M 2.163 Erhebung der Einflussfaktoren für kryptographische Verfahren und Produkte

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, Verantwortliche der einzelnen Anwendungen

Bevor eine Entscheidung getroffen werden kann, welche kryptographischen Verfahren und Produkte eingesetzt werden sollen, müssen eine Reihe von Einflussfaktoren ermittelt werden. Dazu können die Systemadministratoren und die Verantwortlichen der einzelnen IT-Systeme bzw. IT-Anwendungen befragt werden. Die Ergebnisse sind nachvollziehbar zu dokumentieren.

Für sämtliche in M 2.162 Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produktefestgelegten Speicherorte und Übertragungsstrecken sind folgende Einflussfaktoren zu ermitteln:

Sicherheitsaspekte

Die Antworten auf diese Fragen ergeben sich aus M 2.162 Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte.

Technische Aspekte

Der Betrieb von weitverzweigten IT-Infrastrukturen mit ihrer Vielzahl von Einzelkomponenten und Spezialeinrichtungen (Netzknoten, Server, Datenbanken, etc.) macht ein ebenfalls weitverzweigtes Sicherheitssystem mit mehreren Funktionseinheiten (Sicherheitsmanagement, Sicherheitsserver, Sicherheitsanwenderkomponente, etc.) erforderlich. In der Regel müssen dabei Systembetrachtungen angestellt werden, die nicht nur auf die eigentlichen Funktionalitäten abzielen, sondern auch bauliche und organisatorische Aspekte einbeziehen. Auch in Bezug auf die konkrete technische Platzierung von Sicherheitskomponenten sowie deren Integration in Nicht-Sicherheitskomponenten gilt es zu differenzieren, da dies einen unmittelbaren Einfluss auf die Implementierung der Sicherheitsfunktionen, auf die notwendige Unterstützung durch die Betriebssysteme, die Aufwände und den Kostenfaktor und nicht zuletzt auf die erreichbare Sicherheit hat. Ganz entscheidend für die Sicherheitsbewertung ist der Umstand, an welchen geographischen Lokalitäten und in welchen Ebenen des Protokollstacks die jeweiligen Sicherheitsdienste realisiert sind und wie diese in die Prozesse des zu schützenden IT-Systems eingebunden sind. Somit ergeben sich als Fragen:

Personelle und organisatorische Aspekte

Wirtschaftliche Aspekte

Key-Recovery

Falls die zur Verschlüsselung benutzten Schlüssel verloren gehen, sind auch die damit geschützten Daten verloren, sofern die unverschlüsselten Daten nicht zusätzlich an anderer Stelle vorliegen. Viele Kryptoprodukte bieten daher Funktionen zur Datenwiedergewinnung für solche Fälle an. Bevor solche Funktionen eingesetzt werden, sollte man sich auch deren Risiken klar machen: Wenn dadurch vertrauliche Schlüssel wiederhergestellt werden können, muss sichergestellt sein, dass dies nur Berechtigte können. Wenn es möglich ist, ohne Wissen des Original-Schlüsselbenutzers auf dessen Daten zuzugreifen, hat dieser keine Möglichkeit, böswillige Manipulationen zu beweisen. Der Einsatz von Key-Recovery-Mechanismen führt auch häufig aufgrund des entgegengebrachten Misstrauens zu Vorbehalten innerhalb des eigenen Unternehmens bzw. Behörde, aber auch bei den Kommunikationspartnern. Bei der Datenübertragung sollte daher generell auf Key-Recovery verzichtet werden. Hierfür gibt es auch keine Notwendigkeit, da beim Schlüssel- oder Datenverlust diese einfach noch einmal ausgetauscht werden können. Bei der lokalen Speicherung von Daten sollte der Einsatz sorgfältig überlegt werden (siehe auch M 6.56 Datensicherung bei Einsatz kryptographischer Verfahren). Unter den Hilfsmitteln zum IT-Grundschutz befindet sich ein Artikel zu Möglichkeiten und Risiken von Key-Recovery.

