Datensicherheit

Intern setzt das WZR seit langem auf eine konsequente Umsetzung von IT-Sicherheitsrichtlinien. Die geschaffene Infrastruktur schützt dabei nicht nur die Daten unserer Kunden und Kooperationspartner vor Fremdzugriff und Informationsabfluss, sondern auch die langfristige Integrität der Daten wird in höchst möglichen Maße sichergestellt.

Mit der internen Sicherheit hört bei uns der Schutz von Daten und Informationen nicht auf. Wir sind erst zufrieden, wenn das bei uns generierte Wissen sicher bei unseren Kunden und Projektpartnern angekommen ist. In diesem Bereich unseres Webauftritts möchten wir Sie von der Wirksamkeit und dem Nutzen von Verschlüsselungstechnologien sensibilisieren.

Risiko Internet

Das Internet ist für den Informationsaustausch inzwischen fast nicht mehr weg zu denken. Allerdings sollte man sich mit den Risiken des Netzes vertraut machen. Sobald Sie mit sensiblen Informationen hantieren, ist der (unbemerkte) Verlust von Informationen ein Desaster. Jede ungesicherte Information wird wie auf einem Marktplatz hinausposaunt und Sie wissen nie, wer Ihre Datenpakete auf dem Weg zum Empfänger mitliest, kopiert oder manipuliert. Daten die Sie in ein benachbartes Büro senden, können im Extremfall einmal um die ganze Welt geschickt werden. Sobald Sie ein Datenpaket (egal ob E-Mail, Webseiten, Newsgruppen, etc…) über Ihren Internetanschluss versendet haben, verlieren Sie die Kontrolle über die Daten und damit über die enthaltenen Informationen.

Das WZR bietet Ihnen daher die Kommunikation per E-Mail und den Austausch von Dateien über verschiedene, verschlüsselte Wege an. Dabei kommen standardisierte Techniken zum Einsatz, die einen hohen Sicherheitsfaktor bei einfacher Bedienung bieten. Machen Sie mit! Schützen Sie Ihren Wissensvorsprung vor unbekannten Dritten und vermeiden Sie langfristige Schäden für Ihr Unternehmen.

Die nötigen Techniken sind kostenfrei verfügbar.

Weiterer Service

Oft ist es der Wunsch unserer Kunden und Partner die Arbeitsergebnisse des WZR als elektronische Versionen erhalten zu können. Dies hat vor allem den Vorteil der Verkürzung der Zeitspanne zwischen Auftragserteilung und (Vorab-)Lieferung der Ergebnisse. Dabei stellt sich zwangsweise die Frage nach einer sicheren Übermittlung der Daten. Den einfachsten Weg stellt eine Übermittlung per verschlüsselter E-Mail dar. Allerdings steht dieser Weg nicht immer offen. Dies kann zum einen an nicht vorhandenen E-Mailzertifikaten liegen und zum anderen an Größenbeschränkungen für E-Mails scheitern.

Beide Probleme lösen wir mit unserem per Let’s Encrypt Zertifikat gesicherten Datentauschservice. Das garantiert Ihnen für den Transport Ihrer Daten eine starke Verschlüsselung und Sie können darauf vertrauen mit dem richtigen Server verbunden zu sein. Das genutzte Zertifikat der Serververbindung können Sie Überprüfen, in dem Sie die Informationen zu der sicheren Verbindung aufrufen. Vergleichen Sie den SHA256-Fingerabdruck mit dem folgenden Fingerabdruck:

 

SHA256-Fingerabdruck unseres Datentauschservers:

CE:04:84:0C:0C:3D:62:5B:EC:52:99:E3:32:F3:A7:59:C6:C6:C1:10:B5:BD:15:DA:2C:7D:71:0B:58:F3:EC:A1

 

Unsere Identitätsprüfung und die Unterzeichnung des Serverzertifikates wurden von Let’s Encrypt unterzeichnet.

Der Datenaustausch über unsere verschlüsselte Webseite stellt für Sie die einfachste Form zum Erhalt Ihrer Daten dar. Die Zugangsdaten zum Datentauschsystem bekommen Sie von uns übermittelt.

Unsere Mitarbeiter können die zur Verfügung gestellten Daten optional mit einem Kennwort schützen sowie den Downloadzeitraum beschränken. Ein zeitnaher download der Daten ist daher ratsam.

