Vertrauenswürdiger Begleiter für 80 Millionen Bürger

Transkript

1 Der IT-Sicherheitsreport von Ausgabe Der neue Personalausweis Vertrauenswürdiger Begleiter für 80 Millionen Bürger Das Internet auf Reisen Sicherer Webzugriff im Fahrzeug IVBV/BVN Intelligente Tools schützen die Netze der Bundesverwaltung SINA Komponenten Zehn Jahre erfolgreich im Einsatz

2 Inhalt Mio. s im Monat aber Spam darf nicht hinein Liebe Leserinnen und Leser, 04 Vertrauenswürdiger Begleiter für 80 Millionen Bürger 06 Deutlich kürzere Wartezeiten für Frankfurter Fluggäste das neue Jahrzehnt beginnt für secunet mit einer Nachricht, die sicher in Zeiten der Finanzkrise nicht oft zu hören ist: Wir verzeichnen ein erneutes Umsatzwachstum von 27 %. Für uns ist das der Beweis, dass wir unsere Märkte gut kennen und unsere Lösungen weiterhin stark gefragt sind. Dieses Rekordergebnis haben wir natürlich auch Ihnen zu verdanken, unseren Kunden und Partnern. Über Ihr Vertrauen freuen wir uns sehr. 07 Aus Gold wird Platin 08 Single Sign-On für die swb AG 09 Einfache Lösung für komplexes System 10 Das Internet geht auf Reisen Das neue Jahrzehnt wird sicherheitstechnisch viele neue Herausforderungen mit sich bringen: Informationssicherheit für intelligente Stromnetze soll zukünftig Umweltschutz und effizientere Energieverteilung gewährleisten. Die Flughafensicherheit wird durch den verstärkten Einsatz von Sicherheitstechnik erhöht. In diesem Zusammenhang gewinnt auch das Thema sichere Grenzkontrolle zunehmend an Bedeutung. Und schon Ende dieses Jahres soll der neue Personalausweis viele neue Geschäftsmodelle für Unternehmen und Behörden ermöglichen. Über einige dieser Themen können Sie bereits in dieser secuview-ausgabe lesen. 11 Was ist eigentlich... Car-to-X-Kommunikation? 12 Bitte Weitersagen: SiKo-Know-how aus erfahrener Hand Neuigkeiten gibt es seit Jahresende auch bei der Führungsposition des BSI: Neuer Präsident des BSI ist der uns seit langem bekannte Michael Hange. Dr. Udo Helmbrecht, langjähriger Präsident des BSI, führt nun als geschäftsführender Direktor der ENISA die IT-Sicherheit auf europäischer Ebene. Als Sicherheitspartner der Bundesregierung freuen wir uns über diese Entscheidungen und gratulieren beiden Herren. 14 Klimaschutz mit Sicherheit 15 Wie viel Zeit liegt eigentlich zwischen und ? 16 Termine Zu guter Letzt möchten wir die offensichtlichste Neuerung ansprechen, die Sie sicher direkt entdeckt haben: Unsere secuview hat genau wie bereits vor einigen Monaten unser Internetauftritt ein neues Gesicht bekommen. Gefällt Ihnen unser neues Design? Teilen Sie uns Ihre Meinung mit, gern per an Und nun viel Spaß beim Lesen der ersten secuview-ausgabe im neuen Jahrzehnt 16 CeBIT 2010 im Zeichen der vernetzten Welten Ihr Rainer Baumgart 02»

3 Aus der Praxis «30 Mio. s im Monat aber Spam darf nicht hinein Intelligente Tools schützen die Netze der Bundesverwaltung Regierungsnetze sind ein beliebtes Ziel für Angreifer und daher besonders schutzbedürftig. Einfache Virenscanner reichen bei durchschnittlich 180 Millionen Webzugriffen und über 30 Millionen s im Monat nicht aus. Deshalb sichert secunet den Zugang des Bundesverwaltungsnetzes (BVN) und des Informationsverbundes der Bundesverwaltung (IVBV) zum Internet mit intelligent kombinierten Tools, Scannern und Mechanismen ab, die speziell auf die Einsatzumgebung ausgelegt sind. Insbesondere Spam-Mails sind ein großes Problem für die Bundesverwaltung. Sie verstopfen nicht nur die Postfächer der Benutzer mit Werbemüll, sondern belasten die Systeme und können im Extremfall den -Verkehr zum Erliegen bringen. Eine Antispam-Adressprüfung soll gegen die unerwünschte Post angehen. Diese Maßnahme greift bereits vor dem Greylisting. Spam wird oft an zufällig generierte und somit ungültige -Adressen gesendet. Daher erfolgt im BVN/IVBV bereits vor der Zustellung eine Prüfung der Empfängeradresse. Gibt es diese nicht, wird die noch vor der vollständigen Annahme zurückgewiesen. Hierdurch wird eine Unzustellbarkeitsbenachrichtigung (Non-Delivery-Report, NDR) unterdrückt und verhindert, dass BVN und IVBV durch das Übermitteln von NDRs selbst zu Versendern von Spam oder gar zum Ziel von Backscatter-Angriffen werden. Die einzelnen Nutzer im BVN/IVBV stellen hierzu regelmäßig in einem automatisierten Verfahren ihre gültigen Empfängeradressen bereit. Ein weiteres verbreitetes Merkmal von Spam ist die Verwendung der Empfängeradresse als Absenderadresse. Im BVN/IVBV hat auch diese Art von elektronischem Müll keine Chance: Interne s laufen zwischen den zugehörigen Behörden nicht über das Internet, sondern über das interne Netz BVN/IVBV. Bei jeder eingehenden externen wird geprüft, ob die Absenderadresse zu Gut zu wissen einer -Domain aus dem BVN/IVBV gehört. Ist dies der Fall, wird sie generell abgewiesen. Diese und weitere Maßnahmen hat secunet speziell auf die Bedürfnisse der Bundesverwaltung zugeschnitten. Pro Monat gelangen so Millionen Spam-Mails gar nicht erst ins Netzwerk. Nutzer freuen sich über höhere Downloadraten und kürzere Antwortzeiten beim Surfen. Auch der Durchlauf des -Verkehrs dauert in der Regel nur noch Sekunden. Dr. Markus Müller Telefon: markus.mueller@secunet.com Antispoofing = Spam, der die gleiche Absenderadresse wie der Empfänger hat, wird abgewiesen Autowhitelisting = Im Rahmen des Greylisting werden Absender, die einen erfolgreichen zweiten Zustellversuch unternommen haben, zukünftig direkt durchgelassen Backscattering = Der Empfänger wird durch den Versand einer Unzustellbarkeitsbenachrichtigung selbst zum Spam-Versender Blacklist = Liste von Absenderadressen, deren s direkt abgewiesen werden Botnetz = Gruppe von vernetzten Computern im Internet, die in der Regel ohne Kenntnis ihres Besitzers benutzt werden, um verteilte Angriffe (z. B. Distributed Denial of Service) gegen Opfersysteme zu fahren Exploits = Konkrete Anleitungen oder Tools zur Ausnutzung von Schwachstellen in IT-Systemen Greylisting = s von unbekannten Absendern werden zunächst abgewiesen und erst nach einem zweiten Zustellversuch angenommen Whitelist = Liste von Absenderadressen, deren s direkt durchgelassen werden «03

4 » Neues aus der Welt Vertrauenswürdiger Begleiter für 80 Millionen Bürger Der neue Personalausweis ist kleiner und handlicher als der alte und bietet deutlich mehr Funktionalitäten offline und jetzt auch online Identität im Scheckkartenformat Viele Alltagsaufgaben wickeln Bürgerinnen und Bürger heute bereits über das Internet ab. Der neue Personalausweis im Scheckkartenformat ist nicht nur handlicher geworden, sondern verfügt neben zahlreichen Sicherheitsmerkmalen auch über einen kontaktlosen Chip, auf dem die aufgedruckten Daten zusätzlich elektronisch gespeichert sind. Der Ausweis kann wahlweise auch Fingerabdrücke, eine elektronische Identitätsfunktion und eine Signaturfunktion enthalten. Diese technologische Neuausstattung ermöglicht zukünftig eine sichere Authentisierung nicht nur in der Offline-, sondern auch in der Online-Welt, und schließt hiermit eine wichtige Lücke. Der Wettbewerb hat längst begonnen weltweit reformieren Staaten ihre Abläufe in den Behörden und Verwaltungen. Mit neuen Technologien und Medien sollen Prozesse schlanker und effizienter, und gleichzeitig formale Behördengänge für die Bürgerinnen und Bürger einfacher werden. Deutschland spielt dabei neben Ländern wie Schweden, Österreich und Großbritannien in der vordersten Reihe mit. Ein wichtiges Projekt steht in diesem Jahr vor der Tür: die Einführung des neuen Personalausweises (npa) zum 1. November Mit diesem neuen Ausweisdokument wird eine sichere Kommunikation und Authentisierung zwischen Bürgern, Verwaltung und Unternehmen realisiert insbesondere für Transaktionen und Prozesse über die neuen Medien wie das Internet. Mit einem hohen Anspruch an Technologie und Datenschutz setzt Deutschland erneut wichtige Standards, an denen sich andere Staaten wie bereits beim epass orientieren werden. So wird sich Made in Germany auch beim npa als Qualitätssiegel durchsetzen. Sicherheit als Voraussetzung für den Erfolg Die Akzeptanz des neuen Personalausweises steht und fällt mit der Sicherheit. Ausweisinhaber erwarten, dass ihre persönlichen Daten zur Nutzung der Dienste sicher übertragen und verwaltet werden. Grundsätzlich entscheidet der Ausweisinhaber selbst, wem er seine Daten zugänglich macht. Nach dem Prinzip der gegenseitigen Authentisierung können nur Anbieter mit einem staatlichen Berechtigungszertifikat auf die Ausweisdaten zugreifen, nachdem der Ausweisinhaber durch Eingabe seiner sechsstelligen PIN die Freigabe explizit erteilt hat. Die Abfrage von sensiblen Daten wie Lichtbild und Fingerabdruck ist nur hoheitlichen Stellen vorbehalten. Zur Absicherung solcher sensiblen und gleichzeitig komplexen Kommunikationsinfrastrukturen kommen ausschließlich hochsichere, moderne Verschlüsselungs- und zuverlässige Authentisierungsverfahren in Frage. secunet steuert als 04»

5 Neues aus der Welt «Sicherheitspartner der Bundesrepublik Deutschland wichtige Lösungsbausteine und Software-Komponenten für hoheitliche Dokumente bei: Das secunet Golden Reader Tool dient bereits jetzt als maßgebliches Werkzeug zur Entwicklungsunterstützung und Demonstration des neuen Ausweises. Mit der eid PKI Suite setzt secunet eine für die Ausgabe und Nutzung des Dokuments erforderliche Public-Key-Infrastruktur (PKI) um, die die kryptographischen Sicherheitsmechanismen für die genannten Anwendungen erfordern. Bei der Ausweisproduktion wird mit Hilfe von kryptographischen Mechanismen sichergestellt, dass die einmal hinterlegten Daten später nicht unbemerkt verändert werden können. Mit der epassportapi hat secunet ein Standardinterface für elektronische Ausweise geschaffen. Dieses bildet die kryptographischen Sicherheitsmechanismen ab und lässt sich mühelos in die Systeme der verschiedenen Hard- und Softwarelieferanten zur Kommunikation mit dem neuen Ausweis integrieren. Das komplexe Gesamtsystem des neuen Personalausweises mit allen neuen Prozessen wird seit Beginn 2010 im Rahmen eines Anwendungstests mit ausgewählten Teilnehmern erprobt, der vom Bundesministerium des Innern zentral koordiniert wird. secunet unterstützt auf der Anwenderseite die Steuerverwaltung bei der Teilnahme an diesem Pilotprojekt und bei der Integration des neuen ELSTER-Registrierungsverfahrens mit dem npa. Ebenfalls hat secunet das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei der Erstellung verschiedener technischer Richtlinien unterstützt. Diese beschreiben ausführlich die Anforderungen und stellen somit sicher, dass ausschließlich leistungsfähige Hard- und Softwaresysteme im Kontext des npa zum Einsatz kommen. In unserer eigenen, vom BSI offiziell anerkannten Prüfstelle untersuchen wir technische Komponenten auf deren Konformität und Erfüllung der Leistungsanforderungen. Vorteile für E-Business und E-Government Überwog bisher die Nutzung des Personalausweises für den Identitätsnachweis im hoheitlichen Bereich, kann der npa zukünftig insbesondere für E-Business und E-Government eingesetzt werden. Wirtschaft und Verwaltung werden zunehmend ihre Dienste online anbieten, bei denen sich der Nutzer mit seinem neuen Personalausweis authentisieren kann. Der Datenaustausch bei Online-Handel, Bankgeschäften oder Verträgen wird ebenso wie in Meldewesen-, Verkehrs- oder Steuerangelegenheiten sicher, valide und vertrauenswürdig über das Internet abgewickelt werden. Online-Dienste werden damit gleichzeitig wirtschaftlicher und flexibler, weil sie einen verlässlichen Ersatz für bisherige Prozesse darstellen. Die vielen Kommunikationsteilnehmer in modernen Prozessketten erfordern hochkompatible Systeme. secunet stellt mit seinen national und international erprobten Plattformen und Produktlösungen diese Kompatibilität und Modularität sicher und kann schnell die individuellen Anforderungen der verschiedenen Prozesse mit den erforderlichen Sicherheitsmechanismen verbinden. Marco Breitenstein Telefon: marco.breitenstein@secunet.com «05

6 » Aus der Praxis Deutlich kürzere Wartezeiten für Frankfurter Fluggäste Pilotprojekt EasyPASS testet am Flughafen in Frankfurt am Main die Teilautomatisierung der Grenzkontrolle durch biometriegestützte Technologie Seit einigen Monaten testet die Bundespolizei im Pilotprojekt EasyPASS eine neue und zukunftsweisende Grenzkontrolltechnologie. Inhaber eines elektronischen Reisepasses (epass) können sich am Flughafen Frankfurt für ein beschleunigtes, biometriegestütztes Verfahren entscheiden: In modernen Grenzkontrollschleusen wird das Gesicht des Passagiers mit dem im Reisepass gespeicherten Lichtbild verglichen. Stimmen die Daten überein und ergeben die Prüfungen keine Beanstandungen, öffnet sich die Schleuse und dem Reisenden wird der Grenzübertritt gewährt. Auch in anderen europäischen Staaten werden aktuell ähnliche Verfahren getestet. EasyPASS unterscheidet sich jedoch grundlegend von allen anderen: Der modulare und standardorientierte Ansatz ermöglicht den flexiblen Einsatz der technischen Komponenten, die zur Durchführung der Grenzkontrolle erforderlich sind dies ist ein starkes Argument im hochdynamischen, internationalen Markt biometrischer Technologien. Und auch im Hinblick auf Prüfumfang und Benutzerkomfort hat EasyPASS weltweit die Nase vorn. secunet liefert für EasyPASS die zentralen Komponenten und ist als Generalauftragnehmer des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für die Projektrealisierung verantwortlich. In Zeiten ständig wachsender Passagierzahlen ist ein effizienter Abfertigungsprozess besonders wichtig. Gleichzeitig muss über die gesamte Prozesskette hinweg ein Höchstmaß an Sicherheit gewährleistet sein. Eine Aufgabe der Grenzkontrolle ist es sicherzustellen, dass die Identität der Passagiere mit den vorgelegten Reisedokumenten übereinstimmt und die Berechtigung zum Grenzübertritt gegeben ist. Damit diese zentrale Funktion auch bei tendenziell steigenden Fluggastzahlen mit unverändert hoher Sorgfalt erfüllt werden kann, wird bereits heute nach neuen und effizienten Lösungswegen gesucht. Im Pilotprojekt EasyPASS prüft die Bundespolizei, wie elektronische Reisepässe und innovative, biometriegestützte Technologien den Grenzkontrollprozess beschleunigen und das Sicherheitsniveau weiter erhöhen können. Das Ziel: Die konventionellen Grenzkontrollen sollen spürbar entlastet, für Passagiere die Wartezeiten deutlich kürzer werden. Seit Herbst 2009 testet die Bundespolizei mit Unterstützung von BSI, Fraport AG und secunet eine teilautomatisierte Grenzkontrolle am Flughafen Frankfurt das sogenannte egate. Reisende können auf freiwilliger Basis die neue Art der Grenzkontrolle nutzen. Dabei legen sie ihren elektronischen Reisepass auf einen der Ausweisleser, der die Echtheitsmerkmale des epasses überprüft. Dies umfasst sowohl die optischen Kennzeichen der Passdatenseite als auch die elektronischen Sicherheitsmerkmale des Chips. Parallel hierzu erfolgt die Abfrage in polizeilichen Fahndungssystemen. Der gesamte Vorgang dauert etwa fünf Sekunden. Wird der Pass anerkannt, öffnet sich der Zugang zur Grenzkontrollspur. Anschließend wird das Gesicht des Reisenden automatisch fotografiert und mit dem Passbild abgeglichen, das bereits vorher aus dem Dokument ausgelesen wurde. Stimmen die biometrischen Daten überein, kann die Grenzkontrolle passiert werden. Beamte der Bundespolizei begleiten diesen automatisierten Prozess an einem Monitoring-Arbeitsplatz und können im 06»

