Pervasive Computing/intelligente Chip: Herausforderung für die Sicherheit bei Wirtschaft und Verwaltung

Transkript

1 Pervasive Computing/intelligente Chip: Herausforderung für die Sicherheit bei Wirtschaft und Verwaltung Prof. Dr. Reinhard Posch A-SIT WIEN 22. November 2006 R. Posch 22.November 2006 Folie 1

2 IT Sicherheit muss integraler Bestandteil der automatisierten Verwaltung sein. Diese Integration erfordert Verankerung in den Gesetzen und in der IKT Strategie. Die Praxis zeigt, dass zentrale Punkte dazu gesicherte, elektronische Identität und elektronische Dokumente sind. Dabei hat die Auswahl der Technologie beachtliche Auswirkungen auf die Akzeptanz. Die in diesem Bereich manchmal kontroverse und oft durch zu wenig Praxisnähe geprägte Debatte um elektronische Identifikation und elektronische Reisedokumente soll durch "Large Scale Pilots" auf Europäischer Ebene Interoperabilität und einen ersten Schritt zu einer auf Standards ausgerichteten Lösung führen. R. Posch 22.November 2006 Folie 2

3 Herausforderungen an die Gesetzgebung Wo behindern Gesetze den Einsatz neuer Technologien zu enge Wortwahl einschränkende Formvorschriften Dokumentenbegriff, Originalbegriff Wo erfordern Gesetze neue Technologien i2010 RL der Informationsgesellschaft DILEMMA: Gesetzgebung ist technologisch generell retrospektiv wie soll Guidance für neue Technologien aussehen R. Posch 22.November 2006 Folie 3

4 Beispiel elektronische Dokumente Elektronische Dokumente können wesentlich sicherer sein als Papierdokumente Signatur Verschlüsselung zum Informationsschutz Anerkennung hinkt nach z.b. XML Dokument mit mehrsprachigem Stylesheets Anerkannte Formate In der Praxis verwendbar? Rechtssysteme Europas sind noch nicht reif für elektronische Dokumente R. Posch 22.November 2006 Folie 4

5 Technisch perfekte elektronische Dokumente Elektronische Signatur Sicherung von elektronischen und Papierausfertigungen XML Strukturen automatisierte Erkennung/ Verwendung Mehrsprachigkeit Inklusiv (z.b. für Blinde) Originalbegriff muss angepasst werden R. Posch 22.November 2006 Folie 5

6 Pass und Personalausweis sind keine eid Was leisten sie? Was nicht? biometrische Daten (z.b.foto) Methoden der Prüfung z.b. durch die Polizei Anerkannte Identität beinhalten keine Methoden der Authentifizierung Benutzer hat eingeschränkte Kontrolle Es gibt keinen zwingenden Grund, die beiden Elemente durch eine einzige Technologie abzudecken R. Posch 22.November 2006 Folie 6

7 Die Sicherheitsdebatte ist in vielen Fällen zu sehr technologisch Signaturlänge ist für die Praxis bedeutend (Datenbanken, in Printouts, ) z.b. RSA z.b. ECC (mindestens vergleichbarer Sicherheit) Kontaktlose Technologien Die Zukunft von eid? Wie wird die Verkabelung abgebildet Wie gehen wir mit der PIN Eingabe um Wie erreichen wir das Wissen / Bewusstsein in der breiten Bevölkerung??? R. Posch 22.November 2006 Folie 7

8 IDENTIFIKATION AUTHENTIFIZIERUNG eid STAMMZAHL bpk EINWEGFUNKTION bpk DB & ANWENDUNG bpk DB & ANWENDUNG DATEN NATÜRLICHE UND NICHT NATÜRLICHE PERSONEN NUR NATÜRLCIHE PERSONEN eauthentifizierung STAMMZAHL SIGNATUR bpk ACCESS TOKEN z.b. Datum & Uhrzeit Authentifizerung durch Signatur des Benutzers nachgewiesen PERSONENBINDUNG VON SZRB SIGNIERT ZUGRIFF R. Posch 22.November 2006 Folie 8

9 eid und die Wirtschaft Europaweit anerkanntes Modell ist notwendig Datenschutz muss Teil des Konzeptes sein Verfügbarkeit Gesetzliche Absicherung Einfach nutzbar ID WIRTSCHAFT KANN VON SINGLE POINT REGISTRATION PROFITIEREN R. Posch 22.November 2006 Folie 9

10 Bürger wollen eid Karte R. Posch 22.November 2006 Folie 10

11 Sektoren und Wirtschaft BÜRGERKARTE >> BEREICHSSPEZIFISCHE KENNUNGEN IDENITY TOKEN SEKTOR A z.b. Finanz SEKTOR N z.b. Soziales Einwegfunktion Sektorspezifische Kennung WIRTSCHAFT PRIVATER A Wirtschaftsunternehmen wie Sektor behandelt. PRIVATER B Kryptographie: starke Bindung Sektortrennung KEIN ZUSATZRISIKO R. Posch 22.November 2006 Folie 11

12 eid und Verschlüsselung eid = ID + Security (Signatur) ein und die selbe ID kann mit mehreren Signaturen verbunden werden und ergibt die gleiche eid Verschlüsselung ist auf die VORHER bekannte Sicherheitstechnologie abgestellt Ersatz, Transition funktioniert NICHT KEY MANAGEMENT Third Party? Privat? Risiko R. Posch 22.November 2006 Folie 12

13 Nur eine integrale Sicht ermöglicht integrale IT Sicherheit (THE BIG PICTURE) PVP (SAML) MOA-ID Protokoll für Drucksteuerung Zustellung Security Layer Web Services MOA-ZS PVP (SAML) MOA -ID XML-A Abschlussdialog Workflow- Backoffice MOA-ZS Rückschein Fachanwendung Stammportal Zustell- Kopf Formulare Elektronische Zustellung Rückschein MOA-SS Zustell- Service EPS2 EDIAKT II E-Zahlung MOA-SP R. Posch 22.November 2006 Folie 13

14 eid und internationale Zusammenarbeit Herausforderung kompatibler Technologien Europäische Zusammenarbeit i2010 eid edoc eprocurement einclusion LARGE SCALE DEMONSTRATORS Erfahrungen bei der Interoperabilität sammeln R. Posch 22.November 2006 Folie 14

15 Beispiel: BE eid in Österreich R. Posch 22.November 2006 Folie 15

16 Ziele i2010 Hindernisse identifizieren Aufsetzen von Showcases Interoperabilität kommunizieren Prüfen der Sicherheitsumgebungen Weitere Schritte identifizieren R. Posch 22.November 2006 Folie 16

17 CASE I: Interoperabilität auf Userumgebung User User environment USER IN CONTROL PIN eid Token INTEROP UNIQUE eid Service eid Service eid TRANSBORDER member state member state R. Posch 22.November 2006 Folie 17

18 CASE II: Interoperabilität durch Proxy USER IN CONTROL User User environmen t TRANSBORDER PIN eid Token eid INTEROP UNIQUE eid TRUSTWORTHY PROXY SERVICE eid of PROXY member state member state Service R. Posch 22.November 2006 Folie 18

19 i2010 Signposts ADAPTING THE INFRASTRUCTURE Authentication Model & Levels Common eid Framework Equal Treatment of national eids EU provisions: Recognition of national eids Federated eid Management eid Terminology Definition of eid eid Role Management Personal Data Ownership Model Recognition of edocs Long Term Archiving Guidelines MS rules on earchiving Permanent Document ID edoc Format Standard(s) Long Term Archiving Model R. Posch 22.November 2006 Folie 19

20 DANKE FÜR DIE AUFMERKSAMKEIT E Government IKT Strategie IT Sicherheit reinhard.posch@cio.gv.at CIO AUSTRIA reinhard.posch@cio.gv.at R. Posch 22.November 2006 Folie 20