Erweiterte Public Key Infrastructure bei „Dienste für Menschen“Die Schlüssel kommen in den Safe
14. Januar 2020
„Dienste für Menschen“ setzt schon länger auf eine Public Key Infrastructure, um sensible personenbezogene Daten vor unerlaubtem Zugriff zu schützen. Die Umstellung auf ein neues Netzwerkbetriebssystem nutzt der diakonische Altenhilfeträger, um das bisherige Sicherheitskonzept von Axians IT Solutions modernisieren zu lassen. Ein Hardware-Sicherheitsmodul spielt die Schlüsselrolle in dem Ansatz, der auf ein hohes Sicherheitsniveau und Automatisierung fokussiert.
Der diakonische Altenhilfeträger „Dienste für Menschen“ sitzt in Esslingen, betreut und pflegt rund 1.600 bedürftige Menschen in 23 Einrichtungen, die sich auf Baden-Württemberg, Bayern und Sachsen verteilen. Ähnlich anspruchsvoll wie die Pflege- und Hilfsdienste sind auch die Aufgaben, die das interne vierköpfige IT-Team täglich löst. Es managt knapp 100 Server und virtuelle Maschinen (VMs), rund 550 Clients und eine Public Key Infrastructure (PKI). Über diese sichern die IT-Fachleute den Zugriff auf die IT-Ressourcen ab.
Eine PKI schützt vor der wachsenden Bedrohung aus dem Netz – erinnert sei an Angriffsszenarien wie Spectre und Meltdown. Deshalb wollten die IT-Fachkräfte des diakonischen Hilfsdienstes die Einführung von Windows Server 2016 für ein modernes Setup nutzen. Ihr Sicherheitsanspruch lässt sich mit dem Umziehen und Adaptieren der PKI auf das neue Betriebssystem nicht erreichen, denn das alte Design setzte lediglich ein einstufiges Sicherheitskonzept um. Insgesamt kristallisierte sich ein komplexes Projekt heraus, welches das IT-Team nicht einfach nebenher im Alltag stemmen konnte. Für solche Aufgaben holt „Dienste für Menschen“ schon seit Jahren die Axians IT Solutions als IT-Dienstleister dazu.
Konzipieren einer zweistufigen PKI
Eine PKI ist heute obligatorischer Bestandteil praktisch aller Netzwerke. Sie weist Nutzern, Clients wie Computer und Devices Zertifikate zu, mit denen sie sich gegenüber dem Netzwerk authentifizieren. Zusätzlich lassen sich mit einer PKI auch die Inhalte von E-Mails und Files verschlüsseln.
Nach einem Workshop zum Auftakt stand fest, welche Zertifikate bisher wie angewandt wurden und was künftig umzusetzen ist. Unumgänglich war die Umstellung auf ein zweistufiges Design der PKI. Die erste Stufe bildet dabei eine Root CA (Certification Authority). Dieser Server ist nicht Bestandteil des Netzwerkes, sondern er autorisiert die untergeordnete Zertifizierungsstelle, die Enterprise CA. Diese gehört zum Netzwerk und stellt die Zertifikate für die Endgeräte und Nutzer aus. Die Root CA ist normalerweise offline und kann das Zertifikat für die Enterprise CA widerrufen.
Das sichert vor dem Fall ab, wenn Cyber-Kriminelle Zugriff auf ein Zertifikat erlangen sollten. Durch das Widerrufen ist nichts mehr gültig und nichts mehr erlaubt, für das die Enterprise CA zuständig ist. Als weitere Komponente in diesem Konstrukt kommt ein Webserver dazu, auf dem die Sperrliste abliegt. Diese umfasst die Seriennummern der Zertifikate, die nicht mehr gültig sind. Die Enterprise CA gleicht die Seriennummer ab, bevor es einen Client authentifiziert oder den Netzwerkzugriff verweigert.
Verbinden der neuen PKI mit einem Hardware-Sicherheitsmodul
„Dienste für Menschen“ haben täglich mit sensiblen, personenbezogenen Daten zu tun. Deshalb muss die PKI auch Daten verschlüsseln und Übertragungswege sichern. Erledigt diesen Job ein Windows-Server, stellt dieser ein potenzielles Angriffsziel dar. Der Windows-Server lässt sich zwar härten, aber das derzeit höchste Sicherheitsniveau bieten Hardware Sicherheitsmodule (HSM).
Solch eine Appliance bildet eine hochsichere, da manipulationssichere Umgebung, in der ein dedizierter Krypto-Prozessor Zertifikate und das dazugehörige Paar aus öffentlichem sowie privatem Schlüssel erstellt. Zudem speichert und verwaltet ein HSM die Schlüssel, einschließlich dem Schlüssel für die PKI – dem Enterprise CA Zertifikat. Damit signiert die PKI alle Zertifikate, welche die Enterprise CA ausgibt.
Konkret verlagert sich das Erzeugen und Speichern des Schlüsselmaterials von der Software auf eine Thales SafeNet Luna 7 HSM (vormals Gemalto). Diese Appliance kann auch Datenbanken oder VMs verschlüsseln, da sie sich in bis zu 100 kryptografisch getrennte Partitionen unterteilen lässt. Jede dieser Partitionen fungiert als ein unabhängiges HSM. In der eigentlichen HSM ist noch ein spezielles Backup Device enthalten, das für ein Backup und Recovery für das Schlüsselmaterial konfiguriert wurde. Spätestens ab 2020 soll eine zweite HSM die PKI absichern.
Ab dem Zeitpunkt wäre die PKI redundant, also ausfallsicher und hochverfügbar, ausgelegt. Die zwei Tresore, als welche die HSM wirken, lassen sich dann miteinander abgleichen. Im Zuge dessen plant das IT-Team, auf Hyper-V Shielded VM umzustellen. Hierbei sichern Secure Boot, BitLocker-Verschlüsselung, virtuelle Trusted Platform Module (TPM) und Host Guardian eine VM in der Windows-Server-2016-Umgebung zusätzlich ab. Auch diese anstehenden Änderungen werden wie die Ablösung der alten PKI im laufenden Betrieb stattfinden – und zwar so, dass die Nutzer nichts mitbekommen.
Im Sinne der DSGVO und automatisiert schützen
In der Kombination mit einem HSM erfüllt eine PKI höchste Sicherheitsanforderungen und den aktuellen Stand der Technik, den die DSGVO zum Schutz personenbezogener Daten vorschreibt. Der Windows-Server, die Enterprise CA, wird mit dem HSM verbunden und legt so die sicherheitsrelevanten Daten quasi im Safe ab. Dieser, die HSM und der Windows-Server, kommunizieren über ein gesichertes Netzwerk.
Ein Hackerangriff könnte nur verschlüsselte Daten erbeuten, die für Cyberkriminelle nutzlos wären. Neben diesem Sicherheitsgewinn profitiert das IT-Team von „Dienste für Menschen“ noch weiter: So läuft in der neuen Umgebung nun vieles automatisiert ab. Zum Beispiel entfällt das manuelle Aktualisieren der Sperrliste. Der IT-Verantwortliche sieht im Monitoring, ob das Update erfolgt ist. Insgesamt hat sich das Management der hocheffektiven PKI vereinheitlicht, vereinfacht und umfasst alle Windows Server.
Oliver Brix ist Microsoft Consultant bei Axians IT Solutions
