als PDF

ix.1109.x.01-08
06.10.2009
13:18 Uhr
Seite I
sponsored by:
Ein Verlagsbeihefter der Heise Zeitschriften Verlag GmbH & Co. KG
Security
extra
Security
Verschlüsselung von Endgeräten
On- und OfflineVerschlüsselung
Verschlüsselung von Endgeräten
Vergesslichkeitsschutz
Seite I
Seite VI
Vorschau
Storage
SAN versus NAS
Seite VIII
Veranstaltungen
27. – 28. Oktober 2009, Frankfurt a. M.
Storage Networking World Europe
www.snweurope.net
3. – 5. November 2009, München
RiskConf 2009 – Chancen- und
Risikokalkulation im Projektmanagement
www.ix-konferenz.de/riskconf.php
5. – 6. November 2009, Nürnberg
Software-QS-Tag 2009
www.qs-tag.de
25. – 26. November 2009, München
CloudConf 2009 – Cloud-Computing:
Infrastruktur, Architektur, Design, Entwicklung
www.ix-konferenz.de/cloudconf.php
urity
iX extra Sechlagen:
zum Nachsc /security.shtml
e/ix/extra
www.heise.d
In Sachen Verschlüsselung überlagern Spekulationen
über mögliche High-Tech-Angriffe und Wirtschaftsspionage nach wie vor die nüchternen Kosten-NutzenRechnungen. Wichtigstes Ziel der Endpoint-Verschlüsselung ist allerdings der ganz banale Schutz vor den
Folgen des alltäglichen Laptop- und Handy-Verlusts.
enn Anwender über das
Thema Verschlüsselung
reden, landen sie schnell bei
einer Mischung aus Nerd-Geflüster, Science-Fiction und
Verschwörungstheorien. Wer
allerdings den Wert eines Verschlüsselungsprojekts für die
Informationssicherheit im Unternehmensalltag bewerten
will, muss diese Ebene hinter
sich lassen. Stattdessen hat er
sich mit den banalsten Gefahrenszenarien auseinanderzusetzen, das die Informationssicherheit bietet: dem Verlust von
Endgeräten, Festplatten, CD-/
DVD-Roms und USB-Speichern
an öffentlichen Orten.
Wenn ein Laptop, ein anderes Endgerät oder ein USB-Stick
in der Bahn oder am Flughafen
liegen bleibt oder einem Gelegenheitsdieb in die Hände fällt,
versucht der Dieb oder Finder
möglicherweise, aus den Informationen Kapital zu schlagen
oder gezielt nach Chancen für
eine „Informationsvermittlung“
oder Erpressung zu suchen.
Genau in diesen Fällen soll Verschlüsselung als Schutzmechanismus greifen. Die eingesetzte
Technik muss stark genug sein,
dass sich der finanzielle und
W
Ordner- und E-Mail-Verschlüsselung
im Unternehmen
Der virtualisierte
Schlüsselbund
Vergesslichkeitsschutz
zeitliche Aufwand für ihre Überwindung aus Sicht der potenziellen Angreifer nicht lohnt.
Dabei ist das zentrale Qualitätsmerkmal, auf das ein Anwender achten muss, nicht
mehr der Algorithmus und damit
der mathematische Lösungsansatz. Die marktgängigen Algorithmen wie der symmetrische
AES (Advanced Encryption
Standard) haben bei den üblichen Einstellungen – aktuell
128 oder 256 Bit Verschlüsselungstiefe – hinreichend bewiesen, dass sie für die heutige
Zeit widerstandsfähig genug
sind. Wenn die auf den zu
schützenden Geräten enthaltenen Daten hochsensibel sind
oder wenn sie auch langfristig
so wertvoll bleiben, dass ein
Dieb sie tatsächlich solange
aufbewahren würde, bis er sich
den passenden Computer zur
erfolgreichen Attacke leisten
kann, lässt sich einfach eine
größere Verschlüsselungstiefe
als üblich ansetzen. Der Anwender nimmt damit nur eine
leichte Verlangsamung der Datenspeicherzugriffe in Kauf.
Für den Fall, dass ein einzelner Algorithmus wirklich
einmal aufgrund einer genialen
I
ix.1109.x.01-08
06.10.2009
13:18 Uhr
Seite II
Security
mathematischen Kryptoanalyse
geknackt wird oder, wie beim
Hash-Algorithmus SHA-1 geschehen, plötzlich unerwartete
Schwächen offenbart, sollte
die Verschlüsselungssoftware
den Austausch der verwendeten Algorithmen als Module
ermöglichen.
Auch die Gefahr, dass verschlüsselte Daten durch Fortschritte in der Computertechnik
wie Quantencomputer unsicher
werden könnten, sollte niemanden unmittelbar beunruhigen.
Die Anwendergemeinde wird es
rechtzeitig erfahren, wenn entsprechend starke Systeme in
einigen Jahren tatsächlich einsatzreif sein sollten. Dann
allerdings ist zu vermuten, dass
man die Technik wahrscheinlich
auch für die Verschlüsselung
und nicht nur für die Entschlüsselung einsetzen kann.
Ohnehin sollte man davon
ausgehen, dass einmal verschlüsselte Daten für einige
Jahre, aber niemals für die
Ewigkeit sicher sind. Bei Endgeräten spielt das im Normalfall
allerdings eine geringe Rolle, da
diese Systeme in der Regel kürzer im Einsatz bleiben als der
Fortschrittszyklus bei der Verschlüsselungstechnik dauert.
Für die Sicherheit ist es hier viel
wichtiger, dass die Massenspeicher der Systeme am Ende ihrer
Lebensdauer gelöscht oder zerstört und die Daten sicher auf
die nächste Gerätegeneration
übertragen werden. Bei der
Langzeitarchivierung sieht dies
anders aus.
Schwächen von Verschlüsselungslösungen beruhen fast
immer darauf, dass das mathematisch so gut beherrschbare
Prinzip Kryptografie für die Praxis in instabile, keineswegs
fehlerfreie Umgebungen integriert werden muss. Auch modernste Endgeräte weisen
funktionale Fehler und Sicherheitslücken auf, und der Anwender bringt noch einige
mehr davon ins Spiel, etwa
schwache Kennwörter oder
einen laxen Umgang mit eingeschalteten Geräten.
Mit dem Bereich Implementierung hat sich auch das Bundesamt für Sicherheit in der
Informationstechnik (BSI)
auseinandergesetzt. In seinen
Publikationen nennt es gleich im
Anschluss an den zentralen Aspekt „Sicherheit der mathematisch-kryptografischen Algorithmen“ folgende Anforderungen:
verlässliches Schlüsselmanagement, Fehlbedienungs- und
Fehlfunktionssicherheit, Vorkehrungen gegen sicherheitsmindernde Manipulationen und
Abwesenheit verdeckter kompromittierender Kanäle.
Dieser Katalog lässt sich
hervorragend auf die Verschlüsselungsansätze beziehen, die
für das hier beschriebene Endgeräte- und Datenträgerszenario eine Rolle spielen: Vollver-
schlüsselung von Datenträgern,
Ordnerverschlüsselung, Containerverschlüsselung und Dateiverschlüsselung.
Die Komplettverschlüsselung
von Datenträgern in Endgeräten
(„Volume Based Encryption“,
sektorbasierte Verschlüsselung),
heute wohl das beliebteste Konzept, hat in der Regel den Vorteil, dass sie den Anwender am
wenigsten mit Umstellungen in
seiner Arbeitsweise belasten. Er
schaltet das Gerät an und meldet sich schon vor dem Start
des Betriebssystems (Pre-BootAuthentication) am Frontend des
Verschlüsselungssystems an.
Das System gibt nach der
Überprüfung der Identität des
Anwenders die eigentlichen, für
die Verschlüsselung erzeugten
Schlüssel frei und erlaubt so
den Zugriff auf den Datenträger.
Das Gerät bootet daraufhin wie
gewohnt, allerdings vom verschlüsselten Massenspeicher.
Bei jedem Lesezugriff wird automatisch ent- und bei jedem
Schreibzugriff verschlüsselt.
Wenn die verwendete Lösung heutigen Maßstäben entspricht, bietet sie Single SignOn, synchronisiert ihr eigenes
Kennwort also mit dem des Betriebssystems und gegebenenfalls mit weiteren Anwendungen wie einem VPN-Zugang
zum Unternehmensnetz oder
dem E-Mail-System. Der Anwender muss sich in diesem
Fall keine zusätzlichen Kenn-
OPEN-SOURCE-VERSCHLÜSSELUNGSPRODUKTE
Zwar gibt es im Open-Source-Bereich keine den komplexen kommerziellen Verschlüsselungs-Suiten
vergleichbaren Produkte, interessante Werkzeuge aber allemal. Als bekanntestes ist wohl die PGPAlternative GnuPG zu nennen. Aber auch für andere zu verschlüsselnde Bereiche gibt es betrachtenswerte Tools, die im Folgenden – ohne Anspruch auf Vollständigkeit – kurz aufgeführt sind.
