Anwendungsfälle der Kryptografie aus Sicht des ISMS
08.11.2018
Das Thema Kryptografie erhält trotz seiner fundamentalen Bedeutung für die Informationssicherheit aktuell nicht die Aufmerksamkeit und Priorität, die es verdient. Die Folgeerscheinungen sind zumeist die unzureichende Verwendung von Verschlüsselung und Signierung, unsichere Protokolle bzw. Konfigurationen und der Umgang mit digitalen (privaten) Schlüsseln. Alle genannten Aspekte stellen für Unternehmen jeder Art und Größe Risiken dar, die zielgerichtet adressiert werden sollten.
Die ISO 27001, welche die Anforderungen an ein ISMS definiert, widmet dem Thema Kryptografie einen gesonderten Abschnitt im Anhang A.12.3. Darüber hinaus kann man die Art der Verwendung und die Notwendigkeit des Einsatzes von Verschlüsselung aus vielen anderen Teilen der Norm ableiten. Wir beleuchten einzelne Anwendungsfälle der Kryptografie, unter anderem im Rahmen des ISMS. Zusätzlich geben wir Ihnen Hinweise zur Implementierung und hilfreiche Quellen für weiterführende Informationen an die Hand.
In der externen und internen Unternehmenskommunikation stellt Verschlüsselung eine unumgängliche Präventionsmaßnahme dar. Dadurch werden vor allem Integrität und Verbindlichkeit von Dokumenten und Nachrichten gewährleistet. Gängige Anwendungsfälle stellen hier z. B. der Nachweis der Echtheit eines E-Mail-Absenders, die Erkennung von Manipulationen von Server- und Anmeldeprotokollen oder die Sichtbarmachung von Veränderungen an Dokumenten dar.
E-Mails sind in vielen Unternehmen weiterhin die wichtigsten Kommunikationsmittel zum Transfer von Daten und müssen daher meist in erster Instanz betrachtet werden. Ein Verfahren, um verschlüsselte Übertragung von Daten per E-Mail sicherzustellen, ist S/MIME. Das angewendete Verfahren basiert auf einer hybriden Verschlüsselung. Um die Signierung sicherzustellen, wird ein Schlüsselpaar aus privatem und öffentlichem Schlüssel genutzt. Für Unternehmen ohne bzw. mit nur geringen entsprechenden Ressourcen im eigenen Haus empfehlen wir die Verwendung von Zertifikaten einer öffentlichen Zertifizierungsstelle. Übliche Tools zur E-Mail-Verschlüsselung kommen von NoSpamProxy oder Clearswift.
In der Kommunikation mit Webseiten bietet das Hypertext Transfer Protocol Secure (https) einen guten Basisschutz zur Herstellung von Informationssicherheit. Als Verschlüsselungsprotokoll ist das Secure Sockets Layer (SSL) und seine Nachfolgerversion Transport Layer Security (TLS) weit verbreitet. Dieses hybride Protokoll wird regelmäßig aktualisiert – aktuellste Version: TLS 1.3. Verschlüsselungsprotokolle werden heutzutage von den meisten Browsern unterstützt, aber noch von den wenigsten Unternehmen stringent eingesetzt.
Als weiterer bedeutender Anwendungsfall ist der Schutz von personenbezogenen Daten durch Verschlüsselung zu nennen. Compliance mit der EU-DSGVO zu schaffen ist seit diesem Jahr eine Aufgabe für so gut wie jedes Unternehmen. In den Anforderungen der Verordnung stellt die Verschlüsselung eine der wenigen namentlich genannten Maßnahmen zum Schutz personenbezogener Daten dar. Generell wird zwischen Verschlüsselung bei Lagerung und dem bereits angesprochenen Transport von Daten unterschieden. Bei der Lagerung von Daten sind neben aktiven Festplatten und Datenspeichern auch Back-ups und Archive von der Verschlüsselungspflicht betroffen. Typische Beispiele sind hier die Verschlüsselung des Speichers von Notebookfestplatten und mobilen Festplatten via Full-Disk-Encryption-Technologie (FDE) sowie von mobilen Endgeräten und die Verwendung verschlüsselter Cloud-Speicher. Um Dateien, Ordnersysteme und Festplatten zu verschlüsseln, sind Sophos SafeGuard Encryption, Secure Disk von Cryptware und McAfee Complete Data Protect hilfreich. Für die wachsende Anzahl an Cloud-Speichern, um weiterhin die Integrität der Daten zu bewahren, helfen Lösungen wie eperi.
Einen angrenzenden Anwendungsfall stellt die digitale Signatur dar, meist in Verbindung mit Dokumenten oder Nachrichten. Bei der Signatur von einzelnen Dokumenten und beim Code Signing helfen Lösungen wie Cryptomathic Signer, PrimeKey Signaturserver oder die Nutzung von Remotesignaturen. Diese ermöglichen das Erstellen digitaler Signaturen und gleichzeitig das Herstellen von eIDAS-Compliance.
Ein weiterer bedeutender Schritt in Richtung ganzheitlicher Informationssicherheit und verschlüsselter Kommunikation im Unternehmen stellt der Aufbau einer Public-Key-Infrastructure (PKI) dar. Hierbei handelt es sich um ein System, in welchem durch die Implementierung digitaler Signaturen und Zertifikate technische und organisatorische Sicherheit im eigenen Unternehmen sichergestellt wird. Zum Implementieren einer effektiven PKI muss das Unternehmen vollständig in den Prozess einbezogen werden. Auf Herstellerseite bieten sich hierfür Lösungen von Microsoft, Primekey oder Nexus an.
Die Implementierung der Verschlüsselung ist hard- und softwarebedingt vom konkreten Anwendungsfall abhängig. Meist kommen unterschiedliche Protokolle mit verschiedenen Schlüssellängen, Hardware-Security-Module (HSM) und Betriebsmodi zum Einsatz. Einer der ersten Schritte sollte folglich die Entwicklung einer einheitlichen und konzernweiten Regelung zur Verwendung kryptografischer Verfahren sein. Die erwähnten Schnittstellen zum ISMS und der Aufbau einer PKI dürfen nicht außer Acht gelassen werden. Einen ersten hilfreichen Ansatzpunkt stellen die Technischen Richtlinien des BSI dar (TR-02102). Sie geben Ihnen Empfehlungen zur Wahl, Schlüssellänge und zum Einsatz kryptografischer Verfahren. Auf dieser Basis können Sie eigene Regelungen je Anwendungsfall ableiten und etablieren.