Totally Integrated SmartCard Architecture (TISA) Combining Industry Specific Requirements with Security Solutions

Transkript

1 Totally Integrated SmartCard Architecture (TISA) - Combining Industry Specific Requirements with Security Solutions Dr. Willi Kafitz 1. European Identity Conference 2007, München, 08. Mai 2007

2 TISA) - Totally Integrated Security Architecture (TISA) Combining Industry Specific Requirements with Security Solutions Dr. Willi Kafitz 1. Identity Conference, München, 08. Mai 2007

3 Wer bin ich? Siemens Enterprise Communications GmbH & Co. KG Professional Services and Solution Management CoC Trusted Identity Postal Address: P.O.Box D Frankfurt/Main Dr. rer. nat. Willi Kafitz Lead Consultant Office Address: Rödelheimer Landstrasse 5-9 D Frankfurt/Main Phone: Fax: Page 3

4 Sicherheit und Geschäft Es geht darum, alles so einfach wie möglich zu machen. Aber nicht einfacher. ALBERT EINSTEIN Page 4

5 Agenda Die W -Fragen: Wo stehen wir? Was brauchen wir? Interne Nutzung Geld sparen Externe Nutzung Geld verdienen Die Antwort von Siemens: TISA Fazit Page 5

6 Agenda Die W -Fragen: Wo stehen wir? Was brauchen wir? Interne Nutzung Geld sparen Externe Nutzung Geld verdienen Die Antwort von Siemens: TISA Fazit Page 6

7 Anforderungen Helpdeskkosten Digitalisierungsgrad interner Geschäftsprozesse Akzeptanz Beherrschbarkeit Mobilität Flexibilität Convenience Wachsender Integrationsgrad Organisationsübergreifende elektronische Prozesse Page 7

8 Prinzipiell sind alle Anwendungen gleich Anforderungen an die sichere Abwicklung von Geschäftsprozessen Authe ntisierun g Dateneingab e Datenprüfun g Datenfreigab e (Verteilte ) Datenverarbeit ung Archivierun g Authentizität Integrität Vertraulichkeit Beweisbarkeit Identity Management Der bin ich Willenserklärung Das will ich Beweiswerterhaltung So kam es an Page 8

9 Beide Risikodimensionensind wichtig Virenschutz Schützen Schutz vor Hackern Schutz vor Spionage Schutz vor "Denial of Service"- Attacken Schutz vor Datendiebstahl/- verlust Schutz vor Irrtümern Schutz vor Insidern Ermöglichen Digitalisierung der Geschäftsprozesse, auch unternehmensübergreifend Eliminierung von Medienbrüchen Neue Kooperationsformen wie BPN, Extranets, Virtuelle Kooperationen Flexibleres Sicherheitsmanagement (Teilnetze in der Gesamttopologie) E-Government, E-Billing, EBPP Total Business Integration Page 9

10 State-of-the-Art Identity-Management bietet Innenverhältnis Außenverhältnis Identity-Management Rechtemanagement Provisionierung Audit Authentizität Verbindlichkeit Vertraulichkeit Integrität Integriertes Identity und Access-Management Public Key Infrastruktur mit Fallback-Authentisierung Page 10

11 Agenda Die W -Fragen: Wo stehen wir? Was brauchen wir? Interne Nutzung Geld sparen Externe Nutzung Geld verdienen Die Antwort von Siemens: TISA Fazit Page 11

12 Der Lebenszyklus eines IT-Anwenders Identity Life Cycle Erfassen der Identität Personalsysteme, Kundenportale, Partnerdatenbanken Auditing, Monitoring, Controlling Definition der Berechtigungen Freischalten der Ressourcen Wer darf was, wann und warum? Deaktivierung (Löschen) der elektronischen Identität Deaktivierung der Zugriffsrechte Real-Time-Business Archivierung Page 12 Management und Audits Organisatorische Änderungen Wechsel der Position Erweiterungen der Berechtigungen Systemänderungen

13 Quick Win: Reduzierung Helpdeskkosten Mittelfristig: Administration und Betriebsprosse Incident Management fokussieren bis zu 20% Passwort-bezogene Helpdesk-Anfragen Helpdesk-Kosten reduzieren Kosten von weit über 100 pro Mitarbeiter und Jahr durch vergessene Passwörter Deutliche Senkung durch integrierte Lösungen Ganzheitliche Sicht auf Identity Management, Access Management und Session Management) Deutliche Senkung durch möglichst viel User Self Services bei unverändert starker Authentisierung Bringschuld / Holschuld Prinzip überdenken Page 13

