IT-GSHB 2000 - Entwicklung eines Kryptokonzepts

M 2.161 Entwicklung eines Kryptokonzepts

Verantwortlich für Initiierung: IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement

Unternehmen und Behörden sind mittlerweile zunehmend von ihrer informationstechnischen Infrastruktur abhängig. Aus diesem Grund sind Sicherheitsdienste erforderlich und in ein Gesamtsystem zu integrieren, die über die bloße Verschlüsselung hinausgehen.

Aufgrund der Vielfalt kryptographischer Problemstellungen und unterschiedlicher Einflußfaktoren gibt es auch vielfältige Lösungsansätze und Realisierungsmöglichkeiten. Man kann nicht davon ausgehen, daß es eine Lösung gibt, die alle Sicherheitsprobleme in Rechnernetzen und/oder Kommunikationssystemen beseitigen kann. Vielmehr kommt es auf ein abgestimmtes Zusammenspiel passend ausgewählter Komponenten an, um den benötigten Grad an Sicherheit zu erreichen. Daher ist es erforderlich, ein Kryptokonzept zu entwickeln, das in das IT-Sicherheitskonzept der Behörde bzw. des Unternehmens integriert wird.

Die Auswahl geeigneter kryptographischer Komponenten muß dabei auf diesem Konzept basieren. Dabei ist das Schlüsselmanagement ein kritisches Element im gesamten Kryptokonzept. Konzepte und Lösungsansätze können nur dann erfolgreich erarbeitet und gezielt umgesetzt werden, wenn deutlich wird, welche speziellen Sicherheitsfunktionalitäten bzw. Sicherheitsdienste benötigt werden. Darüber hinaus gibt es eine Reihe systemrelevanter Fragestellungen und Aspekte, die nicht speziell in den Bereich der Sicherheitstechnik fallen. Dies umfaßt z. B. Performanceanforderungen, Systemanbindungs- oder Interoperabilitäts- und Standardkonformitätsanforderungen.

Abb.: Sichtweisen und Aspekte bei der Auswahl kryptographischer Verfahren und Komponenten

In vernetzten IT-Infrastrukturen ist es nicht mehr ausreichend, die Sicherheit einer einzelnen Domäne zu gewährleisten. Vielmehr muß die Sicherheit aller beteiligten Endeinrichtungen und Übertragungssysteme aufeinander abgestimmt werden. Diese Abstimmung gestaltet sich insbesondere in solchen Fällen als besonders schwierig, in denen es sich nicht nur um vernetzte Einrichtungen innerhalb einer organisatorischen Einheit (z. B. LAN-Umgebung), sondern um einen Verbund von IT-Installationen unterschiedlicher Zuständigkeits- und Anwendungsbereiche handelt.

Der Einsatz - aber auch die Funktionalität und technologische Ausgestaltung - eines IT- Sicherheitssystems wird von zahlreichen Einflußfaktoren bestimmt, wie z. B. Lokalisierung, Sicherheitsniveau, Häufigkeit und Umfang der Anwendung, die für das IT-Sicherheitsmanagement wichtige Rahmen- und Entscheidungsbedingungen darstellen. Desweiteren sind die technischen Möglichkeiten für die Realisierung und Gestaltung eines IT-Sicherheitssystems vielfältig, z. B. integriert in einer Applikation auf dem Arbeitsplatzrechner, in einer Firewall oder als Spezialkomponente für Netzkomponenten wie Switch oder Router. Ein erschwingliches Preisniveau für ein Kryptoprodukt ist nur durch eine querschnittliche Nutzbarkeit zu erzielen. Hier spielen z. B. eine standardisierte Systemanbindung, einheitliche Einsatzbedingungen etc. eine wichtige Rolle. Ein letzter Punkt betrifft das Zusammenwirken der Sicherheitsdienste auf unterschiedlichen Protokollschichten. Die Sicherheitsdienste der höheren Protokollschichten (nach OSI-Referenzmodell) schützen in aller Regel nur dann ausreichend, wenn die unteren Schichten ebenso einen Schutz bieten (siehe M 4.90 ).

Desweiteren ist die Definition einer organisationseigenen Kryptopolitik wichtig. Dabei muß aus Sicht des Managements geklärt werden,

welcher Schutzbedarf besteht bzw. welches Sicherheitsniveau es zu erreichen gilt,
welches Budget und wieviel Personal zur Verfügung stehen, um die geplanten Sicherheitsmechanismen einzurichten und - ganz wichtig - auch den Betrieb zu gewährleisten,
welche Systemanbindung angestrebt wird bzw. welche Einsatzbedingungen für Sicherheitskomponenten vorherrschen,
welcher Funktions- und Leistungsumfang anzupeilen ist und
wer letztendlich die Verantwortung übernimmt.

Im Kryptokonzept ist außerdem der technische bzw. organisatorische Einsatz der kryptographischen Produkte zu beschreiben, also z. B.

wer welche Zugriffsrechte erhält,
welche Dienste remote angeboten werden,
wie die Verwaltung von Paßwörtern und Schlüsseln bezüglich Gültigkeitsdauer, Verwendung von Zeichen, Länge, Vergabe gehandhabt werden soll,
ob, wann und wie die Daten verschlüsselt oder signiert werden müssen,
wer mit wem kryptographisch gesichert bzw. ungesichert kommunizieren darf,
wer bestimmte Rechte vergeben darf, u.s.w.

In Abhängigkeit von den systemtechnischen Rahmenbedingungen bezüglich

des zu betrachtenden Datenvolumens und der Zeitabhängigkeit,
der Verfügbarkeitsanforderungen und Gefährdungslage,
Art und Häufigkeit der zu schützenden Anwendungen etc.

können darauf basierend geeignete Realisierungsmöglichkeiten analysiert und für konkrete Einsatzbereiche wie z. B. einen PC-Arbeitsplatz, im LAN-Bereich oder in Verbindung mit einer TK- Anlage konzipiert und technisch ausgestaltet werden. Nur aufgrund einer solch ganzheitlichen Betrachtungsweise gelingt es, Entscheidungsgrundlagen und -bedingungen für kryptographische Produkte zusammenzutragen, deren Einsatz bzw. Verwendung sowohl sicherheitstechnisch angemessen als auch wirtschaftlich vertretbar ist. Es sollte jedoch darauf hingewiesen werden, daß die vorgenommene Einteilung keinesfalls zwingend oder von grundsätzlicher Bedeutung sondern bestenfalls hilfreich ist. Wesentlich ist nur, daß der Fragenumfang die Vorstellung nach einer möglichst umfassenden Klärung der Ausgangslage konsequent widerspiegelt. Natürlich ergeben sich in der Praxis zwischen einigen Fragestellungen bzw. Antworten Wechselwirkungen und Abhängigkeiten, die im allgemeinen allerdings zur Vervollständigung des Gesamtbildes beitragen.

Die diversen Einflußgrößen für den Einsatz kryptographischer Verfahren sind zu bestimmen und nachvollziehbar zu dokumentieren (siehe M 2.163 Erhebung der Einflußfaktoren für kryptographische Verfahren und Produkte). Anschließend muß eine geeignete Verfahrensweise für ihren Einsatz entwickelt und dokumentiert werden. Zum Abschluß muß durch die Behörden- bzw. Unternehmensleitung die Durchführung angeordnet werden.

Die Ergebnisse sollten aktualisierbar und erweiterbar im Kryptokonzept niedergelegt werden. Ein möglicher Aufbau eines Kryptokonzepts ist im nachfolgenden Inhaltsverzeichnis beispielhaft aufgezeigt:

Inhaltsverzeichnis Kryptokonzept

1. Definitionen

Kryptographische Verfahren
...

2. Gefährdungslage zur Motivation

Abhängigkeit der Institution vom Datenbestand
Typische Gefährdungen wie ...
Institutionsrelevante Schadensursachen
Schadensfälle im eigenen Haus

3. Festlegung einer organisationsinternen Sicherheitspolitik

Festlegung von Verantwortlichkeiten
Zielsetzung, Sicherheitsniveau

4. Einflußfaktoren

Identifikation der zu schützenden Daten
Vertraulichkeitsbedarf der Daten
Integritätsbedarf der Daten
Verfügbarkeitsanforderungen an die Daten
Anforderungen an die Performance
Schlüsselverteilung
Datenvolumen
Art der Daten (lokal / verteilt (LAN/WAN) )
Art der Anwendungen, bei denen kryptographische Verfahren zum Einsatz kommen sollen
Häufigkeit des Einsatzes des kryptographischen Verfahrens
Anforderungen an die Widerstandsfähigkeit der Algorithmen bzw. Verfahren (Manipulationsresistenz)
Wiederherstellbarkeit der gesicherten Daten
Personalaufwand
Erforderliche Funktionalität
Kosten einschließlich Folgekosten (Wartung, Administration, Updates, ...)
Kenntnisse und datenverarbeitungsspezifische Qualifikationen der IT-Benutzer

5. Festlegung des Einsatzes

Art der kryptographischen Verfahren
Einsatzbedingungen an die kryptographischen Produkte
Häufigkeit und Zeitpunkt des Einsatzes
Benennung der Verantwortlichen
Festlegung der organisatorischen Regelungen
Durchführung der personellen Maßnahmen (Schulung, Vertretungsregelungen, Verpflichtungen, Rollenzuteilung)
Dokumentation der Einsatzbedingungen / Konfiguration
Interoperabilität, Standardkonformität, Investitionsschutz

6. Schlüsselmanagement

Einzelne Punkte dieses Konzepts werden in den Maßnahmen M 2.162 Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte, M 2.163 Erhebung der Einflußfaktoren für kryptographische Verfahren und Produkte, M 2.166 Regelung des Einsatzes von Kryptomodulen etc. näher ausgeführt.

Bei der Erstellung eines Kryptokonzeptes handelt es sich nicht um eine einmalige Aufgabe, sondern um einen dynamischen Prozeß. Ein Kryptokonzept muß daher regelmäßig den aktuellen Gegebenheiten angepaßt werden.

Ergänzende Kontrollfragen:

Ist das vorliegende Konzept aktuell?
Sind sämtliche betroffenen IT-Systeme in diesem Konzept aufgeführt?
Wie werden Mitarbeiter über den sie betreffenden Teil des Konzepts unterrichtet?
Wird die Einhaltung dieses Konzepts kontrolliert?
Wie werden Änderungen der Einflußfaktoren berücksichtigt?