Parallel zur Integration entlang der Zuliefererkette müssen immer mehr Unternehmen durchgängig sichere digitale Prozesse in den eigenen Netzen anstreben. Kaum ein Großunternehmen, das derzeit keine Pläne entwickelt, eine so genannte Public-Key-Infrastruktur (PKI) hierfür aufzubauen. Dabei liegen die Schwierigkeiten erfahrungsgemäß weniger in der Technik, als in der konsequenten Konzeption der Sicherheitsstrukturen.
Eine abgesicherte Infrastruktur ist in vielen Fällen wesentliche Voraussetzung für die Umsetzung des E-Business-Gedankens, denn sie schafft die Grundlage für vertrauliche Kommunikation - also für verschlüsselte E-Mails und andere Verschlüsselungen im Intra- und Internet - sowie für die digitale Signatur. Dabei zeichnet sich ab, dass die komplexen gesetzlichen Bestimmungen zur digitalen Signatur zwar von großer Bedeutung im Business-to-Customer-Bereich (B-to-C) sind, im reinen Business-to-Business-Sektor (B-to-B) jedoch eine weit geringere Rolle spielen.
Partner mit Cross-ZertifizierungNicht zwangsläufig müssen zum Beispiel die Zertifikate, die dokumentieren, dass ein bestimmter Schlüssel einer bestimmten Person gehört, von einer dezidierten Root-CA (Certification Authority) abstammen. Stattdessen können Geschäftspartner durch eine einfache und einmalige vertragliche Vereinbarung festlegen, dass sie ihre Zertifikate gegenseitig anerkennen. Diese so genannte Cross-Zertifizierung ermöglicht dann rechtsgültige digitale Geschäfte zwischen den Partnern. Im Gegensatz zur gesetzeskonformen Signatur setzt dies aber voraus, dass sich die Geschäftspartner kennen und die Sicherheitsmaßnahmen des anderen als ausreichend akzeptieren. Auf technischer Seite bestehen zum Beispiel mit Identrus Frameworks, die das Zusammenspiel der Komponenten und ein sinnvolles Sicherheitsniveau gewährleisten.
Doch der entscheidende Faktor beim Einschleifen derartiger Strukturen ist nicht die Technik, sondern die Konzeption beziehungsweise Organisation. Dies zeigt sich zum Beispiel bei der Siemens AG, die auf dem Weg zur E-Company derzeit eine der weltweit größten PK-Infrastrukturen aufbaut. Für die Mitarbeiter bedeutet es, dass sie sukzessive mit neuen Ausweisen ausgestattet werden. Dabei handelt es sich um Smartcards, die nicht nur Speicher für private Schlüssel, Zertifikate für die digitale Signatur und eine verschlüsselte Kommunikation sind, sie ermöglichen auch einen sicheren PC-Zugang, den Gebäudezutritt, Zeiterfassung sowie Bezahlen in der Kantine.
Erste organisatorische Herausforderung für das 440000 Mitarbeiter zählende Unternehmen ist die Einführung durchgängiger Identifizierungsnummern, damit die Schlüssel untrennbar den jeweiligen Mitarbeitern zugeordnet werden können. Wird ein solches Zertifikat ungültig - etwa, weil ein Mitarbeiter ausscheidet - muss dies in entsprechenden Verzeichnissen (Certification Revocation Lists, CRL) gespeichert werden. Als Drehscheibe zwischen den CRL und anderen Ver-zeichnissen dienen Meta Directories.
Key Recovery muss ausgeschlossen seinAuf organisatorischer Ebene muss zum Beispiel auch geklärt werden, was geschieht, wenn ein Mitarbeiter morgens am Werktor feststellt, dass er seinen Ausweis vergessen hat. Denn selbst wenn der Pförtner ihn kennt und durch das Drehkreuz lässt, beim Einschalten seines PCs entsteht das nächste Problem, wenn er normalerweise mittels Smartcard bootet. Und wie ist zu verfahren, wenn ein Mitarbeiter verunglückt, seine Kollegen jedoch unbedingt auf von ihm erstellte Dateien - etwa ein Angebot - zugreifen müssen? Lösung für solche Konflikte kann ein genau definiertes Key Recovery sein. So lässt sich beispielsweise festlegen, dass der Vorgesetzte und ein Kollege im Unglücksfall gemeinsam verschlüsselt gespeicherte Daten entschlüsseln können.
