutzer maximale Sicherheit erreicht werden kann. Bei komplexeren Kryptoprodukten müssen geeignete Handbücher verfügbar sein. Die Kryptomodule müssen sicher installiert werden und anschließend getestet werden (z. B. ob es korrekt verschlüsselt und ob es vom Benutzer bedient werden kann). Die Anforderungen an die Einsatzumgebung müssen festgelegt sein, eventuell sind dafür ergänzende Maßnahmen im IT-Umfeld zu treffen. Die sicherheitstechnischen Anforderungen an die IT-Systeme, auf denen die kryptographischen Verfahren eingesetzt werden, sind den jeweiligen systemspezifischen Bausteinen zu entnehmen, z. B. für Clients (inkl. Laptops) aus Kapitel 5, für Server aus Kapitel 6. Es muss festgelegt werden, wer wie häufig die Kryptomodule zu warten hat. Auch im Rahmen des Schlüsselmanagements (siehe M 2.46 Geeignetes Schlüsselmanagement) müssen diverse Vorgaben gemacht werden: Vorgaben zur Schlüsselerzeugung und -auswahl, Vorgaben zur gesicherten Speicherung kryptographischer Schlüssel, Festlegung der Schlüsselwechsel-Strategie und -Intervalle. 4.1.11 Informationsbeschaffung über Sicherheitslücken des Systems Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator Gegen bekannt gewordene und durch Veröffentlichungen zugänglich gemachte Sicherheitslücken müssen die erforderlichen organisatorischen und administrativen Maßnahmen ergriffen oder zusätzliche Sicherheitshardware bzw. Sicherheitssoftware eingesetzt werden. Es ist daher sehr wichtig, sich über neu bekannt gewordene Schwachstellen zu informieren. Informationsquellen: Bundesamt für Sicherheit in der Informationstechnik (BSI), Postfach 20 03 63, 53133 Bonn, Telefon: 0228- 9582-444, Fax: -427, E-Mail: [email protected], WWW: www.bsi.bund.de/bsi-cert Hersteller bzw. Vertreiber des Betriebssystems informieren registrierte Kunden über bekannt gewordene Sicherheitslücken ihrer Systeme und stellen korrigierte Varianten des Systems oder Patches zur Behebung der Sicherheitslücken zur Verfügung. Computer Emergency Response Teams (CERT) sind Organisationen, die über bekannt gewordene Betriebssystemfehler und deren Behebungsmöglichkeiten informieren. 60 Computer Emergency Response Team / Coordination Center (CERT/CC), Software Engineering Institute, Carnegie Mellon University, Pittsburgh, PA 15213-3890, Telefon: +1-412-268-7090 (24-Stunden-Hotline), E-Mail: [email protected], FTP: ftp.cert.org, WWW: www.cert.org Die CERT-Mitteilungen werden in Newsgruppen ( comp.security.announce und info.nsfnet.cert) und über Mailinglisten (Aufnahme durch E-Mail an: [email protected]) veröffentlicht. CERT in Deutschland: o o BSI-CERT, Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, 53133 Bonn, Telefon: 0228-9582-444, Fax: -427, E-Mail: [email protected] DFN-CERT, Universität Hamburg, Fachbereich Informatik, Vogt-Kölln-Straße 30, 22527 Hamburg, Telefon: 040-54715-262, Fax: -241, E-Mail: [email protected], FTP:ftp.cert.dfn.de, WWW: www.cert.dfn.de, gopher: gopher.cert.dfn.de, Aufnahme in Mailingliste für CERT-Mitteilungen durch E-Mail an: [email protected] Mailinglisten für Diskussionen: [email protected] Mailinglisten für sicherheitsrelevante Informationen: [email protected] win-sec- Micro-BIT Virus Center/CERT, Universität Karlsruhe, Postfach 6980, 76128 Karlsruhe, Telefon: 0721-376422, Fax: 0721-32550, E-Mail: [email protected] hersteller- und systemspezifische sowie sicherheitsspezifische Newsgruppen oder Mailinglisten, wie z. B. die englisch-sprachige Mailingliste BUGTRAQ (Aufnahme in die Mailingliste durch E-Mail an: [email protected]) IT-Fachzeitschriften 4.1.12 Reaktion auf Verletzungen der Sicherheitspolitik Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT Verantwortlich für Umsetzung: IT-Sicherheitsmanagement Es ist festzulegen, welche Reaktion auf Verletzungen der Sicherheitspolitik erfolgen soll, um eine klare und sofortige Reaktion gewährleisten zu können. 61 Untersuchungen sollten durchgeführt werden, um festzustellen, wie und wo die Verletzung entstanden ist. Anschließend müssen die angemessenen schadensbehebenden oder -mindernden Maßnahmen durchgeführt werden. Soweit erforderlich, müssen zusätzliche schadensvorbeugende Maßnahmen ergriffen werden. Die durchzuführenden Aktionen hängen sowohl von der Art der Verletzung als auch vom Verursacher ab. Es muss geregelt sein, wer für Kontakte mit anderen Organisationen verantwortlich ist, um Informationen über bekannte Sicherheitslücken einzuholen (siehe auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems ) oder um Informationen über aufgetretene Sicherheitslücken weiterzugeben. Es muss dafür Sorge getragen werden, dass evtl. mitbetroffene Stellen schnellstens informiert werden. 4.1.13 Geeignetes Schlüsselmanagement Verantwortlich für Initiierung: IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Verfahrensverantwortlicher, IT-Verfahrensverantwortlicher Die Verwendung kryptographischer Sicherheitsmechanismen (z. B. Verschlüsselung, digitale Signatur) setzt die vertrauliche, integere und authentische Erzeugung, Verteilung und Installation von geeigneten Schlüsseln voraus. Schlüssel, die Unbefugten zur Kenntnis gelangt sind, bei der Verteilung verfälscht worden sind oder gar aus unkontrollierter Quelle stammen (dies gilt auch für die Schlüsselvereinbarung zwischen Kommunikationspartnern), können den kryptographischen Sicherheitsmechanismus genauso kompromittieren wie qualitativ schlechte Schlüssel, die auf ungeeignete Weise erzeugt worden sind. Qualitativ gute Schlüssel werden in der Regel unter Verwendung geeigneter Schlüsselgeneratoren erzeugt (s. u.). Für das Schlüsselmanagement sind folgende Punkte zu beachten: Schlüsselerzeugung Die Schlüsselerzeugung sollte in sicherer Umgebung und unter Einsatz geeigneter Schlüsselgeneratoren erfolgen. Kryptographische Schlüssel können zum einen direkt am Einsatzort (und dann meistens durch den Benutzer initiiert) oder zum anderen zentral erzeugt werden. Bei der Erzeugung vor Ort müssen meistens Abstriche an die Sicherheit der Umgebung gemacht werden, bei einer zentralen Schlüsselgenerierung muss sichergestellt sein, dass sie ihre Besitzer authentisch und kompromittierungsfrei erreichen. Geeignete Schlüsselgeneratoren müssen kontrollierte, statistisch gleichverteilte Zufallsfolgen unter Ausnutzung des gesamten möglichen Schlüsselraums produzieren. Dazu erzeugt z. B. eine Rauschquelle zufällige Bitfolgen, die mit Hilfe einer Logik nachbereitet werden. Anschließend wird unter Verwendung verschiedener Testverfahren die Güte der so gewonnenen Schlüssel überprüft. Einige Kryptomodule, insbesondere solche, die keinen integrierten Zufallszahlengenerator besitzen, greifen auf Benutzereingaben zur Schlüsselerzeugung zurück. Beispielsweise werden hier Paßwörter abgefragt, aus denen dann ein Schlüssel abgeleitet wird, oder der Benutzer wird gebeten, beliebigen 62 Text einzutippen, um zufällige Startwerte für die Schlüsselgenerierung zu erhalten. Solche Paßwörter sollten dabei gut gewählt sein und möglichst lang sein. Wenn möglichst "zufällige" Benutzereingaben angefordert werden, sollten diese auch zufällig, also schlecht vorhersagbar, sein. 63 Schlüsseltrennung Kryptographische Schlüssel sollten möglichst nur für einen Einsatzzweck dienen. Insbesondere sollten für die Verschlüsselung immer andere Schlüssel als für die Signaturbildung benutzt werden. Dies ist sinnvoll, damit bei der Offenlegung eines Schlüssels nicht alle Verfahren betroffen sind, da es manchmal erforderlich sein kann, Verschlüsselungsschlüssel weiterzugeben (Vertretungsfall), da es unterschiedliche Zyklen für den Schlüsselwechsel geben kann. Schlüsselverteilung / Schlüsselaustausch Kryptographische Kommunikationsbeziehungen können nur dann funktionieren, wenn die Kommunikationspartner über aufeinander abgestimmte kryptographische Schlüssel verfügen. Dazu müssen alle Kommunikationspartner mit den dazu erforderlichen Schlüsseln versorgt werden. Zur Schlüsselverteilung und zum Schlüsselaustausch können unterschiedliche Verfahren verwendet werden. Die Unterschiede ergeben sich aus der Anwendung verschiedener kryptographischer Verfahren und Mechanismen bzw. aus ihrer Kombination (siehe M 2.164 Auswahl kryptographischer Verfahren). Unter Schlüsselverteilung wird hier die initiale Versorgung der Kommunikationspartner mit Grundschlüsseln verstanden. Die Schlüssel werden dazu von einer meist zentralen Schlüsselerzeugungsstelle (z. B. einem Trust Center) an die einzelnen Kommunikationspartner übermittelt. Die Verteilung der Schlüssel sollte auf geeigneten Datenträgern (z. B. Chipkarten) oder über Kommunikationsverbindungen (z. B. LAN, WAN) vertraulich (z. B. mit KEK - Key Encryption Key verschlüsselt), integer (z. B. MAC-gesichert) und authentisch (z. B. digital signiert gemäß SignaturGesetz) erfolgen. Die unbefugte Kenntnisnahme bzw. Verfälschung der Schlüssel muss verhindert oder wenigstens erkannt werden können. Mit Schlüsselaustausch wird die Schlüsseleinigungsprozedur zwischen zwei Kommunikationspartnern auf einen Sitzungsschlüssel (Session Key) bezeichnet. Der Session Key ist ein Schlüssel, der nur eine begrenzte Zeit, etwa für die Dauer einer Kommunikationsverbindung, verwendet wird. Diese Zeit muss festgelegt werden, da Sitzungen sehr lange dauern können. Die Festlegung erfolgt z. B. durch einen relativen Zeitablauf oder durch einen Paketzähler. Für jede neue Verbindung wird ein neuer Session Key zwischen den Kommunikationspartnern ausgehandelt. Moderne Systeme bedienen sich heute asymmetrischer kryptographischer Verfahren zur Schlüsselverteilung und zum Schlüsselaustausch. Zum Nachweis der Authentizität der öffentlichen Schlüssel kann eine vertrauenswürdige Zertifizierungsstelle eingerichtet werden. Die Kommunikationsteilnehmer müssen sich gegenüber der Zertifizierungsstelle ausweisen und dort ihren öffentlichen Schlüssel mittels einer digitalen Signatur der Zertifizierungsstelle beglaubigen lassen. Das so erzeugte digitale Zertifikat sollte mindestens den öffentlichen Schlüssel und ein Identifikationsmerkmal des Kommunikationsteilnehmers, die Gültigkeitsdauer des Zertifikats und die digitale Signatur der Zertifizierungsstelle enthalten. Mit Kenntnis des öffentlichen Signaturschlüssels 64 der Zertifizierungsstelle ist jeder Kommunikationsteilnehmer in der Lage, die Authentizität des öffentlichen Schlüssels des Kommunikationspartners zu verifizieren. Schlüsselinstallation und -speicherung Im Zuge der Schlüsselinstallation ist die authentische Herkunft sowie die Integrität der Schlüsseldaten zu überprüfen. Generell sollten Schlüssel nie in klarer Form, sondern grundsätzlich verschlüsselt im System gespeichert werden. Bei Software-Verschlüsselungsprodukten muss berücksichtigt werden, dass Schlüssel zumindest zeitweise während des Ver-/Entschlüsselungsprozesses in Klarform im PCSystem vorliegen müssen. Bieten die IT-Systeme, auf denen das kryptographische Produkt eingesetzt ist, keinen ausreichenden Zugriffsschutz für die Schlüssel, sollten diese nicht auf diesem IT-System gespeichert werden. Es bietet sich dann eine bedarfsorientierte manuelle Eingabe an. Eine andere Möglichkeit wäre die Auslagerung der Schlüssel auf einen externen Datenträger, der dann aber sicher verwahrt werden muss, wie unter Schlüsselarchivierung beschrieben. Aus Sicherheitsaspekten ist deshalb der Einsatz von Hardware-Verschlüsselungskomponenten vorzuziehen, bei denen die Schlüssel vom Datenträger (z. B. Chipkarte) verschlüsselt auf direktem Weg in die Verschlüsselungskomponente geladen werden und diese nie in Klarform verlassen. Auf jeden Fall muss sichergestellt werden, dass bei der Installation des Verschlüsselungsverfahrens voreingestellte Schlüssel geändert werden. Schlüsselarchivierung Für Archivierungszwecke sollte das kryptographische Schlüsselmaterial auch außerhalb des Kryptomoduls in überschlüsselter Form speicherbar und gegebenenfalls wieder einlesbar sein. Dazu können mehrere Schlüssel zu einem Satz zusammengefaßt werden, der dann ebenfalls mit Hilfe eines KEK (Key-Encryption-Key: Überschlüsselungsschlüssel) kryptiert wird. Der KEK muss entsprechend sicher (z. B. auf Chipkarte im Safe) aufgehoben werden. Splittet man den KEK in zwei Teilschlüssel, so läßt sich das "Vier-Augen-Prinzip" umsetzen: zwei verschiedene Personen haben Zugriff auf je einen Datenträger (z. B. Chipkarte, Diskette), auf der sich nur jeweils einer der beiden Teilschlüssel befindet. Um den KEK zu generieren, müssen sich beide Datenträger gleichzeitig oder nacheinander in der Leseeinheit des Kryptomoduls befinden. Zugriffs- und Vertreterregelung In der Sicherheitspolitik sollten Fragen bzgl. der Zugriffs- und Vertretungsrechte geregelt sein. Entsprechende Mechanismen müssen vom Schlüsselmanagement und von den einzusetzenden Kryptomodulen/-geräten unterstützt werden (z. B. Schlüsselhinterlegung für den Fall, dass ein Mitarbeiter das Unternehmen verläßt oder wegen Krankheit längere Zeit ausfällt, vgl. Schlüsselarchivierung). 65 Schlüsselwechsel Im Kryptokonzept muss basierend auf der Sicherheitspolitik festgelegt werden, wann und wie oft Schlüssel gewechselt werden müssen. Je größer die Menge verschlüsselter Daten ist, die einem Angreifer für eine Analyse zur Verfügung steht, um so größer ist bei manchen Verfahren die Chance, dass das Analyseverfahren erfolgreich ist. Ein regelmäßiger Schlüsselwechsel minimiert die Angriffsmöglichkeiten auf verschlüsselte Daten. Die Wechselfrequenz ist von verschiedenen Faktoren abhängig. Dabei spielt die Art des verschlüsselten Mediums (z. B. Langzeitdatenträger, Datenübertragungsmedium) ebenso eine Rolle wie der kryptographische Algorithmus, die Detektion von Angriffen (z. B. Diebstahl oder Verlust eines Schlüssels) und die Schutzwürdigkeit der Daten. Weitere Faktoren bei der Festlegung der Wechselfrequenz sind die Häufigkeit des Schlüsseleinsatzes, das relevante Bedrohungspotential und die Sicherheit der lokalen Aufbewahrung der Schlüssel. Je nach verwendetem Verfahren sind für jede einzelne Kommunikationsverbindung neue Schlüssel auszuhandeln, also Sitzungsschlüssel (Session Keys) zu verwenden. Dies sollte natürlich für die Benutzer unbemerkt durch die Verfahren gesteuert werden. Schlüsselwechsel bedeutet hierbei den Austausch der Masterkeys, die die Grundlage bilden, auf der die Sitzungsschlüssel gebildet werden, und sollte natürlich auch regelmäßig durchgeführt werden. Besteht der Verdacht, dass ein verwendeter Schlüssel bloßgestellt wurde, so ist dieser Schlüssel nicht mehr zu verwenden und alle Beteiligten sind zu informieren. Bereits mit diesem Schlüssel verschlüsselte Informationen sind zu entschlüsseln und mit einem anderen Schlüssel zu verschlüsseln. Schlüsselvernichtung Nicht mehr benötigte Schlüssel (z. B. Schlüssel, deren Gültigkeitsdauer abgelaufen sind) sind auf sichere Art zu löschen bzw. zu vernichten (z. B. durch mehrfaches Löschen/Überschreiben und/oder mechanische Zerstörung des Datenträgers). Auf Produkte mit unkontrollierbarer Schlüsselablage sollte generell verzichtet werden. 4.2 Personal 4.2.1 Schulung vor Programmnutzung Verantwortlich für Initiierung: Leiter Personal, Vorgesetzte Verantwortlich für Umsetzung: Vorgesetzte, Verfahrensverantwortliche Durch unsachgemäßen Umgang mit IT-Anwendungen hervorgerufene Schäden können vermieden werden, wenn die Benutzer eingehend in die IT-Anwendungen eingewiesen werden. Daher ist es unabdingbar, dass die Benutzer vor der Übernahme IT-gestützter Aufgaben ausreichend geschult werden. Dies betrifft sowohl die Nutzung von Standardprogrammpaketen als auch von speziell entwickelten IT-Anwendungen. 66 Darüber hinaus müssen auch bei umfangreichen Änderungen in einer IT-Anwendung Schulungsmaßnahmen durchgeführt werden. Stehen leicht verständliche Handbücher zu IT-Anwendungen bereit, so kann anstelle der Schulung auch die Aufforderung stehen, sich selbständig einzuarbeiten. Eine wesentliche Voraussetzung dazu ist allerdings die Bereitstellung ausreichender Einarbeitungszeit. 4.2.2 Schulung zu IT-Sicherheitsmaßnahmen Verantwortlich für Initiierung: Vorgesetzte, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Vorgesetzte, IT-Sicherheitsmanagement Die überwiegende Zahl von Schäden im IT-Bereich entsteht durch Nachlässigkeit. Um dies zu verhindern, ist jeder einzelne zum sorgfältigen Umgang mit der IT zu motivieren. Zusätzlich sind Verhaltensregeln zu vermitteln, die ein Verständnis für die IT-Sicherheitsmaßnahmen wecken. Insbesondere sollen folgende Themen in der Schulung zu IT-Sicherheitsmaßnahmen vermittelt werden: - Sensibilisierung für IT-Sicherheit Jeder Mitarbeiter ist auf die Notwendigkeit der IT-Sicherheit hinzuweisen. Das Aufzeigen der Abhängigkeit der Behörde bzw. des Unternehmens und damit der Arbeitsplätze von dem reibungslosen Funktionieren der IT-Systeme ist ein geeigneter Einstieg in die Sensibilisierung. Darüber hinaus ist der Wert von Informationen herauszuarbeiten, insbesondere unter den Gesichtspunkten Vertraulichkeit, Integrität und Verfügbarkeit. Diese Sensibilisierungsmaßnahmen sind in regelmäßigen Zeitabständen zu wiederholen, evtl. auch durch praktische Hinweise z. B. in der Hauspost. - Die mitarbeiterbezogenen IT-Sicherheitsmaßnahmen Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden, die in einem ITSicherheitskonzept erarbeitet wurden und von den einzelnen Mitarbeitern umzusetzen sind. Dieser Teil der Schulungsmaßnahmen hat eine große Bedeutung, da viele ITSicherheitsmaßnahmen erst nach einer entsprechenden Schulung und Motivation effektiv umgesetzt werden können. - Die produktbezogenen IT-Sicherheitsmaßnahmen Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden, die inhärent mit einem Softwareprodukt verbunden sind und bereits im Lieferumfang enthalten sind. Dies können neben Passwörtern zur Anmeldung, der Pausenschaltung durch Bildschirmschoner auch Möglichkeiten der Verschlüsselung von Dokumenten oder Datenfeldern sein. Hinweise und Empfehlungen über die Strukturierung und Organisation von Dateien, die Bewegungsdaten enthalten, können die Vergabe von Zugriffsrechten erleichtern und den Aufwand zu Datensicherung deutlich reduzieren. 67 - Das Verhalten bei Auftreten eines Computer-Virus auf einem PC Hier soll den Mitarbeitern vermittelt werden, wie mit Computer-Viren umzugehen ist. Mögliche Inhalte dieser Schulung sind (siehe M 6.23 Verhaltensregeln bei Auftreten eines Computer-Virus): o o o o o Erkennen des Computer-Virusbefalls Wirkungsweise und Arten von Computer-Viren Sofortmaßnahmen im Verdachtsfall Maßnahmen zur Eliminierung des Computer-Virus Vorbeugende Maßnahmen - Der richtige Einsatz von Passwörtern Hierbei sollen die Bedeutung des Passwortes für die IT-Sicherheit sowie die Randbedingungen erläutert werden, die einen wirksamen Einsatz eines Passwortes erst ermöglichen (vgl. auch M 2.11 Regelung des Passwortgebrauchs). - Die Bedeutung der Datensicherung und deren Durchführung Die regelmäßige Datensicherung ist eine der wichtigsten IT-Sicherheitsmaßnahmen in jedem IT- System. Vermittelt werden soll das Datensicherungskonzept (s. Kapitel 3.4 Datensicherungskonzept) der Behörde bzw. des Unternehmens und die von jedem einzelnen durchzuführenden Datensicherungsaufgaben. Besonders bedeutend ist dies für den PCBereich, in dem jeder Benutzer selbst die Datensicherung verantwortlich durchführen muss. - Der Umgang mit personenbezogenen Daten An den Umgang mit personenbezogene Daten sind besondere Anforderungen zu stellen. Mitarbeiter, die mit personenbezogenen Daten (sowohl in IT-Systemen als auch in Akten) arbeiten müssen, sind für die gesetzlich erforderlichen Sicherheitsmaßnahmen zu schulen. Dies betrifft den Umgang mit Auskunftsersuchen, Änderungs- und Verbesserungswünschen der Betroffenen, gesetzlich vorgeschriebene Löschfristen, Schutz der Vertraulichkeit und die Übermittlung der Daten. - Die Einweisung in Notfallmaßnahmen Sämtliche Mitarbeiter (auch nicht unmittelbar mit IT befaßte Personen wie Pförtnerdienst oder Wachpersonal) sind in bestehende Notfallmaßnahmen einzuweisen. Dazu gehört die Erläuterung der Fluchtwege, die Verhaltensweisen bei Feuer, der Umgang mit Feuerlöschern, das Notfall-Meldesystem (wer als erstes wie zu benachrichtigen ist) und der Umgang mit dem Notfall-Handbuch. - Vorbeugung gegen Social Engineering Die Mitarbeiter sollen auf die Gefahren des Social Engineering hingewiesen werden. Die typischen Muster solcher Versuche, über gezieltes Aushorchen an vertrauliche Informationen zu gelangen, ebenso wie die Methoden, sich dagegen zu schützen, sollten bekannt gegeben 68 werden. Da Social Engineering oft mit der Vorspiegelung einer falschen Identität einhergeht, sollten Mitarbeiter regelmäßig darauf hingewiesen werden, die Identität von Gesprächspartnern zu überprüfen und insbesondere am Telefon keine vertraulichen Informationen weiterzugeben. Bei der Durchführung von Schulungen sollte immer beachtet werden, dass es nicht reicht, einen Mitarbeiter einmal während seines gesamten Arbeitsverhältnisses zu schulen. Für nahezu alle Formen von Schulungen, insbesondere Front-Desk-Schulungen, gilt, dass sehr viele neue Informationen auf die Teilnehmer einstürzen. Diese gelangen nur zu einem kleinen Teil ins Langzeitgedächtnis, 80% sind meist schon bei Schulungsende wieder vergessen. Daher sollten Mitarbeiter immer wieder zu Themen der IT-Sicherheit geschult bzw. sensibilisiert werden. Dies kann beispielsweise in kürzeren Veranstaltungen zu aktuellen IT-Sicherheitsthemen, im Rahmen regelmäßiger Veranstaltungen wie Abteilungsbesprechungen, oder durch interaktive Schulungsprogramme, die allen Mitarbeitern zur verfügung stehen, erfolgen. 4.2.3 Einführung in kryptographische Grundbegriffe Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Leiter IT Der Einsatz von Kryptoprodukten kann für die Benutzer zusätzlichen Aufwand bedeuten oder - je nach Komplexität der eingesetzten Produkte - sogar vertiefte Kenntnisse erfordern. Daher sollten alle Mitarbeiter, die kryptographische Verfahren und Produkte einsetzen sollen, für den Nutzen und die Notwendigkeit der kryptographischen Verfahren sensibilisiert werden und eine Einführung in kryptographische Grundbegriffe erhalten. Dies gilt natürlich insbesondere für diejenigen, die ein Kryptokonzept erstellen, Kryptoprodukte auswählen, installieren oder betreuen sollen. Der folgende Text soll ein elementares Verständnis der grundlegenden kryptographischen Mechanismen vermitteln. Nachfolgend wird an Beispielen erläutert, in welcher Situation welche kryptographische Technik eingesetzt werden kann. Elemente der Kryptographie Mathematische Methoden und Techniken, die zum Schutz von Information gegen unbefugte Kenntnisnahme und/oder absichtliche Manipulation dienen können, nennt man kryptographisch. Der Schutz der Information durch kryptographische Methoden ist - im Unterschied zu infrastrukturellen und technischen Sicherungsmaßnahmen - mathematisch-logischer Natur. 69 Bei kryptographischen Verfahren wird ein mathematischer Rechenvorgang - ein Algorithmus - in konkrete Technik umgesetzt. Ihre Wirksamkeit beruht darauf, dass ein potentieller Angreifer ein gewisses mathematisches Problem nicht zu lösen vermag - und zwar nicht wegen mangelnder Fähigkeiten, sondern wegen fehlenden Wissens um ganz bestimmte "Schlüssel"-Informationen. Kryptographische Methoden beziehen sich stets auf folgende Situation: Ein Sender A (dieser wird, wie in der Kryptographie üblich, "Alice" genannt) schickt über einen unsicheren Kanal eine Nachricht an einen Empfänger B (er wird "Bob" genannt). Sender und Empfänger dürfen dabei auch identisch sein, unter einem Kanal ist ein beliebiges Transportmedium zu verstehen. Bei der Verschlüsselung lokaler Daten sind Sender und Empfänger natürlich identisch, unter "Kanal" ist hier das Speichermedium zu verstehen. Kryptographische Grundziele Auf Grund theoretischer und praktischer Erwägungen unterscheidet man vier kryptographische Grundziele: 1. Vertraulichkeit/Geheimhaltung: Keine unbefugte dritte Partei E (sie sei "Eve" genannt) soll an den Inhalt der Nachricht bzw. Datei gelangen. 2. Integrität: Unbefugte Manipulationen an der Nachricht bzw. Datei (z. B. Einfügen, Weglassen, Ersetzung von Teilen) sollen entdeckt werden können. 3. Authentizität: o Identitätsnachweis (Authentisierung von Kommunikationspartnern): Eine Kommunikationspartei (z. B. Person, Organisation, IT-System) soll einer anderen ihre Identität zweifelsfrei beweisen können. o Herkunftsnachweis (Nachrichtenauthentisierung): A soll B beweisen können, dass eine Nachricht von ihr stammt und nicht verändert wurde. 4. Nichtabstreitbarkeit (Verbindlichkeit, non repudiation): Hier liegt der Schwerpunkt verglichen mit der Nachrichtenauthentisierung auf der Nachweisbarkeit gegenüber Dritten. o Nichtabstreitbarkeit der Herkunft: Es soll A unmöglich sein, das Absenden einer bestimmten Nachricht an B nachträglich zu bestreiten. o Nichtabstreitbarkeit des Erhalts: Es soll B unmöglich sein, den Erhalt einer von A gesendeten Nachricht nachträglich zu bestreiten. Es ist klar, dass zwischen diesen Zielen Beziehungen bestehen, aber eine wesentliche Einsicht der modernen Kryptographie ist folgende: Die Gewährleistung von Vertraulichkeit bzw. von Authentizität sind unabhängige Grundziele eines kryptographischen Systems: Authentisierung beschränkt den Kreis der möglichen Sender einer Nachricht, Geheimhaltung den der möglichen Empfänger. Die grundlegende kryptographische Methode zur Wahrung von Vertraulichkeit ist Verschlüsselung, die grundlegenden Methoden zur Gewährleistung von Integrität, Authentizität und Nichtabstreitbarkeit sind Hashfunktionen, Message Authentication Codes (MACs), digitale Signaturen und kryptographische Protokolle. Die einzelnen kryptographischen Konzepte werden im folgenden kurz vorgestellt. 70 I. Verschlüsselung Verschlüsselung (Chiffrieren) transformiert einen Klartext in Abhängigkeit von einer Zusatzinformation, die "Schlüssel" genannt wird, in einen zugehörigen Geheimtext (Chiffrat), der für diejenigen, die den Schlüssel nicht kennen, nicht entzifferbar sein soll. Die Umkehrtransformation die Zurückgewinnung des Klartextes aus dem Geheimtext - wird Entschlüsselung genannt. In allen modernen Verschlüsselungsalgorithmen sind Klartexte, Geheimtexte und Schlüssel jeweils als Folgen von Bits gegeben. Um praktisch einsetzbar zu Mindestanforderungen erfüllen: sein, müssen Verschlüsselungsalgorithmen folgende Sie sollten entzifferungsresistent sein, d. h. ohne Kenntnis des Schlüssels darf das Chiffrat nicht entschlüsselt werden können, insbesondere muss hierfür die Menge der möglichen Schlüssel "ausreichend groß" sein, da sonst ein einfaches Ausprobieren aller Schlüssel möglich wäre, sie müssen einfach einzusetzen sein, und Ver-/Entschlüsselung müssen "schnell genug" sein. Die Forderung nach Entzifferungsresistenz ist immer relativ zu den aktuellen technischen und mathematischen Möglichkeiten zu betrachten. Wichtig bei der Bewertung von Verschlüsselungsalgorithmen ist, dass es zum Nutzungszeitpunkt praktisch nicht möglich sein darf, das Chiffrat ohne Kenntnis des Schlüssels zu entschlüsseln, d. h. nicht mit der dann verfügbaren Technik innerhalb eines akzeptablen Zeitrahmens. Wenn A und B eine vertrauliche Verbindung einrichten wollen, gehen sie wie folgt vor: 1. 2. 3. 4. sie vereinbaren ein Chiffrierverfahren, sie vereinbaren einen Schlüssel bzw. ein Schlüsselpaar, A verschlüsselt eine Nachricht und sendet diese an B, B entschlüsselt das von A gesendete Chiffrat. Es gibt zwei große Klassen von Chiffrierverfahren: Symmetrische Verschlüsselungsverfahren benutzen denselben Schlüssel sowohl für die Ver- als auch für die Entschlüsselung. Symmetrische Verfahren werden deshalb gelegentlich auch als "einSchlüssel"-Verfahren bezeichnet, da die Kenntnis eines Schlüssels ausreicht, um chiffrieren und dechiffrieren zu können. Bekannte symmetrische Verschlüsselungsverfahren sind z. B. DES, Tripel-DES, IDEA oder RC5. Bei symmetrischen Verfahren unterscheidet man weiter zwischen Stromchiffren und Blockchiffren. Bei Stromchiffren wird unter Verwendung des Schlüssels eine möglichst zufällig aussehende Bitfolge (ein Bitstrom) generiert, die auf die Klarbitfolge (modulo 2) aufaddiert wird. Die Klarbitfolge wird also 71 Bit für Bit (durch Addition von Schlüsselstrombits) verschlüsselt. Für die Sicherheit von Stromchiffren ist wesentlich, dass niemals zwei (verschiedene) Nachrichten mit demselben Schlüsselstrom verschlüsselt werden - dafür muss mit speziellen Maßnahmen (Synchronisierinformation in Form eines Spruchschlüssels) gesorgt werden. Beispiele für Stromchiffren sind RC4 und SEAL. Bei Blockchiffren dagegen wird in einem Verschlüsselungstakt jeweils ein ganzer Block von Bits verschlüsselt, heutzutage sind dies in der Regel 64 Bits. Die meisten symmetrischen Verschlüsselungsverfahren sind Blockchiffren, dazu gehören auch DES, IDEA oder RC5. Für Blockchiffren sind eine Reihe von Betriebsarten (Modi) definiert (und standardisiert). Es sind dies der ECB (Electronic Code Book)-Modus, bei dem jeder Block für sich - unabhängig von den anderen Blöcken - verschlüsselt wird, der CBC (Cipher Block Chaining)-Modus und der CFB (Cipher Feed Back)-Modus, bei diesen Modi wird, nach Wahl eines zusätzlichen Initialisierungsvektors, eine Abhängigkeit der Chiffretextblöcke von allen vorhergehenden Chiffretextblöcken hergestellt, sowie der OFB (Output Feedback Modus), dieser Modus kann so aufgefaßt werden, dass die verwendete Blockchiffre zur Generierung eines "Blockstroms" verwendet wird, der auf die Klarblöcke bitweise (modulo 2) aufaddiert wird. Beim Einsatz symmetrischer Verfahren ist generell zu beachten, dass ein Schlüsselaustausch zwischen den Kommunikationspartnern vorausgegangen sein muss. Dieser muss über einen sicheren Kanal (z. B. Kurier, persönliche Übergabe) erfolgen und beide Parteien müssen anschließend den Schlüssel geheimhalten. Es gibt verschiedene Verfahren für einen sicheren Schlüsselaustausch. In geschlossenen Systemen ist der Schlüsselaustausch im allgemeinen unproblematisch zu realisieren, da hier meist "sichere Kanäle" vorhanden sind. In offenen Systemen mit einer Vielzahl von Kommunikationspartnern gestaltet sich dies schwieriger. Generell besteht jedoch das Problem, dass bei einer Vielzahl möglicher Kommunikationspartner entsprechend viele Schlüssel vor der eigentlichen Kommunikation ausgetauscht werden müssen und dass dabei die potentiellen Kommunikationspartner vorab bekannt sein müssen. 72 Asymmetrische (Public Key)-Chiffrierverfahren dagegen benutzen zwei verschiedene (aber mathematisch verwandte) Schlüssel: einen "öffentlichen" Schlüssel (Public Key) für die Verschlüsselung, und einen "privaten" Schlüssel (Private Key) für die Entschlüsselung. Das Schlüsselpaar muss dabei folgende Eigenschaft aufweisen: für alle, die lediglich den "Public Key" kennen, muss es praktisch unmöglich sein, den zugehörigen "Private Key" zu bestimmen oder eine mit dem "Public Key" verschlüsselte Nachricht zu entschlüsseln. Asymmetrische Verschlüsselung hat also eine "Einbahn"-Eigenschaft: eine Nachricht kann nicht wiederhergestellt werden, wenn der "Private Key" vergessen oder gelöscht wurde. Die Bezeichnung "Public Key"-Verschlüsselung rührt daher, dass der "Public Key" öffentlich bekannt gemacht werden kann, ohne die Sicherheit des Verfahrens zu kompromittieren. Der "Private Key" hingegen muss geheim gehalten werden. Will nun Alice eine Nachricht verschlüsselt an Bob senden, so holt sich Alice den öffentlichen Schlüssel Bobs aus einer frei zugänglichen Datei und verschlüsselt damit die Nachricht. Nach Erhalt der Nachricht benutzt Bob seinen geheimen Schlüssel, um die von Alice erhaltene Nachricht zu entschlüsseln. Wenn Alice und Bob ein asymmetrisches Verfahren zum Zweck der Vertraulichkeit verwenden, benötigen sie also keinen sicheren Kanal für den Schlüsselaustausch, aber Alice muss sicher sein, dass sie tatsächlich Bobs öffentlichen Schlüssel benutzt und keinen Schlüssel, der ihr als Bobs Schlüssel untergeschoben wurde. Würde Alice eine Nachricht mit einem untergeschobenen Schlüssel verschlüsseln, so könnte der Täter, dem ja der passende geheime Schlüssel bekannt ist, die Nachricht entschlüsseln. Der Sender benötigt in der Regel die Bestätigung einer vertrauenswürdigen dritten Partei, dass der öffentliche Schlüssel des Empfängers wirklich zu diesem gehört. Diese Bestätigung, das "Zertifikat", wird im allgemeinen auch durch ein kryptographisches Verfahren erzeugt und dem öffentlichen Schlüssel beigefügt. Zwei bekannte asymmetrische Verschlüsselungsverfahren sind das RSA-Verfahren (benannt nach den Erfindern Rivest, Shamir, Adleman) und die Klasse der Elgamal-Verfahren. Zu letzteren gehören auch die auf Elliptischen Kurven basierenden Verschlüsselungsverfahren. Symmetrische und asymmetrische Chiffrierverfahren haben z. T. sich ergänzende Vor- und Nachteile: Vorteile (guter) symmetrischer Verfahren: Sie sind schnell, d. h. sie haben einen hohen Datendurchsatz. Die Sicherheit ist im wesentlichen durch die Schlüssellänge festgelegt, d. h. bei guten symmetrischen Verfahren sollte es keine Attacken geben, die wesentlich besser sind als das Durchprobieren aller Schlüssel (Brute-Force-Attacken). Sie bieten hohe Sicherheit bei relativ kurzem Schlüssel. Die Schlüsselerzeugung ist einfach, da gewöhnlich als Schlüssel jede Bitfolge einer festen Länge erlaubt ist und als Schlüssel eine Zufallszahl gewählt werden kann. Nachteile symmetrischer Verfahren: 73 Jeder Teilnehmer muss sämtliche Schlüssel seiner Kommunikationspartner geheimhalten. Zur Schlüsselverteilung sind sie weniger gut geeignet als asymmetrische Verfahren, insbesondere bei einer großen Anzahl von Kommunikationspartnern. Für Verbindlichkeitszwecke sind sie weniger praktikabel als asymmetrische Verfahren, da bei der Verwendung symmetrischer Schlüssel nicht ohne weiteres erkannt werden kann, welcher der beiden Kommunikationspartner die Nachricht verschlüsselt hat. Dies läßt sich nur durch eine zwischengeschaltete dritte Partei sicherstellen, die über entsprechende kryptographische Protokolle in den Nachrichtenfluss eingebunden wird. Vorteile (guter) asymmetrischer Verfahren: Jeder Teilnehmer einer vertraulichen Kommunikation muss nur seinen eigenen privaten Schlüssel geheimhalten. Sie lassen sich einfach für digitale Signaturen benutzen. Sie bieten elegante Lösungen für die Schlüsselverteilung in Netzen, da die öffentlichen Schlüssel bzw. Schlüsselzertifikate frei zugänglich auf zentralen Servern gespeichert werden können, ohne die Sicherheit des Verfahrens zu beeinträchtigen. Sie sind gut geeignet für Nicht-Abstreitbarkeitszwecke. Nachteile asymmetrischer Verfahren: Sie sind langsam, d. h. sie haben im allgemeinen einen geringen Datendurchsatz. Sicherheit: für alle bekannten Public-Key-Verfahren gilt: o o Es gibt wesentlich bessere Attacken als das Durchprobieren aller Schlüssel, deshalb werden (im Vergleich zu symmetrischen Verfahren) relativ lange Schlüssel benötigt, um ein gleich hohes Maß an Sicherheit zu erreichen. Die Sicherheit beruht "nur" auf der vermuteten, aber von der Fachwelt anerkannten, algorithmischen Schwierigkeit eines mathematischen Problems (zum Beispiel die Zerlegung einer großen Zahl in die Primfaktoren). Die Schlüsselerzeugung ist i. allg. komplex und aufwendig, da die Erzeugung "schwacher" Schlüsselpaare vermieden werden muss. Hybride Verfahren versuchen, die Vorteile beider Arten von Verschlüsselung zu kombinieren: sie benutzen asymmetrische Verschlüsselung, um einen Sitzungsschlüssel ("Sessionkey") für ein symmetrisches Verfahren zu übermitteln, und verschlüsseln die Massendaten mit dem symmetrischen Verfahren. Der Sessionkey wird gewöhnlich nur für eine Sitzung (Übertragung) verwendet und dann vernichtet. Das asymmetrische Schlüsselpaar wird je nach Umständen für einen langen Zeitraum verwendet. II. Integritätsschutz Das Ziel des Integritätsschutzes ist es, dass ein Empfänger einer Nachricht feststellen kann, ob er diese Nachricht unverfälscht erhalten hat. Das Grundprinzip des Integritätsschutzes besteht darin, 74 die Nachricht unverschlüsselt und unverändert zu übersenden, gleichzeitig aber bestimmte Kontrollinformationen mitzuschicken, die die Kontrolle auf Unverfälschtheit der eigentlichen Nachricht ermöglichen. Voraussetzung dazu ist allerdings, dass der Empfänger die Kontrolldaten unmanipuliert erhält. Für diese Kontrolldaten stellen sich damit folgende Bedingungen: Der Umfang der Kontrollinformationen muss möglichst gering sein, um die zusätzlich zu übertragenden Informationen zu minimieren. Praktisch jede Manipulation, auch nur eines einzelnen Bits der Nachricht muss anhand der Kontrollinformationen feststellbar sein. Die Kontrollinformationen müssen unmanipulierbar übertragen bzw. Manipulationen müssen entdeckt werden können. Zur Berechnung der Kontrollinformationen werden typischerweise zwei Verfahren verwendet: Hashfunktionen und Message Authentication Codes. Eine (Einweg-) Hashfunktion ist eine Datentransformation mit folgenden Eigenschaften: Kompressionseigenschaft: Beliebig lange Bitfolgen werden auf Bitfolgen fester, i. allg. kürzerer Länge abgebildet (typischerweise 128 - 160 Bit). "Einweg"-Eigenschaft: Es muss "praktisch unmöglich" sein, zu einem vorgegebenen Hashwert eine Nachricht zu finden, deren Hashwert der vorgegebene Hashwert ist. Kollisionswiderstand: Es muss "praktisch unmöglich" sein, zwei Nachrichten zu finden, die zum gleichen Hashwert führen. Mit Hilfe einer beiden Kommunikationspartnern bekannten Hashfunktion können A und B die Integrität einer Nachricht überprüfen: Alice hasht ihre Nachricht, und übermittelt diese und den Hashwert so an Bob, dass die Unverfälschtheit des Hashwertes gewährleistet ist. Bob hasht die empfangene Nachricht ebenfalls und vergleicht sein Ergebnis mit dem von Alice gelieferten Hashwert. Stimmen beide Werte überein, so kann er davon ausgehen, dass kein Bit der Nachricht verändert wurde. Ein Message Authentication Code (MAC)ist eine kryptographische Checksumme zur Nachrichtensicherung, also eine Datentransformation, bei der zusätzlich ein geheimer Schlüssel in die Berechnung eingeht, mit folgenden Eigenschaften: Kompressionseigenschaft: Beliebig lange Bitfolgen werden auf Bitfolgen fester, i. allg. kürzerer Länge abgebildet. Fälschungssicherheit: Für jeden, der nicht im Besitz des Schlüssels ist, muss es "praktisch unmöglich" sein, den MAC-Wert einer neuen Nachricht zu berechnen, selbst wenn er in den Besitz einiger alter Nachrichten mit den zugehörigen MAC-Werten gelangt ist. Besitzen Alice und Bob einen MAC und einen gemeinsamen, geheimen MAC-Schlüssel, so authentisiert Alice ihre Nachricht einfach dadurch, dass sie den MAC-Wert der Nachricht berechnet und zusammen mit der Nachricht an Bob schickt. Bob berechnet seinerseits den MAC-Wert der empfangenen Nachricht mit dem auch ihm bekannten MAC-Schlüssel. Stimmt dieser mit Alices Wert 75 überein, so kann er davon ausgehen, dass die Nachricht authentisch ist (d. h. dass sie nicht verändert wurde und wirklich von Alice stammt). Alice hat also ihre Nachricht durch Verwendung des nur ihr und Bob bekannten Schlüssels gegenüber Bob authentisiert. MACs werden häufig auf Basis symmetrischer Chiffrierverfahren konstruiert. Die bekannteste Variante ist hierbei die Verschlüsselung einer Nachricht mit DES oder einem anderem BlockChiffrierverfahren im CBC- oder CFB-Mode. Dabei wird als MAC der letzte verschlüsselte Block an die Nachricht angehängt. Daneben gibt es aber auch MACs, die nicht auf Chiffrierverfahren beruhen. Der MAC-Wert einer Nachricht kann als fälschungssichere, schlüsselabhängige, kryptographische Checksumme dieser Nachricht angesehen werden. Die Anwendung von MACs zum Zweck der Authentisierung erfordert, dass beide Parteien den geheimen Authentisierungsschlüssel zuverlässig schützen. Als Nebeneffekt des Integritätsschutzes kann mit oben skizzierten Verfahren gleichzeitig vom Empfänger der Nachricht nachgeprüft werden, dass die als unmanipuliert verifizierte Nachricht nur vom tatsächlich bekannten Sender verschickt werden konnte. Dieser Schluß läßt sich ziehen, da nur dieser Sender die notwendigen Schlüssel zur Verschlüsselung bzw. Ermittlung der Kontrollinformationen besitzt. III. Authentizitätsnachweise Bei der Authentisierung von Benutzern gegenüber Kommunikationspartnern/IT-Systemen bzw. Clients gegenüber Servern sollen illegitime Zugriffe erkannt und abgewehrt werden, legitime Zugriffe erlaubt werden und sensible Daten auch bei Übertragungen über Netze geschützt bleiben. Dazu sind Verfahren erforderlich, die allen Beteiligten die Feststellung der Identität ihrer Kommunikationspartner unmißverständlich erlauben. Dies schließt einen Zeitaspekt ein: Alice will Bob in "real time" davon überzeugen, dass tatsächlich sie mit ihm kommuniziert. Die Haupttechniken für solche Authentisierungen sind kryptographische Challenge-Response-Protokolle. Hierbei sendet Bob Daten an Alice und fordert sie auf (Challenge), ihm den Besitz eines Geheimnisses (also einer Schlüsselinformation) nachzuweisen, und Alice demonstriert ihm diesen Besitz ohne das Geheimnis selbst preiszugeben, indem sie eine vom Geheimnis und seiner Challenge abhängige Antwort sendet (Response). Bob wiederum überprüft anhand der Antwort, dass zur Berechnung der Antwort wirklich das korrekte Geheimnis verwendet wurde. Für eine "starke" Authentisierung dürfen sich die Challenges nicht wiederholen. Bei ChallengeResponse-Verfahren können sowohl symmetrische als auch asymmetrische Techniken verwendet werden. Beispiel: Alice und Bob verständigen sich vorab auf ein symmetrisches Verschlüsselungsverfahren und einen gemeinsamen kryptographischen Schlüssel. Zur Authentisierung sendet Bob eine 76 Zufallszahl als Challenge an Alice. Alice wiederum verschlüsselt diese Zufallszahl mit dem gemeinsamen geheimen Schlüssel und sendet das Ergebnis zurück an Bob. Im nächsten Schritt entschlüsselt Bob die Nachricht und vergleicht, ob das Ergebnis seine anfangs gewählte Zufallszahl ist. Bei Gleichheit ist es tatsächlich Alice, da nur sie den geheimen Schlüssel kennt. IV. Digitale Signatur Das kryptographische Konstrukt einer digitalen Signatur dient dem Ziel, für digitale Dateien und Nachrichten ein Pendant zur handschriftlichen Unterschrift einsetzen zu können. Dazu werden einige der schon erläuterten kryptographischen Verfahren wie Hashfunktionen und asymmetrische Verfahren zusammengeführt. Die wesentliche Voraussetzung für digitale Signaturen ist, dass jeder Teilnehmer ein nur ihm bekanntes Geheimnis besitzt, mit dem er zu beliebigen Dateien eine digitale Signatur bilden kann. Anhand von öffentlichen Informationen muss es dann möglich sein, diese digitale Signatur zu überprüfen. In diesem Sinne ist eine digitale Signatur ein spezieller Integritätsschutz mit zusätzlichen Besonderheiten. Eine digitale Signatur ist eine Kontrollinformation, die an eine Nachricht oder Datei angehängt wird, mit der folgende Eigenschaften verbunden sind: Anhand einer digitalen Signatur kann eindeutig festgestellt werden, wer diese erzeugt hat, und es ist authentisch überprüfbar, ob die Datei, an die die digitale Signatur angehängt wurde, identisch ist mit der Datei, die tatsächlich signiert wurde. Kann also anhand der öffentlich zugänglichen Informationen die digitale Signatur verifiziert werden, so ist einerseits die Integrität der signierten Datei gegeben und andererseits die Nichtabstreitbarkeit, da nur die Person, der die digitale Signatur eindeutig zugeordnet werden kann, diese Signatur anhand ihrer geheimen Informationen gebildet haben kann. Zu beachten ist, dass unterschiedliche Dateien auch unterschiedliche digitale Signaturen zur Folge haben und das geringste Änderungen an den Dateien zu nicht verifizierbaren Signaturen führen. Beispiel: Ein weitverbreitetes Verfahren für digitale Signaturen ist die umgekehrte Anwendung des RSA-Verfahrens. Dabei besitzt jeder Teilnehmer einen nur ihm bekannten geheimen Signierschlüssel. Öffentlich zugänglich sind Verifizierschlüssel-Zertifikate, in denen der passende öffentliche Schlüssel und die Angaben zum Besitzer des passenden geheimen Signierschlüssels unfälschbar miteinander verknüpft sind. Diese Zertifikate werden von vertrauenswürdigen Stellen herausgegeben, die zuvor die Personalien der Teilnehmer geprüft haben. Um für eine beliebige Datei eine digitale Signatur zu berechnen und zu prüfen, wird nun wie folgt vorgegangen: 1. Schritt: Alice berechnet den Hashwert der ausgewählten Datei. 2. Schritt: Alice verschlüsselt diesen Hashwert mit dem nur ihr bekannten geheimen Signierschlüssel. Das Ergebnis ist die digitale Signatur von Alice zu dieser Datei. 77 3. Schritt: Alice überträgt die digitale Signatur gemeinsam mit dem Verifizierschlüssel-Zertifikat und der Datei an Bob. 4. Schritt: Bob verifiziert das Zertifikat (z. B. mit dem öffentlichen Schlüssel einer Zertifizierungsstelle). 5. Schritt: Bob berechnet den Hashwert der erhaltenen Datei. 6. Schritt: Anhand des im Verifizierschlüssel-Zertifikat enthaltenen öffentlichen Verifizierschlüssels entschlüsselt Bob die digitale Signatur. 7. Schritt: Bob vergleicht den in Schritt 4 berechneten Hashwert und die entschlüsselte Signatur. Sind sie identisch, so ist die digitale Signatur verifiziert. Besteht keine Gleichheit, kann Bob keine weiteren Schlüsse ziehen. 8. Schritt:Nach der Verifikation der digitalen Signatur kann Bob als Ergebnisse festhalten: o o Falls sichergestellt ist, dass tatsächlich nur Alice den geheimen Schlüssel besitzt, kann Bob sicher sein, dass die digitale Signatur von Alice, die im VerifizierschlüsselZertifikat aufgeführt ist, erzeugt wurde. Die erhaltene Datei ist identisch mit der Datei, für die Alice die digitale Signatur berechnet hat. Betont sei, dass digitale Signaturen ausschließlich die Ziele Integrität und Nichtabstreitbarkeit sicherstellen, jedoch in keiner Weise die Vertraulichkeit. Eine digital signierte Nachricht wird im Klartext übertragen, ist sie vertraulich, muss sie zusätzlich verschlüsselt werden. Enthält eine digital signierte Datei eine Willenserklärung des Signierers, kann dann anhand der Signatur diese Willenserklärung unabstreitbar dem Signierer, ggf. auch vor Gericht, zugerechnet werden. Die verwendeten Verifizierschlüssel-Zertifikate wiederum sind selbst von der vertrauenswürdigen Stelle digital signierte Dateien, die analog überprüft werden können und die Auskunft geben über den Verifizierschlüssel und die Person, die den dazu passenden geheimen Signierschlüssel besitzt. Man beachte die Unterschiede zwischen MACs und digitalen Signaturen: Die digitale Signatur kann durch jeden, der das Verifizierschlüssel-Zertifikat besitzt, verifiziert werden, MACs dagegen nur durch die Parteien, die den geheimen Authentisierungsschlüssel kennen. Alices digitale Signatur einer Nachricht kann nur von Alice erstellt werden, der MAC-Wert einer Nachricht dagegen von beiden Parteien, Alice und Bob (und allen anderen, die den geheimen Authentisierungsschlüssel kennen). Es ist deshalb unmöglich, MACs für den Zweck der Verbindlichkeit einzusetzen. 