Möglichkeiten zum Nachweis der Unversehrtheit von Daten Einführung in die Problematik

Transkript

1 Physikalisch-Technische Bundesanstalt Braunschweig und Berlin Möglichkeiten zum Nachweis der Unversehrtheit von Daten Einführung in die Problematik Norbert Zisky Physikalisch-Technische Bundesanstalt 246. PTB-Seminar: Revisionssicheres System zur Aufzeichnung von Kassenvorgängen und Messinformationen 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 1

2 Eins ist sicher: Nichts ist sicher, und nicht einmal das ist sicher. Joachim Ringelnatz

3 Physikalisch-Technische Bundesanstalt Braunschweig und Berlin Dr. Dr. Norbert Zisky Leiter der der AG AG Datenübertragung und und -sicherheit Wichtige Projekte Gremien Aufgaben EPSI, DIN DIN 26050, und DIN DIN VDI/VDE Entwicklung FA FA und Einführung Messverfahren offener in in der der SELMA Informationstechnik Kommunikationskonzepte Sicherheitskonzepte und und SIMEDAKO Obmann Sicherheitsfragen beim beim DIN DIN in in NA NA der der Tank Tank Messtechnik Schnittstellen ToA Bereitstellung ToA (BMVg-Projekt) von von Testwerkzeugen für für und Mitarbeiter Schnittstellen- beim INSIKA beim und DIN DIN Protokollprüfungen NA NA Technische Grundlagen Schnittstellen PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 3

4 Übersicht Rahmen und Ziel des Symposiums Grundthesen Systemarchitektur Modell Ausblick 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 4

5 aanwendungen: T Der Rahmen und das Ziel Nationale Vorschriften: Konzept xameter Kassen Prüfungen Bauartprüfung, Eichung ID, OIML, WELMEC, EU-Fiscalis Eichrecht, Steuerrecht,... M Internationale Entwicklungen: 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 5

6 Anwendungen ID, OIML, WELMEC, EU-Fiscalis Eichrecht, Steuerrecht,... Konzept xameter Kassen aanwendungen: T Nationale Vorschriften: M Internationale Entwicklungen: Prüfungen Bauartprüfung, Eichung 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 6

7 Ziele des Seminars Information über ein für Kassen neuartiges Sicherungskonzept Diskussion der Übertragbarkeit auf Messsysteme Ausloten von Synergien aus den verschiedenen Systemumfeldern 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 7

8 Grundthesen Mit klassischen Sicherungsverfahren können moderne IT-Systeme kaum noch geschützt werden Geldwerte Transaktionen sind besonders bedroht Komplexe Systeme erschweren den Funktionsnachweis definierter Schutzanforderungen Jedes System ist angreifbar Jede Sicherheitsanalyse und jedes darauf aufbauende Sicherheitskonzept muss ein Restrisiko ausweisen 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 8

9 Revisionssichere Systeme Kontroverse Diskussion Einmal korrekt erfasste Daten können nicht mehr unerkannt verändert werden Die Korrektheit der Datenerfassung ist nachweisbar und hält jeder Prüfung stand 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 9

10 Systemumfeld Isolierte Sicherheitsbetrachtungen eines Systems sind wenig Erfolg versprechend Identifizierung des Systemumfelds und der Marktteilnehmer Neben den technischen Analysen und daraus abgeleiteten Maßnahmen, müssen alle Marktteilnehmer betrachtet und deren gegenseitige Wechselwirkung im Sicherheitssystem beachtet werden 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 10

11 Systemumfeld Beispiel: Energiemarkt Messstellenbetreiber Erzeuger Messgeräte und Messsystem Händler Aufsichtsbehörden Verteilnetzbetreiber Übertragungsnetzbetreiber Messgerätehersteller Endkunde Lieferant 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 11

12 Systemumfeld Beispiel: Handel Service Erzeuger Waagen und Kassen Personal Aufsichtsbehörden Kassenaufsteller Messgerätehersteller Händler Endkunde Lieferant 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 12

13 Systemumfeld und Bedrohungen Externe Zugriffe: Eingaben, Prozesse, Informationen, Ausgaben Verfälschungen und Angriffe: zufällige oder systematische Verfälschungen: Technische Fehler, äußere Störungen passive und aktive Angriffe 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 13

14 Umsatzzahlen Systeme (Schätzwerte) 40 Millionen Elektrozähler 16 Mrd. Euro >> 2 Millionen Kassen 500 Mrd. Euro << Taxameter 2 Mrd. Euro Tankstellen Zapfsäulen?? 75 Mrd >> Alle angegebenen Geldbeträge sind sehr grobe Schätzungen ohne Quelle 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 14

15 Verfälschungen Was soll nachgewiesen werden Intern gespeicherte richtige Daten sind unverändert Zeitpunkt der Verfälschung Es werden nie richtige Daten gebildet Unmittelbar nach Generierung Viel später 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 15

16 Folgen von Verfälschungen Schädigung von Einzelpersonen oder Personengruppen Vorteilsnahme von Einzelpersonen oder Gruppen Wettbewerbsverzerrungen 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 16

17 Sicherheitsziele Sicherung sensibler Daten gegen bewußte oder unbewußte Verfälschungen Vollständige, richtige, geordnete und zeitgerechte Aufzeichnung Verfälschungen von Daten sollen sicher erkannt werden Überprüfbarkeit von Aufzeichnungen auf Vollständigkeit und Richtigkeit durch zuständige Stellen 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 17

18 Systemmodell (real) Schnittstelle Ausgabe Eingabe 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 18

19 Das Modell (abstrakt) Super-System 0815 Datensatz intern 145,67 kg 20,78 kwh 24,55 Datenmanager 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 19

20 Das Modell (abstrakt) Super-System 0815 Datensatz intern 145,67 kg 20,78 kwh 24,55 Datenmanager 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 20

21 Lösungsmöglichkeiten Mechanische Versiegelung: Datenablage Mechanische in sicheren, Siegel sind sind gegen angreifbar Manipulation geschützten Bereichen Anerkannter Stand der der internationalen Sicherheitsforschung: Vielfältige Manipulationsmöglichkeiten (makroskopische Angriffe) es es gibt gibt praktisch keine Siegel, die die nicht von von einem motivierten Elektronisch Angreifer innerhalb oder elektronischer kurzer Zeit Zeit und und Schutz mit mit geringem Aufwand überwunden werden können. RFID, Maßnahmen verdeckte bieten Schalter, gewissen Sensoren Schutz Sind aber auf des Geheime Sind aber Programme, auf Geheimhaltung by Fallen, Honeypots des Verfahrens angewiesen Security by obscurity Nicht sicher gegen Insider-Angriffe 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 21

22 Lösungsmöglichkeiten Elektronische Versiegelung der Daten: Datenschutz Einsatz symmetrischer durch den Einsatz und und asymmetrischer geeigneter kryptografischer Verfahren Verfahren, die Sauber Manipulationen definierte Sicherheitsstandards den Daten selbst erkennbar machen Manipulationen nur im mikroskopischen Bereich mit Spezialtechnik möglich PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 22

23 Das Modell Schutzmaßnahmen Datensatz intern Datenmanager Schnittstellen Eingaben Ausgaben Interne Datenspeicherung Parameteränderungen Softwareänderungen 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 23

24 Restrisiken Direkter Angriff der Eingabedaten Eingriffe in die systeminternen Abläufe Ausnutzung von Insiderwissen Falsche Beurteilung von Risiken Fehler im Betriebskonzept des Gesamtsystems 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 24

25 Anforderungen vs. Prüfbarkeit Anforderungen Definition von Anforderungen Detaillierungsgrad - Komplexität Konkretisierung (Vorschreiben einer Technik) C Prüfmöglichkeiten Je konkreter die Anforderung desto komplexer die Prüfung Je konkreter die Technikvorschrift desto einfacher die Prüfung 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 25

26 Manipulationsmöglichkeiten (1) In nicht speziell geschützten Systemen können Datenbestände relativ leicht manipuliert werden oft unter Nutzung regulärer Funktionen oder Sicherheitslücken: Nutzung von Funktionen für Servicetechniker zur Manipulation (Zugriff auf Zähler) Missbräuchliche Verwendung von Testfunktionen Direkte Änderung von Datenbeständen (in Dateien oder Datenbanken) bei PC-basierten Systemen 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 26

27 Manipulationsmöglichkeiten (2) Bereitstellung spezieller Manipulationsfunktionen durch den Systemhersteller : Entfernung kompletter Datensätze aus elektronischen Aufzeichnungen und Neuberechnung aller Daten Erstellung von Wunsch-Daten Funktionen zur Modifikation von Schlüsselwerten auf einen wählbaren Wert 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 27

28 Zusammenfassung Momentane Situation in der Praxis: Trotz klarer Rechtslage sehr schwierige Prüfung Keine konkrete Vorschrift zur Entwicklung, zum Vertrieb und Einsatz manipulationsgeschützter Systeme Kassendaten für Betriebsprüfungen u.u. praktisch wertlos Unzufriedenheit bei Stpfl., deren Kassendaten trotz korrekter Anwendung aller Systeme bei Prüfungen angezweifelt werden Interesse an anerkannten revisionssichenen Systemen!! Erhebliche Unsicherheit für Finanzbehörden, Anwender, Vertreiber und Hersteller von Kassen 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 28

29 Ausblick Neue Systeme Veränderte Systemumfelder Neue Bedrohungen Neue Anforderungen Kostenaspekte Schutzbedarf 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 29

30 Vielen Dank! 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 30

31 246. PTB-Sem.,Berlin, , 01 Einführung in die Problematik Norbert Zisky 31