3ureohph - IT-Dienstleistungszentrum Berlin
3ureohph - IT-Dienstleistungszentrum Berlin
3ureohph - IT-Dienstleistungszentrum Berlin
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Verschlüsselungskonzept<br />
VPN-Tunnel<br />
Ausgangssituation<br />
Beim Aufbau des MAN wurde<br />
davon ausgegangen, dassdie <strong>IT</strong>-<br />
Anwendungen auf dem MAN<br />
selbst für die Vertraulichkeit, Integrität<br />
und Authentizität ihrer Datenkommunikationen<br />
verantwortlich sind.<br />
Mit der Einführung des Projektes IPV<br />
wurde erstmals nach diesem Grundsatz<br />
verfahren, und dafür das Produkt<br />
SafeGuard VPN erfolgreich eingesetzt.<br />
Da dieses Produkt verfahrensunabhängig<br />
ist, entstand der Wunsch<br />
eines flächendeckenden Einsatzes. Nach<br />
einer von der Innenverwaltung veranlassten<br />
Bedarfsanalyse stellte sich heraus,<br />
dass die damit verbundenen Kosten vom<br />
Land <strong>Berlin</strong> nicht getragen werden können.<br />
Es musste deshalb ein anderes Vorgehen<br />
gewählt werden.<br />
Durch den <strong>IT</strong> KAB wurde der L<strong>IT</strong> mit<br />
Beschluß vom 28.3.01 beauftragt, ein<br />
neues Konzept für den weiteren Einsatz<br />
der Verschlüsselung auf Basis nachfolgender<br />
Prinzipien zu erstellen:<br />
• Der Einsatz der Verschlüsselung<br />
als eine Maßnahme zum Schutz<br />
der Vertraulichkeit der Daten<br />
bildet einen integralen Bestandteil<br />
der <strong>IT</strong>-Infrastruktur.<br />
• Entsprechend der in der <strong>IT</strong>-<br />
Sicherheitsrichtlinie festgelegten<br />
Verantwortung realisiert und finanziert<br />
* der zentrale InfrastrukturbetreiberVerschlüsselungsmaßnahmen<br />
zum Schutz der zentralen<br />
<strong>IT</strong>-Infrastruktur,<br />
* der jeweilige dezentrale<br />
Infrastrukturbetreiber entsprechende<br />
Sicherheitsmaßnahmen<br />
zum Schutz der Vertraulichkeit<br />
innerhalb der dezentralen <strong>IT</strong>-<br />
Infrastruktur.<br />
• Für die zentrale <strong>IT</strong>-Infrastruktur<br />
wird eine grundsätzliche Verschlüsselung<br />
aller übertragenen<br />
Daten in Form einer Leitungsverschlüsselung<br />
als sinnvoll und<br />
notwendig betrachtet.<br />
• Für die dezentrale Infrastruktur<br />
ist im Ergebnis einer durchgeführten<br />
Risikoanalyse durch den<br />
jeweiligen dezentralen Infrastrukturbetreiber<br />
zu entscheiden,<br />
mit welchen Maßnahmen ein angemessener<br />
Schutz der Vertraulichkeit<br />
übertragener Daten erreicht<br />
werden kann.<br />
Innerhalb eines Standortes kann<br />
dieser Schutz ggf. auch durch<br />
andere Maßnahmen (z. B. Schutz<br />
der Netzwerkkomponenten vor<br />
unbefugtem Zugriff) erreicht<br />
werden.<br />
Bei standortübergreifender Datenübertragung<br />
von sensiblen<br />
Daten sind grundsätzlich geeigneteVerschlüsselungsmechanismen<br />
vorzusehen (z. B.<br />
hardwarebasiert, Einsatz von<br />
SSL, IPSec usw.).<br />
Falls im Einzelfall bei <strong>IT</strong>-Verfahren<br />
mit besonders schutzbedürftigen<br />
Daten weitergehende<br />
Maßnahmen erforderlich sind,<br />
muss dies gesondert geprüft und<br />
umgesetzt werden.<br />
Mit dieser Vorgehensweise werden die<br />
vorhandenen örtlichen Sicherheitsbedingungen<br />
einbezogen, und im Bereich<br />
der zentralen <strong>IT</strong>-Infrastruktur können<br />
effektivere Lösungswege beschritten<br />
werden.<br />
Sachstand<br />
Die <strong>IT</strong>-Sicherheitsstandards des Landes<br />
<strong>Berlin</strong> verlangen die Verschlüsselung vertraulicher<br />
Daten mit Schlüssellängen ab<br />
128 Bit (nach TripleDES und IDEA).<br />
Sie fordern die Anwendung international<br />
standardisierter Verschlüsselungsverfahren.<br />
Um die Verschlüsselung plattformunabhängig<br />
einzusetzen, wird sie nicht<br />
auf einem zu schützenden Anwendungsserver<br />
installiert, sondern in Form eines<br />
Krypto-Gateways vor dem An-<br />
2/01 2 7<br />
wendungsserver bzw. vor dem zu sichernden<br />
Netz. Sender bzw. Empfänger<br />
verschlüsselter Informationen kann<br />
ein weiteres Krypto-Gateway oder ein<br />
normaler PC mit installierter<br />
Verschlüsselungssoftware sein. Auf einem<br />
Gateway oder PC kann nur ein<br />
Verschlüsselungsverfahren installiert<br />
sein, da sonst Probleme im IP-Stack<br />
auftreten.<br />
Krypto-Gateway realisiert IPSec<br />
und VPN<br />
IPSec ist ein Sicherheitsprotokoll, das<br />
die sichere Übertragung vertraulicher<br />
Information über ungeschützte Netzwerke<br />
ermöglicht. IPSec arbeitet auf der<br />
Netzwerkschicht (Layer 3). Es gewährleistet<br />
sowohl Verschlüsselung als auch<br />
Integrität und Authentifizierung von<br />
Daten. VPN (Virtual Private Network)<br />
beschreibt ein <strong>IT</strong>-System, in dem die<br />
Teilnehmer über öffentliche Netzwerke<br />
voneinander getrennt kommunizieren.<br />
In Verbindung mit IPSec können nur<br />
die Teilnehmer, die die zur Ver-/<br />
Entschlüsselung notwendigen Schlüssel<br />
besitzen, am Kommunikationsprozeß<br />
teilnehmen.<br />
Softwareverschlüsselung: Softwarerealisierungen<br />
werden in der Regel vom<br />
Betriebssystem des jeweiligen <strong>IT</strong>-Systems<br />
gesteuert.<br />
Hardwareverschlüsselung: Bei Hardwareverschlüsselung<br />
werden Programme<br />
und Daten permanent in der Hardware<br />
gespeichert. Die Speicherinhalte<br />
können nicht dynamisch verändert werden<br />
und sind während ihres Ablaufs<br />
nicht modifizierbar. Bei Hardwarelösungen<br />
wird das kryptographische<br />
Verfahren direkt in der Hardware realisiert,<br />
z. B. als separates Sicherheitsmodul<br />
oder als Einsteckkarte. Bei Hardwareverschlüsselung<br />
wird auch von<br />
Kryptoboxen gesprochen. è<br />
7