Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

Digitales AugeDie nicht endenden Enthüllungen über die Abhörmöglichkeiten von Geheimdiensten und die schockierenden Meldungen über die Kaperung kompletter Unternehmensnetzwerke wie bei SONY Pictures setzen IT Verantwortliche zunehmend unter Handlungsdruck.



Konnte man sich vor ein paar Jahren noch mit Firewall, Virenscanner und Passwort-basierten Verfahren zurück lehnen, so sind diese Zeiten endgültig vorbei. Der zunehmende Einsatz
 von Sicherheitsinformations- und Ereignis-
Management-Lösungen (SIEM) ist
 sicher richtig, wenn es darum geht, Vorfälle zu erkennen, um dann entsprechend zu reagieren. Noch sinnvoller ist es aber, es gar nicht so weit kommen zu lassen.


Sind starke Authentisierung, Ende-zu- Ende-Verschlüsselung und digitale Signaturen womöglich die Zaubermittel der Zeit? Fest steht, dass man mit solchen Mechanismen die Hürde für Angriffe und Abhörversuche extrem hoch legt oder diese sogar praktisch unmöglich machen kann. So führen mehr und mehr Unternehmen E-Mailverschlüsselung, VPNs, Geräteauthentisierung nach IEEE 802.1x oder Dateiverschlüsselung für Cloud-Speichersysteme ein. Hierbei ist zu beachten, dass eine Ende-zu-Ende- Verschlüsselung am Client erfolgen muss und nicht durch Secure E-Mailgateways oder Cloud Encryption Gateways erbracht werden kann. Dies wird in Zeiten, in denen sich der professionelle Angreifer im internen Netz platziert zunehmend wichtiger.



Public-Key-Infrastruktur



Die Basis für diese „stählernen“ Mechanismen stellt eine Public-Key-Infrastruktur (PKI) in Form von digitalen Zertifikaten gemäß ITU-T X.509 und zugehörigen privaten Schlüsseln bereit. Eine PKI kann entweder intern im Unternehmen aufgebaut und betrieben werden – in vielen Fällen kommt dabei eine Windows PKI zum Einsatz – oder es wird eine Managed PKI genutzt, die von einem externen Trustcenter-Betreiber bereitgestellt wird. Zertifikate, die von einer solchen öffentlichen Certification Authority (CA) ausgestellt werden haben den großen Vorteil, dass sie weltweit von gängigen IT-Plattformen und Anwendungen anerkannt werden.

Dies ist bei intern, mit einer Windows CA erzeugten Zertifikaten, ein Problem. Ihnen wird außerhalb des Unternehmens zunächst nicht vertraut und der Partner bekommt eine Warnmeldung. Hier kann die Anbindung an eine sogenannte Bridge-CA wie die Tele- TrusT European Bridge CA (EBCA) helfen: Durch die Aufnahme in deren Certificate Trust List kann das Vertrauen in die jeweilige Unternehmens- CA hergestellt und an andere Organisationen übertragen werden.


Certificate Enrollment Proxy

Bild 1: Certificate Enrollment Proxy.

Der große Vorteil einer internen Windows PKI ist die Möglichkeit, automatisiert Zertifikate für Benutzer und Geräte auszustellen. Mit einem solchen Autoenrollment werden die Betriebskosten massiv reduziert. Eine externe Managed PKI Lösung hingegen schafft dies auf der herkömmlichen Grundlage von Web-basierten Registrierungswerkzeugen nicht. Hierzu kann eine spezielle Komponente, Certificate Enrollment Proxy genannt, dienen. Dieser verbindet das interne Active Directory (AD) mit einer öffentlichen CA wie z. B. SwissSign und kann somit das Autoenrollment anerkannter Zertifikate durchführen (siehe Bild 1). Ein solcher Proxy kann auch genutzt werden, um eine interne Non-Microsoft CA mit Autoenrollment über das AD zu nutzen. Beispielsweise kann damit eine Open Source CA wie OpenXPKI eingesetzt werden. Die CA kann dann in einem isolierten Netzwerk betrieben werden, wo sie praktisch nicht mehr angreifbar ist. Angriffe auf Online CA Server häufen sich und auch ein Hardware Security Modul (HSM) hilft hier nur begrenzt, wie der Vorfall bei DigiNotar gezeigt hat, bei dem sich der Angreifer trotz HSM beliebige Zertifikate ausstellen lassen konnte. Eine Windows Enterprise CA wird somit immer im Focus professioneller Angreifer stehen.


Gunnar Jacobson
„Zertifikaten einer internen Windows PKI wird zunächst außerhalb des Unternehmens nicht vertraut. Hier kann die Anbindung an eine sogenannte Bridge-CA wie der TeleTrusT European Bridge CA (EBCA) helfen.“

Dr. Gunnar Jacobson, Geschäftsführer
Secardeo GmbH, Mitglied im TeleTrust –
Bundesverband IT-Sicherheit e.V.

Neben dem Enrollment von Zertifikaten in einer Windows Domäne spielt zunehmend auch die Versorgung von Netzwerkkomponenten wie Routern aber auch von Mobilgeräten wie iPhones eine wichtige Rolle. Zum einen, um diese Geräte zweifelfrei für einen Netzwerkzugang mittels IEEE 802.1x authentisieren zu können und zum anderen, um VPNVerbindungen mit diesen Geräten zu ermöglichen. Die Geräte können über den Windows Network Device Enrollment Service (NDES) oder ein Mobile Device Management System (MDM) mit Device-Zertifikaten bestückt werden. Da viele MDM-Systeme die Microsoft- Schnittstellen und Protokolle unterstützen, können über den Certificate Enrollment Proxy problemlos auch andere interne oder auch externe CAs genutzt werden.



Any-to-Any Encryption



Parallel hierzu wächst auch die Anforderung, die Schlüssel eines Benutzers nicht nur auf dem Windows-Client sondern auf all seinen (mobilen) Geräten verfügbar zu haben. Denn der Anwender will Zugriff auf seine verschlüsselten E-Mails haben, egal an welchem Gerät er gerade arbeitet. Hierzu verteilt der Certificate Enrollment Proxy den benötigten Private Key eines Benutzers verschlüsselt auf all seine Geräte. Ebenso möchte der Benutzer an beliebige Partner verschlüsseln können, ohne sich vorher umständlich deren Zertifikate beschaffen zu müssen. Dafür dient ein Zertifikatsserver, der dem E-Mailclient automatisch die benötigten Zertifikate im Internet beschafft, ohne dass der Benutzer davon etwas bemerkt. Damit kann er von jedem Gerät mit jedem Partner Ende-zu- Ende verschlüsselt kommunizieren – wir sprechen von Any-to-Any Encryption.

Any-to-Any Encryption

Bild 2: Any-to-Any Encryption.

Die Mechanismen zur starken Authentisierung von Geräten und Benutzern sowie zur sicheren, unternehmensübergreifenden aber auch komfortablen Verschlüsselung sind also da. Auf den Geräten muss keine Spezial-Software installiert werden. Heutige Betriebssysteme unterstützen digitale Zertifikate und moderne E-Mailclients, sei es Outlook, Thunderbird oder iOS Mail-App und können damit verschlüsseln – es muss nur genutzt werden, dann beißen sich selbst mächtige Geheimdienste die Zähne aus.


Dr. Gunnar Jacobson

www.secardeo.de

www.ebca.de

Fachartikel aus it security, Mai 2015

 

GRID LIST
Tb W190 H80 Crop Int 706ed058ba0004d4fe9159b0807ac61f

WhatsApp und Co. können für Unternehmen teuer werden

Mit Inkrafttreten der EU-Datenschutzverordnung werden Kommunikationstools wie WhatsApp…
Frau hält EU-Flagge

DSGVO und Versicherer – Eins nach dem Anderen

Die EU-Datenschutz-Grundverordnung stärkt den Datenschutz und die Rechte der Versicherten…
Tb W190 H80 Crop Int 41266e15a4e5a9846fa11a56dc162bde

Compliance-Check testet Datenschutzpraxis von Unternehmen

Der europäische Security-Hersteller ESET stellt Organisationen und Unternehmen einen…
Datenschutz

Ab 2018 haften Geschäftsführer in Millionenhöhe

Wenn Geschäftsführer und Vorstände die neue EU-Datenschutz-Grundverordnung (DSGVO) nicht…
Security Specialist

Der moderne Datenschutzbeauftragte

Mittlerweile ist Datenschutz in aller Munde, unter anderem durch neue Regularien, die in…
Marcel Mock

Zweiter Anlauf für den Verschlüsselungsstandort Nummer 1 | Statement

Wir dürfen gespannt sein, wie die neue Bundesregierung die vom letzten Kabinett…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security