Das Schlüssel-Handling wird komplizierter

Lars Weimer, bei Ernst & Young verantwortlich für Informationssicherheit im Bankenbereich, sieht die Etablierung einer einheitlichen Kommunikationsplattform noch einmal deutlich kritischer. Für ihn stehen die Anforderungen der IT-Sicherheit in Form von Verschlüsselungsmechanismen und die Auditing- und Reporting-Maßnahmen, wie sie für die Erfüllung der gesetzlichen und innerbetrieblichen Vorgaben notwendig sind, in einem deutlichen Konfliktverhältnis. »Werden Sprach-, Daten- oder Videoinformationen für die Übertragung verschlüsselt, erschwert dies die Aufzeichnung und Auswertung dieser Ströme.« Denn die Ergebnisse müssten, will man den gesetzlichen Dokumentationsauflagen nachkommen, im Klartext vorliegen. Zwar könnten einmal aufgezeichnete Ströme nachträglich dekodiert werden. Nach Einschätzung von Weimer birgt diese Vorgehensweise aber zusätzlichen Aufwand und Sicherheitsrisiken in sich und setzt unternehmensweit ein überschaubares, transparentes Schlüsselmanagement voraus. In dieses wohl koordinierte Schlüsselmanagement müssten auch sämtliche Arbeitsnomaden und die Telearbeitskräfte voll einbezogen werden. Mathias Hein, freier IT-Berater in Neuburg an der Donau, skizziert, wo die Sicherheitsrisiken mit Blick auf ein lückenloses und vom Aufwand her vertretbares Auditing und Reporting liegen. »Ein umfassendes, transparentes Schlüsselmanagement mit wenigen Schlüsseln, bei dem die Sender und Empfänger generell mit denselben symmetrischen oder asymmetrischen Codierungen arbeiten, ist für interne und externe Angreifer durchsichtiger und dadurch einfacher zu knacken.« Diese Form der Schlüsselverwaltung setze außerdem voraus, dass sich alle Mitarbeiter – am Festnetz, in den Heimbüros und mobil – penibel an die Sicherheitsauflagen für das Schlüssel-Handling hielten. Da solche zentralen Direktiven selten hundertprozentig in der Fläche durchsetzbar seien, entstünden zwangsläufig weitere Sicherheitsrisiken, unterstreicht der IT-Berater.