Security - Sicherheit Kommunikation im Internet
letzte Seite
end
Datenschutz
Sicherheit im Umgang mit digitalen Daten
Internet Sicherheit
Weg zum sicheren Datentransport
Datenschutz Informationen
Datenschutz Links
Weitere Informationen
Informations- u. Kommunikationstechnologie
Der lange Weg zum sicheren Datentransport
Sicherheit im Internet ist nach wie vor ein Problem. An digitalen Signaturen und Public-Key-Infrastrukturen (PKI) führt auf Dauer kein Weg vorbei. Die PKI kommen in der Praxis nur langsam voran.

Der Public-Key-Infrastruktur - abgekürzt: PKI - gehört zweifellos die Zukunft. Nur PKI ist in der Lage, gleich alle drei Voraussetzungen für ein elektronisches Geschäft verlässlich abzudecken: Zugriffsschutz, Schutz der übertragungsinhalte vor Manipulation und der sichere Austausch von Schlüsseln zur Chiffrierung der Transferdaten.

Besonders seitdem sich auch die Vereinigten Staaten als Spätstarter mit der Verabschiedung des Signaturgesetzes des Themas PKI auch auf rechtlicher Ebene angenommen haben, scheinen für diese komplexe Sicherheitstechnologie alle Türen offen zu stehen. Dies umso mehr, als alle wichtigen Hersteller in diesem Bereich - unter ihnen Entrust, Baltimore, Versign und iD2 - aus Nordamerika stammen.

Surftipps

Zahlreiche Risiken

Daneben ist die Standardisierung wesentlicher Technologien, die die PKI tragen, mittlerweile abgeschlossen oder zumindest voll im Gang. Dazu zählen wichtige Standards wie X.509, PKIX, PKCS 7, 10 und 11 sowie S/MIME.

Digitale Zertifikate können bereits von Registrierdiensten (RAs = Registration Authorities) erworben werden, in der Schweiz beispielsweise von der Firma Swisskey. Auch kommerzielle Zertifizierungsdienste, so genannte CAs (Certification Authorities), gibt es bereits, die im Rahmen einer PKI die digitalen Zertifikate beisteuern, wie ebenfalls von Swisskey. Ein solcher Zertifizierungsdienst kann von externen Anbietern in Anspruch genommen oder vom Unternehmen in eigener Regie aufgebaut und betrieben werden.

Dennoch, es deutet vieles darauf hin, dass die Zeit für den PKI-Einsatz noch nicht reif ist. Denn innerhalb der komplexen PKI-Konstellation schwelen zurzeit noch viele potenzielle Risiken. Die Quelle all dieser Risiken: Das gegenseitige Vertrauen innerhalb einer komplexen PKI ist bis heute noch nicht hinreichend abgesichert. Die folgenden elf Fragen enthüllen, woran es der PKI bis heute in der Regel fehlt:

Kann ich der CA vertrauen?

Eine CA ist nicht zwangsläufig eine absolut verlässliche Autorität. Schon gar nicht für jede Form der darüber abzuwickelnden Anwendung. In diesem Zusammenhang gilt: Welche glaubhafte neutrale Stelle hat die CA für welche Anwendung autorisiert?

Wie sicher ist mein privater Schlüssel?

Meist wird kein Hardware-Token in Form einer Smartcard verwendet. Aber nur eine Smartcard kann den privaten Schlüssel verlässlich schützen, beispielsweise auch vor Missbrauch durch Viren. Aber selbst die Smartcard hält nicht jeder Attacke stand, wenn sie nicht in einem attackengeschützten Kartenleser untergebracht ist.

Wer ausser mir verwendet meinen privaten Schlüssel?

Die Verbreitung und Art der Handhabung des privaten Schlüssels ist nicht für beide Seiten transparent und birgt damit für die PKI-Teilnehmer Risiken in sich. Zumal einzelne Teilnehmer oft über mehrere Tokens, also Identitäten, verfügen.

Wie sicher sind die Rechner, die auf beiden Seiten das digitale Zertifikat prüfen?

Nur wenn er logisch und physisch unangreifbar ist - und das ist selten der Fall -, ist das digitale Zertifikat wirklich sicher. Es enthält zwar keine geheimen Schlüsselinformationen. Wenn es dem Angreifer aber gelingt, der Liste mit den verwendeten Route Public Keys seinen eigenen öffentlichen Schlüssel hinzuzufügen, kann er sein eigenes Zertifikat generieren, das der Gegenstelle wie das berechtigte Zertifikat erscheint.

Ist die Person auf der anderen Seite wirklich die, die sie vorgibt zu sein?

Der Inhaber ist zwar mit dem Zertifikat ausgewiesen. Doch ist "Bernd Müller" wirklich der Richtige oder ein anderer mit gleichen Namen. Zwar können innerhalb einer CA Personen mit gleichen Namen durch eine zusätzliche Erweiterung eindeutig kenntlich gemacht werden. Sind an der Kommunikation aber mehrere CAs beteiligt, funktioniert diese Identifikation nicht mehr verlässlich.

Ist der Zertifizierungsdienst eine wirkliche Autorität bei der Zertifikatserstellung?

Problematisch wird es speziell bei Zertifikaten, die von einem SSL-Server (Secure Socket Layer) für sicheres E-Mail generiert werden. Es enthält zwei für die Sicherheit wichtige Informationen: erstens den Namen des Schlüsselhalters und zweitens den DNS-Namen (Domain Name Service) dieses Servers.

