Entscheidende Voraussetzung für den Aufbau von PKIs ist die Verfügbarkeit von Software, die auf asymmetrischen Verfahren beruhende Sicherheitsdienste einsetzen. Dazu gehören neben Lösungen für die Installierung der PKI selbst auch die PKI-fähigen Anwendungen, die Applikationen wie sichere E-Mail-Kommunikation oder Verschlüsselung ermöglichen. In der Regel sind die Lösungen und Anwendungen mit Dienstleistungen des jeweiligen PKI-Anbieters verzahnt. Wir stellen Ihnen im folgenden die wichtigsten Anbieter vor.
Utimaco Safeware
Als Basisapplikation zur Generierung, Überprüfung und dem Management von Zertifikaten offeriert von Utimaco Safeware seine SafeGuard PKI. Das Produkt beruht auf offenen, internationalen Standards: Die Zertifizierungs- und Registrierungsinstanzen können über standardisierte Protokolle und Formate auf die Verzeichnissysteme anderer Anbieter zugreifen.
Die Standardversion SafeGuard PKI Enterprise stellt alle PKI-Funktionalitäten zur Ausstellung, Verteilung und dem Management von X.509-Zertifikaten einschließlich der Verwaltung von Sperrlisten zur Verfügung.
Daneben ist eine Light-Version verfügbar, mit der sich PKI-Lösungen in sehr kurzer Zeit ohne viel Aufwand realisieren lassen: Das "Out-of-the-box"-Produkt SafeGuard PKI Light besteht aus den Komponenten CA und RA. Es lässt sich auch ohne Spezialisten einrichten und bietet alle Funktionen, die in kleineren und mittleren Unternehmen für das Generieren und Managen von Schlüsseln und Zertifikaten notwendig sind.
SafeGuard PKI dient als Infrastruktur und Basistechnologie für weitere PKI-Produkte von Utimaco:
SafeGuard Sign & Crypt zur Integration von Verschlüsselung und digitaler Signatur in bestehende Anwendungen
SafeGuard Transaction Client, ein Browser-Modul, um digitale Signaturen bei Internet-Transaktionen zu ermöglichen
SafeGuard Toolkit, um Sicherheitsfunktionen in bestehende Anwendungen zu integrieren.
Außerdem unterstützt SafeGuard PKI in Verbindung mit SafeGuard Advanced Security und SafeGuard LAN Crypt auch die Verwendung von Smartcards. Preise werden auf Anfrage genannt.
TC TrustCenter
Die Hamburger TC TrustCenter AG ist gemäß dem deutschem Signaturgesetz von der RegTP als Zertifizierungs-Diensteanbieter akkreditierter. Der Focus des Unternehmens liegt auf der Beratung von Unternehmen, die maßgeschneiderte IT-Sicherheitsinfrastruktur-Lösungen aus einer Hand erwarten.
Mit TC PKI bietet TC TrustCenter ein modulares System für den Aufbau einer lokalen Public-Key-Infrastruktur zur Zertifikatsverwaltung für Mitarbeiter und Kunden an. Die Software dazu wird jedoch nicht lokal installiert: Sie liegt auf den Servern von TC TrustCenter und lässt sich über SSL-Verbindungen nutzen. TC PKI gibt es in zwei Varianten.
Die webbasierte PKI-Einstiegslösung für digitale Zertifikate heißt TC Entry PKI (249 Euro Monatsgebühr, Einrichtung 2250 Euro). Sie ermöglicht, User-ID und Passwort durch eine Client-Authentifikation per Zertifikat zu ersetzen. Zertifikate für 25 User und den Administrator auf Smartcard sowie ein Lesegerät und Software sind enthalten, weitere Zertifikate lassen sich online beantragen. Über Funktionserweiterungen und vorbereitete Migrationswege auf komplexere, integrierte PKI-Lösungen lässt sich TC Entry PKI wechselnden Bedürfnissen anpassen.
Als PKI-Standard-Lösung für Unternehmen fungiert TC PKI (Preis auf Anfrage). Damit ist die SSL- Verbindung der Clients zum Server ebenso möglich wie das Verschlüsseln von E-Mails. Zertifikate für Mitarbeiter, Kunden und Partner oder Teilnehmer eines elektronischen Marktplatzes stellt der Administrator über eine leicht bedienbare Web-Oberfläche aus. Da TC TrustCenter die PKI-Software hostet, lassen sich alle Vorteile einer eigenen CA nutzten, ohne selbst eine aufwändige Implementation vornehmen zu müssen.
