Herkömmliche Sicherheitskonzepte weisen trotz eines hohen administrativen Aufwands oft eklatante Schwachstellen auf. Abhilfe schaffen neue, ganzheitliche Security-Strategien, die Endgeräte, Übertragungswege und Rechenzentren mit einbeziehen. Zum Beispiel eine vollständig gekapselte Anwendungsumgebung, die zu schützende Anwendungen und Daten vom Rest der IT abschottet. In seinem Blogbeitrag „Sichere Anwendungen trotz unsicherer Infrastrukturen“ beschreibt Harry Schäfle, Lead Program Manager bei Fujitsu, welche Bestandteile – vom geschützten Serverrack bis zum Handvenenscan – ein solches Konzept umfasst und wie es den Spagat zwischen Sicherheit und Anwenderfreundlichkeit ermöglicht.
3 Fragen an Harry Schäfle, Lead Program Manager bei Fujitsu
Herr Schäfle, Sie forschen gemeinsam mit Ihrem Team an neuen Sicherheitskonzepten. Welchen Ansatz verfolgen Sie dabei?
Herkömmliche Sicherheitskonzepte bestehen in der Regel aus vielen Einzelmaßnahmen, die mehr oder minder gut harmonieren, wie etwa Firewalls, Virenscannern und Virtual Private Networks (VPN). Entsprechend hoch ist der administrative Aufwand, um zumindest ein Mindestmaß an Sicherheit zu gewährleisten – insbesondere bei der Anbindung mobiler Geräte. Zahlreiche aufgedeckte Sicherheitslücken, erfolgreiche Angriffe von außen sowie Datendiebstahl durch eigene Mitarbeiter zeigen jedoch ihre Schwächen deutlich auf. Gefragt sind daher neue, ganzheitliche Sicherheitskonzepte, welche Endgeräte, Übertragungswege und Rechenzentren umfassen. Daher entwickeln wir eine vollständig gekapselte Anwendungsumgebung: Diese schottet mittels einer Software-basierten Architektur zu schützende Anwendungen und Daten vom Rest der IT ab. Da alle in ihr vorhandenen Informationen stets verschlüsselt sind – selbst, wenn sie im Arbeitsspeicher liegen oder vom Prozessor verarbeitet werden – entfallen viele klassische, bisherige Angriffspunkte.
Mit welchen technischen Mitteln erreichen Sie die hohen Sicherheitsstandards?
Im Rahmen unseres umfassenden Ansatzes werden mögliche Einbruchstellen sowohl bei der Übertragung, als auch auf Seiten der Endgeräte und im Rechenzentrum geschlossen. Zum Einsatz kommt dabei eine Vielzahl von Einzelmaßnahmen. Diese umfassen unter anderem die Absicherung der Ein- und Ausgabefunktionen von Endgeräten, das Isolieren von Applikationen („Sandboxing“), die Überwachung der Schnittstellen und des Speichers, eine kaskadierte Verschlüsselung sowie auf Rechenzentrumsseite durchgehendes Monitoring und eine neuartige Multifaktorenabsicherung.
Bestandteil des von Fujitsu an den Forschungs-und Entwicklungsstandorten Augsburg, München und Paderborn entwickelten Konzepts sind auch speziell geschützte Sicherheitsgehäuse bzw. Serverracks, die wir erstmals auf dem Fujitsu Forum im November der Öffentlichkeit zeigen werden. Bei einem nicht autorisierten Zugriff wird entweder ein Alarm ausgelöst oder das System heruntergefahren. Zudem werden innerhalb des Rechenzentrums verschiedene, abgetrennte Sicherheitszonen eingerichtet und der Zugriff auf die Systeme nur nach einer gleichzeitigen Autorisierung durch mehrere befugte Personen freigeschaltet („Dedicated Multiple Eyes Authentication“).
Ein entscheidender Faktor – und häufig die entscheidende Schwachstelle – bei der IT-Sicherheit ist die eindeutige Authentifizierung der Anwender. Welchen Lösungsvorschlag haben Sie für dieses Problem?
Wie die zahlreichen Meldungen der vergangenen Zeit zeigen, können Passwörter oder Zugangskarten in der Tat leicht in die falschen Hände geraten. Dann helfen selbst sehr lange Passwörter nicht mehr. Diese sind zudem von den Anwendern schlecht zu merken und werden deshalb häufig gut sichtbar notiert – und somit ad absurdum geführt. Diesen Spagat zwischen Sicherheit einerseits und Anwenderfreundlichkeit andererseits zu bewältigen, helfen zunehmend biometrische Authentifizierungslösungen. Als derzeit sicherstes und zugleich komfortables Verfahren hat sich die Nutzererkennung per Handvenenscan herausgestellt. Daher setzen wir auf ein Verfahren namens PalmSecure, das Anwender eindeutig per Infrarotscan ihres Venenmusters in der Hand identifiziert. Es ist für stationäre Anwendungen, wie etwa den Zugang zum Rechenzentrum oder der Authentifizierung am Server-Rack, ebenso geeignet wie für den Einsatz in mobilen Endgeräten.