IT-GSHB 2000 - Erhebung der Einflußfaktoren für kryptographische Verfahren und Produkte

M 2.163 Erhebung der Einflußfaktoren für kryptographische Verfahren und Produkte

Verantwortlich für Initiierung: IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administratoren, Verantwortliche der einzelnen IT- Anwendungen

Bevor eine Entscheidung getroffen werden kann, welche kryptographischen Verfahren und Produkte eingesetzt werden sollen, müssen eine Reihe von Einflußfaktoren ermittelt werden. Dazu können die Systemadministratoren und die Verantwortlichen der einzelnen IT-Systeme bzw. IT- Anwendungen befragt werden. Die Ergebnisse sind nachvollziehbar zu dokumentieren.

Für sämtliche in M 2.162 Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte festgelegten Speicherorte und Übertragungsstrecken sind folgende Einflußfaktoren zu ermitteln:

Sicherheitsaspekte

Welcher Schutzbedarf besteht bzw. welches Sicherheitsniveau gilt es zu erreichen?
Welche kryptographischen Funktionen sind dafür notwendig (Verschlüsselung, Integritätsschutz, Authentizität und/oder Nichtabstreitbarkeit)?
Angreiferpotential: Mit welchen Angreifern wird gerechnet (zeitliche und finanzielle Ressourcen, technische Fähigkeiten)?

Die Antworten auf diese Fragen ergeben sich aus M 2.162 Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte.

Technische Aspekte

Der Betrieb von weitverzweigten IT-Infrastrukturen mit ihrer Vielzahl von Einzelkomponenten und Spezialeinrichtungen (Netzknoten, Server, Datenbanken, etc.) macht ein ebenfalls weitverzweigtes Sicherheitssystem mit mehreren Funktionseinheiten (Sicherheitsmanagement, Sicherheitsserver, Sicherheitsanwenderkomponente, etc.) erforderlich. In der Regel müssen dabei Systembetrachtungen angestellt werden, die nicht nur auf die eigentlichen Funktionalitäten abzielen, sondern auch bauliche und organisatorische Aspekte einbeziehen. Auch in bezug auf die konkrete technische Plazierung von Sicherheitskomponenten sowie deren Integration in Nicht-Sicherheitskomponenten gilt es zu differenzieren, da dies einen unmittelbaren Einfluß auf die Implementierung der Sicherheitsfunktionen, auf die notwendige Unterstützung durch die Betriebssysteme, die Aufwände und den Kostenfaktor und nicht zuletzt auf die erreichbare Sicherheit hat. Ganz entscheidend für die Sicherheitsbewertung ist der Umstand, an welchen geographischen Lokalitäten und in welchen Ebenen des Protokollstacks die jeweiligen Sicherheitsdienste realisiert sind und wie diese in die Prozesse des zu schützenden IT-Systems eingebunden sind. Somit ergeben sich als Fragen:

Umfeldschutz: Welchen Schutz bietet das Umfeld (infrastrukturell (Zutritt), organisatorisch, personell, technisch (Schutz durch Betriebssystem, ...))?
IT-Systemumfeld: Welche Technik wird eingesetzt, welche Betriebssysteme, etc.?
Datenvolumen: Welches Datenvolumen ist zu schützen?
Häufigkeit: Wie häufig besteht Kryptierbedarf?
Performance: Wie schnell müssen kryptographische Funktionen arbeiten (Offline, Online-Rate)?

Personelle und organisatorische Aspekte

Benutzerfreundlichkeit: Benötigen die Benutzer für die Bedienung kryptographische Grundkenntnisse? Behindert der Einsatz eines Kryptoprodukts die Arbeit?
Zumutbarkeit: Wieviel Belastung durch zusätzliche Arbeit ist dem Anwender zumutbar (Arbeitszeit, Wartezeit)?
Zuverlässigkeit: Wie zuverlässig werden die Benutzer mit der Kryptotechnik umgehen?
Schulungsbedarf: Inwieweit müssen die Benutzer geschult werden?
Personalbedarf: Ist zusätzliches Personal erforderlich, z. B. für Installation, Betrieb, Schlüsselmanagement?
Verfügbarkeit: Kann durch den Einsatz eines Kryptoproduktes die Verfügbarkeit reduziert werden?