78 Mit Artikel 3 des Informations- und Kommunikationsdienste-Gesetzes (Bundesgesetzblatt 1879, Teil 1, 1997) ist für die Bundesrepublik Deutschland ein Gesetz zur digitalen Signatur in Kraft getreten. Dieses regelt, welche Sicherheitsanforderungen die technischen Komponenten, die für digitale Signaturen eingesetzt werden, erfüllen müssen und welche Aufgaben Zertifizierungsstellen, die Verifizierschlüssel-Zertifikate ausstellen, haben. Darüber hinaus wird geregelt, wie die erforderliche Sicherheit der Komponenten und Zertifizierungsstellen geprüft wird. Im Ergebnis wird digitalen Signaturen nach dem Signaturgesetz auch vor Gericht eine hohe Sicherheit zugebilligt. Schlüsselmanagement Bei jedem Einsatz von Verschlüsselung entsteht die Aufgabe, die Schlüssel angemessen zu verwalten. Es stellt sich die Frage, wie man Erzeugung/Initialisierung, Vereinbarung/Etablierung, Verteilung/Transport, Wechsel/Update, Speicherung, Beglaubigung/Zertifizierung, Rückruf, Wiedergewinnung im Fall von Vernichtung/Verlust, Vernichtung/Löschen, Archivierung und Escrow (treuhänderische Hinterlegung) während des gesamten Lebenszyklus der Schlüssel durchführt. Das Schlüsselmanagement kann und wird sich gewöhnlich auch kryptographischer Techniken bedienen. Es muss für die Gesamtheit der Kryptomodule eines kryptographisch basierten Sicherungssystems durchgeführt werden. Geheime Schlüssel müssen vor unbefugter Aufdeckung, Modifizierung und Ersetzung geschützt werden. Öffentliche Schlüssel müssen vor unbefugter Modifizierung und Ersetzung geschützt werden. Angemessenes Schlüsselmanagement ist die Voraussetzung dafür, dass Information durch kryptographische Methoden überhaupt geschützt werden kann. Schlüsselmanagement benötigt eigens dieser Aufgabe gewidmete Ressourcen! Zertifizierungsstellen Trust Center bzw. Zertifizierungsstellen werden immer dann benötigt, wenn man für eine nicht mehr überschaubare Anzahl von Teilnehmern asymmetrische Kryptoverfahren für die digitale Signatur oder für Verschlüsselung einsetzen will. Solche Verfahren benötigen bei der Signaturbildung bzw. der Verschlüsselung einen anderen Schlüssel als bei der Signaturprüfung bzw. der Entschlüsselung. Dazu wird benutzerbezogen ein Schlüsselpaar korrespondierender Schlüssel erzeugt. Ein Schlüssel, der sogenannte öffentliche Schlüssel, wird öffentlich bekanntgegeben. Der andere Schlüssel, der sogenannte private Schlüssel, ist absolut geheimzuhalten. Mit dem privaten Schlüssel - und nur mit diesem - kann eine digitale Signatur erzeugt bzw. ein Text entschlüsselt und mit dem zugehörigen öffentlichen Schlüssel - und nur mit diesem - verifiziert bzw. verschlüsselt werden. Will man nun die 79 Echtheit der öffentlichen Schlüssel und die sichere Zuordnung der Schlüssel zu Personen sicherstellen, bedarf es der bereits erwähnten Trust Center / Zertifizierungsstellen, die die Zuordnung einer Person zu einem öffentlichen Schlüssel durch ein Zertifikat bestätigen. Innerhalb solcher Zertifizierungsstellen werden typischerweise folgende Aufgaben wahrgenommen: Schlüsselgenerierung: Es sind für die Zertifizierungsstelle und ggf. für Teilnehmer Schlüsselpaare zu generieren. Schlüsselzertifizierung: Die Teilnehmerdaten, der korrespondierende öffentliche Schlüssel und weitere Daten werden zu einem Zertifikat zusammengefaßt und von der Zertifizierungsstelle digital signiert. Personalisierung: Das Zertifikat und ggf. öffentlicher und privater Schlüssel werden auf eine Signaturkomponente (i. a. eine Chipkarte) übertragen. Identifizierung und Registrierung: Die Teilnehmer werden gegen Vorlage eines Ausweispapieres identifiziert und registriert. Verzeichnisdienst: Zertifikate werden in einem öffentlichen Verzeichnis abrufbar gehalten. Darüber hinaus muss der Verzeichnisdienst Auskunft darüber geben, ob ein Zertifikat gesperrt ist oder nicht. Zeitstempeldienst: Für bestimmte Daten kann es notwendig sein, diese mit einem vertrauenswürdigen Zeitpunkt zu verknüpfen. Dazu wird der Zeitpunkt an die Daten angehängt und das Ergebnis vom Zeitstempeldienst digital signiert. Trust Center können außerdem zusätzlich Schlüsselaufbewahrung als Dienstleistung anbieten, wenn die kryptographischen Schlüssel für Verschlüsselung eingesetzt werden sollen. Um bei Schlüsselverlust noch auf die verschlüsselten Daten zugreifen zu können, kann dann der Schlüsselbesitzer (und nur dieser) eine Schlüsseldublette erhalten, die im Trust Center geschützt aufbewahrt wird. Schlüsselverteilungszentralen Die Sicherheit symmetrischer Verschlüsselungsverfahren hängt davon ab, ob der gemeinsam benutzte geheime Schlüssel nur den zum Zugriff auf die geschützten Informationen berechtigten Benutzern bekannt ist. Im Falle des Schutzes gespeicherter Daten, auf die nur deren Eigentümer Zugriff haben soll, ist dies relativ einfach zu gewährleisten, da dieser Eigentümer lediglich den Schlüssel so schützen muss, dass Unbefugte nicht darauf zugreifen können. Anders sieht es jedoch aus, wenn Nachrichten, die von einem Sender über ein unsicheres Übertragungsmedium an einen Empfänger zu übermitteln sind, mit einem symmetrischen Verschlüsselungsverfahren geschützt werden sollen. In diesem Fall muss der geheime Schlüssel sowohl beim Sender als auch beim Empfänger vorliegen, d. h. es muss eine Möglichkeit geschützten Informationsaustauschs zwischen den beiden Partnern verfügbar sein. In der Praxis wird dies oft durch die verschlüsselte Verteilung von Kommunikationsschlüsseln durch sogenannte Schlüsselverteilungszentralen (Key Distribution Centers, KDCs) realisiert, wobei ganze Hierarchien voneinander sicherheitstechnisch abhängiger Schlüssel aufgebaut werden. Die hier zum Einsatz kommenden Verfahren sind teilweise sehr komplex und hängen hinsichtlich ihrer Sicherheit von 80 einer Vielzahl von Komponenten ab, insbesondere von der physischen, organisatorischen, personellen und technischen Sicherheit der KDCs und der zur Kommunikation mit den KDCs vereinbarten Schlüssel. Eine Kompromittierung eines geheimen Schlüssels, d. h. sein Bekanntwerden gegenüber einem unberechtigten Dritten, führt zum Verlust der Vertraulichkeit aller Daten, deren Verschlüsselung mit diesem Schlüssel erfolgte bzw. davon abhängt. Dies ist insbesondere dann kritisch, wenn einer der zentralen Schlüssel einer Schlüsselverteilungshierarchie kompromittiert wurde. Einsatz kryptographischer Verfahren Bei sachgemäßem Einsatz sind kryptographische Verfahren hervorragend geeignet, folgende Bedrohungen abzuwehren: Kenntnisnahme von Informationen durch Unbefugte, bewußte Manipulation von Daten durch Unbefugte und Manipulationen an der Urheberschaft von Informationen. Der alleinige Einsatz von Kryptographie reicht allerdings nicht aus, um alle Bedrohungen abzuwehren. Der Einsatz kryptographischer Methoden trägt nichts dazu bei, um die Verfügbarkeit von Daten zu gewährleisten (bei unsachgemäßem Gebrauch von Verschlüsselung droht sogar Datenverlust!). Kryptographische Methoden können gegen Denial-of-Service-Attacken (siehe auch G 5.28 Verhinderung von Diensten) nichts ausrichten. Sie können aber zur frühzeitigen Erkennung solcher Attacken beitragen. Sie helfen auch nicht gegen zufällige Verfälschungen von Informationen (etwa durch "Rauschen"). Sie können Verfälschungen aber nachträglich erkennbar machen. 4.3 Hardware/Software: 4.3.1 Geeignetes Schnittstellendesign bei Kryptomodulen Verantwortlich für Initiierung: IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Sicherheitsmanagement Ein Kryptomodul sollte so beschaffen und konfigurierbar sein, dass der gesamte Informationsfluss von und zu dem Modul oder gar ein unmittelbarer physikalischer Zugriff auf den Datenbestand des Moduls kontrolliert bzw. eingeschränkt werden kann. Je nach Anwendungsfall bzw. Schutzbedarf empfiehlt sich die Verwendung von physikalisch getrennten Ein- und Ausgabeports. In jedem Fall sollten die Modulschnittstellen so aufgebaut sein, dass die einzelnen Datenkanäle logisch voneinander verschieden sind, obwohl sie möglicherweise einen gemeinsamen Ein- oder Ausgangsport teilen. Im Zusammenhang mit dem Schlüsselmanagement des Kryptomoduls muss 81 gewährleistet sein, dass die Ausgabekanäle von der internen Schlüsselgenerierung bzw. dem Eingabeport für die manuelle Schlüsseleingabe zumindest logisch getrennt sind. In vielen Fällen werden zum Anschluss einer externen Versorgungsspannung bzw. eines externen Versorgungstakts und zur ausschließlichen Verwendung von Reparatur- oder Wartungsaufgaben separate Schnittstellen zur Verfügung stehen. Aus der Perspektive des Kryptomoduls ist daher die folgende Aufteilung und Verwendung zweckmäßig: Dateneingabeschnittstelle, die all diejenigen Eingabedaten des Kryptomoduls führt, die im Modul weiterverarbeitet oder bearbeitet werden (z. B. kryptographische Schlüssel, Authentisierungsinformationen, Statusinformationen von anderen Kryptomodulen, Klartextdaten etc.). Datenausgabeschnittstelle, die all diejenigen Daten des Kryptomoduls führt, die vom Modul an dessen Umgebung gelangen sollen (z. B. verschlüsselte Daten, Authentisierungsinformationen, Steuerinformationen für andere Kryptomodule, etc.). Steuereingabeschnittstelle, die sämtliche Steuerbefehle, -signale und -daten zur Ablaufsteuerung und Einstellung der Betriebsweise des Moduls führt. Statusausgabeschnittstelle, die alle Signale, Anzeigen und Daten an die Umgebung abführt, um den inneren Sicherheitszustand des Kryptomoduls anzuzeigen. Und schließlich Maintenance-Schnittstelle, die ausschließlich Wartungs- und/oder Reparaturzwecken dient. Die Dokumentation für eine Kryptokomponente sollte eine Beschreibung sämtlicher Komponenten enthalten (Hard-, Firm- und/oder Software). Ferner sollte die Dokumentation die komplette Spezifikation der Modulschnittstellen beinhalten zuzüglich der physikalischen oder logischen Ports, manuellen oder logischen Steuereinheiten, physikalischen oder logischen Anzeigeelementen sowie deren physikalischen, logischen oder elektrischen Eigenschaften. Wenn eine Kryptokomponente eine Maintenance-Schnittstelle enthält, sollte die Dokumentation auch die vollständige Spezifikation der durchzuführenden Wartungsprozesse zur Verfügung stellen. Alle physikalischen und logischen Ein- und Ausgabekanäle innerhalb des Moduls müssen explizit offengelegt sein. Neben der konkreten Einbindung der Kryptokomponente in eine vorgesehene Einsatzumgebung ist auch die Bedienung und Benutzung der Kryptokomponente zu beschreiben. Die Dokumentation sollte weiterhin eine Zusammenstellung der Sicherheitsfunktionalität enthalten und womöglich die Abhängigkeit von Hard-, Firm- oder Software aufzeigen, die je nach Konzeption der Kryptokomponente nicht unmittelbar zum Lieferumfang der Kryptokomponente gehören. Die Dokumentation über die Modulschnittstellen sind vom Modulhersteller zur Verfügung zu stellen. Die Dokumentation wird beispielsweise von einem Administrator benötigt, der beabsichtigt, das Kryptomodul in seine Systemumgebung zu integrieren, oder von einem Evaluator, der eine Sicherheitsbeurteilung des Kryptomoduls vornehmen möchte. 