Man schnallt sich ja auch an – Safety first, auch in der IT

Blog Fabian GrutschusDas Thema ist nicht erst seit der „Sache Snowden“ in aller Munde: die Datensicherheit. Es geht um den Schutz von Daten aller möglichen Arten: persönliches wie firmenbezogenes Wissen könnte in falsche Hände geraten und zum Schaden der Dateneigentümer führen. Fabian Grutschus, Mitarbeiter aus dem Bereich IT, erklärt uns heute, wie in der Invitel Unternehmensgruppe die Sicherheit auf den aktuellsten Stand gebracht wurde, unter dem „Zauberwort“ Verschlüsselung

Ende des Sommers 2016 widmeten wir uns der Aufgabenstellung, die firmeninterne und -externe Kommunikation mit unseren Webseiten ebenso zu sichern wie die Kommunikationswege mit unseren Dienstleistern sowie den E-Mail-Abruf verschlüsselt für alle Mitarbeiter zu ermöglichen.
Das Ziel bestand darin, keine persönlichen Daten unverschlüsselt zu übertragen und somit das Vertrauen unserer Mitarbeiter und Kunden in unser Unternehmen zu erhöhen. Natürlich wird es von einigen Kunden explizit für ihre Projekte verlangt, aber es entspricht vor allem auch unseren eigenen Standards, dieses sensible Thema nicht dem Zufall zu überlassen. Der Datenschutz ist eine nicht zu verhandelnde Grundlage für all unsere Geschäftsbeziehungen.

Ohne Verschlüsslung würden wir es Dritten sehr leicht machen, unsere Kommunikation abzuhören, was letztlich bedeuten könnte, dass uns Daten abhandenkommen und wir damit einen Sicherheitsvorfall haben, dessen Konsequenzen kaum abzusehen wären.

Die Verschlüsselung geschieht auf zwei Ebenen:

1: Vertrauenswürdige Verbindung. Über Zertifikate wird sichergestellt, dass die Kommunikation über eine vertrauenswürdige Verbindung stattfindet. Zu diesem Zweck bietet es sich an, Zertifikate von spezialisierten Zertifizierungsstellen zu nutzen. Diese Zertifizierungsstellen prüfen genau, ob man tatsächlich der ist, der man vorgibt zu sein. Der dahinter liegende Prozess kann unterschiedlich sein. Entweder wird nur geprüft, ob man der Besitzer einer Domain ist oder es sind mehrere Schritte nötig: beispielsweise ein Anruf bei einem Verantwortlichen in der IT und die Verifizierung der Unternehmensadressen. Es gibt verschiedene Sicherheitsklassen der Zertifikate, was sich in der Komplexität des Verifizierungsprozesses widerspiegelt. Je höher die Sicherheitsklasse, desto mehr heben die Browser hervor, dass eine Verbindung zu einer Webseite verschlüsselt ist. Meistens erkennt man dies an der grünen Schrift und dem grünen Balken. In Zukunft wollen diese auch darauf hinweisen, wenn eine Webseite nicht verschlüsselt übertragen wurde.

2: Verschlüsselung der einzelnen Daten. Es gibt unterschiedlichste Methoden und Einstellungen. Einige Methoden sind sehr alt und gelten lange als nicht mehr sicher. Die Herausforderung ist es, eine möglichst große Zahl von Webbrowsern und Betriebssystemen zu unterstützen, gleichzeitig aber mögliche Angriffe auf unsere Verschlüsselung zu unterbinden. Die Regel hierbei ist es, auf die Erfahrung von anderen zu setzen und Einstellungen nach der Empfehlung von anderen vorzunehmen. Verschlüsslung ist nämlich ein schwieriges Terrain, in welchem man auch viel falsch machen kann und welches dementsprechend gewissenhaft umgesetzt werden muss.
In der Umsetzung haben wir für unsere Hauptwebseiten eine große Zertifizierungsstelle gewählt um sicherzustellen, dass wir ein möglichst weit vertrautes Zertifikat bekommen und um niemanden von unseren Webseiten durch Warnhinweise auszuschließen. Um dieses Zertifikat zu erhalten, mussten wir zunächst beweisen, dass wir als Antragsteller wirklich die Invitel Unternehmensgruppe sind, wir mussten die Einträge über die Inhaberschaft unserer Domain überprüfen und anpassen, wir mussten telefonisch ein paar Fragen beantworten und mehrere Codes hin und her schicken.
Für kleinere Dienste und Webseiten, die von extern erreichbar sein sollen, nutzen wir Zertifikate eines kostenfreien Diensts, bei denen die Inhaberschaft der mit dem Zertifikat verbundenen Domain geprüft wird.
Für alle internen Adressen hingegen haben wir uns von unserem Dienstleister eine eigene Zertifikatsstelle einrichten lassen. Das Wurzelzertifikat wurde über unsere Domain auf alle Rechner verteilt. Wir haben dann Zertifikate für intern ausgestellt und diesen wird automatisch von allen Rechnern im internen Netz vertraut.
Nachdem wir die Zertifikate hatten, haben wir auf unseren Servern die Verschlüsselung aktiviert und die Zertifikate hinterlegt, bzw. das von Dienstleistern erledigen lassen.

Der Prozess ist noch nicht vollständig abgeschlossen. Aktuell sind wir dabei, nach und nach unsere Webadressen darauf umzustellen, dass sie automatisch auf die verschlüsselte Version einer Webseite umleiten. Dabei müssen wir sicherstellen, dass die alten Adressen noch funktionieren und richtig umleiten.

Für die Mitarbeiter ändert sich direkt nichts, da dies transparent geschieht. Die meisten Adressen hatten wir vorher schon von 172.0.0.23 etc. auf service.invitel-ug.de umgestellt, was vielleicht die einzige direkte Änderung für die Mitarbeiter war. Einige unsere Dienste waren nur über IPs zu erreichen und wir mussten diesen erst einen Hostnamen zuweisen.
Der Hostname ist der Name für eine IP. Ruft man einen Hostnamen auf, wird im DNS (Domain Name System) die IP-Adresse aufgelöst und unter der IP-Adresse antwortet der Server. Die IP ist sozusagen die Telefonnummer des Servers, der Hostname ist jedoch leichter zu merken als eine Telefonnummer.

Das Projekt ist für externe Adressen soweit abgeschlossen. Intern nutzen wir allerdings viel unterschiedliche Software, so dass die Umstellung noch andauert. In Zukunft werden wir natürlich bei neuen Diensten direkt auf Verschlüsselung setzten und direkt Zertifikate für diese beantragen bzw. erstellen.
Die Entwicklung in dem Bereich schreitet fortlaufend voran. Immer wieder werden reale Angriffe auf die Verschlüsselung entdeckt, andere sind hingegen nur theoretischer Natur. Dazu gibt es auch Sicherheitslücken in verwendeten Programmen und Bibliotheken, man erinnere sich z.B. an Heartbleed, welches Millionen von Webseiten betraf. Sicherheit ist also kein Thema, an das jemals ein Haken gesetzt werden kann.

Email this to someoneTweet about this on TwitterShare on LinkedInShare on FacebookShare on Google+Pin on PinterestShare on Reddit

Antworten

Über Uns

Die Invitel Unternehmensgruppe ist einer der führenden Anbieter für Prozess-Services in Deutschland. 15 Unternehmen in 3 Marken unter dem Dach der Invitel Unternehmensgruppe setzen je nach Aufgabenstellung individuelle Projekte für Unternehmenskunden im Netzwerk um.

Blog

header_interview
header
header
header_unbefristeter-vertrag
header
header_2
header
braunschweig-8570-001
header

Onlinebewerbung

Bewirb dich einfach und schnell über unser Bewerberportal auf eine von dir ausgewählte Position in unserem Unternehmen. Wir freuen uns auf deine Bewerbung!

bewerben

Call Back

Verwenden Sie unseren kostenlosen Call Back Service für ein persönliches Gespräch mit uns und wir rufen Sie zurück.

Hauptmenu