Kryptokonzepte

Thomas Brandtstaetter von der Bürotex sy­nargos GmbH erläutert im ausführlichen Frage-Antwort-Interview angewandte Kryp­tografiestrategien für Finanz­institute.

Herr Brandstaetter, in welchen Bereichen sollten bei Finanzinstituten angewandte Kryptographielösungen zum Einsatz kommen?

Prinzipiell sind alle Bereiche betroffen, bei denen die Datenverarbeitung aufgrund von gesetzlichen Vorgaben mit Kryptographie geschützt werden muss:

•          Kartenbasierte Payment-Systeme (Debit- und Kreditkarten)
•          Anwendungen für digitale Signatur (Einführung QES und eIDAS z.B. für Dokumente, E-Mail)
•          SSL/TLS Tunnelverschlüsselung für Web-Services
•          Identity-Management inklusive Multifaktor-Authentisierung
•          Datenbankverschlüsselung
•          Plattformen zum sicheren Datenaustausch
•          SSH-Absicherung bei der Administration von Servern
•          uvm.

Dabei ist es zunächst egal, ob kryptographische Services über Software-Bibliotheken oder für höhere Anforderungen in speziell gekapselter Hardware (Stichwort: HSM, Hardware Sicherheitsmodule) realisiert werden.

Sobald man sich entscheidet, Kryptographie einzusetzen, um geforderte Schutzziele zu erreichen, wird Kryptographie im Sinne der Eingangsfrage angewandt. In diesem Moment der Entscheidung grenzt man sich auch zur laufenden Forschung im Bereich der Kryptographie ab, denn während Kryptologen ständig nach möglichen Schwächen, Verbesserungen und  neuen kryptographischen Verfahren forschen, muss man fortan mit den getroffenen Entscheidungen leben.

Die Wahl kryptographischer Algorithmen, darauf aufbauender Protokolle und benötigter Schlüssellängen führt letztendlich zur Fixierung von technischen Systemen und organisatorischen Prozessen, deren Erweiterbarkeit in bestimmten Einsatzszenarien, z.B. durch vorgeschriebene Gutachten oder Zertifizierungen, nur noch sehr eingeschränkt möglich sein wird.

In diesem Sinne setzen gerade Finanzinstitute schon sehr lange (< 1970) kryptographische Lösungen ein und wissen um die Auswirkungen sog. Legacy Effekte.   

      „Wenn z.B. bei der Workflowautomatisierung vorsintflutartige und ungeschützte E-Mailsysteme oder Datenübertragungssysteme eingebunden werden, können hoch automatisierte Geschäftsprozesse durch nicht bekannte Schwachstellen und fehlende Überwachung von Anomalien in Online-Transaktionssystemen schlagartig zu Fall gebracht werden.“

Thomas Brandtstaetter

Am Beispiel des internationalen kartenbasierten Zahlungsverkehrs kann man das sehr gut beobachten. Der EMV Standard V4.3 Book 2 spezifiziert bereits seit 2011 die Vorgaben zum Einsatz von AES als symmetrischen Verschlüsselungsalgorithmus, der den TDES Algorithmus zukünftig ablösen soll. Eine systemweite Migration von TDES nach AES auf internationaler Ebene wird jedoch nicht zu einem Stichtag möglich sein und kann sich zeitlich durchaus über 1 bis 2 Jahrzehnte ausdehnen.


Anwendungsmerkmale für Kryptografiekonzepte

  • IT-Sicherheit umfasst mehr als Netzwerksicherheit (Firewalls).
  • Kryptographie umfasst mehr als PKI und Blockchain (CryptoCoins).
  • Auch PKI ist von Legacy betroffen: siehe Post-Quantum Cryptography (PQC) Projekt des NIST
  • Die Kryptographie hat schleichend Einzug in alle IT-Bereiche erhalten. Eine zentrale Koordinierung ist daher aufwändig aber unerlässlich.
  • Bereits vor dem Einsatz der Kryptographie bestehende Unzulänglichkeiten (fehlender PDCA Zyklus) in organisatorischen Abläufen (ungenügendes IT-Sicherheits- und Risiko-MGMT-Systeme) werden daher mit der Einführung oft nur verlagert.
  • Beispiele:
    • Wildwuchs an verwaisten SSH Schlüsseln in Rechenzentren mit großen Serverfarmen,
    • nicht zentral koordinierte Generierung von Schlüsselpaaren und Beschaffung von Zertifikaten
    • Beweismittelkette Private Key ? – hat die GL eine Kopie des Private Key im Zugriff um im Schadensfall die Verwendung belegen zu können ?

Wie beurteilen Sie die momentane Bedrohungslage?

Hier spielt sicher die Evolution des Internets, die Freiheitsgrade durch Open Source Software und die Öffnung der IT-Systeme für den Zugriff über das Internet eine wichtige Rolle und damit verbunden, besonders seit Snowden, eine Zunahme entdeckter, aber auch noch unentdeckter, Schwachstellen in unterschiedlichen Software und Hardware Komponenten.

Die Vielfalt, Raffinesse und Komplexität bestehender Cyberangriffe hat deutlich zugenommen.

Siehe hierzu CVE Statistics: https://nvd.nist.gov/vuln/search/statistics?form_type=Basic&results_type=statistics&search_type=all

In dem Maße wie der Innovationsdruck der Digitalisierung auf technischer und organisatorischer Seite zunimmt, bekommt die Hoffnung auf Einsparungen durch Prozessautomatisierung (ITIL/ITSM: DevOps, Geschäftsprozesse: Digitalisierung der Kernkompetenzen) einen gewissen Gegenwind durch steigende Investitionskosten für effizientere Schutzmaßnahmen.

Wenn z.B. bei der Workflowautomatisierung vorsintflutartige und ungeschützte E-Mailsysteme oder Datenübertragungssysteme (Message Queuing) eingebunden werden, können hoch automatisierte Geschäftsprozesse durch nicht bekannte Schwachstellen und fehlende Überwachung von Anomalien in Online-Transaktionssystemen schlagartig zu Fall gebracht werden (Fall: DigiNotar Ende 2011 https://de.wikipedia.org/wiki/DigiNotar ).

Um der aktuellen und zukünftigen Bedrohungslage wirkungsvoll begegnen zu können, ist eine ganzheitliche Herangehensweise nötig:

  •          Etablierung unternehmensweiter Security Policies und die Kontrolle deren Einhaltung mittels geeigneter Managementsysteme (ISMS und Risk-Management)
  •        Reifliche Voranalyse bei Outsourcing / Off-Shoring Entscheidungen
  •         Durchführung regelmäßiger interner und externer Audits
  •          Einbindung eines SOC (Security Operations Center)
  •          Schulung von Mitarbeitern und Management
  •          Zeitnahe Updates von Schwachstellen
  •          Zentrale Koordination kryptographischer Verfahren und zentrale Verwaltung kryptographischer Schlüssel sowie zugehöriger Zertifikate

Paradoxerweise handelt es sich bei Ransomware, speziell Krypto-Trojanern, ja auch um angewandte Kryptographie, nur eben dass der Einsatz von unautorisierter Seite herrührt.

Thomas Brandtstaetter

Wie beraten und unterstützen Sie Ihre Kunden bei der Umsetzung der aktuellen Regularien für Finanzinstitute?

Wir unterstützen Kunden bei der Analyse und Erstellung von Sicherheits- und Kryptokonzepten, sowie bei der Beschaffung von IT-Sicherheitslösungen und begleiten deren Projekte über den gesamten Lebenszyklus (Planung, Integration, Go-Live, Rollout, Change,  Ausserbetriebnahme und Entsorgung).

Zur Vermeidung von Fehlinvestitionen muss besonders bei der fachlichen Analyse während der Konzeptionsphase auf gesetzliche Vorgaben und Regularien von BaFIN (KWG), PCI, DSGVO und den übergeordneten Verbänden der Finanzinstitute (z.B. Die Kreditwirtschaft) geachtet werden. Die daraus resultierenden Sicherheitsanforderungen bestimmen in Folge die  Test- und Abnahmebedingungen (Fit-Criteria), die bei der Qualitätssicherung der Gesamtlösung einen wesentlichen Einfluss auf die erfolgreiche Abnahme haben werden.

Darüber hinaus arbeitet Synargos mit strategischen Partnern zusammen, deren Sicherheitslösungen, je nach Eignung, in Kundenprojekten zum Einsatz kommen können.

Zum Beispiel wird bei der Auswahl von HSM Herstellern darauf geachtet, dass eine flexible Erweiterung von Algorithmen und Schlüsselformaten möglich ist. Reicht der serienmäßige Funktionsumfang einer HSM Firmware nicht aus, kann Synargos kundenspezifische HSM Firmware Erweiterungen realisieren. Dazu wurde Synargos von führenden HSM Herstellern explizit qualifiziert.

Was bringt der OpenOTP Authentication Server mit?

Der OpenOTP/WebADM Authentication Server von RCDevs dient zur  Erweiterung eines bestehenden IT-Verbunds um einen zentralen Multifaktor Authentisierungsserver. Hierdurch werden bekannte Passwort-Risiken bei der Benutzeranmeldung effizient verhindert.

Die Anbindung an unterschiedliche Benutzer Verzeichnisse (u.a. MS AD, diverse LDAP Server) wird standardmäßig unterstützt.

Die Authentifizierungsverfahren für die Benutzer können flexibel über Client-Policies zugeordnet werden und unterstützen Standards wie: OATH V2, FIDO U2F, Push-Notification (über Softtoken APPs für iOS und Android).

Für eine schnelle Evaluierung steht ein Download als VMWare Appliance zur Verfügung. Der Betrieb bis 40 Benutzer ist kostenlos. Mit dem Erwerb der Enterprise Lizenz (ab 50 User) wird auch der Betrieb als HA-Cluster (2 Server) möglich.

Nebst umfangreichen Integrationsmöglichkeiten in Citrix, MS RDP, ADFS, PAM,  WebServices und SAML/OpenID unterstützt OpenOTP auch die Verwaltung von SSH Schlüsseln.

Hierzu steht die Erweiterung SpanKey zur Verfügung. SpanKey ist ein zentralisierter SSH-Schlüsselserver für OpenSSH, bei dem die öffentlichen Schlüssel in Ihrem zentralen LDAP-Verzeichnis (z.B. Active Directory) gespeichert werden. Mit SpanKey müssen die öffentlichen Schlüssel auf den Servern nicht manuell verteilt oder bzgl. ihrer Gültigkeit gepflegt werden. Stattdessen wird der SpanKey-Agent auf den Servern eingesetzt und ist für die Bereitstellung der öffentlichen Schlüssel der Benutzer auf Anforderung verantwortlich.

Der SpanKey-Server bietet eine Zugriffssteuerung pro Host mit „Server-Tagging“, LDAP-Zugriffsgruppen, zentralisierter Verwaltung von der RCDevs WebADM-Konsole aus, gemeinsam genutzte Konten, privilegierte Benutzer (Master-Schlüssel), Wiederherstellungsschlüssel.

SpanKey unterstützt den Ablauf der öffentlichen Schlüssel mit automatisierten Workflows für die SSH-Schlüsselerneuerung (über Self-Services).

Ausblick: Welche Gefahren bringen die neuen KI-Technologien für die Cyber Security mit sich?

In den kommenden Jahren werden die heutigen IT-Systeme zunehmend mit neuen Schlüsseltechnologien wie IoT, 5G, KI und Quantencomputing konfrontiert, die zur Erweiterung oder gar Ablösung bestehender IT-Sicherheits- und Kryptokonzepte, sowie eingesetzter Anwendungssysteme und deren IT-Sicherheitslösungen führen können.

Im Bereich Cyberkriminalität werden KI-Technologien zur Entwicklung intelligenterer Schadsoftware angewendet, um polymorphe Viren zu erstellen, bei denen sich während der Laufzeit sowohl Code als auch Angriffsverhalten dynamisch verändern können. Bisherige Sicherheitsmaßnahmen sind in diesem Fall nicht mehr wirksam. Als Gegenmaßnahme werden KI-Technologien zur Prävention und Verteidigung auch an der Front der Security Operation Center eingesetzt.

Weitere Informationen unter:
www.buerotex.de

Aufmacherbild / Quelle / Lizenz
Bild von TheDigitalWay auf Pixabay

1 Antwort

Kommentare sind deaktiviert.