![[Foto: Convention Centre, Quelle: Deutsche Messe AG, Krebs, Hannover]](10-0-180.jpg)
Nicht den einen großen Mega-Trend
– aber viele interessante Einzelentwicklungen entdeckte KES
in diesem Jahr auf der CeBIT. Sie lösenlästige
Praxisprobleme oder eröffnen neue Möglichkeiten,
Sicherheit benutzerfreundlich und damit auch akzeptabel zu
realisieren.Obwohl die CeBIT dieses Jahr einen Tag länger gedauert hatte, kamen weniger Besucher: "Nur" 700 000 pilgerten zur IT-Mega-Messe – im Vorjahr waren es fast 850 000 gewesen. Auch die Ausstellerzahlen waren leicht rückläufig und von 8 093 auf 7 962 gesunken. Was solls? Trotz allem gab es – allein schon zum Thema Sicherheit – mehr zu sehen als ein Mensch in acht Tagen aufnehmen kann. Und trotz allem waren mehr Besucher in Hannover vor Ort als sich sonst irgendwo in der Welt auf einer Messe sehen lassen...
Der Branchenverband BITKOM unterstreicht das positive Stimmungsbild: Die CeBIT sei den Erwartungen der Aussteller gerecht geworden und habe sich wiederum als Impulsgeber erwiesen. Als ausschlaggebend für den Messeerfolg bewerteten die Mitgliedsunternehmen des BITKOM vor allem die Qualität der Kontakte an ihren Ständen. Zwar wurden insgesamt weniger Besucher verzeichnet, dafür kamen aber die "Richtigen": hochrangige Firmenvertreter, die Investitionsentscheidungen in den Unternehmen tätigen. Positive Erwartungen hätten die Aussteller an das Nachmessegeschäft, da "eine vorhandene Investitionsbereitschaft deutlich zu spüren ist".
Aussteller der IT-Sicherheitsbranche zeigten sich auch in Gesprächen mit der KES größtenteils sehr zufrieden mit dem Verlauf und Ergebnis der Messe. Kein Wunder: Informationssicherheit war Top-Thema und erwies sich – so die hannöversche Deutsche Messe AG in ihrer Bilanz – gleichzeitig als Markttreiber. Ebenfalls gefragt bleiben Mobilkommunikation und E-Government, beides Themen, die ihrerseits deutliche Sicherheitsaspekte aufweisen.
Erstmals hatte heuer die CeBIT auch wieder eine eigene Messehalle mit dem Emblem Sicherheit geschmückt: "IT Security und Card Technology" hatte Halle 17 im Herzen des Geländes bezogen und die frühere "Kartenhalle" 23 beerbt. Dennoch fand man viele Sicherheitsfirmen auch andernorts auf der Messe. Ein großer Anbieter hatte sogar in seiner Werbung kurzerhand die Halle 6 zur Sicherheitshalle deklariert, wo etliche Anti-Virus-, Authentifizierungs- und Firewall-Lösungen zu finden waren.
Einen "Security-Mega-Trend" suchte man dieses Jahr – zum Glück – vergebens. Im Mittelpunkt standen weniger einzelne Szenarien (wie Mobile Computing) oder spezielle Techniken (wie Biometrie oder PKI). Gezeigt wurden etliche Detailverbesserungen oder neue Implementierungen prinzipiell bekannter Lösungen und endlich konnte man sich einmal damit auseinandersetzen, wie nun alles konkret funktionieren soll und was es bringt, statt neuen Schlagwörtern ("Technologien") hinterherzulaufen. TeleTrusT hatte für die kurz zuvor stattgefundene RSA-Sicherheitskonferenz in den USA ein gleich lautendes Fazit gezogen: "Der Hype ist vorbei, jetzt beginnt die Arbeit." Die wichtigste Nachricht laute: Sicherheitstechnik müsse in die realen Anwendungen integriert werden, dort ihren Nutzen finden und sich auch auszahlen (oder neudeutsch: einen überschaubaren Return of Investment liefern, vgl. S. 58).
Der Wunsch nach Sicherheit manifestierte sich allerdings in
etlichen Zertifizierungen, die auf der CeBIT übergeben oder
zumindest deutlich beworben wurden – unter anderem:
Philips Semiconductors und Gemplus erhielten jeweils
ein Common Criteria (CC) Zertifikat nach EAL 5+ für einen
Smartcard-Controller P8WE6004V0D beziehungsweise die
Java-Chipkarte GemXplore Xpresso (![[externer Link]](../../../../images/link.gif)
www.gemplus.com). Das
Chipkartenterminal KAAN Professional von KOBIL
Systems hat mit einer Evaluierung nach ITSEC E2/hoch sein
zweites Label erhalten; das Gerät trägt schon länger
die Zulassung des Zentralen Kreditausschusses (ZKA) zum Zahlen mit
der Geldkarte im Internet ( www.kobil.de).
![[Foto: Dr. Magnus Harlander und Dr. Dirk Henze (v.l.n.r.)]](10-1.jpg)
Dieses Jahr gab es eine Reihe von Sicherheitsevaluierungen zu
sehen. BSI-Präsident Dr. Dirk Henze übergab auf der CeBIT
persönlich sowohl das allererste ITSEC E3/hoch-Zertifikat
für eine Firewall an GeNUA im Bild oben mit
GeNUA-Geschäftsführer Dr. Magnus Harlander) als auch ein
Zertifikat nach CC EAL5+ für einen Philips
Smartcard-Controller (im Bild unten mit Hans-Gerd Albertsen und
Steffen Steinmeier von Philips Semiconductors)
![[Foto: Hans-Gerd Albertsen, Steffen Steinmeier und Dr. Dirk Henze (v.l.n.r.)]](10-2.jpg)
Borderware setzen ihre
"Zertifizierungsstrategie" fort und präsentierten
stolz die zweite EAL4-Zertifizierung ihres Firewall Server
(V6.5), von Ende Januar – einer Vorversion war bereits
vor zwei Jahren dieselbe Sicherheitsstufe bestätigt worden.
Zusätzlich hatte das Produkt heuer höhere Anforderungen
an die Verwundbarkeitsanalyse erfüllt, die üblicherweise
für EAL5 gelten ( www.borderware.com). GeNUA haben
für GeNUGate 4.0 vom Bundesamt für Sicherheit in
der Informationstechnik (BSI) freudig das erste ITSEC
E3/hoch-Zertifikat für eine Firewall überhaupt
entgegengenommen ( www.genua.de). ITSEC E3/hoch entspricht
in etwa CC EAL4.
Gleich zwei Firewalls enthält der INAServer
(Intelligent Net Access Security Server), von amcorNET in
Zusammenarbeit mit D-Link entwickelt. Ein Netzwerkkabel im
Mini-Patch-Feld der Gerätefront ist die einzige Verbindung
zwischen zwei kompletten PC-Systemen im INAServer. Auf beiden
Rechnern läuft eine Fenris-Firewall (Basis: Suse Linux), auf
dem "DMZ"-System zusätzlich Serverdienste (SMTP,
DHCP, Proxy, VPN usw.). Die Ausbaustufe "professional"
enthält zusätzlich Viren-Scanner und FTP-Server, die
"premium"-Version ist Cluster- und
Loadbalancing-fähig. Die Administration erfolgt per
Webbrowser. Gedacht ist die Internet Appliance laut Anbieter vor
allem für kleine und mittlere Unternehmen mit bis zu 500
Anwendern ( www.amcornet.de).
Eine Sicherheits- und Management-Appliance fürs Wireless
LAN hat D-Link als Herzstück seiner Wireless Office
Suite vorgestellt. Das Wireless Secured Gateway DWG-1000
bindet die Wireless-Komponenten in das LAN ein und soll sie
gleichzeitig vor unautorisiertem Zugriff sichern. Um dem
mangelhaften WLAN-Sicherheitsprotokoll Wired Equivalent Privacy
(WEP) unter die Arme zu greifen, stellt das Gateway VPN-Funktionen
bereit. Die Benutzerverwaltung arbeitet rollenbasiert.
Überdies fungiert das DWG-1000 auch als Bandbreitenmanager und
kann über seine WLAN-Blockade-Funktion bestimmte
Netzwerksegmente mit sensitiven Daten komplett vom Funknetz
abschotten. Das System lässt sich im Master/Slave-Verfahren
replizieren und speichert zwei komplette
Konfigurationsdatensätze, um risikofreie Testläufe zu
ermöglichen ( www.dlink.de).
Eine hochsichere E-Mail-Verschlüsselungs-Appliance
führt Onaras seit April im Schweizer Markt ein. Der
Secure E-Mail Server SEPP klinkt sich als POP3/SMTP-Proxy in
den E-Mail-Verkehr ein, übernimmt die Ver- und
Entschlüsselung des gesamten Unternehmens entsprechend der
eingerichteten Policy und prüft zusätzlich eingehende
E-Mails und Attachments auf Viren. Für den Anwender und seinen
PC ist dieser Vorgang völlig unsichtbar – es muss
keinerlei Plug-in oder sonstige Software installiert werden. Sofern
die Mail-Clients beim Senden und Empfangen von E-Mails SSL
unterstützen, laufen auch im firmeninternen Netz die
Nachrichten nur verschlüsselt. Die gesamte Verwaltung
inklusive Public Key Infrastructure spielt sich auf dem SEPP ab;
der Administrator nutzt hierzu ein Web-Interface. Das Gerät
selbst ist stark gesichert: Als Betriebssystembasis dient OpenBSD.
Zwei interne Harddisks sind per RAID gespiegelt, alle Programmdaten
sowie Schlüssel chiffriert gespeichert. Hardwarebasierte
Schutzmechanismen verhindern laut Anbieter Manipulationen direkt am
Gerät. SEPP unterstützt OpenPGP und S/MIME –
externe Partner arbeiten mit ihrer jeweiligen Lösung ( www.onaras.ch).
Fünf Sicherheitsfunktionen stecken in Symantecs
Gateway Security Appliance: Firewall, Virenabwehr, Intrusion
Detection, Content Filtering und VPN. Alle Komponenten werden dabei
über die integrierte Rapto-Management-Konsole verwaltet
– auch remote. Eine gemeinsame Berichtsstruktur für alle
Funktionen soll zudem die Analyse der Protokolle erleichtern.
Hochverfügbarkeit und Lastausgleich sind optional
erhältlich; damit lassen sich dann bis zu acht Geräte in
einem Cluster einsetzen ( www.symantec.de). Doch die
Appliance-Welle rollt nicht nur im Großen...
Zunehmend geraten auch Außenstellen, Kleinbüros, heimische PCs und Notebooks von Mitarbeitern ins Blickfeld der Sicherheitsanbieter: Wer von einem (mehr oder weniger privaten) PC per VPN ins Firmennetz oder über Portallösungen auf wichtige Informationen zugreift, soll dabei keine Viren oder Angreifer quasi huckepack in das Unternehmen hineintragen. Symantec hat hierfür kleine "Plug & Protect"-Lösungen im Programm, die Firewall- und VPN-Funktion in einen DSL-Router packen – vor Ort mehr oder weniger nur "eingestöpselt", lassen sich die Geräte per Web-Interface auch fernwarten.
Check Point kombiniert für solche Szenarien
S-Box Appliances seiner Tochterfirma SofaWare als
SOHO-Firewall mit der eigenen VPN-1-Software. Auf den mobilen
Mitarbeiter zielt der neue VPN-1 SecureClient für
Windows-PDAs und Handheld-PCs ( www.checkpoint.com).
Seit Januar integriert Cisco Personal-Firewall-Software von Zone Labs in seine VPN-Clients, um zu verhindern, dass Mitarbeiter beim Remote-Zugriff das interne Netz kompromittieren. Mit Integrity gehen Zone Labs den umgekehrten Schritt vom einzelnen PC in Richtung Unternehmenslösung: Das System nutzt zwar dieselbe "True Vector"-Technik wie die Einzelplatzlösung Zone Alarm (Pro), verspricht aber eine policy-basierte zentrale Administration mit umfangreichen Managementfunktionen, um mit jedem PC alle "Endpunkte" im Unternehmensnetz gegen Hackeragriffe und Spionagesoftware zu stärken.
"Zentrale Administration" hieß es auf der Messe
auch bei Network Associates (NAI) neuer Version 7.5 der
McAfee Desktop Firewall. In der zentralen Managementkonsole
ePolicy Orchestrator (ePO) sollen zunehmend alle Fäden
zusammenlaufen: sowohl zur Verwaltung von verteilter
Sicherheitssoftware auf den PCs im Unternehmen als auch zur
Dokumentation der dort generierten Warnmeldungen. Auch McAfees
Threat Scan unterstützt den ePO: Das Tool soll
Schwachstellen aufspüren, die ansonsten –
möglicherweise in der Zukunft – durch Viren und
Würmer ausgenutzt werden könnten. Es handelt sich somit
quasi um eine "Lightversion" eines Vulnerability
Scanners, die aber auf die Virenabwehr zielt ( www.nai.com).
Trend Micro hat mit Gatelock X200 eine kompakte
"Desktop-Appliance" vorgestellt, die Heimanwendern und
kleinen Büros mit Breitbandanbindung Firewall, Viren-Scanner
und Intrusion Detection als etwa taschenbuchgroße Box ins
Haus bringen will. Nach einmaligem manuellen Download aktualisiert
sich das Gerät fortlaufend selbst ( www.trendmicro.de).
Ein problematisches Paar sind Verschlüsselung und zentraler
Viren-Check: Denn ein Viren-Scanner hat innerhalb des
Firewall-Systems ja keinen Zugriff auf den Inhalt chiffrierter
Mails und kann daher darin auch keine gefährlichen
Dateianhänge erkennen. Diesem Problem wollen cv
cryptovision und GROUP Technologies mit dem Verfahren
crypted mail virus scan (cmvs) den Kampf ansagen ( www.cryptovision.com / www.group-technologies.com).
Das Prinzip: Erreicht den Mailserver eine verschlüsselte Nachricht, so fragt dieser beim Empfänger an und bittet um eine Freigabe zur Entschlüsselung der Mail, damit er sie prüfen kann. Durch die besonderen technischen Umstände muss der Anwender dazu nicht die Hoheit über seinen geheimen Schlüssel aufgeben, sondern in jedem einzelnen Fall seine Freigabe erteilen. Je nach Policy kann bei einer Weigerung der Empfänger die ungeprüfte Botschaft "auf eigene Gefahr" erhalten oder die Zustellung verwehrt werden.
Der Hintergrund: E-Mails sind heutzutage üblicherweise in einem hybriden Verfahren chiffriert (sowohl bei OpenPGP als auch bei S/MIME), bei dem für jede Nachricht ein zufälliger (symmetrischer) Message-Key erzeugt und mit dem (asymmetrischen) Empfängerschlüssel chiffriert wird. Die eigentliche E-Mail ist mit diesem Message-Key verschlüsselt. Wüsste die Anti-Viren-Software diesen Nachrichtenschlüssel, so kann sie nur diese eine Nachricht dechiffrieren und anschließend auf Virenbefall überprüfen.
Den verschlüsselt übertragenen Message-Key kann nur der Empfänger mit seinem geheimen Schlüssel dechiffrieren, den er nicht weitergeben soll, um dessen unbeschränkten Ge- oder Missbrauch zu verhindern.
Der chiffrierte Message-Key lässt sich jedoch bei den heute üblichen Verfahren aus einer eingehenden verschlüsselten E-Mail extrahieren. Dieses Extrakt schickt der Anti-Viren-Server beim cmvs dem Empfänger. Nach Aufforderung kann dieser den Nachrichtenschlüssel dechiffrieren und in einem sicheren Kanal an den Server zurückgeben (das erledigt natürlich ganau genommen ein Client-Programm). So kann der Server die eingegangene E-Mail entschlüsseln und prüfen. Der entstandene Klartext wird anschließend wieder verworfen und – bei ungefährlichem Inhalt – die ursprüngliche verschlüsselte Mail zugestellt.
Auch für viele Fachbesucher überraschend hat die Schweizer Firma id Quantique den funktionsfähigen Prototypen eines Quantenkryptographie-Systems präsentiert, das für Pilotkunden bereits verfügbar sein soll. Genau genommen handelt es sich um zwei Komponenten: Einen Zufallszahlengenerator auf Quantenbasis und ein System zur sicheren Übertragung von Bitströmen per Glasfaser, das sich somit zum Schlüsselaustausch eignet. Der Clou dabei: Durch die Quantentechnik kann niemand diesen Bitstrom störungsfrei abhören. Sofern er störungsfrei ankommt, kann ihn niemand abgehört haben – das lässt sich beweisen. Wer einen derart störungsfrei übertragenen, echt zufälligen Bitstrom einmalig als Krypto-Schlüssel für eine ebenso lange Nachricht verwendet, nutzt damit eine mathematisch beweisbar sichere Verschlüsselung (One-Time-Pad). Ein paar Haken hat allerdings auch dieser Durchbruch: Der maximale Übertragungsweg liegt mit der jetzigen Glasfasertechnik prinzipbedingt selbst unter idealen Bedingungen bei etwa 70-100 Kilometern. Je länger die Distanz, desto weniger Durchsatz hat das Verfahren: Kann man über 2-5 Kilometer noch einige Kilo-Bit pro Sekunde nutzen, so bleiben bei der Maximalentfernung nur noch rund 50 Bit pro Sekunde.
Zudem sind die notwendigen Geräte vergleichsweise teuer: Für einen jetzigen Prototypen müsste ein Kunde rund 100 000 e für den Bitstromübertrager berappen, für weniger als 10 000 e würden vermutlich auch Seriengeräte nicht zu haben sein.
Realistischer sind da die Marktaussichten für den
quantenbasierten Zufallszahlengenerator, der im Moment rund
5 000 € kostet und mittelfristig womöglich für
1 000 € verfügbar sein könnte ( www.idquantique.com).
Beispielhaft für die zunehmende Einbindung der Biometrie:
Das neue Authentication Token iKey 3000 USB, das von
Rainbow Technologies und Giesecke & Devrient
gemeinsam entwickelt wurde, kombiniert in einem
weiterführenden "Supertoken-Konzept" die zwei
Authentifizierungs-Features Token-Besitz und PIN mit einer
gehobenen Fingerprint-Biometrieanwendung und zieht damit drei
Aspekte (Besitz, PIN und Biometrie) zur Authentifizierung heran.
Das im Gegensatz zu diesem Supertoken-Prototyp bereits marktreife
Authentication Token iKey 3000 USB dient vor allem dazu, Windows
2000 zu schützen und PKI-Anwendungen und andere
Hochsicherheits-Anwendungen zu unterstützen. ( www.rainbow.com und www.gieseckedevrient.com)
![[Foto: Prototyp des Rainbow USB-Supertoken mit Fingerabdrucksensor (Foto: KES)]](10-3.jpg)
Blick in die Zukunft: Supertoken von Rainbow und Giesecke &
Devrient
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/2, Seite 10
