Bundesamt für Sicherheit in der Informationstechnik

M 4.101 Sicherheitsgateways und Verschlüsselung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Da im Internet die Daten über nicht vorhersagbare Wege und Knotenpunkte verschickt werden, sollten die versandten Daten möglichst nur verschlüsselt übertragen werden. Eine Verschlüsselung des Datenverkehrs über das Internet kann auf zwei verschiedene Arten realisiert werden:

  • Verschlüsselung auf dem Sicherheitsgateway bzw. auf Netzkoppel-elementen, die zum Aufbau sicherer Teilnetze eingesetzt werden kann
  • Verschlüsselung auf den Endgeräten, die z. B. von Benutzern bedarfsabhängig eingesetzt wird

Beide Verfahren haben spezifische Vor- und Nachteile, die je nach Anwendungszusammenhang für die eine oder die andere Variante sprechen.

Verschlüsselung durch das Sicherheitsgateway

Um mit externen Kommunikationspartnern Daten über ein offenes Netz auszutauschen und / oder diesen Zugriff auf das eigene Netz zu geben, kann der Aufbau von virtuellen privaten Netzen (VPNs) sinnvoll sein. Dafür sollten alle Verbindungen von und zu diesen Partnern verschlüsselt werden, damit Unbefugte keinen Zugriff darauf nehmen können. Zum Aufbau von verschlüsselten Verbindungen können eine Vielzahl von Hard- und Softwarelösungen eingesetzt werden. Sollen hierbei nur wenige Liegenschaften miteinander verbunden werden, sind insbesondere Hardware-Lösungen basierend auf symmetrischen kryptographischen Verfahren eine einfache und sichere Lösung.

Möglichkeiten zur Einbindung von VPN-Komponenten in Sicherheits-gateways finden sich in M 4.224 Integration von VPN-Komponenten in ein Sicherheitsgateway .

Die Ver- und Entschlüsselung kann gegebenenfalls auf verschiedenen Geräten erfolgen. So könnte eine Hardware-Lösung im Paketfilter als Schlüsselgerät arbeiten. Dies ist insbesondere dann sinnvoll, wenn keine unverschlüsselte Kommunikation über dieses Gerät gehen soll.

Die Integration der Verschlüsselung auf dem ALG hat den Vorteil einer leichteren (zentralen) Benutzerverwaltung. Zudem kann ein Angreifer, der einen externen Informationsserver unter seine Kontrolle gebracht hat, die verschlüsselte Kommunikation nicht belauschen.

Verschlüsselung auf den Endgeräten

Zum Schutz der Vertraulichkeit bestimmter Daten, insbesondere bei der Versendung von E-Mails, bietet sich auch der Gebrauch von Mechanismen an, die eine Ende-zu-Ende-Verschlüsselung ermöglichen.

Hierfür wird beim Dienst E-Mail zum Beispiel das frei verfügbare Programmpaket PGP (Pretty Good Privacy) sehr häufig eingesetzt (siehe M 5.63 Einsatz von GnuPG oder PGP ), für den Zugriff auf andere Rechner das Secure-Shell Protokoll (SSH). Für eine vertrauenswürdige Datenübertragung mit ausgewählten Partnern im Internet sollten nur Übertragungsprogramme und -protokolle verwendet werden, die eine Verschlüsselung der übertragenen Daten unterstützen. Unsichere Klartextprotokolle wie Telnet und FTP sollten ohne zusätzliche Maßnahmen (etwa Tunneln über eine verschlüsselte Verbindung oder ein echtes VPN) nicht mehr in öffentlichen Netzen eingesetzt werden.

Die Ende-zu-Ende-Verschlüsselung der Daten stellt andererseits aber auch ein großes Problem für den wirksamen Einsatz von Filtermechanismen eines Sicherheitsgateways dar. Wenn die Übertragung verschlüsselter Daten über das Sicherheitsgateway zugelassen wird (z. B. SSL), sind Filter auf der Anwendungsschicht nicht mehr in der Lage, die Nutzdaten beispielsweise auf Viren oder andere Schadprogramme zu kontrollieren. Auch die Protokollierungsmöglichkeiten werden durch eine Verschlüsselung stark eingeschränkt.

Eine Lösung dieses Problems kann darin bestehen, den Datenverkehr temporär vom Sicherheitsgateway entschlüsseln zu lassen. Beispielsweise existieren für SSL entsprechende Proxies, die die SSL-Verbindung am Sicherheitsgateway terminieren und den entschlüsselten Datenstrom für eine Filterung zugänglich machen. Gegebenenfalls können die Daten dann wieder für die Übertragung zum Endgerät verschlüsselt werden.

Eine generelle Empfehlung für oder gegen den Einsatz von Verschlüsselung über das Sicherheitsgateway kann nicht gegeben werden. Dies hängt von den Anforderungen im Einzelfall ab, daher sollte eine Bewertung im Anwendungszusammenhang erfolgen.

Auf dem Sicherheitsgateway: Auf den Endgeräten:
+ Zentrale Datenprüfung
+ Zentrale Schlüsselverteilung
+ Detailliertes Accounting
- Zugriff vom Sicherheitsgateway auf internes Netz
- Keine Ende-zu-Ende-Sicherheit
+ Ende-zu-Ende Sicherheit
+ Keine Protokollprobleme
+/- benutzerabhängig
- Keine Kontrollmöglichkeiten auf dem Sicherheitsgateway
- Oft werden Public-Key-Infrastrukturen benötigt

Tabelle: Vor- und Nachteile der verschiedenen Realisierungsmöglichkeiten

Wird für bestimmte Dienste oder Protokolle festgelegt, dass eine Ende-zu-Ende-Verschlüsselung eingesetzt (bzw. zugelassen) werden soll, so kann es erforderlich werden, für die Endgeräte zusätzliche Maßnahmen zu ergreifen. Dies sollte im Rahmen einer ergänzenden Sicherheitsbetrachtung geprüft werden.

Prüffragen:

  • Bestehen auf Basis der Sicherheitsvorgaben der Organisation Anforderungen an das Sicherheitsgateway, wann die Kommunikation mit externen Partnern verschlüsselt erfolgen muss?

Stand: 13. EL Stand 2013