Beratung

Die Nutzung von Internet-Diensten für die Kommunikation kann auch innerhalb eines Unternehmens die Produktivität enorm steigern. Speziell in heterogenen Rechnerumgebungen ist die Interoperabilität durch den Einsatz nicht proprietärer Protokolle gesichert, auch und gerade über die Grenzen von Firmen und Organisationen hinweg.
Jedoch birgt die freizügige Internet-Nutzung auch sehr viele Risiken für die Vertraulichkeit und Integrität sensitiver Daten. Die Herausforderung wächst mit den Ansprüchen, wie z.B. Mobilität der Mitarbeiter bei gleichzeitigem Zugriff auf interne Dienste des Unternehmens, sicherer Dokumentenaustausch zwischen Geschäftspartnern.

Meine Beratungsleistungen im Sicherheitsbereich umfassen vor allem, neben den konventionellen Sicherheitsvorkehrungen beim Internet-Zugang wie z.B. Firewalls, die zwei Kernkompetenzfelder angewandte Verschlüsselung und Verzeichnisdienste.

Angewandte Verschlüsselung

Es besteht kein Zweifel darüber, daß Verschlüsselungstechnologien derzeit die einzige wirksame Möglichkeit darstellen, Sicherheitsprobleme heutiger Anwendungen effektiv in den Griff zu bekommen. Nichtsdestotrotz ist der Einsatz von Verschlüsselungstechnologie nicht immer einfach, wenn man einen wirklichen Sicherheitsvorteil erreichen will. Sehr viel konzeptionelle Vorarbeit, sehr gute Kenntnisse der relevanten Standards und Wissen über die Interoperabilität verschiedener Systeme sind vonnöten, um derartige Projekte zu einem Erfolg werden zu lassen.
Public-Key Infrastruktur (PKI)

Den meisten Verschlüsselungssystemen liegt eine sog. Public-Key Infrastruktur zugrunde, welche die Authentizität der verwendeten Schlüssel sicherstellt. Meist bietet sich eine X.509-basierte PKI an, die als Basisinfrastruktur für die Sicherung von E-Mail, Server-Zugriff und digitaler Signatur dient.

Die Beratung umfasst dabei

Sichere E-Mail mit PGP und S/MIME

Derzeit gibt es bereits weit verbreitete Standards zum Verschlüsseln und Signieren von E-Mails: PGP und S/MIME.

Der offene Standard S/MIME ist meist schon in der bereits verwendeten E-Mail Software implementiert:

Eine umfassende Beratung bzgl. der benötigten Infrastruktur (PKI) und Integration der angewandten Software hilft, brachliegende Sicherheitsmechanismen kostengünstig nutzbar zu machen, um sensitive Geschäftskommunikation wirksam zu schützen.

Starke Authentikation mit X.509-basierten Client-Zertifikaten

Stand der Technik bei der Zugangskontrolle zu Server-Diensten sind derzeit meist nur Kennwörter oder Einmalkennwörter. Erstere haben sehr viele hinlänglich bekannte Nachteile. Letztere bieten zwar einen gewissen Schutz, sind aber für den Benutzer sehr unhandlich.

Eine Lösung für dieses Problems ist die starke Authentikation in einem VPN oder beim Server-Zugriff über SSL ebenfalls unter Verwendung von X.509-Schlüsselzertifikaten. Der Benutzer wird beim Verbindungsaufbau des verschlüsselten Server-Zugriffs anhand des Zertifikates erkannt.

Digitale Signatur

Digitale Signaturen kann man nicht nur benutzen, um ein Verfälschen von E-Mails zu verhindern, sondern auch in der Dokumentenablage, der verbindlichen Dateneingabe, dem Austausch verbindlicher Absprachen.

Verzeichnisdienste (X.500/LDAP)

Verzeichnisdienste wie z.B. X.500 oder der Nachfolgestandard LDAP sind Datenbankdienste konzipiert zur schnellen Suche von Personendaten oder Lokalisation von Ressourcen.
Dabei ist sowohl das Zugangsprotokoll als auch die Semantik der Attribute von Verzeichniseinträgen meist standardisiert, so daß sich Verzeichnisdienste vor allem in heterogenen Systemumgebungen dazu eignen, für verschiedenste Anwendungen einen einheitlichen Datenbestand zur Verfügung zu stellen.
Informationsverteilung in Unternehmen

Immer noch werden in vielen Unternehmen umständlich Telefonlisten o.ä. in Papierform oder speziellen Datenformaten verbreitet. Sowohl die Erzeugung/Aktualisierung als auch das Nachschlagen ist zeitaufwendig, fehleranfällig und teuer.

Unterstützung zentralisierter Adressbücher über das LDAP-Protokoll ist heute integraler Bestandteil vieler E-Mail-Clients und PIM-Software. Die Produktivität läßt sich somit extrem einfach steigern.

Einheitliche Benutzerverwaltung

Die Pflege von Benutzerzugängen auf verschiedenen Rechnersystemen ist inzwischen eine zeitaufwendige und damit teure Angelegenheit für Administratoren geworden. Außerdem steigt die Anzahl der benötigten Kennwörter, so daß die Benutzer meist nur ein Kennwort für alle benötigten Dienste benutzen, um die Flut zu merkender Kennwörter einzudämmen.
Eine mögliche Lösung ist, nur noch auf ein bestimmtes System zu setzen, was meist aber eine nicht akzeptable Einschränkung der Funktionalität mit sich bringt und zur totalen Abhängigkeit von einem Hersteller führt.

Wesentlich vielversprechender und zukunftssicherer ist, die proprietäre Benutzerverwaltung verschiedener Systeme durch Benutzereinträge in Verzeichnisdiensten zu ersetzen oder zumindestens die administrativen Prozesse mithilfe zentraler Datenbestände zu automatisieren.

Verteilung von Zertifikaten in einer PKI

Verzeichnisdienste werden insbesondere benutzt, um in einer PKI die öffentlichen Schlüssel zu verteilen. Bei geeigneter Konzeption und entsprechendem Know-How ist das Ermitteln einer E-Mail-Adresse nebst Laden des passenden Schlüsselzertifikats von einem zentral gepflegten Verzeichnis genauso leicht, wie das Bedienen des lokalen Adressbuchs einer E-Mail-Software.

Integration bestehender Systeme

Oftmals bringen Messaging- oder Netzwerk-Systeme bereits Verzeichnisdienste als integralen Bestandteil ihrer eigenen Benutzerverwaltung mit. So bietet Lotus Notes / Domino bereits den LDAP-Zugang zum Adressbuch, wie auch Microsoft Exchange. Die Benutzerverwaltung in Novell NDS und Windows 2000 ist ebenfalls über das LDAP-Protokoll zugänglich.

Durch die Bestandsaufnahme ihrer bestehenden IT-Infrastruktur, können u.U. brachliegende Potentiale für die unternehmensweite Informationsverteilung kostengünstig erschlossen werden.

© by Michael Ströder | Consulting, Installationen, Programmierung und Schulung für LDAP, PKI, Identity Management, Provisioning
Zuletzt aktualisiert: Monday, 28-Feb-2005 12:32:19 MET