CT-Logo

Header - Impressionsbeitrag CT-Portal

Schon gewusst?

Ursprünglich für IT-Sicherheits-Schulungen im Unternehmen entwickelt, hat sich CrypTool inzwischen zu einem bedeutenden Open-Source-Projekt im Bereich Kryptologie entwickelt, an dem über 50 Entwickler weltweit ehrenamtlich mitarbeiten.

 

CrypTool im Awareness-Bereich

E-Mail Drucken
Unter den Begriffen Awareness oder Security-Awareness wird üblicherweise das Bewusstsein für allgemeine Belange der Informationssicherheit verstanden. Es geht dabei nicht nur um Themen der Kryptologie, also beispielsweise das Verschlüsseln von vertraulichen Informationen, sondern um ein zunächst sehr viel weiter gefasstes Thema. Dies soll mit Hilfe der folgenden Abbildung veranschaulicht werden:

cryptology de1

IT-Sicherheit beschreibt ein Feld umfassender Tätigkeiten, die den Einsatz von IT-Systemen mit Sicherheitsmaßnahmen unterstützen, um Unternehmen, Kunden und externen Partnern einen möglichst hohen Schutz der elektronischen Informationen zu bieten. Das Ziel besteht darin, Informationen und Prozesse zu schützen sowie IT-bezogene Beeinträchtigungen der Geschäftstätigkeiten weitestgehend auszuschließen.

Zu den Maßnahmen der IT-Sicherheit gehören, neben den Verfahren, die die Kryptologie bietet, z.B. Netzwerk-Monitoring, Antivirenschutz, Patchmanagement, Desaster Recovery Planung (DR), Business Continuity Management (BCM) und Awareness für IT-Sicherheit. Einen guten Überblick über diese Maßnahmen bieten die Grundschutzkataloge (ehemals Grundschutzhandbuch) des Bundesamt für Sicherheit in der Informationstechnik (BSI). 

Noch eine Ebene über der IT-Sicherheit liegt das Risikomanagement, das sich bis zum Schutz kritischer Infrastrukturen (KRITIS) erstreckt. Kritische Infratrukturen sind definiert, als Organisationen oder Einrichtungen mit (lebens-)wichtiger Bedeutung für das staatliche Gemeinwesen.

Unter Risikomanagement versteht man den planvollen und bewussten Umgang mit Risiken. Dabei kann es sich um allgemeine unternehmerische Risiken handeln oder beispielsweise um spezielle finanzielle Risiken. Die Ursprünge des systematischen Risikomanagements liegen im Finanzwesen. Seit einigen Jahren wird Unternehmen weltweit durch diverse rechtliche und regulatorische Vorgaben ein Rahmen für das Risikomanagement aufgezeigt. Als Beispiele seien hier das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), der Sarbanes-Oxley Act (SOX) und die Mindestanforderungen an das Risikomanagement (MaRisk) genannt.

Bei den Maßnahmen zur Risikominderung spielt das Thema Kryptologie heute eine immanente Rolle. Ein Grundverständnis für Kryptologie ist hier notwendig, um geeignete Maßnahmen und Kontrollen zu ergreifen, so dass die Schutzziele Authentizität, Vertraulichkeit, Integrität, Verbindlichkeit in einem möglichst optimalen Kosten-/Nutzenverhältnis erreicht werden. Die folgende Abbildung veranschaulicht, wie CrypTool in diesem Kontext zum Verständnis – und damit zur Awareness – beitragen kann.

cryptology de2 

Standardisierung und Management-Sichtbarkeit von Kryptologie

Neben der bisherigen Gliederung, die sich aus technischer und Risikomanagement-Sicht ergibt, kann man die Hauptgebiete  der Kryptologie in die 5 folgenden Komponenten (Algorithmen, Protokolle, Schlüssel-Management, Best Practice Implementierung sowie regulatorische Anforderungen) unterteilen. Diese 5 Komponenten haben aus Unternehmensperspektive (insbesondere die Sichtbarkeit für das Management), hinsichtlich des Grades der Standardisierung sowie im Hinblick auf die wissenschafliche Aufmerksamkeit sehr unterschiedliche Stellungsmerkmale.

cryptology de3

Algorithmen

Algorithmen bilden die Grundlage der Kryptologie. Bekannte Algorithmen wie z.B. AES, 3DES oder RSA sind in einem hohen Maße standardisiert und stehen im Fokus der Forschung im Bereich Kryptologie sowie Mathematik.

Protokolle

Protokolle verwenden die Algorithmen der Kryptologie. Sie werden genutzt, um Informationen sicher zwischen Kommunikationspartnern zu transportieren und dadurch eine kommerzielle Nutzung der elektronischen Kommunikation zu ermöglichen. Typische Protokolle sind z.B. TLS, SSL oder IPsec. Ähnlich wie Algorithmen sind die Protokolle ebenfalls standardisiert. Sie sind durch den breiten Einsatz im Internet und Intranet für viele Benutzer weitaus bekannter als die von ihnen verwendeten Algorithmen.

Schlüssel-Management

Ein überaus wichtiger Bestandteil der Kryptologie besteht in der Verwaltung der Schlüssel, dem sogenannten Key Management. Da die Algorithmen und Protokolle i.d.R. auf Schlüsseln basieren, gilt es, die Schlüssel sicher abzulegen und zu verwalten. Im Bereich des Schlüssel-Managements existieren eine Reihe von Standards wie z.B. ISO, PKIX oder XKMS.

Best Practice Implementierung

Eine wesentliche Fragestellung, insbesondere aus Sicht von Unternehmen, bezieht sich auf die geeignete Implementierung von Kryptologie. Abgeleitet vom Risiko-Management sind geeignete Mechanismen der IT-Sicherheit zu implementieren, die letztendlich in einer Implementierung von Methoden der Kryptologie resultieren. Dabei sind kryptologische Verfahren in oftmals heterogenen Systemlandschaften zu implementieren und moderne Architekturen durch den Einsatz von Kryptologie abzusichern.

Regulatorische Anforderungen

Regulatorische Anforderungen werden vom Gesetzgeber erlassen und müssen von den Unternehmen umgesetzt werden. Insbesondere im Hinblick auf den Bereich Kryptologie ist hierbei wichtig, ob einheitliche Standards zur Sicherheit von elektronischen Daten geschaffen werden können. Aus Sicht von Unternehmen ist es wichtig, eine Form der Rechtssicherheit zu erzielen ist, um sichere elektronische Kommunikation gesetzlich abzusichern (z.B. mittels elektronischer Signaturen).

Web-Development and Design by imagine orange, powered by joomla