Maximale Datensicherheit: Ein Kryptokonzept für Ihr Unternehmen

Dienstag, 30.1.2024

IT-Sicherheit

Kryptografische Verschlüsselung unterstützt Ihre Datensicherheit.

Wir haben eine kryptografische Richtlinie für einen Kunden verfasst! Falls Sie sich fragen, wofür das Ganze gut sein soll, stellen Sie sich vorab folgende Fragen:

  1. Sind Sie sich sicher, dass der gesamte interne und externe Datenverkehr Ihres Unternehmens angemessen verschlüsselt ist und keine Daten im Klartext übertragen werden? Gilt dies auch für den Datenverkehr zwischen Lastverteilern und REST-Endpunkten?

  2. Können Sie sicherstellen, dass in Ihren Legacy-Systemen oder in veraltetem Code keine unsicheren kryptografischen Algorithmen oder Protokolle verwendet werden?

  3. Bestehen in Ihrem Unternehmen klare Regelungen für den Lebenszyklus kryptografischer Schlüssel, die sicherstellen, dass keine schwachen Schlüssel erzeugt oder Schlüssel wiederverwendet werden?

Wenn Sie all diese Fragen nicht sicher mit einem "Ja" beantworten können, ist Ihr Unternehmen potenziell gefährdet. Sie sollten deshalb in Betracht ziehen, eine kryptografische Sicherheitsrichtlinie für Ihr Unternehmen aufzustellen.

Kryptokonzepte sind von entscheidender Bedeutung für Unternehmen zum Schutz sensibler Daten und datenverarbeitender Prozesse. Der korrekte und systematische Einsatz kryptografischer Verfahren ist unter anderem maßgebend für das Vertrauen von Kunden sowie Mitarbeitenden und sichert die Wettbewerbsfähigkeit von Unternehmen. Des Weiteren kann eine kryptografische Richtlinie für Ordnung und Struktur im IT-Dschungel sorgen und die Arbeit von Entwicklern oder Informationssicherheitsbeauftragten (ISB) immens erleichtern.

In diesem Blog-Beitrag werden wir zunächst klären, was genau unter einem Kryptokonzept zu verstehen ist. Wir liefern spannende Einblicke in den Ablauf eines Kundenprojekts, in dem wir eine kryptografische Richtlinie entwickelt haben, und teilen wertvolle Erkenntnisse, die aus solchen Projekten gewonnen werden. Des Weiteren bieten wir Einsichten in unsere Ergebnisse, darunter die Struktur des Konzepts, und teilen einzelne Inhalte mit Ihnen.

 

Was ist ein Kryptokonzept?

Die Kryptografie ist ein wesentlicher Baustein zur Gewährleistung der Informationssicherheit in den Schutzzielen Vertraulichkeit, Integrität und Authentizität. Ein klassisches Beispiel für ein kryptografisches Verfahren ist die Verschlüsselung von Klartext in Chiffretext mithilfe einer Blockchiffre. Dieser Chiffretext sollte ohne die Entschlüsselung mittels entsprechenden symmetrischen Schlüssels nicht lesbar sein.

Ein Kryptokonzept adressiert Fragen wie: “In welchen Anwendungen kommen Blockchiffren zum Einsatz?”, “Welche Blockchiffren sind sicher und sollten eingesetzt werden?” und “Wie gehen Mitarbeiter:innen mit den Schlüsseln um?”.
Kryptografische Richtlinien werden unter der Berücksichtigung stark heterogener IT-Landschaften unterschiedlicher Unternehmen entwickelt. Dies beinhaltet den Schutz sensibler Daten sowohl im gespeicherten Zustand als auch während der Übertragung.

Kryptokonzepte dienen also als maßgeschneiderte Anleitung für die Einführung neuer kryptografischer Prozesse und Anwendungen und bieten Entwickler:innen klare Richtlinien für die Verwendung kryptografischer Verfahren. Des Weiteren können Kryptokonzepte dazu beitragen, die Sicherheit bestehender Systeme zu bewerten und mögliche Schwachstellen zu beheben. Hierbei gilt: Der bloße Einsatz kryptografischer Verfahren und Techniken reicht nicht aus. Unternehmen müssen eine gesamtheitliche Betrachtung der Thematik vornehmen und sowohl auf technischer als auch auf organisatorischer Ebene festlegen, wie mit Kryptografie umgegangen werden soll. Beispielsweise ist die Verschlüsselung von Datenträgern mit modernsten Verschlüsselungsalgorithmen nur auch dann sicher, wenn die Schlüssel sicher von den Mitarbeiter:innen verwahrt werden (und diese nicht als Sticky Notes im Büro hängen).

 

Warum ist ein Kryptokonzept wichtig?

Sicherheitsvorfälle auf Basis kryptografischer Fehler treten zunehmend häufiger auf und haben oft schwerwiegende Konsequenzen. Nicht ohne Grund belegt die Kategorie Cryptographic Failures den zweiten Platz der aktuellen OWASP Top 10 der kritischsten Sicherheitsrisiken in Webanwendungen. Das Resultat ist häufig die Offenlegung oder Veränderung sensibler Daten. So kann der Zugriff auf ungeschützte Krankenakten oder Finanztransaktionen zu immensen finanziellen Verlusten, Rufschädigung, Rechtsstreitigkeiten oder Identitätsdiebstahl führen.

Die Gefährdungsgrundlage kryptografischer Fehler ist vielfältig. Beispielsweise ist es fahrlässig, unverschlüsselte Protokolle wie HTTP, FTP oder SMTP zu verwenden, ebenso wie schwache kryptografische Verfahren wie MD5 und SHA1 Hashfunktionen oder Blockchiffren im ECB Betriebsmodus. Ähnlich riskant ist es, kryptografische Schlüssel wiederzuverwenden, sie nicht regelmäßig auszutauschen, oder grundsätzlich kein ordentliches Schlüsselmanagement zu betreiben.

 

Projektaufbau

Bevor wir uns in theoretischen Details verlieren, erläutern wir die Gründe sowie das Vorgehen bei der Erstellung eines Kryptokonzeptes doch lieber anhand eines praxisnahen Beispiels:
Wir haben für einen Kunden eine maßgeschneiderte kryptografische Richtlinie erstellt. Bei dem Kunden handelte es sich um ein mittelständisches Unternehmen mit ca. 350 Mitarbeitenden. Der ISB des Unternehmens suchte nach einer Lösung, um die Vielzahl an Anfragen der Mitarbeitenden zum Thema Kryptografie einheitlich bearbeiten zu können. Fragestellungen wie “Ist es sicher, diese Library zu nutzen?”, “Darf ich diese Software installieren?”, “Welchen Algorithmus und welche Schlüssellänge darf ich verwenden?”, etc. stellen ohne strukturiertes Vorgehen und weitreichende Expertise im Bereich der Kryptografie eine Herausforderung für den ISB sowie ein Risiko für das gesamte Unternehmen dar.

Entsprechend wendete sich das Unternehmen an uns für Expertenrat. Um das erforderliche Wissen in die Breite zu tragen, formulierten wir eine Richtlinie. Die Tatsache, dass der Kunde sich an uns gewandt hat, zeigt, dass er sich mit dem Themenfeld auseinandersetzt und die IT-Sicherheit ernst nimmt. Das daraus resultierende Kryptokonzept hebt dies hervor und professionalisiert die Datensicherheit des Unternehmens.

Bevor es jedoch an die Umsetzung ging, stellten wir ein professionelles Team aus drei Berater:innen zusammen.
Dabei legten wir besonderen Wert auf Expertenwissen im Themenfeld der Kryptografie, die Fähigkeit, Kundenbedürfnisse zu erfassen, und auf Erfahrungen in der Erstellung von Richtlinien.