Das Problem: Zwar ist der DNS-Name überprüfbar, also eine gesicherte Autorität, nicht aber der Name des Schlüsselhalters anhand seiner E-Mail-Adresse. Und damit ist insgesamt auch das SSL-Server-Zertifikat keine gesicherte Autorität.

Ist der Benutzer Teil des Sicherheitsdesigns?

Oft bezieht das spezielle Zertifikat für eine bestimmte Anwendung den PKI-Teilnehmer nicht ein. Damit ist es in diesem Fall auch nicht möglich, über ein solches Attributszertifikat gezielt einzelnen Teilnehmern oder Teilnehmergruppen den Zugriff nur auf bestimmte Web-Seiten einzuräumen.

Zahlreiche Risiken

Sind Registrierdienst und Zertifizierungsdienst separate Autoritäten oder unter einem Dach vereint?

Die Teilung der Autoritäten in Verantwortung für den Zertifikatsinhalt und Verantwortung für die Zertifikatsausgabe macht Sinn. Sind beide Instanzen unter einem Dach vereint, wird die CA mit Blick auf das eigene Geschäft eher dazu neigen, Zertifikatsinhalte ohne penible Prüfung auf den Weg zu bringen.

Wird die Identität des Zertifikatsbesitzers laufend geprüft?

Hat der PKI-Teilnehmer erst einmal seinen privaten Schlüssel, sehen sich viele CAs nicht mehr in der Pflicht zu prüfen, ob es weiterhin der berechtigte Besitzer ist, der diesen Schlüssel kontrolliert.

Wie sicher ist der Umgang mit Zertifikaten?

Zertifikate gelten nur für einen definierten Zeitraum. Zudem können vor Ablauf der Gültigkeitsdauer Ereignisse wie Zertifikatsverlust oder -diebstahl eintreten. Auf der Seite der CAs fehlt es aber oft an professionellen Routinen wie einer automatisch greifenden Zertifikatsaufhebung (Key Revocation), die bei solchen Ereignissen schnell und verbindlich reagieren.

Wie sinnvoll ist meine PKI?

Meist wird von den Unternehmen die PKI lediglich dazu verwendet, um eine generelle Authentisierung der Teilnehmer per Zertifikat durchzuführen. Ihren eigentlichen Nutzen für den Anwender entfaltet die PKI aber erst dann, wenn über zusätzliche Attributszertifikate die Zugriffe sicher bis in die Anwendungen hinein gesteuert werden (Autorisierung). Das wird in den Unternehmen aber in der Regel zu spät erkannt.

Darüber hinaus stehen derzeit weitere Gründe einer schnellen Expansion von PKIs entgegen. So sind bisher erst wenige Netzdienste und Geschäftsanwendungen PKI-fähig, um in diese Architektur eingebunden werden zu können.

Auch zieht der Einsatz verlässlicher Hardware-Tokens - also Smartcards - immer noch erhebliche Kosten nach sich, ohne dass die hohe Investition durch einen direkten Geschäftsnutzen als gesichert gelten kann.

Dennoch schon heute starten

Zu lange warten sollten die Unternehmen mit der Planung einer PKI aber dennoch nicht. Sie will mit vorbereitenden Massnahmen frühzeitig eingeleitet sein. Dazu gehört vor allem, über eine zeitaufwändige Verzeichnisintegration eine zentrale Benutzeradministration zu etablieren. Sie bildet die wirtschaftliche und transparente Basis für eine leistungsfähige PKI. Auf dieser Basis gilt es dann, mit einem "Single Sign-on" aufzusetzen. Nur so können später über die Kombination von Zertifikat und Attributszertifikaten die Zugriffe sicher bis in die installierten Anwendungen hinein gesteuert werden.

In einem Punkt besteht - trotz der vielen potenziellen Risiken innerhalb einer PKI - auf jeden Fall kein Zweifel: Die Unternehmen werden diese gemeinsame Vertrauensbasis immer dringender brauchen, um im E-Business und E-Commerce gegenüber Geschäftspartnern und Internetkonsumenten auf Dauer bestehen zu können.

nach oben

Links

nach oben

Weitere Informationen
0
Informationssuche im Internet: Suchmaschinen
Sicherheitsinformationen für das Internet
Der Datenschutzbeauftragte warnt
Regeln für den Passwortschutz
Sicherheitstipps
beim Surfen im Internet
Weitere Informationen zu Phishing
Vorsicht
Unterlagen zur Informationssicherheit
RAOnline Download
Soziale Medien Facebook Firefox Browser
Soziale Medien - Facebook & Co. Facebook Privacy- Checkliste Einstellungen Firefox - Checkliste
784 KB PDF Download
740 KB PDF Download
80 KB PDF Download
Quelle:
Datenschutzbeauftragter
des Kantons Zürich
Quelle:
Datenschutzbeauftragter
des Kantons Zürich
Quelle:
Datenschutzbeauftragter
des Kantons Zürich
Smartphones Persönlichkeitsschutz
Smartphone-Sicherheit Checkliste Daten- und Persönlichkeitsschutz am Arbeitplatz
120 KB PDF Download
450 KB PDF Download
Quelle:
Datenschutzbeauftragter
des Kantons Zürich
Quelle:
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
top
letzte Seite