Secude
Das Portfolio der Secude GmbH reicht von Produkten zum Aufbau und Verwalten einer PKI über die Absicherung der elektronischen Geschäftsprozesse mit Hilfe der Office-Lösungen bis hin zu PKI-gestützter Single Sign-On Fähigkeit aller angebotenen Lösungen.
Als Basis zur Implementierung einer PKI dient Secude CA Management. Es ermöglicht den Aufbau und Betrieb einer vollständigen Zertifizierungs-Infrastruktur und stellt alle dazu notwendigen Dienste bereit. So kann man Zertifikate ausstellen und widerrufen, Sperrlisten pflegen, Benutzer verwalten sowie ein Logbuch führen. Secude CA Management beherrscht verschiedene Schlüsselgenerierungs- und Zertifizierungsmodelle. Die Benutzer können entweder ihre Schlüssel selbst erzeugen - in diesem Fall werden sie von der Zertifizierungsstelle nur bestätigt. Die CA kann aber die Schlüssel für die Benutzer aber auch direkt generieren. Optional lässt sich Secude CA Management zur Online-Zertifizierung direkt an einen Webserver anbinden.
iT_SEC_sci dient dazu, eine Smartcard-gestütze PKI aufzubauen. Um die Verwaltung möglichst komfortabel zu machen, verfügt iT_SEC_sci über umfangreiche Helpdesk-Funktionen. So können etwa durch fehlerhafte PIN-Eingaben gesperrte Karten in wenigen Minuten entsperrt werden. Dazu muss der Benutzer nur beim Helpdesk anrufen. Außerdem beinhaltet iT_SEC_sci ein Karten-Management mit integrierter Benutzer-, Smartcard- und Schlüsselverwaltung.
SECUDE AuthenteMail bietet E-Mail-Sicherheit für Outlook und Lotus Notes. Es ermöglicht den Benutzern den vertraulichen Austausch von Mails. Dabei stellt es mit Hilfe einer digitalen Signatur sicher, dass der Inhalt der E-Mail nicht verändert wurde. Eine digitale Sigantur lässt zudem den Urheber eindeutig erkennen. Als Speicher für die notwendigen Schlüssel können sowohl Software-, als auch Hardware-Token (Smartcard, USB-Token, etc.) eingesetzt werden. Als Encryption-Mechanismen setzt AuthenteMail international als sicher anerkannte Algorithmen wie RSA, DAS, Triple DES oder SHA1 ein. Neben der Sicherheit ist auch die Interoperabilität von großer Bedeutung. Daher unterstützt das als Plug-in ausgelieferte SECUDE AuthenteMail for Outlook die Standards S/MIME und MTT.
Preise nennt Secude nur auf konkrete Anfrage, da sie von der jeweiligen Lösung sowie der Anzahl der Zertifikate abhängen.
Integralis
Integralis operiert als produktunabhängiger Integrator für IT-Sicherheitslösungen. Dabei betrachtet man PKI in der Regel nur als eine von mehreren Möglichkeiten, entsprechende Sicherheitsbedürfnisse abzudecken. Zu den Alternativen respektive Ergänzungen zählt Integralis Einmal-Passwort-Token oder auch Single Sign-On bzw. Reduced Sign-On über normale Benutzername/Passwort-Verfahren.
Bei Integralis PKeasy handelt es sich um ein Produkt zur einheitlichen Verschlüsselung und Authentisierung in Unternehmen. Die Basis der Lösung bilden ausgewählte Anwendungen für Dateiverschlüsselung, VPN / Remote Access und Mailverschlüsselung. Eine Smartcard oder ein USB-Token dient dabei als Firmenausweis, Schlüssel, zentraler Lagerort für Benutzerdaten sowie Speicher für mehrere Passwörter und PIN-Codes.
RSA Security
Mit Keon von der US-Firma RSA Security lassen sich unternehmensinterne PK-Infrastrukturen aufbauen, managen und nutzen. Mit der Software können digitale Zertifikate erstellt und verwendet und digitale Signaturen für rechtsverbindliche Transaktionen eingesetzt werden. RSA Keon bietet insbesondere folgende Features:
Nichtabstreitbarkeit elektronischer Verträge durch digitale Signaturen.
