Anmelden


Utimaco: Hardware-basierte Verschlüsselung schützt sensible Daten

Gelangen sensible Informationen in falsche Hände, ist dies für viele Unternehmen ein Supergau. Neben dem finanziellen Verlust stehen das Unternehmensimage sowie das Kundenvertrauen auf dem Spiel. Es sei denn, die Daten sind verschlüsselt.

Genau dies ist die Aufgabe von Hardware Security Modulen (HSM): Mit kryptographischen Verfahren verschlüsseln sie konsequent alle wertvollen Unternehmensinformationen. Dabei übernehmen die Geräte nicht nur die Verschlüsselung selbst, sondern schützen, speichern und verwalten auch das Schlüsselmaterial. Warum das so wichtig ist, bringt Malte Pollmann, CEO von Utimaco, auf den Punkt: „IT-Sicherheit ist keine Option, sondern ein Muss. Von der Bezahlung bis zum Stromnetz muss das Internet an allen Stellen vertrauenswürdig sein. Dieser Verantwortung muss die Industrie nachkommen. Denn zukünftig werden Anbieter nicht mehr nur nach den technischen Fähigkeiten der Geräte bewertet, sondern auch nach der Sicherheit ihrer Systeme.“

Was ist ein Hardware Security Modul?

Ein Hardware Security Modul (HSM) ist ein spezielles Gerät, das in die IT-Infrastruktur integriert wird. Es übernimmt alle kryptografischen Operationen für eine konsequente Ende-zu-Ende-Verschlüsselung von Informationen und Transaktionen. Sowohl Schlüsselmaterial als auch dessen Anwendung sind in einem HSM maximal geschützt, etwa durch die Versiegelung der Recheneinheit oder durch Löschfunktionen im Falle eines Angriffs. Ein HSM stellt seine Funktionen über eine definierte Schnittstelle (API) bereit. So kann beispielsweise eine Finanzanwendung die gesamte Schlüsselverwaltung auf ein HSM auslagern. Dies erhöht die Sicherheit und entlastet den Host-Rechner, auf dem die Anwendung läuft.

Nachweislich sicher

Wichtig bei der Auswahl eines Hardware Security Moduls ist, welche Zertifizierungen es unterstützt. Zu den wichtigsten Zertifizierungs-Frameworks zählt FIPS 140-2 des NIST (National Institute of Standards and Technology). Es dokumentiert, dass ein HSM für die vom NIST freigegebenen Verschlüsselungsalgorithmen ausgelegt ist und zudem die grundlegenden Anforderungen hinsichtlich der physischen Sicherheit erfüllt. Die Vorgaben der Spezifikation Common Criteria for Information Technology Security Evaluation von ISO und IEC sind flexibler. Allerdings gibt es bislang nur ein einziges spezielles Profil für die Absicherung von HSM.

Die Verantwortlichen sollten im Vorfeld prüfen, welche Anforderungen das Modul zwingend erfüllen muss, denn Zertifizierungen können Einschränkungen mit sich bringen. Ein Beispiel: Erfüllt ein HSM die Vorgaben von FIPS 140-2 Level 3, arbeitet es im FIPS-Modus. Das wiederum schränkt die Nutzung von APIs mit ein.

Zudem existieren weitere Zertifizierungen, etwa gemäß PCI-HSM (Payment Card Industry). Je nachdem, in welcher Branche ein Unternehmen tätig ist, sollten die Hardware Security Module die entsprechenden Vorgaben erfüllen.

Wahl eines kompetenten Anbieters

Speziell in einem so sensiblen Umfeld wie der Datenverschlüsselung spielt bei der Wahl des geeigneten Anbieters neben der Qualität des HSM der technische Support durch den Hersteller eine wichtige Rolle. Hinzu kommen Faktoren wie das Image und die Referenzen, die dieser vorweisen kann. Ein zweites Auswahlkriterium sind die Integrationsservices eines Anbieters von HSM-Lösungen. Vor allem bei komplexen Implementierungen kann es hilfreich sein, wenn der Hersteller des Hardware-Sicherheitsmoduls bereits in die Planungs- und Konfigurationsphase mit einbezogen wird. Dies ist vor allem dann der Fall, wenn Programmierarbeiten erforderlich sind.

Hilfreich ist zudem, wenn ein Anbieter über eine schlüssige Produktstrategie verfügt und dem Nutzer darlegen kann, welche Erweiterungen der HSM-Systeme in den kommenden Monaten geplant sind. Dies ist vor allem für Branchen wichtig, in denen HSM-Systeme über einen längeren Zeitraum hinweg im Einsatz sind, etwa in Produktionsumgebungen oder im Bereich Energieversorgung.

Speziell für Unternehmen und öffentliche Einrichtungen in Deutschland spielt ein weiterer Aspekt eine Rolle: In welchem Land der Anbieter der HSM-Lösung beheimatet ist. So unterliegen Hersteller mit Hauptsitz in Deutschland ausschließlich den hier oder in der EU geltenden Gesetzen. Der Zugriff auf Kundendaten oder technische Details einer Verschlüsselungslösung durch staatliche Einrichtungen ist im Gegensatz zu anderen Ländern somit ausgeschlossen.

HSM als Vertrauensanker der digitalen Gesellschaft

Eine Hardware-basierte Verschlüsselung lässt sich in einer Vielzahl von Anwendungsbereichen einsetzen, etwa für Zahlungslösungen, die mobile Kommunikation oder elektronische ID-Karten. Die breite Palette an Einsatzfeldern zeigt: Kryptographische Verfahren zur Sicherung von Daten und Transaktionen sind schon heute unverzichtbar. Denn Trends wie die Vernetzung von Haustechnik oder das Internet der Dinge lassen sich nur dann langfristig erfolgreich umsetzen, wenn die dafür notwendigen Daten ausreichend geschützt sind – etwa durch eine konsequente Ende-zu-Ende-Verschlüsselung mit Hilfe von Hardware Security Modulen.

Pollmann erläutert dies am Beispiel der modernen Verkehrssteuerung. Fahrzeuge können dabei anonymisierte Daten über ihren Standort und die Geschwindigkeit an Verkehrszentralen oder Anbieter von Services weitergeben. Dadurch ist es möglich, die aktuelle Verkehrssituation zu erfassen, und das deutlich schneller und präziser als bislang. „Der Erfolg solcher Verkehrsteuerungskonzepte hängt maßgeblich vom Vertrauen ab, das Autofahrer und andere Verkehrsteilnehmer diesen neuen Technologien entgegenbringen. Vorfälle wie etwa das Hacken von Fahrzeugen, die Fernsteuerung von Bremsen, ABS-Systemen oder Motormanagement-Systemen durch Unbefugte müssen ausgeschlossen sein.“