PKI sichert E-Mail

Netzwerksicherheit

Elektronische Zertifikate eignen sich hervorragend, um die Identität von IT-Komponenten innerhalb eines IP-Netzes zu überprüfen. Sie treten an die Stelle herkömmlicher Mittel für die Authentifizierung wie das Passwort, das "One-Time-Token" und die Transaktionsnummer. Dabei können Zertifikate kein lokales User-Management ersetzen, selbst wenn sie Hinweise zur Rechtevergabe enthalten. Mithilfe von Zertifikaten können aber Firmen ihr Benutzermanagement verbessern. Mit einer systemübergreifenden Nutzerklassifizierung zum Beispiel legen sie den Grundstein für ein Single-Sign-on-System, bei dem sich jeder Mitarbeiter nur einmal anmelden muss, um seine Ressourcen im Netz zu nutzen.

In einem PKI-geschützten Netz sind alle aktiven Komponenten wie Router, Switches, Bridges und Clients mit Zertifikaten ausgestattet, die die IP-Adresse des Netzknotens mit einem Schlüsselpaar verknüpfen. Bei Bedarf kann der Empfänger von Daten jedes einzelne IP-Paket mit einer digitalen Signatur auf seine Quelle hin überprüfen. Klassische Angriffsmethoden wie "Man-in-the-Middle" oder "Session-Hijacking" sind dadurch ausgeschlossen.

Als Standard für die durch Zertifikate gesicherte Kommunikation hat sich "IP-Security" (IPSec) etabliert. Wie "Secure Sockets Layer" (SSL) regelt das Protokoll die Authentifizierung einzelner Netzwerkkomponenten anhand ihrer digitalen Signatur. Außerdem erlaubt es den Kommunikationspartnern, ihre Daten zu kodieren. Weil IPSec im Gateway-gestützten Betrieb interne IP-Pakete inklusive ihrer Adresse chiffriert und durch dedizierte Tunnel von Router zu Router leitet, verbirgt die Technik die interne Netzwerkstruktur gegenüber dem Internet. Gleichzeitig ersetzt IPSec ein NAT-Gateway (Network Address Translation), das private IP-Adressen eines Unternehmensnetzes auf externe Adressen abbildet, um ein korrektes Routing zu ermöglichen. Mit IPSec übertragen Firmen ihre Daten vertraulich und vor Manipulationen geschützt über private und öffentliche Leitungen.

Firmen mit einer großen Anzahl aktiver Netzwerkkomponenten sollten die Registrierung und die Zertifikatsverteilung so gut wie möglich automatisieren. Dazu müssen sie eine interne PKI aufbauen. Weil eine automatische Registrierung das Risiko eines Missbrauchs birgt, sollten Unternehmen zwei Zertifizierungsstellen einrichten - eine für die Mitarbeiter und eine für Geräte.