Netze sind auch nach innen abzusichern

Milliarden-Investionen für Sicherheit im Internet

31.10.1997

Im Jahr 2001 werden weltweit rund sieben Milliarden Dollar in Internet-Sicherheit investiert (siehe Abbildung 1). Etwa ein Drittel dieses Umsatzes generieren europäische Firmen. Zu dieser Einschätzung kommt das Marktforschungsunternehmen Datamonitor. Sowohl das Internet als auch die firmeneigenen Intranets basieren auf TCP/IP. Diese Protokollfamilie wurde für die Datenkommunikation konzipiert und nicht für Geldtransaktionen oder die Übertragung vertraulicher Daten. Statt versiegelter Briefe tauschen die Kommunikationspartner bisher quasi nur Postkarten aus.

Für die Sicherheit werden nach Auffassung der Marktforscher nicht mehr nur einzelne Produkte wie Firewalls, Virenschutzsoftware oder Verschlüsselungssysteme sorgen. Vielmehr kommt der Kombination vier verschiedener Disziplinen die Hauptrolle zu: Authentifizierung, Zugangskontrolle, Verschlüsselung und Inhaltskontrolle. Firewalls bleiben auch in Zukunft wichtig, allerdings agieren sie als Teil eines Sicherheitskonzepts. Dabei darf sich die Sicherheitspolitik nicht auf den Schutz gegen Eindringlinge von außen beschränken. Zusätzlich, so die Analysten, sind die Unternehmensnetze auch nach innen abzusichern (siehe Abbildung 2). Statt nur komplette Netze abzuschotten, versperren die Sicherheitsbarrieren bereits auf der Ebene der Daten den unberechtigten Zugang.

Lutz Becker, Geschäftsführer von Norman Data Defense Systems, einem Hersteller von Sicherheitssystemen, bestätigt diesen Trend. Er sieht die Firewall als klassischen Hacker-Blocker am Ende seines Lebenszyklus angelangt. Heute seien Systeme gefragt, die auch in der Lage sind, remote Zugriffe zu schützen sowie Virenschutz und Verschlüsselung zu bieten.

Experten halten beim Austausch von vertraulichen Informationen die Möglichkeit für besonders wichtig, den Kommunikationspartner als den zu identifizieren, der er vorgibt zu sein. Gleichzeitig wollen die Versender und Empfänger die Gewißheit haben, unverfälschte Informationen zu erhalten. Public-Key-Verfahren wurden für diesen Zweck entwickelt. Diese Systeme arbeiten mit einem asymmetrischen Schlüsselpaar, nämlich einem Public (öffentlichen) und einem Private (geheimen) Key. Ein Benutzer verschlüsselt eine Nachricht mit einem öffentlichen Schlüssel aus einem Schlüsselverzeichnis. Der Rezipient dekodiert das Dokument mit seinem geheimen Schlüssel.

Nicht nur für den Electronic Commerce im Sinne von Banktransaktionen sind diese Mechanismen von Bedeutung, sondern auch für die Business-to-Business-Kommunikation. Beispielsweise benötigen Automobilhersteller und ihre Lieferanten diese Verfahren für einen elektronischen Geschäftsverkehr.

Gerade im Bereich der Public-Key-Infrastruktur (PKI) erwartet die Datamonitor-Studie deshalb das größte Wachstum. Zum Aufbau der PKIs sind Verschlüsselungssoftware, Schlüsselverwaltungssysteme und Zertifizierungsserver erforderlich. Vertrauen sich die Kommunikationspartner, zum Beispiel bei kooperierenden Firmen oder bei Niederlassungen eines Konzerns, so können diese die Schlüsselvergabe selbst organisieren. Die entsprechenden Keys werden in einer Schlüsselvergabezentrale generiert.

Trust Center als Paßbehörde

Einander unbekannte Kommunikationspartner, die einander nicht automatisch trauen, können sich so über eine dritte Instanz, Zertifizierungsbehörden (Trust Center), authentifizieren. Diese Einrichtungen erfüllen etwa die Aufgabe einer Paßbehörde.

In Deutschland bietet zum Beispiel die Telekom mit Telesec Siegen einen solchen Dienst an. Ein weiteres Trust Center entsteht beim Deutschen Industrie- und Handelstag (DIHT). Unternehmen sind dadurch in der Lage, bei der für sie zuständigen IHK entsprechende Smart-Cards zu beantragen, mit denen dann ein gesicherter Datenaustausch möglich ist.

Sogenannte "Corporate Trust Center" agieren als Authentifizierungsstelle in den Intranets der Unternehmen. Ein Mitarbeiter erhält dann eine Smart-Card, mit der er sich authentifiziert. Mit der Identität des Herrn Müller sind gleichzeitig bestimmte Rechte verbunden, beispielsweise Zeichnungsvollmachten, Zugriff auf bestimmte Datenbestände. Die in den Smart-Cards gespeicherten Zertifikate dienen aber nicht nur der Authentifizierung mit einem IT-System, sondern erlauben auch den Zugriff auf Netzressourcen, Internet-Dienste, wie etwa Online-Banking sowie persönliche Daten. Auf diese Weise lassen sich zum Beispiel auch Abrechnungsverfahren für die Nutzung von Web-Inhalten einrichten.

Den organisatorischen Rahmen für diese Sicherheitsinfrastrukturen und damit den Aufbau von Trust Centern regelt in Deutschland das Signaturgesetz. Eine ähnliche Verordnung hat auch die italienische Regierung beschlossen. Und nach den Worten eines EU-Kommissionsbeamten diskutieren auch die Verantwortlichen in Brüssel über eine europaweite Gesetzgebung. Auf diese Weise entstehen Lösungen, die verbindlichen Standards folgen. Näheres findet sich unter http://www.ispo.cec.be/eif/policy/97503toc.html.

Kritiker des deutschen Signaturgesetzes bemängeln die darin vorgeschriebene Beschränkung auf ein bestimmtes Public-Key-Verfahren. Unkomplizierte Systeme wie etwa "Pretty Good Privacy" (PGP) erhalten dadurch nicht den Segen der Gesetzgeber. Mit PGP können User ohne großen Aufwand ihre E-Mail-Systeme absichern, indem sie eigene Schlüssel generieren und ausgeben. Zwar sind diese Produkte dadurch nicht verboten, gelten aber laut Signaturgesetz als nicht sicher.

Trotz der Harmonisierungsbemühungen in Europa ist es von Bedeutung, woher die Technik stammt. Denn anders als in den USA und in Israel ist es dem deutschen Geheimdienst nicht gestattet, verschlüsselte Daten zu entschlüsseln. Um sich vor Wirtschaftsspionage zu schützen, sollten Firmen hierzulande also besser auf Kryptotechnik aus Deutschland, oder zumindest aus Europa, zurückgreifen.

Nicht jeder muß zwar gleich Geheimdienste befürchten, allerdings sollten sich Unternehmen auch nicht erst beim Versenden von Konstruktionsdaten Gedanken über Schutzmaßnahmen für das Internet machen. Sicherheit beginnt nach Meinung von Thomas Maus, selbständiger Sicherheitsberater in Karlsruhe, bereits bei der E-Mail. Speziell dafür wurden Verfahren wie PGP oder S/Mime (Secure Multimedia Internet Mail Extension) entwickelt.

Um zusätzlich den Transfer von Daten zwischen Niederlassungen oder Partnerfirmen abzusichern, müssen die Netzverantwortlichen auch Verschlüsselungstechniken einführen. Hier bieten sich Virtuelle Private Netze an (VPN), die eine gesicherte Datenkommunikation über unsichere WAN-Verbindungen realisieren. VPNs basieren auf Firewalls in Verbindung mit Verschlüsselungs- und Authentifizierungstechnik. Ein Trend bei vielen Firewallherstellern ist daher die Integration von VPN-Funktionen in ihre Produkte. Die Hersteller arbeiten mit Lieferanten von Sicherheitssystemen zusammen. Vorreiter sind nach Meinung Heiko Haaslers von Datamonitor dabei Firmen wie Trusted Information Systems und Checkpoint im Segment der Firewalls sowie Cylink und RSA im Bereich der Verschlüsselungssysteme. Hierzulande bieten einige Internet-Service-Provider VPN-Dienste an, wie zum Beispiel X-link, Mediaways, Uunet sowie die Deutsche Telekom.

Da für viele Firmen das Thema Internet-Sicherheit neu ist, erwarten die Analysten bei Datamonitor auch einen enormen Umsatz bei den Sicherheitsdienstleistungen. Ferner bietet die Integration bestehender Systeme ein breites Betätigungsfeld. Outsourcing ist die dritte Sparte für Dienstleistungen. Für 1998 werden laut Datamonitor 1,2 Milliarden Dollar mit Sicherheitsdienstleistungen in Europa umgesetzt. Im Jahr 2001 erwarten die Marktforscher 5,1 Milliarden Dollar - immerhin ein Drittel des weltweiten Umsatzes.