Technik

Das Internet verbindet die Welt. Informationen können jederzeit und von überall abgerufen werden. Menschen können miteinander kommunizieren und Arbeitsergebnisse online austauschen. Teleworking ist das Schlagwort für die professionelle Nutzung des Internets: Der Programmierer mit den besten Qualifikationen sitzt leider in einem anderen Bundesland und kann/will nicht pendeln? Kein Problem. Dank des weltweiten Netzes kann er von zu Hause aus arbeiten und seine Ergebnisse einfach über das Internet an die Firma schicken. Ein Mitarbeiter auf Geschäftsreise bedeutet nicht mehr, dass die Arbeit aus seinem Tagesgeschäft einfach so lange liegen bleiben muss bis er zurück ist. Er kann z.B. per Email mit den Kollegen kommunizieren, Berichte schicken oder Entscheidungen fällen. Außendienstmitarbeiter können Kunden- und Vertragsdaten im Moment des Vertragsabschlusses online an das Firmenrechenzentrum übermitteln – schöne neue Welt!

Der Schönheitsfehler daran? Im Internet werden normalerweise alle Informationen im Klartext übermittelt. Das bedeutet, dass jeder, der über einen Internetzugang verfügt, theoretisch die Kommunikation aller anderen Internetuser mitlesen kann. Wenn Max mit Susi chattet, wird das höchstens peinlich für die beiden. Wenn ein "ausreichend motivierter Angreifer", wie er in der einschlägigen Literatur und Presse oft genannt wird, die Kommunikation einer Firma mithört, kann daraus großer finanzieller Schaden entstehen.

Kundendaten, Details über den nächsten großen Auftrag, Probleme bei der Konstruktion des Nachfolgers des Flagschiff-Produktes...
Gerade börsenotierte Firmen sind oft davon abhängig, dass solche und ähnliche Daten geheim bleiben. Selbst wenn es der Firma eigentlich gut geht, können Gerüchte den Kurs und damit den Wert der Firma stark beeinträchtigen.
Für kleinere Firmen kein Problem, denken Sie? Denken Sie noch mal nach... Angebotsdaten für einen öffentlich ausgeschriebenen Auftrag könnten für Ihre Konkurrenz höchst interessant sein. Plötzlich bietet der Mitbewerber um ein paar hundert Euro weniger und Sie sind aus dem Rennen.

Wie kann man also die Vorteile der lichtschnellen, weltweiten Kommunikation nutzen und gleichzeitig die selbe Sicherheit genießen wie in einem geschlossenen Konferenzraum mit vertrauten Mitarbeitern und Kollegen?

Offen gesagt: schwer! Der erste Schritt zur Informationssicherheit ist der, sich bewusst zu machen, welche Informationen man über welche Kanäle senden darf und welche nicht. Informationen, die die Sicherheit von Staaten, das Leben von Personen oder ähnlich gravierende Werte gefährden, sollten das Geld für einen Kurier mit entsprechender Bewachung wert sein. Diese Informationen gehören aber auch eher in den Bereich von James-Bond-Filmen, und nicht in diesen Artikel.
Für Firmen, die vermeiden wollen, dass Unbefugte ihre Online-Kommunikation abhören, gibt es eine einfachere und kostengünstigere Lösung – ein Virtuelles Privates Netzwerk im Internet.

Diese Technologie ermöglicht es, geschützte Netzwerke innerhalb eines anderen, vielleicht öffentlichen Netzes zu erstellen. Auf der Internet-Protokoll-Ebene werden dabei ganz normale Datenpakete von A nach B gesandt, allerdings ist der Inhalt dieser Pakete wiederum ein verschlüsseltes Datenpaket. Der Angreifer kann also nach wie vor den Datenverkehr im Internet mitverfolgen. Aber diesmal bekommt er nur verschlüsselten Codemischmasch, mit dem er nichts anfangen kann.

Erst durch den richtigen Schlüssel wird aus dem Code wieder eine lesbare Information. Auf diesem Weg entsteht ein "Tunnel" durch das Internet, durch den Daten geschützt transportiert werden können (siehe Abb.).

Der PC des Teleworker baut dabei eine normale DFÜ-Verbindung mit seinem Service-Provider auf und gelangt so ins Internet. Das Firmen-Intranet ist ebenfalls mit dem Internet verbunden. Zwischen Intranet und Internet exisitert ein VPN-Gateway. Zwischen diesem Gateway und dem Rechner des Teleworkers wird zunächst eine Punkt-zu-Punkt-Verbindung aufgebaut.