II
Werkzeug
Blowfish Advanced CS
Funktion
Dateiverschlüsselung
DiskCryptor
verschlüsselt USB-Laufwerke und Festplatten
Enigmail
FreeOTFE
GNU Privacy Guard
TrueCrypt
Mailverschlüsselung
erzeugt und verschlüsselt virtuelle Laufwerke
Mailverschlüsselung
verschlüsselt Festplatten und Partitionen
Website
blowfish-advanced-cs.
softonic.de
sourceforge.net/projects/
diskcryptor
enigmail.mozdev.org
www.freeotfe.org
www.gnupg.org
www.truecrypt.org
wörter merken, was menschliche Fehlerquellen reduziert.
Unternehmensinterne Zugriffsrichtlinien für Datenträger
setzt bei dieser Technik das
Kennwortmanagement um. Es
bestimmt Kennwortstandards
und -regeln und verschafft
gegebenenfalls Vertretern des
Anwenders Zugang zu den verschlüsselten Daten. Die Sicherheit lässt sich durch Mehrfaktor-Authentifizierung, etwa
durch Passwort plus Token oder
Fingerabdruck, weiter erhöhen.
Vorteilhaft ist auch, dass die
Vollverschlüsselung grundsätzlich temporäre Dateien, Zwischenspeicher und andere Verstecke mit erfasst, in denen
vom Anwender unbemerkt
Schnipsel vertraulicher Daten
übrig bleiben können.
Trusted Computing
„en vogue“
Der Trend bei Komplettverschlüsselungssystemen geht
heute dahin, für die Aufbewahrung und Erzeugung der
Schlüssel den TPM-Chip moderner Endgeräte, das „Trusted
Platform Module“, zu nutzen.
Der TPM-Chip als Schlüsselspeicher ähnelt einer im Computer eingebauten Smartcard,
die überdies vom geschützten
Datenträger getrennt ist und
effektiv vor Soft- und vielen
Hardwareangriffen schützt.
Ein verlässliches Schlüsselmanagement, wie nicht nur
das BSI es fordert, ist hier, bezogen auf das Endgerät selbst,
ebenfalls gewährleistet. Externe Speicher wie gesicherte
USB-Sticks oder Smartcards
können als sichere Schlüsselablagen eine Alternative zum
TPM-Chip sein, bringen aber
eigene Probleme mit sich und
sind vor allem umständlicher
zu handhaben.
Den Vorteilen der Komplettverschlüsselung stehen nicht
minder gewichtige Nachteile
gegenüber. Läuft der PC erst
einmal und ist er nicht gesperrt,
hat ein unbefugter Benutzer
iX extra 11/2009
ix1109_x_III_eset.pdf 08.10.2009 16:56:57 Uhr - 1 - ( )
ix.1109.x.01-08
06.10.2009
13:18 Uhr
Seite IV
Security
den gleichen freien Zugriff auf
das System und die damit erreichbaren Informationen wie
bei einem unverschlüsselten
Gerät. Auch Trojanern oder Keyloggern, die es bis ins Betriebssystem geschafft haben, stehen
das System und die Daten offen.
Als alleiniges Sicherheits-Tool
für Endgeräte taugt Vollverschlüsselung also keineswegs,
die üblichen Sicherheits-Suites
und Schulung der Anwender
sind auch hier Pflicht.
Letztere müssen beispielsweise lernen, ihren vollverschlüsselten Rechner nie zu
starten, wenn ein externer Datenträger angesteckt ist – denn
von dort, so befürchten Spezialisten, könnte sich ein fremdes
Programm unbemerkt in den
Pre-Boot-Vorgang einklinken
und Kennwörter oder sogar
Schlüssel stehlen.
Und noch einen Aspekt darf
man nicht vergessen: Die Vollverschlüsselung muss wie ein
Betriebssystem mit Fehlern von
Datenträgern umgehen können. Ein kleiner Magnetplattendefekt etwa, der den PreBoot-Ablauf stört, darf nicht
den Zugriff auf alle Informationen verhindern, weil die Betriebssystemwerkzeuge als Reparaturhilfen dann nicht mehr
zur Festplatte vordringen.
Zu bedenken ist außerdem,
dass Informationen, die der Anwender auf externe Datenträger
kopiert oder brennt oder übers
Netz weiterverschickt, ohne
Sonderfunktionen nicht automatisch ebenfalls verschlüsselt
werden.