Wirtschaftliche Aspekte

Finanzielle Randbedingungen: Wieviel darf der kryptographische Schutz kosten? Wie hoch sind die

- einmaligen Investitionen,

- laufenden Kosten, inklusive der Personalkosten,

- Lizenzgebühren?

Investitionsschutz: Sind die geplanten kryptographischen Verfahren bzw. Produkte konform zu bestehenden Standards? Sind sie interoperabel mit anderen Produkten?

Key Recovery

Falls die zur Verschlüsselung benutzten Schlüssel verloren gehen, sind im allgemeinen auch die damit geschützten Daten verloren. Viele Kryptoprodukte bieten daher Funktionen zur Datenwiedergewinnung für solche Fälle an. Bevor solche Funktionen eingesetzt werden, sollte man sich auch deren Risiken klar machen: Wenn dadurch vertrauliche Schlüssel wiederhergestellt werden können, muß sichergestellt sein, daß dies nur Berechtigte können. Wenn es möglich ist, ohne Wissen des Original-Schlüsselbenutzers auf dessen Daten zuzugreifen, hat dieser keine Möglichkeit, böswillige Manipulationen zu beweisen. Der Einsatz von Key Recovery Mechanismen führt auch häufig aufgrund des entgegengebrachten Mißtrauens zu Vorbehalten innerhalb des eigenen Unternehmens bzw. Behörde, aber auch bei den Kommunikationspartnern. Bei der Datenübertragung sollte daher generell auf Key Recovery verzichtet werden. Hierfür gibt es auch keine Notwendigkeit, da beim Schlüssel- oder Datenverlust diese einfach noch einmal ausgetauscht werden können. Bei der lokalen Speicherung von Daten sollte der Einsatz sorgfältig überlegt werden (siehe auch M 6.56 Datensicherung bei Einsatz kryptographischer Verfahren). Auf der CD-ROM zum IT- Grundschutzhandbuch befindet sich im Verzeichnis Hilfsmittel ein Artikel zu Möglichkeiten und Risiken des Key-Recovery.

Lebensdauer von kryptographischen Verfahren

Kryptographische Verfahren und Produkte müssen regelmäßig daraufhin überprüft werden, ob sie noch dem Stand der Technik entsprechen. Die verwendeten Algorithmen können durch neue technische Entwicklungen, z. B. schnellere, billigere IT-Systeme, oder durch neue mathematische Erkenntnisse zu schwach werden. Die eingesetzten kryptographischen Produkte können Implementierungsfehler aufweisen. Bereits bei der Auswahl kryptographischer Verfahren sollte daher eine zeitliche Grenze für deren Einsatz festgelegt werden. Zu diesem Zeitpunkt sollte noch einmal gründlich überdacht werden, ob die eingesetzten Kryptomodule noch den erwarteten Schutz bieten.

Gesetzliche Rahmenbedingungen

Beim Einsatz kryptographischer Produkte sind diverse gesetzliche Rahmenbedingungen zu beachten. In einigen Ländern dürfen beispielsweise kryptographische Verfahren nicht ohne Genehmigung eingesetzt werden. Daher muß untersucht werden (siehe M 2.165 Auswahl eines geeigneten kryptographischen Produktes),

ob innerhalb der zum Einsatzgebiet gehörenden Länder Einschränkungen beim Einsatz kryptographischer Produkte zu beachten sind (innerhalb Deutschland gibt es keinerlei Einschränkungen) und
ob für in Frage kommende Produkte Exportbeschränkungen beachtet werden müssen.

Es gibt allerdings nicht nur Maximalanforderungen, sondern auch Minimalanforderungen an die verwendeten kryptographischen Algorithmen oder Verfahren. So müssen z. B. bei der Übermittlung von personenbezogenen Daten Verschlüsselungsverfahren mit ausreichender Schlüssellänge eingesetzt werden.

Technische Lösungsbeispiele:

Im folgenden finden sich einige Anwendungsbeispiele zu den verschiedenen Einsatzfeldern für kryptographische Verfahren. Dabei ist zu sehen, daß die meisten Produkte gleich mehrere Einsatzfelder abdecken.

Beispiel 1: Festplattenverschlüsselung

Die auf der Festplatte eines Stand-Alone-PC gespeicherten sensitiven Daten sollen so geschützt werden, daß

der PC nur von autorisierten Nutzern gebootet werden kann,
nur autorisierte Nutzer Zugriff auf die gespeicherten Daten erhalten,
die gespeicherten Daten bei abgeschaltetem PC - auch im Falle des Diebstahls - hinreichend vor Kenntnisnahme durch Unberechtigte geschützt sind.

