als PDF
Transcrição
als PDF
ix.1109.x.01-08 06.10.2009 13:18 Uhr Seite I sponsored by: Ein Verlagsbeihefter der Heise Zeitschriften Verlag GmbH & Co. KG Security extra Security Verschlüsselung von Endgeräten On- und OfflineVerschlüsselung Verschlüsselung von Endgeräten Vergesslichkeitsschutz Seite I Seite VI Vorschau Storage SAN versus NAS Seite VIII Veranstaltungen 27. – 28. Oktober 2009, Frankfurt a. M. Storage Networking World Europe www.snweurope.net 3. – 5. November 2009, München RiskConf 2009 – Chancen- und Risikokalkulation im Projektmanagement www.ix-konferenz.de/riskconf.php 5. – 6. November 2009, Nürnberg Software-QS-Tag 2009 www.qs-tag.de 25. – 26. November 2009, München CloudConf 2009 – Cloud-Computing: Infrastruktur, Architektur, Design, Entwicklung www.ix-konferenz.de/cloudconf.php urity iX extra Sechlagen: zum Nachsc /security.shtml e/ix/extra www.heise.d In Sachen Verschlüsselung überlagern Spekulationen über mögliche High-Tech-Angriffe und Wirtschaftsspionage nach wie vor die nüchternen Kosten-NutzenRechnungen. Wichtigstes Ziel der Endpoint-Verschlüsselung ist allerdings der ganz banale Schutz vor den Folgen des alltäglichen Laptop- und Handy-Verlusts. enn Anwender über das Thema Verschlüsselung reden, landen sie schnell bei einer Mischung aus Nerd-Geflüster, Science-Fiction und Verschwörungstheorien. Wer allerdings den Wert eines Verschlüsselungsprojekts für die Informationssicherheit im Unternehmensalltag bewerten will, muss diese Ebene hinter sich lassen. Stattdessen hat er sich mit den banalsten Gefahrenszenarien auseinanderzusetzen, das die Informationssicherheit bietet: dem Verlust von Endgeräten, Festplatten, CD-/ DVD-Roms und USB-Speichern an öffentlichen Orten. Wenn ein Laptop, ein anderes Endgerät oder ein USB-Stick in der Bahn oder am Flughafen liegen bleibt oder einem Gelegenheitsdieb in die Hände fällt, versucht der Dieb oder Finder möglicherweise, aus den Informationen Kapital zu schlagen oder gezielt nach Chancen für eine „Informationsvermittlung“ oder Erpressung zu suchen. Genau in diesen Fällen soll Verschlüsselung als Schutzmechanismus greifen. Die eingesetzte Technik muss stark genug sein, dass sich der finanzielle und W Ordner- und E-Mail-Verschlüsselung im Unternehmen Der virtualisierte Schlüsselbund Vergesslichkeitsschutz zeitliche Aufwand für ihre Überwindung aus Sicht der potenziellen Angreifer nicht lohnt. Dabei ist das zentrale Qualitätsmerkmal, auf das ein Anwender achten muss, nicht mehr der Algorithmus und damit der mathematische Lösungsansatz. Die marktgängigen Algorithmen wie der symmetrische AES (Advanced Encryption Standard) haben bei den üblichen Einstellungen – aktuell 128 oder 256 Bit Verschlüsselungstiefe – hinreichend bewiesen, dass sie für die heutige Zeit widerstandsfähig genug sind. Wenn die auf den zu schützenden Geräten enthaltenen Daten hochsensibel sind oder wenn sie auch langfristig so wertvoll bleiben, dass ein Dieb sie tatsächlich solange aufbewahren würde, bis er sich den passenden Computer zur erfolgreichen Attacke leisten kann, lässt sich einfach eine größere Verschlüsselungstiefe als üblich ansetzen. Der Anwender nimmt damit nur eine leichte Verlangsamung der Datenspeicherzugriffe in Kauf. Für den Fall, dass ein einzelner Algorithmus wirklich einmal aufgrund einer genialen I ix.1109.x.01-08 06.10.2009 13:18 Uhr Seite II Security mathematischen Kryptoanalyse geknackt wird oder, wie beim Hash-Algorithmus SHA-1 geschehen, plötzlich unerwartete Schwächen offenbart, sollte die Verschlüsselungssoftware den Austausch der verwendeten Algorithmen als Module ermöglichen. Auch die Gefahr, dass verschlüsselte Daten durch Fortschritte in der Computertechnik wie Quantencomputer unsicher werden könnten, sollte niemanden unmittelbar beunruhigen. Die Anwendergemeinde wird es rechtzeitig erfahren, wenn entsprechend starke Systeme in einigen Jahren tatsächlich einsatzreif sein sollten. Dann allerdings ist zu vermuten, dass man die Technik wahrscheinlich auch für die Verschlüsselung und nicht nur für die Entschlüsselung einsetzen kann. Ohnehin sollte man davon ausgehen, dass einmal verschlüsselte Daten für einige Jahre, aber niemals für die Ewigkeit sicher sind. Bei Endgeräten spielt das im Normalfall allerdings eine geringe Rolle, da diese Systeme in der Regel kürzer im Einsatz bleiben als der Fortschrittszyklus bei der Verschlüsselungstechnik dauert. Für die Sicherheit ist es hier viel wichtiger, dass die Massenspeicher der Systeme am Ende ihrer Lebensdauer gelöscht oder zerstört und die Daten sicher auf die nächste Gerätegeneration übertragen werden. Bei der Langzeitarchivierung sieht dies anders aus. Schwächen von Verschlüsselungslösungen beruhen fast immer darauf, dass das mathematisch so gut beherrschbare Prinzip Kryptografie für die Praxis in instabile, keineswegs fehlerfreie Umgebungen integriert werden muss. Auch modernste Endgeräte weisen funktionale Fehler und Sicherheitslücken auf, und der Anwender bringt noch einige mehr davon ins Spiel, etwa schwache Kennwörter oder einen laxen Umgang mit eingeschalteten Geräten. Mit dem Bereich Implementierung hat sich auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) auseinandergesetzt. In seinen Publikationen nennt es gleich im Anschluss an den zentralen Aspekt „Sicherheit der mathematisch-kryptografischen Algorithmen“ folgende Anforderungen: verlässliches Schlüsselmanagement, Fehlbedienungs- und Fehlfunktionssicherheit, Vorkehrungen gegen sicherheitsmindernde Manipulationen und Abwesenheit verdeckter kompromittierender Kanäle. Dieser Katalog lässt sich hervorragend auf die Verschlüsselungsansätze beziehen, die für das hier beschriebene Endgeräte- und Datenträgerszenario eine Rolle spielen: Vollver- schlüsselung von Datenträgern, Ordnerverschlüsselung, Containerverschlüsselung und Dateiverschlüsselung. Die Komplettverschlüsselung von Datenträgern in Endgeräten („Volume Based Encryption“, sektorbasierte Verschlüsselung), heute wohl das beliebteste Konzept, hat in der Regel den Vorteil, dass sie den Anwender am wenigsten mit Umstellungen in seiner Arbeitsweise belasten. Er schaltet das Gerät an und meldet sich schon vor dem Start des Betriebssystems (Pre-BootAuthentication) am Frontend des Verschlüsselungssystems an. Das System gibt nach der Überprüfung der Identität des Anwenders die eigentlichen, für die Verschlüsselung erzeugten Schlüssel frei und erlaubt so den Zugriff auf den Datenträger. Das Gerät bootet daraufhin wie gewohnt, allerdings vom verschlüsselten Massenspeicher. Bei jedem Lesezugriff wird automatisch ent- und bei jedem Schreibzugriff verschlüsselt. Wenn die verwendete Lösung heutigen Maßstäben entspricht, bietet sie Single SignOn, synchronisiert ihr eigenes Kennwort also mit dem des Betriebssystems und gegebenenfalls mit weiteren Anwendungen wie einem VPN-Zugang zum Unternehmensnetz oder dem E-Mail-System. Der Anwender muss sich in diesem Fall keine zusätzlichen Kenn- OPEN-SOURCE-VERSCHLÜSSELUNGSPRODUKTE Zwar gibt es im Open-Source-Bereich keine den komplexen kommerziellen Verschlüsselungs-Suiten vergleichbaren Produkte, interessante Werkzeuge aber allemal. Als bekanntestes ist wohl die PGPAlternative GnuPG zu nennen. Aber auch für andere zu verschlüsselnde Bereiche gibt es betrachtenswerte Tools, die im Folgenden – ohne Anspruch auf Vollständigkeit – kurz aufgeführt sind. II Werkzeug Blowfish Advanced CS Funktion Dateiverschlüsselung DiskCryptor verschlüsselt USB-Laufwerke und Festplatten Enigmail FreeOTFE GNU Privacy Guard TrueCrypt Mailverschlüsselung erzeugt und verschlüsselt virtuelle Laufwerke Mailverschlüsselung verschlüsselt Festplatten und Partitionen Website blowfish-advanced-cs. softonic.de sourceforge.net/projects/ diskcryptor enigmail.mozdev.org www.freeotfe.org www.gnupg.org www.truecrypt.org wörter merken, was menschliche Fehlerquellen reduziert. Unternehmensinterne Zugriffsrichtlinien für Datenträger setzt bei dieser Technik das Kennwortmanagement um. Es bestimmt Kennwortstandards und -regeln und verschafft gegebenenfalls Vertretern des Anwenders Zugang zu den verschlüsselten Daten. Die Sicherheit lässt sich durch Mehrfaktor-Authentifizierung, etwa durch Passwort plus Token oder Fingerabdruck, weiter erhöhen. Vorteilhaft ist auch, dass die Vollverschlüsselung grundsätzlich temporäre Dateien, Zwischenspeicher und andere Verstecke mit erfasst, in denen vom Anwender unbemerkt Schnipsel vertraulicher Daten übrig bleiben können. Trusted Computing „en vogue“ Der Trend bei Komplettverschlüsselungssystemen geht heute dahin, für die Aufbewahrung und Erzeugung der Schlüssel den TPM-Chip moderner Endgeräte, das „Trusted Platform Module“, zu nutzen. Der TPM-Chip als Schlüsselspeicher ähnelt einer im Computer eingebauten Smartcard, die überdies vom geschützten Datenträger getrennt ist und effektiv vor Soft- und vielen Hardwareangriffen schützt. Ein verlässliches Schlüsselmanagement, wie nicht nur das BSI es fordert, ist hier, bezogen auf das Endgerät selbst, ebenfalls gewährleistet. Externe Speicher wie gesicherte USB-Sticks oder Smartcards können als sichere Schlüsselablagen eine Alternative zum TPM-Chip sein, bringen aber eigene Probleme mit sich und sind vor allem umständlicher zu handhaben. Den Vorteilen der Komplettverschlüsselung stehen nicht minder gewichtige Nachteile gegenüber. Läuft der PC erst einmal und ist er nicht gesperrt, hat ein unbefugter Benutzer iX extra 11/2009 ix1109_x_III_eset.pdf 08.10.2009 16:56:57 Uhr - 1 - ( ) ix.1109.x.01-08 06.10.2009 13:18 Uhr Seite IV Security den gleichen freien Zugriff auf das System und die damit erreichbaren Informationen wie bei einem unverschlüsselten Gerät. Auch Trojanern oder Keyloggern, die es bis ins Betriebssystem geschafft haben, stehen das System und die Daten offen. Als alleiniges Sicherheits-Tool für Endgeräte taugt Vollverschlüsselung also keineswegs, die üblichen Sicherheits-Suites und Schulung der Anwender sind auch hier Pflicht. Letztere müssen beispielsweise lernen, ihren vollverschlüsselten Rechner nie zu starten, wenn ein externer Datenträger angesteckt ist – denn von dort, so befürchten Spezialisten, könnte sich ein fremdes Programm unbemerkt in den Pre-Boot-Vorgang einklinken und Kennwörter oder sogar Schlüssel stehlen. Und noch einen Aspekt darf man nicht vergessen: Die Vollverschlüsselung muss wie ein Betriebssystem mit Fehlern von Datenträgern umgehen können. Ein kleiner Magnetplattendefekt etwa, der den PreBoot-Ablauf stört, darf nicht den Zugriff auf alle Informationen verhindern, weil die Betriebssystemwerkzeuge als Reparaturhilfen dann nicht mehr zur Festplatte vordringen. Zu bedenken ist außerdem, dass Informationen, die der Anwender auf externe Datenträger