Die Komplettverschlüsselung von externen Datenträgern
wie USB-Platten und -Sticks ist
dann eine gute Idee, wenn
Schlüsselverwaltung und -aufbewahrung intelligent gelöst
sind. In diesem Fall kommt ja
häufig auch der Wunsch ins
Spiel, die Speicher zumindest
innerhalb von Arbeitsgruppen
zum Weitergeben von Informationen zu nutzen.
Ordnerverschlüsselung unterwirft alle Dateien in ausgewählten Ordnern im Dateisystem eines fest eingebauten
oder mobilen Datenträgers
VERSCHLÜSSELUNGSPRODUKTE FÜR ENDGERÄTE
Die Übersicht der Anbieter erhebt keinen Anspruch auf Vollständigkeit.
Hersteller
Applied Security
Center Tools Software
Check Point Software
CORISECIO
CoSoSys
Crypto AG
Cryptzone
cynapspro
CyProtect
digitronic
FrontRange Solutions
IBM
Infotecs
itWatch
Lumension
McAfee
Microsoft
Novell
PGP
Protea Networks
Safend
SafeNet
SECUDE
Securstar
Sophos
Steganos
Sybase
Produkt
+FideAS
DriveLock
Endpoint Security, Media Encryption
Mobile Suite/PKI
Endpoint Protector 2009
Crypto EMP
Cryptzone Enterprise, Secured USB
Cynapspro Suite 2009
Drive Encryption, File Encryption
Security Suite
DeviceWall
Data Security Services für Endpoint
Data Protection
Safe Disk, Safe Disk Mobile
PDWatch
Sanctuary Suite
Total Protection for Data
Bitlocker
ZENworks Endpoint Security Management
Whole Disk Encryption, Mobile
SafeGuard
Safend Encryptor
Protect Drive; ProtectFile
FinallySecure, Secure Notebook
DriveCrypt
Security and Data Protection
Safe 11
Afaria
Symantec
TREND MICRO
Utimaco Safeware
Endpoint Encryption
Mobile Security
SafeGuard, SafeGuard PrivateCrypto
IV
Webseite
www.apsec.de
www.drivelock.com
www.checkpoint.com
www.corisecio.com/de
www.endpointprotector.com
www.crypto.ch
www.cryptzone.de
www.cynapspro.com
www.cyprotect.com
www.digitronic.net
www.frontrange.de
www.ibm.com/de
www.infotecs.biz/german
www.itwatch.de
www.lumension.de
www.mcafee.com/de
www.microsoft.com
www.novell.com
www.pgp.de
www.proteanetworks.de
www.safend.com
www.safenet-inc.com/de
www.secude.de
www.securstar.com
www.sophos.de
www.steganos.com/de
www.sybase.de/products/
mobileenterprise/afaria
www.symantec.de
www.trendmicro.de
www.utimaco.de
einer Zwangsverschlüsselung.
Ist das Ver- und Entschlüsseln
ausdrücklich durch zusätzliche
Kennwortabfragen geschützt,
resultiert daraus immerhin ein
gewisser Erziehungseffekt für
den Umgang mit besonders
vertraulichen Daten.
Gilt dies nicht, hat die Ordnerverschlüsselung – abgesehen von einem gewissen Geschwindigkeitsgewinn beim
Zugriff auf unverschlüsselte
Bereiche – keine Vorteile gegenüber der Komplettverschlüsselung. Im Gegenteil: Es
besteht hier immerhin die Gefahr, dass Bearbeitungsspuren
vertraulicher Daten beispielsweise in temporären Dateien
oder Relikten der Zwischenablage und damit im unverschlüsselten Bereich zurückbleiben.
Bei einer Containerverschlüsselung werden Dateien
mithilfe eines Frontends in eine
spezielle „Behälterdatei“ verschoben, deren Content dann
insgesamt verschlüsselt ist.
Entweder geschieht diese
Operation über eine separate
Benutzeroberfläche, die auch
eigene Kommandos zum Aufnehmen (Verschlüsseln) oder
Freigeben (Entschlüsseln) der
Dateien aufweist, oder das System hängt seinen Container
vorübergehend wie eine Festplatte ein. In diesem Fall ist der
Inhalt des Containers für den
Anwender und alle Programme
sichtbar, und der Zugriff erfolgt
wie auf einen normalen Datenträger im Dateisystem.
Läuft die Verschlüsselungsanwendung nicht, lässt sich die
„Container-Datei“ wie jede beliebige andere Datei kopieren,
verschieben oder auf optische
Medien brennen. Man kann ihr
von außen nicht ansehen, welche verschlüsselten Informationen sie beherbergt.
