Vielschichtige Sicherheit

Daß es sich lohnt, den Datenaustausch innerhalb eines Unternehmens zu verschlüsseln, hat sich inzwischen herumgesprochen. In der Regel müssen Verschlüsselungsmechanismen nachträglich in ein komplexes Netz eingebaut werden. Dafür existieren inzwischen zwar wirkungsvolle Standards, jedoch keine Patentlösungen.

Von: Klaus Schmeh, Dr. Hubert Uebelacker

Von TCP/IP über Ethernet bis X.25 haben die meisten gängigen Netzwerktechniken eines gemeinsam: Sie wurden konzipiert, ohne an die Bedrohung durch ungebetene Lauscher zu denken, die eine Datenübertragung aushorchen. Ein typisches Beispiel ist das in zahlreichen Unternehmensnetzen eingesetzte Ethernet, das nach dem CSMA/CD-Prinzip funktioniert. Diese Abkürzung steht für Carrier Sense Multiple Access with Collision Detection, was Schlimmes ahnen läßt: Multiple Access bedeutet, daß alle angeschlossenen Rechner Zugang zum gemeinsamen Übertragungsmedium haben. Carrier Sense heißt, daß jede Station ständig dieses Übertragungsmedium (Carrier) abhört, um festzustellen, ob es selbst senden darf. Eine solche Methode lädt geradezu zum Mißbrauch ein, zumal nahezu alle handelsüblichen Ethernet-Adapter die Annahme fremder Datenpakete explizit unterstützen. Kaum besser sieht es mit anderen LAN-Techniken wie Token-Ring und Token-Bus aus, die ebenfalls vorsehen, daß jede angeschlossene Station Zugriff auf alle im Netz verschickten Daten hat. Auch wenn LANs nur besonders krasse Beispiele sind, so steht eines fest: jedes im kommerziellen Umfeld genutzte Rechnernetz läßt sich mit realistischem Aufwand abhören.

Diese Gefahr kommt keineswegs nur von außen: Verschiedene Studien belegen, daß mindestens zwei Drittel aller entdeckten Angriffe auf Computernetzwerke internen Ursprungs sind. Abhörangriffe sind zwar nur ein Teil der verzeichneten Zwischenfälle. Dennoch muß sich ein Unternehmen nicht nur darüber Gedanken machen, was passiert, wenn sensible Daten das Firmennetz verlassen. Vielmehr muß der ungebetene Lauscher in den eigenen Reihen vermutet werden.

Verschlüsselung und digitale Signaturen

Die Werkzeuge zur Verschlüsselung stehen längst bereit: Die Kryptografie liefert eine ganze Reihe von erstklassigen Verfahren, die nach heutigen Maßstäben nicht zu knacken sind [1]. An dieser Stelle deshalb nur das Wichtigste: Verschlüsselungsverfahren sind meist in allen Einzelheiten öffentlich bekannt. Ihre Sicherheit liegt in einem Paßwort (Schlüssel oder Key genannt), den der Sender und der Empfänger einer verschlüsselten Nachricht kennen müssen. Bei einem sicheren Verfahren hat ein Abhörer keine Chance, ohne Schlüssel eine abgefangene Nachricht zu entziffern. Die sogenannten asymmetrischen Verschlüsselungsverfahren haben die angenehme Eigenschaft, daß zum Verschlüsseln ein anderer Key verwendet wird als zum Entschlüsseln. Letzterer muß ein Kommunikationsteilnehmer daher geheimhalten (Private Key), während der Schlüssel zum Verschlüsseln öffentlich bekannt ist (Public Key). Jeder Teilnehmer, der den öffentlichen Key kennt, kann dem Besitzer des privaten Gegenstücks kodierte Nachrichten zuschicken, die nur er entziffern kann. Eng verwandt mit der Verschlüsselung und ebenfalls ein Teilbereich der Kryptografie ist die digitale Signatur. Dabei handelt es sich nicht etwa um eine eingescannte Unterschrift, sondern um ein asymmetrisches Verschlüsselungsverfahren, das ähnliche Eigenschaften wie eine Unterschrift aufweist. Signiert wird mit einem geheimen Schlüssel, das Überprüfen der Echtheit erfolgt mit einem dazugehörenden öffentlich bekannten Schlüssel.

