Mehr Sicherheit durch Public-Key-Infrastruktur

Die TREND-REPORT-Redaktion sprach mit Jürgen Vogler, Geschäftsführer procilon IT-Solutions GmbH, über die Möglichkeiten und Vorteile einer Public-Key-Infrastruktur (PKI).

Herr Vogler,  wie aufwendig ist es heute den Prozess Kryptographie, also die Verschlüsselung von Texten usw., in die unternehmenseigene Software zu integrieren?

Da müssten wir erst einmal klären, was Sie mit integrieren meinen. Auf der einen Seite besteht natürlich die Möglichkeit IT-Sicherheit in Form von Kryptographie direkt in den Code der verwendeten Software zu integrieren. Dazu ist aber die Mitarbeit des jeweiligen Software-Herstellers notwendig und Sie können sich vorstellen, dass das speziell bei internationalen Konzernen für ein mittelständisches Unternehmen wie uns eine Herausforderung ist. In Deutschland praktizieren wir das durchaus mit einigen Anbietern von Unternehmens-Software zum Beispiel beim sicheren elektronischen Rechtsverkehr zwischen Unternehmen und Justiz.

Andererseits ist eine so tiefe Integration oft gar nicht notwendig. Speziell bei der elektronischen Kommunikation reicht eine zentrale Sicherheitsplattform meist aus. Diese wird idealerweise an einer Stelle administriert, bündelt intelligent unterschiedliche Kommunikationskanäle und –verfahren und integriert sich in die Kommunikationsprozesse der Unternehmen. Das hat darüber hinaus den Vorteil, dass der Endanwender oft gar nicht registriert, dass er Kryptographie benutzt. Ihm wird quasi die Verantwortung dafür abgenommen.

Welche Möglichkeiten haben Kunden, die ihre Secure E-Mail Gateway Lösung zum Einsatz bringen?

Hier muss ich mir eine kleine Anmerkung erlauben. Nur E-Mail wäre uns zu wenig. Unser proGOV unterstützt nämlich multiple Kommunikationskanäle wie De-Mail, e-post, EGVP, OSCI, AS2, AS4 etc. und eben auch E-Mail. Selbst dort sind es mit PGP und S/MIME zwei Verschlüsselungsstandards.

Damit haben unsere Kunden die Möglichkeit ein sehr hohes Sicherheitsniveau bei der elektronischen Kommunikation zu realisieren und in jedem Kommunikationskanal nach den dort geltenden Standards zu verschlüsseln. Dies geschieht von einer zentralen Instanz aus und ist damit Bestandteil des jeweiligen Kommunikationsprozesses. Und da im proGOV selbst ein Regelwerk beinhaltet ist, kann man damit die jeweilige Unternehmenspolicy abbilden. Eine einfache Regel kann z. B. sein: ausgehende Nachrichten werden wenn möglich verschlüsselt und wenn dies nicht möglich ist, wir nicht versandt und der Absender darüber informiert.

Kann man den Service auch über die Cloud beziehen?

Ein interessantes Thema, mit dem wir uns intensiv und aus unterschiedlichen Blickwinkeln beschäftigt haben. Da für uns auf der einen Seite die IT-Sicherheit an erster Stelle steht und auf der anderen Seite der Wunsch vieler Unternehmen und Institutionen die Kosten für IT-Infrastrukturen zu optimieren, kommt man daran nicht vorbei. Heute sind wir der Meinung, dass wir Security-Services aufgabenbezogen aus der Cloud sicher anbieten können. Hier wird sich in der Zukunft viel tun und mit unseren Lösungen zur Dateiverschlüsselung, proTECTr, und Signaturanwendung, proNEXT Secure Framework, praktizieren wir Cloud-Szenarien schon seit einiger Zeit. Letztere ist hinsichtlich der IT-Sicherheit vom TÜV-IT überprüft und zertifiziert worden. So sorgt das proNEXT Secure Framework heute dafür, dass Vertrauensdiensteanbieter wie zum Beispiel die Bundesnotarkammer, heute schon Security-Services entsprechend der EU eIDAS-Verordnung anbieten können.

Erledigt ihr Secure E-Mail Gateway auch die Verschlüsselung von angehängten Dokumenten?

Na wenn wir das nicht machen würden, hätten wir ja eine Sicherheitslücke. Das können und wollen wir uns nicht leisten. Also ja, natürlich.

Kann der User ihrer Secure E-Mail Gateway Lösung selbst eine qualifizierte digitale Signatur erstellen?

Auch das lässt sich realisieren. Wobei der User natürlich die entsprechenden Voraussetzungen schaffen muss, je nachdem ob an einem Arbeitsplatz oder im Rechenzentrum signiert wird. Beides ist mit unseren Lösungen möglich.

Wie lange dauert es, bis ihre Cloudlösung einsatzbereit ist?

Da würde ich gern eine Unterscheidung machen. Wir denken in der Regel in der Kategorie Service. Also zum Beispiel Verschlüsselungs-Service, Signatur-Service etc. Damit ergeben sich unterschiedliche Implementierungszeiten, die von Aufgabenstellung und vorhandener Infrastruktur abhängen. Unser Ende-zu-Ende Dateiverschlüsselungs-Service proTECTr ist für jedermann ad hoc einsetzbar. Hier braucht man nicht mal irgendeine Software installieren.

Bei komplexeren Anforderungen kann es auch schon mal länger dauern. Die IT-Sicherheit muss gewährleistet sein und da ist nicht jeder Service wie ein Ticket buchbar.

Welche Vorteile bringt die automatische Zertifikatsverwaltung?

Nun ja, Zertifikate haben die Eigenschaft, dass sie nicht unbegrenzt gültig sind. Wenn man dann noch mehrere hundert oder tausend Kommunikationspartner hat, deren öffentliche Schlüssel mit dem Zertifikat zusammenhängen, ergibt sich ein hoher Pflegeaufwand, der manuell kaum zu bewältigen ist. Auch hier hilft Automatisierung und, noch besser, die Zentralisierung in einem Verzeichnisdienst. Für Deutschland seien hier zum Beispiel das SAFE-Verzeichnis für die Justizkommunikation oder unsere Public Key Cloud für die Marktkommunikation im Energiemarkt genannt. Der einzelne Anwender braucht keine eigene Zertifikatspflege zu betreiben, sondern greift im Bedarfsfall auf aktuelles Material zu.

Wie lange können gespeicherte Dokumente bei der automatischen Archivierung aufgehoben werden?

Nun prinzipiell und mit Ausblendung technologischer Veränderungen hat man erst einmal keine Zeitbegrenzung. Das sieht bei wichtigen Dokumenten, deren Echtheit durch eine elektronische Signatur bestätigt ist, schon etwas anders aus. Auch hier wirkt sich die begrenzte Gültigkeit elektronischer Zertifikate aus. Inzwischen gibt es aber anerkannte Verfahren, die dafür sorgen, dass die rechtliche Verwertbarkeit, der sog. Beweiswert elektronischer Dokumente, ebenfalls über lange Zeiträume erhalten bleibt.

Kann der Kunde seine bisherigen Sicherheitstools, wie Antiviren- und Contentfilter weiterhin zum Einsatz bringen?

Da sollte es meist keine Probleme geben. Aber um die Verträglichkeit zu prüfen, führen wir mit neuen Kunden einen Infrastrukturworkshop durch, der alle Facetten der vorhandenen Komponenten beleuchtet und am Ende als Leitfaden für die Installation herangezogen wird.

Mit welchem Zertifizierunspartner realisieren Sie Ihre Lösung und warum?

Das hängt stark vom Hoheitsbereich ab. In Deutschland sind das meist das BSI oder die BNetzA und international sind das die Common Criteria for Information Technology Security Evaluation, die als ISO-Norm veröffentlicht werden.

Wenn wir zum Beispiel die o.g. Langzeitarchivierung betrachten, ist unser Produkt proNEXT Archive Manager nach der Technischen Richtlinie TR-ESOR des BSI zertifiziert, da diese eine entsprechende Spezifikation enthält. An anderer Stelle wiederum ist unsere Lösung, die in den Trustcentern der Bundesnotarkammer und dem Deutschen Gesundheitsnetz zum Einsatz kommt nach Common Criteria EAL 4+ VAN 5, das bedeutet Angriffspotential hoch, zertifiziert. Als Zertifizierer vor Ort agieren Firmen wie zum Beispiel der TÜV-IT aus Essen.

Letztendlich dient die Zertifizierung hauptsächlich dazu unseren Kunden die Sicherheit zu geben, dass procilon die richtigen Vorgaben und Standards in den angebotenen Lösungen umsetzt.

Bitte erklären sie uns kurz, wie eine Public Key Infrastructure technisch funktioniert?

(Lacht) Ich glaube das würde den Rahmen sprengen. Lassen Sie mich für Ihre Leser eher eine bildliche Darstellung wählen. Generell hat das sehr viel mit Vertrauen zu tun. Sie brauchen in einer PKI eine vertrauenswürdige Stelle, die die Identität einer Person oder auch einer Maschine bestätigt und einer ausgebenden Stelle den Auftrag erteilt eine elektronische Identität, einen Ausweis“, dafür auszustellen. Mit diesem kann der Besitzer nun verschiedene Dinge tun. Er kann sich Zugang verschaffen, damit elektronisch unterschreiben oder Schlüssel für seine E-Mails erzeugen. Er kann also an unterschiedlichen Einsatzorten damit etwas anfangen. Um dies aber wirklich sicher zu machen, braucht er noch jemanden, der vertrauenswürdig bestätigt, dass sein Ausweis gültig ist, denn wie im richtigen Leben hat der Ausweis ein Ablaufdatum oder kann gestohlen werden.

Das ganze Zusammenspiel nennt man dann kryptologisch Public Key Infrastructure mit den Komponenten Registration Authority, Certification Authority und Validation Authority.

Der technische Aufwand wird neben dem Einsatz einer zuverlässigen Software wie zum Beispiel proNEXT aus unserem Haus, sehr stark durch das gewählte oder vorgeschriebene Sicherheitsniveau bestimmt. Die Palette reicht hier von der Ausstellung von „Mitarbeiterausweisen“ in Unternehmen und der ausschließlichen Nutzung im eigenen Haus, bis hin zur Nutzung in TrustCentern, also Vertrauensdiensteanbietern wie der Bundesnotarkammer. Auch bei der Online-Funktion des Personalausweises steckt eine PKI dahinter und der Hersteller des Ausweises, die Bundesdruckerei, hat garantiert ein sehr hohes Sicherheitsniveau.

Über Jürgen Vogler

Herr Vogler verfügt über mehr als 20 Jahre Erfahrung als Geschäftsführer, Berater und Consultant – vorwiegend in den Branchen Public und HealthCare. In diesen Branchen hat er Projekte durchgeführt und geleitet, sowie umfangreiche strategische Projekte mit den Kunden verantwortet.

Thematisch ist Herr Vogler neben dem Informatiker für Medizinökonomie vor allem im Umfeld der sicheren elektronischen Kommunikation, Signaturen, TrustCenter, eIDAS, Datenschutz und Datensicherheit und korrelierenden Themen bekannt. Nachdem er bei Mummert + Partner (heute Sopra Steria Consulting) im Marktcenter Public erfolgreich bis 2007 tätig war, wechselte er in 2007 in den Services Bereich von Microsoft Deutschland. 2009 wechselte er zur adesso AG, um dort im Business Development die Branche „Public“ neu für adesso zu erschließen. 2011 wechselte er zur Francotyp Postalia AG, wo er zunächst das Geschäftsfeld eBusiness leitete, bevor er bei dem Tochterunternehmen Mentana Claimsoft die Geschäftsführung übernahm. Begleitend zu diesem beruflichen Werdegang war er seit 2009 auch selbständig tätig. Hier vor allem als gefragter Experte zu den Themen der sicheren Kommunikation, Machbarkeit und strategische Beratung, aber auch als Interimsmanager und KeyNote Speaker.

Herr Vogler verfügt über ein großes Netzwerk und ist im Vorstand der Kommune 2.0 und von buergerservice.org.

 

Weitere Informatiotionen: procilon

speziell zum Thema PKI: www.procilon.de/kernkompetenzen/themen/public-key-infrastructure

Google+: https://plus.google.com/+ProcilonDe
Bildlizenzen: procilon

1 Antwort

Kommentare sind deaktiviert.