zum klassischen IT-Betrieb einen IT-Sicherheitsbeauftragten beziehungsweise

Transkript

1 2012 # Jahrgang BSI Forum Forum Organ des Bundesamtes für Sicherheit in der Informationstechnik Inhalt Computernotfallteams (CERTs) 33 Allianz für Cyber-Sicherheit 36 Amtliche Mitteilungen 39 Computernotfallteams CERTs als zentrales Element nationaler Cyber-Sicherheit CERTs bieten mit ihrem auf Computernotfälle spezialisierten Wissen und Verfahren wertvolle Hilfen für die nationale Cybersicherheit. Ein wesentlicher Vorteil ist dabei die gute Vernetzung und Kooperation untereinander. Impressum Von Stefan Ritter, BSI Die voranschreitende Vernetzung von IT-Systemen hat zu neuen Chancen und Perspektiven sowohl für Bürgerinnen und Bürger als auch für Unternehmen und Verwaltung geführt. Annähernd jeder Lebens-, Wirtschafts- und Verwaltungsbereich ist heute mit Informationstechnologie durchwirkt und damit zu einem Teil des Cyberraums geworden. Unternehmen und Institutionen, deren Geschäfts- und Verwaltungsprozesse mit dem Internet verwoben sind, können von den Vorteilen wie mehr Effizienz und höherer Reichweite profitieren, müssen sich jedoch auch mit möglichen Risiken der Vernetzung auseinandersetzen. Hierzu gehört die Infizierung mit Schadsoftware und das dadurch mögliche Ausspähen von Informationen ebenso wie die Störung oder Ausschaltung der Webpräsenz oder der Prozesse durch Distributed- Denial-of-Service-(DDoS)-Attacken. Viele Institutionen schützen sich, indem sie ergänzend zum klassischen IT-Betrieb einen IT-Sicherheitsbeauftragten beziehungsweise eine eigene kleine IT- Sicherheitsorganisation eingerichtet haben, die sich ausschließlich um das Thema IT-Sicherheit kümmert. Das Aufgabenspektrum umfasst dabei Konzepte, Pläne, Vorgaben, Kontrollen, Notfallplantests und weitere IT-sicherheitsrelevante Themen. In Zusammenarbeit mit dem regulären IT-Betrieb bewältigen sie kleinere, alltägliche IT-Sicherheitsvorfälle. Treten allerdings außergewöhnliche Ereignisse ein, die selten, besonders schwerwiegend oder kompliziert sind, fehlt IT-Sicherheitsexperten oft die Erfahrung im Umgang damit sowie die notwendige Sensorik, um einen Angriff überhaupt zu verifizieren. In solchen Fällen bieten Computernotfallteams (Computer- Emergency-Response-Teams, CERTs) eine effiziente und bewährte Unterstützung. CERTs haben gemäß ihres Namens vor allem den Auftrag, Cyber-Sicherheitsinformationen zu Redaktion: Matthias Gärtner (verantwortlich) matthias.gaertner@bsi.bund.de Sebastian Bebel sebastian.bebel@bsi.bund.de Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat Öffentlichkeitsarbeit und Presse Postfach Bonn Hausanschrift: Godesberger Allee Bonn Telefon: Telefax: Web: Das BSI-Forum, Organ des Bundesamtes für Sicherheit in der Informationstechnik in Bonn, ist Bestandteil der <kes> Die Zeitschrift für Informations-Sicherheit 20. Jahrgang 2012 BSI Bonn <kes> 2012 # 6 33

2 Computernotfallteams (CERTs) bewerten, IT-Sicherheitsvorfälle zu erkennen, bei deren Eindämmung zu unterstützen, um die Auswirkungen zu minimieren und bei der Wiederherstellung des normalen Betriebes zu helfen. Cyber-Sicherheit in Deutschland Neben der Bewertung und der Weitergabe von Schwachstelleninformationen der verschiedenen Software-Hersteller an die Kunden ist eine wichtige Aufgabe der Informationsaustausch zwischen den CERTs. Hier geht es unter anderem um: Informationen über die Ausnutzung von Schwachstellen und nicht-öffentlichen Hintergründen zu Angriffen, um die Bedrohungslage zu bewerten, Betroffenheiten von Kunden anderer Teams und anderer Länder, um diese zu warnen sowie neuartige Schadprogramme und Angriffsmethoden sowie deren Erkennungssignaturen oder bösartigen Internetbereiche, um die eigenen Netze besser schützen zu können. Das Zusammenführen des verteilten Wissens durch den Aus- tausch von Informationen führt in der vernetzten Welt zu konkreten und verbesserten Erkenntnissen sowie zu einer differenzierteren Lageeinschätzung. Die Angreifer sind international mit denselben Angriffsmethoden und -wegen sowie häufig denselben Systemen unterwegs. Wer diese Informationen sinnvoll zusammenführt, kann Handlungsmuster erkennen und Gegenmaßnahmen einleiten. Solange jedoch keine enge Zusammenarbeit stattfindet, ist jede Institution und jedes Unternehmen darauf angewiesen, relevante Informationen selbst zusammenzutragen und auszuwerten. Aufgaben und Rolle von Computer-Emergency-Response-Teams (CERTs) CERTs sind die (zentrale) Anlaufstelle bei IT-Sicherheitsproblemen. Damit ist eine autorisierte und fachkundige Stelle bekannt, an die sich IT-Experten aus Behörden und Unternehmen bei Verdacht, Problemen und Notfällen wenden können. Sie zeichnen sich durch die Vertrauensstellung aus, die einerseits institutionalisiert ist, da es sich um Einrichtungen handelt, die eigens zur Nothilfe geschaffen wurden, und andererseits aus der persönlichen Zusammenarbeit mit den Teammitgliedern erwachsen ist. CERTs weisen sich durch die notwendige Fachexpertise als Vorfallsbearbeiter / Incident-Handler oder -Coordinator aus, die durch spezielle Aus- und Weiterbildungen geschult sind, solche Ereignisse zu bewältigen. CERTS besitzen die notwendige Erfahrung im Umgang mit außergewöhnlichen IT-Sicherheitsvorfällen, da sie als zentrale Anlaufstelle häufiger von ihren verschiedenen Kunden um Hilfe gebeten werden. Somit sind die jeweiligen Ansprechpartner, Systeme und Systemumgebungen bekannt. Zusätzliche Erfahrungen und Kenntnisse werden durch die regelmäßige Teilnahme an Übungen und Planbesprechungen gewonnen. CERTs zeichnen sich durch schnelle Reaktionszeiten aus, da sie als zentrale Anlaufstelle bekannt sind, entsprechend geschulte personelle Ressourcen zur Verfügung haben und bei Benachrichtigung auf Basis langjähriger Erfahrung sofort wissen, welche Schritte einzuleiten sind. CERTs verfügen über die notwendige Vernetzung, um von Dritten über ähnliche Sachverhalte umfassendere Informationen zu erhalten. Ein weiteres Merkmal ist die Verschwiegenheit, um besonders schützenswerte Informationen der Quelle und des Angriffs vertraulich zu behandeln und die gewünschte Anonymität von Quellen sicherzustellen. In den meisten Fällen ist es auch möglich, anonym Hinweise auf Schwachstellen, Sicherheitsprobleme und Kompromittierungen abzugeben. CERTs besitzen Erfahrung in der Kommunikation mit anderen Akteuren der IT-Sicherheit wie anderen CERTs, Herstellern von IT- Produkten oder Antivirensoftware und Malwareexperten, um über Sachverhalte zu reden, ohne die Quelle preiszugeben (anonymisieren), sowie schützenswerte Informationen wegzulassen (bereinigen), aber dennoch ein Maximum an Unterstützung und zusätzlichem Wissen zu erhalten. Hierzu wurden in der CERT-Gemeinschaft eigene Regelwerke wie das Traffic-Light- Protokoll zur Kontrolle der Informationsweitergabe erarbeitet. CERTs greifen auf besondere Techniken und Kontakte zurück, die ihnen Möglichkeiten und Informationen vermitteln, die dezentral zu aufwändig bereitzustellen wären. Dazu zählen zentrale Techniken und Sensoren an Netzübergängen (Greylisting, Multi-AV-Scanning, Tagging von Spam und EXE, Netflowanalyse, IDS, SIEM etc.), DDoS-Prävention und -Mitigation, Forensik oder die Zusammenarbeit mit externen Dienstleistern für Spezialaufgaben (Malware-Scanning und -Analysen, Dropzone-Auswertung, Spamauswertung etc.). 34 BSI Bonn <kes> 2012 # 6

3 Zum Informationsaustausch unter den CERTs kommen noch konkrete Unterstützungsersuchen hinzu. So beispielsweise bei der Abschaltung von Command- und Control-Servern von Botnetzen, zur Bereinigung von malwareverseuchten Webseiten oder zur Mitigation von verteilten DoS-Angriffen. Vernetzung und Kooperation der CERTs Bei der fachkompetenten und vertrauensvollen Zusammenarbeit zwischen einem CERT und den Betroffenen kommt ein ganz besonderer Punkt zum Tragen: Die Vernetzung und Kooperation der CERTs untereinander. Denn anders als bei Strafverfolgungsbehörden und Nachrichtendiensten ist bei CERTs der gegenseitige Austausch über aktuelle Erkenntnisse ausdrücklich erwünscht. Erfahren dagegen Strafverfolgungsbehörden von Straftaten, unterliegen sie einem Ermittlungszwang und müssen ihre Ermittlungen, ähnlich wie Nachrichtendienste ihre Methoden, Quellen und Erkenntnisse, schützen. Um die Kommunikation zwischen den CERTs zu fördern, gibt es eine Reihe von Gruppen, Organisationen und Kreisen, darunter beispielsweise das Forum of Incident Response and Security Teams (FIRST), die Task Force Computer Security Incident Response Teams (TF-CSIRT) des Dachverbands der europäischen Forschungs- und Bildungsnetze TERENA, Trusted Introducer (Europäische Datenbank von Computer-Security-Incident- Response-Teams) sowie Aktivitäten von EU und ENISA ( European Network and Information Security Agency ) zur Zusammenarbeit der europäischen CERTs. mationen, die zur Kommunikation und Besprechung von Problemen und Vorfällen benötigt werden, können unter anderem für Angreifer oder konkurrierende Institutionen nützlich sein und damit den Betroffenen schaden. Um dies zu vermeiden und sensitive Daten zu schützen, ist der Austausch in einem vertrauenswürdigen Umfeld bei der nationalen und internationalen Kooperation entscheidend. In den genannten Kreisen wurde ein institutionalisiertes Vertrauen hergestellt, indem durch besondere Aufnahmeprozesse ein angemessenes Fachwissen und Grundvoraussetzungen für die zielführende Zusammenarbeit mit dem gesamten Team sichergestellt werden. Eine besondere Form des institutionalisierten Vertrauens sind die Kreise der Regierungs- und Verwaltungs-CERTs wie in der EU oder der zukünftige deutsche Verwaltungs-CERT-Verbund der Bundes- und Länder-CERTs, in denen Behörden durch ihre Verwaltungsrolle automatisch Mitglied werden. Daneben gibt es weitere Kreise, die noch stärker auf persönlichem Vertrauen basieren: Hierzu zählt unter anderem der Deutsche CERT-Verbund, der eine Mischung aus institutionalisiertem und persönlichem Vertrauen durch Patenschaftsmodelle und Gruppenentscheidungen über die Aufnahme neuer Bewerber nutzt. Bei all diesen Gruppen, Organisationen und Kreisen wächst das persönliche Vertrauen mit der gegenseitigen Erfahrung einer häufigen und guten Zusammenarbeit stets weiter. Zielgruppen und Definition von CERTs CERTs sind per se nicht miteinander vergleichbar zwar weisen sie alle die genannten Fähigkeiten auf, doch sind sie in ihren Zielgruppen und damit Dienstleistungen und Befugnissen oft sehr unterschiedlich. So gibt es beispielsweise Teams der öffentlichen Verwaltung, Konzernteams als interne Dienstleister, kommerzielle CERT-Dienstleister, Teams mit Universitätsschwerpunkt oder Teams als Dienstleister für die Forschung und deren Netze. Auch die Bezeichnung der Teams variiert zwischen dem ursprünglichen, mittlerweile markenrechtlich geschützten Namen Computer Emergency Response Team (CERT) der Carnegy-Mellon-Universität als Erfinder und dem synonym verwendeten Begriff Computer Security Incident Response Team (CSIRT). Nationales IT- Lagezentrum: Der Arbeitsplatz rechts vorne ist täglich von CERT-Bund besetzt. Bei der Zusammenarbeit der verschiedenen CERTs spielt Vertrauen eine zentrale Rolle, da häufig interne Details ausgetauscht werden müssen. Die oft vertraulichen Infor- BSI Bonn <kes> 2012 # 6 35

4 Computernotfallteams (CERTs) Eine Reihe von IT-Dienstleistern bietet CERTähnliche Dienste an, ohne den Namen CERT zu nutzen. Hier gilt zu bedenken, dass die grundsätzlichen Fähigkeiten denen der CERTs ähneln, jedoch die enge Vernetzung und damit der Wissenstransfer der CERTs untereinander in vielen Fällen dann nicht gegeben ist. Ein besonderer Typ sind nationale CERTs; davon gibt es in jedem Land lediglich eines. In Deutschland hat CERT-Bund diese Aufgabe übernommen. Als nationales CERT kommt dem Team neben der Vertretung der Interessen des Landes in internationalen Gremien und Treffen vor allem die Aufgabe des CERT of last resort des letzten Auswegs zu: Wenn ein von einem IT- Angriff betroffenes Unternehmen, eine Behörde oder ein anderes CERT in einem Land bei einem Betreiber keinen Kontakt herstellen kann, weil es diesen nicht kennt oder der Betreiber nicht reagiert, so verfügt oft das nationale CERT aufgrund seiner guten nationalen Vernetzung über offizielle oder inoffizielle Kontakte zu vielen relevanten Akteuren und kann meist vermittelnd helfen. Nimmt ein nationales und Regierungs-CERT zusätzlich noch die Rolle eines nationalen IT-Lagezentrums wahr, erweiteret dies Aufgaben, Funktionen und Informationsmöglichkeiten. Neben den zahlreichen Informationen, die aus öffentlichen und halböffentlichen Kontakten verfügbar sind, kann es aus seinen nicht-öffentlichen, vertraulichen Kontakten zu seinen Kunden wie zu den nationalen und internationalen Partnern wertvolle Lageinformationen gewinnen. Diese Informationen gestatten dem Lagezentrum, die nationale IT-Sicherheitslage einzuschätzen, seine Partner über die Lage und die Bewertung zu informieren und gegebenenfalls über bedrohliche Sachverhalte zu warnen und zu alarmieren. Bei nationalen Krisen reichen die Prozesse eines CERT-Teams nicht mehr aus. Dann müssen andere Mechanismen, wie zum Beispiel die eines nationalen IT- Krisenreaktionszentrums etabliert sein. Dieses kann dann durch geeignete Prozesse und personelle Fachunterstützung auch komplexere große nationale Krisen gemeinsam mit dem politischen Krisenmanagement im zuständigen Ministerium bewältigen. Mit ihrer zentralen und vernetzten Rolle als Informationsdrehscheibe und Helfer in der Not spielen CERTs bei der Bewältigung von IT-Sicherheitsvorfällen und zur Wahrung der Cyber-Sicherheit in Deutschland eine wesentliche Rolle. Unternehmen, die den Kontakt zu einem solchen Team lose oder fest als Partner oder Auftraggeber und Dienstleistungsnehmer haben, sind bei IT-Sicherheitsvorfällen deutlich besser aufgestellt als Teams, die versuchen müssen, das Problem ohne fremde Hilfe in den Griff zu bekommen. Allianz für Cyber-Sicherheit Die Herausforderung Cybersicherheit kann nur durch gemeinsame Anstrengungen von Wirtschaft, Wissenschaft und Verwaltung erreicht werden. Als Plattform für den Informations- und Erfahrungsaustausch auf diesem Gebiet haben das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v. (BITKOM) die Allianz für Cyber-Sicherheit gegründet. Von Dr. Harald Niggemann, BSI Cyberangriffe werden von unterschiedlichen Tätergruppen mit diversen Zielsetzungen durchgeführt. Das Spektrum reicht von Denial-of-Service-Angriffen durch Aktivisten über die Manipulation von Internetbanking- Vorgängen durch Kriminelle bis hin zu Spionage und Sabotage in Behörden und Unternehmen durch fremde staatliche Stellen. Nicht selten arbeiten mehrere Tätergruppen bei der Vorbereitung oder Durchführung von Cyberangriffen arbeitsteilig zusammen. Über bekannt gewordene Cyberangriffe auf private und öffentliche Einrichtungen wird inzwischen nicht nur in Fachkreisen, sondern auch in der Medienwelt berichtet. Aufgrund der vielfältigen Szenarien und Formen von Angriffen im Cy- berraum ist eine Schätzung der Schäden, die dadurch in Deutschland entstehen, schwierig. Unbestritten ist jedoch, dass nicht nur die Überlebensfähigkeit einzelner Institutionen bedroht ist. Auch IT-Systeme der kritischen Infrastruktur, die für unsere Gesellschaft von besonderer Bedeutung sind und zu denen beispielsweise die Energie- und Lebensmittelversorgung gehören, sind Teil des Cyberraums und stehen dadurch unter ständiger Bedrohung. Die Ursachen für die Gefahr durch Cyberangriffe sind vielfältig. Einerseits können viele Angriffsziele relativ 36 BSI Bonn <kes> 2012 # 6

5 einfach attackiert und die Angriffswege effektiv verschleiert werden. Andererseits ist auch die heutige Informationstechnik aufgrund ihrer Komplexität nicht fehlerfrei und damit angreifbar. Täter nutzen nicht nur neue und bislang unbekannte Schwachstellen aus ( Zero Days ), sondern schlagen auch Kapital daraus, dass Updates und Patches in der Praxis häufig verspätet eingespielt werden. Praktikable Schutzmaßnahmen In diesem Zusammenhang stellt sich die Frage, ob angesichts der Gefährdungslage ein effektiver und effizienter Schutz vor Cyberangriffen überhaupt möglich ist. Grundsätzlich gilt auch in der Cybersicherheit, dass es wie in vielen Disziplinen keinen absoluten präventiven Schutz gibt. Allerdings zeigen die Erfahrungen der Labore und auch des BSI, dass das technische Niveau der Angriffe sehr unterschiedlich ist und sich die meisten Angriffe durch praktikable Schutzmaßnahmen abwehren lassen. Je besser die Schutzvorkehrungen sind, desto geringer ist die Wahrscheinlichkeit eines erfolgreichen Cyberangriffes in der eigenen Institution. Auch bei zielgerichteten Angriffen gilt, dass sich die Täter möglicherweise ein leichteres Ziel aussuchen, wenn sie auf wirksame Schutzmaßnahmen treffen. Kooperation und Anpassung Für einen angemessenen Schutz insgesamt sind punktuelle Maßnahmen jedoch nicht ausreichend: Die komplexen Strukturen des Cyberraums bieten den Tätern heute vielfältige Wege und Werkzeuge, um IT-Systeme zu manipulieren, außer Funktion zu setzen oder um vertrauliche Informationen abfließen zu lassen. Isolierte Einzelmaßnahmen werden von den Angreifern meist nach einer gewissen Zeit umgangen und durch angepasste Angriffsmethoden schließlich unwirksam gemacht. Nachhaltige Cybersicherheit lässt sich daher nur durch ein kooperatives Vorgehen aller Akteure in Wirtschaft, Wissenschaft und Staat und eine kontinuierliche Anpassung aller Maßnahmen zur Prävention, Erkennung und Reaktion an die Gefährdungslage und die Methoden der Angreifer erreichen. Als Plattform für den hierfür erforderlichen Informations- und Erfahrungsaustausch haben das BSI und der BITKOM e.v. die Allianz für Cyber-Sicherheit gegründet. Kernziele dieser Initiative sind: die Risiken des Cyberraums für Deutschland zu bewerten, angemessene Sicherheitsmaßnahmen zu konzipieren und zu realisieren, die nationalen Fähigkeiten zum Schutz im Cyberraum, zur Abwehr von Cyberangriffen und zur Bewältigung von Cyberkrisen zu stärken, im internationalen Vergleich eine führende Rolle im Bereich Cybersicherheit einzunehmen. Zur Erreichung dieser Ziele setzt die Allianz für Cyber-Sicherheit auf die Elemente Lageermittlung, Lösungshinweise, Gestaltung und Erfahrungsaustausch. Das IT-Sicherheitsniveau in Deutschland kann nur weiterentwickelt und verbessert werden, wenn der aktuelle Status bekannt ist und die Beseitigung vorhandener Defizite offen angegangen wird. Im Rahmen der Allianz für Cyber-Sicherheit stellt das BSI daher aktuelle Lageinformationen zur Verfügung, damit Institutionen ihre Aktivitäten daran ausrichten können. Zur Ermittlung der Lage nutzt das BSI nicht nur seine eigenen Erkenntnisse, sondern es fließen auch Beiträge von Partnern der Allianz für Cyber-Sicherheit ein. Um die Vollständigkeit der Lageinformationen weiter zu verbessern, besteht auch die Möglichkeit, Ereignisse im Zusammenhang mit Cyberangriffen anonym an das BSI zu melden. Ein weiteres wichtiges Element der Allianz für Cyber-Sicherheit sind Hinweise zu Lösungen: Hierzu gehören unter anderem Empfehlungen zum Einsatz bestimmter Sicherheitsmaßnahmen, zur Konfiguration von Produkten oder zu Sofortmaßnahmen für den Fall, dass eine Institution Opfer eines Cyberangriffs geworden ist. Dabei werden nicht nur Lösungshinweise des BSI, sondern auch von Partnern der Allianz für Cyber-Sicherheit zur Verfügung gestellt. Die Allianz für Cyber-Sicherheit dient somit auch zum schnellen Informationsaustausch, um zeitnah aktuelle Empfehlungen zum Schutz vor und zur professionellen Reaktion auf Cyberangriffe bereitzustellen. Auch Hersteller und Dienstleister im Bereich IT- Sicherheit, CERTs, Internet-Dienstleister et cetera wirken bei der Allianz für Cyber-Sicherheit mit. Der Informationsaustausch mit diesen Einrichtungen bietet die Chance, die Cybersicherheit in Deutschland mitzugestalten, beispielsweise durch Feedback von Anwendern und Betreibern. Die Allianz für Cyber-Sicherheit fungiert dabei als Kristallisationspunkt von Lösungen, Best Practices oder Standards. Sowohl bei der Sensibilisierung als auch bei der Konzeption von Maßnahmen kann der Erfahrungsaustausch mit anderen Institutionen einen wesentlichen Mehrwert liefern. Aufgrund der sensitiven Natur des Themas setzt dies jedoch ein besonderes Maß an Vertrauen voraus. Neben der zentralen Informationsverteilung setzt die Allianz für Cyber-Sicherheit daher auch auf den direkten Austausch in kleineren Gruppen, beispielsweise in regionalen und branchenbezogenen Foren, Arbeitskreisen oder Stammtischen. Die Leitung oder Betreuung solcher Gruppen ist eine Möglichkeit für Partner und Multiplikatoren zur Mitwirkung in der Allianz für Cyber-Sicherheit. BSI Bonn <kes> 2012 # 6 37

6 Allianz für Cyber-Sicherheit Freiwillige Registrierung Es gibt verschiedene Möglichkeiten, die Leistungen der Allianz für Cyber-Sicherheit zu nutzen. Die meisten Publikationen der Allianz für Cyber-Sicherheit werden ohne Zugriffsbeschränkung auf dem Web-Angebot unter der Adresse zur Verfügung gestellt, damit sie von möglichst vielen Anwendern für die Verbesserung der Cybersicherheit genutzt werden können. Bestimmte Angebote der Allianz für Cyber-Sicherheit richten sich jedoch nur an registrierte Teilnehmer: Die freiwillige Registrierung steht deutschen Institutionen (Unternehmen, Behörden, Forschungseinrichtungen etc.) offen und setzt die Benennung eines Ansprechpartners, der innerhalb der Institution die Verantwortung für Cybersicherheit trägt, und die Unterzeichnung einer Vertraulichkeitsvereinbarung voraus. Typische Ansprechpartner sind CIOs und CISOs, in kleineren Institutionen auch Administratoren. Die Vertraulichkeitsvereinbarung ist notwendig, damit auch nicht-öffentliche Informationen ausgetauscht werden können. Institutionen im besonderen staatlichen Interesse Ein erweitertes Informationsangebot besteht für Institutionen im besonderen staatlichen Interesse (INSI). Dazu gehören beispielsweise deutsche Unternehmen in der Geheimschutzbetreuung oder deutsche Betreiber kritischer Infrastruktur. Durch die Registrierung können solche Institutionen Zugriff auf einen gesonderten Bereich mit vertraulichen Informationen erhalten. Partner Die aktive Mitarbeit von Unternehmen und Behörden trägt wesentlich zum Erfolg der Allianz für Cyber- Sicherheit bei. Partner der Allianz für Cyber-Sicherheit sind deutsche Institutionen, die einen konkreten Mehrwert für die Allianz erzeugen, indem sie beispielsweise exklusive Informationen beisteuern oder kostenlose Dienstleistungen für Teilnehmer anbieten. Typischerweise verfügen Partner daher über hohe IT-Kompetenz und sind in einem der folgenden Bereiche tätig: Readiness (Sensibilisierung, Ausbildung, Konzeption, Audits, Übungen), Solutions (Bereitstellung von Produkten und Dienstleistungen), Situation (Lagebeobachtung, -analyse, -bewertung, Früherkennung, Warnung), Defence (Abwehr von Cyberangriffen, IT-Krisenreaktion und -bewältigung) sowie Research (Forschung und Entwicklung) Partner sind beispielsweise CERTs, Hersteller/ Dienstleister, die zur Cybersicherheit beitragen, Internet- Infrastrukturbetreiber und Forschungseinrichtungen mit einem Forschungsschwerpunkt Cybersicherheit. Eine weitere Möglichkeit, sich aktiv im Rahmen einer Partnerschaft zu engagieren, besteht beispielsweise in der Organisation von Foren für den Erfahrungsaustausch. Generell gilt, dass die Beiträge der Partner zur Allianz kostenlos sind. Multiplikatoren Cybersicherheit betrifft alle Anwender von Informationstechnik die Allianz für Cyber-Sicherheit ist deshalb keine Initiative mit ausgewählten Mitgliedern, sondern richtet sich an alle deutsche Institutionen aus dem privaten und öffentlichen Sektor. Der Beitrag der Multiplikatoren der Allianz für Cyber-Sicherheit ist es, die Reichweite der Allianz zu erhöhen, indem sie beispielsweise aktuelle Informationen über die Allianz für Cyber- Sicherheit an ihre Mitglieder oder an andere Adressatenkreise vermitteln, Artikel oder Vorträge über die Allianz für Cyber- Sicherheit oder über Themen der Cybersicherheit in ihren Medien oder Organen platzieren oder durch Gremien-, Medien- oder Öffentlichkeitsarbeit für die Anliegen der Cybersicherheit sensibilisieren. Als Multiplikatoren können etwa bundesweit oder regional agierende Wirtschaftsverbände, Industrie- und Handelskammern, Gremien, Vereine, Medien und ähnliche Einrichtungen die Allianz unterstützen. Fazit Die Allianz für Cyber-Sicherheit bietet Unternehmen und Behörden die Möglichkeit, sich mit den notwendigen Informationen zu versorgen, um angemessene Schutzmaßnahmen zu treffen und professionell auf Cyberangriffe zu reagieren. Durch die Teilnahme am Erfahrungsaustausch oder auch als Partner/Multiplikator können Institutionen daran mitwirken, die Cybersicherheit in Deutschland weiter zu verbessern und aktiv zu gestalten. Alle deutschen Institutionen sind aufgerufen, sich an diesem Prozess zu beteiligen. Weiterführende Informationen und Formulare zur Interessensbekundung finden sich auf dem Webangebot unter der Adresse www. allianz-fuer-cybersicherheit.de. Anfragen können per an die Adresse gerichtet werden. 38 BSI Bonn <kes> 2012 # 6

7 Amtliche Mitteilungen BSI Forum Amtliche Mitteilungen 1. Im Vergleich zur letzten Ausgabe dieser amtlichen Mitteilungen sind inzwischen folgende Zertifizierungen des BSI gemäß Common Criteria und ITSEC abgeschlossen worden: Hersteller/Vertreiber Produkt Produkt-Typ Ergebnis ID Zertifizierungsdatum Red Hat, Inc Red Hat Enterprise Linux, Version 6.2 Betriebssystem EAL 4+ with KVM Virtualization for x86 BSI-DSZ-CC Architectures Red Hat, Inc Red Hat Enterprise Linux, Version 6.2 Betriebssystem EAL 4+ on IBM Hardware for Power and BSI-DSZ-CC System z Architectures Continental Digital Tachograph DTCO 1381, Fahrtenschreiber BSI-DSZ-CC Automotive GmbH Release 2.0a MA intellic GmbH Digital Tachograph EFAS-4.1 Digitaler Tachograph BSI-DSZ-CC Version MA intellic GmbH Digital Tachograph EFAS-4.0 Digitaler Tachograph BSI-DSZ-CC Version MA IBM Corporation IBM z/os, Version 1, Release 13 Betriebssystem EAL 4+ BSI-DSZ-CC Infineon Infineon Security Controller M7892 B11 Smartcard Controller EAL 6+ Technologies AG with optional RSA2048/4096 v , BSI-DSZ-CC EC v , SHA-2 v1.01 and Toolbox v libraries and with specific IC dedicated software (firmware) cv cryptovision GmbH cv act epasslet/epki v3.6 Sichere Signatur- EAL 4+ erstellungseinheit BSI-DSZ-CC (SSCD) cv cryptovision GmbH cv act epasslet/eacv2-sac v1.8 IC mit Anwendung EAL 4+ BSI-DSZ-CC cv cryptovision GmbH cv act epasslet/bac v1.8 IC mit Anwendung EAL 4+ BSI-DSZ-CC cv cryptovision GmbH cv act epasslet/eacv1 v1.8 IC mit Anwendung EAL 4+ BSI-DSZ-CC Fujitsu Technology SecDocs Secuity Komponenten Softwareanwendung EAL 4+ Solutions GmbH Version 1.0, build version _6236 mit Signaturanwen- BSI-DSZ-CC dungskomponente BSI Bonn <kes> 2012 # 6 39

8 Amtliche Mitteilungen Hersteller/Vertreiber Produkt Produkt-Typ Ergebnis ID Zertifizierungsdatum Infineon Infineon smart card IC (Security Smartcard Controller EAL 5+ Technologies AG Controller) M7820 A11 and M11 with BSI-DSZ-CC optional RSA2048/4096 v , EC v , SHA-2 v1.01 and Toolbox v libraries and with specific IC dedicated software Giesecke & Devrient STARCOS 3.5 ID ECC C1 Sichere Signatur- EAL 4+ GmbH erstellungs einheit BSI-DSZ-CC (SSEE) Trueb AG tru/cos tacho v1.0 Tachograph Karte EAL 4+ BSI-DSZ-CC Infineon Infineon smart card IC (Security Smartcard Controller EAL 5+ Technologies AG Controller) M9900 A21 with specific BSI-DSZ-CC IC dedicated software IBM Corporation IBM AIX 7 for POWER, Betriebssystem EAL 4+ V7.1 Technology level BSI-DSZ-CC with optional IBM Virtual I/O Server V Bundesdruckerei Bundesdruckerei Document Reading Anwendungssoftware BSI-DSZ-CC GmbH Application Version zum Auslesen von MA-01 elektronischen Ausweisdokumenten NXP Semiconductors Crypto Library V2.7 on P5CD145V0v / Smartcard Controller BSI-DSZ-CC Germany GmbH P5CC145V0v / P5CD128V0v / MA-01 P5CC128V0v Anmerkung: Die zugehörigen Zertifizierungsreporte mit Zertifikaten sind auf der Web-Seite einzusehen. 2. Im Vergleich zur letzten Ausgabe dieser amtlichen Mitteilungen ist inzwischen für folgende Produkte eine Zertifizierung beantragt worden: Antragsteller Produktname Produkttyp Zertifizierungs-ID Bundesdruckerei GmbH Bundesdruckerei Document Änderungsterminal für BSI-DSZ-CC-0863 Application Version hoheitliche Dokumente Anmerkungen: Eine Veröffentlichung dieser Angaben erfolgt hier nur, sofern der Antragsteller damit einverstanden ist und die Evaluierung begonnen wurde. In der Liste vorhandene Nummerierungslücken betreffen beantragte Zertifizierungen, für die die genannten Voraussetzungen fehlen. Bei einigen Produkten handelt es sich um eine Re-Zertifizierung eines bereits zertifizierten Produktes wegen Änderungen am Produkt oder Wechsel der Prüfkriterien. 40 BSI Bonn <kes> 2012 # 6

9 3. Vom BSI zertifizierte und registrierte Schutzprofile Entwickler Profilbezeichnung ID Zertifizierungsdatum CEN/ISSS Protection profiles for secure signature creation device BSI-CC-PP Information Society Part 3: Device with key import, Version Standardization System Bundesamt für Portable Storage Media Protection Profile (PSMPP), BSI-CC-PP Sicherheit in der Version Informationstechnik 4. Vom BSI erteilte Standortzertifikate Antragsteller Entwicklungs-/Produktionsstandorte ID gültig bis Ausstellungsdatum GLOBALFOUNDRIES GLOBALFOUNDRIES Singapore Pte. Ltd., Fab 7 BSI-DSZ-CC-S Singapore Pte. Ltd GLOBALFOUNDRIES GLOBALFOUNDRIES Singapore (Tampines) Pte.,. Ltd., Fab 3E BSI-DSZ-CC-S Singapore Pte. Ltd Vom BSI erteilte ISO Zertifikate auf der Basis von IT-Grundschutz Zertifikatsnummer Institution Untersuchungsgegenstand gültig bis BSI-IGZ SAG Consulting Der Untersuchungsgegenstand ist der Geschäftsbereich Appli Services GmbH cation Management Center (AMC) der SAG Consulting Services GmbH. Dieser Bereich betreibt Kundensysteme und deren Anwendungen auf eigenen Rechnern. Darüber hinaus werden Anwendungen auf Basis von Software AG-Produkten auf externen Kundensystemen betreut. Weiterhin werden Anwendungen über eine VPN Verbindung, die vom Kunden verantwortet wird, betreut. Diese VPN Verbindungen enden in der Firewall des Bereiches AMC. Zum Informationsverbund gehören in diesem Fall nur die betriebenen Anwendungen. BSI-IGZ TDS Der Untersuchungsgegenstand umfasst den IT-Verbund des Informations- Geschäftsbereichs IT Outsourcing (ITO) der TDS Informations technologie AG technologie AG. Zum Verbund zählen alle Services, welche am Standort Neckarsulm, Neuenstadt am Kocher und Ulm (Bürostandort kein RZ-Betrieb durch TDS) durch den Geschäftsbereich ITO betreut werden. Der IT-Verbund umfasst den Betrieb der Serversysteme und Netzwerkkomponenten der hochverfügbaren Rechenzentren an den Standorten Neckarsulm und Neuenstadt am Kocher. BSI Bonn <kes> 2012 # 6 41

10 Amtliche Mitteilungen Zertifikatsnummer Institution Untersuchungsgegenstand gültig bis BSI-IGZ GISA GmbH Der Informationsverbund der GISA GmbH umfasst das Hosting einzelner Systeme, den Betrieb von IT-Infrastrukturen mit den erforderlichen Anwendungen und/oder die Bereitstellung definierter Services. Der Untersuchungsgegenstand besteht aus den IT-Komponenten, die für den Betrieb selbst genutzter oder für Kunden zur Verfügung gestellter Anwendungen, IT-Systeme und Services als Grundversorgung notwendig sind. Er schließt die dafür erforderliche RZ-Infrastruktur an den Standorten Halle und Chemnitz sowie die benötigten Netzwerkdienste und die operative Netzwerkplattform ein. Bestandteile des Untersuchungsgegenstandes sind Systeme zur Bereitstellung von Datensicherungsdiensten, SAN-Systeme, Verzeichnisdienste, Server für Netzbasisdienste, die zugehörigen Netzkomponenten wie Router und Switche, Sicherheitsgateways und Zugangssysteme für einen kontrollierten Zugriff auf unterschiedliche Teilnetze sowie das zugehörige Netz- und Systemmanagement. 6. Folgende Auditteamleiter für ISO Audits auf der Basis von IT-Grundschutz wurden zum zertifiziert: Zertifizierungs-Nr. Name Kontaktinfos Michail Harwardt PERSICON consultancy GmbH, Berlin, Hans Sauer WGZ BANK AG, Düsseldorf, Werner Ochs Deloitte & Touche GmbH, Hannover, Nico Müller Steria Mummert Consulting AG, Frankfurt am Main, Alexander Schlensog secunet Security Networks AG, Essen, Torsten Tuchscherer GISA GmbH, Halle (Saale), Carsten Schulz Infodas GmbH, Köln, Thomas Heß CONNECT Comp. & Netzwerktechnik GmbH, Freiburg, Robert Kallwies HiSolutions AG, Berlin Michael Schmidt-Plankemann activemind cert GmbH, München Christian Lotz plan42 GmbH, München, Francoise Brinkmann LOGICA DEUTSCHLAND GmbH & Co. KG, Hennef, Daniel Bachtanian PERSICON consultancy GmbH, Berlin, 42 BSI Bonn <kes> 2012 # 6