M 2.162 Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte

Verantwortlich für Initiierung: IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administratoren, Verantwortliche der einzelnen IT- Anwendungen

Um bei der Verarbeitung und Übertragung sensitiver Informationen zu realistischen, verläßlichen und anwendungsgerechten Bedarfsanforderungen und Rahmenbedingungen für den Einsatz kryptographischer Verfahren und Produkte zu kommen, müssen zunächst die schützenswerten Daten identifiziert und bewertet werden.

Identifikation der zu schützenden Daten

Zunächst muß festgestellt werden, für welche Aufgaben kryptographische Verfahren eingesetzt werden sollen und welche Daten damit gesichert werden sollen. Der Einsatz kryptographischer Verfahren kann aus verschiedenen Gründen erforderlich sein (siehe auch M 3.23 ):

• zum Schutz der Vertraulichkeit bzw. der Integrität von Daten,
• zur Authentisierung,
• für Sende- oder Empfangsnachweise.

Je nach Einsatzzweck können verschiedene kryptographische Methoden wie z. B. Verschlüsselung oder Hashverfahren sinnvoll sein. Die typischen Einsatzfelder für kryptographische Verfahren sind:

1. lokale Verschlüsselung,
2. Kommunikationssicherung, auf Anwendungsebene bzw. auf Übertragungsebene,
3. Authentikation,
4. Nichtabstreitbarkeit,
5. Integrität.

Im folgenden werden einige Beispiele aus den verschiedenen typischen Einsatzfeldern für kryptographische Verfahren gegeben:

• Auf einer PC-Festplatte befinden sich Daten, die vor unbefugtem Zugriff durch Verschlüsselung geschützt werden sollen.
• Es sollen Informationen über Telefon, Fax oder Datennetze weitergegeben werden, z. B. sollen sie per E-Mail oder per Datenträgeraustausch versandt werden.
• Die zu schützenden Informationen sind nicht unter alleiniger Kontrolle der verantwortlichen Organisationseinheit (LAN führt durch Gebäudeteile, die von Fremdfirmen benutzt werden; ein Server mit Personaldaten wird durch Mitarbeiter betreut, die nicht zum Personalreferat gehören).
• Remote-Zugriffe sollen durch eine starke Authentisierung abgesichert werden.
• Bei E-Mails soll zweifelsfrei feststellbar sein, wer die Absender waren und ob die Inhalte unverändert übertragen wurden.

Um festzustellen, welche kryptographischen Verfahren bzw. Produkte benötigt werden und welche Daten damit zu schützen sind, sollte zunächst die aktuelle IT-Struktur ermittelt werden (siehe zur Erfassung von IT-Systemen und Anwendungen auch Kapitel 2). Ermittelt werden sollte,

• welche IT-Systeme es gibt, auf denen Daten verarbeitet bzw. gespeichert (PCs, Laptops, Server, ...) oder mit denen Daten übermittelt werden (Bridge, Router, Gateway, Firewall, ...) und
• welche Übertragungswege es gibt. Dazu sollte die logische und physikalische Vernetzungsstruktur erfaßt werden (siehe auch M 2.139 Ist-Aufnahme der aktuellen Netzsituation).

Schutzbedarf der Daten (Vertraulichkeit, Integrität, Authentizität, Nichtabstreitbarkeit)

Es sollten alle Anwendungen bzw. Daten ermittelt werden, bei denen ein besonderer Anspruch an Vertraulichkeit, Integrität, Authentizität bzw. Nichtabstreitbarkeit besteht (siehe Kapitel 2). Allerdings werden nicht nur für IT-Systeme, Anwendungen oder Informationen mit höherem Schutzbedarf kryptographische Produkte benötigt, sondern auch für solche mit mittlerem Schutzbedarf.

Beispiele für Daten mit besonderem Vertraulichkeitssanspruch sind

• personenbezogene Daten,
• Paßwörter und kryptographische Schlüssel,
• vertrauliche Informationen, deren Veröffentlichung Regreßforderungen nach sich ziehen könnte,
• Daten, aus denen ein Konkurrenzunternehmen finanzielle Gewinne ziehen könnte,
• Daten, ohne deren Vertraulichkeit die Aufgabenerfüllung gefährdet ist (z. B. Ermittlungsergebnisse, Standortregister über gefährdete Pflanzen),
• Daten, deren Veröffentlichung eine Rufschädigung verursachen könnte.

Hinweis: Durch die Kumulation von Daten erhöht sich der Schutzbedarf einer Datensammlung, so daß eine Verschlüsselung erforderlich sein kann, auch wenn deren einzelne Datensätze nicht so sensitiv sind.