Lebensdauer von kryptographischen Verfahren

Kryptographische Verfahren und Produkte müssen regelmäßig daraufhin überprüft werden, ob sie noch dem Stand der Technik entsprechen. Die verwendeten Algorithmen können durch neue technische Entwicklungen, z. B. schnellere, billigere IT-Systeme, oder durch neue mathematische Erkenntnisse zu schwach werden. Die eingesetzten kryptographischen Produkte können Implementierungsfehler aufweisen. Bereits bei der Auswahl kryptographischer Verfahren sollte daher eine zeitliche Grenze für deren Einsatz festgelegt werden. Zu diesem Zeitpunkt sollte noch einmal gründlich überdacht werden, ob die eingesetzten Kryptomodule noch den erwarteten Schutz bieten.

Gesetzliche Rahmenbedingungen

Beim Einsatz kryptographischer Produkte sind diverse gesetzliche Rahmenbedingungen zu beachten. In einigen Ländern dürfen beispielsweise kryptographische Verfahren nicht ohne Genehmigung eingesetzt werden. Daher muss untersucht werden (siehe M 2.165 Auswahl eines geeigneten kryptographischen Produktes),

Es gibt allerdings nicht nur Maximalanforderungen, sondern auch Minimalanforderungen an die verwendeten kryptographischen Algorithmen oder Verfahren. So müssen z. B. bei der Übermittlung von personenbezogenen Daten Verschlüsselungsverfahren mit ausreichender Schlüssellänge eingesetzt werden.

Technische Lösungsbeispiele:

Im Folgenden finden sich einige Anwendungsbeispiele zu den verschiedenen Einsatzfeldern für kryptographische Verfahren.

Beispiel 1: Festplattenverschlüsselung

Die auf einem Speicherbaustein, z. B. einer Festplatte oder einem Flashspeicher eines stationären oder mobilen Clients (wie z. B. ein PDA, Smartphone, Tablet, Laptop oder PC) gespeicherten sensiblen Daten sollen so geschützt werden, dass

Dabei soll der Computer gegen die folgenden Bedrohungen geschützt werden:

Im Vordergrund soll hier der Schutz der Vertraulichkeit stehen.

Bei Diebstahl bzw. Verlust des Computers oder des Speicherbausteins steht dem Angreifer sehr viel Zeit für die unbefugte Kenntnisnahme zur Verfügung. Eine Schutzmaßnahme muss auch bei solchen Langzeitangriffen die Vertraulichkeit der gespeicherten Daten gewährleisten.

Als Schutzmaßnahme soll daher ein Produkt mit Boot-Schutz und Festplattenverschlüsselung eingesetzt werden. Auf dem Markt sind verschiedene Lösungen verfügbar.

Grundsätzlich sollte im eingesetzten Produkt ein etablierter Kryptoalgorithmus (z. B. AES) mit einer hinreichenden Schlüssellänge (128 Bit oder mehr) in einem verlässlichen Betriebsmodus (z. B. CBC, OFB oder GCM, kein XOR) implementiert sein.

Zum Einsatz kann entweder eine Verschlüsselungs-Software (Lösung A), eine Hardware-Verschlüsselungskomponente (Lösung B) oder eine Kombination aus Hardware- und Software-Komponente (Lösung C) kommen. Lösung C wird typischerweise aus einer Verschlüsselungs-Software in Kombination mit einem Hardware-Token, z. B. einer Chipkarte oder einem USB-Stick, zur Zugangskontrolle bestehen. Welche Lösung gewählt werden sollte, hängt von verschiedenen Entscheidungskriterien ab:

Beispiel 2: E-Mail-Verschlüsselung

Werden sensible Informationen (z. B. Firmengeheimnisse) per E-Mail über ungesicherte Netze ausgetauscht, sind Mechanismen zum Schutz der Vertraulichkeit und für die Gewähr der Authentizität von Nachrichten erforderlich.

Grundsätzlich bieten sich zwei Möglichkeiten, die sensiblen Daten zu schützen.

  1. Die zu schützenden Informationen werden in einer Datei gespeichert, die Datei wird dann mit einem Dateiverschlüsselungsprogramm verschlüsselt und die verschlüsselte Datei wird der E-Mail als Anhang beigefügt. Der eigentliche Text der E-Mail bleibt dabei ungesichert.
  2. Die gesamte E-Mail (Text und ggf. Anhänge) wird mithilfe eines speziellen E-Mail-Verschlüsselungsprogramms verschlüsselt.

Möglichkeit 2 setzt voraus, dass beim Benutzer ein E-Mail-Programm (z. B. Outlook, Kontact oder Thunderbird) installiert ist, welches die Einbindung eines E-Mail-Verschlüsselungsprogramms als Plugin ermöglicht. Im Falle, dass der Benutzer einen webbasierten E-Mail-Client verwendet, kommt nur Möglichkeit 1 in Frage.

Voraussetzung ist hierbei natürlich, dass nicht nur der Sender der E-Mail, sondern auch der Empfänger über ein kompatibles Verschlüsselungsprogramm verfügt.

Beide genannten Möglichkeiten bieten Ende-zu-Ende-Sicherheit zwischen Sender und Empfänger. Der Sender entscheidet dabei in der Regel, welche Informationen er für sensibel und schützenswert hält. In vielen Fällen (je nach eingesetztem Verschlüsselungsprogramm) sind Sender und Empfänger auch für das Schlüsselmanagement verantwortlich. Die Entscheidung des Senders, welche Daten er verschlüsselt und das Schlüsselmanagement werden ihm abgenommen, wenn grundsätzlich alle E-Mails, die beispielsweise zwischen den Liegenschaften einer Institution versendet werden, automatisiert vom E-Mail-Server ver- bzw. entschlüsselt werden. Das Schlüsselmanagement beschränkt sich dann personell auf die IT-Administratoren der Institution, und die E-Mails sind lediglich zwischen Sender und E-Mail-Server bzw. E-Mail-Server und Empfänger ungeschützt, also auf Strecken, die im Allgemeinen innerhalb einer Liegenschaft und somit in einem gesicherten Bereich verlaufen.

Selbstverständlich sind beide Methoden (Ende-zu-Ende-Verschlüsselung und automatisierte Verschlüsselung zwischen den E-Mail-Servern) miteinander kombinierbar und erhöhen so die Sicherheit.

Werden die E-Mails mittels eines Datei- oder eines E-Mail-Verschlüsselungsprogramms gesichert, stellt sich die Wahl zwischen einem Programm, welches mit symmetrischen oder mit asymmetrischen Mechanismen arbeitet (siehe M 3.23 Einführung in kryptographische Grundbegriffe). In jedem Fall sollte ein Produkt eines namhaften Herstellers verwendet werden, welches mit etablierten und (auch aus Interoperabilitätsgründen) standardisierten Verfahren arbeitet. Auch Open-Source-Produkte bieten häufig eine gute Alternative. Produkte, die vollmundig mit "beweisbarer hunderprozentiger Sicherheit" werben, sind meist mit Vorsicht zu genießen.

Beide Arten, symmetrisch und asymmetrisch, bieten Vor- und Nachteile.

Verschlüsselungsprogramme mit symmetrischen Mechanismen

Ein symmetrisches Verfahren bietet sich beispielsweise an, wenn sensible Daten innerhalb eines kleinen Arbeitskreises ausgetauscht werden sollen. Der notwendige Schlüssel kann etwa auf einer konstituierenden Sitzung des Arbeitskreises ad hoc erzeugt und an die Mitglieder verteilt werden - ein aufwändiges Schlüsselmanagement oder gar eine Public-Key-Infrastruktur (siehe unten) sind nicht notwendig. Keinesfalls darf ein symmetrischer Schlüssel per E-Mail versendet werden.

Wird der Schlüssel für ein symmetrisches Verfahren selbstständig, d. h. ohne Verwendung eines Zufallszahlengenerators erzeugt, ist zu beachten, dass für den Schlüssel ein wesentlich höheres Sicherheitsniveau als beispielsweise für ein Passwort beim Online-Banking notwendig ist, da es für den Schlüssel keinen Fehlbedienungszähler gibt und ein Angreifer, der in Besitz einer verschlüsselten Datei kommt, beliebig viele Versuche hat, den Schlüssel systematisch und automatisiert zu ermitteln.

Auch einige ZIP-Programme bieten ausreichend sichere Verschlüsselungsoptionen, allerdings gibt es auch ZIP-Programme mit schlecht implementierter oder unzureichender Verschlüsselung. Bevor ZIP-Programme zur Verschlüsselung von vertraulichen Informationen genutzt werden, sollte das Sicherheitsmanagement die Güte der verwendeten Kryptoverfahren überprüfen oder entsprechende Testberichte einholen.

