VERANSTALTUNGEN

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

plentymarkets Omni-Channel Day 2018
12.10.18 - 12.10.18
In Kassel

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

4. Esslinger Forum: Das Internet der Dinge
17.10.18 - 17.10.18
In Esslingen

Automate IT
18.10.18 - 18.10.18
In Frankfurt am Main

Zwei Schlüssel

Unternehmen digitalisieren sich nur dann erfolgreich, wenn Informationen und Daten sicher und vertrauenswürdig ausgetauscht werden können. Voraussetzung dafür sind zum einen Sichere Identitäten. Zum anderen müssen Daten und Dokumente vertraulich bleiben und vor Manipulationen bewahrt werden.

Für diese Aufgaben gibt es ein 30 Jahre altes Konzept, das in vielen IT-Anwendungen bereits erfolgreich eingesetzt wird: die Public-Key-Infrastruktur (PKI). In einer zweiteiligen Serie informiert Anne-Sophie Gógl, Geschäftsführerin des Vereins ‚Sichere Identität Berlin-Brandenburg e.V.’ über Grundlagen und Nutzervorteile, über Herausforderungen sowie über PKI-Trends und Entwicklungen der Zukunft.

Der Geschäftsführer eines mittelständischen Unternehmens ist zufrieden. In den letzten Jahren wurden viele Geschäftsprozesse erfolgreich digitalisiert. Die Rechnungsverarbeitung verläuft mittlerweile komplett elektronisch, der Vertrieb hat auch von unterwegs Zugang zu wichtigen Kundendaten, über einen eigenen Online-Shop verkauft das Unternehmen Standard-Produkte und in der Produktion sind immer mehr Maschinen miteinander vernetzt.

Vielfältige Einfallstore für Cyberkriminelle

Doch in letzter Zeit häuften sich Cyberangriffe auf die digitale Infrastruktur des Unternehmens - und zwar auf allen Ebenen. Der Geschäftsführer bat deshalb den IT-Leiter zu einem dringenden Gespräch. Zusammen identifizierten sie die Einfallstore für Datenmissbrauch und Datendiebstahl.

  • Einfallstor „Digitale Arbeitswelt“: Immer mehr Mitarbeiter nutzen ihren Laptop, um ortsunabhängig, also nicht nur im Büro, auf Daten und Dokumente zuzugreifen. Dabei kam es zu einem unautorisierten Zugriff auf das Unternehmensnetzwerk. Cyberkriminelle kamen so in den Besitz wichtiger Dokumente. Bei weiteren Vorfällen erhielten Kunden plötzlich per Mail gefälschte Rechnungen, und das Controlling wurde mit einer fingierten Mail im Namen des Geschäftsführers zu Zahlungen auf ein unbekanntes Konto aufgefordert.
     
  • Einfallstor „Internet-Kommunikation“: Die Webseite des Unternehmens enthält einen Partnerbereich, in dem Produktinformationen, Preislisten und Marketingunterlagen bereitgestellt werden. Mit gefälschten Log-in-Informationen verschafften sich unberechtigte Personen Zugriff auf den Partnerbereich. Zudem versuchten Cyberkriminelle über eine fingierte Webseite, die dem Online-Shop täuschend ähnlich sah, an Kreditkarteninformationen der Kunden zu kommen.
     
  • Einfallstor „Produktion“: Der Geschäftsführer plant, die Produktion des Unternehmens noch enger mit allen Zulieferern und Partnerunternehmen zu verzahnen. Dafür will er seine Maschinen, Anwendungen und Systeme nach außen öffnen. Diese Systemöffnung bietet Cyberkriminellen neue Angriffsflächen. Kommt es beim Austausch von Daten und Informationen zu einer Störung oder gar zu einer Manipulation, kann das verheerende Konsequenzen nach sich ziehen, die von einer geringeren Produktqualität über Datenabfluss bis hin zu Produktionseinbußen reichen können.

Die PKI – einfach erklärt

Der Geschäftsführer ist beunruhigt und ratlos zugleich. Wie lassen sich die definierten Einfallstore wirkungsvoll schließen? Der IT-Leiter präsentiert ihm ein in der Praxis erprobtes Konzept, das drei wesentliche Funktionen enthält:

  • Starke Authentifizierung: Personen und Geräte können sich sicher gegenüber anderen Anwendungen, Prozessen und Systemem ausweisen.
     
  • Verschlüsselung: Die gesamte elektronische Kommunikation lässt sich sicher verschlüsseln.
     
  • Elektronische Signatur: Elektronische Daten, Nachrichten und Dokumente können elektronisch signiert werden. Damit lässt sich die Identität des Absenders bestätigen, und die Informationen werden wirkungsvoll vor nachträglichen, unberechtigten Veränderungen geschützt.

Das Konzept wird als PKI (Public Key Infrastructure) bezeichnet. Die PKI basiert auf einem kryptografischen Verfahren mit zwei Schlüsseln. Digitale Schlüssel sind zufällige Zeichenketten, die zusammen mit einem Algorithmus Daten im Klartext in einen Geheimtext umwandeln können.

Zum Einsatz kommt ein Schlüsselpaar, das sich gegenseitig ergänzt: der öffentliche Schlüssel (Public Key) für das Verschlüsseln der Informationen und der private Schlüssel (Private Key) für das Entschlüsseln. Beide stehen in einer bestimmten mathematischen Abhängigkeit zueinander. Der öffentliche Schlüssel ist frei zugänglich, während der private Schlüssel geheim und nur seinem Besitzer bekannt ist. Werden Daten mit einem öffentlichen Schlüssel verschlüsselt, können sie nur mit dem dazugehörigen privaten Schlüssel entschlüsselt werden.

Public-Key-Infrastrukturen nutzen diese sogenannte asymmetrische Verschlüsselung, um die Schlüsselpaare den jeweiligen digitalen Identitäten zuzuordnen. Dies erfolgt in Form von digitalen Zertifikaten, die den Kern einer PKI bilden. In der analogen Welt bestätigt ein Zertifikat die Echtheit einer Urkunde oder einer amtlichen Bescheinigung, in der digitalen Welt weist ein Zertifikat auf die Echtheit einer Personen- oder Maschinenidentität hin.

Digitale Zertifikate sind technisch betrachtet ein elektronischer Datensatz, der die Identitätsinformationen des Inhabers – zum Beispiel Name und E-Mail-Adresse - und den öffentlichen Schlüssel enthält. Die Kombination aus öffentlichem Schlüssel und Identität ist durch einen Dritten beglaubigt. Dieser Vorgang kann unternehmensintern durch einen Zertifizierungsbeauftragten passieren, oder es geschieht extern durch eine vertrauenswürdige Zertifizierungsstelle, auch als „Certificate Authority“ bekannt. Der private Schlüssel wird in einer besonders geschützten Umgebung aufbewahrt, zum Beispiel in einem Software-Token oder auf einer Smartcard.

Die Aufgaben der PKI bestehen also darin, die Identitäten der Schlüsselinhaber zu bestätigen, das Schlüsselpaar zu generieren und danach die Zertifikate zu erstellen, zu verteilen, zu verwalten und bei Bedarf zu prüfen.

Einfallstor „Digitale Arbeitswelt“ geschlossen

Der Geschäftsführer ist überzeugt und beauftragt seinen IT-Leiter, ein ganzheitliches PKI-Konzept im Unternehmen zu implementieren. Mit PKI-Technologien sind in dem mittelständischen Unternehmen nun die drei Einfallstore für Cyberangriffe wirkungsvoll geschlossen. Für den Schutz der Büro-IT setzt das Unternehmen eine Smartcard mit Kryptochip ein. Diese fungiert als Träger für die technischen PKI-Komponenten. Auf der Smartcard befinden sich deshalb das Inhaber-Zertifikat mit öffentlichem Schlüssel sowie, in einem speziell gesicherten Bereich, der private Schlüssel.

