Komfortable 2-Faktor-Authentifizierungregelt den Zugang zum Unternehmen und seinen Ressourcen

VerschlüsselungOb Daten oder Leitungen – starke Verschlüsselung schützt sensible

Informationen unabhängig vom Ort

Unternehmensweites Schlüssel-ManagementSchlüssel müssen besonders geschützt werden

Die 3 allgemeinen Sicherheitsziele

VertraulichkeitSchutz gegen unberechtigte Kenntnisnahme von gespeicherten,

übertragenen oder verarbeiteten Daten (Authentizität)

IntegritätSicherstellung der Korrektheit von Informationen und die korrekte

Funktionsweise von Systemen

VerfügbarkeitDie verarbeiteten Daten sowie die zur Verarbeitung notwendigen

Systeme müssen jederzeit verfügbar sein

IT-Sicherheit ≠ Datenschutz

Warum 2-Faktor-Authentifizierung

Häufigste Angriffsformen1. Malware

2. Angriffe auf Passwörter

3. Phishing

4. Man in the Middle

5. Sniffing

6. Spoofing

7. DoS

8. Social Engineering

https://www.datenschutzbeauftragter-info.de/die-8-haeufigsten-angriffe-auf-die-sicherheit/

Die am häufigsten verwendeten

Passwörter 2015:

1. 123456

2. 123456789

3. 12345678

4. Password

5. Qwerty

6. Adobe123

7. 1234567

8. 111111

9. 12345

10.1234567890

https://www.impulse.de/it-technik/sicheres-passwort/2043109.html

Wissen

Sein

Besitz

2 Faktoren: ( ) + PIN = Starke

Authentifizierung

CBA (Certificate Based Auth) OTP (One Time Password)

Arten der 2FA

Kriterien für starke Authentifizierung

Anwendungs-

fälle

Anwender

BetriebMigration

Kosten

Unternehmens-

struktur

1. Anwendungsfälle/Integration

SAML

Radius Agent

API

http://www2.gemalto.com/sas/implementation-guides.html

2. Der Anwender hat die Wahl

Ohne zeitliche Begrenzung

Alle gängigen mobilen

Betriebssysteme Windows und MacOS* * * * *

3. Betriebsoptimierung durch Automatisierung

User Synchronisation

Token Provisioning

Self Enrolment

Reporting

…

Höchster Benutzerkomfort

Einfachster Roll Out

Geringste Administration

… und …

Token-Roll Out

Token-Roll Out

Token-Roll Out

Token-Roll Out

Token-Roll Out

Token-Roll Out

Token-Roll Out

Token-Roll Out

Token-Roll Out

Token-Roll Out

Token-Roll Out

Token-Roll Out

Der kann aber noch mehr …

13.09.16SafeNet Authentication Service21

PushOTP

Jeglicher 3rd Party Authentication Server

RADIUS Zugangssystem

Davor

4. Einfache Migration

SAS als RADIUS Client

hinzufügen

SAS-Agents

RADIUS

SAML

RADIUS

3rd Party als

Auth Node

hinzufügen

Danach

Import Laufzeit “alte” Token

Automatisierter Roll Out “neue” Token

Jeglicher 3rd Party Authentication Server

4. Einfache Migration

Mandantenfähig Branding Reporting

5. Unternehmensstruktur

6. Reduziert Kosten

25

2-Faktor-Authentisierung mit Zertifikaten

User

Passwort

Login:

Daten

Unsicher!

2-Faktor-Authentisierung mit Zertifikaten

Login:

Daten

Pin * * * * * * * *

2-Faktor-Authentisierung mit Zertifikaten

User

Passwort

Login:

Daten

Pin * * * * * * * *

2-Faktor-Authentisierung mit Zertifikaten

Login:

Daten

Authentizität der Person

Integrität der Daten bewahren

Verfügbarkeit sicherstellen Zertifikat

2-Faktor-Authentisierung mit Zertifikaten

Zertifikat(MS) Certificate Authority

Funktion und Bedeutung oft unklar

Administrativ leicht zugänglich

Meist virtualisiert

erstellt

2-Faktor-Authentisierung mit Zertifikaten

Zertifikat(MS) Certificate Authority

Basis jeder PKI

Echtheit und Vertrauenswürdigkeit

der Unternehmens-Assets

Privates Schlüsselmaterial

Signierung jedes Zertifikats

= eigenhändige (digitale) Unterschrift

erstellt

2-Faktor-Authentisierung mit Zertifikaten

Zertifikat(MS) Certificate Authority

Private Schlüssel in Software

Sehr einfach kopierbar

Sicherheitsziele nicht gewährleistet

erstellt

https://technet.microsoft.com/de-de/library/cc754329(v=ws.11).aspx

2-Faktor-Authentisierung mit Zertifikaten

Private Schlüssel in Software

https://technet.microsoft.com/de-de/library/cc754329(v=ws.11).aspx

2-Faktor-Authentisierung mit Zertifikaten

Zertifikat(MS) Certificate Authority

Hardware Security Module (HSM)

erstellt

Private Schlüssel in Hardware

Nicht kompromittierbar

Sicherheitsziele gewährleistet

Root of Trust

Zertifikat(MS) Certificate Authority

Hardware Security Module (HSM)

erstellt

Root of Trust

CA

SSL(-Interception)

Gateway

DB

TDE

IAM DNSSEC

DRM

SIEM

Mail-Encryption

Gateway

Root of Trust

File/Folder

VerschlüsselungStorage Encryption

z.B. NSE

Netzwerk-HSM

CA

SSL(-Interception)

Gateway

DB

TDE

IAM DNSSEC

DRM

SIEM

Mail-Encryption

Gateway

Root of Trust

File/Folder

VerschlüsselungStorage Encryption

z.B. NSE

Netzwerk-HSM

Netzwerk-HSM

CA

SSL(-Interception)

Gateway

DB

TDE

IAM DNSSEC

DRM

SIEM

Mail-Encryption

Gateway

Root of Trust

File/Folder

Verschlüsselung...

HSM ermöglicht die

sichere Funktion

von Sicherheitslösungen!

Die 3 allgemeinen Sicherheitsziele

VertraulichkeitSchutz gegen unberechtigte Kenntnisnahme von gespeicherten,

übertragenen oder verarbeiteten Daten (Authentizität)

IntegritätSicherstellung der Korrektheit von Informationen und die korrekte

Funktionsweise von Systemen

VerfügbarkeitDie verarbeiteten Daten sowie die zur Verarbeitung notwendigen

Systeme müssen jederzeit verfügbar sein

IT-Sicherheit ≠ Datenschutz

Locky hat‘s vorgemacht

Warum Verschlüsselung?

Locky hat‘s vorgemacht

Warum Verschlüsselung?

Locky hat‘s vorgemacht

Locky befolgt PKI/Encryption-Grundregeln:Verwendung von bewährten Encryption-Standards

Schlüssel getrennt von den Daten aufbewahren

Warum Verschlüsselung?

Quelle: http://www.focus.de/wissen/experten/schmeh/probleme-mit-der-dechiffrierung-wenn-

selbst-die-supercomputer-der-nsa-in-die-knie-gehen_id_3247868.html

Annahme:

Supercomputer schafft ~100 Mrd Keys/s

100 Supercomputer

Schlüssel wird nach 1% gefunden

Dauert 1 Million mal so lang wie Universum besteht

Locky-Beispiel: AES128 = 3,4 x 1038

Schlüssel

Warum funktioniert Verschlüsselung?

Quelle: http://www.focus.de/wissen/experten/schmeh/probleme-mit-der-dechiffrierung-wenn-

selbst-die-supercomputer-der-nsa-in-die-knie-gehen_id_3247868.html

Annahme:

Supercomputer schafft ~100 Mrd Keys/s

100 Supercomputer

Schlüssel wird nach 1% gefunden

Dauert 1 Million mal so lang wie Universum besteht

Locky-Beispiel: AES128 = 3,4 x 1038

Schlüssel

Warum funktioniert Verschlüsselung?

Virtuelle Maschinen Cloud/Hybrid CloudStorage-Netzwerke

File-Server Datenbanken

LAN/WAN

Applikationen

User

Passwort

Login:

Pin********

Wo und wie Verschlüsselung?

Bewährte Standards

Zertifizierte Lösungen

Die 3 allgemeinen Sicherheitsziele

VertraulichkeitSchutz gegen unberechtigte Kenntnisnahme von gespeicherten,

übertragenen oder verarbeiteten Daten (Authentizität)

IntegritätSicherstellung der Korrektheit von Informationen und die korrekte

Funktionsweise von Systemen

VerfügbarkeitDie verarbeiteten Daten sowie die zur Verarbeitung notwendigen

Systeme müssen jederzeit verfügbar sein

IT-Sicherheit ≠ Datenschutz

KeySecure or

Virtual KeySecure

Luna HSM

Crypto Command Center

CA / PKI

Private Schlüssel in Software

Sicherheitsziele können nicht

gewährleistet werden

Vertraulichkeit / Integrität / Verfügbarkeit

Crypto Foundation – Best Practice

KeySecure or

Virtual KeySecure

Luna HSM

Crypto Command Center

CA / PKIRoot of Trust

Network HSM

Schlüssel in Hardware

HSM = sicherer

Schlüsselspeicher

Sicherheitsziele gewährleistet

Crypto Foundation – Best Practice

KeySecure or

Virtual KeySecure

Luna HSM

Crypto Command Center

HSM Ecosystem

Doc

Signing

SSL

Webserver

Email-

Encryption

Gateway

Payment

Transactions

CA / PKI

Layer-2 Ethernet

Encryption (WAN)

Root of TrustNetwork HSM

Layer-2 Ethernet Encryption

Latenzfrei

„Fire-and-forget“

10MBit 100 GBit

Crypto Foundation – Best Practice

KeySecure or

Virtual KeySecure

Luna HSM

Crypto Command Center

HSM Ecosystem

Doc

Signing

SSL

Webserver

Email-

Encryption

Gateway

Payment

Transactions

CA / PKI

Layer-2 Ethernet

Encryption (WAN)

Root of TrustNetwork HSM

HSM-as-a-Service

Template-basierte Workflows

Einfache HSM-Provisionierung

Hoch-skalierbar

Für SPs und Enterprise

Crypto Foundation – Best Practice

KeySecure or

Virtual KeySecure

Luna HSM

Crypto Command Center

HSM Ecosystem

Doc

Signing

SSL

Webserver

Email-

Encryption

Gateway

Payment

Transactions

File & Disk

Encryption

Customer

KMIP Client

Backup,

Storage &

Archive

SIEM Tools

Cloud

Storage &

Encryption

Gateways

Key Management

Ecosystem

CA / PKI

Layer-2 Ethernet

Encryption (WAN)

Root of TrustNetwork HSM

Umfassendes Key-Lifecycle-

Management

Viele Schnittstellen (z.B. KMIP)

Virtuelle und physische Appliance

Encryption Management-Plattform

Crypto Foundation – Best Practice

KeySecure or

Virtual KeySecure

Luna HSM

Crypto Command Center

HSM Ecosystem

Doc

Signing

SSL

Webserver

Email-

Encryption

Gateway

Payment

Transactions

Key Management

Ecosystem

File & Disk

Encryption

Customer

KMIP Client

Backup,

Storage &

Archive

SIEM Tools

Cloud

Storage &

Encryption

Gateways

SafeNet’s Data Encryption Solutions

ProtectApp ProtectFile ProtectDB ProtectV™Tokenization

Manager

CA / PKI

Layer-2 Ethernet

Encryption (WAN)

Root of TrustNetwork HSM

Encryption in der Applikation

Programm-Libaries

Ermöglicht Key-Management

und Verschlüsselung in der

Applikation

Crypto Foundation – Best Practice

KeySecure or

Virtual KeySecure

Luna HSM

Crypto Command Center

HSM Ecosystem

Doc

Signing

SSL

Webserver

Email-

Encryption

Gateway

Payment

Transactions

Key Management

Ecosystem

File & Disk

Encryption

Customer

KMIP Client

Backup,

Storage &

Archive

SIEM Tools

Cloud

Storage &

Encryption

Gateways

SafeNet’s Data Encryption Solutions

ProtectApp ProtectFile ProtectDB ProtectV™Tokenization

Manager

CA / PKI

Layer-2 Ethernet

Encryption (WAN)

Root of TrustNetwork HSM

File/Folder Verschlüsselung

Windows/Linux Server

Virtuelle Systeme

Netzwerk-Shares

Client Server-Laufwerke

Crypto Foundation – Best Practice

KeySecure or

Virtual KeySecure

Luna HSM

Crypto Command Center

HSM Ecosystem

Doc

Signing

SSL

Webserver

Email-

Encryption

Gateway

Payment

Transactions

Key Management

Ecosystem

File & Disk

Encryption

Customer

KMIP Client

Backup,

Storage &

Archive

SIEM Tools

Cloud

Storage &

Encryption

Gateways

SafeNet’s Data Encryption Solutions

ProtectApp ProtectFile ProtectDB ProtectV™Tokenization

Manager

CA / PKI

Layer-2 Ethernet

Encryption (WAN)

Root of TrustNetwork HSM

Datenbanken

Spalten-basierte Verschlüsselung

Oracle, DB2, MS SQL ...

