computerwoche.de

Archiv

Internet-Sicherheit/Sicher ist sicher - oder?

Aus der Praxis gelernt: Ganzheitliche Betrachtung tut Not

29.09.2000
Trotz vorhandener Methoden und Lösungen kann die Entwicklung der IT-Sicherheit mit den Anforderungen im E-Business oft nicht Schritt halten. Das liegt nach Darstellung von Thorsten Gramlich und Jürgen Landauer* allzu häufig daran, dass sich die Firmen auf die Technik konzentrieren und die ganzheitliche Betrachtung vernachlässigen. So müssen Unternehmen immer wieder durch Sicherheitslücken wirtschaftliche Einbußen hinnehmen.

"Unser Firmennetz ist sicher - wir verwenden Passwörter." In vielen deutschen Vorstandsetagen ist dieser Satz noch immer Standard. Auch im Jahr des Melissa-Virus sind Manager nur selten ausreichend über die Risiken informiert, die durch die rapide zunehmende Vernetzung auf ihre Unternehmen zukommen. In erster Linie lässt sich das auf ungenügende Erfahrung mit neuen Technologien und deren rasanter Entwicklung zurückführen. Viele Firmen arbeiten erst seit kurzer Zeit mit dem Internet. Andererseits ist es bisher meist noch nicht gelungen, die IT-Installationen und die Unternehmensprozesse in ein ganzheitliches Sicherheits-Management einzubinden. Genau hierin liegt aber künftig ein wesentlicher Erfolgsfaktor für das E-Business.

Der IT-Sicherheitsmarkt muss auf vier Bedürfnisse reagieren: Applikationssicherheit (zum Beispiel mit Content-Filter und PKI), Systemsicherheit, das heißt etwa Datenverschlüsselung, Netzwerksicherheit beispielweise mit Firewalls und VPN sowie unternehmensweite Sicherheit wie mit Security-Consulting und Audits. Eine komplette Abdeckung der Risiken erfordert ein umfassendes Sicherheits-Management unter Anwendung aktueller Technologien. Hierbei werden alle Elemente in einer integrativen Sicherheitslösung zusammengeführt.

Grundlage für ein umfassendes Sicherheits-Management bildet eine Risikoanalyse nach der Art: "Welche Bedrohungsszenarien kann es geben, welche Schäden - materiell und immateriell - sind jeweils zu erwarten?" Ausgehend davon wird ein Konzept erstellt, das Maßnahmen zur Abwehr dieser Risiken definiert. Zusätzlich muss man dazu das gewünschte Sicherheitslevel bestimmen, um Anhaltspunkte für das Risk-Management zu bekommen. Denn es ist wichtig, dass die Maßnahmen in einem vernünftigen Verhältnis zur Schutzwürdigkeit der Daten stehen. Die Auswahl geeigneter technischer Lösungen und deren organisatorische und funktionelle Implementierung schließt diesen Analyseprozess ab. Regelmäßig durchgeführte Reviews bei Veränderungen oder neuen Bedrohungen gewährleisten eine Sicherheitslösung, die stets auf dem gewünschten Niveau bleibt.

Reaktionen bei Banken und VersicherungenAllerdings ist Technologie nicht alles. Auch der unwahrscheinlichste Fall einer Bedrohung lässt sich nicht ganz ausschließen. Für diesen Zeitpunkt sollten Unternehmen über ein ergänzendes Risk-Management verfügen. Versicherungsgesellschaft wie Lloyd´s of London, für die das Einschätzen von Risiken schon immer ein Teil ihres Kerngeschäfts war, haben diese Notwendigkeit erkannt. Seit einigen Wochen bietet Lloyd´s zusammen mit der amerikanischen Internet-Sicherheitsfirma Counterpane eine Police an, die Schäden durch Netzwerkeindringlinge abdeckt, sofern Counterpane die Sicherheitsmaßnahmen des Versicherungsunternehmens überwacht.

Auch deutsche Banken überlegen, ihren Kunden die Angst vor dem Homebanking zu nehmen, indem sie zusätzlich zu den technischen Sicherheitsmaßnahmen wie Verschlüsselung das Risiko für "Unregelmäßigkeiten" aller Art bis zu einem gewissen Höchstbetrag übernehmen. Positiver Nebeneffekt solcher Ansätze ist, dass die Sicherheit sowohl für die Firmen als auch für den Kunden transparent und kalkulierbar wird.

Durch den Druck des Marktes ist das Produkt-Portfolio der Security-Anbieter inzwischen weitgehend ausgereift und standardisiert. Die Kundenanbindung über ein Extranet oder im Onlineshop ist heute einfach: Für die Übertragung im offenen, ungeschützten Internet haben sich SSL-Protokolle (Secure Socket Layer) am Markt durchgesetzt.

Sollen Filialen, Außendienst und Geschäftspartner intensiv miteinander kommunizieren können, so bieten sich Virtual Private Networks (VPN) an. Ein Problemfeld stellt allerdings noch die persönliche Authentifizierung - also die Identifikation des Anwenders - dar, besonders für hochsensible Anwendungsbereiche. Traditionelle Methoden wie PIN, TAN oder Passwörter stoßen an ihre Grenzen. Zu kurze Kennungen werden von cleveren Algorithmen auf immer schnelleren Prozessoren einfach entschlüsselt und lange Passwörter verleiten den Anwender dazu, sie einfach aufzuschreiben. Hardware-basierte Lösungen wie die Authentifizierung mittels Geldkarte beim Homebanking oder ganz allgemein Smartcards versprechen Abhilfe zu schaffen - insbesondere seit der Einführung der gesetzlichen Bestimmungen zur elektronischen Unterschrift. Hohe Kosten und Hardware-Inkompatibilitäten stehen einer Verbreitung dieser Systeme allerdings noch entgegen. Deshalb hilft hier oftmals nur die Entwicklung von Individualsoftware zum Beispiel auf Basis standardisierter Bibliotheken wie der Java Security API.

Zwei Beispiele aus dem Electronic Commerce zeigen, wie die sinnvolle Verknüpfung von Sicherheitstechnik und -Management erfolgen kann: Die Deutsche Post AG will ab kommendem Jahr die Frankierung von Briefen über das Internet anbieten (www.deutschepost.de/pc-frankierung). Die digitale Briefmarke ist nicht mehr durch Spezialpapier oder Ähnliches vor Fälschungen geschützt, sondern lässt sich mit einem handelsüblichen Drucker einfach auf den Briefumschlag drucken. Der Vorteil für den Postkunden liegt auf der Hand: Der Gang in die gelbe Filiale mit meist langen Warteschlangen an den Schaltern entfällt - man bezahlt das Porto einfach im Internet.

Am Anfang des Verfahrens stand auch hier eine Sicherheitsanalyse, bei der Risiken bewertet und geeignete Strategien dagegen entwickelt wurden. Ziel war, das Nachahmen der Marken so zu erschweren, dass auch in absehbarer Zukunft die Kosten für Fälschungen den möglichen finanziellen Nutzen deutlich übersteigen.

Der Maßnahmenmix macht´s

Ein Mix aus organisatorischen Maßnahmen der aktiven Abwehr und technologischen Ansätzen macht die digitale Briefmarke sicher. Sie wird zum Beispiel durch einen integrierten Kryptocode zum Unikat. Bei der Entwicklung wurde besonders auf Datenschutz Wert gelegt, denn der Kryptocode enthält nicht die komplette Empfängeradresse, sondern nur einen eher zufälligen Anteil, einen so genannten "Hashcode". Er lässt zwar Authentizitätsprüfungen zu, macht aber die Rekonstruktion der Adresse aus den gespeicherten Daten unmöglich. Bei der Briefsortierung sollen Lesegeräte den Code verarbeiten und durch geeignete Algorithmen feststellen, ob Dubletten vorliegen, indem die Marke nur fotokopiert wurde, oder ob sie echt ist. Das komplette Briefmarken-Digitalisierungs-System basiert auf Standardkomponenten wie dem schon seit Jahren bewährten RSA-Verfahren, das der Verschlüsselung dient.

Verschlüsselung und Authentifizierung

Auch im Bankenwesen sorgt der Wettbewerb der Kredithäuser untereinander für schlankere, schnellere Abläufe. Teilprozesse bei oder vor der Wertpapiervermittlung werden zum Beispiel wie im Intranet nur noch online und dadurch zeitnah abgewickelt. Im konkreten Fall forderte eine mittelständische Privatbank, auch Entscheidungen transparent und im Nachhinein noch nachvollziehbar darzustellen, die nicht rechtlichen Vorschriften unterliegen, etwa: "Welcher Mitarbeiter war an welchem Prozess beteiligt?" Mit sehr engen Budgetgrenzen entstand im Rahmen der Sicherheitsstrategieberatung ein gemischter Ansatz, der zunächst auf SSL und einer PIN-Authentifizierung beruht. Für die Zukunft wird er so gestaltet, dass er sich zu einer Lösung auf Chip-Basis ausbauen lässt.

Gespannt sein darf man auch auf die Auswirkungen der Liberalisierung des Exports von Verschlüsselungssoftware in den USA. Amerikanische Produkte werden möglicherweise noch in diesem Jahr eine weitaus größere Bedeutung gewinnen, als sie heute infolge der Ausfuhrrestriktionen noch haben. Dies gilt um so mehr, als viele Sicherheitsfunktionen in der heutigen Standardsoftware integriert sind, die zum größten Teil aus den Vereinigten Staaten kommt.

Biometrie anstelle von PasswörternWeitgehend offen hingegen ist das Problem der Benutzeridentifikation. Eine Lösung versprechen neuerdings die so genannten biometrischen Verfahren wie das Scannen von Fingerabdrücken. Wenn sie ihr Prototypenstadium überwunden haben, kann sich rasch eine Trendwende ankündigen, denn "Passwörter" dieser Art kann man nicht vergessen, was sie für eine Vielzahl von Anwendungen attraktiv macht.

Entscheidend für den zukünftigen Erfolg von Sicherheitskomponenten ist ihre Zusammenarbeit über das weltweite Internet, das eine Standardisierung der Softwareprodukte erfordert. Spezielle Produkte, etwa Verschlüsselungsverfahren, die sich nur in einem Land einsetzen lassen, haben auf dem internationalen Markt nur geringe Chancen.

*Thorsten Gramlich ist Business Consultant, Jürgen Landauer Projektleiter bei der GFT Technologies AG in Böblingen.