kopiert oder brennt oder übers Netz weiterverschickt, ohne Sonderfunktionen nicht automatisch ebenfalls verschlüsselt werden. Die Komplettverschlüsselung von externen Datenträgern wie USB-Platten und -Sticks ist dann eine gute Idee, wenn Schlüsselverwaltung und -aufbewahrung intelligent gelöst sind. In diesem Fall kommt ja häufig auch der Wunsch ins Spiel, die Speicher zumindest innerhalb von Arbeitsgruppen zum Weitergeben von Informationen zu nutzen. Ordnerverschlüsselung unterwirft alle Dateien in ausgewählten Ordnern im Dateisystem eines fest eingebauten oder mobilen Datenträgers VERSCHLÜSSELUNGSPRODUKTE FÜR ENDGERÄTE Die Übersicht der Anbieter erhebt keinen Anspruch auf Vollständigkeit. Hersteller Applied Security Center Tools Software Check Point Software CORISECIO CoSoSys Crypto AG Cryptzone cynapspro CyProtect digitronic FrontRange Solutions IBM Infotecs itWatch Lumension McAfee Microsoft Novell PGP Protea Networks Safend SafeNet SECUDE Securstar Sophos Steganos Sybase Produkt +FideAS DriveLock Endpoint Security, Media Encryption Mobile Suite/PKI Endpoint Protector 2009 Crypto EMP Cryptzone Enterprise, Secured USB Cynapspro Suite 2009 Drive Encryption, File Encryption Security Suite DeviceWall Data Security Services für Endpoint Data Protection Safe Disk, Safe Disk Mobile PDWatch Sanctuary Suite Total Protection for Data Bitlocker ZENworks Endpoint Security Management Whole Disk Encryption, Mobile SafeGuard Safend Encryptor Protect Drive; ProtectFile FinallySecure, Secure Notebook DriveCrypt Security and Data Protection Safe 11 Afaria Symantec TREND MICRO Utimaco Safeware Endpoint Encryption Mobile Security SafeGuard, SafeGuard PrivateCrypto IV Webseite www.apsec.de www.drivelock.com www.checkpoint.com www.corisecio.com/de www.endpointprotector.com www.crypto.ch www.cryptzone.de www.cynapspro.com www.cyprotect.com www.digitronic.net www.frontrange.de www.ibm.com/de www.infotecs.biz/german www.itwatch.de www.lumension.de www.mcafee.com/de www.microsoft.com www.novell.com www.pgp.de www.proteanetworks.de www.safend.com www.safenet-inc.com/de www.secude.de www.securstar.com www.sophos.de www.steganos.com/de www.sybase.de/products/ mobileenterprise/afaria www.symantec.de www.trendmicro.de www.utimaco.de einer Zwangsverschlüsselung. Ist das Ver- und Entschlüsseln ausdrücklich durch zusätzliche Kennwortabfragen geschützt, resultiert daraus immerhin ein gewisser Erziehungseffekt für den Umgang mit besonders vertraulichen Daten. Gilt dies nicht, hat die Ordnerverschlüsselung – abgesehen von einem gewissen Geschwindigkeitsgewinn beim Zugriff auf unverschlüsselte Bereiche – keine Vorteile gegenüber der Komplettverschlüsselung. Im Gegenteil: Es besteht hier immerhin die Gefahr, dass Bearbeitungsspuren vertraulicher Daten beispielsweise in temporären Dateien oder Relikten der Zwischenablage und damit im unverschlüsselten Bereich zurückbleiben. Bei einer Containerverschlüsselung werden Dateien mithilfe eines Frontends in eine spezielle „Behälterdatei“ verschoben, deren Content dann insgesamt verschlüsselt ist. Entweder geschieht diese Operation über eine separate Benutzeroberfläche, die auch eigene Kommandos zum Aufnehmen (Verschlüsseln) oder Freigeben (Entschlüsseln) der Dateien aufweist, oder das System hängt seinen Container vorübergehend wie eine Festplatte ein. In diesem Fall ist der Inhalt des Containers für den Anwender und alle Programme sichtbar, und der Zugriff erfolgt wie auf einen normalen Datenträger im Dateisystem. Läuft die Verschlüsselungsanwendung nicht, lässt sich die „Container-Datei“ wie jede beliebige andere Datei kopieren, verschieben oder auf optische Medien brennen. Man kann ihr von außen nicht ansehen, welche verschlüsselten Informationen sie beherbergt. Einige Programme verbergen überdies die Container oder benutzen per Steganografie harmlos anmutende Dateien wie Musik- und Bilddateien als Behälter. Die Musikdateien bleiben trotzdem abspielbar und iX extra 11/2009 ix1109_x_V_CPI.pdf 08.10.2009 16:57:24 Uhr - 1 - ( ) 2U TWIN™ – UNVERGLEICHLICH UND HÖCHSTE EFFIZIENZ 4 DUAL PROZESSOR NODES IN 2 HE MIT INTEL® XEON® PROZESSOR 5520 Die 2U Twin™ Systeme CPI Eagle 2357 sind eine wahre Revolution mit höchster Effizienz und Rechenleistung per Watt (375 GFLOPS/KW) basierend auf der neuesten Intel® Xeon® Prozessor 5520 Plattform. Mit 4 unabhängigen und Hot-Plug fähigen Server Nodes in einem 2 HE Gehäuse erhalten Sie absolute Ausfallsicherheit. Für beste Energieeffizienz (93%) sorgen zwei redundante Gold Level Netzteile und insgesamt 4 HochleistungsLüfter. Ein höchstes Maß an Performance erhalten diese Systeme durch die neueste Intel® Xeon® Prozessor 5520 Plattform. 2U Twin™ Server sind optimiert für den Einsatz in High Performance Computing (HPC), Rechenzentren und Blade Server Umgebungen. CPI Eagle 2357 - Ausstattung: · 2 HE Rackmount Server schwarz · 4 unabhängige Hot-Plug DP Server Nodes · Intel® Xeon® Prozessor 5520 · 2x Intel® Xeon® Prozessor 5520 2.26GHz pro Node · 6 GB (6x 1 GB DDR3 1333 MHz) max. 96 GB / 12 DIMM Sockel pro Node · 3x 500 GB Festplatte, S-ATA300 NCQ 7.200 U/min. 32MB Cache pro Node · 2x 1200 Watt Redundante und hocheffiziente „Gold Level“ Netzteile mit einer Effizienz von 93% · Optimaler Stromverbrauch und Kühlung · 36 Monate Gewährleistung – Optional: 60 Monate Garantie und Service Konzept Gerne konfigurieren wir Ihnen Serversysteme, die exakt auf Ihre Bedürfnisse abgestimmt werden. © www.artraction.de, 05/09 CPI Computer Partner Handels GmbH Kapellenstr. 7 D - 85622 Feldkirchen/München Telefon Telefax Hotline E-mail +49 (0)89 - 96 24 41- 0 +49 (0)89 - 96 24 41- 33 0800 - 100 82 69 [email protected] Intel, das Intel Logo, Xeon, und Xeon Inside sind Marken der Intel Corporation in den USA und anderen Ländern. Druckfehler, Irrtümer und Änderungen vorbehalten. ix1109_x_000_Intel.indd 1 www.cpigmbh.de 28.09.2009 12:04:43 Uhr ix.1109.x.01-08 06.10.2009 13:18 Uhr Seite VI Security die Bilder optisch unauffällig. Ohne Vergleichsmöglichkeit mit den Originalen ist nicht zu erkennen, dass sie zusätzliche Informationen enthalten. Setzt der Anwender darüber hinaus ein Verschlüsselungsprogramm ein, das er nicht installiert, sondern bei Bedarf etwa von einem separat mitgeführten USB-Stick aus startet, verbirgt er mit recht hoher Sicherheit, dass er überhaupt verschlüsselte Daten mit sich führt. Ein Vorteil der Containerverschlüsselung ist generell, dass der Anwender vertrauliche Daten bewusst vom übrigen Informationsbestand trennen muss und so automatisch ein Bewusstsein dafür entwickelt, welche Daten schützenswert sind. Das gilt ebenso, wenn er einzelne Dateien mit einem entsprechenden Werkzeug aufwendig separat verschlüsseln muss. Nur bei dieser Technik bleiben einmal verschlüsselte Dateien automatisch auch dann gesichert, wenn man sie – auf welchen Wegen auch immer – online überträgt oder auf externen Datenträgern ablegt. Nachteilig ist, dass die lästige Einzelverschlüsselung unter Zeitdruck häufig unterbleibt und wiederum Dateibruchstücke als Resultat von Verarbeitungsaktionen unverschlüsselt zurückbleiben können. Für extrem vertrauliche Informationen