DE - Crypto AG

CRYPTOmAGAzine
Zeitschrift für die Kunden von Crypto AG, Schweiz 2 2011
Products
Know-how
Security
People
Solutions
ihRe SiCheRheiTSlöSunG
Services
Swissness

eDiTORiAl
inhAlT
CRYPTOMAGAZINE 2/2011
2
Geschätzte Leserin, geschätzter Leser
Effizienz und Kostendruck im Alltag veranlassen den Menschen, sich ab
und an auf «die Suche nach der perfekten Lösung» zu machen. Dies kann
im Alleingang mitunter sehr zeitintensiv oder sogar kostspielig sein. In
gegenseitiger Zusammenarbeit können solche Ziele oft schneller erreicht
werden, vor allem wenn Spezialisten zurate gezogen werden. Ganz im
Sinne von «auf einem soliden Fundament lässt sich etwas Langlebiges
aufbauen».
In der aktuellen Ausgabe haben wir den Fokus auf Lösungen, Trends und
Weitsichtigkeit gerichtet. Dies zeigen zum Beispiel die Beiträge über die
Realisierung eines E-Mail-Systems oder der erste Teil «Versteckte Werte»
unter dem Aspekt «Zeitlose Antworten auf alle Herausforderungen».
Gemeinsam mit unseren Kunden optimale Ergebnisse zu erzielen ist und
bleibt seit bald 60 Jahren ein wichtiges Anliegen der Crypto AG.
Ich wünsche Ihnen viel Vergnügen beim Lesen der neusten Ausgabe des
CryptoMagazines.
3
6
9
11
13
16
18
20
22
IMpRessuM
Umfassende Sicherheitskompetenz dank globalem Lösungsansatz
Das Ganze ist weit mehr als die summe seiner Teile
Multiapplikations-Plattform als Antwort auf die Technologiedynamik
«Der sichere Weg ist das Ziel»
Unsere Lösung im Gesamtumfeld
sicherheit dank umfassendem Wissen
Versteckte Werte der Sicherheitstechnologie
Zeitlose Antworten auf alle Herausforderungen
Kompromittierende Emissionen
elektromagnetische Abstrahlung: unterschätzte Lücke im Datenschutz
Secure Remote Access RAS
so reisen Ihre Daten noch sicherer als sie selbst
Enge Zusammenarbeit ermöglicht rasche Realisierung
sicheres e-Mail-system für ein Technologieministerium
Wie viele IP-Adressen braucht ein vernetzter Mensch?
ein streifzug durch das Ipv6-Netzwerkprotokoll
Interview
Mit Lichtgeschwindigkeit in die vernetzte Zukunft
Giuliano Otth
President and Chief
Executive Officer
SOluTiOnS
SeCuRiTY
KnOW-hOW
SeRieS
SWiSS mADe
SOluTiOn
SuCCeSS STORY
TeChnOlOGY
inTeRvieW
Erscheint 3-mal jährlich Auflage 6'500 (deutsch, englisch, französisch, spanisch, russisch, arabisch) Herausgeber Crypto AG, Postfach 460, CH-6301 Zug, www.crypto.ch
Redaktionsleitung Béatrice Heusser, Crypto AG, Tel. +41 41 749 77 22, Fax +41 41 741 22 72, E-Mail beatrice.heusser@crypto.ch Konzept/Layout illugraphic,
Sonnhalde 3, CH-6332 Hagendorn, www.illugraphic.ch Übersetzung Apostroph AG, Töpferstrasse 5, Postfach, CH-6000 Luzern 6, www.apostroph.ch Druck Ennetsee AG,
Bösch 35, CH-6331 Hünenberg Nachdruck Honorarfrei mit Zustimmung der Redaktion, Belegexemplare erbeten, Copyright by Crypto AG Bildnachweis Crypto AG:
Titelseite, S. 2, 6, 7, 8, 10, 13, 15, 17, 19, 22, 23 · Shutterstock: S. 9, 11, 12, 13, 14, 15, 16, 17, 20, 21, 23

Umfassende Sicherheitskompetenz dank globalem Lösungsansatz
DAS GAnze iST WeiT mehR
AlS Die Summe SeineR Teile
Der projektauftrag entbehrte nicht einer gewissen Komplexität: Zwischen den Regierungsstellen und
den einzelnen Ministerien sollte in das Telefon- und teilweise mit Richtfunk betriebene pDH-Datennetz
ein Telefon-Chiffriersystem implementiert werden. Dabei sollten die kryptografisch geschützten Verbindungen
flexibel administrierbar sein. Die Crypto AG bot dem Auftraggeber eine ebenso durchdachte
wie ausbaubare Lösung an: Das unternehmen setzt für seine Kunden auf end-to-end-psTN-Chiffrierung
(«Überchiffrierung» 1 ) in bereits geschützten Datenlinks sowie auf Netzwerkelemente wie Gateways und
Multiplexer im pDH-Datennetz. Dank des Online Key Handling Centers KHC kann zudem die logische Netztopologie
jederzeit aktualisiert werden. Als Full-service-Lösungsanbieter implementierten wir in diesem
Fall nicht nur die Chiffrier-Hardware-produkte, sondern waren beim ganzen projekt von der Analyse bis
zum Lifecycle Management involviert. so verhalfen wir dem Kunden zu einem abhörsicheren Telefonieren
«auf Knopfdruck» mit unangreifbaren Informationsflüssen. von Casha Frigo Schmidiger, Publizistin
Der Auftrag wurde von der Crypto AG zur vollsten
Zufriedenheit des Kunden ausgeführt – und ist eines
der Beispiele, wie das Schweizer Hightech-Unternehmen
sukzessive den Schritt vom Hardware-Anbieter
zum Generalunternehmen im Bereich der Informationssicherheit
vollzogen hat. Beim eingangs geschilderten
Projekt wurden sämtliche Anforderungen des Kunden
an die Gewährleistung von höchster Informationssicherheit
bei seiner Telekommunikation erfüllt. Dank
der umfassenden Sicherheitslösung resultierte die zuverlässige
Separierung der Kommunikation mittels
hochsicherer Chiffrierung mit geheimen Algorithmen.
Zusätzlich profitieren konnte der Kunde dank der
Möglichkeit einer einfachen Integration zusätzlicher
Applikationen wie dem Secure GSM und den gesicherten
SatCom-Verbindungen.
Modular aufgebaute Lösungen
Wie beim oben erwähnten Projekt setzen wir zunehmend
auf globale und umfassende Sicherheitslösungen
– angefangen bei der Analyse mit Security Assessments
bis hin zur Implementation und Abwicklung des Projektes
inklusive periodischer Überprüfung der Systeme
gemäss vertraglicher Basis. Das Angebot an Services
und Dienstleistungen hat nochmals bedeutend mehr
Gewicht im gesamten Leistungsspektrum erhalten. Bei
integralen Systemen beträgt der Service-Anteil vielfach
mehr als 40 Prozent. Bei den Drittkomponenten wie
Firewalls oder Safelock kommen ebenfalls als vertrauenswürdig
geltende Drittanbieter von ICT-Komponenten
zum Zug. Beim vorliegenden Beispiel war dies
ein zentraler Telefonswitch inklusive Multiplexer und
Gateways. So kann die Crypto AG zunehmend als
Generalunternehmer Komplettlösungen aus einer
Hand anbieten.
Damit internalisieren wir die Denkhaltung und Arbeitsweise
unserer Kunden und beraten sie auch dahin
gehend, eine Sicherheitslösung aus einer Hand zu erwerben
anstelle des punktuellen Einsatzes von Chiffriergeräten.
Mit einer solchen Lösung gehen sowohl
eine vertiefte Analyse als auch eine sorgfältige Schulung
der Endanwender auf allen Produkten einher.
Dazu zählen auch die komplette Implementierung
des Systems und dessen vertraglich festgesetzten
Unterhalts-Services.
Dabei hat die Crypto AG sowohl Branchen- als auch
Technologielösungen definiert. Diese sind modular
aufgebaut und werden mit dem Kunden nachfolgend
auf seine ureigenen Bedürfnisse hin spezifiziert.
Selbstredend liefert die Crypto AG jedem Kunden noch
immer massgeschneiderte Lösungen mit einem proprietären
Algorithmus und einer auf mehreren Verteidigungslinien
basierenden ICT-Sicherheitsarchitektur.
Diese enthält für jeden Kunden eine spezifizierbare
Algorithmusbasis zur Sicherstellung des perfekten
kryptografischen Schutzes und einer optimalen Unterstützung
der Security Policy der Organisation. Die
Gesamtlösungen sind jedoch optimal auf die jeweilige
Technologie und das Anwenderszenario adaptiert.
SOluTiOnS
3

CRYPTOMAGAZINE 2/2011
4
Höchstanforderungen
an sicherheitsverantwortliche
Zum Projektbeginn sowie zum Schutz der organisationseigenen
Daten und Informationen sehen sich
Sicherheitsverantwortliche vor eine Flut von Anforderungen
gestellt, der sie gerecht werden müssen:
Die Komplexität der Netzwerke,
die Masse an produzierten, gespeicherten und
übermittelten Daten,
die Mobilität der Nutzer,
die Nutzung von privaten Smartphones mit
GPS-aktiven Applikationen gleichzeitig mit
organisationseigenen Handys,
die Konvergenz resp. Durchgängigkeit
der Netze und
die szenariotypische Gefährdung der
Informationssicherheit.
Dies alles ist massiv am Zunehmen.
Analyse, Design, Bau/Implementation
und Operation der sicherheitslösung
Um diesen Themen umfassend gerecht zu werden,
setzt die Crypto AG in der Beratung der Chief Security
Officer auf einen globalen und holistischen Ansatz. Die
Chiffrierung zwischen zwei Kommunikationsteilnehmern
verspricht zwar Schutz der Vertraulichkeit. Wie
gut und wie lückenlos jedoch dieser Schutz ist, lässt
sich daraus noch nicht ableiten. Denn für kompromisslosen
Schutz und höchste Verfügbarkeit der sicheren
ICT-Systeme ist es mit Chiffriertechnologie alleine
nicht getan: Diese muss auch konfliktfrei in das Netzwerk
implementiert, optimal betrieben und langfristig
gewartet werden. Dabei ist spezifischer Support des
Lieferanten in der Regel unverzichtbar. Dass der Anteil
dieser Serviceleistungen an den Projekten zunimmt,
liegt an der wachsenden Komplexität der globalen
Netzwerktechnologien und deren durchgehender
Konvergenz. Die neue, flexible und reaktionsschnelle
Serviceorganisation der Crypto AG trägt diesen
Leistungsanforderungen Rechnung – und mit dem
Prozess von A bis Z resultiert für den Kunden einiges
an Zusatznutzen:
Die analyse (Assessment) zum Projektbeginn gibt
Auskunft über den Ist-Zustand der Kundenorganisation
in Bezug auf die Informationssicherheit, den Zielzu-
stand und den sich daraus ergebenden grössten Hand-
lungsbedarf. Sie umfasst die Rollen und Zuständig-
keiten der für Informationssicherheit zuständigen
Personen, die Prozesse sowie die Tauglichkeit der ein-
gesetzten Technologie. Damit können die Investitions-
vorhaben und Budgetanträge optimal begründet wer-
den. Die Crypto AG strebt stets Höchstsicherheit an
und richtet sich in ihren Empfehlungen nach aktuells-
ten und global gültigen «best practice»-Standards.
Diese wurden mit langjähriger Erfahrung und der
Kenntnis über die Arbeitsweise von Regierungskunden
angereichert. Das Resultat ist eine eigens entwickelte
Crypto-Security-Methodologie, welche sich auf Regierungskunden
mit höchsten Sicherheitsanforderungen
fokussiert.
Die Sicherheitslösung wird ausgehend von der Prob-
lemstellung für den Kunden einem individuellen
Design unterzogen. Hierbei ist das Ziel – ausgehend
von der Problemstellung des Kunden und dem Ergebnis
der Risikoanalyse –, eine konzeptionelle Lösung zu er-
arbeiten. Dazu gehört auch der Entwurf einer individu-
ell auf die Ansprüche des Kunden ausgelegte Projekt-
und ICT-Sicherheitsarchitektur. Neben dem Aufbau
der Sicherheitslösung gehört auch die Definition und
Umsetzung eines Prozess-Frameworks dazu (siehe
CryptoMagazine 1/2011).
Mit unserem Know-how und unserer langjährigen
Erfahrung in der implementation von Hochsi-
cherheitsprojekten haben wir diese «State of the Art»-
Methoden mit sicherheitsrelevanten Aufgaben und
Prozeduren erweitert und an die verschiedenen Kun-
denanforderungen adaptiert. In der Praxis hat sich
folgender Projektablauf als der beste herausgestellt
und bewährt – wobei die Wahrung der Höchstsicherheit
stets im Vordergrund steht:
Start/Planning Engineering (technische Planung)
Commissioning and Test in-house (interne
Inbetriebnahme und interne Testphase)
Factory Acceptance Test and Shipping
(Abnahme und Versand)
Installation and Commissioning on-site
(Installation und externe Inbetriebnahme)
Project Completion (Projektabschluss)
Für den zuverlässigen, sicheren Betrieb und die
Wartung einer ICT-Lösung muss der Crypto-Kunde
nicht selber alle technischen und betrieblichen Kompe-
tenzen aufbauen. Er muss jedoch sicherstellen, dass
der Betrieb nicht nur im Normalfall, sondern auch in
Ausnahmesituationen zuverlässig gewährleistet ist.
Hier kommen die operational Support Services
von Crypto AG ins Spiel: Geht die Kompetenz des
Kunden Hand in Hand mit dem Know-what, -when
und -where der Crypto AG, so lassen sich im Verbund
Herausforderungen wie das Aufrechterhalten von
Systemwissen in einer Organisation optimal meistern.

Dieses logische Vorgehen in der Implementierung einer
Sicherheitslösung und die konsequentere Service-
orientierung ergeben – zusammen mit den bekannten
Höchstsicherheitsspezifikationen der Crypto-Produkte
(siehe Kasten) – einen unschlagbaren und höchst
effektiven Mix.
Somit sind die Lösungen der Crypto AG mehr als die
Summe ihrer Einzelteile und verhelfen zu einem optimalen
Schutz der Kundendaten und -informationen.
1 Bei der Überchiffrierung werden sensible Teile der Nachricht nochmals
mit einem anderen Verfahren verschlüsselt.
services
Analyse
Design
Implementation
Operate
Lösungen und Dienstleistungen
produkte
sCHLÜsseL-ATTRIBuTe CRypTO-pRODuKTe –
INTeGRALeR BesTANDTeIL DeR
CRypTO-sOLuTIONs
Hochsichere Kryptografie
Individualisierte, kundenspezifische Sicherheitslösungen
Eigener, geheimer Algorithmus für jeden Kunden
Symmetrische Chiffrierung
Hardware-Chiffrierung
Sicherheitsarchitektur-Konzept
Sicheres und einfaches Security Management
Tamper Protection – selbstzerstörende Sicherheitsfunktionen
bei gewaltsamem Öffnen des Security-Moduls
COMPREM-Schutz (Verhinderung von Übersprechen,
konsequente Filterung aller Ein- und Ausgangssignale,
metallische Abschirmung gegen Ein- und Abstrahlung,
metallische Abschirmung aller Peripherie-Geräte)
One stop shop: Inhouse F&E, Chiffrierung und
Produktion
Hochsichere Kryptografie
Kundenspezifische Sicherheitslösungen
Symmetrische Hardware-Chiffrierung
Multiple Lines of Defense
Sicheres, einfaches Security Management
Hochsichere ICT-Sicherheitsarchitektur
Market Segment Solutions
Technical Reference Solutions
Crypto AG
Selbstständiges Unternehmen
aus der neutralen Schweiz
Vertrauenswürdige Mitarbeiter
mit profunder ICT-Kompetenz
Qualitätsmanagement als
ausgewiesener Treiber
Entwicklung und Produktion
am Standort Steinhausen
SOluTiOnS
5

CRYPTOMAGAZINE 2/2011
6
Multiapplikations-Plattform als Antwort auf die Technologiedynamik
«DeR SiCheRe WeG iST DAS ziel» 1
Die globalen Netzwerke ermöglichen heute ein enorm effizientes Arbeiten. Vor allem, weil praktisch
alle Office-Kommunikations-Applikationen über eine einheitliche protokollbasis – Ip over ethernet –
übertragen werden. Die Kehrseite: explosiv wachsende Informationsrisiken. Mit dem «Multiapplikationsplattform»-Konzept
von Crypto AG kann jeder Anwender diesen unschönen Begleittrend konsequent
brechen und erst noch Kosten sparen. von Dr. Rudolf Meier, Publizist
In der Kommunikations- und Informationstechnologie
ist das einzig Konstante der rasante Wandel. Und doch
hat man den Eindruck, die Dynamik der Entwicklung
nehme immer noch laufend zu – Anwender und Benutzer
leben heute also in einer äusserst spannenden Zeit.
Nur die allerwenigsten von ihnen sind sich allerdings
im Klaren, was auf der Technologieebene tatsächlich
abläuft: Dies zu erkennen bräuchte einiges an Fachwissen.
Ist es jedoch überhaupt sinnvoll, sich für Technologietrends
«hinter» den Geräten zu interessieren?
Wer mit Fragen der Informationssicherheit zu tun hat,
muss diese Frage eindeutig mit «Ja» beantworten. Denn
was an der Oberfläche als toller Gewinn an Komfort,
Effizienz und Mobilität glänzt, zieht im Schlepptau
einige neue Sicherheitsherausforderungen nach sich.
Verbindung mit Diplomat im Aussendienst via WiFi-Netz
Zwei Kernthemata stehen dabei im Vordergrund:
Die immer stärkere Integration aller möglichen
Applikationen in die einzelnen Benutzeroberflächen.
Und – als Treiber ihrer technischen Realisation auf
Netzwerkebene – die zunehmende Dominanz der
Protokollkombination IP/Ethernet.
Multiapplikations-Arbeitsplattformen
Vor allem im Office-Bereich (allerdings nicht nur dort!)
ist der Trend zu multifunktionsfähigen Geräteplatt-
formen, die verschiedene Technologien (Kanäle) und
Applikationen nutzen, um Kommunikations- und
Darstellungsfunktionen zu erfüllen, unübersehbar.
Ein modernes Telefon kann heute die Betriebsarten
«Analog», «ISDN-Digital» und «VoIP» unterstützen (teilweise
bereits mit Bildschirmen für Video-Telefonie)
und dabei noch GSM-Features wie SMS und MMS ausführen.
In Kombination mit einem PC entstehen weitere
Möglichkeiten. Beispielsweise lässt sich die klassische
Fax-Anwendung als eine spezielle Form des
IP-basierten «Messaging» integrieren. Solche Plattformen
sind in der Regel auch komfortabler zu nutzen.
Bereits zeigt sich ein weiterer Trend. Nämlich derjenige
zu vollintegrierten, tragbaren Geräten von der Art
der iPads, die zunehmend auch im Office alle diese
Informations- und Kommunikationsfunktionen übernehmen.
Ihr Zusatzvorteil: Sie können über mehrere
Schnittstellen (Ethernet, GSM/UMTS/HSPA, WLAN)
fast überall vernetzt bleiben.
Die «organische» Globalisierung
Dass stationäre und mobile Gerätekonzepte sich technisch
immer mehr angleichen und substituierbar
werden, ist erst durch die rasche Verringerung der
Leistungsunterschiede zwischen Mobilnetzen und
Festnetzen möglich geworden. Am anderen Ende der
Breitbandnetz-Leistungsskala hat Ethernet die Führungsrolle
bei den wichtigen Netzdimensionen übernommen.
Obwohl diese Technologie ursprünglich nur
für «bescheidene» LAN-Anwendungen mit «Drahtverbindung»
konzipiert wurde. Sozusagen mitgenommen
hat die Ethernet-Technologie das IP-Protokoll, auf dem
heute unter anderem fast alle modernen Office-Applikationen
beruhen. Dabei sind viele Elemente beider
Protokolle auf organische Weise ineinander gewachsen,
sozusagen wie bei Wirts- und Parasitärpflanzen.
Einerseits kann Ethernet dank grossen Daten-Frames
und kleinem Overhead (OSI-Layer 2) sehr viel Transportleistung
offerieren – andererseits bietet IP als
enorm flexibles Protokoll die Möglichkeit, komplexe
Applikationen mit fast beliebigen Zusatzfähigkeiten
einzupacken. Nachdem es gelungen war, die Netzwerke

Verbindung mit Diplomat im Flughafen via Satellit
durch intelligente Switches und Routers «mehrdimen-
sional» (auf den Layers 2 und 3) zu steuern, konnten
beliebige Netztopologien in ebenso beliebiger Grösse
geschaltet werden.
Diese Protokollkonvergenz und die Integration aller
gängigen Applikationen auf identischen LAN- und
WAN-Infrastrukturen führen zwangsläufig zu einer
weltweiten technischen Vereinheitlichung des Datenund
Informationsverkehrs. IP over Ethernet ist bereits
so dominant, dass man die Welt bald als IPoE-totalvernetzt
bezeichnen kann – zunehmend auch bei
drahtlosen Verbindungen. Wir haben es also mit einer
«Zweiten Welle» der Informations-Globalisierung zu
tun. Die installierten Bandbreiten steigen in der Folge
weiter explosiv an – bei fast ebenso rasant fallenden
Komponentenpreisen. Zukünftig wird wohl so gut wie
jedes elektronische Gerät einen – irgendwie gearteten
– IPoE-Netzanschluss haben.
Im gleichen Topf mit allen Risiken!
Das Prinzip «Daten und Informationen sind jederzeit
und überall verfügbar» schafft gewaltige Mehrwerte,
steigert die Arbeitseffizienz und fördert die Lebensqualität
der Benutzer – was verständlicherweise oft mit
emotionalem Enthusiasmus quittiert wird. Nichtsdestotrotz
ist die Neigung vieler Anwender, die objektive
Risikobeurteilung dieses Szenarios zu vernachlässigen,
brisant. Es kann gar nicht oft genug gesagt werden:
Die Kehrseite der Medaille besteht darin, dass von
jedem vernetzten Gerät oder jedem Netzknoten aus
das gesamte Netz und jede seiner Komponenten elektronisch
angegriffen werden können. Und das auf einer
Protokollbasis, die – wie erwähnt – völlig transparent,
standardisiert und jedem halbwegs geschickten Bastler
vertraut ist. Angriffe können also beinahe ohne Kostenaufwand
global lanciert werden – deshalb auch die
weltweit durchgängige Schwemme an Trojanern, Viren
und Hackerangriffen. Selbst Handys und jede andere
Art von Mobilgeräten sind, eben wegen der Technologiekonvergenz,
genauso betroffen.
Die Folgen sind – leider jedoch nur teilweise – bekannt.
Denn die Dunkelziffer bei massiven Angriffen auf
Datenbanken und ICT-Infrastrukturen über zahllose
Einfallstore dürfte riesig (und beträchtlich unter-
schätzt) sein. Anwender sollten sich also unbedingt von
jedem selektiven Sicherheitsdenken verabschieden: Es
nützt nichts (um nur gerade ein typisches Beispiel zu
nennen), «wichtige» Datenleitungen mittels Chiffrie-
rung zu schützen, VoIP-Verkehr hingegen im gleichen
Headoffice frei zuzulassen. Entweder wird der
ungeschützte Kanal technisch komplett separiert,
oder er muss in ein absolut dichtes Zonensystem für
Informationssicherheit einbezogen werden.
SeCuRiTY
7

CRYPTOMAGAZINE 2/2011
8
Sicherer Zugriff auf die Dokumente über eine verschlüsselte Verbindung
Multiapplikations-Konzept auch für die sicherheit
Weil Informationssicherheit letztlich das Spiegelbild
der technologischen Entwicklung ist, liegt der Schluss
nahe, dass die beschriebenen Kernthemen «Applikationsintegration»
und «Protokollkonvergenz» wegleitend
für die Konzeption von Sicherheitssystemen sein
können und letztlich sein müssen. Die technische
Konsistenz ist nicht nur für den Anwender nützlich,
sondern erlaubt auch dem Entwickler von Sicherheitslösungen,
mit einheitlichen, netzdurchgängigen Konzepten
zu arbeiten. Eine Büroorganisation mit den
üblichen Geräten für Telefon, Fax und Datenverkehr
(z. B. IP VPN) braucht nun offensichtlich nicht mehr
zwingend für jede Applikation separate Chiffriereinheiten
anzuschaffen: Ein passendes Multiapplikations-
Sicherheitssystem leistet mindestens das Gleiche, nur
einfacher und günstiger. Unter Umständen können
sogar – sozusagen als Nebeneffekt – bisher bestehende
Sicherheitslücken bequem geschlossen werden.
Ungeschützte Kanäle für sensible
Informationen sollte heutzutage
niemand mehr verwenden (müssen)!
Konsequent auf diese Zielsetzung ausgerichtet ist
unsere neue Office-Sicherheitsplattform HC-9300.
Alle gängigen, IP-basierten Kommunikationsapplikationen
können damit in Zukunft per Knopfdruck chiffriert/geschützt
werden. Weitere Optionen sind beispielsweise
Telefon- oder Fax-Chiffrierung im klassischen
Analog-Modus oder File-Encryption und E-Mail-
Encryption. Kompatibilität wird auch mit dem in Kürze
zur Verfügung stehenden chiffrierenden GSM-Telefon
von Crypto AG/Nokia bestehen. Das formschöne Tischgerät
HC-9300 erlaubt die bequeme Wahl des Modus via
Touchscreen und orientiert mit leicht verständlicher
Anzeige über die Kommunikationsvorgänge und Betriebszustände.
Spezialkenntnisse sind nicht nötig.
Die enormen Kosten- und Effizienzvorteile der Technologiekonsistenz
fallen auch hier ins Gewicht: Die
Kryptografie-Hardware ist nur einmal vorhanden,
wird jedoch für mehrere Applikationen eingesetzt.
Mehrere Konfigurations- und Implementations-Aufgaben
fallen daher nur einmal statt mehrmals an.
Entscheidend ist letztlich jedoch, dass auch bei diesem
Plattformkonzept alle Aspekte der Hochsicherheits-
architektur berücksichtigt werden – bis hin zur starken
Authentifizierung der Benutzer und der Security
Manager. Die operative Zielsetzung besteht im Endeffekt
darin, die Security Policy des Anwenders individuell
optimal unterstützen zu können. Sowohl in Bezug
auf Einfachheit (Fehlervermeidung!) als auch auf
Flexibilität bei operativ bedingten Änderungen oder
gar Krisensituationen. Und schliesslich ist ein nicht zu
unterschätzender Vorteil, dass weniger Geräte auch
weniger Wartungsaufwand bedeuten.
eine Dynamik-resistente Lösung
Man darf davon ausgehen, dass die IPoEthernet-Technologie
für längere Zeit ihre Bedeutung behalten wird
– besonders in der nun aktuellen IPv6-Version. Ausserdem
stehen weitere Leistungssprünge bei Ethernet
bevor. Selbstverständlich werden auch noch andere
Layer-2-Protokolle im Einsatz bleiben, was allerdings
nichts an den Grundtendenzen ändert.
Damit verknüpft wird sich das Plattformkonzept auch
bei anderen Übermittlungsarten und Anwendungen
ausbreiten. Ein Beispiel dafür ist unser MultiCom-
System HC-2650/HC-2605, welches die Applikationen
Voice, Daten (IP VPN), Messaging und Chat auf einheitlicher
Kryptografie-Basis chiffrieren kann – sowohl in
stationären wie portablen und mobilen Anwendungen
(Fahrzeuge, Flugzeuge und Schiffe).
1 altes chinesisches Sprichwort – dem Zeitgeist leicht angepasst

Unsere Lösung im Gesamtumfeld
SiCheRheiT DAnK
umfASSenDem WiSSen
«Nam et ipsa scientia potestas est» oder zu Deutsch «(denn das) Wissen (selbst) ist Macht». Dies schrieb
der englische philosoph Francis Bacon 1597. es war noch die Zeit der Aufklärung und es war mehr die
Rede vom Nutzen des Wissens für die Gesellschaft, den Menschen und das Individuum.
von Rudolf Stirnimann, Customer Segment Manager
Bacon philosophierte auch über wissenschaftliche Me-
thoden, also wie das gesamte Wissen generell vermehrt
werden könnte. In seiner humanistischen Sichtweise
war natürlich die Mehrung und Verbreitung des
Wissens das Thema, und nicht dessen Schutz vor dem
Zugriff anderer. Seither ist das Wissen der Menschheit
wahrscheinlich etliche Millionen Male vervielfacht.
Heutzutage im Informationszeitalter steht scheinbar
nicht mehr das Wissen im Vordergrund, sondern Daten
und Informationen.
Die Menge der weltweit gespeicherten
Daten verdoppelt sich momentan
alle drei bis vier Jahre.
Leider sind Daten nicht gleichbedeutend mit Wissen,
und der Wissenszuwachs der Menschheit ist viel geringer
als ihr Datenzuwachs. Musste zu Bacons Zeit noch
jedes Werk handschriftlich kopiert werden, reichen
heute ein Mausklick und ein paar Sekunden, um am
Computer ganze Bibliotheken elektronisch zu kopieren.
Innert Minuten können ganze Bibliotheken auf USB-
Sticks geschrieben werden und verschwinden in der
Hosentasche und aus dem Haus. Noch vor wenigen
Jahren im Zeitalter der Mikrofilme hätte man für das
Kopieren einer vergleichbaren Menge an Unterlagen
Wochen gebraucht und die Filme in mehreren Aktenkoffern
wegtragen müssen. Seit jeher wird versucht,
durch Aneignung von Informationen und vielleicht des
Wissens anderer die eigene Macht zu vergrössern, noch
nie konnte es jedoch so schnell, lautlos und unbemerkt
geschehen. Die Informations- und Kommunikationstechnologie
hat einen rasanten Fortschritt erlebt, der
auch die Digitalisierung weiter Bereiche bis in die
Industrie hinein einschloss. Hinzu kamen nicht nur
neue Methoden der Informationsbeschaffung, sondern
auch neue Gefahren für die Infrastruktur. Denn die
modernen Datennetze befördern nicht nur Betriebsdaten
von Industrieanlagen, sondern auch Kontrolldaten
und Steuerbefehle. Um den geregelten Betrieb
zu koordinieren, sind heutzutage Kraftwerkbetreiber
und auch Wasserversorgungen auf funktionierende
Netzwerke angewiesen.
Schon vor Francis Bacon haben sich Leute zwecks
Machterhalt mit dem Schutz ihres Wissens und der Sicherheit
ihrer Informationen beschäftigt, sei es durch
das Verschlüsseln von Nachrichten (Cäsar) oder mit
Wachen und Zutrittskontrollen zu Bibliotheken. Parallel
mit dem Fortschritt von Wissenschaft und Technik
haben sich die Methoden des Spionierens und der Informationsbeschaffung
entwickelt. Ebenso haben sich
auch die Fachleute für Informationssicherheit den
neuen Gegebenheiten angepasst und haben dazugelernt.
So haben sich über die Zeit in vielen Bereichen
die besten Methoden, sogenannte «best practices»,
für Sicherheit etabliert, in jeder Domäne optimiert für
die jeweiligen Anforderungen. Daraus resultierten
unterschiedliche Berufsbilder mit ebenso unterschiedlichen
Ausbildungen, Diplomen und Zertifikaten.
KnOW-hOW
9