82 4.3.2 Sichere Rollenteilung und Konfiguration bei Kryptomodulen Verantwortlich für Initiierung: IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Sicherheitsmanagement Viele kryptographische Sicherheitskomponenten bieten die Möglichkeit, dass mehrere Nutzerrollen sowie die zugehörigen Handlungen, die durch das autorisierte Personal ausgeführt werden können, unterschieden werden können. Abhängig vom Schutzbedarf sind hierzu Zugriffskontroll- und Authentisierungsmechanismen erforderlich, um verifizieren zu können, ob ein Nutzer zur Ausführung des gewünschten Dienstes auch tatsächlich autorisiert ist. In Bezug auf die unterschiedlichen Rollen bietet sich folgende Unterteilung an: Benutzerrolle, der die Benutzung und Verwendung der Sicherheitskomponente obliegt (z. B. Endteilnehmer, Benutzer). Operatorrolle, die für die Installation und das Kryptomanagement verantwortlich ist (z. B. Sicherheitsadministrator). Und zumindest eine Maintenance-Rolle, die für Wartungs- und Reparaturarbeiten zuständig ist (z. B. Wartungstechniker, Revisor). Bei Kryptokomponenten, bei denen die Benutzer- und die Administratorrolle getrennt werden kann, sollte diese Möglichkeit auch genutzt werden und durch die Administration Grundeinstellungen vorgegeben werden, wie z. B. Paßwortlänge oder Schlüssellänge, so dass die Benutzer nicht aus Bequemlichkeit oder Unkenntnis unsichere Einstellungen wählen können. Neben den unterschiedlichen Rollen gilt es entsprechend auch die verschiedenen Handlungen bzw. die von der Sicherheitskomponente bereitgestellten Dienste zu unterscheiden. Ein Kryptomodul sollte zumindest folgende Dienste zur Verfügung stellen: Statusanzeige zur Ausgabe des momentanen Status der Kryptokomponente, Selbsttest zur Initialisierung und Durchführung von selbständigen Selbsttests, Bypass zur Aktivierung und Deaktivierung eines Bypass mittels dessen durch das Kryptomodul Klarinformationen bzw. ungesicherte Daten transportiert werden. Zur erforderlichen Authentisierung des Personals gegenüber der Sicherheitskomponente bieten sich eine Vielzahl von unterschiedlichen Techniken an: Paßwort, PIN, kryptographische Schlüssel, biometrische Merkmale etc. Die Kryptokomponente sollte so konfiguriert sein, dass bei jedem Rollenwechsel oder bei Inaktivität nach einer bestimmten Zeitdauer die Authentisierungsinformationen erneut eingegeben werden müssen. Ferner empfiehlt sich an dieser Stelle eine Beschränkung der Authentisierungsversuche (z. B. indem der Fehlbedienungszähler auf 3 gesetzt wird). 83 4.3.3 Physikalische Sicherheit von Kryptomodulen Verantwortlich für Initiierung: IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Sicherheitsmanagement Wie in M 2.165 Auswahl eines geeigneten kryptographischen Produktes beschrieben, können Kryptomodule in Software, Firmware oder Hardware realisiert sein. Firmware- bzw. HardwareProdukte werden insbesondere dann gewählt, wenn das Kryptomodul besonders manipulationsresistent sein soll. Unter diesem Gesichtspunkt sollte das Kryptomodul unter Verwendung von physikalischen Sicherheitsmaßnahmen oder unter Ausnutzung entsprechender Materialeigenschaften so konstruiert sein, dass ein unautorisierter physikalischer Zugriff auf Modulinhalte erfolgreich verhindert werden kann. Dies soll möglichen technischen Manipulationen oder sonstigen Beeinträchtigungen im laufenden Betrieb vorbeugen. In Abhängigkeit von der Sicherheitsstufe des Kryptomoduls sind hierzu beispielsweise die Verwendung von Passivierungsmaterialien, geeignete Tamperschutzmaßnahmen oder mechanische Schlösser in Betracht zu ziehen. Eine automatische Notlöschung, die eine aktive Löschung oder die Vernichtung aller im Klartext enthaltenen sensitiven Schlüsseldaten und parameter bewerkstelligen kann, innerhalb des Kryptomoduls nach identifizierten Angriffsversuchen, zählt ebenfalls in diese Maßnahmenkategorie. Mit dem Einsatz von diversen Sensoren und Überwachungseinrichtungen läßt sich sicherstellen, dass das Kryptomodul - was Spannungsversorgung, Taktung, Temperatur, mechanische Beanspruchung, elektromagnetische Beeinträchtigung etc. anbelangt - in seinem vorgesehenen Arbeitsbereich betrieben wird. Zur Aufrechterhaltung seiner beabsichtigten Funktionalität sollte das Kryptomodul Selbsttests initiieren und durchführen können. Diese Tests können sich auf folgende Bereiche erstrecken: Algorithmentests, Software und Firmwaretests, Funktionstests, statistische Zufallstests, Konsistenztests, Bedingungstests sowie Schlüsselgenerierungs- und -ladetests. Im Anschluss an ein negatives Testergebnis sollte dem Benutzer des Kryptomoduls eine entsprechende Fehlermeldung signalisiert und ein entsprechender Fehlerzustand eingenommen werden. Erst nach Behebung der Fehlerursache(n) darf eine Freischaltung aus diesem Fehlerzustand möglich sein. Beim Einsatz von Softwareprodukten muss die physikalische Sicherheit des Kryptomoduls durch das jeweilige IT-System bzw. dessen Einsatzumgebung geleistet werden. Sicherheitstechnische Anforderungen an solche IT-Systeme können den systemspezifischen Bausteinen entnommen werden. Eine Softwarelösung sollte Selbsttests durchführen können, um Modifikationen durch Trojanische Pferde oder Coputer-Viren erkennen zu können. 84 4.3.4 Anforderungen an die Betriebssystem-Sicherheit beim Einsatz von Kryptomodulen Verantwortlich für Initiierung: IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Sicherheitsmanagement Beim Einsatz von Kryptomodulen spielt deren Einbindung ins bzw. Abhängigkeit vom jeweiligen Betriebssystem des Hostsystems eine wesentliche Rolle. Das Zusammenwirken von Betriebssystem und Kryptomodul muss gewährleisten, dass das Kryptomodul nicht abgeschaltet oder umgangen werden kann (z. B. durch Manipulation oder Austausch von Treibern), die angewendeten oder gespeicherten Schlüssel nicht kompromittiert werden können (z. B. durch Auslesen von RAM-Bereichen), die zu schützenden Daten nur mit Wissen und unter Kontrolle des Anwenders auch unverschlüsselt auf Datenträgern abgespeichert werden können bzw. das informationsverarbeitende System verlassen (z. B. bei Netzanbindung), Manipulationsversuche am Kryptomodul erkannt werden. Je nach Art des Kryptomoduls (Hardware- oder Software-Realisierung, Einbindungsstrategie in die ITKomponente etc.), den Einsatzbedingungen und dem Schutzbedarf der zu sichernden Daten können sich unterschiedlich starke Anforderungen bzgl. der Betriebssystem-Sicherheit ergeben. Bei in Software realisierten Kryptomodulen ist der Einsatz eines sicheren Betriebssystems besonders wichtig. Kommerzielle PC- Betriebssysteme sind in der Regel derart komplex und kurzen Innovationszyklen unterworfen, dass die Daten- bzw. Systemsicherheit kaum nachweisbar oder beweisbar ist. Eine Ausnahme können proprietäre oder für spezielle Anwendungen optimierte Betriebssysteme bilden (z. B. spezielle Betriebssysteme in Kryptogeräten). Daher ist es beim Einsatz von kryptographischen Produkten auf Standard-Betriebssystemen wie z. B. zur Dateiverschlüsselung oder zur E-Mail-Absicherung wichtig, dass alle Standardsicherheitsmaßnahmen für dieses Betriebssystem umgesetzt sind. Die sicherheitstechnischen Anforderungen an diese IT-Systeme können den jeweiligen systemspezifischen Bausteinen entnommen werden, so etwa für Clients in Kapitel 5, für Server in Kapitel 6. In Hardware realisierte Kryptomodule können so konstruiert sein, dass sie Mängel der Betriebssystem-Sicherheit kompensieren oder vollständig ausräumen. Hier liegt die Verantwortung zur Erfüllung der o. g. Anforderungen allein beim Kryptomodul. Es muss z. B. erkennen können, ob unverschlüsselte Daten berechtigt oder unberechtigt am Modul vorbei auf Datenträger oder andere Geräteschnittstellen geschrieben werden. Der Anwender muss in Übereinstimmung mit der für sein Umfeld individuell erstellten Sicherheitspolitik entscheiden, welche Kombination Betriebssystem / Kryptomodul erforderlich ist. 4.3.5 Abstrahlsicherheit Verantwortlich für Initiierung: IT-Sicherheitsmanagement 85 Verantwortlich für Umsetzung: IT-Sicherheitsmanagement Jedes elektronische Gerät strahlt mehr oder weniger starke elektromagnetische Wellen ab. Diese Abstrahlung ist als Störstrahlung bekannt und ihre maximal zulässige Stärke ist im Gesetz über die elektromagnetische Verträglichkeit von Geräten (EMVG) geregelt. Bei Geräten, die Informationen verarbeiten (PC, Drucker, Fax-Gerät, Modem, etc.) kann diese Störstrahlung auch die gerade verarbeitete Information mit sich führen. Derartige informationstragende Abstrahlung wird bloßstellende Abstrahlung genannt. Wird die bloßstellende Abstrahlung in einiger Entfernung, z. B. in einem Nachbarhaus oder auch in einem in der Nähe abgestellten Fahrzeug empfangen, kann daraus die Information rekonstruiert werden. Die Vertraulichkeit der Daten ist damit in Frage gestellt. Die Grenzwerte des EMVG reichen im allgemeinen nicht aus, um das Abhören der bloßstellenden Abstrahlung zu verhindern. Hierzu müssen in aller Regel zusätzliche Maßnahmen getroffen werden. Bloßstellende Abstrahlung kann einen Raum auf unterschiedliche Weise verlassen: in Form von elektromagnetischen Wellen, die sich wie Rundfunkwellen durch den freien Raum ausbreiten. als leitungsgebundene Abstrahlung entlang metallischer Leiter (Kabel, Klimakanäle, Heizungsrohre). durch Überkoppeln von einem Datenkabel in parallel hierzu verlegte Kabel. Auf dem Parallelkabel breitet sich die Abstrahlung aus und kann von diesem noch in großer Entfernung abgegriffen werden. als akustische Abstrahlung, z. B. bei Druckern. Die Detailinformationen des Druckvorgangs breiten sich über Schall beziehungsweise Ultraschall aus und können mit Mikrofonen aufgenommen werden. in Form von akustischer Überkopplung auf andere Geräte. Die Schallwandlung in elektrische Signale erfolgt dabei durch schallempfindliche Geräteteile, die unter bestimmten Voraussetzungen ähnlich wie ein "Mikrofon" arbeiten können. Die weitere Ausbreitung erfolgt dann entlang metallischer Leiter oder auch in Form elektromagnetischer Raumstrahlung. Bloßstellende Abstrahlung kann auch durch eine äußere Manipulation von Geräten verursacht werden. Wird z. B. ein Gerät mit Hochfrequenzenergie bestrahlt, können die im Gerät ablaufenden elektrischen Vorgänge die eingestrahlten Wellen so beeinflussen, dass diese nun die verarbeitete Information mit sich tragen. In allen Fällen hat die Installation, also die Verkabelung der Geräte untereinander und mit dem Stromversorgungsnetz, einen wesentlichen Einfluss auf die Ausbreitung und damit auch auf die Reichweite der Abstrahlung. Vom BSI wurden und werden verschiedene Schutzmaßnahmen entwickelt, welche die Gefährdung ohne wesentliche Kostensteigerung wirksam reduzieren. Dazu gehören: Zonenmodell 86 Vom BSI wurde ein Zonenmodell entwickelt, welches die Ausbreitungsbedingungen für bloßstellende Abstrahlung bei den jeweiligen Gebäude- und Geländeverhältnissen berücksichtigt. Dabei wird die Abschwächung der Abstrahlung auf ihrem Weg vom verursachenden IT-Gerät zum potentiellen Empfänger meßtechnisch erfaßt. Abhängig von den Gegebenheiten am Einsatzort können gegebenenfalls Geräte eingesetzt werden, an denen nur geringfügige oder gar keine Sonderentstörmaßnahmen durchgeführt wurden. Quellenentstörung Die Quellenentstörung bewährt sich besonders bei der Neuentwicklung von IT-Produkten. Hier wird die bloßstellende Abstrahlung bereits am Entstehungsort innerhalb des Gerätes unterdrückt oder so verändert, dass sie nicht mehr auswertbar ist. Durch diese Methode kann z. B. auch der Einsatz kostengünstiger Kunststoffgehäuse möglich werden, mit vernachlässigbar geringen Auswirkungen auf den Serienpreis. Abstrahlkriterienwerk Ein detailliertes Abstrahlkriterienwerkes dient zur abgestuften Prüfung von IT-Geräten bzw. systemen. Grundgedanke dieses Konzeptes ist es, den Umfang der Schutzmaßnahmen so gut wie möglich an die vom Anwender angenommene Bedrohungslage anzupassen, um so bei minimalem Kostenaufwand ein Optimum an Abstrahlsicherheit zu erzielen. Kurzmeßverfahren Die Erarbeitung von Kurzmeßverfahren und Manipulationsprüfverfahren erlaubt, auch nach Wartung, Reparatur oder möglichen unberechtigten Zugriffen die Abstrahlsicherheit mit möglichst geringem Aufwand sicherzustellen. Einsatz abstrahlarmer bzw. abstrahlgeschützter Geräte Hersteller von PC-Bildschirmen werben häufig mit dem Begriff "abstrahlarm" nach MPR II, TCO oder SSI. Diese Richtlinien berücksichtigen jedoch ausschließlich mögliche gesundheitsschädliche Auswirkungen der Gerätestrahlung. Die Meßverfahren und Grenzwerte für die Strahlung sind daher für den Nachweis bloßstellender Abstrahlung völlig ungeeignet und ermöglichen keine Bewertung der Sicherheit gegen unberechtigtes Mitlesen der Daten über bloßstellende Abstrahlung. Daneben werden aber auch speziell abstrahlgeschützte IT-Systeme angeboten. In diesem Bereich gibt es zahlreiche Abstufungen des angebotenen Abstrahlschutzes. Um insbesondere bei hochschutzbedürftigen IT-Systemen eine Einstufung zu ermöglichen, wurden vom BSI sogenannte TEMPEST-Kriterien (Temporary Emission and Spurious Transmission) entwickelt. Ob ein Hersteller abstrahlgeschützte Geräte gemäß diesen TEMPEST-Kriterien in seinem Lieferprogramm anbietet, sollte durch eine Rückfrage beim Hersteller, beim BSI bzw. durch Einsicht in die offizielle Produktübersicht BSI 7206 geklärt werden. Dabei gehört zu der Aussage, dass für ein Gerät eine TEMPEST-Zulassung vorliegt, immer auch die Aussage des Zulassungsgrades. 87 4.3.6 Einsatz von kryptographischen Verfahren auf den verschiedenen Schichten des ISO/OSI- Referenzmodells Verantwortlich für Initiierung: IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Sicherheitsmanagement Das OSI-Referenzmodell nach ISO Kryptographische Verfahren können auf den verschiedenen Schichten des ISO/OSI-Referenzmodells implementiert werden. Dieses Modell, welches in Maßnahme M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung dieses Handbuches kurz erläutert wird, definiert vier transportorientierte Schichten und drei anwendungsorientierte Schichten. Instanzen einer Schicht in verschiedenen Systemen kommunizieren über Protokolle miteinander. Jede Schicht bietet der nächst höheren Schicht ihre Dienste an. Das kann neben den üblichen Kommunikationsdiensten auch ein Sicherheitsdienst sein. Welcher Sicherheitsdienst in welcher Schicht des Schichtenmodells plaziert werden sollte und welche Mechanismen dazu genutzt werden können, ist im Teil 2 der ISO 7498 (Security Architecture) beschrieben. Auch wenn konkrete Kommunikationssysteme, Referenzmodelle oder Protokolle sich nicht immer konform zum ISO-Referenzmodell verhalten, so hilft die Kenntnis des ISO-Referenzmodells bei der Beurteilung von Sicherheitsfunktionen von Produkten und erleichtert damit auch die systematische Erstellung "sicherer" Gesamtsysteme. 88 Im folgenden soll erläutert werden, welche Vor- bzw. Nachteile mit dem Einsatz von kryptographischen Verfahren auf den jeweiligen Schichten verbunden sind. Sicherheitsdienste Kryptographische Verfahren werden zur Sicherung verschiedener bei der Kommunikation anfallender Informationen eingesetzt, also um Informationen zu verschlüsseln, mit kryptographischen Prüfsummen zu versehen oder zu signieren. Zum einen können die vom Benutzer zu übermittelnden Daten gesichert werden, zum anderen aber auch Informationen, die sich beim Informationsaustausch implizit ergeben (z. B. Verkehrsflussinformationen). Sicherheitsbeziehungen können für verschiedene Sicherheitsdienste in verschiedenen OSI- Schichten gleichzeitig existieren. Oberhalb der Schicht, in der ein Sicherheitsdienst realisiert ist, liegen die Informationen (bezüglich dieses Dienstes) ungesichert vor. Kryptographische Mechanismen (Verschlüsselung, digitale Signatur, kryptographische Prüfsummen) liefern Beiträge zur Realisierung wichtiger Sicherheitsdienste (Authentizität, Vertraulichkeit, Integrität, Kommunikations- und Datenursprungsnachweise). Hierzu wird zunächst ein Überblick über die Gesichtspunkte gegeben, die für oder gegen den Einsatz von kryptographischen Verfahren auf den verschiedenen OSI-Schichten sprechen: 89 Ein einfaches Schlüsselmanagement ergibt sich i.d.R. dann, wenn Gruppenschlüssel verwendet werden können, z. B. beim Aufbau von sicheren Teilnetzen (VPNs), bei denen die Zugänge mit Kryptogeräten versehen werden. Kryptographische Produkte für die unteren Schichten liegen im Anschaffungspreis meist deutlich über solchen für obere Schichten, dafür werden allerdings auch weniger benötigt. Außerdem ist der Administrations- und Implementierungsaufwand meist niedriger, da Sicherheitsdienste nicht in verschiedensten Anwendungen implementiert werden müssen. Auch "exotische" Anwendungen ohne eigene Sicherheitsfunktionalität - können dadurch gesichert Daten austauschen. In vielen Fällen bietet sich auch eine Kombination von kryptographischen Diensten auf verschiedenen Schichten an. Dies hängt von den jeweiligen Sicherheitsanforderungen und den Einsatzbedingungen ab, wie Kosten, Performance und inwieweit entsprechende Komponenten erhältlich sind. Entscheidende Faktoren sind auch die angenommenen Gefährdungen, gegen die die implementierten Sicherheitsdienste wirken sollen, sowie die zugrundeliegende Systemarchitektur. Sicherheits-Endgeräte <-> Sicherheits-Koppelelemente 90 Sicherheitssysteme können als Endgerät bzw. Teil eines Endgeräts oder als Koppelelement bzw. Teil eines Koppelelements ausgelegt sein. Koppelelemente sind z. B. aktive Netzkomponenten wie Router oder Gateways. Im Unterschied zu Endgeräten weisen Sicherheits-Koppelelemente gewöhnlich zwei Netzschnittstellen auf, die auf einer für dieses System typischen Schicht über ein Kryptomodul (Hardoder Software) gekoppelt sind. Eine Schnittstelle ist mit dem "sicheren" Netz verbunden (z. B. Hausnetz), die andere Schnittstelle mit einem als "unsicher" bewerteten Netz (z. B. öffentliche Netze). Sicherheits-Endgeräte haben den Vorteil, dass die Sicherheitsmechanismen gut an die Anforderungen der Anwendung angepaßt werden können. Typische SicherheitsEndgeräte sind Kryptotelefone, Kryptofaxgeräte oder hard-/softwarebasierte Sicherheitslösungen für PCs. Sicherheits-Endgeräte bieten i.d.R. Lösungen für einzelne Arbeitsplätze. Teilweise unterstützen diese Lösungen lediglich einen Dienst. Die Grenzen sind hier jedoch fließend (Telefonie über Internet-PC, Kryptotelefon mit Dateneingang). In Endgeräten ist im Gegensatz zum Koppelelement die Wahl der Sicherheitsschicht nicht eingeschränkt, da Endgeräte grundsätzlich vollständig sind, also über 7 Schichten verfügen. Sicherheits-Koppelelemente sind häufig derart leistungsfähig konstruiert, dass sie größere Arbeitseinheiten bis hin zu ganzen Liegenschaften absichern können. Dabei versuchen die Hersteller solcher Systeme möglichst viele Dienste bzw. übergeordnete Protokolle zu unterstützen, damit eine universelle Verwendung möglich ist. Auch die weitgehende Unabhängigkeit von den Betriebssystemen der Endgeräte liefert einen Beitrag zur universellen Einsatzbarkeit von Koppelelementen. Natürlich können auch einzelne Endgeräte durch Sicherheits-Koppelelemente abgesichert werden. Jedoch führt die höhere Leistungsfähigkeit der Geräte häufig zu höheren Kosten. Bei Koppelelementen handelt es sich definitionsgemäß um unvollständige OSI-Systeme. Daher ist auch die Implementierung von Sicherheitsdiensten auf die Schichten beschränkt, die das Koppelelement aufweist. Auch Mischformen sind im Einsatz. Das setzt voraus, dass Sicherheits-Endgeräte und SicherheitsKoppelelemente aufeinander abgestimmt sind, insbesondere bezüglich der verwendeten Sicherheitsmechanismen und Sicherheitsparameter (z. B. kryptographische Schlüssel). Nutzer-, Steuer- und Managementinformationen Ein Anwender ist hauptsächlich an der Übermittlung von Nutzerinformationen an entfernte Anwender interessiert. Je nach konkretem Referenzmodell (z. B. ISDN) werden aber zwischen den Systemen (Endgeräte, Koppelelemente) zudem Steuer-, Signalisier- und Managementinformationen zwecks Aufbau/Abbau von Verbindungen, Aushandeln von Dienstgüteparametern, Konfiguration und Überwachung des Netzes durch Netzbetreiber, usw. übertragen. Das jeweilige Netz hat dabei die Aufgabe, Benutzerinformationen unverändert und unausgewertet zu übertragen, d. h. Benutzerinformationen müssen nur von den Endgeräten interpretiert werden können. Damit lassen sich diese Informationen unabhängig von der übrigen Netzinfrastruktur 91 sichern, notfalls sogar unter Verwendung proprietärer Sicherheitsfunktionen (geschlossene Benutzergruppe). Steuer-, Signalisier- und Managementinformationen der Transportschichten müssen von Netzelementen des Netzbetreibers ausgewertet, geändert oder erzeugt werden können. Damit entziehen sich diese Informationen einer vom Netzbetreiber unabhängigen Sicherung (z. B. Verschlüsselung) weitgehend. Die Sicherung dieser Informationen erfordert neben entsprechenden Standards die vertrauensvolle Zusammenarbeit mit dem Netzbetreiber. Bedrohungen können sich dadurch ergeben, dass Sicherheitsfunktionen von Produkten falsch eingeschätzt werden. Bei der Auswahl von Kryptogeräten ist genau zu prüfen, welche Informationsanteile gesichert oder gefiltert werden. Ebenso ist im Umkehrschluß zu überprüfen, welche Informationen trotz des Einsatzes von Kryptogeräten ungesichert bleiben und in wieweit dies zu tolerieren ist. Beispiel: Beim ISDN erfolgt die Übertragung der Benutzerinformationen i.d.R. über die B-Kanäle. Aber auch der D-Kanal, welcher primär für die Signalisierung genutzt wird, kann zur Übertragung paketierter Daten verwendet werden. Ist das Ziel die Sicherung aller Benutzerdaten, so reicht im Fall der Übertragung von paketierten Daten über den D-Kanal die Absicherung der B- Kanäle offensichtlich nicht aus. Sicherheit in leitungsvermittelten Netzen Bei leitungsvermittelten Netzen werden durch den Verbindungsaufbau Kanäle definierter Bandbreite eingerichtet, die den Kommunikationspartnern exklusiv zur Verfügung stehen. Nach Einrichten der Verbindung erfolgt die Übertragung der Nutzdaten, anschließend der Verbindungsabbau. Der Netzbetreiber kann Festverbindungen einrichten, bei denen dann der durch den Teilnehmer gewöhnlich durchzuführende Verbindungsauf- und -abbau entfällt. Ein Beispiel für ein leitungsvermitteltes Netz ist ISDN. Durch den Verbindungsaufbau werden Nutzdatenkanäle auf OSI-Schicht 1 zwischen den Kommunikationspartnern eingerichtet, die beim ISDN B-Kanäle heißen. Um die Vertraulichkeit der übertragenen Nutzdaten zu gewährleisten, kann dieser Kanal verschlüsselt werden. Soll darüber hinaus der Signalisierungskanal abgesichert werden, bei N-ISDN also der D-Kanal (Schicht 1-3), so muss bedacht werden, dass als Gegenstellen eines Endgeräts sowohl das Endgerät des Kommunikationspartners als auch Vermittlungsstellen des Netzbetreibers auftreten können. Der DKanal wird normalerweise nicht verschlüsselt, da hierzu besondere Anforderungen an den Netzbetreiber zu stellen wären. In diesem Fall sollte man die Überwachung und Filterung des DKanals vorsehen (siehe auch M 4.62 Einsatz eines D-Kanal-Filters). Leitungsverschlüssler: Als Sonderfall muss die Verschlüsselung synchroner vollduplex Festverbindungen gesehen werden, da in diesem Fall die Vertraulichkeit - auch des Verkehrsflusses gewährleistet werden kann. Stehen keine Daten zur Übertragung an, werden Fülldaten verschlüsselt, so dass auf der Leitung immer ein kontinuierliches "Rauschen" zu sehen ist. Der Leitungsverschlüssler stellt eine Alternative zur Verlegung geschützter Leitungen dar. Sicherheit in paketvermittelten Netzen 92 Bei paketvermittelten Netzen ist zwischen verbindungsorientierter und verbindungsloser Paketvermittlung zu unterscheiden. Bei der verbindungsorientierten Paketvermittlung wird während der Verbindungsaufbauphase eine virtuelle Verbindung eingerichtet, wodurch der Datenpfad durch das Paketnetz im Anschluss