kann es also Der virtualisierte Schlüsselbund Ordner- und E-Mail-Verschlüsselung im Unternehmen Jenseits der Verschlüsselung von mobilen Geräten und Datenträgern konzentrieren sich Unternehmen derzeit vor allem auf die Verschlüsselung von Ordnern im Netzwerk und von E-Mails. In beiden Fällen ist die Schlüsselverwaltung ein zentraler Aspekt bei der Evaluierung und der Implementierung. er im Netzwerk Ordner verschlüsseln will, hat mit anderen Problemen zu kämpfen als jemand, dem es um die Sicherung von Informationen auf mobilen Datenträgern geht. Mit Ordnerverschlüsselung im Netz will man verhindern, dass ein externer Angreifer mit Daten auf Netzwerkservern etwas anfangen kann, sollte er die Firewall überwinden oder direkten Zugriff auf die Serverhardware erlangen. Außerdem möchte man den Zugang zu Informationen auf ausgewählte Anwender beschränken. Typische Einsatzszenarien für die Lösungen sind deshalb verschlüsselte Ordner für die Daten der Personalabteilung oder ein sicheres Repository für eine Arbeitsgruppe in der Entwicklungsabteilung. Wichtig ist, dass der Administrator einem Gruppenmitglied – etwa beim Verlassen des Unternehmens – die Zu- W VI griffsrechte schnell wieder entziehen kann. Das sollte möglich sein, ohne dass der Ordnerinhalt neu verschlüsselt werden muss. Auch eine schnelle Zuteilung von Rechten ist aus Effizienzgründen ein Muss. Natürlich ließe sich die Abschottung bestimmter Informationen im Netz ebenso anders verwirklichen, etwa durch Einrichtung eines Netzwerksegments. Eine gute Ordnerverschlüsselung für den Netzwerkeinsatz aber kann meist mehr: Sie schützt Dateien auch dann, wenn diese aus dem Netzwerkordner herauskopiert oder verschoben werden. Diese Aussage mag verwirren, wenn man sich an Ordnerverschlüsselungsprogrammen für Endgeräte orientiert, die nur dem Informationsschutz bei Diebstahl dienen. Tatsächlich verwischt sich bei guter Ordnerverschlüsselung im Netz die Grenze zu Sys- temen, die einzelne Dateien unabhängig von ihrem Speicherort verschlüsseln. Ein „Ordner“ im Filesystem bietet für die Entwickler von Sicherheitsprodukten zunächst einmal die einfachste Möglichkeit, auf einem Netzwerkserver einen verschlüsselten Bereich einzurichten, der für jede Art von Client und Anwendung zu erreichen ist. Die Anwender, die darauf zugreifen sollen, erhalten die passenden Schlüssel zentral zugeteilt – deshalb gehört zu jeder Netzwerkordnerverschlüsselung eine zentrale Schlüsselverwaltung. Diese sollte Schnittstellen zu Directory- und Metadirectory-Systemen und deren Protokollen aufweisen, etwa LDAP, Active Directory oder Novell E-Directory, damit die Directory-Funktionen zur Verwaltung von Gruppen und zur Rechtezuteilung auch für den Zugriff durchaus sinnvoll sein, eine Komplettverschlüsselung um eine Container- oder Dateiverschlüsselung zu ergänzen. Außerdem muss ein Unternehmen grundsätzlich klären, wem es die Entscheidung überlassen will, welche Informationen als vertraulich klassifiziert und deshalb verschlüsselt werden müssten. (sf/ur) Bettina Weßelmann arbeitet als freie Fachjournalistin in München. auf die geschützten Ordner verwendet werden können. Das spart Systemverwaltungsaufwand und stellt sicher, dass der Verantwortliche bei einer globalen Rechteveränderung den verschlüsselten Ordner nicht vergisst. Technisch kann das Verschlüsselungssystem die Schlüssel bei jeder Dateioperation oder beim ersten Zugriff dynamisch übergeben, nachdem sich ein Anwender authentifiziert hat. Es sollte Single Sign-On und eine möglichst große Zahl an Authentifizierungsverfahren