IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Transformation World
19.10.17 - 20.10.17
In Heidelberg

Trust WeltkarteFast jeder Internet-Anwender nutzt sie täglich, egal, ob privat oder beruflich – doch nur wenige sind sich ihrer Bedeutung bewusst: Digitale Zertifikate sind das Fundament für sichere Interaktionen und Transaktionen im Internet. Mit ihnen kann jede Internet-Seite, jede Person und Organisation oder jedes Gerät seine Identität in der digitalen Welt nachweisen. 

Wie sie technisch funktionieren, welche Arten von digitalen Zertifikaten es gibt und für welche Anwendungen sie sich einsetzen lassen, darüber informiert Ulrich Hamann, Vorsitzender des Vereins Sichere Identität Berlin-Brandenburg e.V.

Der digitale Spionage-Angriff erfolgte über eine sorgfältig präparierte E-Mail. Getarnt als Mitarbeiter des Unternehmens richtete der Absender eine harmlos erscheinende Anfrage gleich an mehrere „Kollegen“. Die übermittelten ihm die benötigten Informationen ohne Bedenken. Wertvolle Produktinformationen gelangten so in die falschen Hände. Zur gleichen Zeit erhalten mehrere Kunden einer Online-Bank eine SMS mit der Aufforderung, ihre Zugangsdaten neu einzugeben. Als sie auf den integrierten Link klicken, gelangen sie scheinbar zu der im Look & Feel der Bank gestalteten, aber gefälschten Webseite. In wenigen Minuten gelangen so tausende Zugangsnummern und Passwörter in die Hände von Internet-Betrügern. Die genannten Beispiele für Identitätsbetrug und Identitätsdiebstahl passieren in regelmäßigen Abständen überall in Deutschland und auf der Welt. Mit Digitalen Zertifikaten wären sie mit hoher Wahrscheinlichkeit verhindert, zumindest aber deutlich erschwert worden.

Zertifikate belegen Digitale Identitäten

Ein Digitales Zertifikat ist ein elektronischer Datensatz, der Identitätsinformationen von Organisationen, Personen oder Objekten enthält – zum Beispiel Name, E-Mail und die Internet-Adresse bei Webseiten. Alle Angaben lassen sich über kryptografische Verfahren sicher gegen Veränderungen schützen. Weit verbreitet sind so genannte Public-Key-Zertifikate im Standardformat X.509. In diesen sind die Identitätsdaten mit einem öffentlichen Schlüssel (Public-Key) verbunden. Das Gegenstück, der private Schlüssel, ist außerhalb des Zertifikats sicher abgelegt, das kann auf dem Computer, auf mobilen Endgeräten, per Hardware auf USB-Token, Smartcards oder anderen Sicherheitsmodulen erfolgen. Damit lassen sich Zertifikate nicht nur zur Authentifizierung, sondern auch zur Verschlüsselung von E-Mails und zum Signieren von Dokumenten einsetzen.

Eine dritte, unabhängige Instanz

Ausgestellt werden Zertifikate von so genannten Zertifizierungsstellen, auch als Trustcenter bekannt. Diese nehmen die Funktion als dritte, unabhängige Instanz wahr. Um ein Zertifikat zu erhalten, müssen die Personen, Organisationen oder Objekte ihre Identität – zum Beispiel mittels Personalausweis oder Handelsregister-Auszug - gegenüber der Zertifizierungsstelle nachweisen. Verläuft die Identitätsprüfung erfolgreich, erstellt die Zertifizierungsstelle anschließend das Schlüsselpaar und erzeugt ein Zertifikat, das alle notwendigen Identitätsinformationen, den öffentlichen Schlüssel, die Gültigkeitsdauer und den Namen der ausstellenden Institution inklusive deren digitaler Signatur zur Beglaubigung enthält. Zertifizierungsstellen mit dem höchsten Sicherheitsniveau werden in der Europäischen Union (EU) als qualifizierte Vertrauensdiensteanbieter (qVDA) bezeichnet. Die qVDA müssen verschärfte Anforderungen an Sicherheit und Haftung erfüllen. Dazu gehören beispielsweise die Gewährleistung von Datenschutz und Sicherheit, die Implementierung vertrauenswürdiger IT-Infrastrukturen sowie die Beweislastumkehr im Schadensfall.

Je nach Anwendungsbereich lassen sich vier Zertifikatstypen unterscheiden:

  • Webseitenzertifikate
  • Personenzertifikate
  • Organisationszertifikate
  • Maschinenzertifikate

Lesen Sie in dieser Serie auch folgende Beiträge:

Barcode

 

Digitalisierung: Sichere Identitäten entscheidend

 

 

 

Gesicht

 

 

Identitätsmissbrauch im Internet verhindern
 

 

 

Der vertrauenswürdige Webauftritt

Bankverbindungen, Passwörter oder andere persönliche Daten: Wer online geschäftlich agiert oder Einkäufe tätigt, erwartet, dass die Identität der besuchten Internet-Domain stimmt und dass die Kommunikation sicher abläuft. Genau diese Aufgabe übernehmen so genannte TLS-/SSL-Zertifikate. Sie identifizieren den Geschäftspartner und verschlüsseln gleichzeitig die gesendeten Daten. Auf diese Weise dienen sie zum Nachweis, dass der Besitzer der Internet-Seite auch tatsächlich derjenige ist, für den er sich ausgibt und zur Absicherung von Server-to-Server- oder Client-to-ServerDatenübertragungen. TLS-/SSL-Zertifikate werden in der Regel von allen aktuellen Browsern und Betriebssystemen unterstützt.

Anwender erkennen einen vertrauenswürdigen Webauftritt häufig an der grün eingefärbten Adresszeile. Der Internet-Browser prüft dabei zwei Dinge: Ob das Zertifikat von einem vertrauenswürdigen Dienst ausgestellt wurde und ob es noch gültig ist. Nur wenn alle Prüfungen erfolgreich waren, wird die Browserzeile auf Grün gestellt. Der Internetnutzer kann sich somit sicher sein, dass keine Scheinidentität vorgetäuscht wird und er nicht Gefahr läuft, Opfer eines Phishing-Versuchs zu werden. Seit März 2017 sind in Europa qualifizierte Webseitenzertifikate nach Vorgaben der „EU-Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS)“ erhältlich. Technisch bieten diese den starken Schutz und die sichere Verschlüsselung von TLS-/SSL-Zertifikaten. Zusätzlich sehen qualifizierte Webseitenzertifikate regelmäßige Prüfungen und eine strenge Kontrolle der Ausgabestelle durch eine Aufsichtsbehörde vor. Sie dürfen nur von qualifizierten Vertrauensdiensteanbietern herausgegeben werden.

Personenbezogene Anwendungen

Personenzertifikate gelten ausschließlich für natürliche Personen. Wer ein solches Zertifikat erhält, muss sich gegenüber der Zertifizierungsstelle eindeutig identifizieren, beispielsweise durch die Vorlage von Personalausweis oder Reisepass. Das Personenzertifikat kann anstelle des Namens ein Pseudonym ausweisen oder zusätzliche berufsbezogene Angaben enthalten. Personenzertifikate sind Voraussetzung dafür, E-Mails zu verschlüsseln und eine Nachricht oder ein Dokument zu unterschreiben. Sie sind damit der zentrale Faktor, um die vier Schutzziele elektronischer Kommunikation zu erreichen: Die Vertraulichkeit (Verschlüsselung), Authentizität (Identitätsnachweis), Integrität (der Inhalt ist vollständig und unverändert) und Nicht-Abstreitbarkeit von Informationen.

Ausgeliefert werden die Personenzertifikate entweder als verschlüsselte elektronische Datei oder auf einem Speichermedium, meistens einer Signaturkarte. Für Unternehmen interessant ist die Integration von Personenzertifikaten auf hochsicheren Smartcards mit integrierten Kryptochips. Diese sind als universelle Mitarbeiterlösung rund um die Themen „Elektronischer Identitätsnachweis“, „Signatur und Verschlüsselung“ sowie „Zutritts- und Zugangsmanagement“ einsetzbar. Für sichere Datenspeicherung und hohen Datenschutz sorgt die Zwei-Faktor-Authentifizierung, die neben dem Besitz der Karte auch das Wissen über eine Pin oder ein biometrisches Merkmal erfordert.

Im Namen der Organisation kommunizieren

Gateway-Zertifikate sind eine Form der Organisationszertifikate und werden in Verbindung mit der server-basierten E-Mail-Verschlüsselung eingesetzt. Dabei übernehmen Secure-Mail Gateways die Verschlüsselung und Entschlüsselung der Mails inklusive der Authentifizierungsaufgaben. Zwei Geschäftspartner können auf diese Weise sicher sein, dass ihre Mails unverändert im Original ankommen und gleichzeitig darauf vertrauen, dass die Mail auch tatsächlich vom jeweiligen Unternehmen stammt. Gateway-Zertifikate enthalten den Namen der Organisation und die dazugehörige E-Mail-Adresse des Gateways.

Ein neues Einsatzgebiet von Organisationszertifikaten sind elektronische Siegel. Im Gegensatz zu elektronischen Signaturen, die an Einzelpersonen gebunden sind und auf Personenzertifikaten basieren, sind elektronische Siegel auf Organisationen ausgestellt. Auf den Organisationszertifikaten befinden sich der Name des Siegelerstellers und gegebenenfalls die Registriernummer gemäß der amtlichen Eintragung. Unternehmen und Behörden, die ein Dokument elektronisch siegeln, identifizieren sich eindeutig als Absender und schützen die Daten gleichzeitig vor unbemerkten Veränderungen.

Die Basis für das Internet der Dinge

Die Integration und Vernetzung von Geräten und Maschinen werden in Zukunft die Art und Weise, wie wir Wirtschaften und Leben, grundlegend verändern. Doch funktionieren Industrie 4.0, Smart Home oder Smart Traffic nur dann, wenn jede Maschine, jedes Stück Hardware, jedes Gerät eine eigene, unverwechselbare Identität hat. Diese dient dazu, sich – ähnlich wie ein menschlicher Anwender – bei Zugriffen auf Systeme und Anlagen zu authentifizieren.

Der Identitätsnachweis erfolgt dabei in Form von Maschinen-/Gerätezertifikaten, die von einer Zertifizierungsstelle ausgegeben werden. Die Träger von Zertifikaten können fest in die Maschine integrierte Chips („Trusted-Platform-Module - TPM“) oder Smartcards sein.

Sie lassen sich für vier verschiedene Aufgaben einsetzen:

1. Zum Nachweis der Sicheren Identität einer Maschine

2. Für das elektronische Signieren von Steuerbefehlen und Log-Daten, um die Maschine vor Manipulationen zu schützen und deren Herkunft zweifelsfrei nachzuweisen

3. Zur sicheren Verschlüsselung der Machine-to-Machine-Kommunikation (M2M).

4. Für ein digitales Rechtemanagement, dass sicher stellt, dass die Daten vollständig an den gewünschten Empfänger übermittelt werden.

Zertifikate-Management einfach gemacht

Digitale Zertifikate müssen mit den dazugehörigen Schlüsseln erstellt, verwaltet und geprüft werden. Dafür benötigen Organisation eine Public-Key-Infrastruktur (PKI). Aufbau und Betrieb eines derartigen eigenen IT-Systems sind komplex und aufwändig. Zudem sind selbst erstellte Zertifikate außerhalb der Organisation nicht anerkannt – also für die vernetzte Industrie und andere Anwendungen kaum verwendbar. Es empfiehlt sich deshalb, auf einen externen Vertrauensdiensteanbieter (VDA) zurückzugreifen, der diese Aufgabe übernimmt. Dabei können insbesondere klein- und mittelständische Unternehmen von einfach zu handhabenden Cloud-Angeboten profitieren. Die als „Public-Key-Infrastructure-as-a-Service“ bezeichnete Lösung ermöglicht über Standardschnittstellen die Anbindung bestehender Infrastrukturen und Systeme an die PKI eines Vertrauensdiensteanbieters. Auf diese Weise wird es möglich, Zertifikate für elektronische Identitäten beim VDA quasi auf Knopfdruck zu erstellen und manuell oder automatisiert zu beziehen. Über einen integrierten Prüfdienst können Anwendungen und Geschäftspartner jederzeit die Gültigkeit und Echtheit der Zertifikate bestimmen.

Fazit

Digitale Zertifikate sind das zentrale Werkzeug für Sichere Identitäten. Sie sorgen für sicheres Online-Banking und Internet-Shopping; sie ermöglichen eine vertrauenswürdige Kommunikation per Mail oder zwischen vernetzten Maschinen; ohne sie ist die Mobilität der Zukunft – Stichwort Connected Car - oder das digitale Rathaus nicht denkbar. Ob für Webseiten, Personen, Organisationen oder Maschinen: Zertifikate sind die Grundvoraussetzung für vertrauenswürdige Beziehungen in der digitalen Welt. Wichtige Hilfestellung beim gesamten Zertifikatemanagement – von der Erstellung, über die Verwaltung bis hin zur Prüfung - bieten externe Dienstleister, die Vertrauensdiensteanbieter. So lässt sich auch ohne großen Aufwand und mit überschaubarem finanziellem Aufwand eine Infrastruktur mit Zertifikaten betreiben. Doch trotz aller vorgestellten Handlungsempfehlungen ist ein Missbrauch oder Diebstahl digitaler Identitäten niemals ausschließbar. Was tun, wenn dies geschieht? Welche rechtlichen Schritte sollten eingeleitet, welche technischen Maßnahmen unternommen werden? Antworten auf diese Fragen gibt der vierte und letzte Teil der Serie über ‚Sichere Identitäten’.

Ulrich Hamann

 

Ulrich Hamann, Vorsitzender des Vereins Sichere Identität Berlin Brandenburg e.V.

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet