CRYPTOmAGAzine - Crypto AG

CRYPTOmAGAzine
Zeitschrift für die Kunden von Crypto AG, Schweiz 3 2010
thank you
10 JAhRe CRYPTOmAGAzine

e D i T O R i A L
CRYPTOMAGAZINE 3/2010
2
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010
Liebe Leserin, lieber Leser
Vor zehn Jahren ist die erste Ausgabe unseres Crypto-
Magazines erschienen. Wir nehmen dieses Jubiläum
gerne zum Anlass für einen Rückblick – nicht nur auf
die Geschäftstätigkeit des Unternehmens Crypto AG,
sondern auch auf die enorme Entwicklung in wichtigen
Bereichen der Informations- und Kommunikationstechnologie.
Denn diese ist letztlich die treibende Kraft
und Anlass für uns, durchgängige Sicherheitslösungen
auch in einer global vernetzten Welt zu entwickeln und
zu implementieren.
Man kann nicht jede Veränderung der Lebensbedin-
gungen in einer globalisierten Gesellschaft der Tech-
nologie zuschreiben, doch ihr Einfluss auf die individu-
elle Lebensweise ist unübersehbar. Die Welt von 2010
ist nicht mehr die Welt von 2000 – wir leben mit dauernder
Informationspräsenz und mit der Virtualisierung
vieler bisher realer Werte. Nicht immer bewusst
genug: Die Mehrheit der Benutzer moderner ICT-Mittel
profitiert einfach von den unerhört gewachsenen Möglichkeiten
ihrer «Oberflächen», doch darunter haben
Entwicklungen stattgefunden, die kaum ihresgleichen
finden in der Menschheitsgeschichte.
Diese Dekade der Globalisierung hat jedoch die Welt
nicht unbedingt friedlicher gemacht. Sie hat auch neue
Formen der Konflikte hervorgebracht: Man könnte
unser Zeitalter als dasjenige der «asymmetrischen
Bedrohungen» bezeichnen. Das Gefahrenpotenzial
dehnt sich zunehmend auf die Strukturen und Prozesse
der sogenannten Zivilgesellschaft aus. Damit verbunden
ist – zwangsläufig – die dauernde Bedrohung von
gesellschaftlichen Strukturen und Prozessen durch
Datenmissbrauch, im zivilen wie im militärischen
Umfeld. Logischerweise muss sich ein Unternehmen,
das in diesem Umfeld Sicherheitslösungen bereitstellt,
mit Haupt- und Nebenwirkungen intensiv auseinandersetzen.
Informationssicherheit zu gewährleisten heisst letztlich,
Verantwortung zu übernehmen. Dabei kann der
Sicherheitslieferant seine Sicht nicht allein auf die primär
vorgesehenen Sicherheitslösungen beschränken,
denn Risiken sind heute gebietsübergreifend verknüpft:
Es gehört mit zu seinen Aufgaben, das Zusammenwirken
unterschiedlicher Technologien und Applikationen
zu berücksichtigen, den Kunden wenn nötig entsprechend
zu beraten und in der Praxis auf spezifische
Risiken aufmerksam zu machen. Natürlich ist jeder
Kunde frei in der Definition und Anwendung seiner
individuellen Security Policy. Aus der Projektdiskussion
eröffnet sich aber in der Regel die Möglichkeit,
weitere Problemfelder zu berücksichtigen.
Die vielzitierte globale Vernetzung transformiert auch
die technologische Basis in ganz neue Dimensionen:
Bei so viel Komplexität kann das Thema Informationssicherheit
nur noch mit dem Rückhalt einer breiten
technologischen Netzwerkkompetenz behandelt werden.
Neue Protokolle und Transporttechnologien bieten
einerseits enorme Möglichkeiten, verlangen aber
andererseits mehr Aufwand und Sorgfalt bei der Implementation
von Sicherheitslösungen. Neue Kundenbedürfnisse
– beispielsweise die immer wichtigere mobile
Arbeit mit Daten-Fernzugriff – müssen innerhalb
einer dynamischen, globalen Topologie erfüllt werden,
ohne dass zusätzliche Risiken entstehen.
Diese Veränderungen haben auch im Inhalt der bisher
erschienenen Ausgaben des CryptoMagazines ihre
Spuren hinterlassen. Mehr und mehr wurden Fragen
der Kommunikationstechnologien und damit einhergehenden
Kundenszenarien selber behandelt. Die
Arbeitsweise unserer Kunden rückte ins Zentrum der
Sichtweise.
So ist denn diese Magazin-Jubiläumsausgabe auch ein
wenig Geschichtsschreibung der technologischen und

i n h A L T
gesellschaftlichen Entwicklung der letzten zehn Jahre
geworden. Selbstverständlich hat auch das Magazin
als Medium selbst eine ständige Weiterentwicklung
erlebt. Inhaltlich ist es heute breiter orientiert – wir
be wegen uns gerne auch über den Rand der eigent-
lichen Sicherheitsthematik hinaus, sofern interessante
Verknüpfungen bestehen. Grafisch ist eine Entwicklung
zu schlankerem Layout, differenzierender Farbgebung
und einfacheren Grafiken sichtbar.
Wichtig für uns war, dass wir uns immer wieder durch
anregende Feedbacks der Leserinnen und Leser motivieren
lassen durften. So entstand auch die Idee, nicht
nur wie zu Beginn in den vier Sprachen Deutsch,
Englisch, Französisch und Spanisch zu publizieren,
sondern zusätzlich in Russisch und Arabisch.
Wir freuen uns deshalb, wenn auch Sie uns Ihre
Meinung zu einzelnen Beiträgen oder zum ganzen
Heft mitteilen. Zum Beispiel mit einer E-Mail an die
Adresse: redaktion@crypto.ch
4
7
10
12
14
16
19
20
22
IMpRESSUM
Giuliano Otth
President and Chief
Executive Officer
Neubau «Kundenzentrum» der Crypto AG
Technologisch, optisch und funktional ein Gewinn i n h O u S e
Alte und neue ICT-Bedrohungsformen
Das Übel kommt nicht von der Technik,
sondern von denen, die sie missbrauchen S e C u R i T Y A w A R e n e S S
Interview mit Felix Bollmann, Direktor Glückskette Schweiz
Fundraising zur flexiblen Katastrophenhilfe i n T e R v i e w
Security Services & Solutions als neuer Geschäftsbereich
Dienstleistungsangebot aus einer Hand S O L u T i O n S & S e R v i C e S
Damit Vertrauliches vertraulich bleibt
Stationäre und mobile Sprach-Chiffrierung T e C h n O L O G Y
10 Gigabit Ethernet Encryption Multipoint
Ethernet Multipoint für wachsende Datenströme T e C h n O L O G Y
Das Qualitäts-Management-System schafft Vertrauen
Crypto AG seit 25 Jahren zertifiziert nach ISO 9001 i n h O u S e
Stationär, mobil, portabel, auf hoher See …
Für jedes Umfeld die richtige Chiffrierplattform F O C u S
P3I: Pre-Planned Product Improvement bei HC-2650
Ist das Modem der «bessere Operator»? T e C h n O L O G Y
Erscheinungsweise 3-mal jährlich Auflage 6000 (deutsch, englisch, französisch, spanisch, russisch, arabisch) Herausgeber Crypto AG, Postfach 460, CH-6301 Zug (Schweiz),
www.crypto.ch Redaktionsleitung Casha Frigo Schmidiger, Crypto AG, Tel. +41 41 749 77 81, Fax +41 41 741 22 72, E-Mail casha.frigo@crypto.ch Konzept/Layout
illugraphic, Sonnhalde 3, CH-6332 Hagendorn, www.illugraphic.ch Übersetzung Apostroph AG, Töpferstrasse 5, Postfach, CH-6000 Luzern 6, www.apostroph.ch Druck
Ennetsee AG, Bösch 35, CH-6331 Hünenberg Nachdruck Honorarfrei mit Zustimmung der Redaktion, Belegexemplare erbeten, Copyright by Crypto AG Bildnachweis
Crypto AG: S. 4, 5, 6, 13, 14, 15, 18, 20, 21, 22, 23 · Glückskette: S. 11 · illugraphic: S. 24 · imagepoint: S. 7, 16 · Shutterstock: Titelseite, S. 2, 8, 9, 12, 17
1 0 J A h R e
3

CRYPTOMAGAZINE 3/2010
4
Neubau «KuNdeNzeNtrum» der Crypto aG
TeChnOLOGiSCh, OPTiSCh
unD FunkTiOnAL ein Gewinn
Der erste Eindruck ist atemberaubend: Auf einer Fläche von 800 Quadratmetern erstreckt sich eine grosszügige
Lounge mit Empfangsbereich und verschiedenen Sitzgelegenheiten. Die Theke vor dem Empfang
scheint gleichsam zu schweben, der Boden glänzt in warm-grauem Schweizer Quarzit, und in den hohen
Glasfenstern spiegelt sich der aussen angebrachte Wasserkanal. Auf dem Holzrost in der Aussen-Loggia
kommen die stilvoll-modernen Lounge-Möbel gut zur Geltung. Umrahmt wird das Gebäude von Ginkgos
– den chinesischen Bäumen der Weisheit, Fruchtbarkeit und Widerstandsfähigkeit. Das neue Kundenzentrum
der Crypto AG repräsentiert das, wofür das Unternehmen steht: Kompetenz und Hightech, aber auch
Stil und Modernität. Von Casha Frigo Schmidiger, Publizistin
Die Räume der Crypto AG von 1952 bis heute
Die Anfänge der Crypto AG gehen auf den 15. Mai 1952
zurück. Zu diesem Zeitpunkt hatte der schwedische
Kryptologe und Industrielle Boris Hagelin bereits eine
erfolgreiche Karriere als Erfinder und Unternehmer
hinter sich. Er übersiedelte 1948 in die Schweiz und
verlegte Teile seines Unternehmens A.B. Cryptoteknik
von Stockholm nach Zug – einem Standort, welcher
mit hochqualifizierten Ingenieuren und Technikern
punkten konnte. Analog zum IT-Unternehmen
Hewlett Packard HP hatte das Unternehmen zunächst
den Charme eines Garagenbetriebes. Ursprünglich in
einem kleinen Schweizer Chalet an der Weinbergstrasse
in Zug angesiedelt, entwickelte sich die Crypto AG
in der Folge sehr rasch und litt zusehends unter
Platznot. 1966 erfolgte dann die Übersiedelung nach
Steinhausen/Zug, dem heutigen Standort.
Dort wurde auf der grünen Wiese ein Neubau errichtet,
der über die Jahre einige Erweiterungen erfuhr. So
entstanden nach dem Hauptgebäude separate Nebenbauten
wie das Trainingscenter, das Produktionszentrum
(Shedhalle) und das Restaurationsgebäude. In den
1980er Jahren erfuhr der Haupttrakt ein umfassendes
Makeover, sprich eine Gebäudehüllen-Sanierung.
Kapazitätsmässig stiessen die Bauten nach der Jahrtau-
sendwende an ihre Grenzen – sowohl was die Unter-
bringung der Mitarbeitenden als auch zunehmend
den repräsentativen Empfang der Gäste anbelangte.
Als kompetente, moderne Anbieterin von Hightech-
Sys-temen und Produkten, bei welcher der Kunde im
Zentrum des Wirkens steht, war es der Crypto AG ein
Anliegen, dies auch in punkto ihres äusseren Erscheinungsbildes
auszudrücken. So wurde im 2005 beschlossen,
durch die Erweiterung und die Renovation von
bestehenden Gebäudeteilen ein Kundenzentrum zu
schaffen, das einem Anbieter von Spitzentechnologien
gut zu Gesichte steht.
Transparenz und Authentizität
Wie CEO Giuliano Otth ausdrückt, stand bei der
Planung auch der Wunsch nach Transparenz Pate –
so sollte der Neubau in seinem gesamten optischen
Erscheinungsbild hohen repräsentativen Ansprüchen
genügen und Offenheit sowie Hochwertigkeit und

