Bundesamt für Sicherheit in der Informationstechnik

M 2.163 Erhebung der Einflussfaktoren für kryptographische Verfahren und Produkte

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, Verantwortliche der einzelnen Anwendungen

Bevor eine Entscheidung getroffen werden kann, welche kryptographischen Verfahren und Produkte eingesetzt werden sollen, müssen eine Reihe von Einflussfaktoren ermittelt werden. Dazu können die Systemadministratoren und die Verantwortlichen der einzelnen IT -Systeme bzw. IT-Anwendungen befragt werden. Die Ergebnisse sind nachvollziehbar zu dokumentieren.

Für sämtliche in M 2.162 Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte festgelegten Speicherorte und Übertragungsstrecken sind folgende Einflussfaktoren zu ermitteln:

Sicherheitsaspekte

  • Welcher Schutzbedarf besteht bzw. welches Sicherheitsniveau gilt es zu erreichen?
  • Welche kryptographischen Funktionen sind dafür notwendig (Verschlüsselung, Integritätsschutz, Authentizität und/oder Nichtabstreitbarkeit)?
  • Angreiferpotential: Mit welchen Angreifern wird gerechnet (zeitliche und finanzielle Ressourcen, technische Fähigkeiten)?

Die Antworten auf diese Fragen ergeben sich aus M 2.162 Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte .

Technische Aspekte

Der Betrieb von weitverzweigten IT-Infrastrukturen mit ihrer Vielzahl von Einzelkomponenten und Spezialeinrichtungen (Netzknoten, Server, Datenbanken, etc. ) macht ein ebenfalls weitverzweigtes Sicherheitssystem mit mehreren Funktionseinheiten (Sicherheitsmanagement, Sicherheitsserver, Sicherheitsanwenderkomponente, etc.) erforderlich. In der Regel müssen dabei Systembetrachtungen angestellt werden, die nicht nur auf die eigentlichen Funktionalitäten abzielen, sondern auch bauliche und organisatorische Aspekte einbeziehen. Auch in Bezug auf die konkrete technische Platzierung von Sicherheitskomponenten sowie deren Integration in Nicht-Sicherheitskomponenten gilt es zu differenzieren, da dies einen unmittelbaren Einfluss auf die Implementierung der Sicherheitsfunktionen, auf die notwendige Unterstützung durch die Betriebssysteme, die Aufwände und den Kostenfaktor und nicht zuletzt auf die erreichbare Sicherheit hat. Ganz entscheidend für die Sicherheitsbewertung ist der Umstand, an welchen geographischen Lokalitäten und in welchen Ebenen des Protokollstacks die jeweiligen Sicherheitsdienste realisiert sind und wie diese in die Prozesse des zu schützenden IT-Systems eingebunden sind. Somit ergeben sich als Fragen:

  • Umfeldschutz: Welchen Schutz bietet das Umfeld, beispielsweise durch infrastrukturelle Sicherheitsmaßnahmen wie Zutrittskontrolle, organisatorische, personelle und technische Maßnahmen?
  • IT-Systemumfeld: Welche Technik wird eingesetzt, welche Betriebssysteme, etc.?
  • Datenvolumen: Welches Datenvolumen ist zu schützen?
  • Häufigkeit: Wie häufig besteht Verschlüsselungsbedarf?
  • Performance: Wie schnell müssen kryptographische Funktionen arbeiten (Offline, Online-Rate)?

Personelle und organisatorische Aspekte

  • Benutzerfreundlichkeit: Benötigen die Benutzer für die Bedienung kryptographische Grundkenntnisse? Behindert der Einsatz eines Kryptoprodukts die Arbeit?
  • Zumutbarkeit: Wie viel Belastung durch zusätzliche Arbeit ist für Benutzer zumutbar (Arbeitszeit, Wartezeit)?
  • Zuverlässigkeit: Wie zuverlässig werden die Benutzer mit der Kryptotechnik umgehen?
  • Schulungsbedarf: Inwieweit müssen die Benutzer geschult werden?
  • Personalbedarf: Ist zusätzliches Personal erforderlich, z. B. für Installation, Betrieb, Schlüsselmanagement?
  • Verfügbarkeit: Kann durch den Einsatz eines Kryptoprodukts die Verfügbarkeit reduziert werden?

Wirtschaftliche Aspekte

  • Finanzielle Randbedingungen: Wie viel darf der kryptographische Schutz kosten? Wie hoch sind die
    • einmaligen Investitionen,
    • laufenden Kosten, inklusive der Personalkosten,
    • Lizenzgebühren?
  • Investitionsschutz: Sind die geplanten kryptographischen Verfahren bzw. Produkte konform zu bestehenden Standards? Sind sie interoperabel mit anderen Produkten?

Key-Recovery

Falls die zur Verschlüsselung benutzten Schlüssel verloren gehen, sind auch die damit geschützten Daten verloren, sofern die unverschlüsselten Daten nicht zusätzlich an anderer Stelle vorliegen. Viele Kryptoprodukte bieten daher Funktionen zur Datenwiedergewinnung für solche Fälle an. Bevor solche Funktionen eingesetzt werden, sollte man sich auch deren Risiken klar machen: Wenn dadurch vertrauliche Schlüssel wiederhergestellt werden können, muss sichergestellt sein, dass dies nur Berechtigte können. Wenn es möglich ist, ohne Wissen des Original-Schlüsselbenutzers auf dessen Daten zuzugreifen, hat dieser keine Möglichkeit, böswillige Manipulationen zu beweisen. Der Einsatz von Key-Recovery-Mechanismen führt auch häufig aufgrund des entgegengebrachten Misstrauens zu Vorbehalten innerhalb des eigenen Unternehmens bzw. Behörde, aber auch bei den Kommunikationspartnern. Bei der Datenübertragung sollte daher generell auf Key-Recovery verzichtet werden. Hierfür gibt es auch keine Notwendigkeit, da beim Schlüssel- oder Datenverlust diese einfach noch einmal ausgetauscht werden können. Bei der lokalen Speicherung von Daten sollte der Einsatz sorgfältig überlegt werden (siehe auch M 6.56 Datensicherung bei Einsatz kryptographischer Verfahren ). Unter den Hilfsmitteln zum IT-Grundschutz befindet sich ein Artikel zu Möglichkeiten und Risiken von Key-Recovery.

Lebensdauer von kryptographischen Verfahren

Kryptographische Verfahren und Produkte müssen regelmäßig daraufhin überprüft werden, ob sie noch dem Stand der Technik entsprechen. Die verwendeten Algorithmen können durch neue technische Entwicklungen, z. B. schnellere, billigere IT-Systeme, oder durch neue mathematische Erkenntnisse zu schwach werden. Die eingesetzten kryptographischen Produkte können Implementierungsfehler aufweisen. Bereits bei der Auswahl kryptographischer Verfahren sollte daher eine zeitliche Grenze für deren Einsatz festgelegt werden. Zu diesem Zeitpunkt sollte noch einmal gründlich überdacht werden, ob die eingesetzten Kryptomodule noch den erwarteten Schutz bieten.

Gesetzliche Rahmenbedingungen

Beim Einsatz kryptographischer Produkte sind diverse gesetzliche Rahmenbedingungen zu beachten. In einigen Ländern dürfen beispielsweise kryptographische Verfahren nicht ohne Genehmigung eingesetzt werden. Daher muss untersucht werden (siehe M 2.165 Auswahl eines geeigneten kryptographischen Produktes ),

  • ob innerhalb der zum Einsatzgebiet gehörenden Länder Einschränkungen beim Einsatz kryptographischer Produkte zu beachten sind (innerhalb Deutschland gibt es keinerlei Einschränkungen) und
  • ob für infrage kommende Produkte Exportbeschränkungen beachtet werden müssen.

Es gibt allerdings nicht nur Maximalanforderungen, sondern auch Minimalanforderungen an die verwendeten kryptographischen Algorithmen oder Verfahren. So müssen z. B. bei der Übermittlung von personenbezogenen Daten Verschlüsselungsverfahren mit ausreichender Schlüssellänge eingesetzt werden.

Technische Lösungsbeispiele:

Im Folgenden finden sich einige Anwendungsbeispiele zu den verschiedenen Einsatzfeldern für kryptographische Verfahren.

Beispiel 1: Festplattenverschlüsselung

Die auf einem Speicherbaustein, z. B. einer Festplatte oder einem Flashspeicher eines stationären oder mobilen Clients (wie z. B. ein PDA, Smartphone, Tablet, Laptop oder PC) gespeicherten sensiblen Daten sollen so geschützt werden, dass

  • der Computer nur von autorisierten Benutzern gebootet werden kann,
  • nur autorisierte Benutzer Zugriff auf die gespeicherten Daten erhalten,
  • die gespeicherten Daten bei abgeschaltetem Computer - auch im Falle des Diebstahls - hinreichend vor Kenntnisnahme durch Unberechtigte geschützt sind.

Dabei soll der Computer gegen die folgenden Bedrohungen geschützt werden:

  • Unbefugte Kenntnisnahme der gespeicherten Daten
  • Manipulation der gespeicherten Daten
  • Manipulation des Kryptosystems

Im Vordergrund soll hier der Schutz der Vertraulichkeit stehen.

Bei Diebstahl bzw. Verlust des Computers oder des Speicherbausteins steht dem Angreifer sehr viel Zeit für die unbefugte Kenntnisnahme zur Verfügung. Eine Schutzmaßnahme muss auch bei solchen Langzeitangriffen die Vertraulichkeit der gespeicherten Daten gewährleisten.

Als Schutzmaßnahme soll daher ein Produkt mit Boot-Schutz und Festplattenverschlüsselung eingesetzt werden. Auf dem Markt sind verschiedene Lösungen verfügbar.

Grundsätzlich sollte im eingesetzten Produkt ein etablierter Kryptoalgorithmus (z. B. AES ) mit einer hinreichenden Schlüssellänge (128 Bit oder mehr) in einem verlässlichen Betriebsmodus (z. B. CBC , OFB oder GCM, kein XOR) implementiert sein.

Zum Einsatz kann entweder eine Verschlüsselungs-Software (Lösung A), eine Hardware-Verschlüsselungskomponente (Lösung B) oder eine Kombination aus Hardware- und Software-Komponente (Lösung C) kommen. Lösung C wird typischerweise aus einer Verschlüsselungs-Software in Kombination mit einem Hardware-Token, z. B. einer Chipkarte oder einem USB -Stick, zur Zugangskontrolle bestehen. Welche Lösung gewählt werden sollte, hängt von verschiedenen Entscheidungskriterien ab:

  • Sicherheit
    Je nachdem, auf welcher Betriebssystem-Plattform Verschlüsselung betrieben wird, stößt eine Software-Lösung (Lösungen A oder C) unweigerlich an Grenzen. Kann kein sicheres Betriebssystem mit strikter Task- und Speicherbereichs-Trennung vorausgesetzt werden (bisher ist das bei keinem Betriebssystem sicher nachgewiesen!), muss der während der Ver- bzw. Entschlüsselung verwendete Schlüssel zumindest kurzzeitig ungeschützt im Arbeitsspeicher des Computers gehalten werden. Die Vertraulichkeit des Schlüssels ist somit möglicherweise nicht mehr sichergestellt. Hardware-Verschlüsselungskomponenten (Lösung B) können eventuell mehr bieten. Der Schlüssel kann in die Hardware-Komponente geladen und dort - gegen Auslesen gesichert - gespeichert werden. Der Schlüssel wird die Hardware-Komponente nicht mehr verlassen und ist vor Ausspähversuchen geschützt. Er kann nur durch berechtigte Benutzer mittels Besitz und Wissen (z. B. Chipkarte und Passwort) aktiviert werden. Wichtig sind weitere Aspekte, wie die Art und Weise der Einbindung in das Computer-System. Die Verschlüsselungs-Hardware sollte idealerweise so eingebunden werden, dass sie die gesamte Festplatte zwangsweise verschlüsselt und durch Angriffe nicht unbemerkt abgeschaltet bzw. umgangen werden kann. Werden im Gegensatz dazu lediglich einzelne Dateien verschlüsselt, besteht die Gefahr, dass die Inhalte dieser Dateien unkontrollierbar zumindest teilweise zusätzlich im Klartext auf die Festplatte geschrieben werden (z. B. in den Auslagerungsdateien verschiedener Betriebssysteme oder in Backup-Dateien).
  • Performance (Geschwindigkeit der ausführbaren Programme)
    Software-Verschlüsselung nutzt die Systemressourcen des Computers, belastet also die CPU und benötigt Arbeitsspeicher. Vor allem bei der Verschlüsselung der gesamten Festplatte kann die Performance des Computers sinken. Hardware-Komponenten mit eigenem Prozessor können die Verschlüsselung ohne Belastung der CPU und somit ohne nennenswerten Performanceverlust durchführen. Hier ist je nach Bauart die Durchsatzrate der verwendeten Verschlüsselungs-Hardware mitentscheidend.
  • Organisatorischer und personeller Aufwand (Administration, Schlüsselmanagement, Schulung etc.)
    Der organisatorische bzw. personelle Aufwand ist von der Umsetzung der Sicherheitspolitik und dem "Komfort" der Verschlüsselungskomponenten abhängig. Generelle Entscheidungskriterien für oder gegen eine der drei Lösungen können nicht allgemeingültig formuliert werden.
  • Wirtschaftlichkeit (Anschaffung, Schulungs-/Administrationskosten, ...)
    Eine allgemeine Aussage zur Wirtschaftlichkeit ist schwierig. Betrachtet man nur die Anschaffungskosten, so werden Software-Lösungen oft preiswerter sein als Hardware-Lösungen. Kalkuliert man dagegen auch die Schäden ein, die durch unzureichenden Schutz auf längere Sicht entstehen können, kann sich im Vergleich die Investition in sicherere und vielleicht teurere Lösungen lohnen. Wirtschaftliche Nachteile können u. U. durch Performanceverlust des Computer-Systems entstehen.
  • Restrisiken (Betriebssystem, Kompromittierung des Festplattenschlüssels etc.)
    Bei der Auswahl der geeigneten Verschlüsselungskomponente spielt die Restrisikobetrachtung eine wesentliche Rolle. Es stellen sich u. a. die Fragen:
    • Welche Restrisiken können in Kauf genommen werden?
    • Welche Restrisiken werden durch andere Maßnahmen (z. B. materielle oder organisatorische Maßnahmen) minimiert?
    Es können sich durchaus mehrere tragbare Lösungsmöglichkeiten durch die Kombination verschiedener Maßnahmen ergeben.

Beispiel 2: E-Mail-Verschlüsselung

Werden sensible Informationen (z. B. Firmengeheimnisse) per E-Mail über ungesicherte Netze ausgetauscht, sind Mechanismen zum Schutz der Vertraulichkeit und für die Gewähr der Authentizität von Nachrichten erforderlich.

Grundsätzlich bieten sich zwei Möglichkeiten, die sensiblen Daten zu schützen.

  1. Die zu schützenden Informationen werden in einer Datei gespeichert, die Datei wird dann mit einem Dateiverschlüsselungsprogramm verschlüsselt und die verschlüsselte Datei wird der E-Mail als Anhang beigefügt. Der eigentliche Text der E-Mail bleibt dabei ungesichert.
  2. Die gesamte E-Mail (Text und ggf. Anhänge) wird mithilfe eines speziellen E-Mail-Verschlüsselungsprogramms verschlüsselt.

Möglichkeit 2 setzt voraus, dass beim Benutzer ein E-Mail-Programm (z. B. Outlook, Kontact oder Thunderbird) installiert ist, welches die Einbindung eines E-Mail-Verschlüsselungsprogramms als Plugin ermöglicht. Im Falle, dass der Benutzer einen webbasierten E-Mail-Client verwendet, kommt nur Möglichkeit 1 in Frage.

Voraussetzung ist hierbei natürlich, dass nicht nur der Sender der E-Mail, sondern auch der Empfänger über ein kompatibles Verschlüsselungsprogramm verfügt.

Beide genannten Möglichkeiten bieten Ende-zu-Ende-Sicherheit zwischen Sender und Empfänger. Der Sender entscheidet dabei in der Regel, welche Informationen er für sensibel und schützenswert hält. In vielen Fällen (je nach eingesetztem Verschlüsselungsprogramm) sind Sender und Empfänger auch für das Schlüsselmanagement verantwortlich. Die Entscheidung des Senders, welche Daten er verschlüsselt und das Schlüsselmanagement werden ihm abgenommen, wenn grundsätzlich alle E-Mails, die beispielsweise zwischen den Liegenschaften einer Institution versendet werden, automatisiert vom E-Mail-Server ver- bzw. entschlüsselt werden. Das Schlüsselmanagement beschränkt sich dann personell auf die IT-Administratoren der Institution, und die E-Mails sind lediglich zwischen Sender und E-Mail-Server bzw. E-Mail-Server und Empfänger ungeschützt, also auf Strecken, die im Allgemeinen innerhalb einer Liegenschaft und somit in einem gesicherten Bereich verlaufen.

Selbstverständlich sind beide Methoden (Ende-zu-Ende-Verschlüsselung und automatisierte Verschlüsselung zwischen den E-Mail-Servern) miteinander kombinierbar und erhöhen so die Sicherheit.

Werden die E-Mails mittels eines Datei- oder eines E-Mail-Verschlüsselungsprogramms gesichert, stellt sich die Wahl zwischen einem Programm, welches mit symmetrischen oder mit asymmetrischen Mechanismen arbeitet (siehe M 3.23 Einführung in kryptographische Grundbegriffe ). In jedem Fall sollte ein Produkt eines namhaften Herstellers verwendet werden, welches mit etablierten und (auch aus Interoperabilitätsgründen) standardisierten Verfahren arbeitet. Auch Open-Source-Produkte bieten häufig eine gute Alternative. Produkte, die vollmundig mit "beweisbarer hunderprozentiger Sicherheit" werben, sind meist mit Vorsicht zu genießen.

Beide Arten, symmetrisch und asymmetrisch, bieten Vor- und Nachteile.

Verschlüsselungsprogramme mit symmetrischen Mechanismen

Ein symmetrisches Verfahren bietet sich beispielsweise an, wenn sensible Daten innerhalb eines kleinen Arbeitskreises ausgetauscht werden sollen. Der notwendige Schlüssel kann etwa auf einer konstituierenden Sitzung des Arbeitskreises ad hoc erzeugt und an die Mitglieder verteilt werden - ein aufwändiges Schlüsselmanagement oder gar eine Public-Key-Infrastruktur (siehe unten) sind nicht notwendig. Keinesfalls darf ein symmetrischer Schlüssel per E-Mail versendet werden.

Wird der Schlüssel für ein symmetrisches Verfahren selbstständig, d. h. ohne Verwendung eines Zufallszahlengenerators erzeugt, ist zu beachten, dass für den Schlüssel ein wesentlich höheres Sicherheitsniveau als beispielsweise für ein Passwort beim Online-Banking notwendig ist, da es für den Schlüssel keinen Fehlbedienungszähler gibt und ein Angreifer, der in Besitz einer verschlüsselten Datei kommt, beliebig viele Versuche hat, den Schlüssel systematisch und automatisiert zu ermitteln.

Auch einige ZIP-Programme bieten ausreichend sichere Verschlüsselungsoptionen, allerdings gibt es auch ZIP-Programme mit schlecht implementierter oder unzureichender Verschlüsselung. Bevor ZIP-Programme zur Verschlüsselung von vertraulichen Informationen genutzt werden, sollte das Sicherheitsmanagement die Güte der verwendeten Kryptoverfahren überprüfen oder entsprechende Testberichte einholen.