Im Vordergrund soll hier der Schutz der Vertraulichkeit stehen. Dabei soll der PC gegen die folgenden Bedrohungen geschützt werden:

Unbefugte Kenntnisnahme der auf der Festplatte gespeicherten Daten
Manipulation der auf der Festplatte gespeicherten Daten
Manipulation des Kryptosystems

Bei Diebstahl bzw. Verlust des PC oder der Festplatte steht dem Angreifer sehr viel Zeit für die unbefugte Kenntnisnahme zur Verfügung. Eine Schutzmaßnahme muß auch bei solchen Langzeitangriffen die Vertraulichkeit der gespeicherten Daten gewährleisten.

Als Schutzmaßnahme soll daher ein Produkt mit Bootschutz und Festplattenverschlüsselung eingesetzt werden. Auf dem Markt sind verschiedene Lösungen verfügbar. Zum Einsatz kann entweder eine Verschlüsselungs-Software (Lösung A), eine Verschlüsselungs-Hardware- Komponente (Lösung B) oder eine Kombination aus Hardware- und Software-Komponente (Lösung C) kommen. Lösung C wird typischerweise aus einer Verschlüsselungs-Software in Kombination mit einem Chipkartenleser zur Zugangskontrolle bestehen. Welche Lösung gewählt werden sollte, hängt von verschiedenen Entscheidungskriterien ab:

Sicherheit (Kryptoalgorithmus und Schlüssellänge, Betriebsart der Verschlüsselung, Zugriffsschutz, Schlüsselerzeugung/ -verteilung/ -speicherung/ -eingabe, Einbindung in das Betriebssystem, etc.)

Je nachdem auf welcher Betriebssystem-Plattform Verschlüsselung betrieben wird, stößt man mit Software-Lösungen (Lösungen A oder C) unweigerlich an Grenzen. Kann man kein sicheres Betriebssystem mit strikter Task- und Speicherbereichs-Trennung voraussetzen (bisher ist das bei keinem Betriebssystem sicher nachgewiesen!), muß der während der Ver- bzw. Entschlüsselung verwendete Schlüssel zumindest kurzzeitig ungeschützt im Speicher des PC gehalten werden. Die Vertraulichkeit des Schlüssels ist somit nicht mehr sichergestellt. Hardware-Verschlüsselungs- Komponenten (Lösung B) können (müssen aber nicht!) mehr bieten. Der Schlüssel kann in die Hardware-Komponente geladen und dort - gegen Auslesen gesichert - gespeichert werden. Der Schlüssel wird die Hardware-Komponente nicht mehr verlassen und ist vor Ausspähversuchen geschützt. Er kann nur durch berechtigte Benutzer mittels Besitz und Wissen (z. B. Chipkarte und Paßwort) aktiviert werden. Wichtig sind weitere Aspekte wie die zur Verschlüsselung verwendeten Algorithmen (meist ein Blockchiffrier-Algorithmus), deren Betriebsarten (z. B. CBC) sowie die Art und Weise der Einbindung in das PC-System. Die Verschlüsselungs-Hardware sollte idealerweise so eingebunden werden, daß sie die gesamte Festplatte zwangsweise kryptiert und durch Angriffe nicht unbemerkt abgeschaltet bzw. umgangen werden kann. Werden im Gegensatz dazu lediglich einzelne Dateien verschlüsselt besteht die Gefahr, daß die Inhalte dieser Dateien unkontrollierbar zumindest teilweise zusätzlich im Klartext auf die Festplatte geschrieben werden (z. B. in den Auslagerungsdateien verschiedener Betriebssysteme oder in Backup-Dateien).

Performance (Geschwindigkeit der ausführbaren Programme)

Software-Verschlüsselung nutzt die Systemressourcen des PC, belastet also die CPU und benötigt Arbeitsspeicher. Spätestens bei der Verschlüsselung der gesamten Festplatte wird die Performance des PC sinken. Hardware-Komponenten mit eigenem Prozessor können die Verschlüsselung ohne Belastung der PC-CPU und somit ohne nennenswerten Performanceverlust durchführen. Hier ist je nach Bauart die Durchsatzrate der verwendeten Kryptier-Hardware mitentscheidend.

Organisatorischer/Personeller Aufwand (Administration, Keymanagement, Schulung, etc.)

Der organisatorische bzw. personelle Aufwand ist von der Umsetzung der Sicherheitspolitik und dem "Komfort" der Verschlüsselungs-Komponenten abhängig. Generelle Entscheidungskriterien für oder gegen eine der drei Lösungen können nicht allgemeingültig formuliert werden.

Wirtschaftlichkeit (Anschaffung, Schulungs-/Administrationskosten, ...)

Eine allgemeine Aussage zur Wirtschaftlichkeit ist schwierig. Betrachtet man nur die Anschaffungskosten, so werden Software-Lösungen oft preiswerter sein als Hardware-Lösungen. Kalkuliert man dagegen auch die Schäden ein, die durch unzureichenden Schutz auf längere Sicht entstehen können, kann sich im Vergleich die Investition in sicherere und vielleicht teurere Lösungen lohnen. Wirtschaftliche Nachteile können u. U. durch Performanceverlust des PC-Systems entstehen.

Restrisiken (Betriebssystem, Kompromittierung des Festplattenschlüssels, etc.)

Bei der Auswahl der geeigneten Verschlüsselungs-Komponente spielt die Restrisikobetrachtung eine wesentliche Rolle. Es stellen sich u. a. die Fragen

Welche Restrisiken kann man in Kauf nehmen? und
Welche Restrisiken werden bzw. können durch andere Maßnahmen (z. B. materielle oder organisatorische Maßnahmen) minimiert werden?

Es können sich durchaus mehrere tragbare Lösungsmöglichkeiten durch die Kombination verschiedener Maßnahmen ergeben.

Beispiel 2: E-Mail-Verschlüsselung

Der Austausch von elektronischer Post (E-Mail) über bzw. in Computernetzen gewinnt zunehmend an Bedeutung. Werden dabei sensible Informationen (z. B. Firmengeheimnisse) über ungesicherte Netze ausgetauscht, so sind dabei Mechanismen zum Schutz der Vertraulichkeit bzw. für die Gewähr der Authentizität von Nachrichten erforderlich. Zu diesen Zwecken dienen E-Mail- Verschlüsselungsprogramme. Am weitesten verbreitet sind dabei zwei Programmpakete bzw. Standards amerikanischer Herkunft:

PGP ("Pretty Good Privacy") und
S/MIME (Secure Multipurpose Internet Mail Extensions).

Dabei ist PGP ein Programmpaket, das ursprünglich als Freeware im Internet erhältlich war und sich daher weit verbreitet hat. Der S/MIME Standard wird u. a. von den Secure-E-Mail Anwendungen der Firmen Microsoft, Netscape und RSA Data Security Inc. verwendet.

Was muß ein solches E-Mail-Verschlüsselungsprogamm leisten?

Die Antwort hängt zu einem gewissen Grad natürlich von den umgebenden Sicherungsmaßnahmen ab. Die Anforderungen sind sicherlich dann am größten, wenn die Nachrichten über ein großes, offenes, ungesichertes Netz wie z. B. das Internet verschickt werden sollen. Hier wollen evtl. sogar einander persönlich Unbekannte vertraulich und authentisch miteinander kommunizieren. Welche kryptographischen Dienste sind dazu erforderlich?

Vertraulichkeit

Da die Nachrichten verschlüsselt werden sollen, müssen (einer oder mehrere) Verschlüsselungsalgorithmen implementiert sein. Dazu bieten sich wegen der höheren Performance symmetrische Verfahren an.

Schlüsselmanagement

Erzeugung: die Schlüssel für das symmetrische Verfahren müssen durch einen geeigneten (Zufalls-) Prozeß so erzeugt werden, daß Erraten bzw. Vorhersage weiterer Schlüssel auch bei Kenntnis einiger vorhergehender Schlüssel praktisch unmöglich ist.
Schlüsseleinigung/Austausch: da eine zentrale Schlüsselversorgung mittels symmetrischer Verfahren im Internet schon wegen der schieren Masse der möglichen Kommunikationspartner ausscheidet, ist die Verwendung asymmetrischer Verfahren für Schlüsseleinigung bzw. Schlüsselaustausch geboten.

Authentizität

Da aufgrund der Anforderungen aus dem Schlüsselmanagement ohnehin ein asymmetrisches Verfahren implementiert ist (und evtl. Verbindlichkeit verlangt wird), wird man zu diesem Zweck eine digitale Signatur einsetzen. Signaturschlüssel sollten dabei ausschließlich zu Signaturzwecken verwendet werden. Dabei muß - wie immer bei der Verwendung von Public-Key-Verfahren - das Problem der Authentizität der öffentlichen Schlüssel gelöst werden.

Verbindlichkeit

Verbindlichkeit setzt eine Public-Key-Infrastruktur voraus (PKI, Registrierung von Teilnehmern und Zertifizierung von öffentlichen Schlüsseln durch eine vertrauenswürdige dritte Instanz, inkl. Einsatzregeln). Bisher existiert allerdings keine globale PKI, daher ist es schwierig, für E-Mails von vorher unbekannten Teilnehmern einen verbindlichen Herkunftsnachweis zu bekommen. In einem lokalen Netz wäre zu diesem Zweck eine geeignete PKI zu schaffen.

Standardkonformität

Aus Interoperabilitätsgründen und zum Investitionsschutz ist es sinnvoll, möglichst weit verbreitete und akzeptierte Internet-Standards zu verwenden. Sowohl S/MIME als auch PGP befinden sich im Stadium der Standardisierung.

Beispiel 3: Sichere Sprach- und Datenkommunikation bei ISDN-Netzanbindungen

Beim folgenden Anwendungsbeispiel wird die Kommunikation per ISDN betrachtet. Geschützt werden sollen die Anwendungen "Telefonverkehr" und "Videokonferenzen" sowie der Datenverkehr zwischen Rechnernetzen. Als Ziel soll ein wirkungsvoller Schutz übermittelter vertraulicher Informationen und verbindlicher personenbezogener Daten gewährleistet werden. Es wird davon ausgegangen, daß alle zu übertragenen Informationen in digitaler Form (PCM-Code) vorliegen und daß die in firmeneigenen Netzen und TK-Anlagen übliche Sprachkomprimierung für verschlüsselte Anwendungen abgeschaltet werden kann, damit die Nutzkanäle (B-Kanäle) verschlüsselt werden können.

Dafür soll eine ISDN-Sicherheitskomponente eingesetzt werden, mit der ein S0-Anschluß mit zwei 64 kbit/s-Kanälen abgesichert werden kann. Dabei ist es unerheblich, ob am S0-Bus einzelne ISDN- Endgeräte (Telefon, Fax, PC mit ISDN-Einsteckkarte etc.) angeschlossen sind oder eine kleine TK-Anlage nachgeschaltet ist. Alle Verbindungen sollen wahlweise verschlüsselt oder unverschlüsselt aufgebaut und betrieben werden. Folgende Abbildung zeigt die entsprechende Systemkonfiguration.

Es wurde ein ISDN-Kryptogerät ausgewählt, das mittels einer Chipkarte gegen unbefugte Benutzung abgesichert werden kann. Alternativ steht auch eine serielle V.24-Schnittstelle zur Verfügung, um die Sicherheitskomponente mit Hilfe eines PC konfigurieren zu können. Der Benutzer oder die Endanwendung kann die Verschlüsselung direkt mit der Chipkarte bzw. durch die Vorwahl einer speziellen Kennziffer steuern. Auch ist es möglich, die ISDN-Sicherheitskomponente so zu konfigurieren, daß bestimmte Verbindungen (Nummern) verschlüsselt oder unverschlüsselt voreingestellt sind. Für das Schlüsselmanagement, d. h. die Generierung und Verteilung von Schlüsselzertifikaten wird an einer zentralen Stelle des ISDN-Netzes eine Managementstation angeschlossen. Somit ist sichergestellt, daß die einzelnen ISDN-Sicherheitskomponenten netzweit registriert und mit aktuellem Schlüsselmaterial versorgt werden können.

Die Möglichkeit des sicheren Transports von Informationen und schützenswerten Daten in einem ISDN-Netz sind vielfältig und komplex. Dabei muß jeder relevanten Grundbedrohung mit einer konkreten Sicherheitsmaßnahme begegnet werden. Zur Gewährleistung der Vertraulichkeit erfolgt eine Online-Verschlüsselung des übertragenen Datenstroms am wirkungsvollsten auf der Sicherungsschicht. Hierzu werden die Daten vor ihrer Übertragung von einer Kryptohardware automatisch verschlüsselt und auf der Empfängerseite wieder entschlüsselt. Die Verschlüsselung ist dabei vollständig transparent für den Endteilnehmer und für Anwenderprogramme. Das verwendete Kryptomodul ermöglicht nicht nur eine Echtzeitverarbeitung, sondern bietet - im Vergleich zu einer Dateiverschlüsselung (Softwarelösung) - einen höheren Schutz gegen Angriffsversuche. Zur Sicherung der Übersendung von verbindlichen oder beweispflichtigen Daten können diese zusätzlich mit einer digitalen Signatur des Absenders versehen werden. Damit kann die Herkunft und Echtheit der übertragenen Nachricht vom Empfänger verifiziert und eventuelle Manipulationen innerhalb des öffentlichen Netzes zuverlässig erkannt werden. Für die sichere Erzeugung und Speicherung des Signaturschlüssels wird wiederum auf die Chipkarte zurückgegriffen, die ein wesentlicher Bestandteil des Sicherheitskonzeptes ist. Außerordentlich wichtig für die Verbindung von Rechnern ist es, daß der Möglichkeit einer ungewollten Fehlvermittlung, die - anders als bei Telefongesprächen - meist nicht vor oder während der Übertragung erkannt werden, angemessen begegnet wird. Dies kann durch eine eingebaute Firewall-Funktionalität in der ISDN- Sicherheitskomponente erreicht werden. Durch eine Überwachung des Signalisierungskanals (D-Kanal) kann dann die Sicherheitskomponente so eingestellt werden, daß ausschließlich explizit vorkonfigurierte Kryptoverbindungen zustande kommen. In Verbindung mit TK-Anlagen ist ferner vorgesehen, daß bestimmte Rufnummern und Funktionen dieser Nebenstellenanlagen gesperrt werden. Damit läßt sich die Ausnutzbarkeit der Schwachstellen "Fernwartung" und "Rufweiterleitung" einschränken.

Um sowohl ein sicheres Schlüsselmanagement als auch eine schnelle Echtzeitverschlüsselung der Nutzdaten zu erreichen, sollten Hybridverfahren eingesetzt werden. Unter Beibehaltung der symmetrischen Informationsverschlüsselung wird der sogenannte Sitzungsschlüssel mit Hilfe eines asymmetrischen Verfahrens ausgetauscht. Dies läuft im Praxisbetrieb völlig automatisch ab. Ohne nennenswerte Beeinträchtigung des Bedienungskomforts können auf diese Weise für jede neue ISDN- Verbindung neue Sitzungsschlüssel vereinbart werden.

Aus sicherheitstechnischer Sicht sollte der Endteilnehmer folgende Einsatzkriterien und -auflagen bei der Auswahl bzw. beim Einsatz einer ISDN-Sicherheitskomponente heranziehen:

(Bewertung: + = wichtig bis +++ = sehr wichtig):

Die individuellen Teilnehmerschlüssel und Authentisierungsinformationen sind auf einem sicheren Medium (z. B. einer Chipkarte) zu speichern und mit Hilfe einer vertrauenswürdigen Signatur zu sichern (+++).
Für die Verschlüsselung einer Kommunikationsbeziehung (Sprache, Daten, Bild, etc.) ist pro Übertragung ein geheimer Schlüssel, der sogenannte Sitzungsschlüssel, neu zu vereinbaren (++).
Die ausgeführten Sicherheitsdienste erfolgen automatisch und für das Endsystem bzw. den Endteilnehmer völlig transparent (+).
Für ausgewählte Verbindungen ist die Sicherheitskomponente immer im Kryptobetrieb eingerichtet (+++).
Die bestehende Infrastruktur sollte bei Verwendung der Sicherheitskomponenten voll erhalten bleiben (+).
Die Sicherheitsadministration der Sicherheitskomponenten sollte netzweit und möglichst von zentraler Stelle aus möglich sein (+).
Wünschenswert ist eine Online-Betriebsüberwachung und Registrierung aller Sicherheitskomponenten im Dialog mit der Managementstation (+).

Es sollten ISDN-Sicherheitskomponenten ausgewählt werden, die normierte Schnittstellen haben, keine Änderungen in den zu schützenden Endgeräten erfordern und die leicht in eine bestehende Kommunikationslandschaft zu integrieren sind.