In der Unternehmenskommunikation liegen die Schwierigkeiten bei der Integration entsprechender kryptografischer Funktionen in bestehende Netze. Firmennetze sind oft äußerst komplex: Das typische lokale Netz ist nicht in einem einmaligen, durchdachten Planungsvorgang entstanden. Es ist vielmehr über Jahre hinweg von einem überschaubaren Mininetz zu einem komplexen Ungetüm mutiert. Der Vergleich mit einer vielköpfigen Hydra drängt sich auf, wenn zahlreiche Teilnetze durch ein Backbone zu einem heterogenen Gesamtnetz verbunden sind. Außerdem ist oft ein Internet-Anschluß vorhanden. ISDN, Kundenanbindung und Telearbeitsplätze sorgen für eine weitere Öffnung nach außen, die nicht gerade für mehr Sicherheit sorgt. Das in Bild 1 skizzierte Netz ist nur ein einfaches Beispiel, das in der Praxis an Komplexität meist überboten wird. In einen derartigen Netzwerk-Dschungel nachträglich kryptografische Funktionen zu integrieren ist alles andere als eine einfache Aufgabe, zumal Kosten und eine Beeinträchtigung des Netzbetriebs dabei im Rahmen bleiben müssen. Zu den Sorgen der Netzwerkverantwortlichen gehört zudem die Investitionssicherheit: Von Technik, die in einigen Jahren von niemandem mehr unterstützt wird, läßt man besser die Finger.

Standards spielen eine wichtige Rolle

Zum Glück hat sich die Lage auf dem Markt für Kryptografie in Computernetzwerken entscheidend verbessert. Noch bis 1995 existierten nur wenige, meist proprietäre Lösungen, mit denen Abhörern das Handwerk gelegt werden konnte. Spätestens seit 1996 überschwemmen jedoch Kryptoprodukte den Markt, auf dem auch zahlreiche deutsche Firmen mit großem Erfolg mitmischen. Ihnen kam vor allem zugute, daß der Export von wirksamen Verschlüsselungsprodukten in den USA streng reglementiert ist, da diese militärisch verwendet werden können. US-Firmen dürfen ihre Hard- und Software daher nur mit einfachen Verschlüsselungsverfahren exportieren. Eine jüngst von der US-Regierung durchgeführte Lockerung der Bestimmungen brachte noch keine grundlegende Änderung der Lage. Kein Wunder, daß Kryptografie "made in USA" nicht besonders begehrt ist.

Erfreulich ist dagegen, daß sich im Bereich der Kryptografie eine Reihe wirkungsvoller Standards entwickelt hat, die bewährte Kryptoverfahren in bestehende Kommunikationsprotokolle einbauen. Diese Neuentwicklungen konzentrieren sich fast ausschließlich auf TCP/IP. Durch diese Standardisierung ist neben Interoperabilität auch eine Investitionssicherheit gegeben.

Grundsätzlich arbeitet die Kryptografie in jeder OSI-Schicht, mit unterschiedlichen Vor- und Nachteilen. Schicht 5 und 6 sind in TCP/IP-Netzen nicht vorhanden, Schicht 1 (Bitübertragungsschicht) ist aufgrund der Abhängigkeit vom Übertragungsmedium für Verschlüsselung nicht relevant. So stehen die Schichten 2, 3, 4 und 7 zur Debatte.

Am aufwendigsten ist zweifellos der Einsatz von Kryptografie in Schicht 7 (Anwendungsschicht), denn hier muß jedes Anwendungsprogramm einzeln geändert werden, wenn es Kryptografie unterstützen soll. Gleichzeitig ist diese Art des Kryptoeinsatzes jedoch auch am flexibelsten: Die Entwickler dieser Applikation können entscheiden, welche Daten wann und wie verschlüsselt oder signiert werden. Wird Kryptografie unterhalb der Anwendungsschicht eingesetzt, so sind deutlich weniger Softwareänderungen erforderlich und Applikationen müssen nicht verändert werden. Die Kehrseite der Medaille ist jedoch, daß es dadurch zunehmend schwieriger ist, die Kryptomechanismen auf die Art der übertragenen Daten abzustimmen.

Ein wirkungsvolles Protokoll: SSL

Ein erster Schritt ist meist der Einsatz eines Verschlüsselungsprotokolls direkt unterhalb der Anwendungsebene, da dies nur geringe Softwareänderungen erfordert und die gesamte TCP/IP-Kommunikation eines Netzes absichert. Der Kryptostandard für diese Ebene ist SSL (Secure Socket Layer). SSL wurde ursprünglich vom Web-Browser-Hersteller Netscape für das sichere Surfen im World Wide Web entwickelt. Da das Protokoll jedoch nicht an eine Applikation gebunden ist, hat es sich auch für Anwendungen wie Telnet, FTP, Client-Server-Beziehungen, SAP R/3 und Datenbankzugriffe durchgesetzt. Secure Socket Layer schiebt zwischen das Transportprotokoll TCP und die darüberliegende Anwendung eine zusätzliche Schicht ein, die alle übertragenen Daten für die Anwendung transparent verschlüsselt. Es stellt somit einen sicheren Tunnel zwischen Sender und Empfänger her, durch den Nachrichten aller Art vor Abhörern geschützt sind. Da auf SSL-Ebene im Gegensatz zu tieferen Protokollschichten bekannt ist, welche Anwendung darüber läuft, läßt sich Verschlüsselung abhängig von den übertragenen Daten realisieren.

