Hardwarebasierende Sicherheitslösungen: Windows 8 weist den Weg

Die Kompromittierung der RSA-Token hat gezeigt, das selbst ausgeklügelte softwarebasierende Sicherheitssysteme Lücken haben. Die in der Trusted Computing Group zusammengeschlossenen Anbieter sehen die Zeit für Embedded Security gekommen - und hoffen auf Windows 8.

Als im Frühjahr 2011 die Meldung von dem erfolgreichen Hackerangriff auf das Zweifaktor-Authentifizierungssystem SecurID von RSA bekannt wurde, war endgültig klar, dass auch dieses System, bisher als Bollwerk der IT-Sicherheit angesehen, seine Schwächen hat. Mittlerweile gibt es Vermutungen, dass der Angriff eine enorme zerstörerische Breitenwirkung gehabt hat und dass die Sicherheitssysteme vieler weltweit tätiger Unternehmen in der einen oder anderen Form davon betroffen waren.

Wie ernst der Angriff und seine Folgen einzuschätzen sind, zeigte nicht zuletzt die ausführliche Stellungnahme von RSA-Chef Tom Heiser auf der Sicherheitskonferenz RSA Europe im Herbst in London. Heiser erklärte, dass der Angriff in koordinierter Form von zwei Hackergruppen ausgeführt worden ist. Natürlich schwor er Stein und Bein, dass RSA alles im Griff habe.

Freilich gibt es auch Stimmen, die nicht völlig ausschließen wollen, dass sich die Hacker bei dem Angriff auch Zugang auf die sogenannte „seed record database“ von RSA verschaffen konnten und somit in den innersten Sicherheitsring der RSA-SecurID-Token-Architektur eindrangen. Letzteres sind im Moment wohl nicht beweisbare Vermutungen. Sie deuten aber drauf hin, wie anfällig auch starke Systeme wie SecurID gegenüber ausgeklügelten Angriffen sein könnten.

Trend zu „Embedded Security“

Systeme wie SecurID sind trotz der eingesetzten Hardware-Token eben doch letztlich software- und nutzerbasiert. Es verwundert deshalb nicht, dass immer mehr Unternehmen und Behörden, die streng vertrauliche Daten schützen müssen, für einen Paradigmenwechsel hin zu ausschließlich hardwarebasierenden Sicherheitslösungen plädieren oder diesen schon vollzogen haben.

Mit dem Kryptochip TPM und selbstverschlüsselnden Festplatten auf der Basis des Industriestandards OPAL der Trusted Computing Group sind Lösungen realisierbar, bei denen sich jedes Gerät eindeutig ausweisen kann. Geräte, die sich nicht durch ihren TPM-Chip ausweisen können, werden schlicht von vornherein von jeder Kommunikation ausgeschlossen.

Ein Paradigmenwechsel in Richtung „Embedded Security“ ist überfällig, aber nicht zum Nulltarif zu haben. Die Gründe liegen in den organisatorischen Umstellungen und in dem erforderlichen Schlüsselmanagement. Unternehmen wie Wave Systems oder WinMagic bieten hier zwar durchaus ausgereifte Lösungen, für die aber erst einmal investiert werden muss. Die Investitionskosten kommen freilich sehr schnell zurück, weil die Gesamtkosten für das Betreiben solcher hardwarebasierender Systeme aufgrund der großen Zeitersparnis bei der Inbetriebnahme und Pflege meist nur ein Drittel des Betrags ausmachen, der für softwarebasierende Lösungen anfällt.

Gleitender Übergang zu TPM

Für Christian Schmidt, Information Security Operations Manager bei Vega Deutschland, war der Einsatz einer selbstverschlüsselnden Festplattenlösung zusammen mit der Embassy-Managementlösung von Wave Systems sowohl von der Kosten- als auch von der Sicherheitsseite ohne Alternative. Bei einer softwarebasierenden Verschlüsselungslösung rechnete Schmidt mit Kosten für jeden einzelnen Laptop von circa 1500 Euro.

Außerdem war er hinsichtlich der Sicherheit nicht davon überzeugt, dass die Software für die Festplattenverschlüsselung „anfänglich oder dauerhaft mit dem proprietären Code von Vega verträglich“ ist. Vega ist IT-Dienstleister für die Luft- und Raumfahrtindustrie. Das Unternehmen hat daher sicherheitstechnisch besonders harte Anforderungen. Gerade deshalb kann es aber als Vorreiter in Sachen Embedded Security für das Gros der anderen Unternehmen dienen.

Glücklicherweise muss der Übergang zu einer Device-orientierten, gehärteten IT-Sicherheitslösung nicht auf einen Schlag erfolgen. Mit den genannten Managementtools lassen sich nämlich gemischte Umgebungen, in der herkömmliche, softwarebasierende IT-Sicherheitslösungen, Bitlocker-Lösungen von Microsoft und selbstverschlüsselnde Festplatten nebeneinander bestehen, gemeinsam verwalten. Auf diese Weise können für den Umstieg die normalen Erneuerungszyklen für Hard- und Software in den Unternehmen genutzt werden.

Neuer Schub durch Windows 8

Die gleiche Vorgehensweise wie bei selbstverschlüsselnden Platten ist auch bei TPM möglich. Da mittlerweile der TPM-Chip auf praktisch allen Business-PCs und Business-Notebooks sowie demnächst auch auf Mobilgeräten vorhanden ist, ist ein erster und praktisch kostenloser Schritt die vorsorgliche Aktivierung dieses Kryptochips für das Schlüsselmanagement bei der Erstinstallation des Rechners.

In einem weiteren Schritt ließe sich dann TPM für die Ausgabe von Zertifikaten für VPN-Verbindungen nutzen oder man könnte durch die Härtung der VPN- und Funkverbindungen auch die Integrität der Bootsektoren sicherstellen. Zusätzlich unterstützt wird ein gleitender Übergang in eine hardwarebasierende IT-Sicherheit durch Windows 8, in dem TPM-Funktionen automatisch bereitgestellt werden und vor allem auch neue Programmierschnittstellen zur Nutzung dieser Funktionen enthalten sind.

Themenseiten: IT-Business, Mittelstand, RSA, Technologien, Wave Systems, WinMagic, Windows 8

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Hardwarebasierende Sicherheitslösungen: Windows 8 weist den Weg

Kommentar hinzufügen
  • Am 21. Dezember 2011 um 8:49 von Sven Herrmann

    TPM
    Wird es dadurch nicht auch möglich jeden Computer / Nutzer immer und eindeutig zu identifizieren? Wie wird es sich dann mit Netzwerken wie Tor verhalten?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *