Sicherheit und Vertrauen beim Thema IT – Beispiel: Die interne Kommunikation im Bundesministerium fĂĽr Arbeit und Soziales

Sicherheit und Vertrauen. Das gehört zusammen wie Huhn und Ei. Aber was passiert, wenn derjenige, dem das Vertrauen ausgesprochen wird, mit jemand anderen zusammenarbeitet und das Vertrauen und die vermeintlich sicheren Daten missbraucht?

Beim Thema IT-Sicherheit bekommt das Ganze noch eine andere Dimension:  Viele Unternehmen müssen für das Thema erst sensibilisiert werden. Welche Lösung ist sinnvoll? Wieviel sollte investiert werden? Und wie sicher ist diese Lösung? Fällt dann die Entscheidung zugunsten einer Sicherheitslösung, ist es umso bedenklicher, wenn das einmal ausgesprochene Vertrauen missbraucht wird. Ein Beispiel für missbrauchtes Vertrauen bietet momentan die Sicherheitstechnologie, die die Behörde von Andrea Nahles (Bundesministerin für Arbeit und Soziales der SPD) einsetzt.

Das Bundesministerium für Arbeit und Soziales setzt Sicherheitstoken der Firma RSA ein, um mit einer  Zwei-Faktor-Authentifizierung die interne Kommunikation zu schützen. Jetzt wurde bekannt, dass die Firma RSA jahrelang mit der NSA zusammengearbeitet hat. Und damit nicht genug: Auch das US-Telekommunikationsunternehmen Verizon, das die eingesetzten RSA-Token wartet, wurde von der US-Regierung verpflichtet, mit der NSA zusammenzuarbeiten.

Die Bundesregierung hat bereits angekündigt, in Zukunft nicht mehr mit Verizon zusammenzuarbeiten. Die aktuellen Verträge im Bundesarbeitsministerium laufen jedoch noch bis Ende November. Auf der Suche nach einer anderen  Lösung stehen Bundesbehörden da wie jedes andere Unternehmen auch: Welche Lösung ist passend? Und welchem Anbieter von IT-Sicherheitslösungen kann ich vertrauen?

Der Ansatz einer Zwei-Faktor-Authentifizierung ist mit Bedacht gewählt und wird in Umgebungen mit erhöhten Sicherheitsanforderungen eingesetzt. Es soll nach Herstellerangaben nicht möglich sein, den geheimen Schlüssel aus solch einem Token zu extrahieren. So soll der Token auch dann noch schützen, wenn der Rechner bereits kompromittiert wurde. Dennoch haben Forscher bereits bewiesen, dass sie  Zugriff auf symmetrische Schlüssel und verschlüsselte Nachrichten erlangen können, die dann an das Token gesendet werden. Auch wenn RSA seine Token für sicher erklärt, sollte diese Gefahr durchaus ernst genommen werden.

Bei der Frage nach der Sicherheit eines Token kommt es vor allem auf die Schnittstellen und den Datenaustausch an. Hat der Token keine funk- und kabelgebundenen Schnittstellen, bedeutet das schlicht und einfach keine Angriffsmöglichkeit. Äußerst skeptisch ist unter diesem Gesichtspunkt ein Kombi-Gerät mit USB-Schnittstelle zu betrachten. Über die USB-Schnittstelle ist es möglich, auf den Sicherheitstoken zuzugreifen und diesen zum Beispiel mit Schadsoftware zu versehen. Eine weitere Angriffsfläche ist eliminiert, wenn es zwischen Token und Rechner keinen Datenaustausch gibt.

Der Aspekt Vertrauen ist vielleicht sogar vielschichtiger als der technologische Aspekt der Sicherheit. Es sollte aber in jedem Fall darauf geachtet werden, dass sich das Unternehmen, dem man in punkto IT-Sicherheit vertraut, an die Datenschutzrichtlinien der Bundesrepublik Deutschland hält. Deutschland hat nach wie vor eine  Vorreiterrolle beim Thema Datenschutz inne. Außerdem spricht es angesichts von Ausspähaffären für sich, wenn beim Einsatz eines Tokens keine personenbezogenen Daten gespeichert werden.

Bitte um den ersten Kommentar.

Mitdiskutieren

Sie können dieseHTML Schlagworte und Eigenschaften verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>