CRYPTOMAGAZINE 2/2011
10
DAs IT seCuRITy eBK NeNNT FOLGeNDe
KOMpeTeNZBeReICHe ODeR WIsseNsGeBIeTe
Digitale Kriminaltechnik
Gewährleistung des Betriebs
Ereignisbewältigung
IT-Sicherheitsschulung und -bewusstsein
Betrieb und Unterhalt von IT-Systemen
Netzwerk- und Telekommunikationssicherheit
Personalsicherheit
Physische Sicherheit
Beschaffung
Einhaltung von Gesetzen und Standards
Umgang mit Sicherheitsrisiken
Sicherheitsstrategie
Sicherheit von Systemen und Applikationen
Unter dem Aspekt, dass ein grosser Teil der kritischen
Infrastruktur der USA wie Kommunikationssysteme,
Strom- und Wasserversorgung vor Angriffen aus dem
weltweiten Netz geschützt werden müsse, erliess der
amerikanische Präsident eine nationale Strategie zur
Sicherheit im Cyberspace. Ein wesentlicher Teil dieser
Strategie ist die Bündelung des Wissens und die Erweiterung
der Kompetenzen der in diesem Bereich tätigen
Fachleute. Dazu musste man zuerst klären, welche
Fachleute mit welchen Fähigkeiten für die Lösung
dieser Aufgabe notwendig sind.
Um einen Überblick über die Berufe im gesamten Be-
reich der Informationssicherheit zu gewinnen und die
verschiedenen Fähigkeiten und Qualifikationen unter-
einander vergleichen zu können, wurde 2008 vom
US Department of Homeland Security das Information
Technology Security Essential Body of Knowledge
(IT Security EBK) vorgelegt. Dafür wurde das Wissen
aus Privatwirtschaft, staatlichen Organisationen und
Universitäten zusammengeführt. Das resultierende
IT Security EBK ist ein Rahmenwerk, das notwendige
Konzepte, Funktionen, Kompetenzen und Rollen im
Bereich IT-Sicherheit auflistet und einander zuordnet.
Mit regelmässigen Überarbeitungen soll das Werk aktuell
gehalten werden. Wer darin allerdings Lösungen
oder Vorschriften sucht, tut dies vergeblich, denn es
geht ausschliesslich um Kompetenzen und Wissensgebiete
(siehe Kasten). Das Spektrum der IT-Sicherheit
umfasst nebst den technischen und den organisatorischen
auch die rechtlichen Themen.
Den Kompetenzbereichen werden nach den Funktionen
Führen (manage), Planen (design), Umsetzen
(implement) und Auswerten (evaluate) Aktivitäten und
Vorgehensweisen zugeordnet. So steht zum Beispiel
an oberster Stelle bei der Datensicherheit Folgendes
als Führungsaufgabe: «Es ist sicherzustellen, dass
Richtlinien für die Klassifizierung von Daten und den
Umgang mit ihnen erlassen und aktualisiert werden.»
Wie viele Klassifizierungsstufen es sein sollen und
wie diese zu heissen haben, ist nicht Gegenstand des
IT Security EBK. Sondern, dass jemand es veranlassen
muss, und dass Veranlassen selbst eine Aufgabe der
Führung ist.
Pro Kompetenzbereich werden auch Schlüsselbegriffe
und Konzepte aufgeführt, deren Kenntnisse zum Erfül-
len der Aufgabe unabdinglich sind. So gesehen erhält
man eine Gedankenstütze oder Übersicht über die
Wissensbereiche, die abgedeckt werden müssen, wenn
man in einer modernen IT-Umgebung seriös für
Sicherheit und Schutz der Daten sorgen will.
Tatsächlich nimmt Kryptografie in der langen Liste der
Konzepte nur einen kleinen Platz ein. Jedoch sind gute
Schutzmassnahmen wie Zugriffskontrolle, Kommunikationssicherheit,
VPN, sichere Datenspeicherung
u.v.m. ohne effiziente und hochwertige Kryptografie
unbrauchbar und wirkungslos. Deshalb macht es Sinn,
im Hochsicherheitsbereich auch an die Kryptografie
die höchsten Ansprüche zu stellen. Zum Beispiel die
kundenspezifischen Algorithmen von Crypto AG – welche
vom Kunden autonom noch profiliert werden können
– erfüllen die höchsten Ansprüche bezüglich Autonomie.
Etliche weitere Konzepte wie Authentifizierung,
Abstrahlsicherheit, Lastausgleich usw. finden in den
Geräten von Crypto AG ihre Anwendung.
Andere Ansätze wie Netzwerksegmentierung, Warnung
und Schutz vor unerwünschtem Eindringen
werden in unseren Gesamtlösungen konsequent und
akribisch umgesetzt.
Crypto AG baut nicht nur Chiffriergeräte
für höchste Sicherheit, wir
bauen auch Gesamtlösungen.
Sprechen Sie mit uns und profitieren Sie von unseren
Consulting Services. Unsere Experten helfen Ihnen bei
Ihren Vorhaben umfassend weiter, damit Ihre Investition
sicher den grössten Nutzen bringt. Wir teilen unser
Wissen mit Ihnen, damit Sie Ihr Wissen nicht mit
andern teilen müssen.

Versteckte Werte der Sicherheitstechnologie (Teil 1)
zeiTlOSe AnTWORTen
Auf Alle heRAuSfORDeRunGen
Im kommenden Jahr wird die Crypto AG seit 60 Jahren Höchstsicherheitslösungen im Bereich der
Chiffriertechnik produzieren. Auf den zugrundeliegenden Gebieten der Kryptologie und der Übermittlungstechnologie
setzen wir seit Jahrzehnten Meilensteine – und konnten für die sich verändernden
Kundenbedürfnisse stets kompetente und nachhaltige Lösungen anbieten. Viele bewährte Trümpfe der
Crypto AG sind jedoch wenig bekannt. von Urs Baur, Senior IT Security Education and Training Engineer,
Die Zunahme von Datendiebstählen und das Zufügen
von Schäden über das Internet sind im digitalen
Zeitalter tägliche Realität. Vielleicht mangelt es ge-
rade darum an höherer Sensibilität: Weil man sich
längst daran gewöhnt hat. Bemerkenswert ist die Widersprüchlichkeit
vieler Internetbenutzer in Bezug
auf ihre Datenschutzwünsche: Die zufällige Veröffentlichung
des eigenen Passantenfotos auf Google
Streetview ist für viele ein Skandal – obwohl genau
dieselben Leute bereit sind, auf sozialen Plattformen
wie Facebook leichtsinnig intime Details von sich
preiszugeben. Der Benutzer darf sich daraufhin nicht
wundern, wenn er beim nächsten Vorstellungsgespräch
mit peinlichen Informationen über sich selber
konfrontiert wird.
Mangelndes Bewusstsein:
Information ist heute gefährdeter denn je
IT-Sicherheit wird gemeinhin als Spassbremse wahrgenommen,
als Korsett für die scheinbar unbegrenzten
Nutzungsmöglichkeiten der heutigen Internettechnologien.
Dabei sollte man die entsprechenden Massnahmen
am potenziell grossen Schaden messen, den
Angriffe aus dem Cyberspace anrichten, und ihre dringende
Notwendigkeit anerkennen.
Cyberkriminalität kann schnell einzelne Privatpersonen
ganz direkt betreffen. Die beste Freundin des
kriminellen Geistes ist dabei die Nachlässigkeit des
Opfers.
Angesichts der Tragweite solcher Ereignisse wie der
jüngsten Attacke gegen den Technologiekonzern Sony
müsste sich jede Firma und jede Institution, die vertrauliche
Kundendaten erhebt und sammelt – gerade im
Zeitalter des Cloud Computing –, dringend Gedanken
über ihre Verwundbarkeit machen.
und Jahn Koch, Publizist
Marktforschung oder Bespitzelung?
Nicht weniger dreist sind Keylogger und «Marktforschungstools»
aller Art zu werten. Genauer gesagt
solche, die nicht nur zur Eruierung musikalischer
Präferenzen von Internetkonsumenten eingesetzt werden,
sondern mitunter auch zur Produktivitätsüberwachung
von Mitarbeitern oder für die Verfolgung ihrer
Internetaktivitäten. iPhone-Besitzer können sich ihrerseits
freuen, immer und überall geortet und aufgefunden
zu werden. Was zwar bei der Suche von vermissten
Personen mitunter sehr nützlich sein kann, ist nicht in
jeder Lebenslage eine angenehme Vorstellung – und
eines Tages könnte sich auch ein technisch versierter
Einbrecher diese Informationen zunutze machen.
Selbst beim Umgang mit fremden Memorysticks ist Vorsicht
geboten. Statt nur vordergründig die PowerPoint-
Präsentation des Kunden auf den eigenen Laptop zu
laden, können Programme im Hintergrund unbemerkt
ganze Festplatten mit internen Firmendaten «mitkopieren»
oder Viren hochladen. Letztere haben oftmals die
Eigenschaft, unbemerkt und unkontrolliert Daten vom
befallenen Rechner ins Internet zu schicken.
SeRieS
11

CRYPTOMAGAZINE 2/2011
12
Die richtigen schlüssel zur sicherheit
Crypto AG verzichtet seit jeher kategorisch auf Chiff-
rierung mit softwarebasierten Algorithmen, wie sie
seit Langem für viele bekannte Services wie das
E-Banking gebräuchlich sind. Solche mögen einer
Vielzahl von gängigen Attacken standhalten, sind
jedoch nicht gegen Angriffe gefeit, welche direkt auf
der Transport- oder eben Hardwareebene geführt wer-
den. Software ist zudem vielfältig beeinflussbar durch
Viren und andere Manipulationen. Proprietär sollte ein
Algorithmus sein, weil er geheim gehalten werden
kann und somit noch entschlüsselungssicherer ist.
Eine Analogie hierzu ist ein Gespräch unter Navaho-
Indianern im Zweiten Weltkrieg. Die damals noch
weitgehend unerforschte Sprache jenes Stammes amerikanischer
Ureinwohner bot das perfekte Medium für
die Übermittlung militärisch klassifizierter Nachrichten
innerhalb der US-Streitkräfte. Gleich einem heutigen
Anwender moderner, symmetrischer Chiffriergeräte
musste der Empfänger einer solchen Nachricht
ebenfalls einen Navaho zur Seite haben, der ihm die
erhaltene Botschaft zurückübersetzen konnte. Die Navaho
hätten schlecht daran getan, anderen ihre Sprache
beizubringen und sich damit um ihre Einnahmequelle
zu bringen. In späteren Jahren versiegte sie
dennoch; das Navahoidiom wurde systematisch linguistisch
erforscht.
Ein proprietärer Algorithmus hat eine weitere gewich-
tige Eigenschaft: Ähnlich wie Ihr Haustürschloss
können nur Sie ihn aufschliessen. Denn die Crypto AG
als «Schlosserei» stellt Ihnen ein vorgefertigtes und
voll funktionstüchtiges Türschloss zur Verfügung. Sie
haben anschliessend die Möglichkeit, im Inneren Ihres
Schlossmechanismus Änderungen vorzunehmen und
anschliessend Ihren Haustürschlüssel individuell
daran anzupassen. Dieses vereinfachte Prinzip lässt
sich analog auf unsere Chiffrierlösungen übertragen.
So sind Sie im Besitz des einzigen und unnachahmlichen
Zugangsmittels zu Ihrer Haustür oder eben
zu Ihren Informationen. Dritten ist es nicht möglich,
Ihre Daten nutzbar abzufangen, zu stehlen
oder zu manipulieren.