So ausgestattet, können die Mitarbeiter sicher nachweisen, dass sie berechtigt sind, sensible Unternehmensbereiche zu betreten oder von unterwegs auf das Unternehmensnetzwerk zuzugreifen. Das alles funktioniert kontaktlos über Terminals an den Türen oder am Computer über ein externes Lesegerät, auf das die Smartcard einfach aufgelegt wird.

 

Zusätzlich lassen sich mit der PKI-basierten Smartcard E-Mails verschlüsselt versenden und empfangen. Der öffentliche Schlüssel dient dabei zum Kodieren der Nachrichten, während der private Schlüssel des Empfängers für das Dekodieren eingesetzt wird. Umgekehrt verhält es sich mit der digitalen Signatur, welche die Mitarbeiter für besonders vertrauliche Dokumente wie Verträge oder Forschungsunterlagen nutzen.

Technisch vereinfacht ausgedrückt, wird von dem Dokument zunächst ein einmaliger „digitaler Fingerabdruck“ erzeugt. Dieser lässt sich dann mit dem privaten Schlüssel kodieren und dem Dokument hinzufügen. Das ist die Signatur.

Das digitale Zertifikat des Absenders inklusive öffentlicher Schlüssel ist dem Dokument ebenfalls beigefügt. Jetzt lässt sich alles zusammen verschicken. Beim Empfänger angekommen, wird über den öffentlichen Schlüssel des Zertifikats die Signatur entschlüsselt und unabhängig davon auch der „digitale Fingerabdruck“ des Dokuments berechnet. Stimmen beide Resultate überein, sind die Identität des Absenders und die Echtheit des Dokuments bestätigt.

Um Betrugsfälle bei der Rechnungsverarbeitung zu verhindern, versieht das Controlling alle elektronischen Rechnungen mit einem elektronischen Siegel. Das eSiegel überführt den Unternehmensstempel ins digitale Zeitalter und ist eine ideale Ergänzung zur elektronischen Unterschrift. Während digitale Signaturen sich auf einzelne Personen beziehen, ist das elektronische Siegel auf eine Organisation ausgestellt. Entsprechend besitzt das Siegel nicht ein Personenzertifikat, sondern ein Organisationszertifikat. Der Rechnungsempfänger kann somit sicher sein, dass die Rechnung auch von dem mittelständischen Unternehmen stammt und die Inhalte auf dem Transportweg nicht manipuliert wurden.

Einfallstor „Internet-Kommunikation“ geschlossen

SSL/TLS-Zertifikate sichern die Webseite des mittelständischen Unternehmens vor Datenmissbrauch und Datendiebstahl ab. TLS steht für „Transport-Layer-Security“ und ist das aktuelle Protokoll, mit dem sich die Internet-Kommunikation verschlüsseln lässt. SSL (Secure-Sockets-Layer)“ ist die Vorgängerversion, ist als Begriff aber bekannter und wird daher weiter verwendet. Installiert sind sogenannte „erweitert validierte Zertifikate (EV-Zertifikate)“, die im geschäftlichen Umfeld erste Wahl sind. Dabei wird nicht nur die Domain, sondern auch die Identität des Unternehmens von einer externen Zertifizierungsstelle sorgfältig geprüft, unter anderem durch die Vorlage des Handelsregisterauszugs.

Zusätzlich musste der IT-Leiter eine Vollmacht des Geschäftsführers vorlegen. Damit konnte er nachweisen, dass er bei dem Unternehmen auch angestellt ist und die Befugnis besitzt, ein EV-Zertifikat zu erwerben. Erkennbar sind EV-Zertifikate an dem grünen Unternehmensnamen in der Adresszeile des Browsers. Damit können Partner und Besucher sicher sein, dass es sich bei der besuchten Adresse auch tatsächlich um die Webseite des mittelständischen Unternehmens handelt und nicht um eine gefälschte Version. Zudem findet der Datentransfer zwischen dem Computer des Internet-Nutzers und der Unternehmenswebseite verschlüsselt statt.

