Sicherheitsempfehlungen für Behörden

erschienen in #E-Government, IT-Sicherheit vom 15.02.2016

Die Verwendung kryptographischer Methoden birgt eine gewisse Komplexität. So ist es nicht nur notwendig, aus einer Vielzahl an verfügbaren Methoden jene auszuwählen, die gegebene funktionale und sicherheitstechnische Anforderungen erfüllen können, die gewählten Methoden müssen in der Regel auch geeignet parametrisiert werden, um das gewünschte Sicherheitsniveau zu erreichen. Als wohlbekanntes Beispiel kann hier etwa die Wahl geeigneter Schlüssellängen genannt werden.

Die kryptographischen Methoden zugrundeliegende Komplexität und die Notwendigkeit einer geeigneten Parametrisierung stellen in der Praxis ernstzunehmende Herausforderungen dar und bergen potentiell auch ein Sicherheitsrisiko, da schlecht gewählte oder parametrisierte kryptographische Algorithmen die Sicherheit der Systems oder der Daten, die sie schützen sollen, beeinträchtigen können. Dies betrifft auch häufig eingesetzte Verfahren wie zum Beispiel SSL/TLS, die auf kryptographischen Primitiven wie Authentifizierung, Verschlüsselung und Integritätssicherung beruhen.

Vor dem Hintergrund dieser Problematik wurden von A-SIT im Rahmen zweier Studien Empfehlungen zur korrekten Wahl, Verwendung und Parametrisierung kryptographischer Methoden formuliert. Die erste Studie widmet sich dabei kryptographischen Primitiven und identifiziert zunächst jene kryptographischen Algorithmen, die zur Gewährleistung von Datenintegrität, Vertraulichkeit und Authentizität empfehlenswert sind. Zudem werden wo nötig geeignete Parametrisierungen für diese Algorithmen empfohlen. Besonderes Augenmerk wird in dieser Studie vor allem auf jene Aspekte und Szenarien gelegt, die speziell im österreichischen Behördenumfeld von Relevanz sind. Die zweite Studie fokussiert hingegen auf die korrekte Verwendung von SSL/TLS. Diesbezüglich werden generelle Empfehlungen formuliert und im Speziellen geeignete Cipher-Suites empfohlen.

Obwohl sich die beiden Studien primär an Behörden richten, können die darin definierten Empfehlungen auch für Unternehmen und Organisation des privaten Sektors bzw. für Endbenutzerinnen und Endbenutzer interessant sein. Daher werden die beiden Studien auf dieser Seite als Download angeboten.

Downloads

Datei Beschreibung Dateigröße
pdf Teil 1: Empfehlungen zur Verwendung kryptographischer Methoden Version 1.2 vom 25.2.2016
 560 kB
pdf Teil 2: Empfehlungen zur Verwendung von SSL/TLS Version 1.1 vom 25.2.2016
 1 MB