 

Projektdurchführung

Zu Beginn des Projekts identifizierten wir im ausführlichen Erstgespräch mit dem Kunden alle Anforderungen an eine kryptografische Richtlinie und analysierten den Ist-Zustand der IT-Landschaft. Hierzu haben wir uns einen Überblick über alle im Unternehmen verwendeten Anwendungen verschafft. Anschließend haben wir untersucht, wie Kryptografie in diesen Systemen implementiert ist, und auf dieser Grundlage eine Kategorisierung der verschiedenen Anwendungsbereiche des Unternehmens vorgenommen. So setzt sich beispielsweise der Anwendungsbereich “Dateiübertragung” aus einer Vielzahl von Systemen zusammen, die auf Filesharing-Protokolle wie FTP bzw. die verschlüsselten Varianten SFTP und FTPS zurückgreifen. Diese Kategorisierung hat den Vorteil, dass kryptografische Empfehlungen für ganze Anwendungsfelder ausgesprochen werden können, die für die jeweiligen Anwendungen gültig sind. Des Weiteren ist es deutlich übersichtlicher, als für jede einzelne Software kryptografische Empfehlungen zu formulieren. In diesem Schritt war es uns besonders wichtig, möglichst detailliert vorzugehen um wirklich alle Anwendungsfelder zu identifizieren und in das Kryptokonzept zu integrieren.

Zur Ausarbeitung kryptografischer Empfehlungen haben wir neben dem vorhandenen, umfangreichen Fachwissen im Team, ebenfalls Rechercheergebnisse zu aktuellen Best Practices in der Kryptografie hinzugezogen. Hierbei haben wir uns an White Papers des Bundesamts für Sicherheit in der Informationstechnik (BSI) wie die CON.1 und den technischen Richtlinien BSI TR-02102 orientiert. Darüber hinaus flossen Empfehlungen des National Institute of Standards and Technology (NIST) in die kryptografische Richtlinie ein.

Um sicherzustellen, dass die kryptografische Richtlinie optimal auf die Anforderungen des Kunden zugeschnitten ist, waren wir während des gesamten Erstellungsprozesses im Dialog mit dem Kunden. So haben wir iterativ Zwischenergebnisse mit dem Kunden geteilt, offene Fragen gestellt und waren jederzeit bereit, Fragen und Anliegen des Kunden zu berücksichtigen.

 

Ergebnis

Das Endergebnis des Projekts ist ein Paket, bestehend aus drei Dokumenten:

  1. Die kryptografische Richtlinie,
  2. ein Glossar, welches alle Empfehlungen kryptografischer Verfahren enthält und
  3. eine Auflistung der vom Kunden eingesetzten Software und deren Zulässigkeiten.

 

Dokument 1: Kryptografische Richtlinie

Im Folgenden ist die grobe Struktur des Hauptdokuments, der kryptografischen Richtlinie, aufgelistet:

  1. Einleitung
  2. Definition
  3. Allgemein
  4. Auswahl kryptografischer Verfahren nach Anwendungsfeld
    1. Data at Rest
    2. Data in Motion
    3. Sonstige Empfehlungen kryptografischer Verfahren
  5. Schlüsselverwaltung
    1. Zertifikate
    2. Lebenszyklus eines Schlüssels
  6. Implementierung von Kryptografie und Zulässigkeiten
  7. Ausnahmeregelungen
  8. Inkraftreten

Die kryptografische Richtlinie beinhaltet einen grundlegenden Teil, der von Kapitel 1 bis 3 reicht. In diesem Abschnitt werden unter anderem die Ziele des Dokumentes sowie dessen Geltungsbereich festgelegt. Zudem wurden vorab relevante Begrifflichkeiten zum näheren Verständnis definiert.

Kapitel 4 bildet eines der zwei Herzstücke der kryptografischen Richtlinie. In diesem Teil werden Empfehlungen kryptografischer Verfahren den im Unternehmen identifizierten Anwendungsfeldern zugeordnet. Dabei bildet die elementare Unterscheidung zwischen den Zuständen der zu sichernden Daten “Data at Rest” (Sichere Datenablage) und “Data in Motion” (Sicherer Datenaustausch) die Grundlage für das gesamte Kapitel. Alle im Gespräch mit dem Kunden identifizierten Anwendungsfelder konnten innerhalb eigener Unterkapitel einem der beiden Datenzustände zugeordnet werden. So sind Empfehlungen zur Verschlüsselung physischer Datenträger wie z.B. Festplatten und USB-Sticks dem “Data at Rest”-Unterkapitel zuzuordnen. Gleichzeitig siedeln sich Empfehlungen zur Sicherung von Remote-Zugängen und VPN-Verbindungen im “Data in Motion”-Kapitel an. Es war uns besonders wichtig, Anwendungsfelder getrennt zu betrachten und präzise deren Umfang zu definieren, um schlussendlich fundierte Empfehlungen kryptografischer Verfahren erteilen zu können und diese mit realen Praxisbeispielen des Unternehmens zu illustrieren.

An dieser Stelle führen wir ein deutlich verkürztes Beispiel einer kryptografischen Empfehlung für das Anwendungsfeld “Remote-Zugängen und VPN-Verbindungen” auf:
Häufig wird zum Ausführen von Befehlen bzw. Anwendungen auf entfernten Systemen das kryptografische Protokoll SSH verwendet. Von der Verwendung von Vorgängerversionen wie SSH-1 wird dringend abgeraten. Das sichere SSH-2 Protokoll setzt sich aus den 5 funktionalen Abschnitten, Schlüsseleinigung, Verschlüsselung der Transportschicht, MAC-Sicherung, Server-Authentisierung und Client-Authentisierung zusammen. Gängige SSH-Clients wie PuTTY und OpenSSH erlauben die Konfiguration dieser Abschnitte hinsichtlich der verwendeten kryptografischen Primitive und Verfahren. Für jeden Protokollabschnitt verweist die kryptografische Richtlinie auf die im Zusatzdokument “Empfehlungen kryptografischer Verfahren” aufgelisteten, empfohlenen Schlüsseleinigungsverfahren (z.B. diffie-hellman-group-exchange-sha256), Verschlüsselungsalgorithmen (z.B. AEAD_AES_128_GCM) usw.

Da die Sicherheit kryptografischer Verfahren maßgeblich von der Sicherheit der verwendeten Schlüssel bzw. Zertifikate abhängt, bildet Kapitel 5 das zweite Herzstück der kryptografischen Richtlinie und definiert Vorgaben im Umgang mit kryptografischen Schlüsseln und Zertifikaten. In diesem Kapitel werden unter anderem grundlegende Prinzipien aufgeführt, wie die Prinzipien der Datensparsamkeit im Umgang mit Schlüsseln und der Eindeutigkeit des Verwendungszwecks eines Schlüssels. Des Weiteren werden Empfehlungen für den Umgang mit Schlüsselmaterial den einzelnen Phasen des Lebenszyklus eines Schlüssels zugeordnet. Dieser setzt sich aus den übergreifenden Phasen Prä-Operational, Operational und Post-Operational zusammen und umfasst Regelungen zur Erzeugung, der Speicherung sowie des Backups, bis zur Vernichtung kryptografischer Schlüssel.

Des Weiteren umfasst die kryptografische Richtlinie Anweisungen und Hinweise zur Implementierung von kryptografischen Modulen sowie den Umgang mit Systemstandards und Zertifizierung von Softwareprodukten. So wurden international anerkannte Sicherheitszertifizierungen für Standardsoftware, beispielsweise Common Criteria, als gültiges Zulässigkeitskriterium berücksichtigt.
Und wie heißt es so schön - “Ausnahmen bestätigen die Regel”. Dieser Satz trifft auch auf die kryptografische Richtlinie zu, denn abschließend wurde ein Kapitel dem Umgang mit Ausnahmen gewidmet.

 

Dokument 2: Empfehlungen kryptografischer Verfahren

Wie bereits erwähnt, haben wir uns uns dafür entschieden, technische Empfehlungen in ein separates Dokument auszulagern. Somit entstand eine Art Glossar, in dem kryptografische Primitive, Verfahren, Module und Protokolle aufgelistet sind. Der Hintergrund hierbei ist, dass sich solche Empfehlungen schnell verändern. Das Hauptdokument bleibt somit stabil und unterliegt keinen jährlich anstehenden Anpassungen. Das Glossar basiert dabei vor allem auf den Empfehlungen der technischen Richtlinien des BSI.

 

Dokument 3: Vom Kunden eingesetzte Software

Als drittes und letztes Dokument entstand eine Auflistung genehmigter sowie bereits eingesetzter Drittanbieter-Software. Die Software ordneten wir dabei ebenfalls den Anwendungsfeldern der kryptografischen Richtlinie zu, listeten die durch die Software verwendeten kryptografischen Verfahren auf und dokumentierten den Grund für die Zulässigkeit.

Nach der erfolgreichen Abnahme durch den ISB des Kunden können wir mitteilen, dass das Kryptokonzept bereits Ende des Jahres 2023 freigegeben wurde und somit als Grundlage und Leitfaden für alle Mitarbeitenden gilt.

 

Was haben wir gelernt?

Das Projekt hat uns erneut die Bedeutung der Kryptografie vor Augen geführt. Insbesondere angesichts zunehmender Fälle im Bereich der Cyber-Kriminalität, darf das Thema nicht vernachlässigt werden. Wir haben gelernt, wie wichtig es ist, die verschiedenen Anwendungsfelder des Kunden sorgfältig zu kategorisieren, um sich in der IT-Landschaft eines Unternehmens zurechtzufinden und gezielt relevante Empfehlungen aussprechen zu können. Die Recherchen zu kryptografischen Empfehlungen haben uns auf den neuesten Stand der Technik gebracht und lassen uns gespannt auf zukünftige Themenbereiche wie die quantensichere Kryptografie blicken. Und wie in den meisten Projekten haben wir auch hier folgende Erkenntnis mitgenommen: Die enge Kommunikation mit dem Kunden und das genaue Verständnis seiner Bedürfnisse sind entscheidend für den Erfolg des Projekts.

Wenn Sie nun Interesse an einer kryptografischen Richtlinie für Ihr Unternehmen haben, nicht unbedingt die Zeit investieren und stattdessen auf unser theoretisches und praktisches Know-How zurückgreifen möchten - Dann freuen wir uns auf eine Anfrage von Ihnen!

Unser Angebot rund um IT-Security

 
zurück zur Blogübersicht

Diese Beiträge könnten Sie ebenfalls interessieren

Keinen Beitrag verpassen – viadee Blog abonnieren

Jetzt Blog abonnieren!

Kommentare

Anne Helmhold

Anne Helmhold

Anne Helmhold ist Beraterin bei der viadee Unternehmensberatung AG. Dort ist sie sowohl im Bereich IT-Security mit dem Schwerpunkt Security Awareness als auch im Bereich der Business Analyse tätig.

viadee Münster
Anton-Bruchausen-Straße 8, 48147 Münster, Tel: +49 251 77777 0

viadee Köln
Konrad-Adenauer-Ufer 7, 50668 Köln, Tel: +49 221 788807 0

viadee Dortmund
Sebrathweg 7, 44149 Dortmund, Tel.: +49 231 494985 0

www.viadee.de

Service
Kontakt Blog Termine