Die Verschlüsselung von E-Mails wird von vielen als zu kompliziert und unnötig empfunden. Natürlich birgt die Technik eine gewisse Komplexität, allerdings bekommt der Endanwender von modernen Mailprogrammen davon nichts mehr mit. Wir haben an dieser Stelle die wichtigsten Fragen und Hintergründe zusammengestellt und hoffen Sie von den Vorteilen gesicherter Kommunikation überzeugen zu können.

E-Mails sind wie Postkarten… … oder versenden Sie Ihre sensiblen Firmendaten auf Postkarten?
Die E-Mail ist ein bequem zu benutzendes Kommunikationsmittel. Da es schnell und einfach zu handhaben ist, werden auch sensible Informationen oder Dokumente gerne auf diesem Weg versandt. Aber was passiert eigentlich mit der E-Mail sobald sie Ihr Firmengelände verlassen hat und bevor sie den Empfänger erreicht? Genau vorhersagen kann man das leider nicht. Die dezentrale Architektur des Internets kann die Nachricht einmal um die Welt leiten. Bedenken Sie, dass eine E-Mail im Klartext von jedem System, durch welches sie geleitet wird, wie eine Postkarte mitgelesen, kopiert oder verändert werden kann. Auch wenn Sie offenbar nicht im Fokus virtueller Angriffe stehen, so erlauben automatische Systeme einem Angreifer die Auswertung großer Datenmengen in kurzer Zeit. Die dabei abgegriffenen Informationen können einen langfristigen und oft unbemerkten Schaden für Ihr Unternehmen bedeuten.
Verschlüsselung ist Standard… … oder benutzen Sie keine Briefumschläge?
Die „Public Key Verschlüsselung“ ist in den letzten Jahren zu einem ausgereiften Standard herangewachsen. Praktisch jedes aktuelle E-Mailprogramm verfügt über die nötigen Funktionen. Sie brauchen daher keine zusätzliche Software. Alles was Sie benötigen ist ein gültiges Zertifikat für Ihre E-Mailadresse.
Ein Briefumschlag ist aus Papier… … und was ist ein Zertifikat für die E-Mailverschlüsselung?
Ein digitales Zertifikat besteht aus Informationen über Sie und Ihre Organisation sowie Ihrem persönlichen Schlüsselpaar. Das Schlüsselpaar besteht aus dem „privaten“ und „öffentlichen“ Schlüssel. Diese können Sie sich einfach als einen Salat aus Zahlen und Buchstaben vorstellen. Ihre Unterschrift: Im realen Leben würden Sie einen Brief unterschreiben und damit versichern, dass dieser von Ihnen stammt. Analog dazu können Sie Ihre E-Mails mit Hilfe des Zertifikates „digital signieren“. Der Empfänger kann anhand der Signatur prüfen, ob die E-Mail manipuliert wurde und er erhält über die Signatur Ihren öffentlichen Schlüssel (Public Key). Eine E-Mail kann signiert werden, ohne diese zu verschlüsseln. Das entspricht einer unterschriebenen Postkarte. Ihr Briefumschlag: Der öffentliche Schlüssel stellt eine Art (Rück-)Umschlag dar. Mit dem Public Key einer anderen Person können Sie eine E-Mail an diese Person verschlüsseln. Sie verpacken Ihre Nachricht bildlich gesprochen in einen Briefumschlag. Die Besonderheit liegt darin, dass dieser Briefumschlag nur mit dem privaten Schlüssel (Private Key) des Empfängers geöffnet werden kann.
Briefumschläge kann man kaufen… … Zertifikate auch, aber geht es auch anders?
Der Vorteil kommerzieller Zertifikatsaussteller (z. B. Trustcenter, VerySign, Deutsche Telekom, …) ist die Einbindung von deren Stammzertifikaten in gängige Software. Anhand der Stammzertifikate und einigen weiteren Techniken wird die Gültigkeit von persönlichen Zertifikaten überprüft. Darüber hinaus prüfen diese Zertifikatsautoritäten die Identität der beantragenden Person/Organisation in der realen Welt. Diese Form der Zertifikate eignet sich besonders gut, wenn Sie mit einer breiten Öffentlichkeit kommunizieren wollen. Daneben gibt es auch kostenfreie Zertifizierungsorganisationen, deren Stammzertifikate bisher noch nicht in aktuelle Software eingeflossen sind (z. B. CAcert). Das WZR betreibt außerdem eigene „Public Key Infrastructure“ (PKI). Diese erstreckt sich in erster Linie über den eigenen Unternehmensbereich. Das bedeutet unsere Kunden, Partner und Lieferanten müssen zunächst unser Stammzertifikat in Ihre Liste der vertrauenswürdigen Stammzertifizierungsstellen aufnehmen. Danach werden die personalisierten Zertifikate der Mitarbeiter des WZR als gültig akzeptiert. So können wir Ihnen ein kostenfreies Zertifikat ausstellen und den E-Mailverkehr mit Ihnen effektiv schützen.
Komplizierte Theorie… … ist das in der Praxis einfach einzusetzen?
Ja, die Praxis erfordert nur wenige Handgriffe und danach können E-Mails einfach signiert und verschlüsselt werden. Die notwendigen Schritte sind im Prinzip für jede E-Mailsoftware gleich. Ein eleganter Ansatz ist die Einrichtung eines zentralen, automatisierten Systems (z. B. E-Mailgateway).
  1. Sie besorgen sich ein Zertifikat oder erhalten auf Wunsch eines vom WZR.
  2. Ihr Zertifikat für die eigene E-Mailadresse ist in Ihr E-Mailprogramm einzubinden.
  3. Importieren Sie unser Stammzertifikat in Ihre Liste der Zertifizierungsstellen.
  4. Austausch der öffentlichen Schlüssel:
    • Sie erhalten eine digital signierte E-Mail von uns. Diese Signatur ist genau einem unserer Mitarbeiter zugeordnet und beinhaltet seinen „Public Key“.
    • Sie antworten Ihrerseits mit einer digital signierten E-Mail.
  5. Austausch verschlüsselter E-Mails:
    • Empfang: Ihr E-Mailprogramm entschlüsselt die Nachrichten beim Öffnen automatisch.
    • Senden: Vor dem Versand müssen Sie ggf. auf verschlüsseln klicken. Alle uns bekannten Mailprogramme bieten dafür aber auch eine Automatik.
Bei technischen Fragen unterstützt Sie unsere EDV-Abteilung gerne.
Handeln Sie jetzt und schützen Sie Ihre geschäftsrelevanten Daten vor den Augen von unbekannten Personen und Organisationen!