Typischerweise werden innerhalb solcher Sicherheitsinfrastrukturen in Unternehmen für Verschlüsselung und digitale Signatur zwei separate Schlüsselpaare erzeugt. Bei der digitalen Signatur muss ein Key Recovery in jedem Fall ausgeschlossen sein, damit die Signatur überhaupt rechtskräftig sein kann.
Vertrauenssache SchlüsselerzeugungDas Generieren der Schlüssel kann im Unternehmen selbst geschehen, entweder, indem jeder Mitarbeiter seine Schlüssel selbst generiert, oder zentral mit Hilfe eines gesicherten Trust Centers (TC). Siemens zum Beispiel hat sich für solch ein selbst betriebenes Center entschieden; dort werden dann auch für Geschäftspartner Schlüssel erzeugt. Alternativ können die Schlüssel bei Dienstleistern wie beispielsweise dem Trust Center, das von den vier deutschen Großbanken getragen wird, generiert werden. Diese Variante zieht zum Beispiel die BMW AG vor, die ebenfalls damit begonnen hat, einen neuen Mitarbeiterausweis mit Funktionen für Verschlüsselung und digitale Signatur einzuführen.
Im nächsten Schritt muss gewährleistet werden, dass die Schlüsselpaare und ihre Besitzer eine zweifelsfreie Zuordnung erfahren. Diese Zertifikate werden von einer Certification Authority erzeugt. Auch hierfür gibt es unterschiedliche Modelle, die im Rahmen eines Security-Konzeptes definiert werden müssen. Weniger sicher ist, wenn jeder Mitarbeiter per Mail einen von ihm generierten Schlüssel durch eine externe CA zertifizieren lässt.
Einem ganz anderen Vertrauensmodell entspricht dagegen die Errichtung unternehmenseigener CAs, bei denen die Mitarbeiter ihre Zertifikate erst gegen persönliche Vorlage ihres Personalausweises erhalten. Durch diese einmalige persönliche Authentifizierung ist fortan eine äußerst sichere digitale Authentifizierung möglich, wie sie sowohl für vertrauliche Kommunikation und digitale Signatur, als auch für Single-Sign-on notwendig ist.
Attributzertifikate zur Autorisierung im NetzNeuere Public-Key-Infrastruktur-Lösungen beziehungsweise auf solchen PKIs aufsetzende Produkte bieten Möglichkeiten der Personalisierung von Angeboten, etwa im Internet oder im Intranet. Deren Standardfunktion der Authentifikation wird dabei um eine Autorisierung erweitert. Hierzu werden so genannte Attributzertifikate verwendet. Diese ergänzen die gewöhnlichen Zertifikate um zusätzliche Informationen.
Ausgangspunkt bei der Entwicklung solcher Attribute Authorities (AA) ist das Problem, dass eine PKI zwar prüft, wer ihre Dienste in Anspruch nimmt. Welche Rechte dieser Nutzer jedoch innerhalb eines Netzes oder Angebotes hat, ist indes eine Frage, die eine klassische PK-Infrastruktur nicht beantworten kann. Deshalb bauen AA-Lösungen wie beispielsweise der von der irischen SSE entwickelte Topsec Authoriser auf vorhandene PKIs logisch auf. Dies setzt allerdings die Nutzung des X.509-Standards voraus.
Premium- und andere Kunden unterscheidenUm eine möglichst einfache Administration von Benutzerrechten zu ermöglichen, können in Attribute Authorities anstelle der identitätsbasierten Anmeldung auch Rollen definiert werden, die die User eines Systems einnehmen können. Innerhalb eines Unternehmens kann es sich dann um eine Funktion oder Zuordnung des Mitarbeiters - etwa Vertrieb - handeln, um den Dienstort, die Gültigkeitsdauer oder eine Klassifikation, aus der hervorgeht, bis zu welcher Vertraulichkeitsstufe er Dateien nutzen darf. Damit ließe sich zum Beispiel eine neue Customer-Relationship-Applikation für alle Vertriebsmitarbeiter einer Organisation zentral freischalten. Zugriff zu den Dateien für eine Ausschreibung erhalten dagegen nur die Mitglieder des Projekt-Teams. Auf einem elektronischen Marktplatz können nach diesem Prinzip beispielsweise Premiumkunden von Gelegenheitskunden unterschieden und mit unterschiedlichen Angeboten angesprochen werden.
Die Rollenfestlegungen finden sich dann in den so genannten Attributzertifikaten. Hierbei handelt es sich um inhaltliche Ergänzungen der klassischen PKI-Zertifikate. Möglich ist schließlich auch das Speichern von Passwörtern für Unternehmensapplikationen innerhalb eines Attributzertifikats, so dass ein Anwender automatisch alle Applikationen und Daten, zu deren Nutzung er berechtigt ist, zur Verfügung hat - ein bequemer Weg zum Single-Sign-on im Intranet also.