Klasse ausdrücken. Modernität, Heimatverbundenheit
und Weltoffenheit stehen auch bei der Materialwahl im
Vordergrund. Der Boden und die Wände des neuen
Kundenzentrums sind aus Valser Quarzit gefertigt,
einem edlen Schweizer Naturstein, der für Konstanz
und Stabilität steht. Referenz an unsere aus den verschiedensten
Kulturen stammenden Kunden und Gäste
erweisen wir in der Wahl des Holzes der Aussen-
Lounge, und im Anbringen von grosszügigen Wasserflächen
mit Wasserspiel rund um den Neubau.
Im modernen Showroom kommen
die Crypto-AG-Marktleistungen
noch besser zur Geltung.
Ein zentrales Element jedes Kundenbesuches in der
Crypto AG stellt die Präsentation der Informationssicherheits-Systeme,
-Produkte und -Services dar. Waren
die Showrooms vorher in zwar grossen, aber gefangenen
Räumen untergebracht, so können nun alle Crypto-AG-
Lösungen in einem grosszügig dimensionierten,
freundlich-hellen und eleganten Raum mit einem
genügend grossen Platzangebot vorgeführt werden.
2000 Jahre Geschichte der Kryptographie
Auch das Museum hat einen neuen Platz erhalten. In
übersichtlichen Glasvitrinen werden die ersten Textchiffriergeräte
von Boris Hagelin aus dem Jahr 1935
ebenso präsentiert wie die weltberühmte Enigma der
deutschen Wehrmacht. Zudem erhält man einen Überblick
über die Verschlüsselungsmethoden von Julius
Cäsar über Maria Stuart bis hin zu hochmodernen
Chiffrierprodukten aus der heutigen Zeit.
Ginkgo biloba
Der Ginkgo oder Ginko (Ginkgo biloba; deutsch auch Silberpflaume,
Fächerblattbaum oder Fächerbaum) stammt aus Ostasien,
wo er wegen seiner Samen oder als Tempelbaum kultiviert
wird. Er wurde von holländischen Seefahrern aus Japan nach
Europa gebracht und wird hier seit 1730 als Zierbaum gepflanzt.
Er gilt als «lebendes Fossil», denn er ist der einzige noch existierende
Vertreter der Ginkgophyta, einer sonst ausgestorbenen
Abteilung der Samenpflanzen (Spermatophyta).
Nicht nur aufgrund seiner botanischen Eigenarten und seiner
fantastischen Herkunftsgeschichte gilt er als Wunderbaum. Vorreiter
auf medizinischem Gebiet war China, wo die Baumrinde,
die Blätter und Früchte seit dem 11. Jahrhundert für Heilzwecke
genutzt werden. Auch die europäische Kosmetikindustrie nutzt
verschiedene Varianten des Ginkgo-Extraktes in jüngerer Zeit als
Bestandteil von Kosmetik und Körperpflegeprodukten.
Seine unglaubliche Vergangenheit und seine brillanten Chancen
für die Zukunft, seine Resistenz gegen Schädlingsbefall und seine
Anspruchslosigkeit lassen den Ginkgo für unsere heutige Welt zu
einem grossen Symbol werden: das Symbol für einen Weltenbaum,
das Symbol für Stärke und Hoffnung. Viele Kulturen verehren
den Ginkgo aber auch als Symbol für ein langes Leben,
Fruchtbarkeit, Freundschaft, Anpassungsfähigkeit und Unbesiegbarkeit.
Ein Alter von mehr als 1000 Jahren ist keine Seltenheit
für diese Baumriesen.
Zur modernen Mythenbildung hat auch wesentlich die Geschichte
des Tempelbaumes in Hiroshima beigetragen, der bei der
Atombombenexplosion 1945 in Flammen aufging, jedoch im
selben Jahr wieder austrieb und weiterlebte.
Quelle: Wikipedia, die freie Enzyklopädie
i n h O u S e
5

CRYPTOMAGAZINE 3/2010
6
INTERvIEW MIT CEO GIULIANO OTTH
Was ist das Highlight des Neubaus?
Das Äussere stimmt nun gleichsam wieder mit dem
Inneren überein – und entspricht nun dem Image der
Crypto AG als Hightech-Unternehmen. Stilmässig
gefällt mir, dass Elemente der Swissness wie der
Valser Steinboden mit Details harmonieren, welche
eine Referenz an unsere Kunden darstellen und
Internationalität ausstrahlen.
Welche Vorteile ergeben sich denn für die Kunden
durch das neue Kundenzentrum?
Der Neubau verfügt über sechs voll klimatisierte
Besprechungszimmer mit den modernsten Präsentationstechniken,
welche via benutzerfreundliche
Bedienpanels gesteuert werden. Dies erlaubt es uns,
auch während Präsentationen noch vermehrter auf
unsere Kunden und deren Wünsche einzugehen. Die
Meetings erhalten so ein ganz anderes Standing.
Die Räume sind mehrheitlich mit einem auf WLAN
basierenden Netzwerk für unsere Gäste und mit
TV-Anschlüssen ausgerüstet. Die Konferenzräume
verfügen ebenso über Laptop-Anschlüsse. Und in
den Pausen kann entspannt im Empfangsbereich
oder in der Aussen-Lounge ein Kaffee getrunken
werden. Die gesteigerte Anzahl an Besprechungszimmern
erlaubt es uns zudem, nun mehrere Delegationen
gleichzeitig zu empfangen und zu betreuen.
Das Auditorium Maximum kann überdies bis zu
200 Personen aufnehmen und eignet sich auch für
Seminare und Schulungen.
«Der Neubau erlaubt es uns, auch
während Präsentationen verstärkt
auf unsere Kunden einzugehen.»
Des Weiteren können wir unseren Kunden im neuen
Showroom unsere Marktleistungen noch besser präsentieren,
da wir nun über geeignetere Einrichtungen
und viel mehr Platz verfügen. Stolz sind wir auch
auf die kundenspezifischen Anlagen und Einrichtungen
wie den Andachtsraum und die Rückzugsmöglichkeiten.
Wie wird die Sicherheit physisch, organisatorisch
und logisch im Neubau geregelt?
Da möchte ich gerne etwas ausholen. Sicherheit vermitteln
kann nur ein Geschäftspartner, der absolutes
Vertrauen geniesst. Dass die Crypto AG in der
ganzen Welt für die anspruchsvollsten Kunden dieser
Partner ist, kommt nicht von ungefähr. Für viele
unserer Kunden war und ist entscheidend, dass wir
ein unabhängiges Schweizer Unternehmen sind.
Unsere Forschungs-, Entwicklungs- und Produktionsstätte
in Zug mit 300 Mitarbeitenden bildet dazu
die starke Basis.
Sicherheit wird nun auch mit unserem neuen Kun-
denzentrum vermittelt – wie Sie sich bei Ihrem
nächsten Besuch bei unserem Unternehmen überzeugen
können. Der Kunde bewegt sich in der dafür
eigens eingerichteten Zone – hier kann niemand
unbefugt eintreten oder den Bereich verlassen. Hier
hat er aber auch alles, was sein Herz begehrt – Information
ebenso wie Ruhe und Erholung.
Wo werden die eingangs erwähnten zusätzlichen
Arbeitsplätze entstehen?
An der Schnittstelle zwischen dem Neubau und dem
alten Gebäude – der alten Rezeption – entstehen
zusätzliche Büroräumlichkeiten. Dort werden die
Mitarbeiter des Bereichs «Fertigungssteuerung»
einziehen. Diese sind nun auf unserem Betriebsareal
in Containerprovisorien untergebracht. Sie
nehmen dies im wahrsten Sinne des Wortes «sportlich»
– ihre Übergangsbehausung war zuerst anlässlich
der Fussball-Europameisterschaft 2008 in der
Schweiz im Einsatz.
Die vielen Glasflächen tragen viel zur optischen
Gesamterscheinung bei – wie sieht dies energietechnisch
aus?
Hierzu ist zu sagen, dass es sich um spezielle, bruchsichere
Fenster handelt, welche über eine Dreifachverglasung
verfügen – natürlich auch mit dem nötigen
Sichtschutz. Was die Kühlung bzw. Heizung
des Gebäudes angelangt, so wird ein Drittel der zu
diesen Zwecken benötigten Energie aus einer mit
Grundwasser gespiesenen Erdsonde bezogen, zwei
Drittel des Energiebedarfs neu mit Erdgas anstelle
von Erdöl gedeckt.
Wann findet die Eröffnung der Bauten statt?
Der Neubau kann Ende 2010 vollständig eröffnet
werden, der Erweiterungsbau Mitte 2011.

alte uNd Neue ICt-bedrohuNGsformeN
«DAS ÜbeL kOmmT niChT vOn DeR
TeChnik, SOnDeRn vOn Denen,
Die Sie miSSbRAuChen.»
Von Rudolf Stirnimann, Customer Segment Manager
Neben der Internet- und der Immobilienblase, Harry
Potter, dem iPhone und so spektakulären Bauten wie
dem «Burj Khalifa» in Dubai und dem «Bird’s Nest» in
Peking haben die «Nullerjahre» des 21. Jahrhunderts
vor allem eines gebracht: eine rasant zunehmende globale
Verflechtung der Datennetze und damit einhergehend
eine zunehmende Bedrohung der Daten und
Informationen. Hand in Hand mit dem technologischen
Fortschritt geht die Weiterentwicklung von geeigneten
Angriffen, um an fremde, interessante Daten zu gelangen.
Alte Verfahren werden stetig weiterentwickelt und
automatisiert und auch laufend der neuesten Technik
angepasst. Früher brauchte man beispielsweise zum
Abhören einer einzigen Telefonleitung eine kleine
Mannschaft, die rund um die Uhr mit dem Kopfhörer
am Ohr die Überwachung gewährleistete und
Gespräche aufzeichnete und mitschrieb. Heute mit den
digitalisierten Zentralen erledigt das ein Computer
Zitat von Jacques Yves Cousteau (1910–1997),
französischer Marineoffizier und Meeresforscher
automatisch für eine beliebige Anzahl von Anschlüssen
für Telefongespräche und Faxübermittlungen.
Die weltweite Vernetzung schreitet fort. Nicht nur, dass
die ICT-Infrastruktur immer weiter bis in unsere Wohnung
und bis in die hintersten Winkel der Welt gelangt.
Die früher getrennten Netze werden immer stärker
gekoppelt und wachsen quasi zusammen. Vor Jahren
staunte man, dass über eine Richtstrahlverbindung
Telefon, Fernsehen und Daten gleichzeitig übertragen
werden konnten. Heute gelangen diese Dienste auf
einer einzigen Leitung sogar bis zu uns in unsere
Gebäude hinein. Mit dem Zusammenwachsen der
Netze verwischen auch deren Grenzen und erschweren
die Kontrolle. Schwachstellen sind nicht mehr nur lokale
Probleme des einen Teilnetzes, sondern können das
ganze Netz gefährden.
Konvergenz: Fluch oder Segen?!
Der aktuelle Trend der Konvergenz der Technologien
führt dazu, dass sich Ethernet als Layer-2-Technologie
(gemäss OSI-Modell) und IP (Internet Protocol) auf
Layer 3 durchsetzen werden. Damit entsteht eine
immer durchgängigere Vernetzung, während sich
Gefährdungen immer leichter über die Netzbereiche
hinweg bewegen und ausbreiten können. Dem Gewinn
an Durchgängigkeit, Effizienz und Kosten steht ein
grösseres Gesamtrisiko in Bezug auf Informationssicherheit
gegenüber.
So verflochten die Netze nun sind, so mannigfaltig sind
die Gefahren, die lauern: Feuer, Hochwasser, Erdbeben,
Blitzschlag oder Stromausfall können so ganze
Computernetze lahmlegen.
Denn ebenso wichtig wie Vertraulichkeit, Integrität
und Authentizität ist die Verfügbarkeit der Information.
Ein Ausfall eines grossen Datennetzes bringt alle
Dienste, welche dieses Netz nutzen, zum Erliegen.
Wenn zum Beispiel eine Organisation sowohl Festnetztelefon,
Mobiltelefon, Fax als auch IP-Dienste vom gleichen
Provider bezieht und dieser im Hintergrund alle
diese Dienste über ein und dasselbe Netzwerk routet,
dann hat sie einen typischen «Single Point of Failure».
S e C u R i T Y AwA R e n e SS
7

CRYPTOMAGAZINE 3/2010
8
Das heisst, wenn das Netzwerk des Providers aus
irgendwelchen Gründen ausfällt, dann funktionieren
weder E-Mail noch Fax noch Telefon.
Dank der Konvergenz der Technologien wird es auch
für Eindringlinge möglich, noch mehr Daten umzuleiten
und diese gezielter zu analysieren. Datensammler
im Netz sind nicht nur Hacker, Terroristen und Kriminelle,
sondern auch Beamte im Staatsauftrag. Einige
Staaten lassen es nicht beim Datensammeln bewenden.
Sie versuchen möglichst viele Computer und Netzinfrastruktur
unter ihre Kontrolle zu bringen, um laufend
die neuesten Informationen über interessante Ziele zu
erhalten. Diese können sie für die eigenen Interessen
auswerten, oder im Bedarfsfall gleich bestimmte Ziele
so weit wie nötig lahmlegen.
«Die Internetkriminalität ist der am stärksten wach-
sende Sektor grenzüberschreitender Kriminalität»,
will das Kieler Institut für Weltwirtschaft (IfW) herausgefunden
haben. Gestützt würden die Befunde
durch aktuelle Zahlen aus den USA: So verursachte
Internetkriminalität im vergangenen Jahr Schäden
in Höhe von 560 Millionen Dollar (440 Millionen Euro)
– im Vorjahr seien es noch 265 Millionen Dollar
(208 Millionen Euro) gewesen.
Ware von der Stange
Eine andere Problematik ist «Commercial off the Shelf»
(COTS), der Einsatz von handelsüblicher Ausrüstung
von der Stange. Viele öffentliche Institutionen inklusive
Verteidigungsministerien haben von Seiten der Politik
den Auftrag zum Sparen erhalten. Um diesem nachzukommen
und trotzdem modernisieren zu können, hat
man wo möglich nicht mehr teure Speziallösungen
oder militärische Produkte beschafft, sondern auf das
kostengünstigere COTS abgestellt. Bei einer einfachen
Kommunikationsausrüstung (Hardware und Software)
gilt allerdings zu beachten, dass diese auch mit
Standardprodukten gewartet werden kann und mit
andern Geräten kommuniziert. Ein Beispiel dafür,
wie dies ausgenützt werden konnte, ist ein Fall, der
im Dezember 2009 bekannt wurde. Laut «Computerworld»
haben afghanische Aufständische mittels des
26-Dollar-Programms SkyGrabber die Videosignale
der amerikanischen Drohnen Predator mit dem
Notebook aufgefangen und aufgezeichnet. Dies war
natürlich nur möglich, weil für die Signalübermittlung
Standardformate verwendet wurden und man aus
Spargründen oder Nachlässigkeit auf eine Verschlüsselung
der Signale verzichtete.
Security policy und Zonenkonzept als
wirksame Gegenmassnahme
Je grösser eine Organisation ist, umso komplexer
gestaltet sich deren Infrastruktur und umso schwieriger
sind die Kontrolle und die Absicherung gegen mögliche
Übergriffe und Manipulationen.
Ausgangspunkt für jede Schutzmassnahme ist die
Security Policy der Organisation. Aufgrund dieser werden
regelmässig die Bereiche der physischen, der organisatorischen
und der logischen Sicherheit nach
Lücken, Mängeln oder auch nur Verbesserungsmöglichkeiten
untersucht. Das Konzept der physischen
Sicherheit regelt die Zutritte in eine Organisation
beispielsweise mittels Schlüssel bzw. biometrischer
Massnahmen, die organisatorische Sicherheit wird
mit-tels der Aufbauorganisation gewährleistet und der
gezielten Abgabe von Informationen innerhalb eines
Unternehmens (Need-to-Know-Prinzip), und die lo -
gische Sicherheit kann mittels Kryptographie herge-
stellt werden.
Ein anerkanntes Mittel zur Erhöhung der Sicherheit
sind multiple Verteidigungslinien, das Aufstellen mehrerer
Schranken oder Schutzmechanismen hintereinander.
Dies ist vor allem dann sehr effektiv, wenn sie
über die drei genannten Bereiche verteilt sind. Zum
Beispiel ist der Zugriff auf bestimmte Daten nur von
einem bestimmten Raum möglich, dessen Zugang kontrolliert
wird. Ferner braucht man ein Passwort und
eine bestimmte Hardware (beispielsweise ein Chiffriergerät),
um die Daten lesen zu können.
Da nicht alle Informationen gleich schützenswert sind,
benötigen sie auch nicht alle dieselben Protektionsmassnahmen.
Deshalb werden vielerorts Dokumente
klassifiziert. Daraus leitet sich das Zonenkonzept ab,
das innerhalb eines Gebildes verschiedene Sektoren

mit unterschiedlich starken Schutzmassnahmen vor-
sieht – dies je nach Vertraulichkeit der Informationen.
Das Zonenkonzept wird auf der physischen wie auf der
logischen Ebene angewendet, betrifft aber auch die
organisatorische Sicherheit.
Als Beispiel dient eine Bank: Hier befinden sich die Dia-
manten und die Geldreserven im Tresor hinter mehre-
ren Sicherheitsschleusen und der Tresor kann nur vom
Direktor und vom Kassenchef gemeinsam geöffnet
werden. Für die Schalterhalle hingegen ist die Kontrolle
weniger streng. Um hineinzugelangen, reicht es,
wenn man ordentlich gekleidet ist und dem Türsteher
nicht zu lange in die Augen schaut. Die Kontrolle der
Identität kommt dann erst, wenn es um den Bezug von
Bargeld geht. Da wird dann auch noch kontrolliert, ob
man zum Geldbezug überhaupt autorisiert ist.
Dieses Zonenprinzip wird auch in der ICT-Infrastruk-
tur angewendet. Auch dort werden öffentliche, einge-
schränkte und interne Bereiche unterschieden. Die
Website Ihres Providers ist bestimmt öffentlich. Sie
brauchen kein Passwort, um darauf zu gelangen. Erst
wenn Sie Ihre E-Mails herunterladen wollen, müssen
Sie sich mit E-Mail-Adresse und Passwort identifizieren.
Die meisten Leute sehen davon nichts, weil das
E-Mail-Programm das bereits für sie erledigt hat.
Auch der Mensch muss geschützt werden
Informationssicherheit betrifft nicht nur die digitalen
Daten und die Information, die dahinter steht. Hinter
den Informationen stehen auch Sachwerte und nicht
zuletzt Menschen, die es zu schützen gilt. So ist Informationssicherheit
ein fundamentaler Faktor für die
Sicherheit eines Staates oder einer Gesellschaft. Sie
muss deshalb genauso unermüdlich gefordert und
gefördert werden wie die Sicherheit im Strassenverkehr.
Und genau wie dort muss auch die Informationssicherheit
kontinuierlich überprüft und verbessert
werden. Die Technik entwickelt sich weiter, und mit ihr
auch die Bedrohungen – aber auch die Methoden der
Informationssicherheit.
S e C u R i T Y AwA R e n e SS
9

CRYPTOMAGAZINE 3/2010
10
INtervIew mIt felIx bollmaNN, dIreKtor GlüCKsKette sChweIz
FunDRAiSinG zuR
FLexibLen kATASTROPhenhiLFe
Die Schweizerische Glückskette ist die humanitäre Solidaritäts- und Sammelplattform der Schweiz, welche
von Radio und Fernsehen der SRG SSR idée suisse getragen wird. Die Organisation führt bei grossen
Katastrophen wie beispielsweise dem Erdbeben in Haiti oder der Jahrhundertflut in pakistan mit grossem
Erfolg nationale Sammeltage durch und findet naturgemäss landesweit grosse Beachtung.
Von Casha Frigo Schmidiger, Publizistin
Was bedeutet es, diese Sammeltage durchzuführen?
Was braucht es, damit ein solcher Sammeltag überhaupt
zustande kommt?
Wir untersuchen bei jeder Katastrophe, unabhängig
von ihrem Ausmass, auf welche Weise die Schweizer
Hilfsorganisationen helfen können. Besteht die Möglichkeit,
in den betroffenen Regionen zu helfen, werden
wir automatisch tätig. Der mögliche Umfang der Hilfe,
der Zugang zu Bildern der Gegend, die durch die Katastrophe
geweckten Emotionen usw. bestimmen die Art,
wie wir die Kampagne durchführen. Es ist beispielsweise
schwierig, eine Sammlung nach einer Katastrophe
in einem Land wie China oder den USA durchzuführen,
dessen Behörden die Zusammenarbeit mit den
NGO unseres Landes verweigern. Der gesamte Entscheidungsprozess
dauert nur wenige Stunden, nach
denen eine entsprechende Medienmitteilung herausgegeben
wird. Zeitungsanzeigen und Spots, in denen
wir zur Solidarität aufrufen, benötigen wenigstens
24 Stunden Vorlaufzeit. Die Organisation eines Sammeltags
dauert vier bis fünf Werktage, in denen die
Telefonzentralen eingerichtet, 600 Telefonistinnen
und Telefonisten mobilisiert und die Aktivitäten unserer
Partner wie SRG SSR idée suisse, Swisscom oder
Schweizerischer Post koordiniert werden.
Welche Aufgaben nimmt Ihre Organisation zusätz-
lich wahr?
Die Schweizerische Glückskette verwaltet die gesammelten
Gelder, analysiert die von den 31 Schweizer
Hilfsorganisationen (mit denen wir partnerschaftlich
zusammenarbeiten) eingereichten Hilfsprojekte und
trifft entsprechende Projektentscheidungen. Nach der
Entscheidung begleitet und kontrolliert die Stiftung
diese Projekte und evaluiert die geleistete Hilfe. Mit
den dabei gewonnenen Erkenntnissen verbessern wir
das System der Zusammenarbeit mit unseren Partnerorganisationen
sowie unsere eigenen Normen und Prozesse.
Bei der Finanzierung der Projekte folgen wir
einerseits einem Budgetplan und richten uns andererseits
an den bereits erzielten Ergebnissen aus.
Welche Bedeutung hat die Glückskette im weltwei-
ten Verbund der Kooperation der Hilfsorganisationen?
Wie werden die anfallenden Aufgaben
zwischen den einzelnen Organisationen wie beispielsweise
im Fall des Jahrhunderthochwassers in
Pakistan aufgeteilt?
Die Glückskette stellt keine direkten Hilfsleistungen zur
Verfügung. Vielmehr legen wir eine Interventionsstrategie
mit den entsprechenden Eckpunkten der Hilfe fest.
Beim Beispiel Pakistan wird diese Hilfe durch Organisationen
geleistet, die über mehrjährige Erfahrungen in
diesem Land verfügen. Mit neuen Organisationen arbeiten
wir nicht zusammen. Die Glückskette würdigt und
honoriert den Ausbau spezieller Kompetenzen in den
entsprechenden Organisationen durch ein Zulassungssystem
mit Zertifizierungen für diejenigen Organisationen,
mit denen wir kooperieren.
Die Glückskette stellt keine direkten
Hilfsleistungen zur Verfügung. Diese
werden durch Organisationen geleistet,
welche über mehrjährige Erfahrung
im betroffenen Land verfügen.
Wie wird sichergestellt, dass im Falle einer Naturkatastrophe
die Hilfsorganisationen vor Ort die
Informationen und den Informationsvorsprung
erhalten, den sie auch benötigen?
Wir nutzen vielfältige Informationsquellen und enge
Kontakte zu unseren zugelassenen Partnern, den lokalen,
internationalen und schweizerischen Medien
sowie spezialisierte Medien (z.B. Reuters, Reliefweb
usw.). Mitarbeiter der Glückskette und/oder Spezialisten,
mit denen wir zusammenarbeiten, befinden sich
zu wichtigen Zeitpunkten im Projektablauf vor Ort.
Zu einem weiteren Blickwinkel tragen ausserdem
Gutachten bei, die wir von internationalen Beratern
erstellen lassen.

Die Naturkatastrophen nehmen immer unvorstell-
barere Ausmasse an, wenn wir an Haiti, an Russland
oder an Pakistan denken. Hat dies Auswirkungen
auf die Arbeit der Glückskette?
In den 2000er Jahren haben wir eine Anzahl von
«Rekordsammlungen» organisiert: zwei Sammlungen
für Ereignisse in der Schweiz (im Jahr 2000 in Gondo/
Wallis, dem Tessin und den benachbarten Regionen
74 Millionen Franken, im 2005 für die von Unwettern
stark betroffene Zentralschweiz, das Berner Oberland
und Graubünden 50 Millionen Franken). Bei der Sammlung
nach dem Tsunami 2004 kamen Spenden in der
Rekordhöhe von 227 Millionen Franken zusammen
und 5 Jahre später nach dem Erdbeben in Haiti 65 Millionen
Franken. Die Arbeit selbst hat sich nicht verändert,
erstreckt sich aber über einen immer längeren
Zeitraum, da die Wiederaufbauarbeiten – eine besondere
Stärke der Schweizer Hilfe – in der Regel mehrere
Jahre dauern.
Welcher Wert wird in Regionen mit einer ökolo-
gischen oder humanitären Krise der Sicherheit in
der Informationsübertragung beigemessen? Wir
sprechen hier den Informationsfluss, die Authentizität
der Informationen und die Nicht-Einsehbarkeit
durch Dritte an.
Die Kommunikationspolitik der Glückskette beruht
grundsätzlich auf Offenheit und Transparenz auf jeder
Ebene. Dies ist das Fundament unserer Vertrauenswürdigkeit
für Spender und Hilfsempfänger gleichermassen,
ebenso wie für die Hilfsorganisationen am
Katastrophenort. Daraus folgt, dass wir kein spezielles
Verschlüsselungs- oder Geheimhaltungssystem vorgesehen
haben. Dies gilt jedoch nicht für die Namen der
Spender. Diese geben wir nie an Dritte weiter und nutzen
sie nicht gewerblich. Wir bitten keinen Spender um
weitere Spenden irgendwelcher Art. Ausserdem müssen
unsere Partnerunternehmen spezielle Massnahmen
betreffend finanzielle Transaktionen, insbesondere
mit Kreditkarte, ergreifen.
Schützt die Glückskette die übermittelten Daten?
Nein, wie gesagt, wir erachten dies nicht als notwendig.
Welche Auswirkungen zieht es nach sich, wenn Daten
in einem Krisengebiet in falsche Hände gelangen?
Abgesehen von personenbezogenen Daten und damit
von jedem persönlichen Kontakt führt Transparenz in
den Kontakten zwischen der Schweiz und den Hilfsorten
zu weniger Fragen und geringeren Gefahren als
jeder Versuch der Verschlüsselung.
Herr Bollmann, wir danken Ihnen herzlich für Ihre
Ausführungen.
CHAîNE DU BONHEUR, GLÜCKSKETTE,
CATENA DELLA SOLIDARIETà, SWISS SOLIDARITy
Humanitäre Solidaritäts- und Sammelplattform
der Schweiz
1946 gestartet mit Spendenaufrufen von
Radio Suisse Romande in Lausanne
Seit 1983 eine eigene Stiftung
Kooperation mit der SRG SSR idée suisse
Firmensitz in Genf, Büros in Bern und Lugano
19 Mitarbeiterinnen und Mitarbeiter
Seit 1983 gesammelte Mittel: CHF 1,1 Mrd.
(1 Mrd. USD)
Aktuelles Portfolio: 220 Projekte, 43 Länder,
31 unterstützte Organisationen
Katastrophenhilfe sowie Unterstützung von humanitären
Hilfsprojekten, Kinderhilfsprojekte und individuelle
Sozialhilfe
www.bonheur.ch
www.glueckskette.ch
www.swiss-solidarity.org
Flutkatastrophe in Pakistan
Liebe Mitarbeiterinnen und Mitarbeiter
Die Flutkatastrophe in Pakistan erschüttert uns alle. Die Wassermassen
haben viele Opfer gefordert und grosse Schäden verursacht.
Um unserem Mitgefühl für die vielen Opfer der Flutkatastrophe Ausdruck
zu verleihen, wird die Crypto AG am Nationalen Sammeltag (Mittwoch,
18. August 2010) im Namen aller Mitarbeitenden der Glückskette einen
Betrag überweisen.
Giuliano Otth, CEO
i n T e R v i e w
11

CRYPTOMAGAZINE 3/2010
12
seCurIty servICes & solutIoNs als Neuer GesChäftsbereICh
DienSTLeiSTunGSAnGebOT
AuS eineR hAnD
Um die Kommunikation zwischen personen und Organisationen zu schützen, setzen zivile und militärische
Behörden weltweit auf die Chiffriertechnologien der Crypto AG. Die Zunahme der Datenmengen und die
Komplexität der umgebenden Infrastruktur bedingt für deren reibungslosen Einsatz eine umfassendere
Beurteilung. Die Anwendung von klassischen Security-Systeme stösst bei der kompromisslosen Forderung
nach allerhöchster Sicherheit jedoch oftmals an ihre Grenzen.
Von Casha Frigo Schmidiger, Publizistin
Genau an diesem Punkt kommt der Geschäftsbereich
«Services & Solutions» der Crypto AG zum Einsatz. Ein
hochkarätiges Team von Sicherheitsspezialisten kann
unsere Kunden dabei unterstützen, komplette Systeme
und Lösungen, welche allerhöchsten Sicherheitsansprüchen
genügen, zu planen, zu erstellen und zu
implementieren. Hierbei werden klassische Implementationsmethoden
bewusst und mit eigens entwickelten
Methodologien und Lösungen gezielt dahin erweitert,
auch in einem Systemverbund höchstmögliche Sicherheit
zu generieren. Das dabei angebotene Spektrum der
Dienstleistungen erstreckt sich von diversen Beratungen
bis hin zu spezifischen Lösungsvorschlägen. Die
steigende Nachfrage nach Services und kompletten
Security Solutions hat nun die Crypto AG bewogen,
diese unter dem Geschäftsbereich «Security Services &
Solutions» zu bündeln und einer neuen Leitung zu
unterstellen. Das hat für unsere Kunden den Vorteil,
dass wir uns noch besser auf sie konzentrieren und
noch flexibler und schneller mit unseren Services
bedienen können.
Denn Führen ist heute ungleich komplexer, vernetzter
und anspruchsvoller als noch vor zehn Jahren. Entscheidungen
müssen unter zeitlichem Druck gefällt,
Anordnungen unmissverständlich und rasch getroffen
werden. Gleichzeitig hat die Toleranz abgenommen,
Führungsfehler zu akzeptieren. Kurzum – Führungsarbeit
ist heute zu einem Höchstleistungssport geworden.
Damit nicht genug, sind Manager ebenfalls auch
mit der zunehmenden Bedrohungslage im ICT-Umfeld
belastet. Die Vorteile der digitalen Technik sind zwar
immens, die Gefahren jedoch ebenso gross. Denn die
Angreifer auf die digitale Infrastruktur sind den Verteidigern
häufig einen Schritt voraus. Informationssicherheit
wird damit zu einer Schlüsselaufgabe.
Das Erlangen der Informationssicherheit
ist ein kontinuierlicher prozess
Damit sich eine Führungskraft auf ihre Kernaufgaben
konzentrieren, gleichzeitig schnell und doch sicher mit
ihrem Vorgesetzten oder den Mitarbeitern kommuni-
zieren kann, muss sie sich auf einen Partner in Sicherheitsfragen
absolut verlassen können. Die Crypto AG ist
global führend und verfügt über eine langjährige
Erfahrung im Bereich der Informationssicherheit. Das
Unternehmen sorgt mit seiner Palette bestehend aus
hochwertiger Sicherheitstechnologie, Chiffriersystemen,
Information-Security-Dienstleistungen sowie
kompletten Information Security Solutions dafür, dass
sich weltweit Kunden aus dem zivilen und militärischen
Behördenumfeld auf ihre angestammte Tätigkeit
konzentrieren können und gleichzeitig ihren Informationsfluss
geschützt wissen.
Die Implementation von Informationssicherheit bein-
haltet längst nicht mehr nur ein reines Anbringen von
Hardware. Sie umfasst auch noch zahlreiche Dienstleistungen
von der Ist-Analyse über die hochsichere,
gehärtete Implementation bis hin zum Lifecycle
Management und zur Befähigung des Kunden, die installierten
Lösungen nachhaltig, autonom und sicher zu
betreiben. Dabei wird die Informationssicherheit in
Form eines logischen Projektprozesses realisiert, bei
dem auch alle Security Services entlang des Projektes
integriert sind.

von der Analyse bis zu After Sales Support
und Training
Im Grundsatz hat der neue Crypto-AG-Bereich Security
Services & Solutions zum Ziel, Sicherheitsverantwortliche
beim erfolgreichen Zusammenspiel von
Mensch, System und Prozess optimal zu unterstützen.
Das Ganze unter Anwendung der bekannten Forderung
der Crypto AG nach allerhöchster Sicherheit.
Er fusst auf den Säulen «Consulting Services», «Implementation
Services», «Education Services», «Operational
Support Services» sowie «Lifecycle Management
Services». Wichtig dabei ist die Erkenntnis, dass
klassische Sicherheitsansätze zur Implementation und
zum Betrieb von Chiffrierlösungen oftmals an ihre
Grenzen stossen, wenn die Forderung nach allerhöchster
Sicherheit besteht. Genau diesen Sachverhalt kann
die Crypto AG mit ihren eigens entwickelten Ansätzen
mit ihren Kunden thematisieren und gemeinsame
Lösungsansätze erarbeiten. Mit den Sicherheitsexperten
der Crypto Consulting Services holen sich die Kunden
Expertenwissen ins Haus und können überprüfen,
ob ihre organisatorischen Abläufe sowie deren technische
und operative Implementation keinem unbewussten
Datendiebstahl oder Datenzugriff Vorschub leisten
und ob ihre Prozesse professionell geplant sind. Mit den
Crypto Implementation Services stellen sie sicher,
dass ihr Security System in heterogenen Umfeldern und
unter Einbezug höchster Sicherheitsstandards und in
Übereinstimmung mit ihrer Zielsetzung implementiert
wird. Die mit dem «Premium Class»-Gütesiegel
des International Training Centre Institute ausgezeichnete
Crypto Academy befähigt mit ihrem ganzheitlichen
Schulungsansatz – zusammengefasst unter
den Crypto Education Services – den Anforderungen
an die gestiegene Bedrohungslage informiert und proaktiv
zu begegnen und die Crypto-AG-Produkte zweckmässig
einzusetzen. «Sicher ist es dann, wenn es lückenlos
eingesetzt wird» – dies ist das Credo der Crypto
Operational Support Services. Mit diesen verfügen die
Kunden über eine Rundum-Betreuung für alle installierten
Produkte und Lösungen. Ein wichtiger Teil
dieses Bereiches sind auch die Lifecycle Management
Services, in welchen ihnen die Spezialisten der
Crypto AG wo immer möglich Empfehlungen und Konzepte
zur Verlängerung der Systeme vorschlagen.
Erfolgreiche Umsetzung am Beispiel einer
E-Government-Lösung mit einem Drei-Zonen-
Sicherheitskonzept
Den Erfolg der Crypto Services möchten wir gerne
anhand einer «Success Story» illustrieren. Für die
Regierung einer kleineren Nation wurde die Crypto AG
beauftragt, eine E-Government-Sicherheitslösung zu
entwickeln. Dabei sollten die Schlüsselministerien und
die Parlamentsdienste in einer gemeinsamen ICT-Infrastruktur
via ein sicheres Intranet geschützt werden.
Zudem waren die drei Informations-Klassifikations-
UWE KISSMANN, SENIOR vICE pRESIDENT
SECURITy SERvICES & SOLUTIONS
Uwe Kissmann hat die Leitung der Sparte «Security Services
& Solutions» übernommen. Er verfügt über 15 Jahre Erfahrung
in den Bereichen information Security Engineering,
Consulting, Sales und Marketing. Er war mehrere Jahre als
Security Executive im multinationalen Umfeld tätig und
kennt die spezifischen theoretischen und operativen Herausforderungen
dieser Aufgabenstellung. Zuletzt leitete er das
Security Services, Consulting und implementationsgeschäft
einer grossen internationalen iT Unternehmung. Zudem
ist Uwe Kissmann Dozent für informationssicherheit an
verschiedenen Schweizer Hochschulen.
stufen «top secret», «secret» und «confidential» mit
separaten Chiffrierlösungen zu trennen. Die Anforderungen
waren hoch: Die Crypto AG wurde beauftragt,
eine flächendeckende Sicherheitsarchitektur für die
ICT-Infrastruktur der Regierung auszuarbeiten und
war als Turnkey Provider verantwortlich, eine Sicherheitslösung
zu planen, aufzubauen, zu implementieren
sowie das dafür notwendige Know-how an den Kunden
zu transferieren. Dabei galt es, das existierende Ethernet-Backbone
zwischen den Organisationen mit einer
Höchstsicherheits-Chiffrierlösung zu schützen sowie
eine Definierung von verschiedenen Sicherheits- und
Informations-Klassifikationsstufen und Sicherheitszonen
zu schaffen. Dabei hat die Crypto AG 1- bis 10-Gigabit-Ethernet-Encryption-Geräte
bei allen externen
Links implementiert. Die End-to-End-Chiffrierung für
die höchst geheimen (top secret) Applikationen erfolgte
auf der Basis einer IP VPN-Verschlüsselung. Sämtliche
Security-Management-Funktionen wurden in einem
zentralisierten Security Operation Centre SOC gebündelt.
Da es auch um die Implementierung von
E-Business- und E-Citizens-Funktionen ging, hat die
Crypto AG auch die Schulung dieser externen Technologie-Lieferanten
übernommen. Dank der umfassenden
Beratungs- und Umsetzungskompetenz durch die
Crypto AG verfügt die Regierung dieser kleineren Nation
nun über ein voll funktionsfähiges E-Government-
System, in welchem die Ministerien untereinander
geschützt Daten austauschen und die Bürger risikolos
mit den Behörden kommunizieren können.
Mit unserem Geschäftsfeld «Security Services & Solu-
tions» verschaffen wir unseren Kunden die Kompetenz,
sich auf ihre Kernaufgaben zu konzentrieren. Und
geben ihnen die Möglichkeit, alles andere vertrauensvoll
in unsere Hände zu legen.
SOLuTiOnS & SeRviCeS
13

CRYPTOMAGAZINE 3/2010
14
damIt vertraulIChes vertraulICh bleIbt
STATiOnäRe unD mObiLe
SPRACh-ChiFFRieRunG
Sprache ist unser wichtigstes Kommunikationsmittel. Es sind die Direktheit und die emotionale Qualität,
die dem geschriebenen Wort abgehen, weshalb wohl die meisten unter uns trotz E-Mail und SMS in vielen
Fällen immer noch lieber telefonieren.
Von Rudolf Stirnimann, Customer Segment Manager
In der Berufswelt wird immer dort telefoniert, wo man
sofort eine Antwort braucht oder eine Anfrage im Dialog
präzisiert werden soll. Erteilt man einen Auftrag
per Telefon, so kann man auch gleich verifizieren, ob
alles richtig verstanden worden ist.
Allerdings kann ein Telefongespräch auch relativ ein-
fach ausspioniert werden. Dabei spielt es keine Rolle, ob
über das traditionelle analoge Telefonnetz PSTN (Public
Switched Telephone Network) oder digital mit VoIP
(Voice over Internet Protocol) telefoniert wird, das Abhören
ist in jedem Fall mit wenig Fachkenntnis und dem
richtigen Computerprogramm ein Kinderspiel. Moderne
Abhörsysteme starten und stoppen vollautomatisch
und sie verfügen über beliebig viel Speicherplatz. Die
aufgezeichneten Gespräche können via Netzwerk an
einen beliebigen Computer weitergeschickt werden.
Gerade weil bei der direkten Kommunikation via Tele-
fon das Gespräch schnell auf vertrauliche Inhalte kom-
men kann und weil der Mitschnitt so einfach ist, muss
dem Schutz gegen unbefugtes Mithören oberste Priorität
eingeräumt werden.
Die Crypto AG schützt voice over Ip …
IP-Telefonie setzt sich immer mehr gegenüber der tra-
ditionellen analogen Telefonie durch. Längst sind es
nicht mehr nur Junge und Computerfreaks, die von den
vorteilhaften Preisen der IP-Telefonie angezogen werden.
Seit dem weltweiten Ausbau der Datennetze und
der damit einhergehenden erhöhten Leistungsfähigkeit
haben sich auch die Sprachqualität und die Zuverlässigkeit
der IP-Telefonie enorm verbessert und stossen
damit auf zunehmende Akzeptanz. Nun existiert
sogar IP-Telefonie für das Handy.
Vertrauliche Gespräche wollen geschützt sein. Das
neue Voice System HA-2000 der Crypto AG erlaubt es,
auch im IP-Netz vertraulich (und günstig) zu telefonieren.
Das System basiert gänzlich auf VoIP und SIP, dem
Session Initiation Protocol und hat mit dem Crypto Call
Manager seine zentrale Schalt- und Verbindungsstelle.
Als Endgeräte dienen marktübliche SIP-Telefone, die
an die Office Platform Crypto Desktop HC-9300
angeschlossen werden, auf welchem die Sicherheitsapplikation
Voice Encryption Office HA-2500 läuft.
… und die Mobiltelefonie
Mobil zu telefonieren ist heute für jedermann eine
Selbstverständlichkeit.
Voice Encryption Mobile HA-2400 ist die Sicherheitsapplikation,
die es ermöglicht, mit dem Mobiltelefon
höchst vertrauliche Gespräche in bester Tonqualität
absolut abhörsicher zu führen. Wie bei der Crypto AG
üblich, wird die Chiffrierung in einer dafür spezialisierten
und geschützten (Tamper Proof) Hardware
ausgeführt. Diese hat das Format einer microSD-Karte
und beinhaltet alles, was es für die Chiffrierung braucht
– inklusive eines ca. 1 GB grossen und sicheren Datenspeichers.
Die dazu kompatiblen Mobiltelefone sind
Nokia-Geräte mit dem Betriebssystem Symbian S60.
Zur Übertragung dienen EDGE, UMTS oder als günstigere
Variante WLAN-Netze. Mit diesen Technologien
kann auch eine Registrierung beim Crypto Call Manager
erfolgen, welcher die Vermittlung herstellt.
Die Office Platform Crypto Desktop HC-9300 ist geeignet für Sprache, Fax, Filechiffrierung
und Datenübertragung (E-Mail).
Die Ip-Telefonzentrale: Der Crypto Call Manager
Im traditionellen PSTN-Telefonnetz wurde die Vermittlung
mit mechanischen Systemen automatisiert, heute
läuft dieser Prozess elektronisch und digital. In der IP-
Welt braucht es ebenfalls eine Infrastruktur, welche die
Vermittlung herstellt. Die Anbieter der IP-Netze bieten
aber keine Dienste für Vermittlung von Anrufen an. In
diesem Umfeld braucht man, um ein VoIP-Netzwerk zu

HC-9100 with
HA-2400 on
NOKIA Symbian S60 Phone
Crypto Desktop
IP Phone Voice Encryption Office
EDGE
UMTS
IP
Crypto Call Manager
betreiben, eine Infrastruktur, die die aktuellen IP-
Adressen der Teilnehmer verwaltet und bei Bedarf die
Verbindung zwischen Anrufer und Angerufenem herstellt.
Sobald die Verbindung etabliert ist, werden nur
noch chiffrierte VoIP-Pakete hin- und hergeschickt.
Wie eine herkömmliche Telefonzentrale stellt der
Crypto Call Manager nicht nur die Verbindung her, sondern
leitet noch während der gesamten Dauer des
Anrufs die chiffrierten VoIP-Pakete weiter. Ein einzelner
Crypto Call Manager kann bis zu zehn Anrufe parallel
verbinden und aufrechterhalten. Der Crypto Call
Manager HA-2100 ist eine Sicherheitsapplikation, die
ebenfalls auf dem Crypto Desktop HC-9300 läuft.
Sprach-Chiffrierung im vIp-Büro
Im Einzelbüro im Ausland oder im Büro eines VIPs
braucht es die allerhöchste Sicherheitsstufe: Das Chiffriergerät
muss zwingend im gleichen Raum wie das
Telefon stehen. Als Chiffriergerät dient in diesem Fall
das Crypto Desktop HC-9300 mit der Voice Encryption
Office HA-2500. Als Endgerät auf der unchiffrierten
Seite kann ein handelsübliches SIP-Telefon verwendet
werden. So hat der Kunde die Möglichkeit, das Telefon
nach seinen eigenen Wünschen auszuwählen.
Auf diese Weise sind die langfristigen Investitionen in
die Sicherheit (HC-9300 und HA-2500) und die eher
kurzfristigen Investitionen in das Lifestyleprodukt
Telefon nicht mehr miteinander verknüpft. Das
HC-9300 beinhaltet die Hardware für die Chiffrierung
sowie das Telefon- und Adressbuch in einem geschützten
Speicherbereich und es authentifiziert beim Login
wenn gefordert Benutzer anhand des Passworts.
Mit dem Voice Encryption System, das auf etablierte IP-
Telefonie aufbaut, und dem Crypto Desktop HC-9300
als multifunktionale Chiffrier- und Kommunikationsplattform
investieren Sie langfristig in die Sicherheit
und Zukunft ihrer Organisation.
HC-9100 with
HA-2400 on
NOKIA Symbian S60 Phone
Crypto Desktop
Voice Encryption Office
IP Phone
CHIFFRIERpLATTFORMEN FÜR SpRACHE
Crypto Desktop HC-9300
Die Chiffrierplattform ist geeignet für Sprache, Fax, Filechiffrierung
und Datenübertragung (E-Mail) und verfügt über
Schnittstellen zum Telefon, Fax und Ethernet für PC und
SiP-Telefon.
Crypto Mobile HC-9100
Die Chiffrierplattform ist geeignet für die Mobiltelefonie.
SICHERHEITSAppLIKATIONEN FÜR SpRACHE
voice System HA-2000
Das neue Voice System HA-2000 der Crypto AG erlaubt es,
auch im iP-netz ver traulich (und günstig) zu telefonieren.
voice Encryption Mobile HA-2400
Die Voice Encryption Mobile HA-2400 ist die Sicherheitsap-
plikation, die es ermöglicht, mit dem nokia-Mobiltelefon
höchst vertrauliche Gespräche in bester Tonqualität absolut
abhörsicher zu führen. Wie bei der Crypto AG üblich, wird
die Chiffrierung in einer dafür spezialisierten Hardware
ausgeführt.
voice Encryption Office HA-2500
Das Voice Encryption Office HA-2500 ist die Sicherheitsap-
plikation für das stationäre Office-Telefon. Es läuft auf dem
Crypto Desktop 9300, in welchem auch die Chiffrierung
erfolgt.
Crypto Call Manager HA-2100
Der Crypto Call Manager HA-2100 ist eine Sicherheitsapplikation,
die ebenfalls auf dem Crypto Desktop HC-9300
läuft. Er verwaltet die iP-Adressen der Teilnehmer und stellt
die Verbindungen her.
T e C h n O L O G Y
15

