Suchen

Data-In-Flight-Verschlüsselung

Glasfaser-Kabel hacken – Abhörsicherheit ist eine Illusion

Seite: 3/3

Firma zum Thema

Tipps zur Wahl der Verschlüsselungslösung

Bei der Wahl der richtigen Verschlüsselung-Lösung müssen fünf wichtige Punkte beachtet werden:

1. Allen voran müssen Unternehmen, die international tätig sind, eine Vielzahl von Rechtsvorschriften bezüglich der Datensicherheit beachten. Die gewählte Lösung mit daher mit allen gesetzlichen Vorgaben in den verschiedenen Ländern konform sein, wo das Unternehmen agiert.

2. Im Interesse eines hohen Sicherheitsstandards sollten ein anerkannter Verschlüsselungs-Algorithmus (z.B. AES 256) und ein anerkanntes Schlüsselmanagement (z.B. IKE) eingesetzt werden. Wichtig sind ebenfalls die Erneuerung der Schlüssel in rascher Abfolge – je schneller desto sicherer – also mindestens < 10 Minuten. Erste Wahl bei Verschlüsselungssystemen sollten zertifizierte Lösungen sein, hier gibt das international anerkannte NIST (National Institute of Standards and Technology) entsprechende Empfehlungen.

3. Bei den Verschlüsselungslösungen sollte darauf geachtet werden, dass diese Protokoll-unabhängig und -transparent sind, um eine Reihe verschiedener Transporttypen zu unterstützen (beispielsweise 10-Gigabit Ethernet LAN/WAN). Schließlich sind Firmennetze sehr dynamisch: Während sich stetig neue Dienste entwickeln, werden vorhandene Dienste konsolidiert oder nach und nach durch neue Übertragungsprotokolle ersetzt.

4. Bei der Wahl nach der richtigen Lösung muss auch die Latenz betrachtet werden. Latenzempfindliche Netzwerkprotokolle oder Anwendungen fordern Verschlüsselungslösungen mit Latenzzeiten von wenigen Mikrosekunden. Eine optische Lösung bei der die Verschlüsselung in Hardware auf einem unteren Layer (OSI-Schichtenmodel Layer 0/1) ist hier deutlich im Vorteil.

5. Wenn es um den Schlüsselbesitz und das Key-Management geht, sollte in jedem Falle sichergestellt sein, dass der Anwender – unabhängig davon, ob die Verbindung von einem Service Provider oder unternehmensintern betrieben wird – die Kontrolle und Handhabung über diese besitzt.

In diesem Fall kann die IT-Sicherheitsabteilung bzw. der Krypto-Officer des Unternehmens bei Bedarf neue Schlüssel zuweisen und bleibt im Bilde über Sicherheitsalarme und -Berichte auf End-to-End-Basis. Das Netzwerk-Management-System hingegen sollte von der Verwaltung der Schlüssel getrennt sein.

Kauft man beispielsweise den verschlüsselten Dienst von einem Service Provider, verwaltet dieser die Verbindungen, ihre Bereitstellung, die Administration und die Störungsbehebung wie bei jedem anderen Dienst. Allerdings hat er keine Kontrolle über die Zuteilung der Schlüssel oder die Wartung. In Abstimmung mit den Unternehmensrichtlinien können neue Kodierungsschlüssel manuell oder automatisch, jeweils über sichere, verschlüsselte Kanäle, in die Verschlüsselungssysteme eingetragen werden.

Fazit

Im laufenden Jahr sind eine bedeutende Anzahl von Hacker-Angriffen auf rund 72 Unternehmen und Organisationen in 14 Länder (darunter Regierungsorganisationen in Kanada und den Vereinigten Staaten, Grossunternehmen und F&E Institutionen) erfolgt. Solche Attacken machen deutlich, dass selbst in derart gesicherten Organisationen häufig Sicherheitslücken bestehen, die Angreifer nutzen können.

Data-In-Flight Verschlüsselungen sollten ein integraler Bestandteil eines ganzheitlichen Sicherheitskonzepts sein. Unternehmen wurden zwar bisher primär im Bereich Server angegriffen, jedoch gilt es die drei Grundelemente – Serversicherheit, Data-At-Rest Verschlüsselung und Data-In-Flight Verschlüsselungen – optimiert und aufeinander abgestimmt zu etablieren.

Daniel Prokop ist Channel Director bei Ciena.

(ID:30456560)