Kompromittierende Emissionen
eleKTROmAGneTiSChe AbSTRAhlunG:
unTeRSChäTzTe lüCKe im DATenSChuTz
Wir benutzen tagtäglich elektrische und elektronische Geräte und erwarten, dass diese ihren Dienst stets
zu unserer Zufriedenheit tun. Nur wenigen Benutzern ist indes bewusst, dass jedes elektrische system
auch unerwünschte elektromagnetische energie aussendet und auf diese Weise beeinflusst werden kann.
Werden mit der störstrahlung auch Informationen über die gerade verarbeiteten Daten transportiert,
spricht man von kompromittierender emission, einem gefährlichen Informationsleck, welches bevorzugt
beim Diebstahl fremder Daten ausgenutzt wird. von Dr. Richard Weber, Head of Technology
Elektromagnetische Störungen können von natürli-
chen Quellen wie Blitzschlag, Sonnenaktivität wie auch
kosmischer Strahlung herrühren oder technische Ur-
sachen wie nahegelegene Radiosender, Hochspan-
nungsleitungen oder die Magnetfelder von Röhrenmo-
nitoren haben. Oft zeigt sich die Störung durch
elektromagnetische Beeinflussung bloss als harmlose
Belästigung, beispielsweise, wenn der Radioempfang
durch Knackgeräusche gestört wird. Man kennt jedoch
auch Fälle, wo solche Störungen ernsthafte Funktionsausfälle
verursacht haben. So kam es vor einigen
Jahren auf einem US-Flughafen zu einer sicherheitskritischen
Situation, als ein wichtiges Kommunikationssystem
über eine Entfernung von einer Meile von
einer elektronischen Supermarktkasse gestört wurde.
Weniger dramatisch ist das Beispiel piezo-elektrischer
Feuerzeuge, mit welchen sich eine Zeit lang die Schranken
gebührenpflichtiger Parkplätze öffnen liessen. Die
Problematik der unerwünschten elektromagnetischen
Beeinflussung wird von der Disziplin der EMV (elektromagnetische
Verträglichkeit) erforscht. EMV ist ein
weites, anspruchsvolles Gebiet und hat heute eine
grosse Bedeutung für das Design, die Realisierung und
Prüfung von elektronischen Geräten und Systemen.
Um auch das einwandfreie Zusammenwirken von Geräten
verschiedener Hersteller sicherzustellen, müssen
die Produkte Vorgaben erfüllen, welche in den international
gültigen EMV-Normen formuliert sind.
Konstruktionsschwachstellen lassen
Informationen ungewollt «heraustropfen»
Kompromittierende Emissionen sind eine Spezialform
elektromagnetischer Abstrahlung, welche ein unverhofftes
Informationsleck hervorrufen. Sie verbreiten
sich im Wesentlichen auf zwei Arten: in die Atmosphäre
und leitungsgebunden. Eine Ursache für unerwünschte
Abstrahlung liegt meist in einer mangelhaften
Gehäusekonstruktion, welche die von der Elektronik
ausgehenden elektrischen oder magnetischen Felder
gar nicht oder nur ungenügend abschirmt. Auch bei
metallischen Gehäusen sind besondere Konstruktionsmassnahmen
nötig, um eine zuverlässige Schirmwirkung
zu erzielen: Ein Gehäuse ist nur dann elektromagnetisch
dicht, wenn alle Stossstellen zwischen den
einzelnen Gehäusebestandteilen elektrisch einwandfrei
leiten (nach dem Prinzip eines Faradayschen
Käfigs).
SWiSS mADe
13

CRYPTOMAGAZINE 2/2011
14
Ein informationstechnisches Gerät weist zudem in der
Regel Kabelanschlüsse für die Stromversorgung oder
für verschiedene Signal- und Steuerleitungen auf. Hier
liegen weitere Schwachstellen bezüglich der kompromittierenden
Emission. Ungenügend gefilterte Anschlüsse
wirken als Leck für elektromagnetische Energie,
welche direkt über das angeschlossene Kabel
entweicht oder sich durch Abstrahlung ausbreitet,
wobei das Kabel wie eine Antenne wirkt. Wer immer
die Möglichkeit hat, solche Signale aufzufangen, ist in
der Lage, einen Lauschangriff zu lancieren.
Abhörfalle pC-Bildschirm
Die in Sachen Informationsverlust wohl grösste
Schwachstelle bei einem Computersystem ist der Bild-
schirm. Dies liegt vor allem in der Funktionsweise der
heute handelsüblichen Bildschirme begründet, die zur
Darstellung der vom Computer bearbeiteten Information
auf ein vom Grafik-Chip entsendetes, breitbandiges
Videosignal angewiesen ist. Ein solches Videosignal
lässt sich mit einer ähnlichen Empfangsmethode
auswerten, wie sie in der Fernsehtechnik benutzt wird.
Die von einem Computer auf dem Bildschirm dargestellte
Information ändert sich in der Regel nur langsam,
da das Schreiben und Lesen eines Dokuments
eine gewisse Zeit in Anspruch nimmt. Das hat zur
Folge, dass dasselbe Videosignal innerhalb kürzester
Intervalle immer wieder frisch zum Bildschirm gesendet
wird. Das Angebot an kompromittierendem Material
erhöht sich dabei um das Vielfache. Wer ein solches
Signal auffängt und aufzeichnet, kann ein Mittelungsverfahren
oder noch weitergehende statistische Methoden
für die Auswertung einsetzen. Damit lässt sich die
Empfindlichkeit der Abhöranlage erheblich steigern,
so dass schliesslich auch sehr schwache und mit Störungen
überlagerte Signale abgehört und erfolgreich
ausgewertet werden können.
Neue Technologien: Gesundheitstechnisch ein
Fortschritt, abhörtechnisch weiterhin mangelhaft
In der Vergangenheit wurde der Strahlung von Röhrenmonitoren
grosse Beachtung geschenkt, allerdings vor
allem im Hinblick auf mögliche negative Auswirkungen
auf die Gesundheit der Benutzer. Heute ist zudem
bekannt, dass solche Monitore ein erhebliches Risiko
bezüglich der kompromittierenden Emission bergen.
Darf man in der Folge des Siegeszuges von Flachbildschirmen
gegenüber den früheren Röhrenmonitoren
davon ausgehen, dass die neue Technologie die Schwächen
der Vorgänger überwunden hat? Die Antwort lautet
ja und nein. Die Fragen rund um die gesundheitliche
Belastung durch die Bildschirmstrahlung sind –
technologiebedingt – gegenstandslos geworden. Hingegen
hat die neue Technologie hinsichtlich der kompromittierenden
Emission überhaupt keinen Fortschritt
gebracht. Auch bei dieser Bildschirmgeneration muss
die Oberfläche des Bildschirms durch eine sehr gut

leitende Schicht abgedeckt werden, um das Bild-
schirmgehäuse für elektromagnetische Energie so zu
verschliessen, dass keine schützenswerte Information
entweichen kann. Eine solche Abschirmung ist tech-
nisch sehr anspruchsvoll und kostspielig, wenn trotz
hoher Schirmwirkung eine gute Bildqualität erhalten
bleiben soll.
Glasfasern setzen neue Massstäbe
Bei der Verarbeitung und Übertragung von Daten in
der Telekommunikation gibt es einen ungebrochenen
Trend zu höheren Geschwindigkeiten.
Dies wird ermöglicht durch die stetig fortschreitende
Entwicklung hin zu kleineren Strukturen in der Halbleitertechnologie
und durch die zunehmende Verbreitung
von Glasfaserleitern. Bereits heute sind Übertragungssysteme
mit Datenraten von 10 Gbit/s weit
verbreitet. Ein Ende dieser Entwicklung ist nicht
abzusehen.
Die Lichtleitertechnologie bringt auf dem Gebiet der
elektromagnetischen Verträglichkeit enorme Vorteile.
Die Glasfaser eignet sich hervorragend, um die zur
Informationsübertragung verwendete physikalische
Energie in Form von Lichtwellen zu bündeln und
genau dorthin zu lenken, wo sie gebraucht wird.
Unerwünschte elektromagnetische Effekte können so
weitgehend ausgeschlossen werden.
Doch selbst in Systemen mit Lichtleitertechnologie
werden die Daten elektronisch verarbeitet und aufbereitet.
Damit treten einige der altbekannten Probleme
rund um die elektromagnetische Verträglichkeit wieder
auf. Bei der Konstruktion eines Chiffriergerätes mit
Lichtleiterschnittstellen müssen die kompromittierenden
Emissionen deshalb ebenso in Betracht gezogen
werden. Der Lichtstrom des sendeseitigen Ausgangssignals,
welcher durch die chiffrierten Daten («schwarzes
Signal») moduliert wird, kann einen kleinen Modulationsanteil
enthalten, welcher von den Klardaten
(«rotes Signal») stammt. Wir sprechen in diesem Fall
vom «Rot-Schwarz-Übersprechen».
Der Nachweis, dass ein Chiffriergerät mit optischem
Interface kein unzulässiges Rot-Schwarz-Überspre-
chen aufweist, ist sehr aufwendig und anspruchsvoll.
Es setzt eine modernste Laborausrüstung und fundiertes
theoretisches Know-how voraus, wie Crypto AG sie
besitzt und seit Jahren erfolgreich bei der Konstruktion
abstrahlungssicherer Geräte einsetzt.
COMpReM
Im Bereich der Computer- und Telekommunikationssicherheit
sowie der nachrichtendienstlichen Informationsbeschaffung
ist der Begriff TEMPEST gebräuchlich. Er wird in zwei
verschiedenen Bedeutungen verwendet:
1. TEMPEST als Code-Wort für einen NATO-Standard
mit dem Ziel, das Risiko für kompromittierende Abstrahlung
im Umfeld von elektronischen IT-Systemen zu
minimieren.
2. TEMPEST als allgemeine Bezeichnung für die Wissenschaft
und das Engineering, welche das Problem der
kompromittierenden Abstrahlung behandeln.
Crypto AG befasst sich als Hersteller von Hochsicherheitschiffriergeräten
intensiv mit diesem Fragenkomplex. Um
jegliche Verwechslung mit dem NATO-Standard zu vermeiden,
haben wir den proprietären Begriff COMPREM
eingeführt. Er steht für COMPRomising EManations.
COMPREM ist ein Synonym zu TEMPEST im Sinne der zweiten
Lesart.
COMPREM Engineering umfasst das Wissen, welches die
Crypto-Ingenieure über Jahrzehnte gesammelt und weiterentwickelt
haben, um die in diese Problematik involvierten
Mechanismen zu verstehen. Der Begriff beinhaltet auch das
Know-how für geeignete Gegenmassnahmen während des
Design- und Realisierungsprozesses. Darunter die Rot-
Schwarz-Trennung, die Filterung von Signal- und Speiseleitungen,
die Kapselung und Abschirmung von kritischen
Komponenten sowie den Entwurf von speziellen elektronischen
Schaltungen, um das Übersprechen von sensibler
Information zu minimieren. Schliesslich steht COMPREM
auch für die aufwendige Verifikation der getroffenen
Gegenmassnahmen. Diese basiert auf spezialisierten
EMC-Messungen und schliesst eine detaillierte Signal-
Analyse mit ein.
SWiSS mADe
15