Keine vollständige Lösung

Der sichere Tunnel, den SSL zwischen zwei Kommunikationspartnern legt, ist zwar ein erster wichtiger Schritt, genügt jedoch nicht, um ein Netz vollständig abzusichern. Vor allem EMail ist ein Dienst, der den Einsatz von Kryptografie auch auf Anwendungsebene erforderlich macht. Dies liegt zum einen daran, daß eine Nachricht bei ihrer Auslieferung an den Empfänger in der Regel Gateways passiert, die in Schicht 7 (Anwendungsschicht) des OSI-Modells angesiedelt sind. Zum anderen sollten vor allem digitale Signaturen vom Empfänger auch noch zu einem späteren Zeitpunkt überprüfbar sein. SSL streift jedoch alle kryptografischen Funktionen ab, bevor es die Daten an die Anwendungsschicht hochreicht. Dadurch liegen EMails bei SSL-Einsatz auf den Gateways unverschlüsselt und beim Empfänger unsigniert vor. Der zweite Schritt nach einer SSL-Einführung besteht also meist in der Auswahl eines geeigneten EMail-Verschlüsselungsstandards. Derer gibt es mittlererweile schon eine ganze Reihe: Neben dem beliebten, aber proprietären PGP (Pretty Good Privacy) gab es lange Zeit nur den offiziellen Internet-Standard PEM (Privacy Enhancement for Internet Electronic Mail), der sich nicht durchgesetzt hat und inzwischen reichlich veraltet ist. Eine neuere Lösung ist S/MIME, die momentan international am höchsten gehandelt wird. In Deutschland hat dagegen der vom Industrieverband Teletrust e. V. entwickelte Mailtrust-Standard die besten Chancen. Dieser Standard für die Verschlüsselung von EMails ist parallel zum sogenannten Signaturgesetz entstanden, einem Bundesgesetz, das die digitale Signatur rechtlich weitgehend mit der Unterschrift von Hand gleichstellt. Mailtrust entspricht so dem Signaturgesetz und ist damit für die meisten deutschen Anwender erste Wahl. S/MIME ist dagegen bisher nur von amerikanischen Firmen implementiert worden. Wegen des Exportverbots ist das Tool in Deutschland nur mit unsicherer Verschlüsselung zu haben.

Transparente LAN-Kopplung

Neben der Verschlüsselung auf Anwendungsebene und direkt darunter spielt auch der Kryptoeinsatz in tieferen Schichten des OSI-Modells in der Unternehmenskommunikation eine immer wichtigere Rolle. Das Stichwort hier lautet transparente LAN-Kopplung. Damit sind lokale Netze gemeint, die über ein Weitverkehrsnetz gekoppelt sind. Auf diese Weise kann ein Unternehmen die lokalen Netze verschiedener Niederlassungen zu einem einzigen großen Netzwerk verschmelzen. Problematisch ist hierbei jedoch, daß das zur Koppelung eingesetzte Weitverkehrsnetz gegenüber externen Abhörern besonders anfällig ist. Daher bietet es sich an, alle Daten beim Eintreten in das Weitverkehrsnetz zu verschlüsseln, um sie beim Wiedereintreten in das firmeneigene Netz wieder zu entschlüsseln. Dies kann beispielsweise mit Hilfe von Kryptoerweiterungen für das Internet-Protokoll realisiert werden, die unter dem Namen IPSEC (Secure IP) standardisiert sind. IPSEC ist in der Lage, ähnlich wie SSL einen sicheren Tunnel zwischen zwei Kommunikationspartnern herzustellen. Die Anwendung von Kryptografie auf so tiefer Ebene macht es jedoch recht aufwendig, die verwendeten Funktionen auf die jeweilige Anwendung abzustimmen. Bei einer LAN-Kopplung ist die Verschlüsselung jedoch nicht von der Applikation abhängig, sondern lediglich davon, ob die Daten ein lokales Netz verlassen. IPSEC ist damit für die Verknüpfung von LANs bestens geeignet, während SSL hierzu kaum eingesetzt werden kann, da Schicht 4 in Routern nicht vorhanden ist.

Eine Alternative zu IPSEC bei der Kopplung von LANs ist ECP (Encryption Control Protocol), das eine Kryptoerweiterung von PPP (Point to Point Protocol) darstellt. Dieses ist in Schicht 2 des OSI-Modells angesiedelt. Der Einsatzbereich von ECP liegt daher neben der LAN-Kopplung vor allem in der Absicherung von Modemverbindungen, was einen wichtigen Schutz vor externen Angriffen darstellt.

(fn)