Bundesamt für Sicherheit in der Informationstechnik

M 2.577 Auswahl geeigneter Kryptoverfahren für Netze

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Kommunikationsnetze transportieren Daten zwischen IT -Systemen. Dabei werden die Daten selten über eine dedizierte Kommunikationsleitung zwischen den an der Kommunikation beteiligten Partnern übertragen. Vielmehr werden die Daten über viele Zwischenstationen geleitet. Sollen die übertragenen Informationen nicht von unberechtigten Dritten abgehört, von diesen manipuliert oder durch technische Fehler verändert werden, dann sollte ein geeignetes kryptographisches Verfahren zum Schutz der Daten für den Transport oder die Übermittlung genutzt werden. Neben dem eigentlichen Schutz der Informationen ist ebenso die Identifikation und Authentisierung von Systemen untereinander, von Systemen gegenüber Benutzern und von Benutzern gegenüber Systemen wichtig.

Der netzbasierte kryptographische Schutz von Informationen kann auf den unterschiedlichen Schichten des OSI -Referenzmodells erfolgen. Auf Layer 2 beispielsweise kann eine ortsbasierte Netzzugangskontrolle für LAN und WLAN realisiert werden. Bevor einem IT -System (Client) Zugang zu einem Netz gewährt wird, muss es sich an einem Authentikator anmelden ( z. B. Switch, Router oder WLAN Access Point). Der Authentikator überprüft die übermittelten Authentisierungsdaten mit Hilfe eines Authentisierungsservers und gibt je nach Ausgang dieser Überprüfung den Zugriff auf das Netz frei.

Auf Layer 3 erfolgt der kryptographische Schutz von Informationen typischerweise mit IPSec und IKE . IPSec bietet Funktionen zur Verschlüsselung und Integritätssicherung für IP -Kommunikation. In Kombination mit dem IKE -Verfahren (Internet Key Exchange) kann auch ein automatisierter Schlüsselaustausch sowie eine Authentisierung der Tunnel-Endpunkte erfolgen. Ein manueller Schlüsselaustausch wird durch IPSec ebenfalls unterstützt. Die Authentisierung der Benutzer muss jedoch über andere Verfahren erfolgen.

Auf Layer 5 bis 7 des OSI -Modells erfolgt die kryptographische Absicherung von Informationen häufig mit SSL / TLS , PGP , S/MIME etc.

Unabhängig vom ausgewählten Verfahren ist bei der Absicherung der Informationen darauf zu achten, kryptographische Verfahren für den jeweiligen Einsatzzweck auszuwählen, die dem Stand der Technik entsprechen und keine bekannten Schwachstellen aufweisen (siehe auch M 2.164 Auswahl eines geeigneten kryptographischen Verfahrens ). Weiterhin sind die Anforderungen aus M 5.68 Einsatz von Verschlüsselungsverfahren zur Netzkommunikation und M 2.46 Geeignetes Schlüsselmanagement zu beachten.

Prüffragen:

  • Werden zum Schutz der Informationen kryptographische Verfahren eingesetzt, die dem Stand der Technik entsprechen?

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK