Systeme und ihr Umfeld

Anwenderbericht

OpenPGP-PKI bei der GZS

Von Andreas Gundlack, Bad Vilbel

Die Gesellschaft für Zahlungssysteme (GZS) nutzt für die vertrauliche E-Mail-Kommunikation innerhalb ihres Microsoft-Exchange-Systems Krypto-Software der Glück & Kanja Technology AG, die sowohl OpenPGP als auch S/MIME unterstützt.

Die Gesellschaft für Zahlungssysteme (GZS) entwickelt Systeme für den bargeldlosen Zahlungsverkehr. Sie hat die Umstellung ihres Mailsystems gleichzeitig zur Einführung von Sicherheitskomponenten genutzt. Da die Kunden der GZS bei elektronischer Kommunikation und Dokumentenaustausch absolute Diskretion und Vertraulichkeit voraussetzen, war es unabdingbar, Verschlüsselung vorzusehen. Zudem hatte die Personalabteilung aus datenschutzrechtlichen Gründen eine vertrauliche Kommunikation gefordert, da beispielsweise Vertragsentwürfe und Gehaltsangaben künftig per E-Mail verschickt werden sollen.

Für die Sicherheitsanwendung war starke Kryptographie eine Grundvoraussetzung, andererseits sollte das System einen offenen und etablierten Standard verwenden, um keine Insellösung zu schaffen. Die Projektleitung achtete zudem streng auf die Skalierbarkeit des Systems, um bei internem Wachstum oder neuen Geschäftskunden die Applikation problemlos ausbauen zu können. Ferner waren eine nahtlose Integration in die bestehende Microsoft-Exchange-Umgebung sowie eine intuitiv nutzbare grafische Oberfläche ausschlaggebend für die Entscheidungsfindung.

Das Projektteam der GZS evaluierte die Produkte mehrerer Hersteller und unterzog sie rund zwei Monate lang Interoperabilitäts- und Usability Tests. Die Entscheidung fiel letztlich auf [externer Link] CryptoEx von Glück & Kanja. Die Sicherheitsanwendung erfüllte alle Kriterien und ist zudem eine der wenigen Lösungen, die beide verbreiteten Verschlüsselungsstandards OpenPGP und S/MIME unterstützt. Die GZS nutzt zurzeit vorrangig OpenPGP, hat durch die Lösung aber die Option, jederzeit problemlos auch mit S/MIME vertraulich kommunizieren zu können. Sollte ein Kunde S/MIME im Einsatz haben, kann das Unternehmen somit flexibel reagieren. Geplant ist ferner eine S/MIME-Certificate-Authority (CA) mit Smartcard-Unterstützung.

[Abbildung]
Schema der E-Mail-Transportwege

Die GZS hat mehrere Produkte der CryptoEx-Reihe im Einsatz: Zur Verschlüsselung und digitalen Unterschrift von E-Mails und Dateianhängen dient CryptoEx Outlook auf 1 200 Arbeitsplätzen. Das Plug-in für das Microsoft-Mailprogramm integriert sich nahtlos in die gewohnte Benutzeroberfläche, sodass Mitarbeiter ihre E-Mails mit nur einem Mausklick verschlüsseln und signieren können. Die Clients der GZS sind mit Outlook 98/2000 und XP ausgestattet und mit mehreren Exchange-Mailbox-Servern verbunden. Die Krypto-Software läuft problemlos auf den Betriebssystemen Windows NT/XP und wird automatisch auf allen Arbeitsplätzen der GZS installiert.

Zur Verwaltung der öffentlichen Schlüssel setzt das Unternehmen den CryptoEx Enterprise Keyserver ein, der im Backbone auf einer dedizierten Maschine läuft. Alle Zertifikate werden automatisch auf dem Keyserver zentral abgelegt. Da jeder Mitarbeiter hierauf zugreifen kann, ist ein manueller Austausch von öffentlichen Schlüsseln nicht notwendig. Die geheimen Schlüssel liegen jeweils im Kontext des Benutzers, werden aber zentral generiert. Der Aufwand hierfür ist minimal: Im Schnitt sind die Administratoren der GZS rund zwei Stunden pro Woche mit CA-Aufgaben beschäftigt. Die geheimen Schlüssel werden automatisch an die Mitarbeiter übertragen, die dazugehörigen Initialpasswörter auf verdecktem PIN-Papier ausgedruckt.

Aus Revisionsgründen muss die GZS in der Lage sein, im Notfall verschlüsselte Nachrichten dechiffrieren zu können. Die entsprechenden Schlüssel liegen daher speziell gesichert in einem Tresor. Um die Sicherheit zu erhöhen, wurde das Passwort für den Notfallzugang gesplittet: Mehrere Personen kennen jeweils nur einen Teil.

Um CryptoEx Outlook an die Bedürfnisse der GZS anzupassen, dienen so genannte Policies zur zentralen Administration. Damit lassen sich auch besondere Anforderungen einzelner Benutzergruppen problemlos realisieren. Unter Verwendung von Policies und NT-Gruppen gibt es zwei Kategorien von Benutzern mit unterschiedlichen Rechten innerhalb des Clients. Dadurch werden Grundeinstellungen zwar vom Administrator, individuelle Einstellungen jedoch am Client vorgenommen (z. B. für lokale Keystores öffentlicher Schlüssel, die ein Mitarbeiter häufig benutzt).

Zügige Abwicklung

Die GZS hatte sich für CryptoEx entschieden, obwohl das Produkt damals erst in der Beta-Phase war, wodurch sich der Projektverlauf anfangs etwas schwierig gestaltete. Letztlich wurden die Komplikationen aber schnell behoben, sodass die fertige PKI binnen einiger Monate in Betrieb gehen konnte. Nachdem die langwierigen Phasen der Konzeption und Anpassung abgeschlossen waren, benötigte das Team von Glück & Kanja lediglich fünf Tage für die Einrichtung der lauffähigen PKI. Das Rollout ließ sich innerhalb von zwei Wochen abschließen. Dabei trugen die gute Zusammenarbeit mit dem Anbieter und der Support seit Projektende erheblich zur Zufriedenheit der GKS bei.

Die GZS verschlüsselt ihre Kommunikation nun sowohl intern als auch extern. Die externe Nutzung umfasst den Versand monatlicher Reports (z. B. Kontoauszüge) und die "normale" Kommunikation schützenswerter Informationen mit Geschäftspartnern. Da durch die erhöhte Sicherheit Prozesse eingespart und vereinfacht wurden, haben sich die Kosten für die PKI bereits nach sieben Monaten amortisiert.

Strategisches Ziel der GZS ist es, vermehrt mit externen Partnern und Kunden verschlüsselt zu kommunizieren. Hierbei handelt es sich zu einem großen Teil um geschlossene Benutzergruppen wie Banken, mit denen das Unternehmen bereits Verträge geschlossen hat. Erleichtert wird der Ausbau durch die Möglichkeit der Weitergabe von CryptoEx-Evaluierungsversionen an Interessenten.

Andreas Gundlack ist Teamleiter Workflow- & Dokumenten-Management bei der GZS (Gesellschaft für Zahlungssysteme) in Bad Vilbel.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/6, Seite 32