14 Identity-Management beginnt bei einer langfristig eindeutigen Nummer: Global ID Page 14

15 Nur integrierte Security Lösungen erbringen RoI Mobile Workplace Governance & Compliance Security Policy Informationen Applikationen Sichere Business Prozesse Authentication Identity Management Access Control Secure Tooken Roles, Permissions & Provisioning Enforcement of the security policy integriertes Identity-, Access- & Session Management Page 15

16 Enterprise Portal Services - Entitlement Prinzipielle Architektur E n t i t l e m e n t P r o z e s s e Autorisierungs- Quellen Identity Management Rollen Management Rechte Management Zielsystem Management Identity Management Quellen Master Access Management Benutzer, Rollen, Rechte Provisioning Session Mgmt Access Mgmt SAP HR XYZ user CD Externe IDs Externe IDs Aggregierte Identity Store Provisioning Engine Roles Workflows Rechte Rechte SSO Online User Store Portal Enterprise Portal Employee Portal DMS Access Management Store Rechte Rechte Access Engine Gruppen, Rollen Zielsysteme, Access Rights, Profile, etc. MS AD Page 16

17 Agenda Die W -Fragen: Wo stehen wir? Was brauchen wir? Interne Nutzung Geld sparen Externe Nutzung Geld verdienen Die Antwort von Siemens: TISA Fazit Page 17

18 Geschäftsanforderungen als Telefonie-Ersatz (unverbindlich) wird zunehmend erweitert durch im elektronischen Geschäftsverkehr (verbindlich) (EDI-)Kommunikation migriert von volumenabhängigem Value Added Networks (X.400) über asynchrones (SMTP) zu synchronen Austauschverfahren im WWW (http) Zugriff auf Ressourcen ist organisationsübergreifend zu organisieren Ganze Geschäftsprozesse werden organisationsübergreifend Es entstehen föderative Unternehmensprozesse (übergeordnete Geschäftsanforderungen bei dezentraler Organisation) Sicherheit als Trusted Identity wird zum Business Enabler Page 18

19 Migration der Übermittlungsmethoden Electronic Data Interchange Übermittlung Vorgestern Gestern Heute Morgen Übermorgen VAN Webportal AS2 Webservice Asynchron Eigenes Netz Volumenabhängig Asynchron Dienstorientiert Datenunabhängig Synchron Browserorientiert Endgeräteunabhängig Synchron HTTP-orientiert Formatunabhängig Synchron & asynchron Serviceorientiert Workflowunabhängig Page 19

20 Business Trust Requirements Identifikation/Authentikation Mit Geschäftspartnern und innerhalb des Unternehmens Who are you? Vertraulichkeit/Integrität Für transferierte Daten Can we communicate securely? -Business representations and warranties? Rechtliche Aspekte Sicherheitslevel der Policies, Vergleichbarkeit ( policy mapping ) E-Society Do I have proof? Validierung / Nichtabstreitbarkeit Transaktionsnachweis/ Authentizität Page 20

21 Rechtliche Aspekte Sicherheit wird im elektronischen Geschäftsverkehr zunehmend rechtlich relevant handelsrechtlich (GoBS) steuerrechtlich (GDPdU, UStG, StDÜV) vertragsrechtlich (vereinbarte elektronische Form) Sicherheitserklärungen müssen vertragsrechtlich belastbar und vergleichbar sein (policy mapping) Elektronischer Geschäftsverkehr muss revisionssicher sein (z.b. nachvollziehbare Archivierung von s) Der Transaktionsbegriff ist zunehmend logisch zu interpretieren (Echtheit der Herkunft, Unversehrtheit des Inhalts ist auf der Informationsebene zu garantieren) Zunehmende IT-Sicherheitsaspekte in Compliance-Anforderungen Page 21

22 Technische Aspekte Die eigene Organisation ist als Identitätsinsel zu öffnen Die nötigen topologischen Rahmenbedingungen zu fremden Identitäten zu schaffen Der Vertrauensbegriff bekommt technische Aspekte Manuelle Be-/Verarbeitung migriert über Digitalisierung zu Automatisierung Identity- and Access-Management ist über Firmengrenzen hinaus zu organisieren (z.b. Federation) Personenbezogener Access wird erweitert um Access durch technische Entitäten (z.b. Webservices) Die Absicherung im IAM ist nur zertifikatsbasiert auf Dauer wirtschaftlich (Entitlement) Page 22

23 Agenda Die W -Fragen: Wo stehen wir? Was brauchen wir? Interne Nutzung Geld sparen Externe Nutzung Geld verdienen Die Antwort von Siemens: TISA Fazit Page 23

24 Kundenprobleme Der Kunde will nicht Technik als Selbstzweck, er will Sichere elektronische Identitäten Technische Mittel zur Erfüllung gesetzlicher Richtlinien Automatisierte Kommunikation zu Geschäftspartnern über öffentliche Netze Malipulationssichere Daten in Archivsystemen Sich sicher anmelden Sichere Authentifikation bei RLA Zugang Seine Geschäftsprozesse effizienter gestalten (weg von Papier bei der Bearbeitung und beim Speichern) Page 24

25 TISA Architekturmodell Business Custom Solutions TISA in den Geschäftsapplikationen SAP, Oracle, Siebel, HIS, Organisation und sicherer Betrieb Lösungsdesign und Konzepte zur Einbettung in die Kundenumgebung Produkte und technische Infrastruktur Technische Komponenten und ihre Interaktion Technology Page 25

26 TISA Systemintegration mit Geschäftsverständnis Business Herkömmliches Geschäftsverständnis Custom Solutions Business Consulting TISA in den Geschäftsapplikationen SAP, Oracle, Siebel, HIS, Organisation und sicherer Betrieb Lösungsdesign und Konzepte zur Einbettung in die Kundenumgebung Technology Systemlieferanten Systemintegratoren Produkte und technische Infrastruktur Technische Komponenten und ihre Interaktion Page 26

27 Trusted Identity als Teil des Security Portfolios Management Consulting Technology & Solution Consulting System Integration & Customizing Strategy Benchmarking Audits Risk analysis Penetration Surveys Testing Design Customize Configuration Capacity Performance Incident Reporting Strategy Applications Infrastructure Information Security Management Business Continuity Management Risk Management Compliance Identity & Access Management Single Sign On Trusted Identity Portal Security Network & Systems Security Secure VoiP Infrastructures Mobile Security Turn-Key Solutions VoiP Convergence Security 1) Security in Automation & Production 1) Totally Integrated Security Architecture 1) 1) Managed Services Build Maintain Products Firewalls, IPS, Virus Protection Smartcards, OTP-Tokens PKI,Encryption 1) Page 27

28 Identity und Access Management Wertschöpfung aus verschiedenen Sichten Technologiesicht Businesssicht User Management Self-Service Password Management Workflow Schnelle und sichere Einbindung von externe Geschäftspartnern in Prozesse Verbindliches IT-Asset-Management & Controlling Meta directory Authentication Directory Provisioning Federation Audit Schnelle Produktivierung von Mitarbeitern Einhaltung von gesetzlichen Anforderungen Authorization Zuverlässliches E-Business Web Single Sign-on Web Access Management Web Services Security Steuerung von Shared Service Dienstleistern Page 28

29 An wen richtet sich TISA? Technologiesicht IT-Leitung Sichere Authentisierung Sichere Kommunikation Multifunktionaler Mitarbeiterausweis Single Sign On Public Key Infrastructure Qualifizierte Signaturen Massensignatur von Dokumenten Geschäftssicht Fachabteilungsleiter Signaturen in Geschäftsprozessen Elektronischer Rechtsverkehr Elektronische Patientenakte e-invoicing, e-billing E-Government Organisationsübergreifender Geschäftsverkehr Nur Zielgruppen-orientiertes Wording erreicht den Adressaten! Page 29

30 TISA Portfoliomodell Zielgruppenspez. Portfolio Security Basis Portfolio TISA4Government Virtuelle Poststellen, Zeitstempeldienste Authentication Services for Large Enterprise Nexus, ICMS + DL TISA4Universities HIS Anbindung, Selbstregistrierung Authentication Services for Medium Enterprise MS-PKI, Cardmanager, DL Single Sign On DirX Access, Evidian, Utimaco TISA4Enterprises Domain Logon, Massensignaturlösg. Secure Remote Access Checkpoint, Cisco, Eracom TISA Basic Infrastructure Dienstleistung, CardOS Karte, CardOS API, CardManager TISA4Health Patienteninfosysteme, Bezahlsysteme Certificate based IAM DirX Portfolio, DL Integrationsleistung Siemens AG und 3 rd Party Produkte Page 30

31 Agenda Die W -Fragen: Wo stehen wir? Was brauchen wir? Interne Nutzung Geld sparen Externe Nutzung Geld verdienen Die Antwort von Siemens: TISA Fazit Page 31

32 IT-Sicherheit: Wandel im Grundverständniss eines Begriffs Absicherung Kostenfakor Technisches Problem Zuständigkeitsbereich IT Produkt-Fokus Handlungsstrategie reaktiv Keep the Bad Guys out Disabler Risikomanagement Wertschöpfungstreiber 80/20 Organisation/Technik Relevanz für alle Ebenen Lösungs-Fokus Handlungsstrategie proaktiv Let the Good Guys in Enabler Page 32

33 Faktor Vertrauen Blindes Vertrauen schenkt man nur nach sorgfältigst getroffenen Vorsichtsmaßregeln. EMANUEL WERTHEIMER Page 33

34 Fragen? Page 34