Eine PKI stellt eine sehr gute Grundlage für die Verwendung von asymetrischen Verschlüsselungssystemen dar. Sie dient mit Ihrem streng hierarchischem Aufbau der Abbildung eines Systems von Vertrauensbeziehungen. In der Praxis werden diese Beziehungen über Zertifikate dokumentiert. An der obersten Spitze der Hierarchie steht das so genannte Root- oder Wurzelzertifikat. Mit diesem werden untergeordnete Zertifikate signiert und damit die Identität des jeweiligen Antragsstellers bestätigt. Das Rootzertifikat „vertraut“ also dem unterzeichneten Zertifikat. Wenn Sie bzw. Ihre Software dem Rootzertifikat vertrauen, dann Vertrauen Sie automatisch auch dessen untergeordneten Zertifikaten.

Warum ist die Vertrauensbeziehung zwischen Zertifikaten nun so wichtig?
Der Grund liegt in dem elementaren Zusammenhang zwischen der Verschlüsselung und den Identitäten der Kommunikationspartner. Wenn Sie eine verschlüsselte Nachricht erhalten, müssen Sie sicherstellen, dass diese auch von dem richtigen Absender stammt und die Absenderdaten nicht gefälscht sind. Das wird in der Praxis über die digitale Signatur gewährleistet. Neben der Verschlüsselung ist das die zweite wichtige Funktion eines Zertifikates.


Zertifizierungsstelle – Certificate Authority (CA)

Eine CA verwaltet eine PKI und übernimmt die Signatur von Zertifikatsanträgen. Sie stellt auch den öffentlichen Teil Ihres Rootzertifikates bereit. Die öffentlichen/komerziellen Zertifizierungsstellen (z.B. TC TrustCenter, VerySign, Post, etc.) überprüfen die Daten des Antragsstellers im realen Leben und haben den Vorteil einer weiten Verbreitung Ihrer Stammzertifikate in gängiger Software. Surfen Sie z.B. die Webseite Ihrer Hausbank an, so wird Ihr Webbrowser dem Zertifikat in der Regel sofort vertrauen, da das signiernde Stammzertifikat Ihrer Software bereits bekannt ist.

Rufen sie andererseits eine Webseite auf, die durch eine nicht komerzielle CA (z.B. CaCert), eine interne PKI der Organisation oder ein selbstsigniertes Zertifikat geschützt ist, so erhalten Sie eine Sicherheitswarnung. An dieser Stelle müssen Sie entscheiden, ob Sie dem entsprechenden Zertifikat vertrauen wollen oder nicht. Bei vorhanden PKIs können Sie die entsprechenden Stammzertifikate in Ihre Software importieren. Dann verhält sich Ihre Software genau wie bei einem gekauften Zertifikat.

Die Stärke der Verschlüsselung ist bei komerziellen und Non-Profit Zertifikaten identisch bzw. hängt von den angegebenen Parametern bei dessen Erstellung ab. Der signifikante Unterschied liegt lediglich in dem Erwerb der Vertrauensstellung.


Strukturen im WZR

Wir setzen auf einen gemischten Betrieb von öffentlichen Zertifikaten und interner PKI. Im Bereich gesicherter Webseiten und verschlüsseltem FTP haben sich die Zertifikate von komerziellen Anbietern bewährt. Da wir hier eine breite Öffentlichkeit ansprechen würden sich Warnmeldungen über beeinträchtigte Sicherheit an dieser Stelle nur störend auswirken und Verunsischerung hervorrufen.

Für den Bereich E-Mail und interne Systeme nutzen wir unsere eigene PKI. Um die E-Mail-Sicherheit zwischen uns und unseren Kunden und Partnern zu initieren, bedarf es sowieso des Austausches signierter E-Mails. Dabei unser Stammzertifikat zusätzlich zu übermitteln, ist nur ein ausgesprochen geringer Mehraufwand gegenüber einer komerziellen Lösung. Zusätzlich können wir unseren Kommunikationspartnern ein kostenfreies Zertifikat zur Verfügung stellen, falls diese nicht über eine PKI oder ein E-Mailzertifikat verfügen.

Damit Ihr Computer den Zertifikaten des WZR vertraut, müssen Sie zunächst unserer Zertifizierungsstelle das Vertrauen aussprechen. Dazu Installieren Sie zunächst unser Stammzertifikat (auch Wurzel- oder Rootzertifikat genannt) und danach je nach Bedarf (siehe Schritt 4) unsere Zwischenzertifizierungsstellen.

Die folgende Anleitung zeigt die Installation am Beispiel von Windows XP, gilt aber in ähnlicher Form auch für andere Varianten von Windows (z.B. Vista, Windows 7). Dabei werden die Zertifikate in die Zertifikatsverwaltung von Windows integriert. Viele Programme (z.B. Outlook, Internet Explorer) nutzen diese zentrale Sammelstelle für Ihre Sicherheitstechniken. Andere Software (z.B. Firefox, Thunderbird) bringt hingegen Ihre eigene Zertifikatsverwaltung mit. In diesem Fall sollten Sie unsere Zertifikate in die entsprechende Zertifikatsverwaltung der von Ihnen genutzten Software aufnehmen.


Durchführung der Installation

Schritt 1:

Möglichkeit A:
Ihnen liegen die einzelnen Zertifikate als Dateien mit der Endung .crt vor. Öffnen Sie die Ihnen vorliegenden Zertifikatsdateien mit einem Doppelklick. Beginnen Sie mit unserem Stammzertifikat (WZR_root_ca_2010.crt).

Möglichkeit B:
Sie haben einen Zertifikatsspeicher von uns erhalten (z.B. Ihre_Ansprechpartner.p7b). Öffnen Sie diese Datei mit einem Doppelklick. Es wird eine Microsoft Management Console (MMC) mit dem Zertifikats-Snap-In geöffnet. Erweitern Sie die Ordnerstruktur auf der linken Seite bis Sie im rechten Teil der MMC die Liste mit den Zertifikaten sehen. Machen Sie einen Doppelklick auf das Zertifikat mit der Bezeichnung „WZR – Common Root CA – 2010“.

Schritt 2:

Klicken Sie in der Zertifikatsanzeige (Karteireiter Allgemein) auf den Knopf „Zertifikat installieren…“.

