Hardwarebasierende IT-Sicherheit: Der User stört nur

Das schwächste Glied in der Verteidigungsphalanx gegen die immer trickreicher und vielfältiger werdenden Cyber-Attacken ist der Mensch als Nutzer. Angreifer, die an dieser Schwäche ansetzen, haben beste Aussichten, an wertvolles Know-how und scheinbar gut gehütete Geheimnisse zu kommen. Die kurzen technischen Innovationszyklen und der hohe Spiel- und Unterhaltungswert der heutigen IT-Geräte – ganz besonders im mobilen Bereich – öffnen dem Nutzer alle Tore der Torheit. Dazu kommt, dass die traditionelle nutzer- und software-orientierte IT-Sicherheitsarchitektur den Weg in die totale IT-Unsicherheit ebnet.

Ein Paradigmenwechsel in der IT-Sicherheitsarchitekur ist deshalb zwingend: weg vom Nutzer und hin zu dem jeweiligen Gerät im Netz. Organisationen und Unternehmen in besonders sensiblen Bereichen – Verteidigung, Finanzen und hochkarätige Industrieforschung – überdenken deshalb zunehmend ihre IT-Architektur und streben in Richtung einer geräte-orientierten IT-Sicherheitsstrategie.

Auf der Trusted Computing Conference 2011 in Orlando/Florida, die von der US-amerikanischen National Security Agency (NSA) ausgerichtet wird, wurde deshalb nicht nur das hohe Lied einer hardwarebasierenden Abwehrstrategie gesungen, sondern es wurden im persönlichen Gespräch auch Beispiele für Umsetzungen im nicht-militärischen Bereich genannt. So setzen Firmen wie PriceWaterhouseCoopers, General Motors, BASF oder T-Systems und France Telekom sehr stark auf „embedded Security“. Darunter vrstehen sie geräte-integrierte Kryptochips und Technologien zur automatischen hardwaregesteuerten Verschlüsselung von Speichermedien, sogenannte Self-Encrypting Drives (SED).

Auch die Empfehlungen der Gartner-Analysten gehen in diese Richtung: „Die wirksamsten Verschlüsselungssysteme sind diejenigen, die der Nutzer gar nicht wahrnimmt und die wenig oder am besten gar keine Interaktion des Nutzers mit anderen Nutzern und den Systemadminstratoren erfordern“, erklärte kürzlich Eric Quellet den Besuchern des Gartner Security & Risk Management Summit in London.

IT-Sicherheit auf Basis offener Standards

Der Paradigmenwechsel zu Verschlüsselung und Geräteauthentifizierung auf Hardwarebasis erfordert in erster Linie ein organisatorisches Umdenken. Technologie und Industriestandards für eine in das jeweilige Gerät eingebettete Sicherheitslösung stehen mit den Trusted Platform Modules (TPM) schon längst zur Verfügung. In ungefähr 500 Millionen Business-PCs – von Dell über HP bis Lenovo – sind diese Kryptochips bereits eingebaut. Aber auch Switches von Juniper oder Cisco sind mit TPMs ausgestattet, ebenso einige Drucker und weitere Peripheriegräte.

De facto handelt es sich bei TPM um ein eingebautes Token, mit dem autorisierte Geräte zuverlässig erkannt werden können. Mit TPMs lassen sich Authentifizierungs-Schlüssel innerhalb eines Geräts erzeugen, signieren und speichern. Damit wird die Identität des jeweiligen Geräts zweifelsfrei und nicht manipulierbar definiert. TPMs basieren auf den offenen Industriestandards OPAL (für die Speicherung von Schlüsseln) und SED (Self-Encrypting Hard Drives) für den Verschlüsselungs-Algorithmus.

TPM und SED benötigen Management

Die Basistechnologie ist also vorhanden. Aber es wäre Augenwischerei zu behaupten, dass damit die Sache erfolgreich abgehakt werden kann. Eine Implementierung von TPM und SED erfordert nämlich eine zentrale Verwaltung der Verschlüsselungs- und Authentifizierungsmechanismen innerhalb einer eigenen Sicherheitsschicht. Selbstgestrickte, halbautomatische Lösungen sind hier kaum anzuraten. Sie bergen die Gefahr, dass das ganze Projekt „hardwarebasierte IT-Sicherheit“ desavouiert wird. Firmen wie BASF haben nach Aussage von Steven Sprague, CEO von Wave Systems, rund 80.000 Geräte mit SED-Technologie installiert, die natürlich sinnvoll verwaltet werden müssen.

Sprague redet zweifelslos in eigener Sache, ist er doch Chef eines Herstellers von TPM-Framework- und Managementlösungen. Die „Embassy“-Produktreihe von Wave Systems ist dafür ausgelegt, das Management von TPM-orientierten, hardwarebasierten Authentifizierungs- und Verschlüsselungslösungen trotz ihrer zweifelsohne vorhandenen Komplexität überschaubar zu machen.

Mit ähnlichem Angebot ist WinMagic im Markt unterwegs. Bei dem kanadischen Anbieter heißen die entsprechenden Produkte SecureDoc Enterprise Server und SecureDoc Full-Disk Encryption. Andere IT-Sicherheitsunternehmen werden sicher bald auch auf den Zug aufspringen.

Und wie immer wird Microsoft einige der Funktionen kostenlos in neue Windows-Versionen integrieren. So stellt das angekündigte Betriebssystem Windows 8 die TPM-Funktionen automatisch bereit und bietet neue Programmierschnittstellen zur Nutzung dieser Funktionen. Das ist ein Schritt in die richtige Richtung, kann aber sicher die Nutzung der umfassenden Funktionen der Produkte von Wave, WinMagic und ihrer Wettbewerber – von der Authentifizierung und Verschlüsslelung bis zu VPN und der Absicherunng der Vielzahl mobiler Devices – zumindest bis auf Weiteres kaum ersetzen.