PGP Encryption Platform zur Einhaltung der Insider-Richtlinien

• Home
• Magazin
• Know How
• IT-Security Themen & Trends

Wolfgang Grenke entdeckte 1978 eine Marktlücke im Leasing: das Verleasen von Wirtschaftsgütern mit geringem Anschaffungswert ab 500 Euro. Heute ist die GRENKELEASING AG Marktführer im Small Ticket IT-Leasing mit 40 Standorten in sechzehn europäischen Ländern. Seit 2000 ist das Unternehmen am Neuen Markt gelistet und wurde kurz darauf in den SDAX aufgenommen. GRENKELEASING erreichte 2006 einen Konzernumsatz von EUR 48,1 Millionen und beschäftigt 384 Mitarbeiter.

Die Herausforderung

Die GRENKELEASING konnte bereits voraussehen, dass die Insider-Richtlinien der Deutschen Börse im Januar 2006 stark verschärft werden würden, und ergriff geeignete Maßnahmen zum Schutz unveröffentlichter Finanzdaten. Die Deutsche Börse empfiehlt hierfür die Einrichtung von Vertraulichkeitsbereichen, so genannten „Chinese Walls“.

Risikomanagement. Als börsennotiertes Unternehmen unterliegt die GRENKELEASING auch dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, das ein betriebliches Risikomanagement vorschreibt. Nachdem darin die Höhe und Eintrittswahrscheinlichkeit einer Datenschutzverletzung erfasst worden war, entschied Vorstand Wolfgang Grenke, das Risiko durch den Einsatz von Verschlüsselung zu reduzieren. Für Grenke, der neben seiner betriebswirtschaftlichen Praxis auch einen fundierten technischen Hintergrund hat, war diese Entscheidung einfach. Bei Insider-Verstößen sind nämlich nicht das Unternehmen sondern die Mitarbeiter persönlich strafrechtlich und finanziell haftbar.

Erste Schritte. GRENKELEASING begann, E-Mails mit Wirtschaftsprüfern und Banken sowie externen Übersetzern von Geschäftsberichten und Ad-hoc-Meldungen zu schützen. So konnten die „Insider“ sicher sein, dass kein Dritter innerhalb oder außerhalb des Unternehmens Zugang zu den Informationen hatte. Die ersten „Chinese Walls“ waren geschaffen.

Neue Lösung gesucht. Frank Kessel, Teamleiter EDV bei GRENKELEASING, war jedoch mit der anfänglichen Lösung nicht zufrieden: „Die in Microsoft Outlook nativ integrierte Verschlüsselungslösung erwies sich als instabil und war im externen Kommunikationsverkehr kaum zu gebrauchen. Wenn ein Passwort wiederhergestellt werden musste, konnte der Mitarbeiter auf davor verschlüsselte E-Mails nicht mehr zugreifen. Diese Lösung war für uns nicht länger tragbar.“ Kessel betreut mit 6 Mitarbeitern die IT und Telekommunikation der gesamten GRENKELEASING und suchte eine Lösung, die er mit weniger Personalaufwand einführen und pflegen konnte.

Kommunikation mit Partnern. Das Microsoft-System unterstützte ausschließlich den Verschlüsselungsstandard S/MIME, den nur wenige Kommunikationspartner verstanden. „Der Markt ist gespalten in zwei Standards für die Verschlüsselung von E-Mails, und zwar OpenPGP und S/MIME. Die für uns wichtigste Bank und unser Wirtschaftsprüfer setzen unterschiedliche Verfahren ein, so dass die von uns gesuchte Lösung beide Standards unterstützen musste,“ erklärt Kessel. „Ansonsten konnten wir nicht mit allen unseren Geschäftspartnern sicher kommunizieren.“

Die neue Lösung sollte auch den einfachen, sicheren Austausch von Informationen mit 5.000 Händlern ermöglichen, die meist keine eigene Verschlüsselungslösung einsetzen.

Neben Nachrichten mit externen Partnern sollten auch interne Nachrichten geschützt werden, beispielsweise zwischen der Personalabteilung, den Abteilungsleitern und dem Vorstand.

Daten auf Laptops schützen. Kessel ging noch einen Schritt weiter. Da sich die Insider-Richtlinien nicht nur auf Kommunikation sondern auch Dateiablage beziehen, sollte die Lösung gleichzeitig eine Festplattenverschlüsselung für Laptops unterstützen. So sollte verhindert werden, dass vertrauliche Finanzdaten durch den Diebstahl eines Geräts in falsche Hände geraten.

Der Vorstand entschied, alle Laptops zu verschlüsseln. „Unsere Vertriebsmitarbeiter benötigen vertrauliche Kundendaten auf ihren Laptops. Wir möchten vermeiden, dass diese bei einem Diebstahl von Dritten gelesen werden können. Im schlimmsten Fall würden wir damit negative Schlagzeilen machen und das Vertrauen unserer Kunden verlieren.

Die Folgen eines solchen Imageverlusts können verheerend sein,“ so Kessel.

Die Lösung

Kessel fasste seine Anforderungen zusammen und beauftragte eine Marktuntersuchung und Auswahl eines Systems zur E-Mail-Verschlüsselung.

Ausgewertet wurden Preis und Leistung von 15 Systemen. In der Endauswahl entschied sich Kessel zwischen zwei Anbietern für PGP Corporation: „Vor der Auswahl einer Lösung haben wir die Kosten für Anschaffung und Betrieb über 3 Jahre berechnet. Die PGP Encryption Platform konnte als einzige Lösung alle unsere Sicherheitsanforderungen abdecken und war besonders im Betrieb günstiger als Kombinationen einzelner Produkte.“

Alle Anforderungen erfüllt. Die PGP®-Lösung unterstützte nicht nur die beiden Standards OpenPGP und S/MIME, sondern konnte auch Geschäftspartner bedienen, die noch keine Verschlüsselungslösung im Einsatz haben. Sie deckte die Verschlüsselung von E-Mails und Laptops unter einem gemeinsamen Management ab, was den Betrieb vereinfacht und Kosten reduziert, und bot sichere Möglichkeiten zur Wiederherstellung von Schlüsseln oder Daten durch das Unternehmen.

Außerdem konnte PGP Corporation alle gegenwärtig geplanten Sicherheitsprojekte abdecken.

Sichere E-Mail auf Desktops. Da Kessel E-Mails auf dem gesamten Übertragungsweg schützen wollte, wurden Desktop-Anwendern mit PGP Universal Satellite ausgestattet. Dieses kleine Programm verschlüsselt und entschlüsselt E-Mails auf dem PC gemäß zentral definierter Richtlinien, und zwar ohne Interaktion mit dem Benutzer. So konnte die Vertraulichkeit von Nachrichten auch im internen Verkehr gewährleistet werden.

Komplettlösung für Laptops. Auf Laptops setzt GRENKELEASING PGP® eine Kombination aus PGP Desktop Email zum Schutz von E-Mails und PGP Whole Disk Encryption zur Verschlüsselung der Festplatten. Um Informationen auf Laptops beim Verlust noch effektiver zu schützen, erhielten mobile Anwender einen USB-Token, der den Benutzer gleichzeitig bei der VPN-Einwahl authentifiziert. Zum Entschlüsseln der Festplatte werden das Passwort und der Token benötigt — eine deutliche Sicherheitssteigerung gegenüber einem einfachen Passwort.

Das Ergebnis

Kessel und sein Team haben die E-Mail- und Laptopverschlüsselung für alle Mitarbeiter erfolgreich eingeführt. Sein Helpdesk ist mit der Verwaltung, Skalierbarkeit und Performance der Lösung zufrieden. Kessels Abteilung musste die Anwender bisher nur beim Einrichten der Laptop-Verschlüsselung mit dem Token unterstützen: „Der Betrieb der Festplattenverschlüsselung ist reibungslos und die Einrichtung der E-Mail-Verschlüsselung ist automatisiert.“

Automatisierung senkt Kosten. Jeder GRENKELEASING-Mitarbeiter hat zwischen 5 und 20 E-Mail-Adressen. Um zu vermeiden, dass für jede dieser Adressen ein eigener Schlüssel generiert wird, integrierte Kessel den PGP Universal Server mit dem Microsoft Active Directory. Ein hoher Automatisierungsgrad war enorm wichtig, denn die E-Mail-Adressen der Anwender wechseln ständig. „Wenn Mitarbeiter die Abteilung wechseln, kommen viele Adressen hinzu oder fallen weg. Durch die Anbindung des Active Directory an den PGP Universal Server werden die Schlüssel und Benutzerkonten automatisch aktualisiert. Dies spart uns erheblichen Administrationsaufwand,“ so Kessel.

Professionelle Unterstützung. In der Vorbereitung des Roll-outs stieß Kessel auf eine Inkompatibilität mit einer intern eingesetzten Software. Ein PGP-Mitarbeiter analysierte das Problem vor Ort und meldete es an die Entwicklungsabteilung. In der nächsten Produktversion war das Problem behoben. „Die Professional Services und der Support von PGP Corporation haben uns professionell dabei unterstützt, technische Probleme zu identifizieren und zu beheben,“ sagt Kessel.

Ausblick

Aktuell überlässt Kessel es noch den Benutzern, welche E-Mails verschlüsselt werden. In Zukunft möchte er die Verschlüsselung an bestimmte interne und externe Empfänger zentral festlegen und so automatisieren. Um eine höhere Verfügbarkeit zu erreichen will Kessel den PGP Universal Server bald durch ein Cluster absichern.

Erweiterung auf BlackBerry-Geräten. GRENKELEASING hat 150 BlackBerry-Geräte für mobile E-Mail im Einsatz. Kessel plant die Einführung von PGP® Support Package for BlackBerry®, um E-Mails auch im mobilen Verkehr zu schützen: „Da die E-Mails bei BlackBerry alle über einen externen Anbieter kanalisiert werden, möchten wir unsere Daten durch die Verschlüsselung eines Drittanbieters schützen.“ Vertraulichkeitsbereiche auf Dateiservern. Darüber hinaus hat sich Kessel auch mit der Verschlüsselung von Dateien durch PGP® NetShare beschäftigt: „Es gibt Bereiche, in denen die Windows-Zugriffsrechte für Dateien nicht ausreichen. Wir möchten beispielsweise nicht, dass Administratoren auf die Dateien des Vorstands, der Finanz- oder Personalabteilung zugreifen können.“

Gründe hierfür sind der Schutz von Betriebsgeheimnissen, persönlichen Daten, und unveröffentlichten Finanzdaten im Rahmen der Insider-Richtlinien, denn PGP NetShare ermöglicht die Einrichtung von Vertraulichkeitsbereichen.

Zufrieden mit Gesamtlösung. „Mit PGP Encryption Platform konnten wir die aktuellen Anforderungen zu Datenschutz, Risikomanagement Compliance mit Insider-Richtlinien abdecken. Durch die zentrale Verwaltung war die PGP-Lösung die günstigste aller 15 untersuchten Alternativen. Müsste ich das Projekt noch einmal durchführen, würde ich es genauso wieder machen,“ schließt Kessel.

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.