Kryptokonzepte. BSI-Leitfaden und praktische Umsetzung. Frank Rustemeyer. Director System Security HiSolutions AG, Berlin

Größe: px

Ab Seite anzeigen:

Download "Kryptokonzepte. BSI-Leitfaden und praktische Umsetzung. Frank Rustemeyer. Director System Security HiSolutions AG, Berlin"

Renate Krause
vor 8 Jahren
Abrufe

1 Kryptokonzepte BSI-Leitfaden und praktische Umsetzung Frank Rustemeyer Director System Security HiSolutions AG, Berlin

2 Agenda Vorstellung Motivation Kryptokonzepte im Fokus des BSI Inhalte eines Kryptokonzepts Vorschläge für die Praxis We secure your business. (tm) 2010, HiSolutions AG Kryptokonzepte 2

3 Visitenkarte HiSolutions AG Gründung 1994 Beratungs- und Lösungshaus für (IT-) Governance, Risk & Compliance Kernthemen Mitarbeiter Firmensitz Kunden Awards Information Security Risk Consulting Business Continuity Management IT-Service Management Project Portfolio Management 60+ Berlin U.a. mehr als 50% der DAX-Unternehmen sowie 75% der deutschen TOP20-Banken, sowie diverse Behörden wie das BSI, BMI etc. Innovationspreis Berlin/Brandenburg Fast50 Germany 2004 & 2005 Fast500 Europe 2004 & 2005 We secure your business. (tm) 2010, HiSolutions AG Kryptokonzepte 3

Management 60+ Berlin U.a. mehr als 50% der DAX-Unternehmen sowie 75% der deutschen TOP20-Banken, sowie diverse Behörden wie das BSI, BMI etc.

4 Frank Rustemeyer Dipl.-Wirtschaftsinformatiker Bei HiSolutions verantwortlich für das Geschäftsfeld System Security Technische Sicherheitskonzepte, Audits und Penetrationstests, IT-Forensik Principal Consultant mit den Schwerpunkten Sicherheitsarchitekturen IT-Sicherheitskonzepte IT-Security-Management Public-Key-Infrastrukturen/qualifizierte elektronische Signatur We secure your business. (tm) 2010, HiSolutions AG Kryptokonzepte 4

Sicherheitskonzepte, Audits und Penetrationstests, IT-Forensik Principal Consultant mit den Schwerpunkten

5 Motivation Viele Sicherheitsfunktionen setzen auf Kryptographie Verschlüsselung Authentisierung Signatur Single-Sign-On Kryptographie ist komplex Sichere Kryptoalgorithmen sind Gegenstand der Forschung Kleine Implementierungsfehler führen zu großen Lücken auch wenn der Algorithmus selbst sicher ist Sicherheitsbetrachtungen von Anwendungen müssen kryptographische Funktionen und ihre Einsatzbedingungen mit betrachten Bündelung dieser Betrachtungen in einem eigenen Kryptokonzept als Bestandteil des Sicherheitskonzepts We secure your business. (tm) 2010, HiSolutions AG Kryptokonzepte 5

sicher ist Sicherheitsbetrachtungen von Anwendungen müssen kryptographische Funktionen und ihre Einsatzbedingungen mit betrachten Bündelung dieser

6 aber wir haben doch sichere Kryptoalgorithmen? PIN-Skimming bei Chipkarten möglich Sicherheitssystem der Playstation 3 ausgehebelt Cookies von ASP.NET-Servern knackbar Lücke in Datenverschlüsselung des iphones Tool knackt Office-Verschlüsselung binnen weniger Minuten Hacker liest Kryptoschlüssel aus TPM-Chip aus Auch UMTS-Verschlüsselung angeknackst Auch RSA-768 geknackt NIST-zertifizierte USB-Sticks mit HW-Verschlüsselung geknackt Verschlüsselungscode für DECT-Funktelefone geknackt Einschläge bei AES-256 kommen näher Verschlüsselung mit elliptischen Kurven angekratzt Attacken auf SHA-1 weiter vereinfacht Quelle: We secure your business. (tm) 2010, HiSolutions AG Kryptokonzepte 6

10 Auch UMTS-Verschlüsselung angeknackst 08.01.10 Auch RSA-768 geknackt 04.01.10 NIST-zertifizierte USB-Sticks mit HW-Verschlüsselung geknackt 30.12.

7 Controller Typisches Beispiel einer Krypto-Schwachstelle Krypto-USB-Stick SANDISK Cruzer Enterprise FIPS Edition AES-256, zertifiziert nach FIPS geknackt im Dezember 2009 PC USB-Stick Passwort abfragen verschlüsselten Datensatz lesen Datensatz mit Passwort entschlüsseln resultierenden Klartext zurückliefern Datenzugriff Freigabe AES-256- verschlüsselte Daten We secure your business. (tm) 2010, HiSolutions AG Kryptokonzepte 7

verschlüsselten Datensatz lesen Datensatz mit Passwort entschlüsseln resultierenden Klartext zurückliefern

8 Controller Typisches Beispiel einer Krypto-Schwachstelle Der zurückgelieferte Klartext ist unabhängig vom Passwort immer gleich. Durch eine Manipulation der Treibersoftware auf dem PC kann der Klartext abgefangen werden. Durch eine weitere Manipulation der Treibersoftware wird der nunmehr bekannte Klartext unabhängig vom eingegebenen Kennwort zurückgegeben. PC USB-Stick Passwort abfragen verschlüsselten Datensatz lesen Datensatz mit Passwort entschlüsseln resultierenden Klartext zurückliefern Datenzugriff Freigabe AES-256- verschlüsselte Daten We secure your business. (tm) 2010, HiSolutions AG Kryptokonzepte 8

Durch eine weitere Manipulation der Treibersoftware wird der nunmehr bekannte Klartext unabhängig vom eingegebenen Kennwort zurückgegeben.

9 Kryptokonzepte im Fokus des BSI 1999 Grundschutzbaustein Kryptokonzept in der Praxis selten angewendet 2007 Nationaler Plan zum Schutz der Informationsinfrastrukturen/ Umsetzungsplan Bund 2008 BSI-Leitfaden Erstellung von Kryptokonzepten 2009 Arbeitshilfe zur Kryptobedarfsanalyse, Musterkryptokonzept zum Leitfaden We secure your business. (tm) 2010, HiSolutions AG Kryptokonzepte 9

2009 Arbeitshilfe zur Kryptobedarfsanalyse, Musterkryptokonzept zum Leitfaden https://www.bsi.bund.

10 Kryptokonzept: Zielstellung Beantwortung zweier wesentlicher Fragen: Wie ist der Kryptobedarf in der Organisation? Welche Daten bedürfen der Verschlüsselung? Welche Daten müssen vor Veränderung geschützt werden? Welche Kommunikationsbeziehungen müssen gesichert werden? Welche kryptographischen Verfahren werden tatsächlich eingesetzt? Wer ist verantwortlich? Wie sehen die Einsatzbedingungen aus? We secure your business. (tm) 2010, HiSolutions AG Kryptokonzepte 10

Welche Kommunikationsbeziehungen müssen gesichert werden?

11 BSI-Leitfaden Erstellung von Kryptokonzepten Teil I: Kryptographische Grundbegriffe Teil II: Erstellung eines Kryptokonzepts Schutzbedarfsanalyse Sicherheitsbedarfsanalyse redundant zum Sicherheitskonzept? verfeinert in der Arbeitshilfe Technische Sicherheit Organisatorische Sicherheit Gliederung der Aspekte, die im Kryptokonzept beschrieben werden sollen. We secure your business. (tm) 2010, HiSolutions AG Kryptokonzepte 11

verfeinert in der Arbeitshilfe Technische Sicherheit Organisatorische Sicherheit Gliederung der Aspekte,

12 Zusammenspiel von Sicherheits- und Kryptokonzept Anforderungen an den Einsatz kryptographischer Produkte IT-Sicherheitskonzept Basis- Sicherheits- Check Ergänzende Risiko- Analyse Geheimschutz Geheim- Schutz- Konzept Umsetzung der Anforderungen Krypto- Konzept We secure your business. (tm) 2010, HiSolutions AG Kryptokonzepte 12

Ergänzende Risiko- Analyse Geheimschutz Geheim- Schutz- Konzept Umsetzung der

13 Kryptobedarfsanalyse Vertraulichkeits-/Integritätsanalyse Kryptobedarfs- Analyse Art der Daten Speicherorte/ Kommunikationsverbindungen Integrität Vertraulichkeit höchste VS- Einstufung Eingesetzte Produkte/ Verfahren Referenz Fileserver Personaldaten Normal Sehr hoch - Truecrypt RA Kap. X intern Interne Nachrichten Normal Hoch VS-nfD --- RA Kap. Y Auflistung aller relevanten Datenbestände Kommunikationsverbindungen Schutzbedarf gemäß Sicherheitskonzept VS-Einstufung Vorhandene kryptographische Lösungen Verweise (SiKo, Risiko- Analysen, VSA) We secure your business. (tm) 2010, HiSolutions AG Kryptokonzepte 13

X E-Mail intern Interne Nachrichten Normal Hoch VS-nfD --- RA Kap.

14 Kryptobedarf Prüfung aller Tabelleneinträge Ist eine kryptographische Lösung erforderlich? Wenn ja, ist eine geeignete kryptographische Lösung vorhanden? Identifikation des Delta aus Soll und Ist Kryptobedarf Gemäß Arbeitshilfe ist der Kryptobedarf an das BSI zu melden das gilt wohl nur für die Bundesbehörden Identifizierte Lücken können als Maßnahmen zurückfließen ins Sicherheitskonzept Hilfestellung bei der Bewertung geeigneter Verfahren BSI Technische Richtlinie Kryptographische Verfahren: Empfehlungen und Schlüssellängen We secure your business. (tm) 2010, HiSolutions AG Kryptokonzepte 14

Identifikation des Delta aus Soll und Ist Kryptobedarf Gemäß Arbeitshilfe ist der Kryptobedarf an das BSI zu melden das gilt wohl nur für die

15 Rahmenbedingungen des Kryptoeinsatzes Technische Sicherheit Kryptographische Software/Geräte Auswahlkriterien für Produkte Installation/Einrichtung Betrieb Sonstiges Schlüsselmanagement Schlüsselerzeugung Schlüsseltrennung Schlüsselverteilung Schlüsselspeicherung Schlüsselarchivierung Zugriffsregelung Schlüsselwechsel Schlüsselvernichtung Organisatorische Sicherheit Einsatzumgebung Standorte Einsatz und Bedienung Dokumentation Sicherheitspolitik und -regeln Hauptverantwortliche Kontrolle Informationsbeschaffung Protokollierung Qualifikation und Schulung IT-Qualifikation Personelle Maßnahmen Dokumentation Reaktion auf Verstöße Ausfall von Kryptogeräten Vorsätzliche Handlungen Evaluierung We secure your business. (tm) 2010, HiSolutions AG Kryptokonzepte 15

Einsatzumgebung Standorte Einsatz und Bedienung Dokumentation Sicherheitspolitik und -regeln Hauptverantwortliche Kontrolle Informationsbeschaffung Protokollierung Qualifikation und Schulung

16 Praktische Anwendung BSI-Muster Themenbereich A Produkt 1 Produkt 2 Produkt 3 Themenbereich B Produkt 1 Produkt 2 Produkt 3 Themenbereich C Produkt 1 Produkt 2 Produkt 3 Unser Template Produkt 1 Themenbereich A Themenbereich B Themenbereich C Produkt 2 Themenbereich A Themenbereich B Themenbereich C Produkt 3 Themenbereich A Themenbereich B Themenbereich C Vorteil: Zuordnung einzelner Kapitel zu Produktverantwortlichen We secure your business. (tm) 2010, HiSolutions AG Kryptokonzepte 16

Produkt 2 Themenbereich A Themenbereich B Themenbereich C Produkt 3 Themenbereich A Themenbereich B Themenbereich C

17 Kryptokonzept-Fragebogen We secure your business. (tm) 2010, HiSolutions AG Kryptokonzepte 17

18 Pflege Kryptokonzepte ändern sich: Neue Verfahren, Produkte und Lösungen Neue Angriffsmuster und -methoden gebrochene Algorithmen Veränderungen des Geschäfts Veränderungen des Schutzbedarfs Veränderungen der zugrundeliegenden IT Deswegen regelmäßig prüfen und aktualisieren! Kryptobedarfsanalyse überprüfen Fragebögen aktualisieren (lassen) prüfen und konsolidieren We secure your business. (tm) 2010, HiSolutions AG Kryptokonzepte 18

zugrundeliegenden IT Deswegen regelmäßig prüfen und aktualisieren!

19 Fazit Das Kryptokonzept bildet eine sinnvolle Ergänzung zum Sicherheitskonzept Hilfestellung durch BSI-Leitfaden und -Muster vorhanden In der Praxis nach Verantwortlichkeiten strukturieren und in Fragebögen abbilden Fortschreiben! We secure your business. (tm) 2010, HiSolutions AG Kryptokonzepte 19

In der Praxis nach Verantwortlichkeiten strukturieren und in Fragebögen

20 Kontakt Anschrift HiSolutions AG Bouchéstraße 12 D Berlin Fon: Fax: Information Security Timo Kob Mitglied des Vorstands Leiter Information Security Frank Rustemeyer Director System Security We secure your business. (tm) 2010, HiSolutions AG Kryptokonzepte 20

com Information Security Timo Kob Mitglied des Vorstands Leiter Information Security

Ähnliche Dokumente

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters IS-Revisorentreffen 2012 Ronny Frankenstein 1 Agenda 1 Kurze Vorstellung 2 Motivation 3 Vorgeschichte 4 Umsetzung 5 Ergebnisse 2 Vorstellung