Allerdings entstehen durch PKI und rollenbasierte Autorisierung für jeden Anwender gleich mehrere sicherheitsrelevante Informationen: private Schlüssel für Signatur und Codierung, Zertifikate und Attributzertifikate. Sie alle sollten auf einer Smartcard mit Kryptoprozessor verschlüsselt gespeichert werden. Eine Lösung, die neben der Sicherheit den Vorteil hat, dass die Anwender ihre persönlichen Daten immer bei sich haben und nicht nur an ihrem Schreibtisch nutzen können.
Biometrie statt PINEntsichert werden die auf der Smartcard gespeicherten Informationen jedoch typischerweise mit einer PIN. Eine komfortable und sichere Alternative hierzu bieten biometrische Verfahren. Dabei ist entscheidend, dass sich der Anwender gegenüber der Smartcard authentifiziert. Das bedeutet, dass biometrische Referenzdaten nicht an einer zentralen Stelle in einem Netz gespeichert werden müssen, sondern verschlüsselt auf der Karte ihren Platz finden können. Für die Anmeldung am PC, zum digitalen Signieren oder zum Verschlüsseln von E-Mails wird dann also der Mitarbeiterausweis in den Smartcardreader gesteckt und die rechtmäßige Nutzung des Ausweises zum Beispiel per Fingerabdruck bestätigt. Komplette Softwareapplikationen und eine Maus mit Fingerprint-Sensor bietet zum Beispiel Siemens; Cherry stellt auf der CeBIT eine neue Tastatur mit Fingerprint-Modul vor. Produkte und Lösungen, die auf großes Interesse stoßen dürften. Bereits seit einigen Wochen bietet das Webtradecenter als erster B-to-B-Marktplatz für seine Mitglieder die Möglichkeit der biometrischen Identifikation.
Ebenfalls der Sicherheit im Internet oder Intranet dient das Signieren von Objekten, wie es manche PK-Infrastruktur-Lösungen ermöglichen. So stellen zum Beispiel das Netscape Object Signing oder Trusted CA durch das Signieren von Objekten wie Downloads oder Java-Script-Elementen Klarheit für den Anwender her: Ihm wird angezeigt, von wem ein Objekt stammt, von welcher Instanz es zertifiziert ist. So kann er davon ausgehen, dass es nicht manipuliert ist. Im Falle eines Java Applets kann dem User zum Beispiel klar angezeigt werden, welche Rechte dieser auf seinem PC erhalten möchte. Damit liegt es beim Anwender, zu entscheiden, ob er der Zertifizierungsinstanz und dem Hersteller des Objektes traut oder nicht. Ist das Vertrauen einmal bestätigt, können künftig auch automatisierte Updates eines bestimmten Anbieters über das Internet bezogen werden.
Damit sind PKI in der Lage, auf verschiedenen Ebenen Vertrauen zu schaffen: Dies gilt für die Authentifizierung der Anwender in offenen Netzen wie auch umgekehrt für die Authentifizierung bereitgestellter Inhalte. Die Erweiterung solcher Infrastrukturen um Attributzertifikate ist ein gangbarer Weg, Administrationskosten im Bereich der Autorisierung zu reduzieren, während biometrische Verfahren die Sicherheit optimieren und den Anwendern einen zusätzlichen Komfort verschaffen.
*Thomas Pleil ist freier Autor in Eichstätt
Wer ist und was darf der User?Public-Key-Zertifikate (PKC):
-ordnen einen öffentlichen Schlüssel einem Benutzer zu
-Ausgabe durch eine vertrauenswürdige Stelle (Certification Authority, CA)
-Typischerweise lange Gültigkeit (Jahre)
-können zurückgewiesen werden (Certification Revocation List)
=> Authentifizierung: Wer ist der User?
Attribut-Zertifikate
-verbinden Attribute und Benutzer
-Ausgabe durch eine vertrauenswürdige Stelle (Attribute Authority, AA)
-Typischerweise kurze Gültigkeit (Minuten, Tage)
-Deshalb Rückweisung nicht notwendig
=> Authorisierung: Was darf der User?
Quelle: SSE, Irland
Links
www.fingertip.de
www.webtradecenter.de
Abb: Beispiele für Zertifikate
Auch die Rollen von Mitarbeitern oder Geschäftspartnern können definiert und zusätzlich zertifiziert werden. Quelle: Siemens