Einfallstor „Produktion“ geschlossen

Zentrale Produktionsanlagen des mittelständischen Unternehmens besitzen jetzt Maschinenzertifikate. Sie werden für drei zentrale Aufgaben eingesetzt:

  • erstens zum Nachweis der sicheren Maschinenidentität, zum Beispiel wenn Informationen an andere externe Systeme und Prozesse oder in die Cloud übertragen werden,
  • zweitens für das elektronische Signieren von Steuerbefehlen und Log-Daten,
  • und drittens zum Verschlüsseln der Maschinenkommunikation.

Das Zertifikat und die kryptografischen Schlüssel sind auf einem sogenannten „Hardware Security Module (HSM)“ gesichert. Für ein hohes Schutzniveau sorgen viele physische Maßnahmen, wie zum Beispiel Bohrschutzfolien oder Temperatur- und Spannungssensoren, die sofort die geheimen Schlüssel löschen, wenn jemand versucht, das Gehäuse aufzubrechen.

Potenzial noch nicht ausgeschöpft

Das fiktive Beispiel des mittelständischen Unternehmens zeigt, wie umfangreich die Anwendungsmöglichkeiten einer PKI sind. Und es zeigt auch, wie selbstverständlich wir heute auf den unterschiedlichsten Ebenen bereits Sicherheitskonzepte auf PKI-Basis nutzen.

Doch das Potenzial von PKI-Lösungen ist bei weitem noch nicht ausgeschöpft. So ist der Einsatz von Maschinenzertifikaten gerade bei mittelständischen Unternehmen eher die Ausnahme als die Regel. Und auch das Thema „E-Mail-Verschlüsselung“ ist in der Breite noch nicht angekommen.

Welche Herausforderungen gilt es noch zu meistern, um Public-Key-Infrastrukturen noch stärker in der IT zu verankern? Welchen Einfluss haben rechtliche Vorgaben, wie die Datenschutzgrundverordnung, auf den Einsatz von PKI-Lösungen aus? Können zentrale Zukunftstrends, wie das Internet der Dinge, von PKI-Konzepten profitieren? Und hat die Public-Key-Infrastruktur angesichts von Quantencomputer und Blockchain-Technologie überhaupt eine Zukunft?

Antworten auf diese Fragen gibt der 2. Teil unserer Serie.

Anne-Sophie Gógl, Geschäftsführerin des Vereins ‚Sichere Identität Berlin-Brandenburg e.V.

www.sichere-identitaet-bb.de
 

GRID LIST
Tb W190 H80 Crop Int 49b8aad2435603d564c50d2760b776ff

Privileged Access-Management die Basis für IAM

Viele der in letzter Zeit bekannt gewordenen Cyberangriffe und Datenverstöße haben eines…
Rubik Würfel

Ganzheitliche Applikationssicherheit dank kombinierter Disziplinen

Durch die Digitalisierung steigen die Cyber-Attacken auf Applikationen und Webservices…
MFA

Modernisierte Multi-Faktor-Authentifizierung für die Cloud

MobileIron gibt heute die Erweiterung seiner Cloud-Sicherheitslösung MobileIron Access…
Supply Chain

Sichere Supply Chain erfordert strikte Regelungen zu privilegierten Zugriffen

Die Sicherung von Systemen und Daten in der Supply Chain zählt zu den größten…
Flugzeug

Transavia hebt ab mit One Identity

Niederländische Fluggesellschaft reduziert Provisionierungsaufwand für saisonal…
Identity

IAM löst Digitalisierungsprobleme von Finanzdienstleistern

Finanzdienstleister haben es nicht leicht, in der schnellen Welt der digitalisierten…
Smarte News aus der IT-Welt