Einige Programme verbergen überdies die Container
oder benutzen per Steganografie harmlos anmutende Dateien
wie Musik- und Bilddateien als
Behälter. Die Musikdateien bleiben trotzdem abspielbar und
iX extra 11/2009
ix1109_x_V_CPI.pdf 08.10.2009 16:57:24 Uhr - 1 - ( )
2U TWIN™ – UNVERGLEICHLICH
UND HÖCHSTE EFFIZIENZ
4 DUAL PROZESSOR NODES IN 2 HE
MIT INTEL® XEON® PROZESSOR 5520
Die 2U Twin™ Systeme CPI Eagle 2357 sind eine wahre
Revolution mit höchster Effizienz und Rechenleistung per
Watt (375 GFLOPS/KW) basierend auf der neuesten
Intel® Xeon® Prozessor 5520 Plattform.
Mit 4 unabhängigen und Hot-Plug fähigen Server Nodes
in einem 2 HE Gehäuse erhalten Sie absolute Ausfallsicherheit. Für beste Energieeffizienz (93%) sorgen
zwei redundante Gold Level Netzteile und insgesamt
4 HochleistungsLüfter.
Ein höchstes Maß an Performance erhalten diese
Systeme durch die neueste Intel® Xeon® Prozessor
5520 Plattform.
2U Twin™ Server sind optimiert für den Einsatz in High
Performance Computing (HPC), Rechenzentren und
Blade Server Umgebungen.
CPI Eagle 2357 - Ausstattung:
· 2 HE Rackmount Server schwarz
· 4 unabhängige Hot-Plug DP Server Nodes
· Intel® Xeon® Prozessor 5520
· 2x Intel® Xeon® Prozessor 5520 2.26GHz pro Node
· 6 GB (6x 1 GB DDR3 1333 MHz)
max. 96 GB / 12 DIMM Sockel pro Node
· 3x 500 GB Festplatte, S-ATA300 NCQ
7.200 U/min. 32MB Cache pro Node
· 2x 1200 Watt Redundante und hocheffiziente
„Gold Level“ Netzteile mit einer Effizienz von 93%
· Optimaler Stromverbrauch und Kühlung
· 36 Monate Gewährleistung – Optional: 60 Monate
Garantie und Service Konzept
Gerne konfigurieren wir Ihnen Serversysteme,
die exakt auf Ihre Bedürfnisse abgestimmt werden.
© www.artraction.de, 05/09
CPI Computer Partner Handels GmbH
Kapellenstr. 7
D - 85622 Feldkirchen/München
Telefon
Telefax
Hotline
E-mail
+49 (0)89 - 96 24 41- 0
+49 (0)89 - 96 24 41- 33
0800 - 100 82 69
[email protected]
Intel, das Intel Logo, Xeon, und Xeon Inside sind Marken der Intel Corporation in den USA und anderen Ländern.
Druckfehler, Irrtümer und Änderungen vorbehalten.
ix1109_x_000_Intel.indd 1
www.cpigmbh.de
28.09.2009 12:04:43 Uhr
ix.1109.x.01-08
06.10.2009
13:18 Uhr
Seite VI
Security
die Bilder optisch unauffällig.
Ohne Vergleichsmöglichkeit mit
den Originalen ist nicht zu erkennen, dass sie zusätzliche
Informationen enthalten. Setzt
der Anwender darüber hinaus
ein Verschlüsselungsprogramm
ein, das er nicht installiert, sondern bei Bedarf etwa von einem
separat mitgeführten USB-Stick
aus startet, verbirgt er mit recht
hoher Sicherheit, dass er überhaupt verschlüsselte Daten mit
sich führt.
Ein Vorteil der Containerverschlüsselung ist generell, dass
der Anwender vertrauliche
Daten bewusst vom übrigen
Informationsbestand trennen
muss und so automatisch ein
Bewusstsein dafür entwickelt,
welche Daten schützenswert
sind. Das gilt ebenso, wenn er
einzelne Dateien mit einem
entsprechenden Werkzeug aufwendig separat verschlüsseln
muss. Nur bei dieser Technik
bleiben einmal verschlüsselte
Dateien automatisch auch dann
gesichert, wenn man sie – auf
welchen Wegen auch immer –
online überträgt oder auf externen Datenträgern ablegt.
Nachteilig ist, dass die lästige
Einzelverschlüsselung unter
Zeitdruck häufig unterbleibt und
wiederum Dateibruchstücke als
Resultat von Verarbeitungsaktionen unverschlüsselt zurückbleiben können.
Für extrem vertrauliche
Informationen kann es also
Der virtualisierte
Schlüsselbund
Ordner- und E-Mail-Verschlüsselung im Unternehmen
Jenseits der Verschlüsselung von mobilen Geräten und Datenträgern konzentrieren
sich Unternehmen derzeit vor allem auf die Verschlüsselung von Ordnern im
Netzwerk und von E-Mails. In beiden Fällen ist die Schlüsselverwaltung ein zentraler
Aspekt bei der Evaluierung und der Implementierung.
er im Netzwerk Ordner
verschlüsseln will, hat
mit anderen Problemen zu
kämpfen als jemand, dem es um
die Sicherung von Informationen
auf mobilen Datenträgern geht.
Mit Ordnerverschlüsselung im
Netz will man verhindern, dass
ein externer Angreifer mit Daten
auf Netzwerkservern etwas anfangen kann, sollte er die Firewall überwinden oder direkten
Zugriff auf die Serverhardware
erlangen. Außerdem möchte
man den Zugang zu Informationen auf ausgewählte Anwender
beschränken.
Typische Einsatzszenarien für
die Lösungen sind deshalb verschlüsselte Ordner für die Daten
der Personalabteilung oder ein
sicheres Repository für eine Arbeitsgruppe in der Entwicklungsabteilung. Wichtig ist, dass der
Administrator einem Gruppenmitglied – etwa beim Verlassen
des Unternehmens – die Zu-
W
VI
griffsrechte schnell wieder entziehen kann. Das sollte möglich
sein, ohne dass der Ordnerinhalt
neu verschlüsselt werden muss.
Auch eine schnelle Zuteilung von
Rechten ist aus Effizienzgründen
ein Muss.
Natürlich ließe sich die Abschottung bestimmter Informationen im Netz ebenso anders
verwirklichen, etwa durch
Einrichtung eines Netzwerksegments. Eine gute Ordnerverschlüsselung für den Netzwerkeinsatz aber kann meist mehr:
Sie schützt Dateien auch dann,
wenn diese aus dem Netzwerkordner herauskopiert oder verschoben werden. Diese Aussage mag verwirren, wenn man
sich an Ordnerverschlüsselungsprogrammen für Endgeräte
orientiert, die nur dem Informationsschutz bei Diebstahl dienen. Tatsächlich verwischt sich
bei guter Ordnerverschlüsselung im Netz die Grenze zu Sys-
temen, die einzelne Dateien unabhängig von ihrem Speicherort
verschlüsseln.
Ein „Ordner“ im Filesystem
bietet für die Entwickler von Sicherheitsprodukten zunächst
einmal die einfachste Möglichkeit, auf einem Netzwerkserver
einen verschlüsselten Bereich
einzurichten, der für jede Art
von Client und Anwendung zu
erreichen ist. Die Anwender, die
darauf zugreifen sollen, erhalten
die passenden Schlüssel zentral
zugeteilt – deshalb gehört zu
jeder Netzwerkordnerverschlüsselung eine zentrale Schlüsselverwaltung.
Diese sollte Schnittstellen
zu Directory- und Metadirectory-Systemen und deren Protokollen aufweisen, etwa LDAP,
Active Directory oder Novell
E-Directory, damit die Directory-Funktionen zur Verwaltung
von Gruppen und zur Rechtezuteilung auch für den Zugriff
durchaus sinnvoll sein, eine
Komplettverschlüsselung um
eine Container- oder Dateiverschlüsselung zu ergänzen. Außerdem muss ein Unternehmen
grundsätzlich klären, wem es
die Entscheidung überlassen
will, welche Informationen als
vertraulich klassifiziert und
deshalb verschlüsselt werden
müssten.
(sf/ur)
Bettina Weßelmann
arbeitet als freie
Fachjournalistin in München.
auf die geschützten Ordner
verwendet werden können. Das
spart Systemverwaltungsaufwand und stellt sicher, dass
der Verantwortliche bei einer
globalen Rechteveränderung
den verschlüsselten Ordner
nicht vergisst.
Technisch kann das Verschlüsselungssystem die
Schlüssel bei jeder Dateioperation oder beim ersten Zugriff
dynamisch übergeben, nachdem sich ein Anwender authentifiziert hat. Es sollte Single
Sign-On und eine möglichst
große Zahl an Authentifizierungsverfahren unterstützen –
etwa Kennwort, Token und Zertifikate auf dem Rechner oder
einer Smartcard. Eine weitere
Verwaltungsfunktion, die vor
allem im Zusammenhang
mit der Einhaltung von Compliance-Regeln wichtig ist, stellt
die Protokollierung dar: Wenn
nötig, muss nachweisbar sein,
wer aus der Gruppe wann auf
welche Informationen zugegriffen hat.
Asynchrones
braucht Asymmetrie
Während man bei Datei-,
Ordner- und Datenträgerverschlüsselungen an einen Tresor
denken muss, zu dem ein begrenzter Kreis von Berechtigten
Zugang erhält, orientiert man
sich bei E-Mail-Verschlüsselung am Prinzip „persönlicher
Brief“, gegebenenfalls „per
Einschreiben“. Jede „Sendung“
iX extra 11/2009
ix1109_x_VII_itWatch.pdf 08.10.2009 16:57:14 Uhr - 1 - ( )
Risiken am Endpoint managen und beherrschen:
Ermitteln Sie vollautomatisch alle Risiken am
Endpoint: Genutzte Ports, Devices, Anwendungen,
Austausch kritischer Dateien, verbundene Netze etc.
Definieren Sie auf dieser Basis Ihre individuelle Sicherheitskultur mit Freiräumen, Verboten und Systems Management Zielen - ganz ohne Aufwand.
CITRIX©/Terminalserver:
Schützen Sie Ihre CITRIX- und Terminal-Server
vor allen unerwünschten Daten, dem unerlaubten
Datenabfluss (Data Loss) und vor nicht erwünschten
mobilen Anwendungen (portable apps). Der Schutz
basiert nicht nur auf Dateinamen, sondern geht über
den Content Filter und die Pattern Prüfung tief in
die Dateien hinein.
ApplicationWatch:
Mit ApplicationWatch bestimmen Sie,
wer welche Programme nutzen darf.
Als weltweite Alleinstellung kontrollieren Sie zusätzlich den Zugriff der Anwendungen auf alle Dateien - lesend
oder schreibend - unabhängig von den
Nutzerrechten, nach Namen und Inhalt.
Data Leakage Prevention mit itWatch:
VerschlüsselungkannmitpersönlichenSchlüsselnoder
einem Firmenschlüssel erzwungen werden. Sie sind
compliant und Ihre Daten bleiben im Unternehmen.
Firmenschlüssel sind nur auf Firmenrechnern
verwendbar. Datenlecks werden geschlossen erlaubte Dateibewegungen protokolliert.
Unbenannt-1 1
02.10.2009 11:00:07 Uhr
ix.1109.x.01-08
06.10.2009
13:18 Uhr
Seite VIII
Security
E-MAIL-VERSCHLÜSSELUNG
Die Übersicht erhebt keinen Anspruch auf Vollständigkeit.
Hersteller
Clearswift
Cryptzone
KOBIL
IronPort
MessageLabs
Net at Work
PGP
RSA
TREND MICRO
Utimaco
Produkt
CompanyCRYPT
Secured eMail
mIDentity
E-Mail Encryption
Verschlüsselungsdienste
enQsig
PGP Mail
Secure eMail
Email Encryption
Secure E-Mail
Gateway
soll zunächst nur für den direkten Empfänger zu öffnen
sein.
Deshalb passt zur E-MailVerschlüsselung die asymmetrische Verschlüsselung. Sie
arbeitet mit Algorithmen, die
für jeden an der Kommunikation
beteiligten Anwender ein
Schlüsselpaar erzeugen. Einen
Schlüssel seines Paares veröffentlicht der Anwender oder
sendet ihn seinen Partnern, den
anderen, privaten Schlüssel hält
er geheim. Wer ihm nun eine
verschlüsselte Sendung zukommen lassen will, verschlüsselt
die E-Mail explizit für den Emp-
Webseite
www.clearswift.com/de
www.cryptzone.de
www.kobil.com
www.ironport.de
de.messagelabs.com
www.ensig.de
www.pgp.de
www.rsa.com
www.trendmicro.de
www.utimaco.de
fänger mit dessen öffentlichem
Schlüssel. Nur dieser kann sie
mit der privaten Hälfte des Paares öffnen.
Als Zugabe ermöglicht dieses System die digitale Signatur: Hat der Anwender die
Nachricht fertiggestellt und gegebenenfalls noch mit dem öffentlichen Schlüssel des Empfängers verschlüsselt, bildet
man eine Quersumme und verschlüsselt diese mit dem eigenen privaten Schlüssel. Der
Empfänger entschlüsselt die
Quersumme mit dem öffentlichen Schlüssel des Senders
und vollzieht die Quersummen-
bildung nach – kommt er dabei auf das gleiche Ergebnis,
stammt die Nachricht von Sender und kann unterwegs nicht
verändert worden sein.