CRYPTOMAGAZINE 3/2010
16
10 GIGabIt etherNet eNCryptIoN multIpoINt
eTheRneT muLTiPOinT
FÜR wAChSenDe DATenSTRöme
Beobachtungen des Netzwerkmarktes zeigen deutlich, dass sich die Bandbreiten innerhalb von sechs
Monaten stets verdoppeln1 . Dabei hat sich die Transport-Technologie Ethernet mit ihren Leistungsmerkmalen
durchgesetzt. Ethernet, einst für die vernetzung lokaler Computer konzipiert, hat sich heute für Anbindungen
von regionalen über nationale bis hin zu internationalen Standorten bestens bewährt. Dem Trend
hin zum stetig ansteigenden Datendurchsatz begegnet die Crypto AG mit der kontinuierlichen Weiterentwicklung
der Chiffrierleistung und mit dem Ausbau der Multipoint-Fähigkeit. Der Datendurchsatz einer
Chiffrierlösung von 10 Gigabit pro Sekunde mit Multipoint-Charakter ist heute Realität.
Von Urs Kürzi, Customer Segment Manager und Willy Landolt, Product Manager
Auf der Suche nach einer effizienten Standortvernet-
zung ensteht schnell das Bedürfnis nach einer voll ver-
maschten «Hub and Spoke 2 »-Topologie auf – meist schon
bei einer Verbindung vom Hauptsitz (HQ) zum Zweits-
tandort (Branch Office) mit einem externen Backup-
Rechenzentrum (siehe Grafik). Dies als Weiterentwicklung
zu der früher verwendeten sternförmigen
Vernetzung, als eine direkte Kommunikation von
Branch zu Branch noch nicht möglich war. Im Multipoint-Szenario
greifen die Nutzer mehrerer Standorte
auf Datenbestände im Rechenzentrum zu. Das Rechenzentrum
wiederum ist in der Lage, die Daten redundant
an den Hauptsitz zu liefern. Was sich früher mit einer
herkömmlichen Linktechnik (Point-to-Point) mit
sechs Chiffriergeräten realisieren liess, ist heute mit
einer Ethernet-Encryption-Multipoint-Lösung elegant
mit drei Multipoint-Geräten (sowie zusätzlich redundanten
Geräten) möglich.
Darüber hinaus bietet Ethernet Encryption Multipoint
auch den Vorteil der Skalierung. Die Bandbreite von
10 Gigabit pro Sekunde vom Hauptsitz zu den Aussenstellen
lässt sich beispielsweise in ein Gigabit und/oder
100 Megabit pro Sekunde bei den einzelnen Standorten
aufteilen. Weil nie alle Standorte gleichzeitig ihre volle
Bandbreite beanspruchen, kann die Leistung im Wide
Area Network WAN optimal ausgenutzt werden. Wird
die Tendenz zu Überlastspitzen mittels Monitoring
fest-gestellt, kann rechtzeitig eine Bandbreitenerweiterung
in Betracht gezogen werden.
Einhergehend damit sind auch Aussenstellen mit einer
Übertragungskapazität von 100 Megabit pro Sekunde
anzubinden, was zu einem späteren Zeitpunkt bei
wachsenden Datenströmen auf grössere Übertragungskapazitäten
erweitert werden kann. Netzwerke
auf der Basis von Ethernet Encryption Multipoint sind
der intelligente Weg, wenn es um die Vernetzung von
Standorten und Rechenzentren auf höchstem kryptographischen
Niveau geht.
Einfache Inbetriebnahme
Mit Ethernet Multipoint lassen sich mehrere hundert
Standorte zu einem vermaschten Netzwerk zusammenschliessen.
Bei einer solchen Konfiguration stellen
sich ganz neue Herausforderungen bezüglich der Inbetriebnahme
im Vergleich zu Punkt-zu-Punkt-Netzwerken.
In einem extra dafür vorgesehenen Installationsmodus
können nun aber komfortabel sämtliche
Einstellungen zwischen Hauptsitz und Aussenstellen
konfiguriert und getestet und im geplanten Zeitfenster
«live» geschaltet werden.
Universelles Transportnetz
Der Ethernet-Service-Anbieter offeriert standardisierte
Verbindungsdienste, Skalierbarkeit, Zuverlässigkeit,
Dienstgüte (QoS) und ein Service- und Service-Level-
Management 3 . Dank dieser hohen Flexibilität erreicht
der Dienstanbieter eine optimale Kosteneffizienz in
den Weitverkehrsnetzen. Für die Bereitstellung von
sogenanntem Carrier-Ethernet hat das Metro Ethernet
Forum mehrere standardisierte Diensttypen definiert:
E-Line (eine virtuelle Punkt-zu-Punkt-Verbindung),
E-Tree (eine Punkt-zu-Mehrpunkt-Verbindung) und
E-LAN (eine virtuelle Verbindung in Mehrpunkt-zu-
Mehrpunkt-Konfiguration). Basierend auf diesen Service-Typen
werden Voice, Video und Daten übertragen.
Die unterschiedlichsten Ansprüche in Bezug auf Verkehrsverhalten
können so abgebildet werden, und der
Kunde erhält ein universelles Transportnetz, welches
preisoptimal ein Leistungsmaximum bietet, auf einer
robusten Technologie aufsetzt und jederzeit ausbaubar,
sprich skalierbar ist.
Ethernet Encryption: Bestechende vorteile
Der Ethernet-Dienst erfüllt auf dem Layer 2 nach dem
OSI-Modell seine Transportfunktion. Dabei kann es
sich um E-LAN, E-Line oder E-Tree handeln. Prinzipien,
die sich bestens für die Übertragung sämtlicher
multimedialer Anwendungen eignen. Mit der
Chiffrierung auf dem Layer 2 entsteht kein Overhead

und nur minimalste Zeitverzögerung. Ethernet
Encryption bietet eine hervorragende Performance
mit einem 100% Verschlüsselungsdurchsatz von bis zu
10 Gbps und mit einer vernachlässigbaren Latenzzeit.
Ein Einsatz von Ethernet Encryption auch bei zeitkritischen
Anwendungen in Verteidigungs- und Speichernetzwerken
ist empfehlenswert, sei dies als Ethernet
oder FibreChannel over Ethernet Transport.
Sicherheit ist auch bei 10 Gigabit pro Sekunde zwingend.
Die enorme Übertragungskapazität von 10 Gigabit pro
Sekunde stellt nur eine vermeintliche Sicherheit dar.
Selbst bei diesem Datendurchsatz von 10 Gigabit pro
Sekunde kann sich kein einziges Bit «in der Menge
Storage
Storage
Server
Server
Headquarters
Ethernet
Encryption 10 G
Ethernet
Encryption 10 G
(redundant)
Security Management
Centre 1
Security Management
Centre 2
Network Management
Centre
Ethernet Network
(Service Provider)
verstecken». Denn jedes noch so schnell verschickte
Datenpaket hat eine Ziel- und eine Absenderadresse
nach genau definierten Strukturen (Frames). Gegen
moderne Angriffstechniken hilft hier nur eine lückenlose,
hochsichere Chiffrierung aller transportierten
Informationen.
Komfortables Security Management
und Monitoring
Arbeitet eine Organisation oder ein Unternehmen mit
grossen Netzen und/oder global verteilten Standorten,
erhält das Security Management eine erhöhte Bedeutung:
In diesen Szenarien werden praktisch immer
hochsensible Daten transportiert, deren Wege unter
Kontrolle sein müssen. Das Security-Managementund
-Monitoring-Konzept der Crypto AG unterstützt
deshalb auch Chiffrierlösungen in Ethernet-Multipoint-Topologien,
und zwar sowohl im Offline-
(Management)- wie im Online-Modus.
Für grössere Netze empfiehlt sich der komfortable
Online-Modus, für den sowohl das Inband- wie das
Out-of-band-Verfahren eingerichtet werden kann: Je
nach den individuellen Bedürfnissen und/oder nach
vorhandener Infrastruktur kann der Anwender das
für ihn optimale Verfahren in Betracht ziehen. Ziel ist
es, dem Security Manager eine möglichst einfache
Inbetriebnahme und effiziente Kontrolle der Chiffriereinheiten
im Netz zu ermöglichen. Er kann sich
dabei auf ein bewährtes technisches Arbeitsinstrument,
bestehend aus dem SMC-1100 Broadband und
Backup Storage Centre
Ethernet
Encryption 1G
Ethernet
Encryption 1G
(redundant)
Branch Office 1
Ethernet
Encryption
100 M
Ethernet-Multipoint-Szenario: Reduktion der nötigen Chiffriergeräte, Unterstützung aller vom Metro Ethernet Forum spezifizierten Topologien.
Branch Office 2
Server
Workstation
Branch Office 3 ...
Storage
Server Storage
T e C h n O L O G Y
17

CRYPTOMAGAZINE 3/2010
18
dem Remote Access Device RAD-1100, verlassen. Die
meisten Operationen werden durch benutzerfreundliche
Bediener-Oberflächen unterstützt, Fehler werden
durch die entsprechende Menüführung und konzeptionelle
Mechanismen verhindert. Im Hintergrund sind
zahlreiche weitere Schutzmechanismen – beispielsweise
die Benutzerauthentifizierung – präsent.
Besondere Beachtung wurde hier dem sogenannten
Roll-out-Verfahren geschenkt: Die Implementation
der Chiffriergeräte erfolgt völlig unkompliziert,
indem die vorkonfigurierten Geräte – in welche die
kundenspezifischen Sicherheitsparameter zugriffsgeschützt
geladen wurden – in das Netz eingeschleift
und im Plain-Modus eingeschaltet werden. Ebenso
einfach kann von nun an bei laufendem Netzwerkbetrieb
jede Verbindung überwacht, administriert
und wenn nötig wieder ausgeschaltet werden. Der
Wechsel der Schlüssel (nach «Best Practise» periodisch
vorzunehmen) kann terminierbar auf einen
gewünschten Zeit punkt automatisch und ohne Anwe-
senheit von Personal erfolgen.
Das Monitoring-Konzept ermöglicht unter anderem die
Kontrolle der Belastung auf den einzelnen chiffrierten
Verbindungen zwischen den Standorten. Wird ein
Trend zu Belastungsspitzen sichtbar, können eventuell
nötige Massnahmen rechtzeitig und ohne Gefährdung
der Verfügbarkeit eingeleitet werden. Die Multipoint-
Technologie erlaubt es dem Anwender, solche Management-Funktionen
auch in Providernetzen in Eigenregie
wahrzunehmen.
Sicherheit ist auch bei 10 Gigabit
pro Sekunde unabdingbar.
Bei geografisch weit gestreuten Standorten ist es möglich,
mehrere Standorte für das Security Management
einzurichten. Die einzelnen Standorte arbeiten mit
einer einzigen, gemeinsamen Datenbasis, auf die ausschliesslich
absolut sicher über chiffrierte Verbindungen
zugegriffen werden kann. Dadurch werden Kollisionen
oder Missverständnisse ausgeschlossen und die
Daten sind jederzeit konsistent. Nach diesem Konzept
lässt sich beispielsweise ein einfaches, effizientes
Rund-um-die-Uhr-Management aufrechterhalten, indem
Managementstandorte in mehreren Zeitzonen
eingerichtet werden.
Diese und weitere Vorteile der Ethernet-Technologie
erleichtern dem Anwender den Entscheid, bei wachsenden
Datenströmen auf seinen Backbones auf diese
sichere, komfortable und über alles gerechnet auch
kostengünstige Netzwerkphilosophie zu setzen.
Quelle:
1 Gilder’s Law: George Gilder ist Autor des bekannten Gilder Technology Report
und anderer diverser Veröffentlichungen zum Thema Telekommunikation und
Mikroprozessortechnik. Aufgrund empirischer Untersuchungen leitete er sein
Gesetz über die Entwicklung der Bandbreite bzw. der Übertragungskapazität ab.
Dieses besagt, dass die Bandbreite für die Kommunikation etwa dreimal so schnell
wächst wie die Prozessor- bzw. die Rechenleistung (siehe Moore’s Law). Gilder
erweitert dieses Gesetz, indem er eine Verdopplung der Kommunikationsleistung
alle sechs Monate ableitet.
2 Bei einer «Hub and Spoke»-Konfiguration kann die Kommunikation von einer
Aussenstelle zur anderen nicht auf direktem Weg stattfinden, sondern führt via
Hauptsitz zur entsprechenden Aussenstelle.
3 Crypto Magazine 2/2009, Seite 13 – 14, Ethernet Encryption for next generation
networks