Sicherung von strategisch wichtigen Web-Portalen.
Positive Identifikation eines Absenders oder Vertragspartners.
Überprüfung der Integrität und des privaten Charakters von Daten in E-Commerce-Anwendungen.
Verschlüsselung von sensiblen Daten und vertraulicher Kommunikation, deren Inhalt nur der Empfänger sehen kann.
Das automatische Management von öffentlichen und privaten Schlüsseln gewährleistet eine einfache Nutzung. Keon ist als zentrale Zertifizierungsstelle (RSA Keon CA) oder als komplette PKI-Lösung verfügbar. Als weitere Produkte offeriert der Hersteller RSA BSAFE, eine Verschlüsselungssoftware zur Sicherstellung der Datenintegrität und RSA SecurID zur Autorisierung von Datenzugriffen. Preise gibt es auf Anfrage von der deutschen Niederlassung.
D-Trust
Die Berliner D-TRUST bietet Unternehmen, Verbänden und Behörden ein breites, an Standards orientiertes Portfolio rund um die digitale Signatur. Die Produkte sind vorkonfiguriert, lassen sich aber auch individuell anpassen. Im Zentrum steht die Trust-Center-Lösung D-TRUST Corporate, mit der sich CAs für Personen, VPN-Rechner und Web-Server realisieren lassen.
Die modulare Unternehmens-PKI auf Softwarebasis wurde von der skandinavischen Firma SmartTrust (früher: ID2) entwickelt. Registrierung und Karten-Personalisierung werden exakt an die organisatorischen Bedürfnisse und betrieblichen Möglichkeiten des Unternehmens angepasst. Dabei kommen je nach Bedarf verschiedene Modelle zum Einsatz.
Bei D-TRUST Corporate CRA befindet sich der Registrierungsarbeitsplatz im Unternehmen. Zertifikate und Smartcards werden dann im D-TRUST Center erstellt. Dieses Modell ist in besonderem Maße auf das Ausgeben von Zertifikaten an Mitglieder und Geschäftspartner zugeschnitten. D-TRUST Corporate CRP übernimmt über die Registrierung hinaus auch die unternehmensinterne Personalisierung der Smartcards. Dieses Modell eignet sich besonders für die paralelle Nutzung der Smartcards als Dienst- bzw. Mitarbeiterausweise. D-TRUST Corporate DSC belässt sämtliche Registrierungs- und Personalisierungsprozesse bei D-TRUST. Dieses Modell bietet sich an, wenn hohe Sicherheitsanforderungen einen Einsatz von Inhouse-Komponenten verbieten.
Mit D-TRUST P-Zert lassen sich nicht nur Zertifikate verwalten, sondern auch gesetzeskonforme digitale Signaturen generieren. Das Produkt wird in vier Varianten angeboten:
D-TRUST P-Zert Q entspricht voll den signaturgesetzlichen Vorgaben ("qualifiziertes Zertifikat").
D-TRUST P-Zert A entspricht darüber hinaus den strengeren Vorgaben für akkreditierte Zertifikate.
D-TRUST P-Zert F als "fortgeschrittenes Zertifikat" bietet sichere Smartcard-Technik ohne die signaturgesetzlichen Beschränkungen.
D-TRUST P-Zert S, ebenfalls "fortgeschrittenes Zertifikat" im Sinne des Signaturgesetzes, arbeitet Software-basiert.
Außerdem bietet D-Trust PKI-Hardware und -Software für den Aus- und Eigenbau von PK-Infrastrukturen. D-Trust übernimmt daneben auch Beratung und Projektmanagement.
T-TeleSec
T-TeleSec, das Trustcenter der Deutschen Telekom, hat verschiedene Produkte und Services für eine Unternehmens-PKI im Programm. Dazu zählen die Trust Center Services wie ServerPass, OneTimePass, MailPass und NetPass (letztere zur Zeit noch im Projektgeschäft, ein Vertriebsfreigabe steht aber bevor). Der ServerPass dient zur Identifikation eines Internet-Servers. Der OnlinePassTest ist das Gegenstück zum ServerPass. So wie sich ein Unternehmen durch einen ServerPass identifiziert, weist man sich mit dem OnlinePass gegenüber dem Unternehmen aus.
Dazu kommen Smartcards, die mit Zertifikaten für Verschlüsselung und elektronische Signatur genutzt werden können. Als SigG-konformen Service für qualifizierte Signaturen hat T-TeleSec zudem den Public Key Service im Portfolio, der im Sinne des Signaturgesetzes (SigG) offiziell zugelassen ist. Damit lassen sich Verträge oder vertrauliche Daten digital unterzeichnet werden, Bezahl- und Bestellvorgänge im E-Commerce sichern sowie Datensätze vor Manipulationen schützen.
Das Programm PKSCrypt schließlich dient zum Signieren und Verifizieren von Daten, zur Verwaltung der entsprechenden PKS-Zertifikate, zur Nutzung des signaturgesetzkonformen Zeitstempeldienstes und zum Verschlüsseln und Entschlüsseln von Daten. Die Software erweitert die Funktionalität des Windows-Explorer.
Baltimore Technologies
Der PKI-Anbieter Baltimore liefert mit seiner Trusted Business Suite eine PKI in Light-Version. Der US-Security-Spezialist mit europäischer Niederlassung beschränkt sich dabei auf den kleinsten gemeinsamen Nenner: Die Suite stellt nur das zur Verfügung, was alle brauchen. Die Installationszeit beschränkt sich dadurch auf maximal drei Tage. Baltimore berücksichtigt damit die Bedenken vieler Anwender, die der PKI-Technologie vorwerfen, sie wäre zu schwierig, langwierig und kostspielig zu implementieren.
Ausgeliefert wird eine komplette PKI mit limitierenden Regeln. Das geht zwar auf Kosten der Flexibilität, deckt aber die meisten Normalfälle ab. Zusätzlich zur PK-Infrastruktur stellt Baltimore die kompletten Anwendungen zur Verfügung. Als Basiskomponente dient die Applied Solution Engine, die auf dem Unternehmensserver installiert wird und die das limitierte Regelwerk der Policy beinhaltet.
Die Beschränkungen können beispielsweise darin bestehen, dass das Document Handling nur mit PDF- und DOC-Dateien erfolgt, nicht hingegen mit Wordperfect-Files. Ebenfalls in der Suite enthalten sind die Module Document Signing, Form Signing, E-Mail, VPN, Web Access und Networks. Preis: ab 60.000 Euro.
Microsoft
Eine "PKI light" kann man auch mit Windows 2000 realisieren. Die Server-Variante des Microsoft-Betriebssystems bietet im Standardlieferumfang bereits PKI-Komponenten an, die sich zum Aufbau einer unternehmensweiten PKI nutzen lassen.
Im Active Directory ist bereits eine PKI integriert. Sie empfängt und validiert Zertifikatsanfragen. Außerdem generiert, veröffentlicht und widerruft sie Zertifikate. Die dabei verwendeten CAs können sowohl von Windows 2000 selbst (etwa vom Encrypting File System EFS) als auch von externen Komponenten (Kunden, Geschäftspartner, Software von Drittherstellern) verwendet werden. Im Rahmen des PKI-Konzeptes gilt es dabei eine ganze Reihe von Aspekten zu regeln. Dazu zählen die hierarchische Struktur von CAs, deren Vertrauensstellungen zueinander, sowie den Einsatzzweck und die Verteilung von Zertifikaten an Benutzer und innerhalb des Systems.
Die neue Windows-Server-PKI wurde im Vergleich zum Vorgänger weiter verbessert. So können jetzt Computer- und Nutzerzertifikate automatisch ausgeliefert werden, was den Weg zum Helpdesk erspart. Außerdem überarbeitete Microsoft auch die Generierung und Archivierung der Schlüssel.
Fallstudien für PKI-Lösungen
Hauptanwender von PK-Strukturen sind derzeit vor allem Behörden, Institutionen und Großkonzerne. Mittelständische Unternehmen scheuen das Thema wegen der hohen Komplexität von PKI noch weitgehend. Die wenigen Unternehmen, die bereits eine PKI installiert haben, wollen oft aus verständlichen Gründen mit ihren Lösungsansätzen nicht an die Öffentlichkeit gehen. Ist eine Firma doch bereit, ihre PK-Struktur offen zu legen, spart sie die interessanten Details meist aus.
Trotz dieser Schwierigkeiten konnten wir einige interessante Studien aus unterschiedlichen Gebieten zusammenstellen. Anhand dieser Beispiele lässt sich zumindest im Ansatz erkennen, wie Unternehmen ihre PKI umsetzen, welche Zwecke sie damit verfolgen, auf welche Produkte und Lösungen sie setzen und schließlich: Was ihnen die PKI konkret bringt.
Steag/Continental: Digitalen Zertifikate im Unternehmen
Ende 2002 entschied sich der international operierende Kraftwerkskonzern Steag aus Essen für die TC TrustCenter AG als "Lieferant von Sicherheit" für das Unternehmensnetzwerk und die Unternehmenskommunikation.
Im dem Projekt wurde in der ersten Phase ein Drittel der über 3.300 Mitarbeiter der Steag AG mit digitalen Zertifikaten von TC TrustCenter zur Absicherung der in- und externen Kommunikation ausgestattet. Die Mitarbeiter des Konzerns versenden täglich sicherheitskritische Daten über das Internet. In der zweiten Ausbaustufe sollen Smartcard-basierte Zertifikate ausgegeben werden. Neben den bisherigen Funktionen wie Zeiterfassung oder Zugangskontrolle lassen sich dann zusätzliche Einsatzgebiete wie Virtual Private Network (VPN) erschließen.
In späteren Phasen sollen unterschiedliche Anwendungen an die Sicherheitsinfrastruktur angebunden werden: Systemanmeldung (Single Sign-On) und die Einbindung komplexer Applikationen wie Enterprise Resource Planning-Systeme (ERP-Systeme). Das soll Steag Investitionssicherheit garantieren; das Unternehmen kann eine Vielzahl von Anwendungen abbilden und um modulare Komponenten erweitern. Die Einsparpotenziale bei der Digitalisierung von Geschäftsprozessen schätzt man auf 20 und 40 Prozent.
Ebenfalls auf TC Trustcenter setzt der Reifenhersteller Continental AG . Mit dem Projekt ContiOnlineContact bietet das Unternehmen seit 1997 dem Reifenfachhandel ein Informations- und Transaktionssystem an, das neben vielseitigen Serviceangeboten Verfügbarkeitsanfragen und Online-Bestellungen ermöglicht. Entwicklung und Betrieb dieses Systems gewährleistet die ICA GmbH, ein Gemeinschaftsunternehmen von Continental und IBM Deutschland. Seit Juli 1999 steht ContiOnlineContact dem europäischen Reifenhandel auch als Webservice im Internet zur Verfügung. Zur Absicherung dieser e-Business-Anwendung kommen digitale Zertifikate von TC TrustCenter zum Einsatz.
Baden-Württemberg: Elektronische Landwirtschaft
Die Anwendung ELEKTRA (Elektronische Antragstellung) ermöglicht es den Landwirten in Baden-Württemberg, Prämienanträge für Tiere über das Internet zu stellen. Dazu zählen Mutterkuhprämie, Schlachtprämie sowie Sonderprämie für Rinder. Durch die elektronische Datenerfassung ergeben sich Einsparungen für die Landwirtschaftsverwaltung sowie eine bessere Datenqualität. ELEKTRA ist ein Gemeinschaftsprojekt der Datenzentrale Baden-Württemberg im Auftrag des zuständigen Ministeriums (MLR) und der Secude GmbH .
Da es sich bei den Prämienanträgen um hochsensitive Daten handelt, mit denen Auszahlungen von EU-Fördermitteln verbunden sind, wurde an die Sicherheitskonzeption für das Verfahren ELEKTRA höchste Ansprüche gestellt. Um den Antragsteller eindeutig zu identifizieren, müssen alle Landwirte, die am Verfahren teilnehmen wollen, eine Signaturkarte beantragen. Diese wird durch die Deutsche Post Signtrust mittels des PostIdent-Verfahrens identifiziert.
Erst nach Erhalt der Signaturkarte kann sich der Landwirt im Internet unter www.elektra.bwl.de zur Teilnahme am Verfahren anmelden. Nur wenn die Angaben auf seiner Karte und seine Unternehmens- ID mit den beim Ministerium gespeicherten Daten übereinstimmen, wird er Landwirt zum Verfahren zugelassen. Er kann dann Prämienanträge vom ELEKTRA-Server herunterladen.
Alle Daten werden signiert übertragen. Der Landwirt muss also jede Transaktion (Anforderung oder Abgabe von Prämienanträgen) elektronisch unterschreiben. Auch der Server unterzeichnet jeglichen verwendeten Code mittels "Codesigning-Zertifikaten", was eine eindeutige Zuordnung ermöglicht. Alle Daten, die vom Server an den Landwirt gehen (Prämienanträge, Fehlermeldungen, Quittungen, etc.) werden mittels eines IBM-Cryptoboards unterzeichnet.
Derzeit wird die Baden-Württemberg-Card (BW-Card) der Deutschen Post Signtrust zur elektronischen Signatur verwendet. Es beteht aber durchaus die Möglichkeit, auch andere Signaturkarten einzubinden, soweit sie den vorgegebenen Sicherheitsstandards entsprechen. Innerhalb des Verfahrens basieren alle Transaktionen auf dem Protokoll HTTP 1.1 und werden mit einem 128-Bit-Key SSL-verschlüsselt. Zur Erhöhung der Ausfallsicherheit stehen im Rechenzentrum des MLR zwei Server zur Verfügung, die einen lückenlosen Betrieb der Anwendung garantieren sollen.
Siemens: Personaldaten verschlüsselt übertragen
Die Siemens AG hat sich für die Einführung der Standardsoftware SAP R/3 HR entschieden. Sie dient zur Personalaministration und Abrechnung der 200.000 aktiven Siemens-Mitarbeitern und 135.000 Pensionäre. Zentrale Forderung bei der Einführung von SAP R/3 HR war der Aufbau einer Sicherheitsinfrastruktur, die den Anforderungen des Datenschutzes und der Informationssicherheit gerecht wird.
Als größte Schwachstelle des Systems sah man die ungesicherte Kommunikation auf Netzwerkebene an, über die potenzielle Angreifer Anmeldeinformationen und Passwörter ausspähen oder Daten mitlesen, manipulieren und weiterleiten konnten. Demgemäß kann kam nur die Verwendung von Softwareverschlüsselung in Frage. Die Wahl fiel auf Secude für R/3, ein von SAP zertifiziertes Produkt von Secude, das über eine Schnittstelle an SAP angebunden ist.
Die sichere Verbindung zwischen den SAP-Clients und den Applikationsservern wird über Secude aufgebaut. Bei der Anmeldung eines Clients an das SAP-System läuft im Hintergrund die so genannte Drei-Wege-Authentisierung an. Dabei authentisiert sich sowohl der Client dem Applikationsserver gegenüber als auch umgekehrt der Server dem Anwender gegenüber. Grundlage dafür bildet das PSE (Personal Security Environment), das die Gesamtheit des Schlüsselmaterials umfasst.
Bei der Benutzerauthentifikation mit Secude gegenüber einem R/3-Server erfolgt ein Austausch der digitalen Signatur. Dabei gibt der Nutzer einmalig vor Beginn der R/3-Sitzung die PIN ein, mit der er sich lokal gegenüber seinem PSE auf dem Firmenausweis authentisiert. Während der Drei-Wege-Authentisierung wird auf beiden Seiten eine Vertrauensbasis als Grundlage der Verschlüsselung etabliert.
Die generierten Schlüssel gelten exklusiv für eine Session und sind nur den beiden Partnern bekannt. Meldet sich der Anwender vom R/3-System ab, verwirft dieses die Schlüssel. Einer Schlüssellänge von 1024 Bit und die im Anschluss daran aktivierten Verschlüsselung der Datenübertragung mit 168 Bit bieten ein Höchstmass an Kommunikationssicherheit.
Justizbehörde: Biometrische Authentifikation
Im Rahmen des Projekts ROBIN wird zum weltweit ersten Mal biometrische Technik großflächig zur Absicherung von IT-Systemen in der öffentlichen Verwaltung eingesetzt. Kern des Projekts, das im November 2001 vom niederländischen Justizministerium in Auftrag gegeben wurde, ist die Bereitstellung einer sicheren IT-Umgebung für die "Richterlichen Organisationen" der Niederlande. Die PKI wurde mit Utimaco-Technologie umgesetzt.
Bislang herkömmlich abgewickelte Verwaltungsprozesse sollen künftig auf elektronischem Weg durchgeführt werden, ohne an Sicherheit einzubüßen. Um die Verbindlichkeit und Vertraulichkeit sämtlicher Vorgänge zu gewährleisten, bindet man Identifikation und Authentisierung, Ver- und Entschlüsselung sowie die digitale Signatur mit Hilfe biometrischer Verfahren an den einzelnen Nutzer.
Um ein dem Verwendungszweck angemessenes Sicherheitsniveau zu erreichen, kombiniert das Verfahren mehrerer Mechanismen. Dazu zählen:
starke Authentifikation mit biometrischen Verfahren,
Dateiverschlüsselung,
E-Mail-Sicherheit durch Verschlüsselung und digitale Signatur,
PKI
die eindeutige Koppelung der digitalen Identität (des Zertifikats) an die natürliche Person. Dazu dienen personengebundene Smartcards mit Fingerabdruckvergleich.
Als zentrales Sicherheits-Token kommt die persönliche Smartcard zum Einsatz. Sie speichert das Zertifikat des jeweiligen Nutzers, seine Passworte für sämtliche Netz-Ressourcen sowie seine Private Keys. Damit lässt sie sich zur Authentisierung an PCs, Servern und Host-Systemen, zur Verschlüsselung von Dateien und E-Mails sowie für digitale Signaturen verwenden. Die Sicherheitsinfrastruktur basiert auf einer PKI, welche die Registrierung der Nutzer, die Schlüsselerzeugung, die Ausgabe von Zertifikaten und Smartcards sowie die Bereitstellung von Verzeichnisdiensten und Sperrlisten organisiert.
Justizbehörde: Biometrische Authentifikation II
Möchte der Benutzer auf seinen Arbeitsplatzrechner zugreifen, dann fordert die Sicherheitssoftware ihn auf, seine Smartcard einzulegen und mit Hilfe seines Fingerabdrucks frei zu schalten. Nach erfolgreicher Aktivierung der Smartcard wird damit ein "Advanced Security Log-On" durchgeführt. Anschließend kann der Benutzer die ihm erlaubten Aktionen auf dem PC durchführen. Auch beim Aufruf authentisierungspflichtige Dienste auf einem Server wird zwischen der Security Software auf dem Server und der Smartcard eine kryptographische Authentisierung durchgeführt.
Zur Erzeugung der elektronischen Signatur unter einer E-Mail legt der Nutzer seine Smartcard ein und authentisiert sich per Fingerabdruck. Hat er sich bereits mit Smartcard und Fingerabdruck eingeloggt hat, kann er die gleiche Smartcard für die digitale Signatur und Verschlüsselung von E-Mails nutzen. Die dafür benötigten Schlüssel sind ebenfalls auf der Karte gespeichert.
Dateiverschlüsselung sorgt dafür, dass Mitarbeiter Dokumente über das Unternehmensnetz austauschen und im Netzwerk ablegen können, ohne dass diese von Unbefugten gelesen oder bearbeitet werden könnten. Die Benutzergruppen richtet der Administrator so ein, dass nur bestimmte User eine Zugangsberechtigung und damit einen Schlüssel für die sensiblen Dokumente besitzen.
Auch hier ist die Authentisierung mit Smartcard und Fingerabdruck der sicherste und einfachste Weg für die Benutzer. Um Zugriff auf die Daten zu bekommen, wird das Dateiverschlüsselungssystem auf dem PC durch den Fingerabdruck aktiviert. Dieses System verwendet den auf der Smartcard gespeicherten Schlüssel, um die Daten zu entschlüsseln. Für die befugten Nutzer läuft dieser Vorgang transparent, also ohne ihr Zutun ab. Für alle anderen bleiben die Daten mangels Schlüssel unlesbar. Die Daten werden in verschlüsselter Form vom Fileserver über das Netzwerk auf den Computer des Anwenders übertragen und erst dort entschlüsselt.
Das Projekt ROBIN verdeutlicht, dass Benutzerkomfort und Bequemlichkeit in Verbindung mit Sicherheitsfunktionen wichtige Erfolgsfaktoren für die Verwendung von Sicherheitsmechanismen sind. Biometriefähige Sicherheitsanwendungen und Smartcards sowie eine PKI-basierte Sicherheitsinfrastruktur bilden die Grundlage eines entsprechenden Konzepts.
