Vertrauenswürdigkeit prüfen: Automatisierte Helfer
Sinnvoll ist auch die Integration von Lösungen, die kontinuierlich bewerten, welche Zertifikate und Schlüssel vertrauenswürdig sind und welche nicht. Erstere müssen geschützt, letztere korrigiert oder gesperrt werden. So können Unternehmen Ungereimtheiten bei vermeintlich gültigen und authentischen Zertifikaten leichter erkennen. Ergänzend lassen sich Tools für ein automatisiertes Zertifikat- und Schlüsselmanagement einsetzen. IT-Verantwortliche erhalten hiermit einen besseren Gesamtüberblick über die im Unternehmen verwendeten Zertifikate und Schlüssel. Abgesehen davon verfügen die meisten Firmen nicht einmal über eine vollständige Liste ihres allgemeinen IT-Inventars. Viele wissen etwa nicht, wie viele Rechner im Netzwerk betrieben werden und welche davon womöglich auf Server zugreifen, die mit unsicheren Zertifikaten ausgestattet sind. Entsprechende Lösungen mit Inventarisierungsfunktion können hier Abhilfe schaffen.
- Adeya
Die Adeya-App eines schweizerischen Anbieters ist für Android, Blackberry und iPhone verfügbar. Vorteile von Adeya sind die automatische Provisionierung, also die Einrichtung der Nutzerrechte, eine hohe Sicherheit durch RSA-Schlüsselerzeugung mit 2048 Bit sowie die anschließende Übertragung des Datenstroms mit AES-Verschlüsselung. Zu den weiteren Funktionen gehören Secure-Chat, Secure-SMS und Bildversand sowie die Möglichkeit einer Benachrichtigung von Offline-Nutzern. Angekündigt sind auch der verschlüsselte Versand von Office-Dokumenten sowie PDFs und Videos. Auch die Integration mit Standard-SIP-Telefonanlagen ist möglich. Adeya hat mit der QGroup eine gemeinsame Business-Lösung entwickelt. - QTalk Secure
Qtalk Secure des schweizerischen Anbieters Qnective gibt es für Android, Blackberry und iOS. Zu den Qtalk Security Solutions gehören Telefonie, Konferenzen, Messenger, SMS und sicherer File Transfer. Die Ende-zu-Ende-Verschlüsselung erfolgt mit AES 256 one time keys, einer äußerst sicheren Methode, bei der für jeden Anruf ein neuer Schlüssel erzeugt wird. Qnective unterstützt zusätzlich Hardware Security Module und bietet sogar eigene Telefone für zusätzliche Sicherheit – natürlich auch mit zusätzlichen Kosten. - Cellcrypt
Cellcrypt ist verfügbar für Android, Blackberry, iPhone und Windows Phone und verfügt über die Funktionen Telefonie, Messenger und Photo Share. Für Cellcrypt ist zukünftig eine Desktop-App geplant. Die Ende-zu-Ende-Verschlüsselung erfolgt per AES 256. Der Anbieter, die Cellcrypt Security Communication Group, sitzt in den USA und England. Ähnlich wie bei Skype – allerdings End-to-End - wird die App über den Anbieter gehostet, es wird also kein Server beim Nutzerunternehmen eingerichtet. - Skype for Business
Skype for Business ist Teil von Microsoft Office und Office 365. Die Bedienung erfolgt analog zur klassischen Skype-Version auf stationären und mobilen Geräten. Für die Verschlüsselung der Office-Version kommen Schlüssellängen bis 4096 Bit zum Einsatz. Bei Office 365 besteht jedoch ein Sicherheitsrisiko dadurch, dass Microsoft die Schlüssel verwaltet und sie möglicherweise an US-Behörden weitergibt. - TrustCase
Die Messenger-App TrustCase - in München entwickelt - kann Nachrichten, Daten und Aufgaben Ende-zu-Ende verschlüsseln. Besonderes Feature: Die Vertrauenswürdigkeit der Kontakte wird in einem Drei-Stufen-Prinzip ermittelt: Es gibt "Trusted"-Kontakte, die sich durch den Scan eines QR-Codes oder einen "TrustBroker" verifzieren müssen, "Matched"-Kontakte, die im Adressbuch gespeichert sind und "Unknown"-Kontakte, die noch unbekannt sind. Zum Verschlüsseln der eigentlichen Nachrichten kommt die Krypto-Bibliothek NaCL zum Einsatz. Die dem System zugrundeliegende Architektur ist überdies so gestaltet, dass keine unnötigen Metadaten entstehen. Die App schickt keine unverschlüsselten Adressbuchdaten, sondern per Hash-Verfahren anonymisierte Telefonnummern vom Endgerät des Anwenders zu den in Deutschland befindlichen TrustCase-Servern. Dort werden die Daten ebenfalls nicht dauerhaft gespeichert. - Lösungen von Mobilfunkprovidern
Bei den Mobilfunkprovidern stehen beispielsweise die Telekom Mobile Encryption App und Vodafone Secure Call zur Verfügung. Die Apps werden vom jeweiligen Provider gehostet. Ein extra Server ist entsprechend nicht nötig. Allerdings ist hier zu bedenken, dass die Provider rechtlich zu einer Abhörschnittstelle verpflichtet sind. Gespräche sind also nur Punkt-zu-Punkt verschlüsselt. Die Funktionalität ist analog wie bei den Apps der anderen Anbieter, die Kommunikation erfolgt also rein auf IP-Ebene. Die Angebote richten sich hauptsächlich an Großkunden.
SSL-Zertifizierung: Lieber gleich "richtig"
Für Cyberkriminelle und Hacker sind Zertifikate von zweifelhaften Anbietern ein willkommenes Einfallstor in Unternehmen. Denn diese können besonders leicht für bösartige Zwecke manipuliert werden und erlauben den Angreifern, sich als vertrauenswürdige Instanz auszugeben. Netzwerk- und Systemadministratoren tun gut daran, bei der Absicherung ihrer Infrastruktur auf SSL-Zertifikate von seriösen Zertifizierungsstellen zu setzen. Das Budget sollte hierbei keine große Rolle spielen, denn die letztlich entstehenden Kosten für ein unsicheres Gratis-Zertifikat könnten letztendlich eklatant höher liegen.
Mitarbeiter sollten nicht länger darauf trainiert werden, mit schlechter IT-Sicherheit zu leben. Sie sollten die Lösungen einsetzen dürfen, die ihnen bei der Absicherung ihres Unternehmens auch wirklich helfen und nicht "Pseudo-Lösungen", die ihnen das Leben durch Verschlüsselung sogar schwerer machen. Nur so werden sich Vorfälle wie der bei Yahoo künftig vermeiden lassen. (fm)