das QualItäts-maNaGemeNt-system sChafft vertraueN
CRYPTO AG SeiT 25 JAhRen
zeRTiFizieRT nACh iSO 9001
Die Crypto AG gehört zu den ersten Unternehmen in der Schweiz, die sich aufgrund der Norm ISO 9001
zertifizieren liessen. Das Ziel war, damals wie heute, eine vertrauensbasis betreffend Beziehungen mit
den Kunden zu schaffen. In den vergangenen 25 Jahren wurde das Qualitäts-Management-System über
die ISO-vorgaben hinaus laufend weiterentwickelt mit dem Ziel, die unterschiedlichen Anforderungen der
Kundengruppen gezielt zu erfüllen.
Von Dr. Rudolf Meier, Publizist
Die Crypto AG kann dieses Jahr ein spezielles Jubiläum
begehen: Das Unternehmen wurde 1985 zum ersten Mal
nach den ISO-Anforderungen zertifiziert und gehört
damit zu den «Pionieren» in Sachen Qualitäts-Management.
Im Rahmen des diesjährigen Aufrechterhaltungs
audits erhielt Giuliano Otth, CEO der Crypto AG,
am 8. Juni 2010 vom Vertreter der Schweizerischen
Vereinigung für Qualitäts- und Management-Systeme
(SQS) Erwin Peter ein Spezial-Zertifikat für 25 Jahre
Engagement im Bereich Qualitätsmanagement.
Die Crypto AG hat im Juni 2010
eine Auszeichnung zur 25-jährigen
SQS-Zertifizierung erhalten.
ISO-Zertifikate sind die am breitesten anerkannten
Zeugnisse für Qualitäts-Management-Systeme. Diese
Zertifikate werden nur von autorisierten Zertifizierungsstellen
ausgegeben und sind in der Regel zeitlich
begrenzt gültig. Für die Erneuerung sind regelmässig
aufwändige Assessments zu bestehen. Damit ist für
Geschäftspartner und Kunden ersichtlich, dass ein
Unternehmen das Thema Qualität ernst nimmt und das
QM-System wirksam weiterentwickelt. Oft werden bei
der Vergabe von Aufträgen nur Anbieter berücksichtigt,
die den entsprechenden Nachweis erbringen können.
Die Crypto AG hat sich im Laufe der letzten 25 Jahre
lückenlos den periodischen Zertifizierungen unterzogen
und integriert regelmässig die neuen Erkenntnisse
aus der Management-Praxis in die tägliche Geschäftstätigkeit.
Das Unternehmen sorgt dafür, dass die verlangten
und bestätigten Leistungen, Werte und Verhaltensweisen
auch tatsächlich langfristig garantiert sind
und dass Weiterentwicklungen der Norm rechtzeitig
nachvollzogen werden.
INTERNATIONAL
ORGANIZATION FOR
STANDARDIZATION ISO
iSO ist die internationale Organisation
für normung und wurde
bereits 1947 gegründet. Sie ist in
allen wichtigen industriestaaten
anerkannt – über 150 sind als Mitglieder
in ihr vertreten. in den Mitgliedsländern
sind unabhängige
Zertifizierungsorganisationen mit
der Durchführung der Zertifizierungsprozesse
betraut. im Laufe
der Jahre wurden von der iSO
zahlreiche branchenspezifische
normen geschaffen.
Grundsätzlich legen die iSO-Qualitätsnormen fest, welche
Anforderungen das Qualitäts-Management-System des Unternehmens
erfüllen muss. Dazu wurden acht Grundsätze
des Qualitäts-Managements festgelegt:
1. Kundenorientierung
2. Verantwortlichkeit der Führung
3. Einbezug der Mitarbeiter
4. Prozessorientierter Ansatz
5. Systemorientierter Managementansatz
6. Kontinuierliche Verbesserungen
7. Sachbezogener Entscheidungsfindungsansatz
8. Lieferantenbeziehungen zum gegenseitigen nutzen
Quelle: iSO international Organization for Standardization
www.iso.org
Zur praxisgerechten Umsetzung der Grundsätze bestehen
umfangreiche Leitfäden wie iSO 9004 und weitere, beispielsweise
für die Crypto AG relevante normen wie
iSO 27000 (iT-Sicherheit) und iSO 20000 (Service Management)
sowie iSO 31000 (Risk Management).
Certified Management System
Swiss Made
i n h O u S e
19

CRYPTOMAGAZINE 3/2010
20
statIoNär, mobIl, portabel, auf hoher see …
FÜR JeDeS umFeLD Die RiChTiGe
ChiFFRieRPLATTFORm
Globale vernetzung und drahtlose Kommunikation erlauben höchst flexibles Arbeiten an jedem Standort
und mit fast allen gängigen Applikationen. Bei aller Flexibilität und Effizienz gilt jedoch weiterhin:
Informationsschutz ist erstrangig. Mit einer möglichst homogenen Chiffrierung über alle Applikationen
hinweg lässt sich dieses Ziel auch in Zukunft erreichen. Das plattformkonzept der Crypto AG offeriert
den Anwendern dafür eine zukunftssichere Basis.
Von Urs Kürzi, Customer Segment Manager
Mobil- und Festnetztelefon, E-Mail oder Videokonfe-
renzen sind aus der geschäftlichen Kommunikation
nicht mehr wegzudenken. Noch immer rasant zunehmend
ist jedoch die kommunizierte Datenmenge.
Dabei spielt der praktisch weltweit von jedem Standort
aus mögliche Zugriff auf Daten im Regierungs- oder
Unternehmensnetz durch mobile Mitarbeiter eine entscheidende
Rolle. Das Rückgrat dafür liefern globale
Computernetzwerke, welche mit hochleistungsfähigen
Datenleitungen tausende von Angestellten an verschiedenen
Standorten miteinander verbinden und direkte
Kooperation in Echtzeit ermöglichen. Dass dies die alltäglich
genutzten Anwendungen technisch immer
näher zusammenführt – die wichtigsten Stichworte
dafür sind «IP-Konvergenz» und «Ethernet» –, hat selbstverständlich
auch Auswirkungen auf die Informationssicherheit.
Denn egal wie und wo gearbeitet wird:
Informationssicherheit entsteht erst durch Berücksichtigung
von spezifischen Elementen und Prozessen und
durch die Konzeption kundenspezifischer Lösungen, so
dass Vertraulichkeit, Authentizität und Integrität unter
allen Umständen gewährleistet werden können. Das
mittelfristige Ziel ist deshalb eine homogene Sicherheitsarchitektur
in allen Arbeitsszenarien, und dies
soweit möglich auch über die unterschiedlichen
Applikationen hinweg. Dafür rücken neue, integrierte
Konzepte in den Vordergrund, die für den Anwender viel
vorteilhafter sind, als für jedes einzelne Kommunikationsmedium
eine separate Chiffrierlösung zu betreiben.
Das Rezept heisst: «Crypto platform»
und «Security Application»
Die Crypto AG hat diese Anforderungen an moderne
Verschlüsselungslösungen in einem Plattformkonzept
umgesetzt. Dies bedeutet, dass eine bestimmte «Crypto
Plattform» für einen spezifischen Einsatz konzipiert
wurde und je nach Bedarf mit einzelnen oder mehreren
Sicherheitsapplikationen versehen werden kann. So
sind Hardware-Plattformen für mobiles Arbeiten im
Einsatz, für stationäre Bürokommunikation (Desktop)
oder gar für den robusten Einsatz beispielsweise in
Fahrzeugen. Jede dieser Hardware-Plattformen kann –
entsprechend ihrer Konfiguration – Sprache, Daten,
Messaging oder Videoanwendungen chiffrieren. Ein
multifunktionales und flexibles Konzept also, das nicht
nur in der Theorie verlockend klingt, sondern sich in
der Praxis bestens bewährt hat. Und dies vor allem vor
folgendem Hintergrund:
Weg von der aufwändigen
Beschaffungsphilosophie
Gesteigerte Anforderungen bezüglich Budget- und
Kostendruck haben in den meisten Regierungsverwaltungen
zu einem Umdenken geführt. Bisher liessen
sich die «klassischen» Verwendungsszenarien mit im
Voraus bestimmten Verschlüsselungsgeräten vorgängig
planen und die Systemzuverlässigkeit wurde (logistisch)
mit grosser Lagerhaltung sichergestellt. Diese
Sicht- und Organisationsweise der Supply Chain
erlaubte es Regierungen und Organisationen, spezifisch
auf ihre Bedürfnisse hin Verschlüsselungs-
Lösungen entwickeln und beschaffen zu lassen. Die
Folge waren unter anderem teure Kleinserien und aufwändige
Lagerhaltung von Ersatzgeräten (einzeln für
jedes Kommunikationsmedium), die über die Zeit hinweg
zu veralten drohten. Wer nun aber bereit ist,
modernste Technologie aus verkürzten Entwicklungs-

Mobile platform
Security Application:
� iP VPn (VolP)
� File
� Storage
� Thin Client
zyklen rasch zu implementieren, kann in Zukunft kostengünstigere
und flexiblere Sicherheitslösungen implementieren.
Das Plattformkonzept der Crypto AG gibt
ihm zuverlässig den Weg vor.
MultiCom ist multifunktional
Heute steht das Plattformkonzept im Zentrum. Es bedeutet,
dass die Logistik massiv vereinfacht wird. Beispielsweise
gehen Armeen heute dazu über, die Multi-
Com-Radio-Encryption-Lösung HC-2650 – ursprünglich
für verschlüsselte Funk-Kommunikation (HF, UHF,
VHF) ausgelegt – neu auch für sichere IP VPN-Kommunikation-200-Hardware-Plattformen
zu verwenden.
Dies ermöglicht eine Flexibilität, die die Logistik in
Defence-Organisationen deutlich vereinfacht. So lässt
sich per Knopfdruck aus einem Funkverschlüsselungsgerät
ein IP-Verschlüsselungsgerät machen – und
umgekehrt natürlich genauso. Eine Plattform bietet
bezüglich Unterhalt viele Vorteile: Reparatur, Ersatzteilhaltung
und Schulung lassen sich um Faktoren einfacher
bewirtschaften, als dies bei herkömmlichen
Geräten der Fall war. Darüber hinaus bietet ein modulares
Konzept den Vorteil, dass Sicherheitsapplikationen
sukzessive beschafft werden können.
Mit dem P3I-Konzept (Pre-Planned Product Improve-
ment) werden erwartete technologische Innovationen
antizipiert und planmässig für die Implementation in
bestehende Systeme aufbereitet – praktisch über die
gesamte Systemlebensdauer hinweg. Der Anwender
kann sich darauf verlassen, dass er so immer auf dem
aktuellen technologischen Stand arbeitet.
MultiCom
Messenger
Headquarters
MultiCom
Radio Encryption
HC-2650
MultiCom
IP VPN Encryption
HC-2650
Desktop platform
Security Application:
� Fax
� Voice
� File
Die MultiCom Radio Encryption HC-2650 Platform dient als Basis für die
Security Applications wie «Messaging» und «iP VPn».
Radio Radio MultiCom MultiCom
Radio Encryption
HC-2650
Messenger
Internet
HF/VHF
Ein weiteres Beispiel: Sichere Bürokommunikation
Den Benutzer von Telefon, Fax oder PC muss die technologische
Basis kaum interessieren, er möchte sie einfach
«problemlos» verfügbar haben. Die neue, universale
«Office Platform Crypto Desktop HC-9300» trägt
dieser Situation Rechnung: Sie schützt die Daten und
Informationen aller konfigurierten Applikationen im
jeweiligen Arbeitsumfeld. HC-9300, heute mit der
Sicherheits-Applikation «Fax Encryption» erhältlich,
ist als Sprachlösung vor der Einführung und bietet in
Zukunft mit der Applikation «Sicheres E-Mail» einen
absolut zuverlässigen End-to-End-Schutz. Ganz nebenbei
ist diese Plattform auch ein echtes Schmuckstück
auf jedem Schreibtisch.
plattformen minimieren Schulungsaufwand
und Fehlerquellen
Zu einer Chiffrierlösung auf höchstem Niveau gehört
auch ein Fachpersonal, das auf höchstem Niveau ausgebildet
ist. Denn die beste Sicherheitslösung ist bekanntlich
nur so gut, wie die Personen, die sie installieren,
konfigurieren, anwenden und unterhalten. Dass diesem
Faktor besonderes Augenmerk zukommt, stellen
die Nutzer schnell fest. Kennen sie nämlich das Bedienkonzept
einer Lösung, so können sie meist auch intuitive
eine andere Sicherheits-Applikation auf derselben
Plattform betreiben. Solche Synergieeffekte bewirken
nicht nur Einfachheit im Systembetrieb, sondern schaffen
ebenso Akzeptanz und Vertrauen in andere Plattformen
und deren Applikationen. Eine einfache, Fehler
verhindernde Benutzerführung macht die Arbeit leicht.
Mobile Client
IP VPN Encryption
HC-7835
Ruggedised platform
Security Application:
� Radio Voice
� Radio Data
� MiL Messaging
� iP VPn
E-mail
Client
Mobile User
Portable User
F O C u S
21

CRYPTOMAGAZINE 3/2010
22
p3I: pre-plaNNed produCt ImprovemeNt beI hC-2650
iST DAS mODem DeR
«beSSeRe OPeRATOR»?
Die Crypto AG entwickelt nicht allein reine Chiffriergeräte, sondern auch ergänzende produkte, welche im
Zusammenhang mit der digitalen Chiffrierung stehen. Die digitale Signalbehandlung nimmt dabei eine
besondere Rolle ein. Im Rahmen der p3I-philosophie wird in nächster Zeit ein neues Modem für das MultiCom
Radio Encryption HC-2650 verfügbar sein, das die Effizienz der Datenkommunikation über Funkkanäle –
für ziviles oder militärisches Messaging – entscheidend verbessert. Von Tim Harms, Product Manager Radio Security
HF-Funkkanäle sind heute dank Digitaltechnik viel
leistungsfähiger als noch vor wenigen Jahren – die
Grenzen der «nutzbaren» Physik haben sich entgegen
den Erwartungen vieler Funk-Experten immer wieder
hinausschieben lassen. Dabei geht es nicht nur
darum, was theoretisch machbar ist, sondern darum,
was sich in der täglichen Praxis realisieren und
stabil verfügbar halten lässt. Weil bei der modernen
Chiffriertechnik das Voice-Signal ohnehin digitalisiert
werden muss, hat sich die Crypto AG immer
auch mit der Modem-Technologie beschäftigt. In der
Folge entstanden sozusagen zwangsläufig periodische
Innovationen, unter denen das sogenannte Voice-
Coding heraussticht, welches die mögliche übertragbare
Sprachinformation und -qualität entscheidend
mitbestimmt.
HF-Funkkanäle sind heute viel
leistungsfähiger – die Grenzen der
nutzbaren Physik werden heute
weiter gesteckt als noch vor ein
paar Jahren.
Geplante Innovation ist auch Investitionsschutz
Bei der Chiffrierplattform HC-2650 war von Anfang an
vorgesehen, auch das Potenzial der Frequenzkanäle für
Datenübermittlung physikalisch weiter «auszureizen».
Diese vorausschauende Produkt-Entwicklungsphilosophie
entspricht dem sogenannten «Pre-Planned
Product Improvement»-Prinzip (P3I): Damit werden
Innovationen realisierbar, welche Erkenntnisse aus
verschiedenen Wissenschaftsdisziplinen fortlaufend
aufnehmen und integrieren – ohne dass dafür zusätzliche
Hardware-Einheiten eingesetzt werden müssten.
Ein weiterer Vorteil: Die getätigten Investitionen bleiben
langfristig geschützt.
Mit dem im eigenen Haus entwickelten Modem nach
MIL-STD-188-110B wird nun eine neue Leistungsstufe
für Funk-Datenübertragung verfügbar sein. Es handelt
sich um eine Software-Innovation, die ein separates
Hardware-Modem ausserhalb des Radios oder des
Chiffriersystems unnötig macht. Das Modem liefert
eine erhöhte maximale Daten-Übermittlungsleistung
auf HF und VHF/UHF von bis zu 9600 bps, und damit
verkürzte Übermittlungszeiten. Diese Eigenschaft
kann vor allem bei Messaging-Systemen geradezu existenziell
sein.
Automatisierte Operator-Funktionen
Wären Funkkanäle physikalisch stabil – etwa so
wie ein optisches Signal in einer Glasfiber – wäre
Modem-Technik viel trivialer. Insbesondere HF-Kanäle
offerieren jedoch häufig eine stark schwankende
Übermittlungsqualität, je nach physikalischen bzw.
atmos phärischen Bedingungen. Betreibt man ein
Hochleistungs-Modem mit seinen konstanten Parame-
tern in einem verrauschten Kanal, wird es häufig in
den «Stillstand» versetzt. Das Problem ist zwar lösbar:
Mit einer Kombination aus robusterem Modem-Modus

und laufend angepassten Modem-Parametern. Verän-
derungen an den Modem-Parametern werden bisher
jedoch meist manuell durch einen Operator vorgenommen
– der während des Betriebes präsent sein muss.
Das gilt besonders bei Kanalwechseln oder beim Verbindungsaufbau
zu anderen Stationen.
Hier setzt das neue, zusätzlich eingebaute Feature
«Data Rate Adaption» zusammen mit dem Modem MIL-
STD-188-110B an: Zusammen sind sie in der Lage, die
Kanalqualität selbständig zu analysieren und die relevanten
Parameter ohne äusseren Einfluss automatisch
zu optimieren, also beispielsweise die Sendegeschwindigkeit
oder den Betriebsmodus. Selbst bei extrem
MultiCom Radio Encryption HC--2650 jetzt auch mit integriertem
Modem MiL-STD-188-110B
schwierigen Ausbreitungsbedingungen ist Datenkom-
munikation möglich – dank Automatic Repeat ReQuest
Protocol (ARQ) sogar fehlerfrei. Und bei exzellenten
Bedingungen ist eine maximale Geschwindigkeit von
9600 bps möglich, was für HF als extrem guter Wert
gelten darf. Sind im gleichen System auch VHF- und/
oder UHF-Frequenzen verfügbar, kann der Benutzer
ohne Zusatzaufwand von dieser grösseren Bandbreite
profitieren.
Die Data Rate Adaption wird selbstverständlich
auch in die Crypto-
eigene Messaging-Lösung MultiCom
Messenger integriert. Das macht
dieses Produkt noch leistungsfähiger,
da damit eine optimale Übertragung
gewährleistet ist.
Integration vereinfacht weitere Funktionen
Als integrierbares, reines Software-Produkt hat das
Modem gemäss MIL-STD-188-110B weitere operative
Vorteile: Es ist direkt im robusten, wasserdichten
Gehäuse des HC-2650 untergebracht – die meisten auf
dem Markt erhältlichen Modems sind nicht ruggedised
ausgeführt. Es entsteht kein Mehrgewicht und kein
zusätzlicher Raumbedarf, die Stromversorgung erfolgt
intern. Zusätzliche Verkabelungen sind nicht nötig –
gefürchtete Fehlerquellen werden so konzeptionell eliminiert.
Die Grundkonfiguration kann via das komfortable
Browser-Interface des HC-2650 oder direkt
manuell an dessen Front-Panel erfolgen. Die Anschaltung
von HC-2650 an Radios aller wichtigen Hersteller
ist problemlos möglich – entsprechende Testprotokolle
von über hundert Typen liegen vor. Dass diese Innovation
preislich sehr interessant ist, liegt letztlich ebenfalls
am Konzept der Vollintegration in eine ohnehin
erforderliche Hardware-Einheit.
T e C h n O L O G Y
23

MESSEn
IDEX Abu Dhabi
20. – 24.2.2011
PRESSESPiEGEL
Kriminelle Hacker verursachen Schäden im neunstelligen Dollarbereich
Ob Betrug oder Industriespionage, die Kriminalität im Internet nimmt zu. Denn in den
meisten Fällen steckten kriminelle Hacker dahinter. «Die Internetkriminalität ist der
am stärksten wachsende Sektor grenzüberschreitender Kriminalität», will das Kieler
Institut für Weltwirtschaft (IfW) herausgefunden haben.
Gestützt würden die Befunde durch aktuelle Zahlen aus den USA: So verursachte Internet-
kriminalität im vergangenen Jahr Schäden in Höhe von 560 Millionen Dollar (440 Millio-
nen Euro) – im Vorjahr seien es noch 265 Millionen Dollar (208 Millionen Euro) gewesen.
In 35 Prozent der Fälle, schätzt der US-Telefonkonzern Verizon, steckt Industriespionage
hinter verbreiteten Viren und Trojanern. In den USA und zunehmend auch in Europa
werden daher Institutionen geschaffen, um diesem Problem zu begegnen.
Mögliche Lösungsansätze der Experten im Arbeitskreis Cybercrime, Cybersecurity and
the Future of the Internet zeichnen sich im Webforum des Global Economic Symposiums
bereits ab: Ein Vorschlag lautet, dass potenziell kriminelle Hacker bereits in einem
frühen Stadium ihrer Karriere identifiziert werden müssten. Es sei wichtig, Wege zu
finden, ihre Fähigkeiten zu nutzen und in konstruktive, webbasierte Aktivitäten einzubinden,
statt die Hacker wegzusperren.
Lösungen zu diesen und weiteren Hacker-Problemen diskutieren Fachleute in
Istanbul auf dem dritten Global Economic Symposium, das vom Kieler Institut für
Weltwirtschaft (IfW) mitorganisiert wurde. Experten aus Wissenschaft, Sicherheitsbe-
hörden und Computerunternehmen forderten einen Ausbau der internationalen Zusam-
menarbeit, möglichst auch mit einem europäischen Zentrum gegen Internetkriminalität
oder mit einer internationalen Polizeiorganisation «Internetpol» – einer Onlineversion
von Interpol. Bei der Tagung beraten 500 Experten über globale Herausforderungen.
Quelle: Kleinreport, 29. September 2010
CRYPTO AG – TO RemAin SOveReiGn
Crypto AG, Hauptsitz
Crypto AG
Postfach 460
CH-6301 Zug
Schweiz
Tel. +41 41 749 77 22
Fax +41 41 741 22 72
crypto@crypto.ch
www.crypto.ch
Crypto AG, regionale Büros
Abidjan
Crypto AG
01 B.P. 5852
Abidjan 01
Elfenbeinküste
Tel. +225 22 41 17 71
Fax +225 22 41 17 73
Abu Dhabi
Crypto AG – Abu Dhabi
P.O. Box 41076
Abu Dhabi
Vereinigte Arabische Emirate
Tel. +971 2 64 22 228
Fax +971 2 64 22 118
Buenos Aires
Crypto AG
Maipu 1256 PB «A»
1006 Buenos Aires
Argentinien
Tel. +54 11 4312 1812
Fax +54 11 4312 1812
Kuala Lumpur
Crypto AG
Regional Office Pacific Asia
Level 9B Wisma E&C
2, Lorong Dungun Kiri
Damansara Heights
50490 Kuala Lumpur
Malaysia
Tel. +60 3 2080 2150
Fax +60 3 2080 2140
Muscat
Crypto AG
Regional Office
P.O. Box 2911
Seeb PC 111
Sultanat Oman
Tel. +968 2449 4966
Fax +968 2449 8929
A member of
The Crypto Group