A-SIT 10 Jahre IT-Sicherheits Know-How für Österreich

Transkript

1 A-SIT 10 Jahre IT-Sicherheits Know-How für Österreich

2 Bewusstsein erzeugen/schärfen

3 Der Überblick SHA MOBILE DEVICES KONZEPTE SIHA 2004 RFID TECHNOLOGIE BLACK BERRY KRITIS GÜTE SIEGEL 2009 PRINZIPIEN VIREN z.b. love letter GUTACHTEN ENISA 10 Jahre A-SIT STUDIEN MONITORING GENUINE ADVANTAGE SIGG SIGVO KONZEPTE SERVICES BK-SPEC MODEL BKU STORK ELSA 2008 ZSA Support SECURITY e-card 2007 SIDE CANNEL E-GOV NOT CA GDA epsos 2003 CCE EU A9C SIGNATUR ANALYSEN KONZEPTE RTR EESSI SSCD NOTIFIED BODY ALGO Seite 3

4 Aktualität wächst M. Crompton: The Internet is the biggest challenge to the sovereignty of countries Die Werbeeinnahmen aus dem Internet in UK übersteigen bereits die im TV-Business erzielten Werte BBC World News, der Schaden aus Cybercrime übersteigt bereits den Schaden aus konventionellen kriminellen Handlungen Krishna Ksheerabdhiv (Gemalto) IT ist nach den Zahlen des BIP der größte Sektor KANN CYBERSECURITY DEN WETTLAUF GEWINNEN? KÖNNEN WIR GEEIGNETE GOVERNANCE SICHERSTELLEN?

5 Der Beginn: Basis ist elektronische Signatur Artikel 9 Ausschuss Vertretung Österreichs zur Signaturrichtlinie Analyse kryptogr. Verfahren / Signaturalgorithmen Technologiebeobachtung ELSY-Chipkarte, die Erste Unterstützung des Hauptverbands UNCITRAL Signature Model Law Vertretung Österreichs in UN Seite 5

6 Im zweiten Jahr die ersten Bescheinigungen Bescheinigungen nach SigG/SigV Chipkarten (Telesec; Philips für Datakom und A-Trust) Damals auch noch Terminals & Software, zb Intensivierung Beratung öffentlicher Verwaltung z.b. MAGDALENA z.b. Taskforce eaustria Bürgerkarte beginnt. Weißbuch Bürgerkarte Seite 6

7 Anfangsphase: internationale Sichtbarkeit EESSI Europäische Standardisierung Signatur von Beginn (2000) beteiligt, z.b. Leitung area K Co-Autoren aller drei Referenznummer -Schutzprofile Common Criteria Mitgliedschaft Österreich Vertretung Österreichs im Mgmt. Committee seit 2002 EU Projekt ISIS-QualiSign Technisch-rechtliche Aspekte Signaturerstellung ECC Brainpool Papier Einsatz und Bedeutung Elliptischer Kurven für die elektronische Signatur (2001) weiter Referenzwerk Seite 7

8 Technlogiekompetenz ein Besipiel Side-Channel Analyse Aktuelle Standard-Algorithmen gut analysiert Schwächen meist aus Umsetzung Zu SPA / DPA / DFA international bekannt EC double & add DPA Seite 8

9 Unterstützung E-Government und Bürgerkarte Security Kapsel Bürgekarte Referenzumgebung der Bürgerkartenschnittstelle Mail-Test Service Referenztest -Kompatibilität Ursprünglich für Einsatz signierter Mails in Behörden, weiterhin laufend Anfragen international SSL Strategie Sicherheitsstufen Referenzumsetzung Bürgerkartenauswahl Seite 9

10 Nach fünf Jahren breit bekannt und genutzt Unterstützung von Behörden Datenschutz: z.b. PUSH-Vorschlag Passagierdaten BMG: Firewall-Screening Hauptverband: e-card BKA: Mitarbeit am Umbrella E-Government ABC BKA: Sicherheitsanalyse Blackberry EU Projekt OISIN IT-Beweissicherung für Ermittler Seite 10

11 Sicherheitshandbuch und mehr Überarbeitung Österr. Sicherheitshandbuch Version 2.2 mit XML-Struktur und Checklisten Sicherheitshandbuch WKÖ Auf Basis der XML-Version Spezifikation elektronische Vollmachten Security Health Check Wassenaar Agreement Analyse technische Infrastruktur Gutachten Lotto-Terminal Seite 11

12 Tools und Services CCE-Tool Verschlüsselung mit Bürgerkarte IFIP CMS 2006 Veranstaltung einer wissenschaftlichen Konferenz mit ENISA in Kreta ehealth Verzeichnisdienst Zusammenarbeit mit BMG ELAK-EXT Remote-Zugang für Behörden zu elektronsichem Akt Seite 12

13 SHA-1 in danger? Krypto-Analyse SHA-1 Beginn der Arbeiten bereits ~2002 (V. Rijmen) International Aufsehen erregende wissenschaftliche Veröffentlichungen 2006/2007 Verteilte Kollissions-Suche ab 2007 Seite 13

14 In jüngster Vergangenheit Bürgerkarten-Forum Projekt egov-bus SOA im Cross-Border E-Government STORK, STePS und ELSA Studie ECC in Standardanwendungen Gutachten E-Voting ÖH-Wahl Einige Tools Zertifikatsstatus, OCSP Abfragen Allg. Signaturprüfung, Dienst jetzt bei RTR Seite 14

15 FOKUSBEISPIEL eid österreichische Kompetenz in Blickrichtung ELSA ID 2.0 Im Netz ID Dokumente NATÜRL. PERSON Biometrie GOVERNMENT Dokumente Register PRIVATE SECTOR ID ID FOCUS GROUP GOVERNMENT OFFICIALS FOCUS GROUP COMPANIES JURIST. PERSON CLAIMS Approval ID MANDATE SERVICES IN THE FUTURE INTERNET Approval

16 FOKUSBEISPIEL eid BIOMETRIE PERSON PHYSISCHE KONTROLLE ID 2.0 DINGE RFID CLOUD COMPUTING SERVICES SOFTWARE AS SERVICE

17 NATIONALE LEUCHTTURMAKTIVITÄT - VORSCHLAG JURISDICTIONS TECHNOLOGY APPLICATIONS INTEROPERABILITY JURISDICTIONS PROCESSES DEPLOYMENT ACCOUNTABILITY ID 2.0 for ELSA

18 FUTURE INTERNET importance for governments for businesses THE OBAMA CASE SHOWS IMPORTANCE? OPINIONS OF GROUPS FAIRNESS INCLUSIVENESS EVOLUTION OVER TIME REPRESENTATIVITY W the web of services service on demand security on demand compliance on demand servi ce elem ent servi ce elem ent E W N S towards a new innovation cycle? Simple Tag Cloning Extreme Low Power Encryption servi ce elem ent THE CLOUD EU East EU the net opinion user + service ontologies the assumption of the past is not sustainable est PRIVACY SECURITY IMPACT AND FEEDBACK the internet of brains Crypto to RFID the internet of things

19 SERVICES IN THE NET GESETZ SEMANTIK, REGELN SPRACHE TEXTE Generische Interaktionsmaschine Basis: Ontologien USER SERVICE BROWSER USER CYCLE GESETZ SERVICE DIALOG UND ERGEBNIS SEMANTIK, REGELN SPRACHE TEXTE unabhängig vom Verfahren unabhängig von der Sprache spiegelt meine Verwaltungserfahrung Future of European E-Services? ID 2.0 esig edoc

20 Zukünftige Services benötigen integrierte Sicherheit CONTENT SYNDIZIERUNG SPRACH SYNDIZIERUNG PROZESS SYNDIZIERUNG eid, edoc, Sicherheit und Signatur spielen zentrale Rolle ONTOLOGY IDENTITY SERVICE 20

21 DER GESAMTE ZYKLUS GESETZE SEMANTIK, REGELN REGELTEILE IN TEXTFORM SPRACHE TEXTE Vollständigkeit Konsistenz Einheitliche Definitionen Instant Services Bis dahin E-Gov Kompatibilitätsprüfung

22 10 Jahre A-SIT heißt In Zahlen ausgedrückt Einzelprojekte Bestätigungen/Gutachten zu Signatur / E-Voting Bescheinigungen nach SigG/SigV Projekte zur Zahlungssystemaufsicht OeNB oder zusammengefasst: 10 Jahre Kompetenz Informationssicherheit Seite 22

23 SMALL IS BEAUTIFUL? BSI NSA SCSS I IBS EINBETTUNG AMT / ZIVIL / WIRTSCHAFT EFFIZIENZ GRÖSSE BÜROKRATIE FLEXIBILITÄT OPERATIV / FORSCHUNG / PROJEKTE A-SIT 2020

24 SECURITY KNOW-HOW FÜR DIE VERWALTUNG A-SIT ist kein operativer Körper und daher besonders geeignet know-how zu kommunizieren zur Stärkung der Konkurrenzfähigkeit der österreichischen Sicherheitsszene (z.b. Signaturprüfung BRZ,RTR) zur Umsetzung von proof of concept (z.b. Amtssignatur BRZ) zur Stärkung der kritischen Infrastrukturen (z.b. CERT BSI A-CERT, Notfall-Konzepte) zur Erkundung und zum Pilotieren von neuen Konzepten (z.b. neue Signaturkonzepte)

25 Danke für Ihre Aufmerksamkeit! Zentrum für sichere Inofrmationstechnologie - Austria