Eine Folgeerscheinung dieser Technik ist der Aufwand,
den der Anwender für die Verwaltung der Schlüssel treiben
muss. Will ein Unternehmen
7000 Mitarbeitern uneingeschränkten Zugang zur E-MailVerschlüsselung erlauben, sind
bereits 7000 Schlüsselpaare im
Spiel, von denen die öffentlichen Schlüssel jedem Anwender zugänglich sein müssen.
Hinzu kommen die Schlüssel
aller externen Kommunikationspartner – und die Änderungen des Bestands durch
Fluktuation. Der Fachbegriff für
die Infrastruktur, die diese Aufgaben bewältigt, ist Public Key
Infrastructure (PKI). PKI ist
heute kompakt und ein fast unsichtbarer, integraler Bestandteil der Verschlüsselungslösungen. Unternehmen müssen
sich darum nur noch kümmern, wenn sie PKI auch für
andere Zwecke wie den Zugriff
auf hochsensible Anwendungen einsetzen und deshalb auf
Kompatibilität achten müssen.
Ansonsten sind bei der
Einführung einer E-Mail-Ver-
In iX extra 12/2009:
Storage – SAN versus NAS
Lange wurden SAN und NAS
als einander ausschließende
Speichertechnologien betrachtet. Statt „SAN versus NAS“
legen viele Hersteller inzwischen Wert auf „SAN und NAS“.
Doch wie steht es heute wirklich mit den Unterschieden zwischen den beiden, und wo liegen ihre Einsatzgebiete? Und ist
„Unified Storage“ in der Lage,
SAN und NAS sinnvoll zu verei-
nen oder ist es nur eine Marketingfinte? Das kommende
iX extra verrät mehr.
Erscheinungstermin:
19. November 2009
DIE WEITEREN IX EXTRAS:
Ausgabe
Thema
01/10 Networking
02/10 Embedded Systems
03/10 Security
Hosting-Provider – Service und Kosten
Softwaretest- und Debugging-Tools
Sicherheit rund um die Cloud
und die Virtualisierung
VIII
Erscheinungstermin
17.ˇ12.ˇ09
21.ˇ01.ˇ10
25.ˇ02.ˇ10
schlüsselung eher strategische
Entscheidungen zu treffen:
Wenn die E-Mail nicht verschlüsselt sein muss, solange
sie im Unternehmensnetz unterwegs ist, bietet sich ein
Gateway-Verschlüsselungssystem an, das an der Grenze zum
Internet arbeitet. Es verschlüsselt Nachrichten, wenn der Absender es so will oder wenn
eine Vertraulichkeitsregel die
Operation aufgrund bestimmter
Kriterien vorschreibt. Wenn eine
verschlüsselte E-Mail jemandem geschickt werden soll, der
keinen Schlüssel besitzt, stellen
manche Systeme die Nachricht
auf einen SSL-gesicherten
Webserver. Sie benachrichtigen
dann Sender und Empfänger,
die ein Kennwort für den Zugriff
vereinbaren müssen.
Falls E-Mails auch im internen Netz verschlüsselt sein sollen – überall dort, wo für einzelne Mitarbeiter und deren
Kommunikationspartner besondere Vertraulichkeitsansprüche
gelten – muss End-to-EndVerschlüsselung eingeführt
werden, bei der die Verschlüsselung in jedem einzelnen
E-Mail-Client stattfindet. Für
beide Fälle gibt es inzwischen
anwenderfreundliche Lösungen, bei denen der Nutzer zur
Verschlüsselung nur noch einen
Knopf drücken muss.
Für die asymmetrische Verschlüsselung von E-Mails existieren zwei miteinander nicht
kompatible Standards: S/MIME
und PGP/GPG. S/MIME, unter
anderem von Microsoft favorisiert, nutzt Zertifikate. Zertifikate sind beglaubigte Schlüssel,
die durch hierarchisch organisierte und damit gut kontrollierbare Instanzen (Certificate
Authorities) erzeugt und ausgegeben werden. Bei PGP/GPG
beglaubigen sich die Kommunikationspartner ihre
Schlüssel lediglich gegenseitig,
wenn sie es für nötig halten.
Am besten sind Systeme, die
beide Standards beherrschen.
(sf/ur)
Bettina Weßelmann
iX extra 11/2009