7 Technologie «Aus Gold wird Platin Bedarfsfall unterstützen. Anhand der Überprüfungsergebnisse können sie darüber hinaus entscheiden, ob weitere Kontrollen erforderlich sind. Die technologische Basis für die EasyPASS-Systeme kommt von secunet: Über die Integrationsplattform secunet biomiddle werden alle Komponenten angebunden, die zur Durchführung der Grenzkontrolle erforderlich sind. Dazu zählen beispielsweise Passlesegeräte, Prüfsoftware, biometrische Kameras, polizeiliche Fahndungssysteme und nicht zuletzt das Schleusensystem. secunet hat die Komponenten verschiedener Technologiepartner zu einem funktionierenden Gesamtsystem zusammengefügt sowie die zentrale Steuerung des Kontrollprozesses und die Implementierung der Monitoring-Anwendung für die Grenzkontrollbeamten vorgenommen. In der Funktion des Generalauftragnehmers unterstützt secunet darüber hinaus die Projektleitung von Bundespolizei und BSI dabei, die Systeme während der Projektlaufzeit zu betreuen. Hierzu zählen auch die laufende Auswertung sowie die direkte Einarbeitung der gewonnenen Ergebnisse. So können die Praktikabilität und Sicherheit der Systeme bereits im laufenden Betrieb analysiert und bei Bedarf nachjustiert werden. Die bisherigen Erfahrungen aus dem EasyPASS-Projekt sind äußerst positiv. Das System wird von den Reisenden sehr gut angenommen. Das Projekt hat zudem wertvolle Erkenntnisse in Organisationsfragen geliefert, beispielsweise im Hinblick auf eine optimale Passagierführung. Das Pilotprojekt in Frankfurt am Main wird Einfluss auf die zukünftige Ausgestaltung von Grenzkontrollsystemen an deutschen Flughäfen nehmen. Auch im internationalen Umfeld stößt EasyPASS durch seinen einzigartigen, modularen Ansatz auf reges Interesse. Matthias Niesing Telefon: matthias.niesing@secunet.com Mit dem neuen Golden Reader Tool Platinum Edition bietet secunet erstmalig eine kommerzielle Weiterentwicklung der umfassend am Markt erprobten Standardsoftware dem original Golden Reader Tool (GRT) an. Die Software kann weltweit überall dort eingesetzt werden, wo es auf zuverlässiges und sicheres Auslesen hoheitlicher Dokumente sowie deren Echtheitsprüfung ankommt. In Gemeinschaftsarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik hat secunet mit dem GRT bereits in 2004 eine Software-Applikation zum Auslesen von ICAO-konformen emrtds (electronic machine-readable travel documents) wie zum Beispiel elektronische Reisepässe entwickelt. Das GRT hat weltweit neue Standards gesetzt und wichtige Voraussetzungen geschaffen für die Interoperabilität von emrtds nach ICAO- sowie EU- Vorgaben. Bisher international ausschließlich als Referenzimplementierung eingesetzt, ist das neue GRT Platinum Edition nun auch als kommerziell einsatzfähige Version mit vielen neuen Produktmerkmalen verfügbar, wie zum Beispiel der Unterstützung aller EAC Versionen, der Unterstützung von biometrischen Einsatzszenarien über BioAPI/biomiddle, einem innovativen Design mit SnapIns für individuelle Anforderungen und OEM-Versionen mit individuellen Design- und Sprachanpassungen auf Anfrage. GRT platinum edition Thomas Harenberg Telefon: thomas.harenberg@secunet.com «07

8 » Kundenstimmen Single Sign-On für die swb AG Michael Krempel, Teamleiter IT- und Organisationsmanagement bei der swb AG, Bremen, berichtet über das Pilot-Projekt zur Einführung einer Enterprise Single Sign-On-Lösung Wer kennt das nicht? Für jede einzelne Anwendung im Unternehmen muss man sich ein neues Passwort merken. Die Folge: Nach Möglichkeit verwenden die Nutzer immer die gleichen Passwörter oder schreiben sie auf. Tun sie das nicht, rufen sie regelmäßig beim Helpdesk an, weil sie ihre Zugangsdaten vergessen haben. Dem wollten wir ein Ende setzen, um die Belastung des Helpdesks zu verringern und gleichzeitig die Sicherheit in unserem Unternehmensnetzwerk zu erhöhen. Die Lösung: ein Single Sign-On-System, das alle Applikationen und Nutzer umfasst. Die Single Sign-On- Lösung von secunet überzeugt durch Flexibilität und eine intuitive Benutzeroberfläche. Vor der endgültigen Entscheidung für ein firmenweites Single Sign-On (SSO) haben wir uns entschlossen, ein Pilot-Projekt durchzuführen. Mit der Unterstützung von secunet haben wir die Enterprise SSO-Lösung IAM 8 E-SSO von Evidian ausgewählt. Dieses System hat uns insbesondere wegen seiner Flexibilität und der intuitiven Benutzeroberfläche überzeugt. Vier unserer Hauptapplikationen , Intranet, SAP und CRM hat secunet innerhalb weniger Tage in das SSO integriert. Selbst die Vielzahl an Zugängen und Accounts in unserem komplexen SAP-System stellte keine Herausforderung dar. Und auch die Kombination des E-SSO mit der Verschlüsselungssoftware auf unseren mobilen Arbeitsplätzen wurde durch kleinere Anpassungen ermöglicht. Ein Hauptziel bei der Auswahl des SSO-Systems war es, dass wir in Zukunft eigenständig weitere Applikationen integrieren und Änderungen vornehmen können. Nach einem halben Tag Schulung durch secunet waren unsere Administratoren soweit, diese Aufgaben selbständig zu übernehmen. Ein weiterer Vorteil der Lösung: Passwortwechsel werden bei allen integrierten Applikationen mit abgefangen. Nun können unsere Mitarbeiter jederzeit selbst ein neues Passwort wählen oder es vom E-SSO generieren lassen natürlich unter Einhaltung der jeweiligen Passwortrichtlinien. Die Entscheidung über den Roll-Out des Systems für alle IT-Arbeitsplätze der swb AG wird in den nächsten Monaten gefällt. Dann soll das System eventuell für einige Mitarbeiter um eine zertifikatsbasierte, hochsichere Zwei-Faktor-Authentisierung erweitert werden. Wir sind uns sicher, dass der Roll- Out mit secunet ebenso unkompliziert ablaufen wird wie das Pilot-Projekt. Günther Mellinger Telefon: guenther.mellinger@secunet.com 08»

