Hardware plus Software: Verschlüsselung über Hardware-Sicherheitsmodule als zusätzlicher Sicherheitsfaktor

„51 Milliarden Euro Schaden durch Datendiebstahl und Wirtschaftsspionage“ – mit dieser alarmierenden Zahl „schockte“ der IT-Branchenverband Bitkom Mitte April 2015 die Öffentlichkeit. Im Rahmen einer repräsentativen Umfrage unter Geschäftsführern und Sicherheitsverantwortlichen in deutschen Unternehmen hatte der Verband herausgefunden, dass 51 Prozent aller Unternehmen in Deutschland „in den vergangenen zwei Jahren Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden“ sei.

Häufigstes Angriffsziel waren laut Bitkom die IT-Systeme und die Kommunikationsinfrastruktur der Unternehmen. Ein Drittel (34 Prozent) der attackierten Unternehmen nennen diesen Bereich. „IT-Systeme und Datennetze sind das Einfallstor für digitale Spionage- und Sabotageakte“, erklärte BITKOM-Präsident Prof. Dieter Kempf bei Vorstellung der Studie in Berlin.

Und deshalb rät der BITKOM allen Unternehmen, mehr für den Schutz ihrer materiellen und immateriellen Werte zu tun.

Verschlüsselung von sensiblen Daten und Dokumenten als wirkungsvolle Schutzmaßnahme

Beim Austausch sensibler Daten und Dokumente im Unternehmen, aber auch über Unternehmensgrenzen hinaus mit Kunden, Geschäftspartnern oder Behörden haben sich kryptographische Verfahren, bei dem die Daten vor dem Versand vom Versender verschlüsselt und nach dem Erhalt vom Empfänger wieder entschlüsselt werden, als generell wirkungsvolle Schutzmaßnahme erwiesen.
Unternehmen verwenden dabei heute in der Regel zwei unterschiedliche Formen der Verschlüsselung an.

Bei der symmetrischen Verschlüsselung, bei der für die Ver- und Entschlüsselung der gleiche Schlüssel verwendet wird, besteht allerdings das Problem, dass Sender und Empfänger den Schlüssel untereinander austauschen müssen. Wird dieser Austausch von einem Dritten abgefangen, kann dieser die Verschlüsselung „knacken“. Sicherer ist da schon die asymmetrische Verschlüsselung, bei der ein Schlüsselpaar („public key“/“private key“) verwendet wird. Eine Entschlüsselung ist nur möglich, wenn der „private key“ bekannt ist, der „public key“ kann deshalb auch in „andere Hände“ gelangen.

Doch auch asymmetrische Verschlüsselungsverfahren haben ihre Nachteile wie einen höheren Rechenaufwand beim Erstellen der Schlüsselpaare, ein erhöhter Aufwand bei mehreren Empfängern und die so genannten „Man-in-the-Middle“-Attacken, bei denen ein Eindringling seinen eigenen Public Key als den des eigentlichen Empfängers vortäuscht und die Nachricht anschließend mit seinem eigenen Private Key entschlüsselt. Danach verschlüsselt er die Nachricht mit dem eigentlichen Public Key des eigentlichen Empfängers und schickt sie weiter. Die Kommunikations¬partner merken womöglich gar nicht, dass ihre Kommunikation gelesen wurde.

Schwachstelle Schlüssel

Fakt ist: Unabhängig von der Verschlüsselungsmethode stellen die Schlüssel eine Schwachstelle dar. Geraten sie in falsche Hände, droht Gefahr. Aus diesem Grund muss von Unternehmensseite alles dafür getan werden, dass beim Erstellen und dem Aufbewahren der Schlüssel ein Maximum an Sicherheit gewährleistet ist. Eine Möglichkeit, sich dabei von moderner Technik helfen zu lassen, ist der Einsatz so genannter Hardware-Sicherheitsmodule (HSMs.) Dabei handelt es sich um eigenständige Hardware-Komponenten, die speziell für den Schutz von Verschlüsselungs-Keys über deren kompletten Lebenszyklus entwickelt wurden. Das bedeutet, Hardware-Sicherheitsmodule generieren, verwalten, verarbeiten und speichern kryptografische Keys in einem hochsicheren, manipulationssicherem internen (Plug-In-Karte) oder externen (Token, Appliance) Endgerät.

Hardware-Sicherheitsmodule verfügen dabei über Zufallsgeneratoren zum Generieren der Schlüssel sowie über Signier- und Verschlüsselungsalgorithmen. In HSM-Modulen können unterschiedliche Krypto-Algorithmen für die symmetrische Verschlüsselung und die asymmetrische Verschlüsselung implementiert sein.

Neben der Sicherung der Schlüssel erkennen HSM-Lösungen in der Regel Attacken mit dem Ziel, kryptographische Schlüssel zu stehlen, und löschen bei solchen Attacken den betroffenen Schlüssel automatisch.

Einsatzbereiche für HSM-Lösungen

Heute werden HSM-Lösungen in der Regel im Online-Banking, beim Erstellen von Ausweisdokumenten mit Chiptechnologie (Kreditkarten, Personalausweis, etc.), im E-Commerce-Bereich (E-Tickets) sowie bei der Absicherung von E-Mail-Verkehr (S/MIME-Standard/PGP) in sensiblen Unternehmensbereichen (Forschung & Entwicklung, Mergers & Acquisitions, etc.) eingesetzt.

Auch in den Bereichen Collaboration und Dokumentenverwaltung ist der Einsatz von HSM-Lösungen möglich. Immer mehr Unternehmen setzen in diesen Bereichen auf webbasierte Online-Plattformen und virtuelle Datenräume. Diese sollten bei der Anbieterauswahl deshalb unbedingt darauf achten, ob ein entsprechender HSM-Support geboten wird. Einzelne Anbieter wie zum Beispiel die Firma oodrive haben auf die besonderen Sicherheit-Herausforderungen in vielen Unternehmen reagiert und bieten die Möglichkeit an, Hardware-Sicherheitsmodule zum Sichern von Krypto-Schlüsseln einzusetzen.

Fazit: Wenn für Sie als IT-Verantwortlicher ein hohes Maß an Datenschutz und Datensicherheit von Bedeutung ist, sollten Sie sich unbedingt über den Einsatz von Hardware-Sicherheitsmodulen informieren und bei der Auswahl von Collaboration- und Dokumentenmanagement-Lösungen darauf achten, dass diese HSM unterstützen.