Die Nutzung von Internet-Diensten für die Kommunikation kann auch innerhalb eines Unternehmens die Produktivität enorm steigern. Speziell in heterogenen Rechnerumgebungen ist die Interoperabilität durch den Einsatz nicht proprietärer Protokolle gesichert, auch und gerade über die Grenzen von Firmen und Organisationen hinweg.
Jedoch birgt die freizügige Internet-Nutzung auch sehr viele Risiken für die Vertraulichkeit und Integrität sensitiver Daten. Die Herausforderung wächst mit den Ansprüchen, wie z.B. Mobilität der Mitarbeiter bei gleichzeitigem Zugriff auf interne Dienste des Unternehmens, sicherer Dokumentenaustausch zwischen Geschäftspartnern.
Meine Beratungsleistungen im Sicherheitsbereich umfassen vor allem, neben den konventionellen Sicherheitsvorkehrungen beim Internet-Zugang wie z.B. Firewalls, die zwei Kernkompetenzfelder angewandte Verschlüsselung und Verzeichnisdienste. Eine Aufstellung der bisher durchgeführten Projekte kann im Profil eingesehen werden.
Verzeichnisdienste wie z.B. X.500 oder der Nachfolgestandard LDAP sind
Datenbankdienste konzipiert zur schnellen Suche von Personendaten oder
Lokalisation von Ressourcen.
Dabei ist sowohl das Zugangsprotokoll als auch die Semantik der Attribute
von Verzeichniseinträgen meist standardisiert, so daß sich
Verzeichnisdienste vor allem in heterogenen Systemumgebungen dazu eignen,
für verschiedenste Anwendungen einen einheitlichen Datenbestand zur
Verfügung zu stellen.
Immer noch werden in vielen Unternehmen umständlich Telefonlisten o.ä. in Papierform oder speziellen Datenformaten verbreitet. Sowohl die Erzeugung/Aktualisierung als auch das Nachschlagen ist zeitaufwendig, fehleranfällig und teuer.
Unterstützung zentralisierter Adressbücher über das LDAP-Protokoll ist heute integraler Bestandteil vieler E-Mail-Clients und PIM-Software. Die Produktivität läßt sich somit extrem einfach steigern.
Die Pflege von Benutzerzugängen auf verschiedenen Rechnersystemen ist inzwischen eine zeitaufwendige und damit teure Angelegenheit für Administratoren geworden. Außerdem steigt die Anzahl der benötigten Kennwörter, so daß die Benutzer meist nur ein Kennwort für alle benötigten Dienste benutzen, um die Flut zu merkender Kennwörter einzudämmen.
Eine mögliche Lösung ist, nur noch auf ein bestimmtes System zu setzen, was meist aber eine nicht akzeptable Einschränkung der Funktionalität mit sich bringt und zur Abhängigkeit von einem Hersteller führt.
Wesentlich vielversprechender und zukunftssicherer ist, die proprietäre Benutzerverwaltung verschiedener Systeme durch Benutzereinträge in Verzeichnisdiensten zu ersetzen oder zumindestens die administrativen Prozesse mithilfe zentraler Datenbestände zu automatisieren.
Oftmals bringen Messaging- oder Netzwerk-Systeme bereits
Verzeichnisdienste als integralen Bestandteil ihrer eigenen
Benutzerverwaltung mit.
So bietet z.B. Lotus Notes / Domino bereits den LDAP-Zugang zum Adressbuch,
wie auch Microsoft Exchange. Die Benutzerverwaltung in Novell NDS
und Windows 2000 ist ebenfalls über das LDAP-Protokoll zugänglich.
Durch die Bestandsaufnahme ihrer bestehenden IT-Infrastruktur, können u.U. brachliegende Potentiale für die unternehmensweite Informationsverteilung kostengünstig erschlossen werden.
Verzeichnisdienste werden auch dazu benutzt, um in einer PKI die öffentlichen Schlüssel zu verteilen. Bei geeigneter Konzeption und entsprechendem Know-How ist das Ermitteln einer E-Mail-Adresse nebst Laden des passenden Schlüsselzertifikats von einem zentral gepflegten Verzeichnis genauso leicht, wie das Bedienen des lokalen Adressbuchs einer E-Mail-Software.
Verschlüsselungstechnologien sind eine wirksame Möglichkeit, Sicherheitsprobleme heutiger Anwendungen effektiv in den Griff zu bekommen. Nichtsdestotrotz ist der Einsatz von Verschlüsselungstechnologie nicht immer einfach, wenn man einen wirklichen Sicherheitsvorteil erreichen will. Sehr viel konzeptionelle Vorarbeit, sehr gute Kenntnisse der relevanten Standards und Wissen über die Interoperabilität verschiedener Systeme sind vonnöten, um derartige Projekte zu einem Erfolg werden zu lassen.
Den meisten Verschlüsselungssystemen liegt eine sog. Public-Key Infrastruktur zugrunde, welche die Authentizität der verwendeten Schlüssel sicherstellt. Meist bietet sich eine X.509-basierte PKI an, die als Basisinfrastruktur für die Sicherung von E-Mail, Server-Zugriff und digitaler Signatur dient.
Die Beratung umfasst dabei
Derzeit gibt es bereits weit verbreitete Standards zum Verschlüsseln und Signieren von E-Mails: PGP und S/MIME.
Der offene Standard S/MIME ist meist schon in der bereits verwendeten E-Mail Software implementiert:
Eine umfassende Beratung bzgl. der benötigten Infrastruktur (PKI) und Integration der angewandten Software hilft, brachliegende Sicherheitsmechanismen kostengünstig nutzbar zu machen, um sensitive Geschäftskommunikation wirksam zu schützen.
Stand der Technik bei der Zugangskontrolle zu Server-Diensten sind derzeit meist nur Kennwörter oder Einmalkennwörter. Erstere haben sehr viele hinlänglich bekannte Nachteile. Letztere bieten zwar einen gewissen Schutz, sind aber für den Benutzer sehr unhandlich.
Eine Lösung für dieses Problems ist die starke Authentikation in einem VPN oder beim Server-Zugriff über SSL ebenfalls unter Verwendung von X.509-Schlüsselzertifikaten. Der Benutzer wird beim Verbindungsaufbau des verschlüsselten Server-Zugriffs anhand des Zertifikates erkannt.
Digitale Signaturen kann man nicht nur benutzen, um ein Verfälschen von E-Mails zu verhindern, sondern auch in der Dokumentenablage, der verbindlichen Dateneingabe, dem Austausch verbindlicher Absprachen.