9 Aus der Praxis «Einfache Lösung für komplexes System GroupM nutzt secunet multisign für die elektronische Rechnungsstellung GroupM ist der Media Investment Bereich der WPP-Gruppe. Das Unternehmen ist mit über Mitarbeitern und einem Brutto-Jahresumsatz von über 60 Milliarden US Dollar der Marktführer bei den globalen Mediaagenturen. Die Holding hat sich zum Ziel gesetzt, ihre Kunden mit innovativen Services in ihrer Markenkommunikation zu unterstützen. Innovativ möchten sie auch in ihren eigenen Geschäftsprozessen sein. Daher sind sie an ihren Outputmanagement-Dienstleister Canon mit der Bitte herangetreten, eine elektronische Rechnungsstellung für ihre Kunden zu etablieren. Canon selbst hat sich dazu die Unterstützung von secunet geholt, um eine Signaturlösung einfach und gesetzeskonform zu integrieren. Die Ausgangslage GroupM ist eine Holding mit verschiedenen Agenturen. Diese sind an den Konzern angeschlossen und nutzen auch dessen Infrastrukturen für die Rechnungsstellung an ihre Kunden. Zusätzlich werden die Dokumente als PDF archiviert, sortiert in einer ausgeklügelten Ordnerstruktur. Jede Agentur hat dabei ihr eigenes Logo und Design, das in beide Versionen der Rechnungen Druck und PDF integriert wird. Als Steuerelement für das Layout dient eine eindeutige Kennung im jeweiligen Datenstrom. In dieses bestehende komplexe Outputmanagement-System sollte nun eine Signaturlösung integriert werden möglichst ohne große Änderungen an der Infrastruktur. Wir haben uns für secunet multisign entschieden, da diese Lösung flexible Schnittstellen aufweist. So war eine einfache Implementierung ohne Anpassungsaufwand möglich, erinnert sich Stefan Halupka, Projektleiter bei Canon. Die Lösung Nun stehen bei GroupM zwei secunet multisign Boxen: eine signiert ausgehende Rechnungen, die andere überprüft elektronische Signaturen und erzeugt entsprechende Prüfprotokolle. So werden nicht nur die Rechnungen gesetzeskonform signiert, auch die PDF- Dokumente erhalten eine digitale Signatur, bevor sie archiviert werden. Dirk Strunz, IT-Leiter bei GroupM Germany, ist von der Lösung begeistert: Ich hätte nie gedacht, dass die Integration einer Druckaufträge pro Sub-Agentur Datenbank GroupM ERP Canon Outputmanagement-Lösung Signaturlösung so schnell gehen kann. secunet multisign läuft zuverlässig, so dass wir den Ansprüchen unserer Kunden gerecht werden. Dieses Projekt wird sicher nicht das letzte sein, das Canon und secunet gemeinsam durchführen. Die Angebote der beiden Unternehmen ergänzen sich sehr gut: Canon liefert Dokumentenmanagement-Systeme und IT-Solutions für effiziente Geschäftsprozesse, und secunet sorgt für die nötige Sicherheit. Roland Krüger Telefon: roland.krueger@secunet.com PDF-Dokumente mit Signatur Die Herausforderung PDF-Dokumente Archiv secunet multisign lässt sich ganz einfach bei GroupM in das bestehende Outputmanagement-System von Canon implementieren «09

10 » Aus der Praxis Das Internet geht auf Reisen Autofahrer surfen zukünftig auch in ihrem Fahrzeug sicher durch das Netz Fahrzeughalter verlangen zunehmend nach mobiler Kommunikation in ihrem Wagen. Dabei steht nicht der Einsatz von portablen Geräten wie Smartphones oder Laptops im Mittelpunkt. Es geht um eine komfortable Internetnutzung im Fahrzeug selbst. Die Internetseiten werden dabei auf einem eingebauten Monitor mittels eines herkömmlichen Browsers dargestellt. Dadurch werden sämtliche Internetangebote auch im Auto ermöglicht. Wo Licht ist, ist auch Schatten Um im Fahrzeug einen ähnlich guten Bedienkomfort wie am PC zu erreichen, müssen Internetlösungen mit dem Bordnetz verbunden werden. Nur so können Eingabefunktionen und eine Cockpit-integrierte Anzeige bzw. Audioausgabe realisiert werden. Das bedeutet aber gleichzeitig, dass Fahrzeuge mit integrierter Internetfunktionalität den Schattenseiten des World Wide Webs ausgesetzt sind: Indem Hacker Schwachstellen von herkömmlichen Internetbrowsern ausnutzen, verschaffen sie sich die Möglichkeit, das Bordnetz des Autos anzugreifen. Solche Attacken und daraus resultierende Fehlfunktionen schaden nicht nur dem Image des Fahrzeugherstellers, sondern gefährden darüber hinaus die Sicherheit des Fahrers. Vorbeugen ist besser als heilen Unser Kunde, ein deutscher Automobilhersteller*, ist sich der Risiken des Internets im Fahrzeug bewusst und stellt sich ihnen. Das Unternehmen minimiert potenzielle Risiken ausgehend von zwei Seiten: durch vielschichtige Schutzmechanismen im Backend und durch ein sorgfältiges Security-Design der Steuergeräte im Fahrzeug selbst. Im Backend wird ein umfangreiches Content-Filtering implementiert. Dieses untersucht Datenströme noch bevor sie das Fahrzeug erreichen und fängt sie gegebenenfalls ab. Die Head-Unit, das Kontrollzentrum des Entertainmentsystems im Fahrzeug, ist so konzipiert, dass sie sich selbst und das Boardnetz erfolgreich vor Angriffen schützt. Sichere Internetnutzung im Fahrzeug: Die Tochter chattet komfortabel. Die Mutter wählt die nächstgelegene Tankstelle direkt als Navigationszwischenziel aus. Gleichzeitig laufen die Assistenzfunktionen für den Vater ungestört weiter geschützt vor Angriffen aus dem Internet. secunet ist in diesem Zusammenhang verantwortlich für die Sicherheit. Als langjähriger Dienstleister unterstützen wir unseren Kunden von der Sicherheitsanalyse der entsprechenden Internetlösungen bis hin zur Produktentwicklung. Die Sicherheitsanalyse erfolgt sowohl auf Spezifikationsebene als auch am lebenden Objekt. secunet hat exklusiv für dieses Szenario Angriffe entworfen und die erstellten Testfälle in das bestehende Test-Framework eingebunden. Die Testfälle decken den gesamten Weg einer Webseite im Browser ab: beginnend mit der Verarbeitung von ankommenden HTTP-Datenpaketen auf * Wir bitten um Verständnis, dass wir den Kunden aufgrund von Vertraulichkeitsvereinbarungen nicht nennen können. 10»

11 Aus der Praxis «Netzwerkebene, über das Rendering von HTML mit CSS bis zur Ausführung von aktiven Inhalten mittels JavaScript und Flash ActionScript. Im Rahmen von automatisierten Testabläufen wird die Head-Unit diesen Angriffen ausgesetzt. Manuell werden zusätzlich auch bisher unbekannte Angriffsmöglichkeiten untersucht. Alexander Kruse Telefon: alexander.kruse@secunet.com Die gewonnenen Erkenntnisse lässt secunet wieder in das Design der Head-Unit und des Browsers einfließen. So stellt unser Kunde sicher, dass der größtmögliche Schutz des Fahrzeugs erreicht wird und keine bösen Überraschungen beim Endkunden auftreten. Was ist eigentlich Car-to-X-Kommunikation? Autos der Zukunft sind nicht auf den Mund gefallen. Immer und überall wollen sie sich austauschen: über das Wetter, Verkehrssünder und Tempolimits. Doch die Fahrzeuge plaudern nicht zum Vergnügen. Sie warnen sich gegenseitig vor Gefahrenzonen wie Glatteis und Nebel, vor uneinsichtigen Kreuzungen oder Unfallstellen. Damit das Szenario funktioniert, muss aus autonomen Fahrzeugen eine vernetzte Social Community werden. Denn nur in einem kooperativen Netzwerk können Daten schnell ausgetauscht werden. Assistenzsysteme im Auto sammeln Informationen über sich selbst und ihre Umwelt (Car-2-Infrastructure-Kommunikation) und geben diese an Fahrzeuge in ihrer unmittelbaren Umgebung weiter (Car-2-Car-Kommunikation). So kommunizieren Autos einerseits mit der Ampel oder dem Bahnübergang 100 Meter vor ihnen, andererseits mit weiteren Fahrzeugen. Dadurch können sie aktiv auf Gefahren reagieren. Das Ziel der Weiterentwicklung ist die Erhöhung der Sicherheit im Verkehr und somit eine Reduzierung von Verkehrsunfällen und Verkehrstoten. Durch die Öffnung des Fahrzeugs gegenüber anderen Verkehrsteilnehmern und dem Internet steigen die Anforderungen an eine sichere Kommunikationsstruktur. Grundwerte der Informationssicherheit wie Vertraulichkeit, Integrität und Verfügbarkeit, erweitert um Authentizität und Verbindlichkeit beschreiben die Kernanforderungen der Kommunikation zwischen Fahrzeugen und vorhandener Infrastruktur. Thomas Donner Telefon: thomas.donner@secunet.com «11

12 » Aus der Praxis Bitte Weitersagen: SiKo-Know-how aus erfahrener Hand secunet unterstützt Behörden zum Thema IT-Grundschutz mit der Erfahrung aus mehr als 80 Government-Projekten Gehören Sie auch schon dazu? Denn viele Behörden haben es bereits ein wirksames Informationssicherheitsmanagementsystem (ISMS). Sie tragen den Anforderungen des UP Bund Rechnung, der sich auf den Schutz sämtlicher Informationsinfrastrukturen in allen Behörden des Bundes richtet. Damit erkennen sie Informationssicherheit als eine wesentliche, dauerhafte und zentrale Management-Aufgabe an. BSI-Werkzeugkoffer für ein komplexes Vorhaben Die Installation eines ISMS erfolgt im Alltag leider nicht per Plug& Play. Einem solchen System geht vielmehr eine umfangreiche Analyse des eigenen Schutzbedarfs, des IT-Verbundes, der Risiken und der daraus abzuleitenden Sicherheitsmaßnahmen voraus. Als Hilfestellung für Organisationen, die die Erstellung eines IT-Sicherheitskonzeptes (SiKo) noch planen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem sogenannten IT-Grundschutz eine vereinfachte Methode entwickelt, mit der zeitgemäße Sicherheitsmaßnahmen identifiziert und umgesetzt werden können. Im Rahmen dessen stellt das BSI zahlreiche Werkzeuge zur Verfügung, wie zum Beispiel die Standards zum Informationssicherheitsmanagement, die IT-Grundschutz-Kataloge und das Grundschutztool. Diese GSTOOL genannte Datenbankanwendung vereinfacht erheblich den Weg zum IT-Sicherheitskonzept und funktioniert stark vereinfacht so: Sämtliche aus der Analyse gewonnenen Informationen, zum Beispiel zu Datenklassen, bereits erfolgten IT-Sicherheitsmaßnahmen, personellen und orga-» Termin -Archivierung zum Frühstück: secunet trust vault auf der 2. Frühschicht Tag für Tag müssen über 20 Milliarden s weltweit beantwortet, gelöscht, weitergeleitet oder archiviert werden. Und insbesondere der letzte Punkt wird immer wichtiger in Unternehmen. Grund genug für secunet, die 2. Frühschicht am 27. Oktober 2009 dem Thema - Archivierung zu widmen. Mit secunet trust vault bieten wir eine neue Lösung, die praktikabel und einfach in jede IT-Landschaft zu integrieren ist. Auf der Agenda standen neben einer Live-Demonstration unserer Lösung auch die rechtlichen Rahmenbedingungen der -Archivierung. Thomas Becker von Freshfields Bruckhaus Deringer LLP gab einen interessanten Überblick über gesetzliche Anforderungen, die bei der Archivierung von s beachtet werden müssen. Doch auch IT-Verantwortliche sehen Vorteile beim Einsatz einer -Archivierungslösung: Die Massen an s, die mehrere Monate auf den Mail-Servern vorgehalten werden, landen nun direkt im -Archiv. Das Feedback der Teilnehmer war sehr positiv. Die nächste Frühschicht befindet sich bereits in der Planung. Über den Termin und das Thema werden wir Sie rechtzeitig informieren.»» Sie möchten die nächste Frühschicht auf keinen Fall verpassen? Dann senden Sie uns eine mit Ihren Kontaktdaten an

13 Aus der Praxis «nisatorischen Rahmenbedingungen und zur IT-Infrastruktur, werden in der Datenbank gesammelt. Das System ermittelt einen Maßnahmenkatalog aus dem Vergleich der Ist-Daten mit dem vordefinierten Schutzbedarf und den Risiken. Klingt einfach, ist aber bei komplexen IT-Verbünden ein anspruchsvolles und meist umfangreiches Vorhaben: Um einen gut handhabbaren und priorisierten Maßnahmenkatalog erhalten zu können, müssen Sie bereits bei der Analyse definieren, wie Sie komplexe IT-Strukturen sinnvoll und schlank strukturieren. Mehrwert durch erfahrene Projektbegleitung An dieser Stelle mal in eigener Sache: secunet hat in mehr als 80 Projekten allein innerhalb der letzten zwei Jahre Sicherheitskonzepte für Behörden erarbeitet. Damit können wir umfangreiche Erfahrungen im Umgang mit großen IT-Verbünden und der Erstellung von Sicherheitskonzepten nach ISO und auf Basis IT-Grundschutz aufweisen. Wir sind mit den besonderen Anforderungen sowie Rahmenbedingungen in der öffentlichen Verwaltung bestens vertraut und zeigen unseren Kunden gern den jeweils bestmöglichen Lösungsweg. secunet unterstützt Behörden sowohl bei der Erstellung von IT-Sicherheitskonzepten als auch bei der Installation von dauerhaften Sicherheitsmanagementsystemen. Dabei beginnt die Unterstützung unserer SiKo-Spezialisten mit der Bestandsaufnahme: Wir analysieren gemeinsam mit Ihnen die wesentlichen Parameter sowie bereits erfolgte Maßnahmen und fassen diese Daten optimal im GSTOOL für Sie zusammen. Sie erhalten im Ergebnis einen individuellen Maßnahmenkatalog, mit dem Sie eigenständig und ressourcenschonend weiterarbeiten können. Alternativ setzen wir die nächsten Schritte zu einer sicheren Infrastruktur schnell und mit überschaubarem Aufwand für Sie um. Matthias Kessler Telefon: matthias.kessler@secunet.com Kooperationen «Richtlinienkonforme Lösung für rechtssichere, elektronische Langzeitarchivierung Die digitale Archivierung und Belegerfassung bietet gegenüber der klassischen Ablage eine Reihe von Vorteilen: Deutlich verbesserte Informationstransparenz und vor allen Dingen enorme Platz-, Zeit- und Kostenersparnisse. Um ein rechtssicheres Langzeitarchiv aufzubauen, benötigt man zum einen ein zuverlässiges Storage System und zum anderen einen sicheren Manipulationsschutz. Die Produktserie 11 g von Oracle in Kombination mit der Massensignaturlösung secunet multisign deckt diese Anforderungen ab. Das schlagkräftige Gesamtpaket ist konform zur Technischen Richtlinie TR des Bundesamtes für Sicherheit in der Informationstechnik. Es bietet höchste Datensicherheit und Leistungsfähigkeit, ist frei skalierbar und lässt sich problemlos in bestehende Umgebungen integrieren. Kurt Maier Telefon: kurt.maier@secunet.com «13

14 » Neues aus der Welt Klimaschutz mit Sicherheit Intelligente Stromnetze, auch Smart Grids genannt, werden in naher Zukunft kreuz und quer über Deutschland liegen. Dann werden Stromleitungen nicht mehr nur Strom leiten, sondern auch Daten transportieren. Daher müssen sie auch gegen Manipulation und Angriffe geschützt werden. Doch was motiviert die Bundesregierung und die Energieversorger zu so einem Milliardenprojekt? Erneuerbare Energien Zum einen soll und wird der Anteil erneuerbarer Energien weiter steigen. Die erzeugte Menge an Sonnen- und Windenergie hängt aber von Tageszeit und Wetter ab. Um die Energieerzeugung auszubalancieren, werden mehrere Kraftwerke zu einem virtuellen Kraftwerk zusammengefasst. Regelbare Komponenten dienen dabei der Glättung. Entscheidend für die korrekte Funktionsweise des virtuellen Kraftwerks ist eine verlässliche und sichere Kommunikation zwischen den beteiligten Segmenten. Regelbar ist aber nicht nur die Erzeugung von Energie auch der Verbrauch kann gesteuert werden. Durch die Kommunikation zwischen Stromerzeugern und Elektrogeräten in Haushalten und Unternehmen können diese sich automatisch anschalten, wenn an der Nordsee gerade Windstärke acht ist und somit viel Strom erzeugt wird. Der Vorteil für die Konsumenten: Sie erhalten umweltschonenden Strom zu günstigen Preisen, weil gerade genügend vorhanden ist. Der Vorteil für die Erzeuger: Sie können Ökostrom verkaufen, wenn er in Mengen produziert werden kann. Auch hier ist eine zuverlässige und hochsichere Kommunikation zwischen Produzenten und Verbrauchern Grundvoraussetzung für eine sichere Energieversorgung. Dezentrale Energieerzeugung, dezentrale Speicherung Mit der steigenden Zahl an Photovoltaikanlagen, Blockheizkraftwerken sowie Wärmepumpen in Privathaushalten steigt der Anteil dezentral produzierter Energie. Konsumenten kaufen und verkaufen Energie die Geburtsstunde der Prosumer. Auch Besitzer von Elektrofahrzeugen können Prosumer werden. Eine potenzielle Anzahl von Millionen Fahrzeugbatterien stellt eine enorme Menge an Energiespeichermöglichkeiten dar Energie, die im Moment vielleicht gar nicht vom Fahrzeughalter benötigt wird und somit zwischenzeitlich anderen Verbrauchern zur Verfügung gestellt werden kann. Die Abstimmung und Abrechnung dieses Energiehandels zwischen Privatleuten, Unternehmen und Energieversorgern erfordert entsprechende Datenleitungen und vor allem hochsichere Kommunikation. Datenschutz und Manipulationssicherheit Alle neuen Technologien rufen auch Kritiker hervor: In erster Linie wird der mangelnde Datenschutz beanstandet. Wenn der Stromverbrauch quasi live über das Internet übermittelt wird, können aus diesen Daten Verbrauchsgewohnheiten und somit Lebensgewohnheiten gewonnen werden. Die Gefahr: Verbraucht ein Haushalt an einem Abend keinen Strom, können kriminelle Mitmenschen, die sich Zugang zu den Verbrauchsdaten verschafft haben, daraus schließen, dass niemand zu Hause ist und einen Einbruch verüben. Auch Manipulationen an den Abrechnungen wären für Hacker kein Problem. Daher schließt sich secunet mit namhaften Forschungs- und Industrieteilnehmern zu einer Sicherheitsinitiative für Smart Grids zusammen. Gemeinsam soll so den Gefahren der Spionage und Manipulation von Stromdaten mit starken Verschlüsselungslösungen, Signaturen und Datenbankabsicherungen entgegengewirkt werden. Auch eine zuverlässige Authentisierung der Teilnehmer im intelligenten Stromnetz ist mit der geeigneten Technik möglich. Unsere umfangreichen Erfahrungen im Bereich der IT-Sicherheit können wir für die zuverlässige Absicherung der Strom-Datennetze einsetzen, so Thomas Koelzer, Vorstand der secunet AG. Gebündelt mit dem Know-how unserer Partner können Endkunden ohne Sorgen die Vorteile der Smart Grids nutzen. Thomas Stürznickel Telefon: thomas.stuerznickel@secunet.com 14»

15 Technologie «Wie viel Zeit liegt eigentlich zwischen und ? Unsere Antwort: knapp drei Jahre. Soviel Zeit ist vergangen zwischen dem Verkauf der und der SINA Komponente. Gern erinnern wir uns an die CeBIT 2007, als wir das SINA Gerät symbolisch an den damaligen Bundesminister des Innern Dr. Wolfgang Schäuble übergaben. Der Umzug der Bundesregierung von Bonn nach Berlin und die Forderung zur Nutzung bestehender IT-Infrastrukturen und des Internets für die Verarbeitung und Übertragung unterschiedlich eingestufter Verschlusssachen (VS) waren der Startschuss für SINA. Das war Ende Vom Start des Entwicklungsprojekts bis zur Auslieferung der SINA Komponente im September 2009 sind nahezu zehn Jahre vergangen, in denen aus einer vom Bundesamt für Sicherheit in der Informationstechnik (BSI) konzipierten Systemgrobarchitektur eine Produktlinie entstand, die überall da erfolgreich im Einsatz ist, wo es VS-Daten und anderweitige sensible Daten zu sichern gibt. Mit einem ganzheitlichen Architekturansatz adressiert SINA die wesentlichen Teilbereiche moderner VS-Verarbeitung mittels stationär und mobil einsetzbarer Thin und Fat Clients, VPNund One Way Gateways, Leitungsverschlüsslern und einem zugehörigen Management. All diese Komponenten ermöglichen ein sicheres Bearbeiten, Speichern und Übertragen von VS- Daten unterschiedlicher Einstufung, demnächst auch eine sichere Nachweisführung. Von 0 nach dauerte es acht Jahre. Von nach drei. Damit ist SINA für das BSI die erfolgreichste entwicklungsbegleitete nationale Kryptoproduktfamilie im Hochsicherheitsumfeld. Von nach ? Bleibt abzuwarten. Wir sind guter Dinge, dass wir Sie demnächst darüber informieren können. Dr. Michael Sobirey Telefon: michael.sobirey@secunet.com Zulassungsgrade Komponente Deutschland NATO EU SINA Thin Client VS-NfD NATO RESTRICTED RESTREINT UE VS-VERTRAULICH NATO CONFIDENTIAL CONFIDENTIEL UE GEHEIM NATO SECRET SECRET UE STRENG GEHEIM SINA Virtual Workstation VS-NfD NATO RESTRICTED RESTREINT UE VS-VERTRAULICH NATO CONFIDENTIAL GEHEIM* SINA L2 VS-NfD NATO RESTRICTED RESTREINT UE SINA Box VS-NfD NATO RESTRICTED RESTREINT UE VS-VERTRAULICH NATO CONFIDENTIAL CONFIDENTIEL UE GEHEIM NATO SECRET SECRET UE STRENG GEHEIM SINA One Way Gateway 2 GEHEIM (NATO SECRET) Der jeweilige VS-Zulassungsgrad erfordert hinsichtlich Hard- und Software zulassungskonform dimensionierte und konfigurierte SINA Komponenten. Für den zulassungskonformen Betrieb sind die Vorgaben und Sicherheitshinweise aus den Anlagen der jeweils gültigen BSI-Zulassungsurkunde zu beachten. * vorläufige Zulassung im März 2010 erwartet

16 Termine» RSA Conference San Francisco März 2010» CeBIT Hannover März 2010» Workshop IT Security on Board München 23. April 2010» Infosecurity Europe London April 2010» heise Security Tour Hamburg, Düsseldorf, München, Stuttgart April/Mai 2010» AFCEA Fachausstellung Bonn-Bad Godesberg Mai 2010» IDC IT Security Roadshow Istanbul, Almaty, Belgrad Mai/Juni 2010» SINA Anwendertag Bonn Juni 2010» PITS Public IT Security Berlin Oktober 2010» Biometrics London Oktober 2010» it-sa Nürnberg Oktober 2010» Cartes Paris Dezember 2010 CeBIT 2010 im Zeichen der vernetzten Welten Connected Worlds lautet das Motto der diesjährigen CeBIT in Hannover. Vernetzte Welten ziehen sich inzwischen durch alle Spektren des Geschäfts- sowie des Privatlebens. Der zuverlässige Betrieb aller vernetzten Systeme steht und Unsere Top Themen auf der CeBIT 2010: Biometrie npa, epass, biometrische Visa Data Loss Prevention D Konnektor -Archivierung secunet wall 2 secunet multisign SINA Produktfamilie fällt mit der IT-Sicherheit. Die Halle 11 wird vom 2. bis 6. März erneut Treffpunkt der IT Security-Community sein. secunet präsentiert Ihnen dort am Stand D 45 anspruchsvolle Lösungen für die Sicherheit Ihrer Connected World. Besuchen Sie uns vom 2. bis 6. März 2010 in Halle 11, Stand D 45. Möchten Sie vorab einen Termin mit uns vereinbaren? Dann senden Sie uns eine an CeBIT2010@secunet.com. Impressum Herausgeber secunet Security Networks AG Kronprinzenstraße Essen Verantwortlich für den Inhalt Marketing marketing@secunet.com Redaktionsleitung ines.kruse@secunet.com Gestaltung Chromedia West GmbH 16»