Schritt 3:

Mit dem Zertifikatsimport-Assistent pflegen Sie das Zertifikat in die Windows Zertifikatsverwaltung ein. Im Regelfall brauchen Sie nur solange auf „Weiter“ zu klicken, bis Sie mit einem Klick auf „Fertig stellen“ den Vorgang abschliessen können. Bei der Installation unseres Stammzertifikates „WZR – Common Root CA – 2010“ gibt es eine zusätzliche Sicherheitswarnung. Damit Sie kein gefälschtes Zertifikat installieren, vergleichen Sie den in der Warnung angegeben Fingerabdruck mit den folgenden Zeichen (Leerzeichen und Groß-/Kleinschreibung dürfen variieren):

Fingerabdruck „WZR – Common Root CA – 2010“ (sha1):
D1:AE:F2:8E:00:11:06:0B:3C:35:C6:D2:0A:A2:FC:41:0C:9F:49:DA

Stimmen die Fingerabdrücke überein, so bestätigen Sie dies mit einem Klick auf „Ja“. Bei den Zwischenzertifizierungsstellen wird der Fingerabdruck nicht mehr abgefragt, da diese von dem Stammzertifikat abgeleitet sind und ihnen damit bereits vertraut wird. Falls Sie diese dennoch überprüfen möchten, können Sie in der Zertifikatsansicht unter dem Karteireiter „Details“ die Fingerabdrücke vergleichen. Sie lauten:

Fingerabdruck „WZR – SubCA Internal Users – 2010“ (sha1):
C5:9F:2B:B2:DC:33:0E:7E:D7:3F:A4:B2:0C:76:26:47:2F:DD:EB:ED

Fingerabdruck „WZR – SubCA External Users – 2010“ (sha1):
E6:7C:36:9A:78:92:B9:12:F4:E2:51:D1:68:4C:8A:DC:E8:A0:0A:81

Schritt 4:

Wiederholen Sie die Schritte 1-3 für unsere Zwischenzertifizierungsstellen. Da einzelnen Aufgabenbereichen in unserem Haus bestimmte Zwischenzertifizierungsstellen zugeordnet sind, benötigen Sie lediglich die Zwischenzertifikate der von Ihnen genutzten Dienste des WZR. Diese Trennung bietet den Vorteil, dass wir verschiedenen Diensten speziell angepasste Zertifikate zur Verfügung stellen können.

WZR – SubCA Internal Users – 2010:
Dateiname:
 WZR_subca_internal_users_31.crt
Aufgaben:
 Bestätigt die Zertifikate unserer Mitarbeiter.
Installieren Sie dieses Zertifikat, wenn …
 … Sie mit dem WZR verschlüsselte E-Mails austauschen.
 
WZR – SubCA External Users – 2010:
Dateiname:
 WZR_subca_external_users_32.crt
Aufgaben:
 Bestätigt die Zertifikate von Personen, denen das WZR ein Zertifikat ausgestellt hat und die nicht Mitarbeiter des WZR sind.
Installieren Sie dieses Zertifikat, wenn …
 … Sie ein persönliches Zertifikat für die E-Mail-Verschlüsselung von uns erhalten haben.
 … Sie mit jemanden verschlüsselt kommunizieren möchten, der ein Zertifikat von uns erhalten hat und nicht Mitarbeiter des WZR ist.

Damit ist die Installation der Zertifizierungsstelle des WZR abgeschlossen.


verwandte Dokumente

Falls Sie ein perönliches Zertifikat von uns erhalten haben, könnte Sie die Anleitung „Meine Zertifikat installieren“ interessieren.


bekannte Probleme

In einigen Fällen kommt es zu einer fehlerhaften Zuordnung unseres Stammzertifikates „WZR – Common Root CA – 2010“ durch den Zertifikatsimport-Assistenten. Dann landet das Zertifikat nicht bei den „vertrauenswürdigen Stammzertifizierungsstellen“ sondern bei den „Zwischenzertifizierungsstellen“. Folglich werden vom WZR ausgestellte Zertifikate als ungültig angesehen. In dem Artikel „Kontrolle der Zertifizierungsstellen“ zeigen wir Ihnen wie Sie überprüfen können, ob das Stammzertifikat korrekt installiert ist.

Beheben Sie das Problem in dem Sie das Stammzertifikat aus dem Zertifikatsspeicher für Zwischenzertifizierungsstellen entfernen. Führen Sie die Installation gem. dieser Anleitung erneut durch. Wählen Sie in Schritt 3 den Punkt „Alle Zertifikate in folgendem Speicher speichern“ aus, wenn Sie nach dem Zertifikatsspeicher gefragt werden. Klicken Sie anschließend auf „Durchsuchen“ und wählen Sie „Vertrauenswürdige Stammzertifizierungsstellen“ aus der Liste aus. Fahren Sie danach wie oben beschrieben mit „Weiter“ fort.

Ansprechpartner

Helmut Prasuhn
Subscribe to our regular newsletter
Abmeldung von unserem regelmäßigen Newsletter