Verschlüsselungsprogramme mit asymmetrischen Mechanismen

Der Vorteil von asymmetrischer gegenüber symmetrischer Verschlüsselung ist, dass der Schlüssel, der zum Verschlüsseln verwendet wird, nicht geheim gehalten zu werden braucht. Deshalb wird ein asymmetrisches Verfahren auch Public-Key-Verfahren und der Schlüssel zum Verschlüsseln auch "öffentlicher Schlüssel" genannt. Die öffentlichen Schlüssel können also ruhigen Gewissens per E-Mail versendet oder in einem Verzeichnis veröffentlicht werden. Auf diese Weise können also sogar persönlich nicht miteinander bekannte Personen vertraulich miteinander per E-Mail kommunizieren.

Allerdings muss sich der Versender einer E-Mail davon überzeugen, dass der Schlüssel, den er zum Verschlüsseln der E-Mail verwendet, tatsächlich der öffentliche Schlüssel des Empfängers ist, der öffentliche Schlüssel also authentisch ist.

Die Authentizität der öffentlichen Schlüssel kann beispielsweise durch eine Public-Key-Infrastruktur (PKI) gewährleistet werden. Bei einer PKI stellt eine vertrauenswürdige Stelle Zertifikate für die öffentlichen Schlüssel der Benutzer aus. Der Versender einer E-Mail würde dem öffentlichen Schlüssel des Empfängers nur dann trauen, wenn er ein gültiges Zertifikat besitzt. Das Ausstellen von Schlüsselzertifikaten durch die vertrauenswürdige Stelle ist unter Umständen mit zusätzlichen Kosten verbunden.

Steht keine PKI zur Verfügung oder gehören Sender und Empfänger unterschiedlichen PKIs an, muss sich der Sender auf andere Weise von der Echtheit des öffentlichen Schlüssels überzeugen. Eine Möglichkeit, dies zu tun, ist, den Empfänger telefonisch zu kontaktieren und den sogenannten Fingerabdruck des Schlüssels (das ist ein kryptographischer Hashwert des Schlüssels) zu vergleichen. Der Fingerabdruck eines öffentlichen Schlüssels lässt sich mit den gängigen asymmetrischen Verschlüsselungsprogrammen am Bildschirm anzeigen. Hierzu ist es jedoch erforderlich, dass der Sender den Empfänger am Telefon (z. B. anhand der Stimme) eindeutig identifizieren kann.

Weit verbreitet sind folgende (nicht miteinander kompatible) Standards:

OpenPGP wird etwa vom kommerziellen Produkt PGP und vom Open-Source-Produkt GnuPG unterstützt.

Authentizität der empfangenen E-Mail

Symmetrische Mechanismen bieten in der Regel eine implizite Gewähr für die Authentizität der empfangenen Informationen, da eine sinnvoll zu entschlüsselnde E-Mail nur von demjenigen erzeugt werden konnte, der in Besitz des Schlüssels ist.

Bei Verwendung eines asymmetrischen Verfahrens hingegen liefert die Tatsache, dass eine E-Mail korrekt entschlüsselt werden konnte, keinen Hinweis auf die Authentizität des Absenders, denn der Schlüssel, den er zum Verschlüsseln verwendet hat, ist wie gesagt öffentlich. Somit kann jeder, der Zugang zum öffentlichen Schlüssel des Empfängers hat, der potenzielle Absender gewesen sein.

Aus diesem Grunde bieten asymmetrische Verfahren dem Sender zusätzlich die Möglichkeit, eine Datei bzw. eine E-Mail elektronisch zu signieren. Um die Signatur zu prüfen, benötigt der Empfänger einen öffentlichen Signaturschlüssel des Senders. (Der öffentliche Signaturschlüssel sollte sich nach Möglichkeit vom öffentlichen Verschlüsselungsschlüssel des Senders unterscheiden. Bei vielen Produkten sind jedoch Signatur- und Verschlüsselungsschlüssel identisch.) Um die Echtheit des Signaturschlüssels zu verifizieren, wird auch hier eine PKI benötigt, oder der Empfänger muss den Fingerabdruck des Signaturschlüssels mit dem Sender abgleichen.

Prüffragen: