Vortrag am Sichere IT-Produkte. Produktzertifizierung für den Bereich Internet of Things und Industrial IoT

Transkript

1 Vortrag am Sichere IT-Produkte Produktzertifizierung für den Bereich Internet of Things und Industrial IoT

2 Das unsichere Produkt Was ist das unsichere Produkt? INTERNET Vorteil: Man kann sich jederzeit und kostengünstig mit Millionen von Geräten verbinden, vielfältigste Informationen abrufen und weltweit mit beliebig vielen Menschen kommunizieren. Nachteil: Viele andere können sich mit meinen Geräten verbinden, Unbekannte können mir unerwünschte Informationen zusenden und meine Systeme mit Schadsoftware verändern und Dritte können meine Nachrichten mitlesen oder fälschen. Produktzertifizierung für IoT und iiot... Schmid Datensicherheit GmbH 2 / 20

3 Inhalt des Vortrags Produktsicherheit durch Evaluierung und Zertifizierung: Teil 1 Common Criteria for Information Technology Security Evaluation Teil 2 Beschleunigte Sicherheitszertifizierung (allgemein verfügbar im Laufe des Jahres 2019) Produktzertifizierung für IoT und iiot... Schmid Datensicherheit GmbH 3 / 20

4 Sicherheit und Vertrauen Wesentliche Aspekt/Objekte Sicherheitsbedürfnisse des Verbrauchers oder von öffentlichen Stellen IT Produkte und Systeme Wie kann ich Vertrauen in ein IT Produkt gewinnen? Ich vertraue und verlasse mich auf den Hersteller (anhand meiner Erfahrung oder dank seines Rufes) oder Ich untersuche das Produkt Aber wie? Kann / soll ich das selbst tun? Oder ist es effizienter, das an ein Expertenteam zu outsourcen und zwar aufgrund eines spezifischen Know-how und entsprechender Erfahrung? Produktzertifizierung für IoT und iiot... Schmid Datensicherheit GmbH 4 / 20

5 Das CC Schema Common Criteria for Information Technology Security Evaluation Produktzertifizierung für IoT und iiot... Schmid Datensicherheit GmbH 5 / 20

6 Common Criteria (CC) Die CC sind Kriterien für die Evaluierung der Vertrauenswürdigkeit von IT-Produkten. Vertrauen in die Güte eines Produkts Wirksamkeit Korrektheit Produktzertifizierung für IoT und iiot... Schmid Datensicherheit GmbH 6 / 20

7 Vertrauen, Korrektheit und Wirksamkeit Vertrauen (assurance): Überzeugung von der Güte der Sicherheitsservices, die ein Produkt zur Verfügung stellt. Wirksamkeit (effectiveness): Ist eine Lösung treffend, um der tatsächlichen Sicherheitssituation gerecht zu werden? Korrektheit (correctness): Ist die Lösung gut implementiert? Produktzertifizierung für IoT und iiot... Schmid Datensicherheit GmbH 7 / 20

8 Das Sicherheitsproblem Die Produktzertifizierung zielt (in der Regel) auf Produkte ab, die eine Lösung für ein definiertes Sicherheitsproblem bieten: Zum Bsp.: wie verbinde die Netzwerke zweier Niederlassungen über das öffentliche Netz, also über Internetzugänge? VPN (Vitual Private Network) Produktzertifizierung für IoT und iiot... Schmid Datensicherheit GmbH 8 / 20

9 Common Criteria Aspekte Die CC sind Kriterien für die Evaluierung der Vertrauenswürdigkeit von IT-Produkten. Die CC stellen einen international abgestimmten Baukasten zum Bau sinnvoller Sätze an Sicherheitsanforderungen und zur Spezifikation dieser Anforderungen dar. Die CC ermöglichen eine gegenseitige Anerkennung von CC- Zertifikaten zwischen verschiedenen Ländern. Die CC definieren eine gemeinsame Metrik für Sicherheit und Vertrauen in die Sicherheit. Produktzertifizierung für IoT und iiot... Schmid Datensicherheit GmbH 9 / 20

10 Ziele des CC-Projekts Ein gemeinsames Kriterienwerk für IT-Produkte Technologie-unabhängig Basierend auf den bisherigen Kriterien Europas und Nordamerika Standardisierung durch ISO (ISO/IEC 15408) Eine internationale Basis für Hersteller Vergleichbarkeit der Ergebnisse von Sicherheits-Evaluierungen Gegenseitige internationale Anerkennung von Zertifikaten Bessere Verfügbarkeit von hochwertiger IT-Sicherheitstechnik Produktzertifizierung für IoT und iiot... Schmid Datensicherheit GmbH 10 / 20

11 Bild: öffentliche Dateien des Bundes Das BSI Bundesamt für Sicherheit in der Informationstechnik Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes (2009) hoheitliche Aufgaben Das Artikelgesetz IT-SiG (2015) Schutz kritischer Infrastrukturen gesellschaftliche Aufgaben Einheitliche und verbindliche Sicherheitsstandard Prüfung, Zertifizierung und Akkreditierung Im Rahmen der CC: Grundlagen und Zertifizierung neuer Technologien Zertifizierung von Produkten (Hardware) Zertifizierung von Produkten (Software) Produktzertifizierung für IoT und iiot... Schmid Datensicherheit GmbH 11 / 20

12 Alternative Zertifizierung: Certification de Sécurité de Premier Niveau (CSPN) französische Basiszertifizierung (Certification de sécurité de premier niveau des produits des technologies de l'information) Zertifikat wird von der l'agence nationale de la sécurité des systèmes d'information (ANSSI, Nationale Agentur für Computer-Sicherheit) erteilt Die CSPN-Zertifizierung erfolgt mit reduziertem Dokumentationsaufwand (gegenüber CC) und basiert auf "Black Box"-Tests (Penetrationstests) (Kenntnis des Produkts entspricht "Grey Box") Die CSPN-Zertifizierung liegt in etwa auf dem Niveau von CC EAL2 Die EU-Kommission (Digitalkommissar) will CSPN auf EU-Ebene einführen Produktzertifizierung für IoT und iiot... Schmid Datensicherheit GmbH 12 / 20

13 Bild: pixabay.com, OpenClipart-Vectors Beschleunigte Sicherheitszertifizierung (BSZ) Das BSI hat die Anregung vor ca. 3 Jahren aufgenommen. Das Verfahren ist angelehnt an CSPN / soll kompatibel zu CSPN werden. Reaktion des BSI: Pilotprojekte Sicherheits-Zertifizierung von Test-Produkten 1. Ausschreibung aus dem Jahr Referenzzertifizierung aus dem Jahr 2018 Ziel der Pilotprojekte ist die Erprobung von Anforderungen und Vorgehensweisen zum Test eines leichtgewichtigen und verkürzten IT-Sicherheits-Zertifizierungsverfahren. gegenseitige Anerkennung durch Cyber Security Act: Europäische Verordnung zur Neuregelung der Zertifizierung in Europa Derzeit in der europäischen Rechtsgebung Schema ist in Vorbereitung auf CSA auf europäische Anerkennung ausgelegt (Dies bedarf der europäischen Abstimmung und implementierte Rechtsakte) Vertreter von ANSSI als Beobachter am Verfahren beteiligt Produktzertifizierung für IoT und iiot... Schmid Datensicherheit GmbH 13 / 20

14 Anforderungen der BSZ Anforderungen an den Prüfling (TOE) Konfiguration muss typischer Einsatzkonfiguration entsprechen Vorgaben des BSI für den Geltungsbereich müssen erfüllt werden TOE muss Sicherheitsvorgaben des Antragsstellers entsprechen TOE muss sicheren Update-Mechanismus bereitstellen Anforderungen an den Hersteller Verständliche Beschreibung der Sicherheitsleistung ( Sicherheitsvorgaben ) Reaktion auf Sicherheitsanfragen über Kontaktadresse Updates, falls notwendig Einhaltung der sonstigen Nebenbestimmungen, z.b. zum Logo Produktzertifizierung für IoT und iiot... Schmid Datensicherheit GmbH 14 / 20

15 BSZ in Schlagworten Die beschleunigte Sicherheitszertifizierung zielt darauf ab, bezahlbare und planbare Zertifizierungen für KMUs und Startups zu etablieren, speziell für IoT-Produkte (Internet of Things) und iiot (industrial Internet of Things). Die Evaluierung eines Produkts erfordert reduzierte Dokumentation (im Vergleich zu CC) und verlangt einen Penetrationstest des Produkts im Sinne eines Grey-Box-Tests. Das Zertifizierungsverfahren soll zu nutzerfreundlichen Produkten führen: Typische (Einsatz-)Konfiguration wird zertifiziert Zusicherung von Updates für Zertifikatslaufzeit Das BSI legt gerade die Anforderungen an Prüfstellen und an den Ablauf der Evaluierung fest, der zum Zertifikat führt. Produktzertifizierung für IoT und iiot... Schmid Datensicherheit GmbH 15 / 20

16 Bilder: pixabay.com, OpenClipart-Vectors, geralt Entwicklung zertifizierbarer Produkte Kritische Stellen in Implementierungen: Umgang mit Passwörtern Verhinderung von Injection-Angriffen OWASP 10 Schwachstellenliste (Sicherheitsrisiken für web applications) Einsatz von Zufallszahlen Anforderungen an sicheren Umgang mit Daten (z.b. Datenschutz): Security-by-design Privacy-by-design Privacy-by-default Produktzertifizierung für IoT und iiot... Schmid Datensicherheit GmbH 16 / 20

17 Beratungsangebot der Schmid Datensicherheit GmbH Unterstützung bei Zertifizierungen Common Criteria Beschleunigte Sicherheitszertifizierung Unterstützung bei Auswahl von zertifizierten Produkten Security Target und was der Inhalt bedeutet Unterstützung bei Informationssicherheits- Managementsystemen in Unternehmen Reseller für Signierzertifikate (X.509) Datenschutz Produktzertifizierung für IoT und iiot... Schmid Datensicherheit GmbH 17 / 20

18 Persönliches Lutz J. Schmid: 1989 Abschluss des Elektrotechnikstudiums an der FAU Erlangen ab 1990 über 25 Jahre als Softwareentwickler in der IT-Branche tätig hardwarenahe Softwareentwicklung für IBM-kompatible Terminals (3270) über 15 Jahre für Planung, Umsetzung und Entwicklung von Verschlüsselungssoftware für SSL/TLS geschützte Datenverbindungen und von Software zur Erstellung und Verwaltung einer X.509-Zertifikatbasierten Public Key Infrastructure verantwortlich ca. 5 Jahre für die Umsetzung und Realisierung von Common-Criteria Software-Zertifizierungen von IT- Sicherheitsprodukten verantwortlich an verschiedenen Projekten für Client-Server-Kommunikationslösungen beteiligt Zertifizierungen als ISO Lead Auditor und IT-Sicherheitsbeauftragter erhalten Zertifikat für Common Criteria Workshop vom BSI erhalten VDE-Mitglied, im Arbeitskreis Energieversorgung 4.0 aktiv: siehe " Produktzertifizierung für IoT und iiot... Schmid Datensicherheit GmbH 18 / 20

19 ENDE Vielen Dank für die Aufmerksamkeit! Fragen? Produktzertifizierung für IoT und iiot... Schmid Datensicherheit GmbH 19 / 20

20 Kontakt Dipl.-Ing. (Univ.) Lutz J. Schmid Schmid Datensicherheit GmbH Heidestraße Weiden / Opf. Tel.: Mobil: info@schmid-datensicherheit.de URL: Produktzertifizierung für IoT und iiot... Schmid Datensicherheit GmbH 20 / 20