Verschlüsselungsprogramme mit asymmetrischen Mechanismen

Der Vorteil von asymmetrischer gegenüber symmetrischer Verschlüsselung ist, dass der Schlüssel, der zum Verschlüsseln verwendet wird, nicht geheim gehalten zu werden braucht. Deshalb wird ein asymmetrisches Verfahren auch Public-Key-Verfahren und der Schlüssel zum Verschlüsseln auch "öffentlicher Schlüssel" genannt. Die öffentlichen Schlüssel können also ruhigen Gewissens per E-Mail versendet oder in einem Verzeichnis veröffentlicht werden. Auf diese Weise können also sogar persönlich nicht miteinander bekannte Personen vertraulich miteinander per E-Mail kommunizieren.

Allerdings muss sich der Versender einer E-Mail davon überzeugen, dass der Schlüssel, den er zum Verschlüsseln der E-Mail verwendet, tatsächlich der öffentliche Schlüssel des Empfängers ist, der öffentliche Schlüssel also authentisch ist.

Die Authentizität der öffentlichen Schlüssel kann beispielsweise durch eine Public-Key-Infrastruktur (PKI) gewährleistet werden. Bei einer PKI stellt eine vertrauenswürdige Stelle Zertifikate für die öffentlichen Schlüssel der Benutzer aus. Der Versender einer E-Mail würde dem öffentlichen Schlüssel des Empfängers nur dann trauen, wenn er ein gültiges Zertifikat besitzt. Das Ausstellen von Schlüsselzertifikaten durch die vertrauenswürdige Stelle ist unter Umständen mit zusätzlichen Kosten verbunden.

Steht keine PKI zur Verfügung oder gehören Sender und Empfänger unterschiedlichen PKIs an, muss sich der Sender auf andere Weise von der Echtheit des öffentlichen Schlüssels überzeugen. Eine Möglichkeit, dies zu tun, ist, den Empfänger telefonisch zu kontaktieren und den sogenannten Fingerabdruck des Schlüssels (das ist ein kryptographischer Hashwert des Schlüssels) zu vergleichen. Der Fingerabdruck eines öffentlichen Schlüssels lässt sich mit den gängigen asymmetrischen Verschlüsselungsprogrammen am Bildschirm anzeigen. Hierzu ist es jedoch erforderlich, dass der Sender den Empfänger am Telefon (z. B. anhand der Stimme) eindeutig identifizieren kann.

Weit verbreitet sind folgende (nicht miteinander kompatible) Standards:

  • OpenPGP ("Pretty Good Privacy") und
  • S/MIME (Secure Multipurpose Internet Mail Extensions).

OpenPGP wird etwa vom kommerziellen Produkt PGP und vom Open-Source-Produkt GnuPG unterstützt.

Authentizität der empfangenen E-Mail

Symmetrische Mechanismen bieten in der Regel eine implizite Gewähr für die Authentizität der empfangenen Informationen, da eine sinnvoll zu entschlüsselnde E-Mail nur von demjenigen erzeugt werden konnte, der in Besitz des Schlüssels ist.

Bei Verwendung eines asymmetrischen Verfahrens hingegen liefert die Tatsache, dass eine E-Mail korrekt entschlüsselt werden konnte, keinen Hinweis auf die Authentizität des Absenders, denn der Schlüssel, den er zum Verschlüsseln verwendet hat, ist wie gesagt öffentlich. Somit kann jeder, der Zugang zum öffentlichen Schlüssel des Empfängers hat, der potenzielle Absender gewesen sein.

Aus diesem Grunde bieten asymmetrische Verfahren dem Sender zusätzlich die Möglichkeit, eine Datei bzw. eine E-Mail elektronisch zu signieren. Um die Signatur zu prüfen, benötigt der Empfänger einen öffentlichen Signaturschlüssel des Senders. (Der öffentliche Signaturschlüssel sollte sich nach Möglichkeit vom öffentlichen Verschlüsselungsschlüssel des Senders unterscheiden. Bei vielen Produkten sind jedoch Signatur- und Verschlüsselungsschlüssel identisch.) Um die Echtheit des Signaturschlüssels zu verifizieren, wird auch hier eine PKI benötigt, oder der Empfänger muss den Fingerabdruck des Signaturschlüssels mit dem Sender abgleichen.

Prüffragen:

  • Wurden die Einflussfaktoren für den Einsatz kryptographischer Verfahren und Produkte ermittelt und dokumentiert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK