Sicherheit durch "Suite B"-Verschlüsselung
Hochvertrauliche WLANs
Hochsichere Infrastrukturen waren bislang proprietär und damit überaus teuer. Um mehr Flexibilität zu schaffen, hat die US-amerikanische Sicherheitsbehörde NSA mit der Spezifikation "Suite B" die Basis für Hersteller geschaffen, regierungstaugliche Hochsicherheitstechnik in ihre kommerziellen Produkte zu integrieren. Davon profitieren jetzt auch Unternehmen und ihre mobilen Mitarbeiter.Immer mehr Mitarbeiter fordern heute, dass ihre Arbeitgeber kommerziell erhältliche mobile Endgeräte wie Smartphones, Tablet-PCs oder Laptops auch im Unternehmen unterstützen. Viele von ihnen nutzen Iphones, Ipads oder ähnliche Systeme bereits selbst. Nun wünschen sie auch einen WLAN-Zugang am Arbeitsplatz sowie Unterstützung für 3G oder 4G, wenn sie unterwegs sind. Dies trifft auf Mitarbeiter und Angestellte von Behörden, militärischen Einrichtungen oder Unternehmen mit einer erhöhten Geheimhaltungspflicht in gleicher Weise zu. Wie in der restlichen Unternehmenswelt wissen auch diese den Mehrwert durch Mobilgeräte für die eigene Arbeitsproduktivität zu schätzen. Einige Mitarbeiter verwenden daher ihre privaten Systeme ohne die nötigen Sicherheitsvoraussetzungen für berufliche Kommunikationsaufgaben - zum Beispiel für vertrauliche Telefonate und Datenkommunikation. Dies bedeutet jedoch möglicherweise ein Risiko für die Institutionen, für die sie arbeiten.
Die Nachfrage nach als geheim klassifizierten Netzzugängen wächst. Innerhalb des vergangenen Jahrzehnts haben Militär, Geheimdienste und andere staatliche Einrichtungen zu netzwerkzentrierten Anwendungen gewechselt, die ihren Betrieb unterstützen und sicherstellen. Die wichtigsten Anwendungen dieser Akteure liegen auf hochsicheren taktischen Netzwerken wie dem Siprnet (Secret Internet Protocol Router Network) des US-amerikanischen Verteidigungsministeriums. Daher haben Bedeutung und Nutzung solcher vertraulichen Netzwerke erheblich zugenommen.
Gleichzeitig werden die Kapazitäten solcher Netze aus verschiedenen Gründen nicht ausgeschöpft: Der Aufbau hochsicherer Netzwerke, die regelkonform und akkreditiert sind, erweist sich als sehr kostenintensiv. Die von den Regierungen finanzierten, proprietären Verschlüsselungslösungen wie Hochsicherheitssysteme des Typs 1, die dort zum Einsatz kommen, reduzieren den Benutzerkomfort und die Leistung. Kommerzielle Mobilitätslösungen und hochsicherer Netzzugang konvergieren daher - Anwender fordern und benötigen beides gleichzeitig.
Kommerzielle Technik für Regierungsnetze
Regierungs- und Verwaltungseinrichtungen versuchen heute, kommerzielle Technik in ihren Netzen einzusetzen, um dem gestiegenen Bedarf an gesicherten Zugängen und der erhöhten Mobilität der Mitarbeiter gerecht zu werden - aber auch weil sie sparsam haushalten müssen. Denn kommerzielle Technik leistet im Vergleich zu proprietären staatlichen Lösungen mehr, kostet weniger bei Anschaffung und im Betrieb und bietet größere Produktivität bei schnelleren Innovationszyklen.
Daher hat beispielsweise die nationale Sicherheitsbehörde der USA (NSA) ein Partnerprogramm für kommerzielle, aber regierungstaugliche Lösungen (Commercial Solutions Partnership Program, CSPP) eingerichtet. Entstehen soll eine End-to-End-Architektur, bei der kommerzielle Mobilgeräte mit sicherer Verbindungstechnik auf vertrauliche Netze und Anwendungen zugreifen können. Die Basistechnik zur Informationssicherung bildet dabei die Nutzung von "Suite B". Diese Sammlung kryptographischer Algorithmen wurde 2005 von der NSA herausgegeben. Sie verwendet vor allem Elliptische-Kurven-Kryptographie sowie längere Schlüssel als bislang üblich (siehe Kasten).
Suite-B-Verschlüsselung modernisiert die Kommunikationsinfrastruktur in hochsensiblen Umgebungen. Die neuen Algorithmen sind insgesamt stärker und nutzen die zugrunde liegenden Rechenmethoden effizienter als die traditionell verwendeten. Sie lassen sich dadurch ideal für moderne mobile Umgebungen einsetzen. Dadurch, dass diese Methoden auch weniger Rechenzeit auf die Erstellung von Schlüsseln verwenden, arbeiten Anwendungen schneller und die Batterielaufzeit mobiler Geräte verlängert sich.
Um als geheim klassifizierte oder andere besonders hochwertige Netzwerke vor Brute-Force-Angriffen (Knacken des Codes durch Ausprobieren aller möglichen Kombinationen) und anderen Angriffsformen zu schützen, ersetzt oder verbessert die Suite-B-Verschlüsselung die asymmetrischen kryptographischen Algorithmen, die heute meist zum Schlüsselaustausch verwendet werden, sowie die symmetrischen Verschlüsselungsalgorithmen, die die Daten einzelner Anwendersitzungen codieren. Härte und Leistung der Algorithmen für den Schlüsselaustausch, für digitale Signaturen und das Hashing lassen sich auf diese Weise steigern.
Sind diese fortschrittlichen Sicherheitseigenschaften in die Netze integriert, können Unternehmen und Institutionen mit erhöhtem Geheimhaltungsbedarf ihre heterogenen IT-Infrastrukturen sicher zu einer einheitliche Netzwerkzugangslösung zusammenführen - für Regierungsangestellte, Vertragspartner, Besucher oder das Militär. Autorisierte Anwender erhalten Zugang zu den Netzressourcen, wo immer sie ihn benötigen. Der Zugriff erfolgt über automatisch erzwungene, identitätsgebundene Zugangsregeln - gleichgültig, wo sich die Anwender befinden und welche Endgeräte sie für den Zugriff benutzen.
Um entsprechende Lösungen zu entwickeln, ist die enge Kooperation mit Regierungsinstitutionen, die für Netzwerksicherheitstechnik und Regelkonformität zuständig sind, unabdingbar. So hat beispielsweise der US-amerikanische WLAN-Hersteller Aruba Networks bereits die Zugangsarchitekturen für Netzwerke, die sensitive, vertrauliche oder geheime Informationen transportieren, im Rahmen seiner Produktlinie stark verbessert. Die neue Architektur verwendet von der NSA freigegebene kryptographische Techniken gemäß Suite B.
Identitätsbasierender Zugang mit Suite B
Eine derartige Lösung bietet jeder Institution diverse strategische aber auch Kostenvorteile. Letztere liegen auf der Hand: Ein Hochleistungs-WLAN, das Mobilität unterstützt und mit allgemein verfügbarer kommerzieller Technik operiert, eröffnet einer Vielzahl von Anwendern den Netzzugang - bei vergleichsweise günstigem Preis. Die neuen Lösungen kosten in der Regel nur ein Zehntel üblicher gemäß Typ 1 zertifizierter Lösungen, und ihre Betriebskosten fallen ebenfalls geringer aus.
Doch auch die strategischen Vorteile sind erheblich: Autorisiertes Personal kann nun besser auf vertrauliche Netzwerke zugreifen. Als geheim klassifizierte und nicht klassifizierte Services sind gleichzeitig über dieselbe Standard-802.11-WLAN-Infrastruktur zugänglich. Mit einer einzigen Gruppe von Lösungselementen erhalten Anwender jede Kombination fester und mobiler Netzwerkzugänge in einer Vielfalt regelkonformer Aufbauszenarien. Der Zugriff zu Anwendungen wird in jedem Szenario genau gleich und ohne unterschiedliche Client-Konfigurationen bereitgestellt. Zudem arbeitet eine solche Lösung identitäts- statt gerätebasierend. Mitarbeiter haben damit einen konsistenten, sicheren Zugang zu vertraulichen und öffentlich zugänglichen Netzressourcen.
Positiv wirkt sich für die Anwender zudem aus, dass die neue Sicherheitstechnik schneller arbeitet und daher bei mobilen Geräten die Batterielebensdauer verlängert. Probleme durch die Arbeit mit so genannten CCIs (Controlled Cryptographic Items) und deren Sicherung, sofern sie gerade nicht in Gebrauch sind, entfallen ebenfalls. Mit ihren erweiterten Zugangsmöglichkeiten können die Anwender die Arbeitsaufträge ihrer Organisationen besser erfüllen als bislang. Dabei lassen sich sogar die eigenen kommerziellen Mobilgeräte in vertraulichen Umgebungen und mit Anbindungen über 3G/4G-Carrier-Netze verwenden. Dies erleichtert auch die Zusammenarbeit zwischen unterschiedlichen Behörden und Regierungsinstitutionen, weil sich interoperable Netzwerke etwa für Rettungsdienste oder koordinierte Aktivitäten aufbauen lassen
Lesen Sie mehr zum Thema