Stadtverwaltung Karlsruhe: PKI-Implementation
Wie führt man konkret eine PKI-Struktur ein? Die Stadt Karlsruhe verfolgt das Ziel eine gesicherte elektronische Kommunikation für stadtinterne Zwecke zu schaffen. Sie stellt im Web ein umfangreicheres Dokument zur Verfügung, das die Arbeitsrichtlinien ihrer Zertifizierungsstelle beschreibt. Das Papier lässt sich durchaus auch für eigene Zwecke übertragen. Man findet es hier im Web.
Anlaufstellen für PKI und weiterführende Informationsquellen
Die folgende Tabelle listet die wichtigsten PKI-Anlaufstellen und weiterführende Informationsquellen im Internet auf.
Institution | Information | URL |
|---|---|---|
| ||
Behörden | ||
Bundesamt für Sicherheit in der Informationstechnologie (BSI) | Umfassende Infos mit Projekten, Fachbeiträgen, Veranstaltungen | |
Regulierungsbehörde für Telekommunikation und Post (RegTP) | Informiert über deutschen TK Markt | |
Verzeichnisdienst der RegTP | Verzeichnisdienst der Regulierungsbehörde für Telekommunikation und Post. Hier können Zertifikate online geprüft werden. | |
Projektbüro "Digitale Signatur" des Bundesamts für Sicherheit in der Informationstechnik (BSI) | Beratung und Unterstützung über die elektronische Hotline | |
Recht | ||
Signaturgesetz | Gesetz über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften | |
Bundesamt für Wirtschaft und Arbeit | Informations- und Kommunikationsdienstegesetze | |
PKI-Institutionen, -Vereine | ||
PKI-Forum | Zusammenschluss von Unternehmen, um PKI technisch und wirtschaftlich voranzubringen | |
Teletrust Deutschland | Verein zur Förderung der Vertrauenswürdigkeit von Informations- und Kommunikationstechnik | |
PKI Page | PKI-Infos und alle Links auf Cas in den wichtigste Ländern | |
Security-Server Uni Siegen | Technische Aspekte der PKI | |
Sicherheit im Internet | Ausführliche Security-Infos des Innen- und Wirtschaftsministeriums | |
Zertifizierungsstellen | ||
Telesec | Trustcenter der Deutschen Telekom | |
TC Trustcenter | Trustcenter Bundesverband Deutscher Banken | |
Signtrust | Trustcenter Deutsche Post (z.Z. nur eingeschränkt) | |
De-Coda | 100%ige Tochtergesellschaft des Deutschen Industrie- und Handelstages in Bonn | |
Deutsches Forschungsnetz | Die Policy Certification Authority (PCA) ist die Zertifizierungsinstanz für das Deutsche Forschungsnetz. Hier werden unterschiedliche Zertifikate angeboten. | |
Interoperabilität | ||
ISIS | Vereinheitlichte ISIS-MTT-Spezifikationen für Interoperabilität und Testsysteme | |
European Bridge CA | Gegenseitige Anerkennung von Zertifikaten im Firmen- und Bankenbereich |
Fazit
Der Markt bietet inzwischen eine breite Palette an PKI-Software und -Lösungen für jeden Bedarf. Es gilt, in der Fülle des Angebots auf das richtige Produkt und den richtigen Dienstleister zu setzen. Beratung ist hier unumgänglich.
Angesichts der Komplexität der PKI-Applikationen gehen derzeit einige Lösungsanbieter wie Utimaco oder Baltimore dazu über, abgespeckte PKI-Produkte auf den Markt zu bringen. Diese Light-Versionen gehen zwar mit funktionalem Verzicht und eingeschränkter Flexibilität einher. Sie bieten aber eine attraktive Alternative für kleinere und mittlere Unternehmen, die einen "weichen" PKI-Einstieg bevorzugen. Die Light-PKIs sind einfach handhabbar und kostengünstig, Consulting-Gebühren können entfallen oder zumindest minimiert werden.
Bislang existieren noch kaum Erfahrungsberichte für diese Produkte. Die vorliegenden, auf mittlere bis große Lösungen setzenden Fallstudien zeigen aber, dass sich mit der richtigen PKI-Anwendung die Sicherheit im Unternehmen entscheidend verbessern kann. Zudem können PKIs ein berächtliches Einsparungspotenzial bieten. (ala/jlu)