Public Key Infrastructure
Axians schützt mit PKI den diakonischen Altenhilfeträger -Dienste für Menschen-
Windows-Server und Hardware-Sicherheitsmodul schützen personenbezogene Daten
In der Regel nutzt ein Netzwerk eine Public Key Infrastructure (PKI), damit nur Berechtigte auf IT-Ressourcen und sensible Daten zugreifen können. Wer jedoch diese Sicherheitsvorkehrung ausschließlich softwaretechnisch über Windows Server abbildet, macht diese zu potenziellen Angriffszielen.
Eine praxisrelevante Security-Lösung liegt in der Kombination aus Soft- und Hardware, wie sie Axians für den diakonische Altenhilfeträger „Dienste für Menschen“ umgesetzt hat.
Beim Designen eines Netzwerkes steht heute stets ein verbindlicher Punkt auf der Agenda: Das Aufsetzen einer Public Key Infrastructure (PKI). Diese stellt Zertifikate aus, mit denen sich Anwender, Clients wie Computer oder andere Geräte gegenüber einem Netzwerk authentifizieren. Mit den Zertifikaten lassen sich zudem Daten signieren und verschlüsseln. Genutzt werden hierbei asymmetrische Verschlüsselungsverfahren, die auf einem Schlüsselpaar aus privatem und öffentlichem Schlüssel beruhen. Darüber hinaus verwaltet und speichert die Sicherheitsinfrastruktur die Schlüssel und Zertifikate.
Eine PKI allein auf Windows-Servern macht angreifbar
Allerdings entspricht es nicht mehr den aktuellen Sicherheitsanforderungen, die gesamte PKI auf Windows Servern zu betreiben. Denn es bleibt die Gefahr, dass Hacker sensible Daten wie Passwörter und kryptographische Schlüssel aus dem eigentlich geschützten Speicher des Betriebssystems auslesen könnten. Dazu bräuchten lediglich Angriffsszenarien wie Spectre oder Meltdown und Schwachstellen in Prozessorchips zusammenkommen, die Security-Forscher unter anderem auf Intel- und AMD-Chips entdeckt haben. In einer solchen Konstellation könnten Cyber-Kriminelle eine PKI aushebeln und kompromittieren. Unternehmen und Organisationen müssen folglich handeln, wenn bei ihnen ein Windows-Server sensible, personenbezogene Daten verschlüsselt und Übertragungswege sichert. Diese Schlussfolgerung zog der diakonische Altenhilfeträger „Dienste für Menschen“.
„Dienste für Menschen“ betreut und pflegt rund 1.600 bedürftige Menschen in 23 Einrichtungen in Baden-Württemberg, Bayern und Sachsen. In der Zentrale in Esslingen managt ein vierköpfiges IT-Team die rund 100 Server und virtuelle Maschinen (VMs) sowie gut 550 Clients der Organisation. Im Zuge der Einführung von Windows Server 2016 wollte der Altenhilfeträger seine bestehende PKI auf das neue Netzwerkbetriebssystem übertragen und an die heutige sowie künftige Bedrohungslage anpassen. Das bedeutet vor allem eines: In eine zweistufige PKI wird ein Hardware Sicherheitsmodul (HSM) integriert, wozu der langjährige IT-Partner und -Dienstleister Axians IT Solutions das Konzept erstellte und die Implementierung übernahm.
In zwei Stufen zum digitalen Schlüssel in einer Sicherheits-Appliance
Das zweistufige PKI-Design ist heute Standard. Die erste Ebene bildet dabei eine Root CA (Certification Authority). Dieser Server gehört nicht zum Netzwerk. Er autorisiert die untergeordnete Zertifizierungsstelle, die Enterprise CA. Diese ist Bestandteil des Netzwerks und stellt die Zertifikate für die Endgeräte und Nutzer aus. Die Root CA kann das Zertifikat für die Enterprise CA widerrufen, falls Cyberkriminelle auf ein Zertifikat zugreifen sollten. In diesem Widerrufsszenario gilt nichts mehr, wofür die Enterprise CA zuständig ist. Im Normalbetreib authentifiziert die Enterprise CA einen Client, in dem es die Zertifikatsseriennummer des Clients über einen Sperrliste abgleicht. Diese enthält die abgelaufenen Zertifikate und liegt auf einem Webserver ab.
Den entscheidenden Sicherheitsgewinn für „Dienste für Menschen“ bringt ein HSM, das eine manipulationssichere Umgebung bildet. In dieser erzeugt ein dedizierter Krypto-Prozessor Zertifikate und das dazugehörige Paar aus öffentlichem sowie privatem Schlüssel. Ein HSM übernimmt außerdem das Speichern und Verwalten der Schlüssel. Dazu zählt auch das Enterprise CA Zertifikat, das als Schlüssel für die PKI dient und alle Zertifikate ausgibt sowie signiert. Die Security-Appliance kann alle gespeicherten Inhalte automatisch löschen, wenn ein Angreifer versucht, das Gehäuse aufzuschrauben und die Speicherchips auszulesen. Selbst wenn Hacker in ein Netzwerk eindringen, hat das keine gravierenden Folgen. Die Cyberkriminellen können zwar verschlüsselte Daten abgreifen. Diese nutzen ihnen jedoch nichts, weil sie keinen Zugriff auf die Schüssel im HSM haben.
Schlüssel-Backup und -Recovery als Zwischenlösung
In der PKI des diakonische Altenhilfeträger generiert und speichert jetzt ein Thales SafeNet Luna 7 HSM (vormals Gemalto) die Schlüssel. Der Windows-Server, also die Enterprise CA, legt die sicherheitsrelevanten Daten auf dem HSM ab. Dieses Gerät und der Windows-Server kommunizieren über ein gesichertes Netzwerk. Die so eingebundene Appliance bietet bis zu 100 kryptografisch getrennte Partitionen, die jeweils wie ein unabhängiges HSM funktionieren. Daraus ergibt sich die Option, auch Datenbanken oder VMs zu verschlüsseln. In der Appliance steckt zudem ein spezielles Backup-Device, das für ein Backup und Recovery für das Schlüsselmaterial konfiguriert wurde. Für 2020 plant „Dienste für Menschen“, seine PKI über ein zweites HSM redundant abzusichern. Derzeit bereitet das IT-Team auch die Umstellung auf Hyper-V Shielded VM vor. Hierbei sichern Secure Boot, BitLocker-Verschlüsselung, virtuelle Trusted Platform Module (TPM) und Host Guardian eine VM in der Windows-Server-2016-Umgebung zusätzlich ab.
DSGVO-konformer IT-Zugriff und Automatisierungseffekte
Das Beispiel des diakonischen Altenhilfeträgers „Dienste für Menschen“ zeigt, wie sich in der Praxis personenbezogene Daten nach dem Stand der Technik absichern lassen – genauso wie es die EU-DSGVO verlangt. Eine PKI, in der ein HSM integriert ist, schützt die sensiblen Patientendaten auch vor neuartigen Angriffsszenarien. Die Sicherheits-Appliance sorgt dafür, dass verschlüsselte Daten auch im Falle eines Angriffs sicher bleiben. Neben diesem Sicherheitsgewinn spart das Umstellen auf eine moderne PKI wertvolle Zeit beim Administrieren, da alle Server mit demselben Betriebssystem arbeiten und viele Prozesse automatisiert ablaufen. So musste das IT-Team vorher Zertifikatssperrlisten jede Woche von Hand auf den Webserver kopieren. Das Update wird nun automatisch angestoßen und realisiert, was sich im Monitoring nachvollziehen lässt.