Dazu muss sich der Teleworker authentisieren. Das kann auf mehreren Wegen geschehen, etwa über eine Passwort-Abfrage. Sicherer, und in der Praxis auch verbreiteter, sind Public/Private-Key-Verfahren. Hierbei generieren sowohl der Teleworker-PC als auch das VPN-Gateway einen öffentlichen Schlüssel, der im Klartext publiziert werden kann, und einen privaten, der geheim gehalten werden muss.

Erreicht werden sollen die drei Grundlagen der sicheren Kommunikation:

  • Authentizität - Die Nachricht soll vom richtigen Absender stammen
  • Integrität - Die Nachricht soll unverändert ankommen
  • Vertraulichkeit - Die Nachricht soll nicht von Dritten gelesen werden können

Um die Vertraulichkeit zu erreichen, wird, wie schon gesagt, Verschlüsselung eingesetzt. Beim Public-Key-Verfahren wird dabei die Nachricht vom Client mit dem öffentlichen Schlüssel des Gateways chiffriert und von diesem mit seinem privaten Schlüssel wieder dechiffriert. Um die Integrität zu gewährleisten, werden zu den Nachrichten Hash-Werte berechnet. Der Hash-Wert wird dann ebenfalls verschlüsselt übertragen. Der Empfänger muss nun selber den Hash-Wert der Nachricht berechnen und mit dem e mpfangenen vergleichen. Diese Hash-Werte müssen sich dadurch auszeichnen, dass es für einen bestimmten Text nur eben diesen einen Hash-Wert gibt. Beziehungsweise darf es keinen anderen, sinnvollen Text mit dem selben Hash-Wert geben. Sonst könnte ein möglicher Angreifer die beiden Texte ja einfach ersetzen.

Um sicherzustellen, dass die beiden Kommunikationspartner auch wirklich die sind, für die sie sich ausgeben, genauer gesagt, dass der öffentliche Schlüssel auch tatsächlich demjenigen gehört, mit dem ich kommunizieren will, gibt es Zertifikate. Diese werden von unabhängigen Zertifizierungsstellen ausgestellt und jeder kann dort vergleichen, ob ein bestimmter öffentlicher Schlüssel auch zu einem bestimmten Zertifikat gehört.

Eine der bekanntesten VPN-Implementierungen für das Linux-Betriebssystem ist FreeS/WAN, und es ist als Open Source verfügbar (http://www.freeswan.org). Diese Bezeichnung steht für Free Secure/Wide Area Network. FreeS/WAN benutzt den Standard IPsec (Internet Protocol Security). Genauer gesagt das ESP (Encapsulating Security Protocol) zur Datenverschlüsselung und IKE-Protokoll (Internet Key Exchange) zur Authentifizierung. Mit FreeS/WAN kommt KLIPS (Kernel IPsec), das das ESP-Protokoll in den Kern des Betriebsystems integriert, sowie Pluto, ein IKE-Daemon, der den Verbindungsaufbau mit anderen Rechnern übernimmt. Mit der FreeS/WAN-Software ist es möglich, VPN-Tunnel sowohl stationär, z.B. zwischen zwei Büro-LANs, aufzubauen:

Aber auch eine sogenannte Roadwarrior-Konfiguration, also das Anbinden mehrerer Client-PCs/Laptops über das Internet an das Firmen-LAN, ist möglich:

Viele Linux-Distributionen werden "out-of-the-box" mit FreeS/WAN geliefert (z.B. SuSE, Mandrake, Debian, ...). FreeS/WAN kann sowohl Unix-ähnliche, MacOSX- und Windows2000/XP-Clients bedienen, sofern diese eine ESP- und IKE-Implementierung besitzen. Avalaris hilft Ihnen gerne dabei, weiter herauszufinden, ob ihr Betriebssystem mit FreeS/WAN oder ähnlichen IPsec-Implementierungen kompatibel ist.

Das Ver- und Entschlüsseln erfordert Rechenarbeit, abhängig davon wie hochgradig die Verschlüsselung sein soll. Außerdem erzeugt der VPN-Tunnel einen Daten-Overhead. Dadurch wird der tatsächliche Nutz-Datendurchsatz etwas reduziert. Bei sehr schmalbandigen Internetverbindungen (z.B. über GSM oder langsame Analog-Modems) können die Datenübertragungsraten extrem niedrig werden. Besonders das VPN-Gateway sollte daher ein leistungsstärkeres Gerät sein.

Viele Router- und Modemhersteller liefern auch Geräte mit fest integrierter IPsec-Unterstützung. In den meisten Fällen muss man allerdings nachfragen, welche Datenübertragungsraten durch einen VPN-Tunnel zu erwarten sind, da oft nur die "maximalen" Bandbreiten für den Internetzugang in den technischen Daten angegeben werden.

(Bildquelle: Bundeskanzerlamt, Stabstelle IKT - http://www.cio.gv.at/securenetworks/vpn/)

nach oben  Zurück nach oben