unterstützen – etwa Kennwort, Token und Zertifikate auf dem Rechner oder einer Smartcard. Eine weitere Verwaltungsfunktion, die vor allem im Zusammenhang mit der Einhaltung von Compliance-Regeln wichtig ist, stellt die Protokollierung dar: Wenn nötig, muss nachweisbar sein, wer aus der Gruppe wann auf welche Informationen zugegriffen hat. Asynchrones braucht Asymmetrie Während man bei Datei-, Ordner- und Datenträgerverschlüsselungen an einen Tresor denken muss, zu dem ein begrenzter Kreis von Berechtigten Zugang erhält, orientiert man sich bei E-Mail-Verschlüsselung am Prinzip „persönlicher Brief“, gegebenenfalls „per Einschreiben“. Jede „Sendung“ iX extra 11/2009 ix1109_x_VII_itWatch.pdf 08.10.2009 16:57:14 Uhr - 1 - ( ) Risiken am Endpoint managen und beherrschen: Ermitteln Sie vollautomatisch alle Risiken am Endpoint: Genutzte Ports, Devices, Anwendungen, Austausch kritischer Dateien, verbundene Netze etc. Definieren Sie auf dieser Basis Ihre individuelle Sicherheitskultur mit Freiräumen, Verboten und Systems Management Zielen - ganz ohne Aufwand. CITRIX©/Terminalserver: Schützen Sie Ihre CITRIX- und Terminal-Server vor allen unerwünschten Daten, dem unerlaubten Datenabfluss (Data Loss) und vor nicht erwünschten mobilen Anwendungen (portable apps). Der Schutz basiert nicht nur auf Dateinamen, sondern geht über den Content Filter und die Pattern Prüfung tief in die Dateien hinein. ApplicationWatch: Mit ApplicationWatch bestimmen Sie, wer welche Programme nutzen darf. Als weltweite Alleinstellung kontrollieren Sie zusätzlich den Zugriff der Anwendungen auf alle Dateien - lesend oder schreibend - unabhängig von den Nutzerrechten, nach Namen und Inhalt. Data Leakage Prevention mit itWatch: VerschlüsselungkannmitpersönlichenSchlüsselnoder einem Firmenschlüssel erzwungen werden. Sie sind compliant und Ihre Daten bleiben im Unternehmen. Firmenschlüssel sind nur auf Firmenrechnern verwendbar. Datenlecks werden geschlossen erlaubte Dateibewegungen protokolliert. Unbenannt-1 1 02.10.2009 11:00:07 Uhr ix.1109.x.01-08 06.10.2009 13:18 Uhr Seite VIII Security E-MAIL-VERSCHLÜSSELUNG Die Übersicht erhebt keinen Anspruch auf Vollständigkeit. Hersteller Clearswift Cryptzone KOBIL IronPort MessageLabs Net at Work PGP RSA TREND MICRO Utimaco Produkt CompanyCRYPT Secured eMail mIDentity E-Mail Encryption Verschlüsselungsdienste enQsig PGP Mail Secure eMail Email Encryption Secure E-Mail Gateway soll zunächst nur für den direkten Empfänger zu öffnen sein. Deshalb passt zur E-MailVerschlüsselung die asymmetrische Verschlüsselung. Sie arbeitet mit Algorithmen, die für jeden an der Kommunikation beteiligten Anwender ein Schlüsselpaar erzeugen. Einen Schlüssel seines Paares veröffentlicht der Anwender oder sendet ihn seinen Partnern, den anderen, privaten Schlüssel hält er geheim. Wer ihm nun eine verschlüsselte Sendung zukommen lassen will, verschlüsselt die E-Mail explizit für den Emp- Webseite www.clearswift.com/de www.cryptzone.de www.kobil.com www.ironport.de de.messagelabs.com www.ensig.de www.pgp.de www.rsa.com www.trendmicro.de www.utimaco.de fänger mit dessen öffentlichem Schlüssel. Nur dieser kann sie mit der privaten Hälfte des Paares öffnen. Als Zugabe ermöglicht dieses System die digitale Signatur: Hat der Anwender die Nachricht fertiggestellt und gegebenenfalls noch mit dem öffentlichen Schlüssel des Empfängers verschlüsselt, bildet man eine Quersumme und verschlüsselt diese mit dem eigenen privaten Schlüssel. Der Empfänger entschlüsselt die Quersumme mit dem öffentlichen Schlüssel des Senders und vollzieht die Quersummen- bildung nach – kommt er dabei auf das gleiche Ergebnis, stammt die Nachricht von Sender und kann unterwegs nicht verändert worden sein. Eine Folgeerscheinung dieser Technik ist der Aufwand, den der Anwender für die Verwaltung der Schlüssel treiben muss. Will ein Unternehmen 7000 Mitarbeitern uneingeschränkten Zugang zur E-MailVerschlüsselung erlauben, sind bereits 7000 Schlüsselpaare im Spiel, von denen die öffentlichen Schlüssel jedem Anwender zugänglich sein müssen. Hinzu kommen die Schlüssel aller externen Kommunikationspartner – und die Änderungen des Bestands durch Fluktuation. Der Fachbegriff für die Infrastruktur, die diese Aufgaben bewältigt, ist Public Key Infrastructure (PKI). PKI ist heute kompakt und ein fast unsichtbarer, integraler Bestandteil der Verschlüsselungslösungen. Unternehmen müssen sich darum nur noch kümmern, wenn sie PKI auch für andere Zwecke wie den Zugriff auf hochsensible Anwendungen einsetzen und deshalb auf Kompatibilität achten müssen. Ansonsten sind bei der Einführung einer E-Mail-Ver- In iX extra 12/2009: Storage – SAN versus NAS Lange wurden SAN und NAS als einander ausschließende Speichertechnologien betrachtet. Statt „SAN versus NAS“ legen viele Hersteller inzwischen Wert auf „SAN und NAS“. Doch wie steht es heute wirklich mit den Unterschieden zwischen den beiden, und wo liegen ihre Einsatzgebiete? Und ist „Unified Storage“ in der Lage, SAN und NAS sinnvoll zu verei- nen oder ist es nur eine Marketingfinte? Das kommende iX extra verrät mehr. Erscheinungstermin: 19. November 2009 DIE WEITEREN IX EXTRAS: Ausgabe Thema 01/10 Networking 02/10 Embedded Systems 03/10 Security Hosting-Provider – Service und Kosten Softwaretest- und Debugging-Tools Sicherheit rund um die Cloud und die Virtualisierung VIII Erscheinungstermin 17.ˇ12.ˇ09 21.ˇ01.ˇ10 25.ˇ02.ˇ10 schlüsselung eher strategische Entscheidungen zu treffen: Wenn die E-Mail nicht verschlüsselt sein muss, solange sie im Unternehmensnetz unterwegs ist, bietet sich ein Gateway-Verschlüsselungssystem an, das an der Grenze zum Internet arbeitet. Es verschlüsselt Nachrichten, wenn der Absender es so will oder wenn eine Vertraulichkeitsregel die Operation aufgrund bestimmter Kriterien vorschreibt. Wenn eine verschlüsselte E-Mail jemandem geschickt werden soll, der keinen Schlüssel besitzt, stellen manche Systeme die Nachricht auf einen SSL-gesicherten Webserver. Sie benachrichtigen dann Sender und Empfänger, die ein Kennwort für den Zugriff vereinbaren müssen. Falls E-Mails auch im internen Netz verschlüsselt sein sollen – überall dort, wo für einzelne Mitarbeiter und deren Kommunikationspartner besondere Vertraulichkeitsansprüche gelten – muss End-to-EndVerschlüsselung eingeführt werden, bei der die Verschlüsselung in jedem einzelnen E-Mail-Client stattfindet. Für beide Fälle gibt es inzwischen anwenderfreundliche Lösungen, bei denen der Nutzer zur Verschlüsselung nur noch einen Knopf drücken muss. Für die asymmetrische Verschlüsselung von E-Mails existieren zwei miteinander nicht kompatible Standards: S/MIME und PGP/GPG. S/MIME, unter anderem von Microsoft favorisiert, nutzt Zertifikate. Zertifikate sind beglaubigte Schlüssel, die durch hierarchisch organisierte und damit gut kontrollierbare Instanzen (Certificate Authorities) erzeugt und ausgegeben werden. Bei PGP/GPG beglaubigen sich die Kommunikationspartner ihre Schlüssel lediglich gegenseitig, wenn sie es für nötig halten. Am besten sind Systeme, die beide Standards beherrschen. (sf/ur) Bettina Weßelmann iX extra 11/2009