Dr. Rolf Lindemann, TC TrustCenter

Von: Thomas Heinen

Kurzinterview mit Dr. Rolf Lindemann, Director Product Management bei TC TrustCenter

Dr. Rolf Lindemann, Director Product Management bei TC TrustCenter

ITD: Wie können Verschlüsselungslösungen dabei helfen, Daten auf
mobilen Endgeräten sowie den Zugriff auf Unternehmensapplikationen zu schützen?
Dr. R. Lindemann: Typischerweise unterscheiden wir hier zwischen zwei unterschiedlichen Szenarien. Soll auf Unternehmensapplikationen zugegriffen werden, ist es wichtig, dass bei der sicheren Authentisierung eines Benutzers keine Daten über ein unauthentisiertes System übermittelt werden. Der Einsatz von Benutzernamen/Passwort oder Einmal-Passwörtern ist beispielsweise sehr unsicher, da diese leicht durch Phishing-Server abgefangen und missbraucht werden. Viel sicherer und häufig sogar einfacher in der Anwendung sind Zertifikate: Die Authentisierungsdaten werden hierbei nicht direkt übertragen und es sind  typischerweise weniger Tastatureingaben notwendig, da die Zertifikate entweder im Rechner direkt oder aber in einer Chipkarte bzw. USB-Token gespeichert werden. Sollen dagegen wichtige Daten auf dezentralen Medien gegen Missbrauch – etwa durch in Taxen vergessene Notebooks, verlorene USB-Sticks oder gestohlene und dann evt. auch weiterverkaufte Handys - geschützt werden, verhindert nur eine zuverlässige Datenverschlüsselung den Zugriff durch Unbefugte.

Vom einfachen passwortbasierten Schutz bis zu sehr sicheren chipkartenbasierten Verfahren können viele Methoden für die Datenträgerverschlüsselung eingesetzt werden. Der oft genutzte Kennwortschutz bei Dokumenten ist keine zuverlässige Verschlüsselung und schützt nicht vor Missbrauch, wenn die Daten in die falschen Hände kommen. Auch mit herkömmlichen Methoden gelöschte Dateien (z.B. auf Festplatten) können oft nicht restlos entfernt werden.
 
ITD: Wie stellen Unternehmen sicher, dass sie jederzeit auf ihre
verschlüsselten Daten zugreifen können?
Dr. R. Lindemann: Für einen jederzeit herstellbaren kontrollierten Zugriff durch befugte Personen auf verschlüsselte Daten, existieren üblicherweise zwei Möglichkeiten. Ein durch alle zur Verschlüsselung genutzten Systeme durchgängig unterstütztes „Message Recovery“-Verfahren, beim dem ein zusätzlicher Verschlüsselungsschlüssel eingesetzt wird (Additional Decryption Key, ADK), so dass alle Nachrichten immer auch an einen weiteren "Empfänger" verschlüsselt werden. Dieser weitere Empfänger ist in der Regel eine Rolle und keine natürliche Person. Eine Alternative hierzu ist das „Key Escrow“-Verfahren, bei dem Unternehmen in einem definierten Prozess - typischerweise in einem 4-Augen Prinzip - die Wiederherstellung eines bestimmten privaten Schlüssels zur Entschlüsselung initiieren. Dieser Prozess muss im Unterschied zu Message Recovery nicht von den zur Verschlüsselung genutzten Systemen unterstützt werden. Der Zugriff auf ein System zum Entschlüsseln reicht hierbei aus.