festgelegt ist. Datenpakete werden nach dem Verbindungsaufbau auf Basis der zugeordneten virtuellen Kanalnummer auf dem selben Pfad durch das Netz geroutet. Sende- und/oder Empfängeradressen sind hierzu nicht mehr erforderlich. Ein Beispiel hierfür ist das X.25-Netz. Bei verbindungsloser Paketvermittlung gibt es keine Verbindungsauf und -abbauphasen. Datenpakete werden - u. a. ausgestattet mit Quell- und Zieladresse - einzeln vermittelt. Dies ist typisch für LAN- Datenverkehr. Die Wahl der Schicht, in der die Sicherheitsmechanismen wirken, bestimmt, welche Informationsanteile gesichert werden. Je niedriger die gewählte Sicherheitsschicht, desto umfangreicher die Informationssicherung. Beim Durchlauf der Benutzerdaten durch die Instanzen der Schichten 7 bis 1 (Sender) werden den Daten zusätzliche Steuerinformationen hinzufügt. Geht es also nicht nur um die Sicherung von Benutzerdaten, sondern auch um die Sicherung des Verkehrsflusses, so bietet sich die Wahl einer niedrigen OSI-Schicht an. Andererseits gilt: je niedriger die gewählte OSI-Schicht, desto weniger Koppelelemente (Repeater, Bridge, Switch, Router, Gateway) lassen sich transparent überwinden. Sollen Sicherheitsdienste über Koppelelemente hinweg wirken, dann sind sie in einer Schicht zu implementieren, die oberhalb der höchsten (Teil-) Schicht der Koppelelemente liegt. Dadurch wird sichergestellt, dass die Übermittlungseinrichtungen die gesicherten Informationen unverarbeitet/ uninterpretiert weiterleiten können. Beispiele und Folgen fehlerhafter Netzkonfigurationen: Beispiel 1: Sämtliche Endgeräte zweier über Router und öffentliche Kommunikationsnetze gekoppelter LANs sollen zur Gewährleistung der Vertraulichkeit - insbesondere im Bereich öffentlicher Kommunikationsnetze - mit Schicht-2-Verschlüsselungskomponenten ausgestattet werden. Der Router muss zur Weiterleitung der LAN-Datenpakete über das öffentliche Netz die Adressen der Schicht 3 auswerten. Da sämtliche Schicht-3-Daten jedoch durch die Schicht-2Verschlüsselung verborgen sind, kann die Auswertung der Schicht-3-Adressen nicht erfolgreich durchgeführt werden. Dadurch wird die Datenübertragung verhindert. Zur Abhilfe müssen hier die Verschlüsselungskomponenten für Schicht 3 (obere Teilschicht) oder höher eingesetzt werden. 93 Beispiel 2: Ein Großteil des Schriftverkehrs einer Institution soll zukünftig elektronisch über X.400 (Schicht 7) abgewickelt werden. Zur Sicherung der Datenintegrität plant die Institution den Einsatz von Schicht-4-Kryptokomponenten in den Endgeräten (hier PCs). Zum Zweck der Sicherung werden die Datenpakete beim Sender auf Schicht 4 mit kryptographischen Prüfsummen versehen, welche von der zugehörigen Schicht-4-Kryptokomponente des Empfängers geprüft wird. Nur Datenpakete mit korrekten Prüfsummen sollen zugestellt werden. Falls aber nicht alle MTAs (Message Transfer Agents, also die Vermittler für elektronische Mitteilungen auf Schicht 7) ebenfalls mit interoperablen Kryptokomponenten ausgestattet sind, können die MTAs ohne Kryptokomponente keine gültigen Prüfsummen erzeugen, so dass nachfolgende MTAs oder Endgeräte mit Kryptokomponente die Daten laut Vorgabe verwerfen müssen. Aber selbst wenn sämtliche genutzten MTAs ebenso wie die Endgeräte mit interoperablen Kryptokomponenten und Sicherheitsparametern ausgestattet sind, ist die Datenintegrität nicht sichergestellt. Dann kann die abschnittsweise Sicherung der Daten zwar gewährleistet sein, eine Verfälschung der Daten innerhalb der MTAs ist jedoch unbemerkt möglich. Ferner könnten (je nach Protokoll) einzelne Schicht-4-Datenpakete verloren gehen, was zu Lücken in der Gesamtnachricht führt, deren Unversehrtheit eigentlich gesichert werden sollte. Eine Abhilfe ist hier die Integritätssicherung der Daten auf Schicht 7. Wie die Beispiele zeigen, ist genau zu untersuchen, welche Netztopologie vorliegt und welche Netzbereiche wie gesichert werden müssen, damit eine angepaßte Lösung mit den gewünschten (Sicherheits-)Merkmalen gefunden werden kann. Abschnittsweise Sicherheit <-> Ende-zu-Ende-Sicherheit Benutzer von Kommunikationssystemen erwarten häufig, dass Sicherheitsdienste durchgängig erbracht werden (Ende-zu-Ende-Sicherheit), also von der Eingabe der Information (Daten, Sprache, Bilder, Text) am Endgerät A bis zur Ausgabe der Information an einem entfernten Endgerät B. Ist kein durchgehender Sicherheitsdienst gewährleistet, so existieren - abgesehen von den beteiligten Endgeräten - weitere Systeme, auf denen die Informationen ungesichert vorliegen. Existiert beispielsweise keine Ende-zu-Ende-Verschlüsselung zur Sicherung der Vertraulichkeit einer Kommunikationsbeziehung zwischen zwei Teilnehmern, so liegen die Daten in mindestens einem weiteren Netzelement unverschlüsselt vor. Solche Netzelemente müssen lokalisiert und durch zusätzliche Maßnahmen abgesichert werden. Personal, welches Zugriff auf insbesondere solche ungesicherten Netzelemente hat (z. B. Administrator), muss entsprechend vertrauenswürdig sein. Sicherheitsdienste werden in diesem Fall nicht durchgängig, sondern abschnittsweise erbracht. Auf die angemessene Sicherung aller relevanten Abschnitte ist zu achten. Mehrfache Sicherung auf verschiedenen OSI-Schichten Gegen eine Mehrfachsicherung der zu übertragenden Informationen auf verschiedenen OSISchichten ist nichts einzuwenden, wenn gewisse Regeln befolgt werden, die bei standardkonformen Produkten jedoch implizit gewährleistet sind. Insbesondere bei der Verschlüsselung sind die aus der Schule bekannten Klammerregeln anzuwenden. So entspricht das Verschlüsseln dem Öffnen einer 94 Klammer, das Entschlüsseln dem Schließen einer Klammer. Innerhalb der Klammer können nun wiederum weitere Sicherheitsmechanismen zur Anwendung kommen. Nachteilig kann sich die Mehrfachsicherung dadurch auswirken, dass der Datendurchsatz aufgrund zusätzlicher Operationen reduziert wird oder dass sich die übertragbare Nutzdatenmenge dadurch vermindert, dass zusätzliche Daten zur Erhöhung der Redundanz (z. B. kryptographische Prüfsummen) übertragen werden müssen. Auch durch Daten, die vor der Übermittlung über Kryptosysteme gesichert werden, z. B. digital signierte Dokumente, ergibt sich implizit eine Mehrfachsicherung. Dadurch erhöht sich die Sicherheit der Datenübertragung hinsichtlich der verwendeten Sicherheitsdienste. Oft läßt sich die Sicherheit des Gesamtsystems erst durch die Kombination mehrerer Sicherheitsprotokolle oder Sicherheitsprodukte erreichen. Sind beispielsweise anwendungsnahe Sicherheitslösungen verfügbar, deren vertrauenswürdige Implementierung jedoch nicht (von unabhängiger Seite) überprüft wurde (z. B. Evaluierung nach ITSEC, CC) und existieren gleichzeitig vertrauenswürdige transportorientierte Sicherheitsprodukte zur Absicherung unsicherer Netzabschnitte zwischen entfernten Liegenschaften, so kann durch die Kombination der Maßnahmen u. U. eine den Anforderungen genügende Gesamt-Sicherheitslösung geschaffen werden. Nachteilig wirken sich dabei meist der erhöhte Administrationsaufwand und/oder erhöhte Anschaffungskosten aus. 4.4 Notfallvorsorge 4.4.1 Datensicherung bei Einsatz kryptographischer Verfahren Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter Beim Einsatz kryptographischer Verfahren darf die Frage der Datensicherung nicht vernachlässigt werden. Neben der Frage, wie sinnvollerweise eine Datensicherung der verschlüsselten Daten erfolgen sollte, muss auch überlegt werden, ob und wie die benutzten kryptographischen Schlüssel gespeichert werden sollen. Daneben ist es noch zweckmäßig, die Konfigurationsdaten der eingesetzten Kryptoprodukte zu sichern. Datensicherung der Schlüssel Es muss sehr genau überlegt werden, ob und wie die benutzten kryptographischen Schlüssel gespeichert werden sollen, da jede Schlüsselkopie eine potentielle Schwachstelle ist. Trotzdem kann es aus verschiedenen Gründen notwendig sein, kryptographische Schlüssel zu speichern. Es gibt unterschiedliche Methoden der Schlüsselspeicherung: 95 die Speicherung zu Transportzwecken auf einem transportablen Datenträger, z. B. Diskette, Chipkarte (dient vor allem zur Schlüsselverteilung bzw. zum Schlüsselaustausch, siehe M 2.46 Geeignetes Schlüsselmanagement), die Speicherung in IT-Komponenten, die dauerhaft auf kryptographische Schlüssel zugreifen müssen, also z. B. zur Kommunikationsverschlüsselung, die Schlüsselhinterlegung als Vorbeugung gegen Schlüsselverlust oder im Rahmen von Vertretungsregelungen. Hierbei ist grundsätzlich zu beachten: Kryptographische Schlüssel sollten so gespeichert bzw. aufbewahrt werden, dass Unbefugte sie nicht unbemerkt auslesen können. Beispielsweise könnten Schlüssel in spezieller Sicherheitshardware gespeichert werden, die die Schlüssel bei Angriffen automatisch löscht. Falls sie in Software gespeichert werden, sollten sie auf jeden Fall überschlüsselt werden. Hierbei ist zu bedenken, dass die meisten Standard-Anwendungen, bei denen Schlüssel oder Paßwörter in der Anwendung gespeichert werden, dies im allgemeinen mit leicht zu brechenden Verfahren geschieht. Als weitere Variante kann auch das Vier-Augen-Prinzip bei der Schlüsselspeicherung benutzt werden, also die Speicherung eines Schlüssels in Schlüsselhälften oder Schlüsselteilen. Von Kommunikationsschlüsseln und anderen kurzlebigen Schlüsseln sollten keine Kopien erstellt werden. Damit eine unautorisierte Nutzung ausgeschlossen ist, sollten auch von privaten Signaturschlüsseln i. allg. keine Kopien existieren. Falls jedoch für die Schlüsselspeicherung eine reine Softwarelösung gewählt wurde, d. h. wenn keine Chipkarte o. ä. verwendet wird, ist das Risiko des Schlüsselverlustes erhöht, z. B. durch Bitfehler oder Festplattendefekt. In diesem Fall ist es unter Umständen weniger aufwendig, eine ausreichend gesicherte Möglichkeit der Schlüsselhinterlegung zu schaffen, als bei jedem Schlüsselverlust alle Kommunikationspartner zu informieren. Von langlebigen Schlüsseln, die z. B. zur Archivierung von Daten oder zur Generierung von Kommunikationsschlüsseln eingesetzt werden, sollten auf jeden Fall Sicherungskopien angefertigt werden. Datensicherung der verschlüsselten Daten Besondere Sorgfalt ist bei der Datensicherung von verschlüsselten Daten bzw. beim Einsatz von Verschlüsselung während der Datenspeicherung notwendig. Treten hierbei Fehler auf, sind nicht nur einige Datensätze, sondern meist alle Daten unbrauchbar. Die Langzeitspeicherung von verschlüsselten oder signierten Daten bringt viele zusätzliche Probleme mit sich. Hierbei muss nicht nur sichergestellt werden, dass die Datenträger regelmäßig aufgefrischt werden und jederzeit noch die technischen Komponenten zum Verarbeiten dieser zur Verfügung stehen, sondern dass die verwendeten kryptographischen Algorithmen und die Schlüssellänge noch dem Stand der Technik entsprechen. Bei der langfristigen Archivierung von Daten kann es daher sinnvoller sein, diese unverschlüsselt zu speichern und dafür entsprechend sicher zu lagern, also z. B. in Tresoren. 96 Die verwendeten Kryptomodule sollten vorsichtshalber immer archiviert werden, da die Erfahrung zeigt, dass auch noch nach Jahren Daten auftauchen, die nicht im Archiv gelagert waren. Datensicherung der Konfigurationsdaten der eingesetzten Produkte Bei komplexeren Kryptoprodukten sollte nicht vergessen werden, deren Konfigurationsdaten zu sichern (siehe auch M 4.78 Sorgfältige Durchführung von Konfigurationsänderungen). Die gewählte Konfiguration sollte dokumentiert sein, damit sie nach einem Systemversagen oder einer Neuinstallation schnell wieder eingerichtet werden kann. 5 Juristische Datenbegutachtung / Verträge Dieses Dokument wird zu einem späteren Zeitpunkt erstellt (siehe Projektplan Grundkonzept). 97