Für App transparent

Automatisiertes Deployment

Crypto Foundation – Best Practice

KeySecure or

Virtual KeySecure

Luna HSM

Crypto Command Center

HSM Ecosystem

Doc

Signing

SSL

Webserver

Email-

Encryption

Gateway

Payment

Transactions

Key Management

Ecosystem

File & Disk

Encryption

Customer

KMIP Client

Backup,

Storage &

Archive

SIEM Tools

Cloud

Storage &

Encryption

Gateways

SafeNet’s Data Encryption Solutions

ProtectApp ProtectFile ProtectDB ProtectV™Tokenization

Manager

CA / PKI

Layer-2 Ethernet

Encryption (WAN)

Root of TrustNetwork HSM

Datenbanken / Ersatz von Daten

Keine Installation auf DB-Server

DB enthält Substitut

Originaldaten extern verschlüsselt

abgelegt

Crypto Foundation – Best Practice

KeySecure or

Virtual KeySecure

Luna HSM

Crypto Command Center

HSM Ecosystem

Doc

Signing

SSL

Webserver

Email-

Encryption

Gateway

Payment

Transactions

Key Management

Ecosystem

File & Disk

Encryption

Customer

KMIP Client

Backup,

Storage &

Archive

SIEM Tools

Cloud

Storage &

Encryption

Gateways

SafeNet’s Data Encryption Solutions

ProtectApp ProtectFile ProtectDB ProtectV™Tokenization

Manager

CA / PKI

Layer-2 Ethernet

Encryption (WAN)

Root of TrustNetwork HSM

Virtuelle Maschinen verschlüsseln

FDE für aws, Vmware, MS Azure

und IBM Softlayer Cloud

Pre-Boot Authentication der VM

Diebstahlschutz

Crypto Foundation – Best Practice

KeySecure or

Virtual KeySecure

Luna HSM

Crypto Command Center

HSM Ecosystem

Doc

Signing

SSL

Webserver

Email-

Encryption

Gateway

Payment

Transactions

Key Management

Ecosystem

File & Disk

Encryption

Customer

KMIP Client

Backup,

Storage &

Archive

SIEM Tools

Cloud

Storage &

Encryption

Gateways

SafeNet’s Data Encryption Solutions

ProtectApp ProtectFile ProtectDB ProtectV™Tokenization

Manager

CA / PKI

Layer-2 Ethernet

Encryption (WAN)

Root of TrustNetwork HSM

Crypto Foundation – Best Practice

Und die Cloud?

Crypto Foundation – Cloud/Hybrid Cloud

EFMA AG

IT-BetriebAbteilung X

Crypto Command Center

+ Virtuelles HSM

+ Rollen

+ Betriebsprozesse

+ Provisioning virt. HSM

+ on Demand

+ schnell und günstig

HS

M

Crypto as a Service - Aktuell

IT-BetriebAbteilungen

HS

MK

eyS

ecure C

rypto

Com

mand

Cente

rK

ey M

gM

t M

ail

Encr.

Unterschiedliche Anforderungen

z.B

. O

racle

TD

E

Crypto as a Service - Ausblick

IT-BetriebAbteilungenUnterschiedliche Anforderungen

Cry

pto

Com

mand C

ente

r

ProtectFileProtectDB

z.B

. O

racle

TD

E

HS

MK

eyS

ecure

Konn

ekto

ren

Crypto as a Service - Ausblick

Komfortable 2-Faktor-Authentifizierungregelt den Zugang zum Unternehmen und seinen Ressourcen

VerschlüsselungOb Daten oder Leitungen – starke Verschlüsselung schützt sensible

Informationen unabhängig vom Ort

Unternehmensweites Schlüssel-ManagementSchlüssel müssen besonders geschützt werden