Hardwarebasierende Sicherheitslösungen: Windows 8 weist den Weg

Als im Frühjahr 2011 die Meldung von dem erfolgreichen Hackerangriff auf das Zweifaktor-Authentifizierungssystem SecurID von RSA bekannt wurde, war endgültig klar, dass auch dieses System, bisher als Bollwerk der IT-Sicherheit angesehen, seine Schwächen hat. Mittlerweile gibt es Vermutungen, dass der Angriff eine enorme zerstörerische Breitenwirkung gehabt hat und dass die Sicherheitssysteme vieler weltweit tätiger Unternehmen in der einen oder anderen Form davon betroffen waren.

Wie ernst der Angriff und seine Folgen einzuschätzen sind, zeigte nicht zuletzt die ausführliche Stellungnahme von RSA-Chef Tom Heiser auf der Sicherheitskonferenz RSA Europe im Herbst in London. Heiser erklärte, dass der Angriff in koordinierter Form von zwei Hackergruppen ausgeführt worden ist. Natürlich schwor er Stein und Bein, dass RSA alles im Griff habe.

Freilich gibt es auch Stimmen, die nicht völlig ausschließen wollen, dass sich die Hacker bei dem Angriff auch Zugang auf die sogenannte „seed record database“ von RSA verschaffen konnten und somit in den innersten Sicherheitsring der RSA-SecurID-Token-Architektur eindrangen. Letzteres sind im Moment wohl nicht beweisbare Vermutungen. Sie deuten aber drauf hin, wie anfällig auch starke Systeme wie SecurID gegenüber ausgeklügelten Angriffen sein könnten.

Trend zu „Embedded Security“

Systeme wie SecurID sind trotz der eingesetzten Hardware-Token eben doch letztlich software- und nutzerbasiert. Es verwundert deshalb nicht, dass immer mehr Unternehmen und Behörden, die streng vertrauliche Daten schützen müssen, für einen Paradigmenwechsel hin zu ausschließlich hardwarebasierenden Sicherheitslösungen plädieren oder diesen schon vollzogen haben.

Mit dem Kryptochip TPM und selbstverschlüsselnden Festplatten auf der Basis des Industriestandards OPAL der Trusted Computing Group sind Lösungen realisierbar, bei denen sich jedes Gerät eindeutig ausweisen kann. Geräte, die sich nicht durch ihren TPM-Chip ausweisen können, werden schlicht von vornherein von jeder Kommunikation ausgeschlossen.

Ein Paradigmenwechsel in Richtung „Embedded Security“ ist überfällig, aber nicht zum Nulltarif zu haben. Die Gründe liegen in den organisatorischen Umstellungen und in dem erforderlichen Schlüsselmanagement. Unternehmen wie Wave Systems oder WinMagic bieten hier zwar durchaus ausgereifte Lösungen, für die aber erst einmal investiert werden muss. Die Investitionskosten kommen freilich sehr schnell zurück, weil die Gesamtkosten für das Betreiben solcher hardwarebasierender Systeme aufgrund der großen Zeitersparnis bei der Inbetriebnahme und Pflege meist nur ein Drittel des Betrags ausmachen, der für softwarebasierende Lösungen anfällt.

Gleitender Übergang zu TPM

Für Christian Schmidt, Information Security Operations Manager bei Vega Deutschland, war der Einsatz einer selbstverschlüsselnden Festplattenlösung zusammen mit der Embassy-Managementlösung von Wave Systems sowohl von der Kosten- als auch von der Sicherheitsseite ohne Alternative. Bei einer softwarebasierenden Verschlüsselungslösung rechnete Schmidt mit Kosten für jeden einzelnen Laptop von circa 1500 Euro.

Außerdem war er hinsichtlich der Sicherheit nicht davon überzeugt, dass die Software für die Festplattenverschlüsselung „anfänglich oder dauerhaft mit dem proprietären Code von Vega verträglich“ ist. Vega ist IT-Dienstleister für die Luft- und Raumfahrtindustrie. Das Unternehmen hat daher sicherheitstechnisch besonders harte Anforderungen. Gerade deshalb kann es aber als Vorreiter in Sachen Embedded Security für das Gros der anderen Unternehmen dienen.

Glücklicherweise muss der Übergang zu einer Device-orientierten, gehärteten IT-Sicherheitslösung nicht auf einen Schlag erfolgen. Mit den genannten Managementtools lassen sich nämlich gemischte Umgebungen, in der herkömmliche, softwarebasierende IT-Sicherheitslösungen, Bitlocker-Lösungen von Microsoft und selbstverschlüsselnde Festplatten nebeneinander bestehen, gemeinsam verwalten. Auf diese Weise können für den Umstieg die normalen Erneuerungszyklen für Hard- und Software in den Unternehmen genutzt werden.

Neuer Schub durch Windows 8

Die gleiche Vorgehensweise wie bei selbstverschlüsselnden Platten ist auch bei TPM möglich. Da mittlerweile der TPM-Chip auf praktisch allen Business-PCs und Business-Notebooks sowie demnächst auch auf Mobilgeräten vorhanden ist, ist ein erster und praktisch kostenloser Schritt die vorsorgliche Aktivierung dieses Kryptochips für das Schlüsselmanagement bei der Erstinstallation des Rechners.

In einem weiteren Schritt ließe sich dann TPM für die Ausgabe von Zertifikaten für VPN-Verbindungen nutzen oder man könnte durch die Härtung der VPN- und Funkverbindungen auch die Integrität der Bootsektoren sicherstellen. Zusätzlich unterstützt wird ein gleitender Übergang in eine hardwarebasierende IT-Sicherheit durch Windows 8, in dem TPM-Funktionen automatisch bereitgestellt werden und vor allem auch neue Programmierschnittstellen zur Nutzung dieser Funktionen enthalten sind.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago