Kryptographie-Tools
Praktische Aspekte
Copyright (C) 10/1999 by Howard Fuhs
Spätestens seit dem weltweiten Erfolg des Computers und des Internet kann der Weg in die Informationsgesellschaft nicht mehr geleugnet werden. Mittlerweile hat sich sowohl die Art und Weise der Kommunikation als auch die Geschäftsabwicklung stark verändert. Damit die Informationsgesellschaft über die notwendige Sicherheit verfügt benötigt sie im zunehmenden Maße Kryptographie-Tools.
Mit der kommerziellen Nutzung des Internet entstanden neue Möglichkeiten und Betätigungsfelder für Privatpersonen wie auch Unternehmen und Behörden die heute über leistungsfähige elektronische Netzwerke miteinander kommunizieren. Schlagworte wie Telearbeit, Homebanking, Electronic Commerce, elektronisches Geld und Online-Shopping werden auf einer immer breiteren Gesellschaftsbasis realisiert und genutzt. Mit der Einführung neuer Kommunikationstechniken entstehen jedoch auch neue Sicherheitsprobleme und Gefahren. Um dieser Problematik entgegenzuwirken werden entsprechende Sicherheitsmechanismen benötigt um das Vertrauen der Anwender in die neuen Technologien zu festigen. Je geringer das Vertrauen in neue Kommunikationsmittel ist, desto geringer ist auch die Marktakzeptanz, was sich derzeit schön unter dem Begriff Online-Shopping nachvollziehen läßt. Von den Analysten noch vor einiger Zeit als die Form des neuen Einkaufens gepriesen, findet Online-Shopping einfach nicht die Akzeptanz beim potentiellen Kunden wie vorhergesagt. Hört man die Verbraucherseite zu dem Themenkomplex stellt sich sehr schnell heraus, dass über 80% der deutschen Internet-Nutzer sich fürchten, dass ihre Kreditkartennummer von Hackern im Internet missbraucht werden könnte.
Auch für Unternehmen stellt die Verschlüsselung einen wichtigen Erfolgsfaktor dar. Informationen sind zum höchsten Wirtschaftsgut in der heutigen Geschäftswelt geworden. Aber die Konkurrenz hör mit und bei einem Informationsdiebstahl werden nur selten Spuren hinterlassen.
Solchen Problemen kann man mit dem Einsatz von Krytographie-Tools wirksam entgegentreten. Durch den Einsatz unterschiedlicher Verschlüsselungstechniken ist man in der Lage, die drei Anforderungen für elektronische Sicherheit zu erfüllen - Manipulationssicherheit, Vertraulichkeit und Authentizität. Die Manipulationssicherheit bietet Schutz vor Veränderung oder Fälschung von Daten und elektronischen Transaktionen. Bei der Vertraulichkeit wird der Schutz vor unbefugtem Zugriff auf Daten gewährleistet und durch die Authentizität der Daten wird die Identität des Absenders vor Fälschungen sichergestellt.
Der Einsatz von Kryptographie in einem Unternehmen entspricht dem wichtigsten Grundprinzip der Datensicherheit, durch präventive Maßnahmen Schäden zu vermeiden. Dabei kann das Restrisiko erfolgreich auf ein wirtschftlich vertretbares Minimum verringert werden.
Doch gute Kryptographie-Tools müssen noch etwas mehr können als nur sicher zu sein. Da diese Sicherheit, die eine Krypto-Lösung bieten soll, nicht nur unter Laborbedingungen funktionieren darf, sondern auch in der alltäglichen Arbeitspraxis gewährleistet sein muss, müssen noch weitere Eigenschaften erfüllt werden. Egal ob eine maßgeschneiderte Lösung oder ein Produkt "von der Stange", die Bedieneroberfläche für den Endanwender muss einfach und intuitiv sein, ohne durch allzu viele Funktionen ihn von der Verwendung gar abzuschrecken. Die beste Datensicherheitstechnik in einem Unternehmen nutzt nichts, wenn diese vom Endanwender nicht akzeptiert und genutzt wird.
Um die Kosten im Griff zu behalten, sollte eine Kryptographie-Lösung leicht in heterogenen Netzen zu installieren sein und den Systemadministrator durch entsprechende Tools bei der Wartung unterstützen. Darüber hinaus muss die Kryptographie-Lösung im Netzwerkbereich für die eingesetzten Netzwerkprotokolle systemtransparent sein. Damit wird ereicht, dass keine propritären Netzwerkprotokolle nur für das Kryptographie-Tool installiert und gewartet werden müssen und die verwendeten Standardapplikationen ohne Probleme sowohl das Netzwerk als auch die Verschlüsselungslösung nutzen können.
Der Einsatz von Kryptographie-Tools innerhalb einer Organisation bedeutet auch ein Anstieg der Last auf bestimmten Rechnern, innerhalb bestimmter Applikationen oder auch innerhalb des Netzwerks. Um dieses zusätzliche Lastaufkommen vernünftig zu gestalten, empfiehlt es sich entsprechend der Schutzwürdigkeit des Informationsinhalts unterschiedliche Sicherheitslayer zu definieren. Da nicht jede während des Geschäftsbetriebs generierte Information automatisch dem höchsten Verschlüsselungsschutz bedarf, kann durch eine Unterteilung in verschiedene Schutzgruppen sichergestellt werden, dass die Last sinnvoll verteilt ist und die wirklich wichtigen Informationen auch der höchsten Verschlüsselungsstufe unterliegen. Geeignete Kryptographie-Produkte verfügen über eine automatische und dynamische Lastverteilung zwishen verschiedenen Servern und erlauben das hinzufügen von neuen Servern im laufenden Betrieb.
Die Zukunftssicherheit von Kryptographie-Tools ist für den Anwender im Rahmen der TCO (Total Cost of Ownership) ein wichtiger Faktor und sollte unter zwei Aspekten bewertet werden. Der Aspekt Sicherheit des Verschlüsselungsalgorithmus sowie der Schlüssellänge spielen im Bereich der Produksicherheit eine große Rolle. Ist der Algorithmus nicht mehr zeitgemäß oder die Schlüssellänge unzureichend, muss damit gerechnet werden, dass die nächste Generation von Computern die Verschlüsselung binnen kürzester Zeit und ohne große Probleme knacken kann. Als zweiter Aspekt muss die Skalierbarkeit des Produkts gelten. Gerade bei schnell wachsenden Unternehmen muss das Produkt in der Lage sein eine Kapazität von 500 bis 5 000 Anwendern abdecken zu können ohne dass es dabei an seine Grenzen stößt. Was die Skalierbarkeit von Produkten angeht, sollten die Grenzen durch Faktoren wie unternehmensinterne Netzwerkbandbreite oder CPU-Gesamtleistung definiert werden und nicht durch das Kryptographie-Produkt.
Bei der Betrachtung der Datenverschlüsselung sollte auf keinen Fall die Verschlüsselung von Telekommunikationskanälen fehlen. Nicht nur die Computer sind angreifbar, Telekommunikationsverbindungen sind ebenfalls unsicher. Gerade auf Geschäftsleitungsebene wird mit modernen Kommunikationsmitteln wie ISDN-Telefonie oder Videokonferenzsystemen allzu arglos umgegangen. Bisher waren im Rahmen einer Sicherheitsüberprüfung über 90% der Unternehmen auf einen "Lauschangriff" auf ihre Telekommunikationsmittel vorbereitet noch hatten sie irgendwelche Schutzmaßnahmen in ihrem Unternehmen eingeführt. Es ist deshalb im Rahmen eines Gesamtschutzes für das Unternehmen wichtig, die Telekommunikationskanäle gemäß ihrer Wichtigkeit mit Verschlüsselungstechnologie zu versehen.
Copyright (C) 10/1999 by Howard FuhsDas Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 10/1999 by Howard Fuhs