Innerhalb der Grenzen:
Sicherheitsdesign für „Next Generation“- Server in der Finanzwelt
Der finanzielle Schaden, der Unternehmen durch den Verlust der Kontrolle über sensible Daten entsteht, beläuft sich auf mehrere Millionen, wenn nicht Milliarden Euro jährlich.
Mittel zum Schutz der Netzwerkübergänge von Unternehmen (Perimeter Security) wie Firewalls, Viruswalls, Intrusion-Detection, Virtual Private Networks und DMZs (De-Militarized Zones) als Frontlinie werden oft diskutiert. Externe Angriffe ziehen die Aufmerksamkeit der Medien auf sich und verschlingen das IT-Sicherheitsbudget, während die Server vor Insider-Angriffen ungeschützt bleiben. Diese wohl größte Bedrohung der IT-Sicherheit der Unternehmen wird trotz der gravierenden Auswirkungen vernachlässigt.
Obwohl Techniken zur Gewährleistung der Perimetersicherheit in Kombination mit einer starken Authentisierung und Verschlüsselung einen wirksamen Schutz gegen externe Angriffe bieten können, sind sie gegen interne Angreifer nutzlos. Deshalb stellt sich die Frage, wie Server-basierte Systeme von der mehrstufigen Sicherheit profitieren können, wie sie in der hoch sicheren Welt der kryptografischen Verarbeitung eingesetzt wird, so dass eine Infrastruktur entsteht, die sowohl gegen Insider-Angriffe als auch gegen Gefahren von aussen gefeit ist. Betriebs-, Software- und physische Sicherheit sind die drei Aspekte, die zu berücksichtigen sind, wenn es um die Schaffung einer wirklich sicheren IT-Plattform geht.
Die Anwendung dieser Konzepte auf das Design eines Servers für allgemeinere Aufgaben ergibt ein System, das von sicheren Übergängen zum Datacenter und sicheren Verarbeitungsfähigkeiten des HSM weniger abhängig ist. Im Wesentlichen sorgt jeder sichere Server für seine eigene Sicherheitsgrenze, kryptografische Verarbeitung und operative Kontrollen und ergibt so ein „Datacenter im Datacenter“. Diese neue Systemgattung wird die Definition von Sicherheitsanforderungen an Datacenter und Managed Security Service Provider beeinflussen, da sie hoch sichere Server ermöglicht, die bestehende Sicherheitseinrichtungen aufwerten können, und vor Manipulation geschützte Systeme für den Einsatz an weniger sicheren Standorten zur Verfügung stellt. Sichere Server bilden die Grundlage für den Einsatz vertrauenswürdiger Netzwerkknoten und führen einen Schritt näher an das Ziel, das Potenzial einer hoch verteilten, Web-basierten Computing-Umgebung voll auszuschöpfen.
Ein Beispiel aus dem Bereich Financial Services: Hochsicherheits-Server mit integriertem hardware-basierenden Sicherheitsmodul (HSM) haben sich bereits zu sogenannte „Application-Security Module“ (ASM) weiterentwickelt. ASM’s bieten eine hoch- und manipulationssicherer Plattform für unternehmenskritische JAVA-Applikationen in der Finanz-und Versicherungswelt. So können beispielsweise Personal Identification Numbers (PIN) von Kreditkarten (mit EMV-Chip) hochsicher über das Online-Banking Portal an den Karteninhaber ausgegeben werden. Die Kosteneinsparungspotentiale sind transparent nachvollziehbar; kein drucken mehr von personalisierenten PIN-Briefen, der Wegfall von Frankierkosten sowie die vehemente Reduzierung von Call-Supportkosten.
Tom Koehler
SafeNet Deutschland
Mitglied im Arbeitskreis Security des cioforum