Security total: Nach vier Probierjahren aktiviert BMW den Kryptochip

EnterpriseSoftware

Tausende weisen sich künftig mit zertifizierten Schlüsseln aus

Die Ausweiskarten von BMW-Mitarbeitern tragen seit kurzem einen Kryptochip. Das ist das sichtbare Zeichen eines jahrelangen Ringens um mehr Security in der Datenverarbeitung des Konzerns. Die Smartcard soll helfen, die Ausweisinhaber zu identifizieren und ihre digitalen Dokumente und Mails in Vertrauliche zu verwandeln – durch Verschlüsseln und Signieren. Das weltweite Roll-out der Sicherheitslösung in der BMW-Group beginnt in wenigen Wochen.

Vor vier Jahren…

Security ist keine Aufgabe so en passant. BMW arbeitet nun schon seit vier Jahren an der adäquaten Infrastruktur und den richtigen Verfahren. Damals beschloss das Management umfassende Maßnahmen. Norbert Zeßel, der für die Identitätssicherung zuständige Projektleiter, ist von Anfang an dabei. Er erinnert sich: “Begonnen hat 1998 alles mit einem Maßnahmenkatalog. Dieser deckte damals schon das gesamte Spektrum von Sicherheitsmaßnahmen für die elektronische Kommunikation ab.”

Heute warnt Zeßel davor, gleich im ersten Schritt zu viel zu wollen. Außerdem musste der Security-Spezialist erfahren, dass die Technik noch immer “nagelneu” ist und deshalb “von Haus aus instabil”.

Erste Erfolge .

Dennoch schaffte es Zeßel noch 1998, dass einige hundert Nutzer ihre Mails kryptographiert versenden konnten. Als Verfahren wählte der Projektleiter Pretty Good Privacy (PGP). Den PGP-Quellcode hat Network Associates im September des vergangen Jahres veröffentlicht. Mittlerweile will das kalifornische Softwarehaus die Vermarktung von PGP jedoch gänzlich einstellen.

Für BMW dürfte das kein Problem sein. Die Lösung, die auf der PGP-Version 5.5 beruht, war von vorneherein nur als Übergang gedacht. Sie sollte nach ersten Erfahrungen möglichst bald durch den Verschlüsselungsstandard x509 abgelöst werden. Dieses Verfahren gilt als unternehmenstauglich, weil es auf einer hierarchischen Organisation aufbaut.

Im Wesentlichen zeigte die PGP-Einführung jedoch zwei Effekte: Das Verfahren lebt noch immer, doch kaum jemand nutzt es. Die Langlebigkeit liegt zu einem an seiner weiten Verbreitung und der Tatsache, dass es tatsächlich schützt.

Doch andererseits ist das Konzept zu unkomfortabel. Um eine Mail zu sichern, seien fünf Arbeitsschritte notwendig, räumt Zeßel ein. Nur Anwender, die auf größtmögliche Sicherheit wert legen müssen, gehören zu dem Benutzerkreis. Das entspricht etwa einer Zahl von 500 bis 600 Mitarbeitern in der gesamten BMW-Group.

Stolpersteine

Darüber hinaus drohte sich die Security-Initiative zu verzetteln. So hatte BMW noch bis zum Jahr 2000 beabsichtigt, ein eigenes Trustcenter zu errichten.

Doch Trustcenter, die Schlüsselpaare verwalten und Echtheitszertifikate ausstellen, unterliegen strengen Auflagen. Sie müssen etwa über vereidigtes Personal verfügen und stark gesicherte Räume vorweisen. Laut Zeßel versprach eine Inhouse-Lösung hauptsächlich große Flexibilität und direkten Zuschnitt auf die Bedürfnisse des Automobilkonzerns.

Kurskorrektur

Dagegen entschied sich das Unternehmen, weil die damalig verfügbaren Produkte den BMW-Qualitätsansprüchen nicht genügten. Zugleich nahmen aber auch die Kosten für den Aufbau hauseigener Expertise Überhand. Schließlich hieß es: “Wir bauen keine Zertifikate, sondern Autos”, sagt Zeßel.

Seither stellt das TC Trustcenter die Sicherheitszertifikate für BMW aus. Das Unternehmen wurde von Michael Hortmann, Professor an der Universität Bremen, gegründet. Er hatte BMW in den Kryptographie-Fragen beraten und war von April 1999 bis April 2001 direkt bei BMW an dem PKI-Projekt beteiligt. Im Haus bei Projektleiter Zeßel blieb die Aufgabe, die Voraussetzungen für eine Private Key Infrastructure (PKI) zu schaffen.

Der Koordinierungsaufwand dafür ist enorm. Denn die Verschlüsselung, Authentifizierung und Identifizierung betrifft neben den Mailsystemen einen Großteil der Unternehmens-DV – darunter das Personalwesen, die Zugangsberechtigungen zu Client- und Server-Systemen sowie die Einrichtung der entsprechenden Betriebssysteme. Darüber hinaus müssen die Systemverwalter Rollenkonzepte und Group-Directories an die geplanten Sicherheitshierarchien anpassen.

Zumindest die Einrichtung eines zentralen Verzeichnisdienstes sei bei BMW kein Problem gewesen, erzählt PKI-Chef Zeßel. Ein solches habe BMW schon vorher gehabt. Auch die Ausstattung mit Kartenlesern hält er für vergleichsweise harmlos.

Die vorläufig letzte Hürde

Eine echte Hürde dagegen sei das Ausstellen der 50 000 bis 60 000 Zertifikate. “Einen solchen dafür notwendigen individualisierten Roll-out-Prozess gibt es noch in keinem Unternehmen – und schon gar nicht in dieser Größenordnung”, bestätigt auch Hortmann. Denn sämtliche Mitarbeiter in Deutschland, die E-Mails versenden, sollen bis zum Ende des Jahres ein Zertifikat erhalten haben, das auf dem Chip ihrer Karte gespeichert ist.

Für das Roll-out steht Zeßel eine Gruppe zur Verfügung, die sich Local Registration Authority nennt. Diese muss jede einzelne Karte initialisieren. Jeder Anwender vergibt anschließend selbst die PIN- und PUK-Nummern, mit denen er sich im DV-System identifiziert. Ist das geschehen, muss eine Software für jede Karte ein Schlüsselpaar generieren. Der öffentliche Teil des Schlüssels geht an das Trustcenter, das nun ein Zertifikat über den Schlüssel ausstellt. Schließlich landet das Zertifikat auf dem Chip der Smartcard.

Der gesamte Vorgang sollte 15 bis 20 Minuten dauern. Um diese Zeit zu erreichen, muss allerdings noch ein wenig an der Implementierungssoftware und dem Prozess gefeilt werden, wie sich bei bisherigen Probeläufen herausstellte.

Security-Pläne

Doch schon schmiedet Projektleiter Zeßel Zukunftspläne und weitere Ausbaustufen. Im nächsten Schritt hat er ein Single-Sign-on im Visier. Mitarbeiter brauchen sich nur einmal anmelden, um alle DV-Systeme nutzen zu können, die sie für ihre Arbeit benötigen. Das soll zunächst für die BMW-internen Applikationen gelten, dann für das Intranet. Außerdem arbeitet Zeßel an einer im Internet gebräuchlichen SSL-Verschlüsselung (SSL = Secure Socket Layer) für Virtual Private Networks (VPNs) sowie für Wireless Local Area Networks (WLANs). Außerdem soll es eine S-Mime-Verschlüsselung für Dokumente geben, die im Office-Umfeld des Unternehmens erzeugt werden.