CRYPTOMAGAZINE 2/2011
16
Secure Remote Access RAS
SO ReiSen ihRe DATen
nOCh SiCheReR AlS Sie SelbST
Vertrauliche und geheime Daten können heute in einem abgeschirmten Netzwerk ohne besondere
schwierigkeiten vor dem Zugriff unbefugter bewahrt werden. Vertrauliche Daten ausserhalb eines
abgeschirmten Netzwerkes weiterhin geschützt abrufen, nutzen und bearbeiten zu können, ist hingegen
ein aufwendiges unterfangen. Mit der secure Remote Access solution der Crypto AG ist dies erstmals
effizient und auf höchstem sicherheitslevel möglich – mit vielen praktischen Vorteilen für Ihren Arbeitsalltag
unterwegs in der weiten Welt. von Jahn Koch, Publizist
Beim Grenzübertritt schützt die diplomatische Immu-
nität den offiziellen Vertreter eines Landes im Ausland.
In der Theorie zumindest. Doch sind die vertraulichen,
ja vielleicht hoch geheimen Daten in seinem Gepäck
wirklich vor dem Zugriff der fremden Behörden sicher?
Bemerkt er es überhaupt, wenn sie versuchen, ihrer
habhaft zu werden? Und wie kann er wichtige Informa-
tionen geschützt empfangen, bearbeiten und mit seiner
Heimbasis austauschen, wenn er dazu auf die unbe-
kannte und mit Sicherheit überwachte Netzinfrastruk-
tur eines fremden Landes zurückgreifen muss?
Allgegenwärtige spionage ist heute Realität
Im «Wiener Übereinkommen über diplomatische Bezie-
hungen» von 1961 ist klar festgehalten, dass keine
Spionagemethoden angewendet werden dürfen. Die
tägliche Realität ist weltweit eine andere, wie die regel-
mässigen Medienberichte über diplomatische Zwi-
schenfälle, die Enttarnung von Spionen mit diplomatischer
Akkreditierung und das Bekanntwerden ihrer
illegalen Informationsbeschaffungsaktivitäten beweisen.
Brisant ist der Inhalt einer im Sommer 2009
von der Enthüllungsplattform Wikileaks publizierten,
streng vertraulichen Weisung des US-Aussenministeriums
an seine Diplomaten, die UNO und ihre Führungspersonen
auszuspähen. 1 Über 29 Seiten halten die
«Berichts- und Sammelanforderungen» zu den Vereinten
Nationen fest, wofür sich die unterzeichnende
Aussenministerin Hillary Clinton am dringendsten
interessiert: Büro- und Organisationsbezeichnungen,
Telefonlisten und E-Mail-Verzeichnisse, Kreditkartenund
Viel flieger-Kundennummern, Dienstpläne, biometrische
Daten, Passwörter für Verschlüsselungen und
weitere vertrauliche Informationen.
Daneben listet ein Wunschzettel nach Themengebiet
die expliziten Begehren der US-Administration auf:
etwa im Fall Iran zu erfahren, was die Absichten des
UNO-Generalsekretärs und seiner direkten Mitarbeiter
seien oder die spezifischen Absichten von Grossbritannien,
Frankreich, Deutschland und Russland. Während
einige Diplomaten in fremden Ländern und
internationalen Organisationen illegal spionieren,
werden unbescholtene Landesvertreter anderswo gezielt
von Nachrichtendiensten ausgeforscht. Besonders
lohnenswert sind für Letztere Daten, die der Diplomat
elektronisch übermitteln muss, sei es per E-Mail oder
beim Abruf und Austausch von Dokumenten und Datenbanken.
Den Nachrichtendiensten steht dabei das
ganze Arsenal gängiger Abhör- und Abfangmethoden
zur Verfügung, welche sie bei Operationen auf eigenem
Territorium völlig ungehindert einsetzen können.

«Thin Client»-Technologie verdirbt spitzeln
das vormals leichte spiel
Ob als Diplomat oder als gewöhnlicher Handelsreisen-
der, dem es passieren kann, dass er dem Zoll sein
Notebook offenlegen muss: Der einfachste Umgang mit
vertraulichen Daten auf Reisen ist, sie gar nicht erst
dabei zu haben. Wie kann man sie jedoch abrufen,
bearbeiten, versenden, wenn man sie braucht? Die
Lösung der Crypto AG liegt in der Nutzung einer
Technologie, die, anstatt die effektiven Daten an den jeweiligen
Standort herunterzuladen, gleichsam nur
deren «Oberfläche» wiedergibt. Mit einem sogenannten
«Thin Client» ist es nämlich nicht möglich, Daten lokal
herunterzuladen und zu speichern. Man blickt vielmehr
wie durch ein chiffriergeschütztes Fernrohr auf
sie, alle vorgenommenen Veränderungen geschehen in
der sicheren Ferne, am physischen Standort des aufgerufenen
Datenservers, und werden dort gespeichert.
Diese Form der Bearbeitung hinterlässt auf dem lokalen
Arbeitsplatz keinerlei Spuren, sobald die Verbindung
abgebrochen wird. Zonensicherheitsübergänge
bieten dem Netzwerk in der Heimat dabei ausreichenden
Schutz.
Möglich wird dies durch den Einsatz der Chiffriergeräte
HC-7825 oder HC-7835 bei der Verwendung
eines handelsüblichen Laptops. Der chiffriergeschützte
Zugriff mit einem proprietären Hochsicherheitsalgorithmus
erfolgt dabei unter Nutzung des örtlichen
Breitbandinternets, welches an den meisten Reisedestinationen
der Welt verfügbar ist. Der Rechner zuhause
wird über einen VPN-Tunnel direkt angesteuert, wobei
die Transportsicherheit durch IP-Verschlüsselung gewährleistet
wird. Die vertraulichen Informationen reisen
somit ungesehen und von zugriffswilligen Dritten
unerkannt direkt zum mobilen Endgerät. Dort werden
sie nicht heruntergeladen, sondern lediglich wie in
einem Spiegel abgebildet. Schnittstellen zu den gängigen
Applikationen der MS-Office-Palette ermöglichen
die Bearbeitung der Daten, als sässe man am heimischen
PC mit den eigenen Programmen. Finale Sicherheit
von End- zu Endpunkt schaffen die Dateichiffrierung,
ein standardisierter Virusschutz und eine
Boot-Image-Funktion. Dank einer rigorosen Benutzerauthentisierung
kann sichergestellt werden, dass
wirklich nur befugte Nutzer Zugriff auf diese Lösung
haben, falls das eigene Gepäck im Ausland wider
Erwarten in falsche Hände fällt. Für unbefugte Dritte
sind die blossen IT-Mittel des Reisenden damit nutzlos,
die Vollzugsmeldung an die Auftraggeber von
«Berichts- und Sammelanforderungen» muss für die
Schnüffler negativ ausfallen.
Quelle:
1 «Die Spione vom East River», Spiegel 48/2010
SOluTiOn
17

CRYPTOMAGAZINE 2/2011
18
Enge Zusammenarbeit ermöglicht rasche Realisierung
SiCheReS e-mAil-SYSTem füR
ein TeChnOlOGieminiSTeRium
e-Mails lassen sich durch Ip VpN-Chiffrierung so gut schützen, dass auch hochsensible Informationen
transportiert werden können. Crypto AG hat ein solches system für ein international tätiges Ministerium
konzipiert und – in enger Zusammenarbeit mit den Fachleuten und endbenutzern des Auftraggebers – als
hochverfügbare Komplettlösung realisiert. von Markus Kolb, Senior Project Manager, und Béatrice Heusser, Corporate Editor
E-Mail ist heute neben dem Telefon das wohl wichtigste
geschäftliche Kommunikationsmittel. Nicht zuletzt
verdankt es diese Stellung der Möglichkeit, Dateien an-
zuhängen und fast in Echtzeit zu übermitteln – und dies
weltweit. Diese letztere Eigenschaft hat jedoch auch
ihre Tücken: E-Mails sind im Internet ganz leicht abzufangen
und können so von unberechtigten Dritten
mitgelesen werden. Für die Kommunikation eines Ministeriums,
das geschäftsmässig mit äusserst sensiblen
Daten zu tun hat, ist dies nicht tolerierbar. Andererseits
ist E-Mail ein sehr kostengünstiges und simpel zu
handhabendes Instrument – wie lässt sich dieser
«Zielkonflikt» lösen?
Ein Technologie- und Verkehrsministerium stellte sich
genau die gleiche Frage und wandte sich mit dieser
an uns. Die Projektidee war, «Einfach und Kostengünstig
jedoch Hochverfügbar und Hoch Sicher» zu
kommunizieren.
Wie alles begann
Crypto AG als Anbieter von Gesamtlösungen im
Top-Sicherheitsbereich erarbeitete mit dem Kunden
einen Lösungsvorschlag anhand der vorgegebenen
Projektanforderung.
Vor Vertragsabschluss fand vor Ort ein Workshop statt,
bei welchem das Grobkonzept inklusive Kosteneinschätzung
überarbeitet und verfeinert wurde.
Der Vorteil war dabei, dass anhand der Besichtigung
der Infrastrukturen – wie z. B. Stromversorgung, Klimaanlage,
Hausinstallation usw. – noch genauer auf die
gegebenen Umstände eingegangen werden konnte.
Anpassungen an diese Infrastrukturen konnten somit
in das Projekt gleich mit einfliessen. Unbequemes
Nachbudgetieren war demzufolge überflüssig.
Das projekt nimmt seinen Lauf …
Nach Vertragsunterzeichnung startete die Feinkonzeptphase.
Dabei wurden alle detaillierten Spezifikationen
beschrieben und in einem Design-Papier
festgehalten.
Der Initiant des Projektes bestätigte und komplettierte
das Dokument im einwöchigen – in Steinhausen durch-
geführten – «Critical Design Review». Dies beinhaltete
unter anderem projektspezifische Elemente wie:
Anforderungen
Voraussetzungen
Design
– «IP-Adressen»-Schemata
– Namensgebung der einzelnen Geräte
– Sicherheitsarchitektur
– Administrationsmodell
– Exchange-2007- und Mailbox-Konfigurationen
– Back-up
Um nur einiges zu nennen.
Als Auflockerung, visuelle Abwechslung und kulinari-
sches Highlight verlegten wir bei herrlichem Wetter
spontan für einen Tag unser Sitzungszimmer auf einen
Raddampfer auf dem Vierwaldstättersee.
Eine perfekt gelungene Symbiose
zwischen Arbeit und Inspiration.
Der Kunde war von der imposanten Natur, den
vielen neuen Eindrücken und unserer inspirierenden
Arbeitsweise begeistert.
Anruf Kunde Offerte Vertrag Beschaffung
Überprüfung
«Critical Design Review»

… und Formen an
Das Beschaffen der Handelsware von bewährten Partnern
und das Fertigen der Chiffriergeräte in unserer
Produktionsabteilung in Steinhausen standen als
nächster Arbeitsschritt auf dem Programm. Im Anschluss
wurde die Vorinstallation und Konfiguration
der Geräte durchgeführt. Einer der Vorteile war, dass
sämtliche beteiligten Spezialisten kostengünstig jederzeit
zugezogen werden konnten. Mit der anschliessenden
Abnahme der vorinstallierten und konfigurierten
Geräte wurde ein weiterer wichtiger Meilenstein im
Projekt erreicht.
Auch erwachsene drücken die schulbank
Als Vorbereitung auf das bevorstehende Training wur-
den die einzelnen Komponenten als E-Mail-Lösung zu-
sammengestellt. Die mehrwöchige Ausbildung fand in
unserem Trainingscenter statt und war in zwei Teile
gegliedert. Der erste Teil beinhaltete die Produktschulung,
bei welcher nicht nur an Crypto-spezifischen Produkten
ausgebildet wurde, sondern auch an projektspezifischer
Handelsware. Im zweiten Teil lag der
Fokus auf dem Systemtraining. Hier war neben dem
Zusammenspiel aller Komponenten und Konfigurationen
auch der Systemunterhalt ein wichtiger Bestandteil.
Aus Zeitmangel wurde gleichzeitig die eine Gruppe
zu Netzwerkadministratoren ausgebildet, während
die andere die Ausbildung als Sicherheitsbeauftragte
durchlief.
Systemkonfiguration
in der Schweiz
Das Material geht auf Reise
Nachdem die Schulung abgeschlossen war, wurde das
Material für den Versand bereitgestellt. Dabei waren
nebst den klimatischen Bedingungen auch die länderspezifischen
Vorgaben zu berücksichtigen. Aufgrund
der internationalen Luftfrachtbestimmungen musste
sich während der gesamten Projektdauer das Material
unter Aufsicht oder Verschluss befinden. Dank langjähriger
Zusammenarbeit mit unserem Speditionspartner
konnte der Versand sowohl termingerecht als auch
sicher an die verschiedenen Destinationen erfolgen.
Interkulturelles Teamwork
Dank tatkräftiger Zusammenarbeit mit unserem
Kunde war eine effiziente und kostengünstige Installa-
tion vor Ort möglich. Das theoretische Wissen aus den
Trainings konnte der Kunde bei der Installation somit
praxisnah umsetzen. Gegenseitig konnten alle voneinander
lernen und profitieren und sich persönlich wie
auch fachlich weiterbilden.
Fazit
Dank hervorragender Zusammenarbeit und intensivem
Austausch von Informationen zwischen Kunde
und Crypto AG wurde das E-Mail-System mit IP VPN-
Chiffrierung zum höchst sicheren Kommunikationsnetz.
Egal, auf welchem Erdteil unser Kunde zu
Hause ist, Crypto AG gibt den Schweizer Qualitätsstandard
sehr gerne weiter. Das Projektziel: «Einfach
und Kostengünstig jedoch Hochverfügbar und Hoch
Sicher» war somit realisiert.
Ausbildung Versand Installation Inbetriebnahme Systemübergabe
SuCCeSS STORY
19

CRYPTOMAGAZINE 2/2011
20
Wie viele IP-Adressen braucht ein vernetzter Mensch?
ein STReifzuG DuRCh DAS
iPv6-neTzWeRKPROTOKOll
Die Vorräte an Ipv4-Adressen neigen sich dem ende entgegen. Die Markteinführung des Nachfolge-
protokolls Ipv6 läuft seit Jahren langsam und stillschweigend im Hintergrund. Wann hat dieses jedoch
Auswirkungen auf die Kommunikation und die Vernetzung im Internet? Wir unternehmen einen
streifzug durch das neue Netzwerkprotokoll und zeigen auf, was daran neu ist und wie es sich
sicherheitstechnisch auswirkt. von Urs Kürzi, Customer Segment Manager
Vergleiche, um den enormen Adressbereich von IPv6 zu
veranschaulichen, wurden viele gemacht. Eindrücklich
sind sie alle ausgefallen. Galt es doch, die fast unvorstellbare
Menge an Adressen aufzuzeigen. Würde beispielsweise
die Gesamtheit aller IPv6-Adressen gleichmässig
über die Weltfläche verteilt, so würden ca. 50 Adressen
auf einen Quadratmillimeter Fläche fallen. Dieses Beispiel
zeigt deutlich, dass der Fokus der Entwicklung auf
der Erweiterung des Adressraumes lag. Es lässt sich mit
den 128 Bit langen IPv6-Adressen ein Vielfaches an
Geräten vernetzen von dem, was mit dem IPv4-Protokoll
möglich ist. IPv4 ist auf 4 Milliarden Adressen beschränkt
und gewährt nur gerade mal der Hälfte der
Weltbevölkerung eine IP-Adresse. Mit IPv6 wird das
Wachstum des Internets also massiv gefördert und dies
lässt Szenarien der totalen Vernetzung schon in wenigen
Jahren als realistisch erscheinen. Somit hätte jeder Nutzer
auf der Erde 5 × 1028 IPv6-Adressen zur Verfügung.
Übergangsphase
Möglich wäre beispielsweise, dass Fahrzeuge untereinander
kommunizieren und Verkehrsschilder den Automobilisten
über drohende Gefahren informieren.
Bis es allerdings so weit ist, behilft
sich die Internetindustrie mit dem
Doppelbetrieb von IPv4 und IPv6
über die nächsten Jahre mit dem
sogenannten «Dualstack».
Eine solche «Dualstack»-Netzwerkkarte spricht beide
Protokollversionen. Der Provider beliefert via seine Router
das lokale Netz mit dem IPv6-Protokoll. Kommt eine
IPv6-Verbindung nicht zustande, verbindet sich der
Computer automatisch via IPv4 mit dem Internet.
Das bewährte IPv4-Protokoll wird noch über weitere
Jahre hinaus seinen Dienst verrichten und mit dem bekannten
Verfahren NAT (Network Address Translation)
arbeiten. NAT kommt zum Zug, wenn der Router vom
Provider nur eine IPv4-Adresse bekommt, im LAN
jedoch mehrere Stationen anbinden muss. So übersetzt
der Router alle Absenderadressen in seinem LAN in
die vom Provider erhaltene temporäre IP-Adresse. Ein
Trick also, dem Mangel an IPv4-Adressen temporär zu
begegnen.
Was ist neu bei Ipv6?
Neben der eingangs erwähnten Erweiterung des
Adressformates von 32 Bits auf 128 Bits ist die Autokon-
figuration eine wichtige Erneuerung. Damit kann jedes
IP-Gerät sich selber eine eindeutige Adresse generie-
ren, auch dann, wenn es noch gar nie an einem Netz-
werk angeschlossen war. Dies hat den Vorteil, dass
die aufwendige Konfigurationsarbeit entfällt und die
Die totale Vernetzung via IPv6-Adressen
2001:db8::8d3:0:0:0
2001:0660:3003:0001:0000:0000:6543:210F
2002:4ca0:0:

100:0:53:1:1
Unterhaltskosten sinken. Ebenso wurde das Format
(Header) vereinfacht und fest definiert, was sich in
einer deutlich schnelleren Verarbeitungsdauer niederschlägt.
Ein weiterer Pluspunkt liegt in der separaten
Transportierbarkeit von Optionen und Erweiterungen.
So können jetzt beispielsweise QoS- (Traffic Classes)
und Fragmentierungs-Informationen in separaten,
dafür reservierten «Extension Headers» platziert
werden. Die Extensionen werden nur gesetzt, wenn sie
wirklich nötig sind. Auch dies wird die Verarbeitung
der IP-Pakete beschleunigen und die Komplexität
reduzieren.
sicherheitstechnisch ein Risiko?
Mit der Verarbeitung von IPv6 steigt die Angst über den
Verlust der Privatsphäre durch die neue Adressierung.
Es wird befürchtet, dass es nun genügend Adressen
gibt, um jedem Nutzer lebenslang die gleiche Adresse
zuzuweisen und er somit zum gläsernen Nutzer
wird. Darüber hinaus können Rückschlüsse auf einen
Hersteller der Netzwerkkarte gemacht werden, weil
eine selbst generierte IPv6-Adresse als Basis die
MAC-(Media Access Control-)Nummer benutzt. Gegen
solche Gefahren gibt es jedoch entsprechende Schutz-
2001:470:9e42:0:250:baff:fe21:c27f
2001:db8.1::103/128
2001:db8:0:0:8d3::
2002:8D2F:4BCC::1
IpV4-ADResse
eIN KLeINes ZAHLeNspIeL
Anzahl verfügbarer IPv4-Adressen:
232 = 4'294'967'296
Anzahl verfügbarer IPv6-Adressen:
2128 = 340'282'366'920'938'463'463'374'607'431'768'211'456
Anzahl verfügbarer IPv6-Adressen pro Person auf der Erde:
~ 5 × 1028 vorkehrungen. Wie das Verschleiern von IP-Adressen
oder mehrere zufällige IP-Adressen für eine Netzwerkkarte,
die zeitlich beschränkt gültig sind. Für höchste
Sicherheitsansprüche von Crypto-Kunden genügen
diese frei erhältlichen Sicherheitsvorkehrungen allerdings
nicht.
IP VPN-Chiffriergeräte von Crypto AG arbeiten nach
dem Prinzip des «Tunnel Mode». Dank dieser hochsicheren
Methode bleibt die Identität von Sender und
Empfänger unsichtbar. Wir beobachten genau die
Entwicklungen des IT-Marktes. Heute und in naher
Zukunft wird IPv6 keine direkten Auswirkungen auf
unsere IP-Chiffrierlösungen haben.
Eine vergnügliche Anmerkung zum Schluss: Nur schon
bezüglich der Varietäten hat Crypto AG seit 60 Jahren
bedeutungsvolle Erfahrungen. Bietet IPv6 eine Varietät
von 2128 , sind es beim durch den Kunden profilierten
Algorithmus von Crypto AG eine Varietät von 10506 .
Quelle:
V6 World Congress 2011, Paris, Frankreich
«IPv6-Grundlagen, Funktionalität, Integration», Silvia Hagen
TeChnOlOGY
21

CRYPTOMAGAZINE 2/2011
22
Interview
miT liChTGeSChWinDiGKeiT
in Die veRneTzTe zuKunfT
schneller, unbegrenzter, weiter – jedoch auch kostengünstiger, härter umkämpft und technisch komple-
xer. so lässt sich die Internet- und Übermittlungswelt von morgen charakterisieren. Dabei ist es entschei-
dend, unter der Vielzahl der heute angepriesenen Technologien und systeme diejenigen mit wirklichem
Zukunftspotenzial zu identifizieren. Das CryptoMagazine hat Michel Tripet, Dozent für Telekommunikation
an der Berner Fachhochschule in Burgdorf, getroffen und ihn nach seiner einschätzung für die
Zukunft gefragt. Das Interview führte Jahn Koch
Herr Tripet, im Zeitalter einer immer gewaltigeren
Informationsflut sind nicht nur immer leistungsfähigere
Rechner gefragt, auch die heutigen Übertragungswege
stossen an ihre physischen Leistungsgrenzen.
Wie kann man den künftig benötigten, gigantischen
Datendurchsatz überhaupt realisieren?
Michel Tripet: Das grösste Potenzial als Übermittlungs-
medium der Zukunft hat klar der Lichtwellenleiter.
Glasfasern haben sich in den letzten Jahrzehnten
sprunghaft entwickelt und sind enorm leistungsstark.
Mit Licht ein und aus befinden wir uns im «optischen
Morsezeitalter» und sind damit bei der Ausschöpfung
der Lichtwellenleiter heute noch ganz am Anfang. Immerhin
erreicht man mit Wellenlängenmultiplex eine
rein optische Vervielfachung der Bitraten, ein Trend, der
auch in Zukunft anzustreben ist, weil die Elektronik bei
so hohen Datenraten nicht mehr mitkommt. Glasfasernetze
sind gegenüber den konventionellen, vorwiegend
kupferbasierten Netzen sicherlich um einiges teurer,
doch dieses Investment lohnt sich in jedem Fall.
Für einige Weltregionen werden die hohen Kosten
bei der flächendeckenden Erschliessung mit Glasfa-
sernetzen dennoch eine nicht zu unterschätzende
Hürde darstellen. Gibt es dort mittelfristig günstige
Alternativen?
Die kostengünstigste Übermittlungsart bleibt der
Funk, weil dafür keine Leitungen verlegt werden müssen.
In diesem Sinne sind Mobilfunklösungen eine
echte Alternative, vor allem für ländliche Gebiete. Im
städtischen Umfeld zeichnet sich erst seit wenigen Jahren
der Trend zu Lichtwellenleitern bis in die Haushalte
ab. Damit werden die Bitraten immer denjenigen
von Funklösungen überlegen sein. Der massgebliche
Kostentreiber ist die aufwendige Neuverlegung von
Leitungen, nicht das eigentliche Leitungsmaterial.
Zusatzkosten entstehen ebenfalls durch die Wandlung
von elektrischen in optische Signale.
Sie betonen an verschiedenen Stellen, dass sich in
der Telekommunikation allgemein der Paradig-
menwechsel von der Welt der klassischen Telefonie
hin zur Computerwelt abzeichnet. Wie lautet Ihre
Prognose für die neuen Hoffnungsträger IPv6 respektive
Next Generation Network (NGN)?
Das NGN erfüllt von Anfang an die Forderungen nach
qualitativ hochwertigen Echtzeitdienstleistungen wie
Voice over IP und Videotelefonie oder eben ganz generell
Applikationen, die keine grösseren Übertragungsverzögerungen
vertragen. Dazu gehört auch der Wechsel
zu IPv6, da dieses Protokoll als Weiterentwicklung
von IPv4 solche Dienste nachhaltig unterstützt und
vereinfacht. Bei NGN wissen wir immerhin, dass viele
grosse Anbieter seit geraumer Zeit mit Hochdruck an
dessen Realisierung arbeiten und alte Netze laufend
damit abgelöst werden. Der Hauptgrund dürften hier die
massiven Einsparungen sein, die mit der neuen Technologie
erzielt werden können. Die Qualitätssicherung
wird indes weitaus anspruchsvoller, da diese Netze viel
dynamischer sind.
Stichwort Internet: An anderer Stelle haben Sie ge-
sagt, wir befänden uns im eigentlichen Goldgräber-
zeitalter des Internets und hätten im virtuellen Raum
noch ungeheure Entwicklungsmöglichkeiten.

Ich bin überzeugt, dass wir später einmal in den Ge-
schichtsbüchern werden lesen können, um das Jahr
2000 sei die Menschheit in das Zeitalter des Internetgoldrausches
eingetreten. Dies meine ich durchaus
auch im kommerziellen Sinn, denn seit der breiten Nutzung
des Internets lässt sich mit einer guten Idee
schnell und einfach viel Geld verdienen. Ich glaube vor
allem, dass das Internet verglichen zu heute zu einem
noch viel schnelleren und vielschichtigeren Informations-
und Gedankenaustausch unter den Menschen
führen und damit unzählige andere Entwicklungen
beschleunigen und beeinflussen wird. Die Nutzung von
Onlinediensten wird für die künftigen Generationen
noch selbstverständlicher sein und zu einer permanenten
«Erreichbarkeit» und Vernetzung aller Lebensbereiche
führen.
Zum Schluss stellt sich die Frage: Ist das ausschliesslich
zu begrüssen oder birgt diese Entwicklung nicht
auch Gefahren in sich? Es macht doch die Menschen
abhängiger und verletzlicher, falls die neuen und
bald gewohnten virtuellen Annehmlichkeiten einmal
ausfallen.
Im heutigen Zeitalter muss alles rentabel sein, da ist
das Sicherheitsdenken aus Kostengründen leider in
allen Lebensbereichen rückläufig. Früher war das Risikobewusstsein
eindeutig höher, wie etwa der Aufwand
beweist, der bis vor Kurzem betrieben wurde,
um bei einem Stromausfall Telefone per Fernspeisung
für den Notruf funktionstüchtig zu erhalten. «Luxus»
dieser Art hat in der Gedankenwelt der schönen neuen
Netze keinen Platz mehr und das birgt sicher einige Risiken.
Gleichzeitig sollte Technologie den Menschen
immer unterstützen, nicht belasten oder gar abhängig
machen. Die junge, heranwachsende Generation bedient
sich der verfügbaren Technologien von heute bereits
ganz selbstverständlich und kann sich ein Leben ohne
Internet und Mobilfunk nicht mehr vorstellen. Das lässt
darauf hoffen, dass der Mensch wie in seiner früheren
Entwicklung auch künftig anpassungsfähig bleibt.
Herr Tripet, herzlichen Dank für das Gespräch und
Ihre spannenden Ausführungen.
MICHeL TRIpeT (GeB. 1958),
DIpL. eL. ING. eTH,
pROFessOR FÜR TeLeKOMMuNIKATION,
BFH BuRGDORF
Nach dem Studium der Elektrotechnik an der ETH Zürich
mit Abschluss in Nachrichtentechnik war Michel Tripet
zehn Jahre in der Telekommunikationsindustrie tätig. Bei
drei Unternehmen nahm er Aufgaben in den Bereichen
Engineering, Marketing und Management wahr.
Anschliessend erfolgte ein Wechsel in die Lehrtätigkeit, wo
Michel Tripet seit 1994 hauptsächlich Dozent für Telekommunikation
an der Berner Fachhochschule (BFH) ist.
Parallel zu seinen Industrie- und Lehrtätigkeiten schloss
Michel Tripet Weiterbildungen in Business Administration
(BBA) und Didaktik (höheres Lehramt in Elektrotechnik) ab.
Neben der Ausbildung von Elektroingenieuren, ist Michel
Tripet auch im Bereich Weiterbildung (Seminar Telekommunikation)
und in der Beratung von Unternehmen und
Organisationen tätig.
inTeRvieW
23

Crypto AG, Hauptsitz
Crypto AG
Postfach 460
CH-6301 Zug
Schweiz
Tel. +41 41 749 77 22
Fax +41 41 741 22 72
crypto@crypto.ch
www.crypto.ch
Crypto AG, regionale Büros
Abidjan
Crypto AG
01 B.P. 5852
Abidjan 01
Elfenbeinküste
Tel. +225 22 41 17 71
Fax +225 22 41 17 73
Abu Dhabi
Crypto AG – Abu Dhabi
P.O. Box 41076
Abu Dhabi
Vereinigte Arabische Emirate
Tel. +971 2 64 22 228
Fax +971 2 64 22 118
Buenos Aires
Crypto AG
Maipu 1256 PB «A»
1006 Buenos Aires
Argentinien
Tel. +54 11 4312 1812
Fax +54 11 4312 1812
Kuala Lumpur
Crypto AG
Regional Office Pacific Asia
Level 9B Wisma E&C
2, Lorong Dungun Kiri
Damansara Heights
50490 Kuala Lumpur
Malaysia
Tel. +60 3 2080 2150
Fax +60 3 2080 2140
Muscat
Crypto AG
Regional Office
P.O. Box 2911
Seeb PC 111
Sultanat Oman
Tel. +968 2449 4966
Fax +968 2449 8929
Training
Innovation
Process
Future
Technology
Trust
A member of
The Crypto Group CRYPTO AG – TO RemAin SOveReiGn