Flexibilität und Agilität

Transkript

1 Das Kundenmagazin Ausgabe 2/2015 Flexibilität und Agilität... als Erfolgsfaktoren für die nationale und öffentliche Sicherheit Michael Hange Interview mit dem scheidenden BSI-Präsidenten (im Bild) SINA SOLID Patentierte und prämierte Sicherheit mit der TU Ilmenau Smart Borders Interview mit Fares Rahmun vom BVA über Herausforderungen zukünftiger Grenzkontrollprozesse

2 Inhalt 30 Die Achillesfersen der Industriesteueranlagen secunet setzt in der neuen Awareness-Veranstaltung, auch Prozessnetz-Hacking genannt, erstmals den Fokus auf die Sicherheit in Industriesteueranlagen. National 04 Interview mit Michael Hange 06 Das IT-Sicherheitsgesetz in der Praxis 08 Wenn die JAVA-Bibliothek nicht mehr ausreicht 9 Für ein optimiertes Reiseerlebnis und erhöhte Sicherheit Interview mit Daniel Bachenheimer, internationaler Experte und Technischer Direktor der Accenture Border and Identity Management Industry Group. International 09 Für ein optimiertes Reiseerlebnis und erhöhte Sicherheit 13 Flughafen Prag baut EasyGO weiter aus 14 Smart Borders-Tests in der EU 16 eid PKI Suite nach Common Criteria zertifiziert 17 Drei Fragen zum norwegischen PKI-Projekt an John Kristian Thoresen Wissenschaft 18 secunet unterstützt Marktgang der finally safe GmbH 22 SINA SOLID prämiert und patentiert für VPN-Vernetzung Technologien & Lösungen 26 Die SINA L3 Box S wird noch schneller 26 Ein schönes Paar 28 Zeit ist kostbar 30 Die Achillesfersen der Industriesteueranlagen 32 Awareness räumt Stolpersteine im ISMS aus dem Weg 34 Angriff auf die Autos von morgen Kurz notiert 27 Übergabe SINA Tablet 27 it-sa Start frei für die secunet wall 5.1 Termine 12 Aktuelle Veranstaltungen 2 secuview 2/2015

3 Editorial Gleich vorab möchte ich mich bei Michael Hange dafür bedanken, dass er uns eines seiner vielleicht letzten Interviews während seiner Amtszeit als BSI-Präsident gewährt hat. Seit Anfang der 90er Jahre schätzen wir die vertrauensvolle Zusammenarbeit mit Michael Hange in verschiedenen Positionen beim BSI. Zum Jahresende wird er in seinen wohlverdienten Ruhestand gehen. Wir wünschen Ihnen, Herrn Hange, und Ihrem 1. FC Köln nur das Beste für den neuen Lebensabschnitt und sagen Danke für Ihr großes Engagement für die IT-Sicherheit. Wir freuen uns auf die Zusammenarbeit mit der neuen Amtsleitung und vielen Experten des BSI in Besonders das vergangene Jahr war, wie es Herr Hange im Interview beschreibt, geprägt von IT- Sicherheitsvorfällen, die teils über das normale Grundrauschen weit hinausgingen. Ja, wir werden uns auf eine immer weiter fortschreitende Qualität der Angriffe einstellen müssen. Flexibilität und Agilität sind hier sowohl von Ihnen als auch von uns als Sicherheitsdienstleister gefragt und für sämtliche IT-Sicherheitsprodukte von grundlegender Bedeutung. zu suchen nur so können innovative Lösungen wie beispielsweise SINA SOLID entstehen, die aus einer intensiven Forschungskooperation mit der Technischen Universität in Ilmenau hervorging. Aus diesem Grund freuen wir uns auch, gemeinsam mit dem Institut für Internet-Sicherheit if(is) eine neue Produktlösung zur Netzwerkabsicherung auf den Markt zu bringen: spotuation. Dafür wurde die finally safe GmbH gegründet, an der secunet eine Minderheitsbeteiligung hält. Mit der zunehmenden digitalen Durchdringung unseres Lebens wird IT-Sicherheit immer mehr zu einem zentralen Baustein nicht zuletzt auch für die innere und öffentliche Sicherheit. Smart Borders und sichere Grenzkontrollen sind hier große Schlagworte, die besonders durch die Geschehnisse in diesem Jahr eine ganz neue Aufmerksamkeit erfahren. Zum Jahresende wünsche ich Ihnen nun viel Spaß bei der Lektüre und ein besinnliches Weihnachtsfest. Kommen Sie gut ins neue Jahr! Umso wichtiger ist es, bei der Entwicklung von IT- Sicherheitsprodukten und -maßnahmen den engen Schulterschluss zu Wissenschaft und Forschung Ihr Dr. Rainer Baumgart secuview 2/2015 3

4 National Das IT-Sicherheitsgesetz ist ein Meilenstein für die IT-Sicherheit Interview mit Michael Hange, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Im Interview: Michael Hange ist seit dem 16. Oktober 2009 Präsident des BSI und wird zum Jahresende in den Ruhestand gehen. Zuvor bekleidete er 15 Jahre lang die Position des Vizepräsidenten. Er war seit 1977 in der Bundesverwaltung auf dem Gebiet der IT-Sicherheit tätig und seit der Gründung 1991 beim BSI. Herr Hange, was war für Sie 2015 das herausragende Ereignis in Sachen IT-Sicherheit? Hange: 2015 war zum einen geprägt von IT-Sicherheitsvorfällen, die teils über das normale Grundrauschen weit hinausgingen: Die APT-Angriffe auf den Deutschen Bundestag und auf den französischen Fernsehsender TV5MONDE oder die DDoS-Attacken auf die Webseiten der Bundeskanzlerin oder des Auswärtigen Amts fanden insbesondere medial eine große Aufmerksamkeit. Mit dieser qualitativen Entwicklung müssen wir uns technisch, aber auch gesellschaftlich auseinandersetzen. In führenden NATO-Staaten wird die Bedrohung durch Cyber- Angriffe als eine der größten Bedrohungen ihrer nationalen und öffentlichen Sicherheit angesehen. Diese Diskussion ist in Deutschland bislang noch nicht geführt worden. Zum anderen ist 2015 die Verabschiedung des IT- Sicherheitsgesetzes hervorzuheben. Es ist ein Meilenstein für die IT-Sicherheit, weil erstmals gesetzlich das Ziel formuliert wurde, gemeinsam mit den Betreibern den Schutz Kritischer Infrastrukturen zu verbessern. Es trägt damit der zunehmenden Bedrohung durch Cyber-Angriffe Rechnung und ermöglicht durch mehr Lageinformationen aus der Wirtschaft, neue Strategien der Abwehr zu entwickeln auch zum Schutz der Bürgerinnen und Bürger. Nach 24 Jahren verabschieden Sie sich zum Ende dieses Jahres vom BSI und gehen in den Ruhestand. Wie fällt Ihr persönliches Resümee aus? Hange: Was das BSI betrifft, so ist das Amt an und mit den Herausforderungen gewachsen. Dabei waren das hohe fachliche Engagement der Mitarbeiterinnen und Mitarbeiter für das Thema IT-Sicherheit sowie die Zusammenarbeit mit ihnen für mich ein Gewinn. Mein Ziel war und ist, dass das BSI als 4 secuview 2/2015

5 National kompetenter IT-Sicherheitspartner wahrgenommen wird. Ich denke, dies ist uns trotz oder gerade wegen des innovativen und dynamischen Charakters des Themas IT-Sicherheit gut gelungen. Diese Flexibilität und Agilität werden wir uns auch in Zukunft erhalten müssen, insbesondere vor dem Hintergrund der Digitalisierung. Den damit verbundenen Herausforderungen für die IT-Sicherheit stellt sich das BSI nicht allein, sondern es setzt auch in Zukunft auf Kooperation, vor allem mit Unternehmen der innovativen und leistungsfähigen deutschen IT-Sicherheitsbranche. Einige richtungsweisende Projekte haben wir beispielsweise gemeinsam mit secunet umgesetzt, etwa die Entwicklung und den Rollout der SINA Technologie, die sich in der Bundesverwaltung, aber auch darüber hinaus als verlässlicher Sicherheitsanker erwiesen hat. Wenn Sie sich zu Ihrer Verabschiedung etwas wünschen könnten, was wäre das? Hange: Ich würde mir die Einrichtung eines staatlichen IT-Sicherheitsfonds zur Förderung von IT- Sicherheitsprodukten und -dienstleistungen wünschen, der der IT-Sicherheit im globalen IT-Markt Flankenschutz gibt. Dies ließe sich auch mit einem hohen Nutzen für Staat und Wirtschaft im In- und Ausland gestalten. Zudem wünsche ich mir, dass das Vertrauen erhalten bleibt, das das BSI meiner Flexibilität und Agilität werden wir uns auch in Zukunft erhalten müssen, insbesondere vor dem Hintergrund der Digitalisierung. Auffassung nach in weiten Teilen der Wirtschaft und bei den Bürgerinnen und Bürgern genießt. Apropos Vertrauen: Als Fußballfan wird das Vertrauen in den eigenen Club manches Wochenende auf eine harte Probe gestellt. Was meinen Sie: Wo wird der 1. FC Köln am Saisonende stehen? Hange: Anhänger des 1. FC Köln zu sein erforderte in den letzten Jahren in dem Auf und Ab im wahrsten Sinne des Wortes Leidenschaft. In dieser Saison scheint es jedoch gut zu laufen, die Mannschaft ist aus meiner Sicht absolut im Soll. Entgegen der Euphorie, die in früheren Zeiten beim FC oft nach zwei oder drei Siegen ausbrach, trägt das unmittelbare Umfeld der Mannschaft heute viel dazu bei, dass die Erwartungen realistisch bleiben. Als Rheinländer bin ich Optimist und sehe einen einstelligen Tabellenplatz am Ende der Saison als realistisches Ziel an. n secuview 2/2015 5

6 Das IT-Sicherheitsgesetz in der Praxis Das Gesetz der Bundesregierung zur Erhöhung der Sicherheit informationstechnischer Systeme ist seit dem 24. Juli 2015 in Kraft. Was müssen Betreiber Kritischer Infrastrukturen nun tatsächlich zur Umsetzung des IT-Sicherheitsgesetzes (IT-SiG) tun? Noch gibt es keine detaillierten Vorgaben: Die Rechtsverordnungen zur Konkretisierung der Forderungen stehen noch aus. 6 secuview 2/2015

7 National Darüber hinaus wird die Antwort aufgrund verschiedener gesetzlicher Ausgangssituationen je nach Branche unterschiedlich ausfallen. Die Bundesnetzagentur schreibt in Bezug auf Informationssicherheit im Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) schon seit Jahren Anforderungen an bestimmte Infrastrukturen und Dienste im KRITIS-Sektor IKT vor. Im KRITIS-Sektor Energie sind derartige Anforderungen an die Informationssicherheit durch das Energiewirtschaftsgesetz (EnWG) und den damit verabschiedeten IT-Sicherheitskatalog der Bundesnetzagentur definiert. Weitere branchenspezifische Sicherheitsstandards samt Umsetzungsfristen werden folgen. Dennoch sollten die Branchen sich schon jetzt mit den ersten Schritten der Implementierung von mehr IT-Sicherheit auseinandersetzen es werden Fristen einzuhalten sein, die zwar zunächst großzügig erscheinen, aber bei näherer Betrachtung durchaus spannend werden können: So sind im Bereich der Energiewirtschaft etwas mehr als zwei Jahre zur Umsetzung und zum Nachweis des IT-Sicherheitskatalogs angesetzt. Doch eine Umfrage der VKU ergab, dass ca. 50 % der befragten Organisationen nach eigenen Angaben zwischen zwei und drei Jahre oder sogar noch mehr Zeit für den Aufbau eines Informationssicherheitsmanagementsystems (ISMS) benötigen. Auch wenn klare Detailvorgaben zur Erfüllung noch fehlen fest steht, dass vom IT-SiG auf jeden Fall ein ISMS gefordert wird. Warten Sie also nicht länger, legen Sie schon mal los! EGLV gutes Beispiel macht Schule In einem abgestimmten Geltungsbereich und mit Fokus auf die Bereiche der Automatisierungs- und Prozessleittechnik wurden bei Emschergenossenschaft und Lippeverband (EGLV) zahlreiche Sicherheitsanalysen durchgeführt. Auf den Ergebnissen aufbauend wurden durch secunet bewährte Sicherheitsmaßnahmen nach Best Practice modifiziert und notwendige ergänzende Maßnahmen definiert. Dabei bildeten die branchenspezifischen Anforderungen und Empfehlungen für die Energie- und Wasserwirtschaft einen festen Rahmen. Warum jetzt warten und später in Zeitnot geraten? Das Beispiel zeigt, dass auch Sie schon heute risikolos mit der Umsetzung des ISMS starten und in Ruhe die geforderte Basis für mehr IT-Sicherheit und damit die Umsetzung des IT-SiG schaffen können so dass Sie sich dann auf die branchenspezifischen Sicherheitsstandards konzentrieren können, wenn sie kommen. n Mehr Informationen: Alexander Schlensog alexander.schlensog@secunet.com secuview 2/2015 7

8 National Wenn die JAVA-Bibliothek nicht mehr ausreicht Jeder kennt Kryptographie durch die SSL-Verschlüsselung in seinem Browser. Die Implementierung einer solchen Verschlüsselung, wie sie in vielen Projekten der Division KRITIS umgesetzt wird, ist einfach, nicht zeitkritisch und unproblematisch. Doch es gibt Situationen, in denen eine Verschlüsselung in dieser Form nicht in Frage kommt. So zum Beispiel in einem aktuellen Projekt, bei dem in einem verteilten bildgebenden Realtime-System die Echtheit und Unversehrtheit der Bilder bei der Übertragung gewährleistet werden muss. Dies erfordert eine Verschlüsselung in Bruchteilen von Sekunden, was eine asymmetrische Verschlüsselung ausschließt. Symmetrische Verschlüsselung bietet die notwendige Performance, eine Softwarerealisierung kommt aber aufgrund der hohen Sicherheitsanforderungen im Projekt nicht in Frage. Hier bietet ein sogenanntes Hardware Security Modul (HSM) die Lösung: Als internes oder externes Peripheriegerät kann es sowohl die hohen Performance- als auch die hohen Sicherheitsanforderungen erfüllen. Einsatz hardwarebasierter Kryptomodule ein Fall für die Sicherheitsarchitekten Das Team der secunet Division KRITIS besteht aus Spezialisten, die mit ihrem Know-how aus vielen Projekten die Entwicklung der kundenspezifischen Sicherheitsmodule des HSMs hardwarenah in der Programmiersprache C umsetzen. Übliche Programmiersprachen wie JAVA haben hier keinen Platz. Die Experten gewährleisten im Rahmen von sicheren Programmiermethoden, dass diese Module den Anforderungen des Kunden an Stabilität und Sicherheit genügen. Dabei berücksichtigen sie die Sicherheitsarchitektur des Gesamtsystems und der zugehörigen Prozesse. Die Schaffung einer solchen sicheren Gesamtarchitektur des Systems ist das eigentliche Kunstwerk beim Einsatz des HSMs. Somit sind die übertragenen Bilder vor softwareseitigen Angriffen geschützt. Physikalischen Angriffen begegnet das HSM durch Löschung aller sensiblen Daten inklusive der symmetrischen Schlüssel. Damit wird das System des Kunden durchgängig abgesichert. n Mehr Informationen: Torsten Redlich torsten.redlich@secunet.com 8 secuview 2/2015

9 International Für ein optimiertes Reiseerlebnis und erhöhte Sicherheit Interview mit Daniel Bachenheimer, internationaler Experte und Technischer Direktor der Accenture Border and Identity Management Industry Group. Könnten Sie uns bitte kurz den Aufbau von US-VISIT darlegen und die Rolle beschreiben, die Accenture bei diesem Programm spielte und wahrscheinlich noch immer spielt? Bachenheimer: Das Programm United States Visitor & Immigrant Status Indicator Technology (US-VISIT) startete, kurz nachdem im Juni 2002 das DHS Department of Homeland Security als Folge der Angriffe vom 11. September 2001 gegründet worden war. Im Juni 2004 wurde Accenture als Hauptintegrator für US-VISIT ausgewählt mit einem Vertrag von bis zu zehn Jahren Laufzeit und einem Auftragsvolumen von knapp zehn Milliarden US-Dollar. Anfangs erstellte und lieferte Accenture den strategischen Plan für US-VISIT, in dem dargelegt wurde, wie die US-amerikanische Regierung in den folgenden zehn Jahren die Themen Zu-/Einwanderung sowie Grenzsicherheit managen könnte. Danach wurde ein Programmkonzept entwickelt, das als Dreijahres- Leitfaden für den Planungsaufwand diente und die Maßnahmen auf messbare Ergebnisse ausrichtete. Das von Accenture geleitete Team unterstützte dann die technologische Ausrichtung für US-VISIT und entwickelte die grundlegende serviceorientierte Architektur (SOA). Verschiedene Pilotprojekte an Flug- und Seehäfen sowie Landgrenzen wurden Im Interview: Daniel Bachenheimer ist Technischer Direktor der Accenture Border and Identity Management Industry Group. Er ist ausgebildeter Elektroingenieur, leitet Accentures Unique Identity Services und entwickelt und liefert seit mehr als 25 Jahren Lösungen für Behörden. In den letzten 15 Jahren hat sich Daniel Bachenheimer auf Lösungen für das Grenz- und Identitätsmanagement fokussiert. von uns aufgesetzt. Dabei wendeten wir multimodale Anpassungsfunktionen an, modernisierten das Transaktionsmanagement und lieferten NIEM-konforme Identitätsdienste für verschiedene Instanzen rund um den Globus. Dabei wurde die bis dato größte biometrische Datenbank der Welt (IDENT) betrieben und gepflegt. Vor Kurzem hat Accenture seinen Support für das US-VISIT-Programm beendet, das nun als Homeland >>> secuview 2/2015 9

10 International Advanced Recognition Technology (HART) in der Verantwortung des Office of Biometric Identity Management (OBIM) liegt. In den kommenden Monaten wird eine Ausschreibung für die Modernisierung von HART erwartet. von Grenzbeamten überwacht, die sich bei Bedarf über die automatisierten Entscheidungen hinwegsetzen können. Es finden jedoch keine Befragungen durch einen Beamten der Einwanderungsbehörde statt. Betrachtet man die Grenzkontrollsysteme in den USA und in Europa, stellt man fest, dass sich diese ziemlich stark unterscheiden. Was sind die Hauptgründe dafür? Bachenheimer: Meiner Meinung nach lässt sich der vorrangige Unterschied bei den Grenzkontrollsystemen in den USA und in Europa auf politische Unterschiede zurückführen. So heißt es beispielsweise im US-amerikanischen Gesetz Der Antrag auf rechtmäßige Einreise in die USA ist persönlich an einen Grenzbeamten einer US-amerikanischen Einreisestelle zu richten *. Das bedeutet, die Einbindung automatisierter Grenzkontrollsysteme (ABC Automated Border Clearance) in den Einreiseprozess würde eine Gesetzesänderung erfordern. Dies war auch bei Global Entry der Fall, einem alternativen Grenzkontrollverfahren für vorab genehmigte und überprüfte Reisende. Verschiedene EU-Mitgliedstaaten haben die automatisierte Grenzkontrolle für epass-inhaber oberhalb einer festgelegten Altersgrenze (in der Regel 18 Jahre) eingeführt, um den Ein- und Ausreiseprozess für Bürger der EU (und einiger anderer Staaten) zu automatisieren. Der Prozess wird typischerweise Ein weiterer Unterschied betrifft die erhobenen Informationen, und zwar deren Nutzung und Aufbewahrungsdauer. Drittstaatsangehörige, darunter auch Bürger aus von der Visumspflicht ausgenommenen Ländern, die in die USA einreisen wollen, müssen biometrische Informationen zur Verfügung stellen, die über längere Zeiträume hinweg aufbewahrt und für Einreise und Gesetzesvollstreckung genutzt werden. In Europa gibt es keine äquivalenten Prozesse oder Systeme für Drittstaatsangehörige aus von der Visumspflicht ausgenommenen Ländern. Allerdings existiert ein ähnlicher Prozess für Visumsinhaber. Hier wird bei der Einreise eine biometrische Identitätsprüfung vorgenommen die biometrische Überprüfung bei der Ausreise ist bereits in Vorbereitung. Wie beurteilen Sie die Smart Borders-Initiative der EU? Bachenheimer: Die Smart Borders-Initiative der EU, wie im Gesetzesentwurf für Ein-/Ausreisesysteme vorgesehen, konzentriert sich in erster Linie auf die Ermittlung von Überschreitungen der Aufenthaltsdauer bei Drittstaatsangehörigen sowohl von der Visumspflicht befreiten Reisenden als auch von Visumsinhabern. Die Suche nach 10 secuview 2/2015

11 International Ein- und Ausreisestempeln zur Feststellung, ob ein Drittstaatsangehöriger bereits mehr als 90 Tage des 180-tägigen Zeitraums absolviert hat, ist zu umständlich, als dass sie mit gewisser Regelmäßigkeit durchgeführt wird. Deshalb bleiben Überschreitungen der Aufenthaltsdauer häufig unentdeckt. Klar ist, dass die EU durch biometrische Überprüfungen nicht nur besser sicherstellen kann, dass der autorisierte Dokumenteninhaber die Grenze überquert hat und nicht nur das Reisedokument, sondern vor allem Ein- und Ausreisevorgänge zuverlässiger protokolliert, die Aufenthaltsdauer schneller berechnet und Überschreitungen der Aufenthaltsdauer schließlich gemeldet werden können. Angesichts der Ermittlung von Überschreitungen der Aufenthaltsdauer ist es interessant, dass der Gesetzesentwurf Strafverfolgungsmethoden in den ersten zwei Betriebsjahren ausdrücklich ausschließt, und in meinen Augen liegen die größten Unbekannten darin, welche biometrischen Identifikatoren erhoben und wie lange diese aufbewahrt werden müssen. Sollten die Gesetzgeber die Erhebung verschiedener, zur Deduplikation ausreichender Fingerabdrücke, Gesichts- und Irisbilder bei der erstmaligen Grenzüberschreitung sowie eine rationalisierte biometrische Überprüfung (angepasst an die spezifische Flughafen- bzw. Seehafen- oder Bodengrenzumgebung) bei allen nachfolgenden Grenzüberschreitungen ermöglichen, wird der Aufwand der biometrischen Verarbeitungsprozesse bei der Ein- und Ausreise aller Drittstaatsangehörigen deutlich verringert. Die vorgeschlagene Aufbewahrungsfrist von sechs Monaten würde häufigere Neuregistrierungen von relativ viel reisenden Personen erfordern. Dies würde durch die für das optionale Registered Traveler Program (RTP) vorgeschlagene fünfjährige >>> Smart Borders: Pilotprojekt der EU-Kommission Das Smart Borders Programm ist eine Initiative der EU-Kommission, die zum Ziel hat effizientere Ein- und Ausreisen für Nicht-EU-Bürger zu ermöglichen. Ab 2020 werden die Schengen-Außengrenzen mit einem Entry/Exit System (EES) intelligent. Verbesserte Kontrollabläufe sollen dabei Sicherheit und Komfort erhöhen. Zudem können Vielreisende mit dem geplanten Registered Traveler Program (RTP) schneller die Grenze passieren die aufwändigen Einreisebefragungen entfallen für sie. Innerhalb des Pilotprojekts in Deutschland werden nicht nur wie in anderen am Piloten teilnehmenden Mitgliedstaaten neue Geräte für die Aufnahme von biometrischen Daten der Reisenden während der Grenzkontrolle getestet, sondern insbesondere alle veränderten Prozesse und deren Auswirkungen auf den gesamten Grenzkontrollverlauf untersucht. Deutschland ist hierbei der einzige Mitgliedstaat, welcher die EES-spezifischen Kontrollprozesse vollständig Ende zu Ende erprobt und den Einfluss auf den geplanten Grenzkontrollprozess evaluiert (siehe auch Seite 15). secunet begleitet das Projekt während der gesamten Aufbau- und Durchführungsphase, konzeptioniert und betreut die Prozesse, wertet die Ergebnisse aus und liefert moderne Grenzkontrolltechnik. Die secunet Experten können dabei auf die Erfahrungen aus zahlreichen großen Biometrie- und Grenzkontrollprojekten zurückgreifen, die sie im In- und Ausland in den vergangenen Jahren durchgeführt haben. secuview 2/

12 International Aufbewahrungsfrist gemildert werden. Unter der Voraussetzung, dass der RTP Registrierungsprozess einfach gestaltet wird, wären die negativen Auswirkungen minimal. Die automatisierte Grenzkontrolle spielt eine wichtige Rolle bei der Smart Borders-Initiative der EU was halten die USA von ABC? Bachenheimer: Wie bereits erwähnt, unterbinden ABCs die für die meisten Reisenden gesetzlich vorgeschriebene, persönliche Befragung durch einen Beamten der Einwanderungsbehörde. Und obwohl die meisten ABCs den Beamten die Möglichkeit geben, die Vorgänge zu beaufsichtigen und bei Bedarf einzugreifen, sind viele Beamte der Einwanderungsbehörde, mit denen ich gesprochen habe, der Ansicht, dass sich dieses Vorgehen nicht aus der Ferne steuern lässt. Diese Meinung vertreten übrigens nicht nur Beamte der US-amerikanischen Einwanderungsbehörde, vielmehr zählt dies zu den Hauptgründen, warum der Einsatz der ABCs in einigen Ländern beschränkt wurde. In den USA breiten sich Lösungen zur Automated Passport Control (APC automatisierte Passkontrolle) und Mobile Passport Control (MPC mobile Passkontrolle) rasch aus, insbesondere erstere. Mit Hilfe von APCs kann ein Großteil der Personen, die in die USA einreisen möchten, die Einreiseinformationen selbstständig registrieren, so dass sich der Beamte der Einwanderungsbehörde dann bei der Befragung einzig darauf und nicht zusätzlich auf die Datenerfassung konzentrieren muss. Die Gesamtdauer der Grenzkontrolle kann dadurch um rund ein Drittel verkürzt werden. Ich bin der Meinung, dass wir einen verstärkten Informationsaustausch zwischen Grenzkontrollbehörden und Privatsektor erleben werden um das Reiseerlebnis zu optimieren und die Sicherheit zu erhöhen. n * Freie Übersetzung aus international-visitors/applying-admission-united-states Termine Januar bis Juni 18. Jan Jan Febr Febr Febr Febr. 04. März März März März März 03. April April April Mai Mai Juni Juni Juni 2016 Termine folgen Haben Sie hierzu Fragen oder möchten Sie sich anmelden? Schicken Sie uns gern eine an events@secunet.com.» ELSTER dialog / Hannover» Informationstag Wasser IT-Sicherheit für Wasser- und Abwasserunternehmen / Mainz» RemoteServiceForum Connected Service World / Karlsruhe» E-world energy & water / Essen» Mobile World Congress / Barcelona, Spanien» RSA Conference / San Francisco, USA» 49. Essener Tagung für Wasser- und Abfallwirtschaft / Essen» CeBIT / Hannover» Passenger Terminal Expo / Köln» FIDAE / Santiago de Chile, Chile» Workshop IT Security on Board / München» AFCEA-Fachausstellung / Bonn» Security Document World / London, UK» Hauptversammlung secunet / Essen» NITEC / Tallinn, Estland» DuD Datenschutz und Datensicherheit / Berlin» Zukunftskongress Staat & Verwaltung / Berlin» SINA Anwendertag / Berlin und Bonn 12 secuview 2/2015

13 International Flughafen Prag baut EasyGO weiter aus Die tschechische Grenzpolizei baut das Projekt EasyGO am Prager Flughafen Václav Havel um weitere zehn egates aus. Nach erfolgreicher Umsetzung der ersten automatisierten Grenzkontrollschleusen seit Ende 2011 gewann secunet gemeinsam mit dem tschechischen Partner Vitkovice IT Solutions a.s. (VITSOL) erneut den Folgeauftrag. Die tschechische Grenzpolizei setzte mit ihrer Entscheidung auf ein erprobtes System. Die Grenzkontrolllösung des Projektes EasyGO, 2012 bereits als IT-Projekt des Jahres ausgezeichnet, wird auch zukünftig die Schengen-Außengrenzen sichern. Seit dem Sommer dieses Jahres stehen zusätzliche sechs egates im Ankunftsbereich und weitere vier im Abflugbereich des Flughafens Prag für Passagiere bereit. secunet lieferte dabei nicht nur die schlüsselfertigen easygates, sondern die gesamte Infrastruktur einschließlich Terminal Control Center, bioserver und der Wartung des laufenden Betriebs für die nächsten Jahre. Der Prager Flughafen registriert bereits seit einigen Jahren stark wachsende Passagierzahlen. Die Stadt ist weltweit beliebt bei Touristen ebenso wie bei Geschäftsleuten. Wir setzen mit der Lösung von VITSOL / secunet ein bewährtes System fort und möchten unseren internationalen Gästen modernste Technik und hohe Sicherheit bieten können. Wir lehnen uns gern an die deutsche Grenzkontrolllösung EasyPASS an, die mit vier Millionen Passagierdurchgängen bis Juli 2015 überzeugt hat, berichtet Petr Malovec, Leiter des nationalen Zentrums für Grenzsituationen bei der tschechischen Grenzpolizei. Im vergangenen Jahr konnte secunet bereits mit dem Konsortialpartner Bundesdruckerei die Grenzkontrolllösung der großen deutschen Flughäfen für die Bundespolizei mit EasyPASS realisieren. Dr. Rainer Baumgart bewertet die erneute Beauftragung in Tschechien so: Die Erfahrungen aus vielen Projekten und der Zusammenarbeit mit hervorragenden Partnern fließen in die stetige Weiterentwicklung unserer Produkte ein. Dies ist ein wichtiger Erfolgsfaktor, der uns auch international hohe Anerkennung verschafft, so auch erst kürzlich bei einem Pilotprojekt am Flughafen Mailand Malpensa. n Mehr Informationen: Oliver Jahnke oliver.jahnke@secunet.com secuview 2/

14 International Smart Borders-Tests in der EU Deutsches Pilotprojekt mit viel Weitblick und Sensibilität. Die kontinuierlich steigende Zahl an Reisenden stellt Grenzkontrollprozesse vor große Herausforderungen. Im Interview: Fares Rahmun ist seit zehn Jahren beim Bundesverwaltungsamt (BVA) als IT- Projektleiter für behördliche IT-Lösungen beschäftigt und verantwortet in dieser Funktion die technische Integration des europäischen Visa-Informationssystems (VIS) in Deutschland. Er führte etliche nationale und europäische Pilotprojekte durch und ist Mitglied zahlreicher Expertengruppen im Umfeld Biometrie, Visa und Grenzkontrolle. Aktuell ist Fares Rahmun auch der technische Projektleiter für die Smart Borders-Initiative der EU beim BVA. Herr Rahmun, welche Bedeutung hat die Smart Borders Initiative für die Grenzkontrollsysteme in Europa? Rahmun: Smart Borders adressiert verschiedene Herausforderungen, mit denen heutzutage die für die Grenzkontrolle zuständigen Behörden in Europa konfrontiert sind. Diese Herausforderungen sind z. B. eine verlässliche Identifizierung der Reisenden unabhängig von den bei sich geführten Ausweispapieren, ein möglicher Austausch des Pass-Reisestempels durch einen elektronischen Stempel und damit verbunden eine Vereinfachung der Kontrolle der Aufenthaltsdauer sowie grundsätzlich die Erhöhung der Durchsatzzahlen durch die weitgehende Automatisierung des Grenzprozesses. Dabei werden die Grenzkontroll- beamten letztendlich immer die einzige und letzte Entscheidungsinstanz bei einem Grenzübertritt sein. Eine notwendige Aufgabe für die Zukunft wird darin bestehen, die Beamten mit weiteren technischen Hilfsmitteln bei dieser Aufgabe zu unterstützen, so dass die Qualität der eigentlichen Grenzkontrolle gewährleistet und idealerweise verbessert werden kann. Welche Gemeinsamkeiten, aber auch welche Unterschiede gibt es zwischen Smart Borders und US-VISIT? Rahmun: Die US-Behörden haben bei der Einführung ihres Ansatzes eine entsprechende Lernkurve durchlaufen, die wir hier in Europa berücksichtigen 14 secuview 2/2015

15 International sollten. Gerade aus diesem Grund war es Deutschland wichtig, einen sehr umfassenden Blick auf das Verfahren zu werfen, um möglichst viele relevante Aspekte in der kommenden Entwicklung mitgestalten zu können. In den USA hat man sich bei der Registrierung der Reisenden recht früh auf die Verwendung insbesondere von Fingerabdrücken festgelegt. Bei Smart Borders werden dagegen auch Alternativen diskutiert. Weiter wird in Europa auch das Thema Datenschutz dezidiert betrachtet, was Aspekte wie Menge der erfassten Daten, Dauer der Datenspeicherung, entstehende Datenqualität und -pflege sowie möglichen Datenzugriff angeht. Auch hier fließen Erkenntnisse des Piloten mit ein. Deutschland hat sich als EU-Mitglied am Smart Biometrischen Verfahren sind das Kernelement zur verlässlichen Identifizierung der Reisenden für die Grenzkontrolle. Borders Piloten beteiligt. Welche Erfahrungen wurden im Pilotprojekt gesammelt und welche Rolle hat das Bundesverwaltungsamt (BVA) bei der Pilotierung gespielt? Rahmun: Deutschland hat sich, im Gegensatz zu allen anderen Teilnehmerstaaten, für eine Pilotierung unter Realbedingungen entschieden. Die anderen Teilnehmerstaaten haben primär neue biometrische Geräte evaluiert, wir haben hingegen den gesamten tatsächlichen Grenzkontrollprozess pilotiert. Das Bundesverwaltungsamt hat hierbei unter anderem den Betrieb aller benötigten Hintergrundsysteme zur Verfügung gestellt, um das zukünftige Verfahren vollständig zu simulieren. Wir konnten ermitteln, welchen tatsächlichen zeitlichen Einfluss der Prozess sowie die Technologie von Smart Borders auf die existierende Grenzkontrolle haben, konnten die Qualität der erfassten Daten bewerten sowie ergänzende Maßnahmen ableiten, die der Betrieb eines solchen Systems unserer Meinung nach in der Zukunft erfordern wird. Welche technischen Lösungen werden unsere Grenzen in Zukunft sicherer machen? Schließen sich Sicherheit und Komfort bei der Grenzkontrolle aus? Rahmun: Die Grenzkontrolle wird sich zukünftig noch mehr den Herausforderungen der steigenden Reisendenzahlen und der anwachsenden Migrationsflüsse stellen müssen. Dies lässt sich voraussichtlich nur durch eine zunehmende Automatisierung der Grenzkontrollprozesse bei mindestens gleichbleibender Kontrollqualität lösen, z. B. durch entsprechende Kiosk-Systeme für die Selbstnutzung durch den Reisenden. Auch hierzu gibt es bereits Erkenntnisse aus dem Smart Borders Piloten, die in Deutschland weiter evaluiert werden sollen. Deutschland wird sich hier frühzeitig engagieren und weiterhin möglichst praxistaugliche Erkenntnisse in die Entwicklung einbringen. Welche Bedeutung hat Biometrie für heutige und zukünftige Grenzkontrollsysteme? Rahmun: Die biometrischen Verfahren sind das Kernelement zur verlässlichen Identifizierung der Reisenden für die Grenzkontrolle. Schon historisch gesehen haben beispielsweise die individuellen Fingerabdrücke für die Identifizierung in der Kriminalistik einen hohen Stellenwert, hier gibt es fundierte gesammelte Erfahrungen und Erkenntnisse. Leider lassen sich die kriminalistischen Ansätze aus Zeitund Kostengründen nur ansatzweise auf Szenarien wie die der Grenzkontrolle übertragen, so dass hier Alternativen mit dem Anspruch auf vergleichbare Qualität gesucht werden müssen. n secuview 2/

16 International eid PKI Suite nach Common Criteria zertifiziert Nach intensiver Evaluierung hat das Bundesamt für Sicherheit in der Informationstechnik die secunet eid PKI Suite, genauer gesagt den CA Kernel, nach Common Criteria EAL 4+ zertifiziert. Bei den Gemeinsamen Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik kurz: Common Criteria handelt es sich um weltweit einheitliche Prüfkriterien für die Sicherheitseigenschaften von IT-Produkten und -Systemen. Diese sehen unterschiedliche Vertrauenswürdigkeitsstufen Evaluation Assurance Level (EAL) vor, welche die Prüftiefe festlegen. Die notwendige Stufe der Vertrauenswürdigkeit wird durch das beabsichtigte Einsatzgebiet festgelegt. gesetzt. Als eine der führenden Nationen in Bezug auf elektronische Reisedokumente und modernes Grenzkontrollmanagement wird auch Norwegen voraussichtlich ab Anfang 2016 diese Public-Key- Infrastruktur als Sicherheitsgerüst nutzen: Neben der secunet eid PKI Suite stellt secunet auch die Hardware-Sicherheitsmodule bereit, unterstützt bei der Installation und Konfiguration des Gesamtsystems sowie beim Betrieb und der Wartung in den kommenden Jahren. n Die eid PKI Suite wird bereits seit 2011 von der deutschen Bundespolizei für die Prüfung elektronischer Dokumente an deutschen Grenzen ein- Mehr Informationen: Andreas Hellrung andreas.hellrung@secunet.com Das unabhängige Testat des BSI bescheinigt der bewährten Softwarelösung von secunet formell die Eignung für Anwendungen mit besonderen Sicherheitsanforderungen und somit die hohe Sicherheit Made in Germany. Der Certified CA Kernel (C²K) der secunet eid PKI Suite hat die Zertifizierungskennnummer BSI-DSZ-CC Den Zertifizierungsreport finden Sie auf der Homepage des BSI ( Themen / Zertifizierung und Anerkennung / Zertifizierung von Produkten / Zertifizierung nach CC / Zertifizierte Produkte nach CC). 16 secuview 2/2015

17 International Drei Fragen zum norwegischen PKI-Projekt an John Kristian Thoresen Sie implementieren in Norwegen zurzeit eine zentrale PKI-Lösung für hoheitliche Anwendungen für welche genau? Thoresen: Die Lösung wird genutzt, um die erforderliche norwegische nationale EAC-PKI und ICAO- PKI für Reisepässe und Aufenthaltsgenehmigungen zu implementieren. Was waren Ihre Beweggründe, im Pflichtenheft eine CC-Evaluierung für die PKI vorzugeben? Thoresen: Generell ist für die Installation einer Hochsicherheits-PKI ein CC-evaluiertes PKI-System die beste Wahl und in unserem Fall unverzichtbar, da unsere PKI-Systeme gemäß dem norwegischen Sicherheitsgesetz (Norwegian Security Act) zu den kritischen Infrastrukturen zählen und hierfür bestehen besondere Sicherheitsanforderungen. Im Interview: John Kristian Thoresen ist stellvertretender Polizeichef der nationalen Polizeidirektion in Norwegen. Wie ist die Perspektive, was planen Sie weiterhin? Thoresen: In Norwegen wird die eid PKI Suite nicht nur für die Umsetzung der EAC- und ICAO PKI, sondern auch für das NPKD (bereits im Einsatz), den SPOC und auch das TCC eingesetzt. Das erste TCC, an das die egates am Flughafen Oslo-Gardermoen angebunden sind, ist bereits im Produktivbetrieb wird Norwegen eine nationale ID-Karte einführen, die eventuell auch eine eid-funktion beinhalten wird. Für die Realisierung dieser eid-funktion ist unter anderem die eid PKI Suite ein aussichtsreicher Kandidat. n secuview 2/

18 Wissenschaft secunet unterstützt Marktgang der finally safe GmbH Eine angemessene IT-Sicherheit ist mittlerweile ein Grundbaustein für den Unternehmenserfolg. Bei allen Diskussionen um möglicherweise nötige IT-Sicherheitsmaßnahmen werden die eigenen grundlegenden Abwehrmechanismen oft vergessen. Für eine innovative Internet- und Netzwerksicherheit konform mit dem deutschen Datenschutz gibt es nun eine neue Lösung, die die eigenen Resistenzen stärkt: spotuation. Spotuation bietet Unternehmen die Möglichkeit, Lücken im Unternehmensnetzwerk beispielsweise durch veraltete Softwareversionen, fehlende Updates der Betriebssysteme, alte Browserversionen und Verschlüsselungen aufzuspüren, bei der Beseitigung zu unterstützen und die Veränderungen auf einer umfangreichen Datengrundlage kontinuierlich zu messen. Darüber hinaus macht spotuation die aktuelle Kommunikationslage sichtbar, zeigt eventuelle Bedrohungen auf und ermöglicht eine Benchmark mit anderen Unternehmen in der Branche. Angefangen hat alles mit einer Auftragsforschung für das Bundesamt für Sicherheit in der Informationstechnik (BSI), in deren Rahmen das Institut für Internet-Sicherheit if(is)* das Internet-Analyse- System (IAS) initial entwickelt hat. Dieses wurde in den folgenden Jahren zu einem Frühwarnsystem mit weiteren Funktionen ausgebaut. Das IAS wird seitdem aktiv für den Schutz der Kommunikation zwischen Behördennetzen und dem Internet sowie für die Forschung im Bereich der Internetsicherheit genutzt. Vor dem Hintergrund zunehmender Gefahren aus dem Internet und wachsender Datenmengen mit immer größeren Unternehmenswerten, die zunehmend auch in der Cloud gespeichert werden, entstand aus dem IAS das innovative Produkt spotuation. Ziel von spotuation ist es, Unternehmen die Möglichkeit zu geben, ihre Netzwerke weitestgehend eigenständig 18 secuview 2/2015

19 Wissenschaft besser abzusichern. Bereits in der Entwicklungsphase zählten das BSI, führende Telekommunikationsanbieter sowie mittlere und große Unternehmen zu den Forschungspartnern. Nun entwickelt die neu gegründete Gesellschaft finally safe die vorhandene Plattform weiter: Es werden wertvolle Informationen über Sicherheitsanforderungen in verschiedenen Kundensegmenten erfasst und die bereits genutzten Technologien optimiert, um Bedrohungen und Angriffe zukünftig noch besser analysieren zu können. secunet hält an finally safe eine Minderheitsbeteiligung und wird das Start-up-Unternehmen dabei unterstützen, die Technologie erfolgreich am Markt zu platzieren. n Mehr Informationen: Michael Böffel michael.boeffel@secunet.com Dominique Petersen (links) war über acht Jahre lang Forschungsbereichsleiter für Internet-Frühwarnsysteme am Institut für Internet-Sicherheit an der Westfälischen Hochschule in Gelsenkirchen. Hier leitete und realisierte er erfolgreich viele Forschungs- und Entwicklungsprojekte. Michael Böffel (rechts) ist seit 1999 in mehreren leitenden Positionen bei der secunet Security Networks AG beschäftigt. Er arbeitet in diversen Gremien mit, z. B. im BITKOM e. V. und im Nationalen IT-Gipfel der Bundesregierung. Zuvor war er nach dem Studium der Nachrichtentechnik in mehreren Unternehmen, wie z. B. Philips Communication Industry und NEC tätig. Im Interview erklären die beiden Geschäftsführer des neuen Joint Ventures finally safe GmbH, Michael Böffel und Dominique Petersen, das Produkt spotuation: Was genau ist spotuation? Böffel: Eine wichtige Grundfunktion von spotuation ist die Erfassung und übersichtliche Darstellung des Ist-Zustandes der Kommunikationslage, das sogenannte Echtzeitmonitoring. Hier werden die wichtigsten sicherheitsrelevanten Internet- und Netzwerkparameter kontinuierlich sichtbar gemacht. Damit kann sich der Nutzer immer einen schnellen, intuitiven Überblick über die aktuelle Kommunikationslage verschaffen. Der reale Datenverkehr und potenzielle Angriffe können unmittelbar verfolgt und sofort entsprechende Gegenmaßnahmen eingeleitet werden. >>> secuview 2/

20 Wissenschaft spotuation-sensor Internet Firewall, ggf. IDS/IPS Router/Switch Unternehmensnetzwerk Ein Hauptfokus von spotuation liegt auf der Angriffsund Anomalieerkennung. Wie genau funktioniert diese? Petersen: spotuation analysiert und bewertet Angriffs- und Gefahrensituationen, um eine fundierte Basis für ein zeitnahes angepasstes Angriffshandling zu schaffen. Die Datenerhebung erfolgt über den spotuation-sensor, der an der Schnittstelle vom internen Netzwerk zum Internet eingesetzt wird. Zur Erkennung von Bedrohungen aus dem Internet und gerade stattfindenden Angriffen setzen wir auf intelligente Verfahren und die bereits vorhandene Mächtigkeit der Sensorik. Anhand von Data- Mining-Algorithmen identifizieren wir die wichtigsten Kommunikationsmerkmale und prüfen diese mit Signaturen und Anomalieerkennungsverfahren. Netzwerkstatus bzw. der Kommunikationslage aller Teilnehmer analysiert und vergleichbar gemacht werden. So können Unternehmen branchenspezifische Vergleiche heranziehen und damit sowohl die aktuelle Bedrohungslage auf dem Markt als auch ihre eigene Sicherheitslage besser einschätzen. Ein Referenzsystem mit der Detailfülle gibt es sonst nicht auf dem Markt. Petersen: Ein Highlight wird die neuartige APTund Botnetzerkennung sein, mit der wir unter anderem den Verkehr einzelner Bots anhand von Kombinationsparametern wie Kommunikationsaktivitäten und C&C-Kommunikation erkennen können. So können mögliche APTs und damit große Schäden verhindert werden. spotuation ist aber weit mehr als nur Angriffserkennung. Vergleichbar mit einem Baukastensystem kann das System individuell mit verschiedenen Funktionen bestückt werden. Böffel: Richtig. Ein weiterer wichtiger Punkt ist die Aufdeckung von Schwachstellen im eigenen Netzwerk. Dazu wurde ein Reputationssystem entwickelt, mit dem sich die im Unternehmensnetzwerk verwendeten Technologien und Protokolle bewerten und eventuell vorhandene Schwachstellen aufdecken lassen. Aktuell wird daran gearbeitet, dass sich die Bewertungen nach Möglichkeit (teil-)automatisieren lassen. Das Reputationssystem ist optional für die generierten Reporte lieferbar. Des Weiteren haben wir ein Referenzsystem entwickelt, in dem anonym gesammelte Daten des Böffel: Dank der Modularität ist die Lösung immer an den jeweiligen individuellen Bedarf angepasst: Von einer über den Browser angebotenen Basisversion bis zu einer voll integrierten stationären Gesamtlösung für große Unternehmen. Der Nutzer muss sich dann aber doch sicher nicht selbst sein komplettes Kommunikationslagebild händisch zusammenstellen? Petersen: Nein, das wird ganz komfortabel gelöst. Das Reputations- und das Referenzsystem werden mit der automatischen Erstellung von Reporten verknüpft. Diese enthalten dann eine übersichtliche Darstellung der Kommunikationslage über einen definierten Zeitraum. So bekommt der Nutzer regelmäßig eine überschaubare Darstellung der aktuellen Kommunikationslage, anhand derer die IT-Experten 20 secuview 2/2015

21 Wissenschaft im Unternehmen immer den aktuellen Gesundheitszustand des Netzwerkes ablesen und IT-Sicherheitsprobleme schneller erkennen, bewerten und beheben können, um den Grundschutz stark zu erhöhen. n * Das Institut für Internet-Sicherheit if(is) ist eine innovative, unabhängige und wissenschaftliche Einrichtung der Westfälischen Hochschule. Neben der Forschung und Entwicklung bietet das if(is) Dienstleistungen auf dem Gebiet der Internetsicherheit. Prof. Dr. Norbert Pohlmann, geschäftsführender Direktor des if(is), zu finally safe: In welchem Bereich soll finally safe aktiv werden? Prof. Dr. Pohlmann: Das neue Start-up-Unternehmen finally safe GmbH wird in dem wichtigen und größer werdenden Markt der Lagebildgenerierung und Frühwarnsysteme aktiv werden, dem in den nächsten Jahren eine besondere Bedeutung zukommen wird, insbesondere auch durch die Etablierung des IT-Sicherheitsgesetzes. Im Interview: Welche Bedeutung hat das Joint Venture? Prof. Dr. Pohlmann: Mit dem Joint Venture ist ein erfolgreicher Technologietransfer zwischen dem Institut für Internet-Sicherheit und secunet in einem wichtigen IT-Sicherheitsbereich umgesetzt worden. Sehr gute junge Wissenschaftler der Westfälischen Hochschule entwickelten in mehreren Jahren die innovative Technologie spotuation, die helfen wird, unsere moderne Gesellschaft sicherer zu machen. n Prof. Dr. Norbert Pohlmann ist Informatikprofessor für Verteilte Systeme und Informationssicherheit im Fachbereich Informatik sowie Leiter des Instituts für Internet-Sicherheit. Darüber hinaus ist er sehr aktiv im Umfeld der IT-Sicherheit, unter anderem ist er Vorstandsvorsitzender des IT- Sicherheitsverbandes TeleTrusT Deutschland e. V. secuview 2/

22 Wissenschaft SINA SOLID prämiert und patentiert für VPN-Vernetzung Die einzigartige Technologie SINA SOLID (Secure OverLay for IPsec Discovery) ist eine neue Funktion für die SINA L3 Box und das erfolgreiche Ergebnis eines mehrjährigen Forschungsprozesses. SINA SOLID kann sehr große und flexible IPsec-Netze automatisiert konfigurieren und steigert dabei deutlich die Performance auf höchstem Sicherheitsniveau ab Mai 2016 mit Zulassung durch das BSI. 22 secuview 2/2015

23 Wissenschaft Automatische Optimierung der IPsec-basierten Sicherheitsbeziehung je nach Verkehrsbedarf und Topologieänderung Private VPN-Freigabe Öffentliches Multi Protocol Layer Switching (MPLS)-Transportnetz Dynamische IPsec-basierte Sicherheitsbeziehungen im Overlay-Ringnetz durch Autokonfiguration SINA SOLID ermöglicht eine dynamische VPN-Vernetzung, die automatisch die Verbindung zwischen den einzelnen Netzknotenpunkten konfiguriert. Dabei bleiben alle Sicherheitseigenschaften von IPsec und SINA vollständig erhalten. Der Verwaltungsaufwand in großen und komplexen Netzen wird erheblich reduziert, da das System selbsttätig auf Änderungen im Netzwerk reagiert und ein manuelles Eingreifen nicht mehr erforderlich ist. VPN auf Basis von IPsec bieten einen weitreichenden Schutz gegen Angriffe auf die Vertraulichkeit und Integrität übertragener Daten. Wegen ihrer komplexen und oft statischen Konfiguration ist jedoch die Integration neuer IPsec-Gateways in ein Netzwerk oder die Anpassung von Routen im VPN oft mit größerem Aufwand verbunden. In der Regel erfolgt die Konfiguration der häufig dazu eingesetzten IPsec-Infrastrukturen manuell. Das bedeutet: Selbst bei großen Netzwerken werden zwischen >>> Die Entwicklung der SINA SOLID Komponente SINA SOLID entstand aus einer prämierten Forschungskooperation mit der Technischen Universität Ilmenau (3. Preis beim Deutschen IT-Sicherheitspreis 2010, GI/ITG/VDE Communication Software Award 2013, Thüringer Forschungspreis für angewandte Forschung 2013). Nach mehrjähriger gemeinschaftlicher Forschungs- und Entwicklungsarbeit, die auch im Kontext zweier Forschungsprojekte (Mobil-SOLID-SINA und DoSResist-VPN) vom Bundesministerium für Bildung und Forschung gefördert wurde, erlangt SINA SOLID nun die Produktreife. Gleichzeitig wird die BSI-Zulassung für VS-NfD im zweiten Quartal 2016 erwartet. Durch die automatisierte Konfiguration von Sicherheitsbeziehungen verbessert SINA SOLID den bisherigen VPN-Ansatz. Frei werdende Administrations-Ressourcen können nun anderweitig genutzt werden, ohne die Fehleranfälligkeit der Systeme zu erhöhen. Der SOLID Cluster verspricht darüber hinaus Ausfallsicherheit und hohen Durchsatz. Insbesondere große Infrastrukturen können durch SINA SOLID komplexe Regelwerke vereinfachen, und das unter Beibehaltung der IT-Sicherheit im Sinne der BSI-Zulassung für VS-NfD. secuview 2/

24 Wissenschaft den beteiligten IPsec-Gateways paarweise Sicherheitsbeziehungen eingerichtet. Dieses Verfahren, bei dem der Aufwand mit der Anzahl der IPsec- Gateways exponentiell wächst, kann kostenintensiv werden und fehleranfällig sein. Dabei sind die Verfügbarkeit des Netzes und die Betriebskosten für zentrale Knotenpunkte ausschlaggebende Kriterien für die Etablierung von VPN. SINA SOLID ermöglicht die dynamische VPN- Vermaschung durch die automatisierte Konfiguration für große bis sehr große Netzinfrastrukturen. Es reagiert auf Topologieänderungen und Wegeredundanz zur Laufzeit. Vor allem bei komplexen, potenziell stark vermaschten VPN-Topologien kann dadurch der Verwaltungsaufwand gering gehalten werden. Dabei ist ein schneller Kommunikationsaufbau gewährleistet. Zudem wird die Sabotageresistenz gegenüber Denial-of-Service-Angriffen (DoS-Angriffen) gesteigert und durch selbstoptimierende Wegewahl zwischen SOLID Knoten eine dynamische Reaktion auf Ausfälle erlaubt. Die Koordination der VPN-Vermaschung übernimmt das transparente und gesicherte Overlay-Netzwerk selbst. Es steuert die dynamische Anordnung aller VPN-Teilnehmer in einem logischen Ring und ermöglicht allen Knoten die Suchanfragen zum Aufbau von Sicherheitsbeziehungen. Alle Routinginformationen werden somit von den VPN-Knoten selbst vorgehalten und einer regelmäßigen Optimierung unterzogen. SINA SOLID ist das erste Produkt für dynamische und automatisierte VPN-Vollvermaschung, das eine Zulassung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anstrebt, und wird ab dem zweiten Quartal 2016 verfügbar sein. Als neues Feature wird es mit der Softwareversion 3.9 für die SINA L3 Box S bereitgestellt. SINA SOLID gehört somit zu den zentralen IT-infrastrukturellen Kernkomponenten der SINA Produktwelt. Prof. Dr. Günter Schäfer zu SINA SOLID: Prof. Dr. Günter Schäfer ist Professor und Leiter des Fachgebiets Telematik / Rechnernetze an der Universität Ilmenau und seit Mai 2014 Mitglied des secunet Aufsichtsrats. Bei der Entwicklung von SOLID stand für uns am Fachgebiet Telematik / Rechnernetze der TU Ilmenau die wissenschaftliche Fragestellung im Mittelpunkt, wie man ein flexibles Konfigurationsverfahren für IPsec-VPN so gestalten kann, dass es einerseits gegenüber einer manuellen Konfiguration von IPsec-Assoziationen keinerlei Einschränkungen in Bezug auf Sicherheitseigenschaften aufweist, es andererseits jedoch auch den manuellen Verwaltungsaufwand auf ein Minimum senkt und zudem dynamisch auf Änderungen der Netzsituation reagieren kann. Weiterhin war es unser Ziel, den Nachrichtenaufwand des Protokolls für die Eingliederung von VPN-Gateways, das dynamische Auffinden von für einen (roten) Netzbereich zuständigen Sicherheitsgateways und weitere Protokollfunktionen 24 secuview 2/2015