Beispiele für Daten mit besonderem Integritätsanspruch sind

• finanzwirksame Daten, durch deren Manipulation finanzielle Schäden entstehen können,
• Informationen, deren verfälschte Veröffentlichung Regreßforderungen nach sich ziehen könnte,
• Daten, deren Verfälschung zu falschen Geschäftsentscheidungen führen kann,
• Daten, deren Verfälschung zu einer verminderten Produktqualität führen kann.

Ein Beispiel für Anwendungen mit besonderem Anspruch an Authentizität sind Remote- Zugriffe. Ein Beispiel für Daten mit besonderem Anspruch an Nichtabstreitbarkeit sind Bestellungen oder Reservierungen, bei denen der Besteller identifizierbar sein sollte.

Als Ergebnis der Schutzbedarfsfeststellung sollte festgelegt werden, welche Anwendungen oder Daten kryptographisch gesichert werden sollen. Diese Festlegung kann später noch verfeinert werden und sollte regelmäßig überarbeitet werden.

Als Resultat ergibt sich somit ein Überblick über alle Speicherorte und Übertragungsstrecken, die kryptographisch gesichert werden müssen. Damit erhält man praktisch eine IT-Landschaftskarte mit markierten Kryptobereichen.

Bedarfs- und Anforderungsabfrage

Als Hilfsmittel für eine derartige Bedarfserhebung bietet sich ein Fragenkatalog mit den in der Abbildung dargestellten Gliederungspunkten an. Dabei können die technischen, organisatorischen und wirtschaftlichen Aspekte jeweils in 4 weitere Unterkategorien aufgeteilt werden.

Abb: Gliederungsgesichtspunkte zur Erstellung eines Fragenkataloges

Bei den technischen Aspekten ist es unter "Benutzerdienste und Anwendungen&qout; beispielsweise wichtig zu erfahren, ob vornehmlich Echtzeit- oder Nicht-Echtzeit-Daten betrachtet werden. In der Kategorie Nutzungsprofil ist zu erfragen, für welche Anwendungen und Daten kryptographische Verfahren eingesetzt werden sollen, z. B. für die externe Kommunikation oder für die kurzzeitige oder längerfristige Bearbeitung von VS-Daten. Weiterhin sind die Netzinfrastruktur und das Endgerät betreffende Informationen zu ermitteln, wie z. B. Anschlußkonfiguration.

Als organisatorische Aspekte sind der Einsatzbereich, d. h. Teilnehmer- oder Netzbereich; die Frage nach einem existierenden Migrationskonzept sowie die Zeitvorstellungen und betrieblichen Rahmenbedingungen des Endbenutzers zu betrachten.

Aus wirtschaftlicher Sicht sind die wesentlichen Punkte:

• Rationalisierungsaspekte, z. B. durch Einsatz eines Produktes mit transparenter Verschlüsselung statt manueller Ansteuerung,
• eine Abschätzung im Hinblick auf Stückzahlen und Beschaffungskosten sowie
• die zu erwartenden Administrations- und Wartungskosten.

Auf Basis dieser Abfrage kann ein möglichst praxisnahes Einsatz- und Anforderungskonzept erstellt werden, was dann als Ausgangspunkt für konkrete Realisierungsentscheidungen bzw. die Auswahl geeigneter Kryptokomponenten/-produkte (siehe M 2.165 Auswahl eines geeigneten kryptographischen Produktes) dient.

Die hier vorgestellte Vorgehensweise soll dem Sicherheitsverantwortlichen helfen, den Einsatz und den Umfang einzusetzender Sicherheitstechnik in unterschiedlichen Systemlokalitäten, Netzübergängen und Endeinrichtungen festzustellen, zu bewerten und zu koordinieren. Ferner soll im Verlauf der Planungsphase durch die Ermittlung des notwendigen Schutzes (Schutzbedarf) die Frage nach Angemessenheit der IT-Sicherheit beantwortet werden. Die skizzierte Vorgehensweise stellt einen pragmatischen Ansatz dar und berücksichtigt Sicherheitsaspekte in offenen, verteilten IT-Infrastrukturen, so wie sie sich vielerorts darstellen.

Die so betrachteten Sicherheitsinvestitionen müssen für den betroffenen Einsatzbereich wirtschaftlich vertretbar sein. Die Funktions- und Betriebsweise von realisierten Sicherheitsstrategien müssen den Erwartungen der Endbenutzer hinsichtlich der Flexibilität, Transparenz und Performance Rechnung tragen. Die geplanten und integrierten Sicherheitsdienste dürfen den Endbenutzer nicht über das notwendige Maß hinaus einschränken.

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.