Ganz­heitlich die elek­tro­nische Kom­mu­ni­kation abschirmen 

Vor Cyber­at­tacken mit einem Tech­no­lo­gie­konzept geschützt

Der Geschäfts­führer eines mit­tel­stän­di­schen Unter­nehmens ist zufrieden. In den letzten Jahren wurden viele Geschäfts­pro­zesse erfolg­reich digi­ta­li­siert. Die Rech­nungs­ver­ar­beitung ver­läuft mitt­ler­weile kom­plett elek­tro­nisch, der Ver­trieb hat auch von unterwegs Zugang zu wich­tigen Kun­den­daten, über einen eigenen Online-Shop ver­kauft das Unter­nehmen Standard-Pro­­dukte und in der Pro­duktion sind immer mehr Maschinen mit­ein­ander vernetzt.

Viel­fältige Ein­fallstore für Cyberkriminelle 

Doch in letzter Zeit häuften sich Cyber­an­griffe auf die digitale Infra­struktur des Unter­nehmens — und zwar auf allen Ebenen. Der Geschäfts­führer bat deshalb den IT-Leiter zu einem drin­genden Gespräch. Zusammen iden­ti­fi­zierten sie die Ein­fallstore für Daten­miss­brauch und Datendiebstahl:

• Ein­fallstor „Digitale Arbeitswelt“: Immer mehr Mit­ar­beiter nutzen ihren Laptop, um orts­un­ab­hängig, also nicht nur im Büro, auf Daten und Doku­mente zuzu­greifen. Dabei kam es zu einem unau­to­ri­sierten Zugriff auf das Unter­neh­mens­netzwerk. Cyber­kri­mi­nelle kamen so in den Besitz wich­tiger Doku­mente. Bei wei­teren Vor­fällen erhielten Kunden plötzlich per Mail gefälschte Rech­nungen, und das Con­trolling wurde mit einer fin­gierten Mail im Namen des Geschäfts­führers zu Zah­lungen auf ein unbe­kanntes Konto aufgefordert.
• Ein­fallstor „Internet-Kom­­mu­­ni­­kation“: Die Web­seite des Unter­nehmens enthält einen Part­ner­be­reich, in dem Pro­dukt­in­for­ma­tionen, Preis­listen und Mar­ke­ting­un­ter­lagen bereit­ge­stellt werden. Mit gefälschten Login-Infor­­ma­­tionen ver­schafften sich unbe­rech­tigte Per­sonen Zugriff auf den Part­ner­be­reich. Zudem ver­suchten Cyber­kri­mi­nelle über eine fin­gierte Web­seite, die dem Online-Shop täu­schend ähnlich sah, an Kre­dit­kar­ten­in­for­ma­tionen der Kunden zu kommen.
• Ein­fallstor „Pro­duktion“: Der Geschäfts­führer plant, die Pro­duktion des Unter­nehmens noch enger mit allen Zulie­ferern und Part­ner­un­ter­nehmen zu ver­zahnen. Dafür will er seine Maschinen, Anwen­dungen und Systeme nach außen öffnen. Diese Sys­tem­öffnung bietet Cyber­kri­mi­nellen neue Angriffs­flächen. Kommt es beim Aus­tausch von Daten und Infor­ma­tionen zu einer Störung oder gar zu einer Mani­pu­lation, kann das ver­hee­rende Kon­se­quenzen nach sich ziehen, die von einer gerin­geren Pro­dukt­qua­lität über Daten­ab­fluss bis hin zu Pro­duk­ti­ons­ein­bußen reichen können.

Die PKI – einfach erklärt 

Der Geschäfts­führer ist beun­ruhigt und ratlos zugleich. Wie lassen sich die defi­nierten Ein­fallstore wir­kungsvoll schließen? Der IT-Leiter prä­sen­tiert ihm ein in der Praxis erprobtes Konzept, das drei wesent­liche Funk­tionen enthält:

• Starke Authen­ti­fi­zierung: Per­sonen und Geräte können sich sicher gegenüber anderen Anwen­dungen, Pro­zessen und Sys­temen ausweisen.
• Ver­schlüs­selung: Die gesamte elek­tro­nische Kom­mu­ni­kation lässt sich sicher verschlüsseln.
• Elek­tro­nische Signatur: Elek­tro­nische Daten, Nach­richten und Doku­mente können elek­tro­nisch signiert werden. Damit lässt sich die Iden­tität des Absenders bestä­tigen, und die Infor­ma­tionen werden wir­kungsvoll vor nach­träg­lichen, unbe­rech­tigten Ver­än­de­rungen geschützt.

Das Konzept wird als PKI (Public Key Infra­structure) bezeichnet. PKI basiert auf einem kryp­to­gra­fi­schen Ver­fahren mit zwei Schlüsseln. Digitale Schlüssel sind zufällige Zei­chen­ketten, die zusammen mit einem Algo­rithmus Daten im Klartext in einen Geheimtext umwandeln können.

Zum Einsatz kommt ein Schlüs­selpaar, das sich gegen­seitig ergänzt: der öffent­liche Schlüssel (Public Key) für das Ver­schlüsseln der Infor­ma­tionen und der private Schlüssel (Private Key) für das Ent­schlüsseln. Beide stehen in einer bestimmten mathe­ma­ti­schen Abhän­gigkeit zuein­ander. Der öffent­liche Schlüssel ist frei zugänglich, während der private Schlüssel geheim und nur seinem Besitzer bekannt ist. Werden Daten mit einem öffent­lichen Schlüssel ver­schlüsselt, können sie nur mit dem dazu­ge­hö­rigen pri­vaten Schlüssel ent­schlüsselt werden.

Public-Key-Infra­­struk­­turen nutzen diese soge­nannte asym­me­trische Ver­schlüs­selung, um die Schlüs­sel­paare den jewei­ligen digi­talen Iden­ti­täten zuzu­ordnen. Dies erfolgt in Form von digi­talen Zer­ti­fi­katen, die den Kern einer PKI bilden. In der ana­logen Welt bestätigt ein Zer­ti­fikat die Echtheit einer Urkunde oder einer amt­lichen Beschei­nigung, in der digi­talen Welt weist ein Zer­ti­fikat auf die Echtheit einer Per­­sonen- oder Maschi­nen­iden­tität hin.

Digitale Zer­ti­fikate sind tech­nisch betrachtet ein elek­tro­ni­scher Datensatz, der die Iden­ti­täts­in­for­ma­tionen des Inhabers – zum Bei­spiel Name und E‑Mail-Adresse — und den öffent­lichen Schlüssel enthält. Die Kom­bi­nation aus öffent­lichem Schlüssel und Iden­tität ist durch einen Dritten beglaubigt. Dieser Vorgang kann unter­neh­mens­intern durch einen Zer­ti­fi­zie­rungs­be­auf­tragten pas­sieren, oder es geschieht extern durch eine ver­trau­ens­würdige Zer­ti­fi­zie­rungs­stelle, auch als „Cer­ti­ficate Aut­hority“ bekannt. Der private Schlüssel wird in einer besonders geschützten Umgebung auf­be­wahrt, zum Bei­spiel in einem Software-Token oder auf einer Smartcard.

Die Auf­gaben der PKI bestehen also darin, die Iden­ti­täten der Schlüs­sel­in­haber zu bestä­tigen, das Schlüs­selpaar zu gene­rieren und danach die Zer­ti­fikate zu erstellen, zu ver­teilen, zu ver­walten und bei Bedarf zu prüfen.

Ein­fallstor „Digitale Arbeitswelt“ geschlossen 

Der Geschäfts­führer ist über­zeugt und beauf­tragt seinen IT-Leiter, ein ganz­heit­liches PKI-Konzept im Unter­nehmen zu imple­men­tieren. Mit PKI-Tech­­no­­logien sind in dem mit­tel­stän­di­schen Unter­nehmen nun die drei Ein­fallstore für Cyber­an­griffe wir­kungsvoll geschlossen.

Für den Schutz der Büro-IT setzt das Unter­nehmen eine Smartcard mit Kryp­tochip ein. Diese fun­giert als Träger für die tech­ni­schen PKI-Kom­­po­­nenten. Auf der Smartcard befinden sich deshalb das Inhaber-Zer­­ti­­fikat mit öffent­lichem Schlüssel sowie, in einem spe­ziell gesi­cherten Bereich, der private Schlüssel. ·

So aus­ge­stattet, können die Mit­ar­beiter sicher nach­weisen, dass sie berechtigt sind, sen­sible Unter­neh­mens­be­reiche zu betreten oder von unterwegs auf das Unter­neh­mens­netzwerk zuzu­greifen. Das alles funk­tio­niert kon­taktlos über Ter­minals an den Türen oder am Com­puter über ein externes Lese­gerät, auf das die Smartcard einfach auf­gelegt wird.

Zusätzlich lassen sich mit der PKI-basierten Smartcard E‑Mails ver­schlüsselt ver­senden und emp­fangen. Der öffent­liche Schlüssel dient dabei zum Kodieren der Nach­richten, während der private Schlüssel des Emp­fängers für das Deko­dieren ein­ge­setzt wird. Umge­kehrt verhält es sich mit der digi­talen Signatur, welche die Mit­ar­beiter für besonders ver­trau­liche Doku­mente wie Ver­träge oder For­schungs­un­ter­lagen nutzen.

Tech­nisch ver­ein­facht aus­ge­drückt, wird von dem Dokument zunächst ein ein­ma­liger „digi­taler Fin­ger­ab­druck“ erzeugt. Dieser lässt sich dann mit dem pri­vaten Schlüssel kodieren und dem Dokument hin­zu­fügen. Das ist die Signatur.

Das digitale Zer­ti­fikat des Absenders inklusive öffent­licher Schlüssel ist dem Dokument eben­falls bei­gefügt. Jetzt lässt sich alles zusammen ver­schicken. Beim Emp­fänger ange­kommen, wird über den öffent­lichen Schlüssel des Zer­ti­fikats die Signatur ent­schlüsselt und unab­hängig davon auch der „digitale Fin­ger­ab­druck“ des Doku­ments berechnet. Stimmen beide Resultate überein, sind die Iden­tität des Absenders und die Echtheit des Doku­ments bestätigt.

Um Betrugs­fälle bei der Rech­nungs­ver­ar­beitung zu ver­hindern, ver­sieht das Con­trolling alle elek­tro­ni­schen Rech­nungen mit einem elek­tro­ni­schen Siegel. Das eSiegel über­führt den Unter­neh­mens­stempel ins digitale Zeit­alter und ist eine ideale Ergänzung zur elek­tro­ni­schen Unter­schrift. Während digitale Signa­turen sich auf ein­zelne Per­sonen beziehen, ist das elek­tro­nische Siegel auf eine Orga­ni­sation aus­ge­stellt. Ent­spre­chend besitzt das Siegel nicht ein Per­so­nen­zer­ti­fikat, sondern ein Orga­ni­sa­ti­ons­zer­ti­fikat. Der Rech­nungs­emp­fänger kann somit sicher sein, dass die Rechnung auch von dem mit­tel­stän­di­schen Unter­nehmen stammt und die Inhalte auf dem Trans­portweg nicht mani­pu­liert wurden.

Ein­fallstor „Internet-Kom­­mu­­ni­­kation“ geschlossen 

SSL/TLS-Zer­­ti­­fikate sichern die Web­seite des mit­tel­stän­di­schen Unter­nehmens vor Daten­miss­brauch und Daten­dieb­stahl ab. TLS steht für „Transport-Layer-Security“ und ist das aktuelle Pro­tokoll, mit dem sich die Internet-Kom­­mu­­ni­­kation ver­schlüsseln lässt. SSL (Secure-Sockets-Layer)“ ist die Vor­gän­ger­version, ist als Begriff aber bekannter und wird daher weiter ver­wendet. Instal­liert sind soge­nannte „erweitert vali­dierte Zer­ti­fikate (EV-Zer­­ti­­fikate)“, die im geschäft­lichen Umfeld erste Wahl sind. Dabei wird nicht nur die Domain, sondern auch die Iden­tität des Unter­nehmens von einer externen Zer­ti­fi­zie­rungs­stelle sorg­fältig geprüft, unter anderem durch die Vorlage des Han­dels­re­gis­ter­auszugs. Zusätzlich musste der IT-Leiter eine Voll­macht des Geschäfts­führers vor­legen. Damit konnte er nach­weisen, dass er bei dem Unter­nehmen auch ange­stellt ist und die Befugnis besitzt, ein EV-Zer­­ti­­fikat zu erwerben. Erkennbar sind EV-Zer­­ti­­fikate an dem grünen Unter­neh­mens­namen in der Adress­zeile des Browsers. Damit können Partner und Besucher sicher sein, dass es sich bei der besuchten Adresse auch tat­sächlich um die Web­seite des mit­tel­stän­di­schen Unter­nehmens handelt und nicht um eine gefälschte Version. Zudem findet der Daten­transfer zwi­schen dem Com­puter des Internet-Nutzers und der Unter­neh­mens­web­seite ver­schlüsselt statt.

Ein­fallstor „Pro­duktion“ geschlossen 

Zen­trale Pro­duk­ti­ons­an­lagen des mit­tel­stän­di­schen Unter­nehmens besitzen jetzt Maschi­nen­zer­ti­fikate. Sie werden für drei zen­trale Auf­gaben eingesetzt:

• erstens zum Nachweis der sicheren Maschi­nen­iden­tität, zum Bei­spiel wenn Infor­ma­tionen an andere externe Systeme und Pro­zesse oder in die Cloud über­tragen werden
• zweitens für das elek­tro­nische Signieren von Steu­er­be­fehlen und Log-Daten
• und drittens zum Ver­schlüsseln der Maschinenkommunikation

Das Zer­ti­fikat und die kryp­to­gra­fi­schen Schlüssel sind auf einem soge­nannten „Hardware Security Module (HSM)“ gesi­chert. Für ein hohes Schutz­niveau sorgen viele phy­sische Maß­nahmen, wie zum Bei­spiel Bohr­schutz­folien oder Tem­­pe­ratur- und Span­nungs­sen­soren, die sofort die geheimen Schlüssel löschen, wenn jemand ver­sucht, das Gehäuse aufzubrechen.

Fazit: Potenzial noch nicht ausgeschöpft 

Das fiktive Bei­spiel des mit­tel­stän­di­schen Unter­nehmens zeigt, wie umfang­reich die Anwen­dungs­mög­lich­keiten einer PKI sind. Und es zeigt auch, wie selbst­ver­ständlich wir heute auf den unter­schied­lichsten Ebenen bereits Sicher­heits­kon­zepte auf PKI-Basis nutzen.

Doch das Potenzial von PKI-Lösungen ist bei weitem noch nicht aus­ge­schöpft. So ist der Einsatz von Maschi­nen­zer­ti­fi­katen gerade bei mit­tel­stän­di­schen Unter­nehmen eher die Aus­nahme als die Regel. Und auch das Thema E‑Mail-Ver­­­schlüs­­selung ist in der Breite noch nicht angekommen.

Welche Her­aus­for­de­rungen gilt es noch zu meistern, um Public-Key-Infra­­struk­­turen noch stärker in der IT zu ver­ankern? Welchen Ein­fluss haben recht­liche Vor­gaben, wie die Daten­schutz­grund­ver­ordnung, auf den Einsatz von PKI-Lösungen aus? Können zen­trale Zukunfts­trends, wie das Internet der Dinge, von PKI-Kon­­­zepten pro­fi­tieren? Und hat die Public-Key-Infra­­struktur ange­sichts von Quan­ten­com­puter und Block­chain-Tech­­no­­logie über­haupt eine Zukunft?