Menü

Sicherheitssoftware für verteilte Systeme

vorlesen Drucken Kommentare lesen 13 Beiträge

Die Kontrolle und der Schutz sensibler und urheberrechtlich geschützter Daten wird mit der zunehmenden Digitalisierung und Vernetzung immer wichtiger und schwieriger. Gefahren drohen diesen Daten nicht nur in Form von Viren oder trojanischen Pferden aus dem Internet, sondern auch von den Mitarbeitern eines Unternehmens oder einer Behörde selbst. Mit dem Projekt CIPRESS (Cryptographic Intellectual Property Rights Enforcement SyStem) stellt nun die Mitsubishi Corporation auf der CeBit (Halle 16, Stand B23/2) ein neues Sicherheitskonzept vor, das vom Fraunhofer Institut für graphische Datenverarbeitung (IGD) in Darmstadt entwickelt wurde.

"Ziel unserer Forschungsarbeiten war ein umfassendes Sicherheitskonzept, das den Mißbrauch sensibler Informationen und die Verletzung von Urheberrechten verhindert – nach innen und außen" umreißt Christoph Busch vom IGD die Vorgaben des Projektes. Um dies praktikabel umzusetzen, erfolgt für jedes Dokument eine ständige automatische Verschlüsselung, ohne daß der Benutzer dies bei der Eingabe oder der Bearbeitung der Daten bemerkt oder er die Verschlüsselung verhindern kann. Gleichermaßen wird der Datentransfer innerhalb des Firmennetzes augenblicklich ver- und entschlüsselt. Benutzeraktivitäten an Dokumenten, die mehrere Anwender gemeinsam nutzen, lassen sich so überwachen. "Außer im Arbeitsspeicher des Clients werden die Daten jederzeit verschlüsselt gehalten und erzwingt somit die Einhaltung einer Sicherheitspolitik der jeweiligen Organisation".

Um bestimmten Arbeitsbereichen oder Personen einen Zugriff auf die verschlüsselten Dokumente zu gewähren, werden den Daten bei deren Erstellung dokumenten- und nutzerspezifische Schlüssel zugewiesen. Solange das Dokument innerhalb des gesicherten Bereiches verbleibt und nur von jenen Nutzern bearbeitet wird, die dazu berechtigt sind, arbeitet der Verschlüsselungsmechanismus unsichtbar im Hintergrund. "Will jemand jedoch ein verschlüsseltes Dokument an einem nicht mit dem Sicherheitssystem verbundenen, also fremden PC oder Laptop öffnen, oder verfügt er nicht über hinreichende Zugriffsrechte, so wird er nur Rauschen, d.h. verschlüsselte Daten sehen", erklärt Busch. Ausgehende E-Mails werden entweder nur verschlüsselt versandt, so dass auf Empfänger-Seite ebenso CIPRESS installiert sein muss, um die Daten lesen zu können. Oder jede unverschlüsselt ausgehende E-Mail muss durch den Sicherheitsadministrator explizit freigegeben werden. Selbst bei Diebstahl des kompletten Datenträgers bleiben die gespeicherten Daten dort in verschlüsseltem Zustand.

Um auch auf ausgedruckten Dokumenten eine gewisse Sicherheit zu gewährleisten, sind diese Dokumente mit einem digitalen, für den Betrachter nicht wahrnehmbaren Wasserzeichen versehen, das die Qualität des Bildes nicht verschlechtert, aber bei der Entschlüsselung Auskunft über den letzten Nutzer und den rechtmäßigen Besitzer des ausgedruckten Dokumentes Aufschluss gibt.

Die Entwickler halten CIPRESS in erster Linie interessant für alle Institutionen, die auf Grund der Vertraulichkeit der bearbeiteten Daten hohe Sicherheitsanforderungen haben. "Dies sind nicht nur Institutionen, die mit Verschlusssachen arbeiten, sondern ganz allgemein auch Industrieunternehmen, die sicherstellen wollen, daß zum Beispiel Forschungsergebnisse wirklich im Unternehmen bleiben", so Busch. CIPRESS läßt sich einfach in das Betriebssystem implementieren und arbeitet dort ähnlich wie ein Viren-Scanner still im Hintergrund. "Unter Windows NT handelt es sich dabei um Kernel-Erweiterungen in Form von Gerätetreibern, die alle Schreib- und Leseoperationen auf Datenträger und Netzwerkverbindungen kontrollieren und verschlüsseln".

In einem ersten Feldversuch 1999 hatten niedergelassene Ärzte aus dem Bereich Darmstadt-Heidelberg, die im Verband der Dermatologen organisiert sind, das CIPRESS System genutzt, um vertrauliche Patientendaten (uunter anderem über Hautkrebs) untereinander auszutauschen. "Im Rahmen dieser Second-Opinion Applikation wurde durch die teilnehmenden Ärzte bestätigt, dass die Handhabung des Systems wirklich unproblematisch ist" faßt Busch die Ergebnisse des damaligen Pilotprojekts zusammen. "Trainingszeiten waren kleiner 15 Minuten, ein Upload auf den ContentServer zum Zwecke des Austauschs mit den Kollegen ist nicht mehr als ein drag und drop im Explorer, wobei in einer Maske die Zugriffsrechte auf das Material definiert werden".

Das CIPRESS-Sicherheitssystem, das aus dem von Mitsubishi patentierten ReEncryption-Verfahren und dem vom IDG patentierten Digitalen Wasserzeichen besteht, wird jetzt von der Mitsubishi Corporation kommerziell angeboten. (Andreas Grote) / (wst)