Zentrum für sichere Informationstechnologie – Austria

Sicherheitsempfehlungen für Behörden

Kryptographie ist ein mächtiges Werkzeug, das – richtig eingesetzt – die Vertraulichkeit, Integrität und Authentizität elektronisch gespeicherter, verarbeiteter und übertragener Daten gewährleistet. Elektronische internetbasierte Dienste aus sicherheitskritischen Bereichen wie E-Government oder E-Banking wären ohne die Verwendung kryptographischer Methoden unmöglich. Die korrekte Verwendung kryptographischer Methoden ist daher unter anderem auch für Behörden von zentraler Bedeutung.

Die Verwendung kryptographischer Methoden birgt jedoch auch eine gewisse Komplexität. So ist es nicht nur notwendig, aus einer Vielzahl an verfügbaren Methoden jene auszuwählen, die gegebene funktionale und sicherheitstechnische Anforderungen erfüllen können, die gewählten Methoden müssen in der Regel auch geeignet parametrisiert werden, um das gewünschte Sicherheitsniveau zu erreichen. Als wohlbekanntes Beispiel kann hier etwa die Wahl geeigneter Schlüssellängen genannt werden.

Die kryptographischen Methoden zugrundeliegende Komplexität und die Notwendigkeit einer geeigneten Parametrisierung stellen in der Praxis ernstzunehmende Herausforderungen dar und bergen potentiell auch ein Sicherheitsrisiko, da schlecht gewählte oder parametrisierte kryptographische Algorithmen die Sicherheit der Systems oder der Daten, die sie schützen sollen, beeinträchtigen können. Dies betrifft auch häufig eingesetzte Verfahren wie zum Beispiel SSL/TLS, die auf kryptographischen Primitiven wie Authentifizierung, Verschlüsselung und Integritätssicherung beruhen.

Vor dem Hintergrund dieser Problematik wurden von A-SIT im Rahmen zweier Studien Empfehlungen zur korrekten Wahl, Verwendung und Parametrisierung kryptographischer Methoden formuliert. Die erste Studie widmet sich dabei kryptographischen Primitiven und identifiziert zunächst jene kryptographischen Algorithmen, die zur Gewährleistung von Datenintegrität, Vertraulichkeit und Authentizität empfehlenswert sind. Zudem werden wo nötig geeignete Parametrisierungen für diese Algorithmen empfohlen. Besonderes Augenmerk wird in dieser Studie vor allem auf jene Aspekte und Szenarien gelegt, die speziell im österreichischen Behördenumfeld von Relevanz sind. Die zweite Studie fokussiert hingegen auf die korrekte Verwendung von SSL/TLS. Diesbezüglich werden generelle Empfehlungen formuliert und im Speziellen geeignete Cipher-Suites empfohlen.

Obwohl sich die beiden Studien primär an Behörden richten, können die darin definierten Empfehlungen auch für Unternehmen und Organisation des privaten Sektors bzw. für Endbenutzerinnen und Endbenutzer interessant sein. Daher werden die beiden Studien auf dieser Seite als Download angeboten.

Downloads

Titel Version Datum
Teil 1: Empfehlungen zur Verwendung kryptographischer Methoden (DE, PDF) 1.2 2016-02-15
Teil 2: Empfehlungen zur Verwendung von SSL/TLS (DE, PDF) 1.1 2016-02-15

Versionsgeschichte

Vermerk Version Datum
Generelle Aktualisierung, Abgleich mit RFC 7525, Diskussion neuer Attacken
1.2 (Teil 1), 1.1 (Teil 2)
2016-02-15
Erste veröffentlichte Version
1.1 (Teil 1), 1.0 (Teil 2)
2014-11-10

Veröffentlicht: 15.02.2016, Kategorie: eGovernment, IT-Sicherheit.