Drei Branchen im Schulterschluss

Transkript

1 Der IT-Sicherheitsreport von Ausgabe Expertengespräch mit RWE zum Thema Elektromobilität Drei Branchen im Schulterschluss SINA VW im Einsatz Interview mit dem Vizepräsidenten des BSI Horst Flätgen Schau mir in die Dokumente, Kleines Lufthansa testet neues Prüfsystem in Casablanca und Lagos Rundum-Schutz für die swb AG Schrittweiser Ausbau der IT-Sicherheit

2 Inhalt 03 Schau mir in die Dokumente, Kleines 04 Drei Branchen im Schulterschluss 06 Keine Cocktails für die öffentliche Verwaltung 08 Sichere und einfache Lösung für die Kopplung von Infrastrukturen 09 Sicherheitsgerüst für hoheitliche Dokumente 10 Rundum-Schutz für ein ganzes Unternehmen, swb AG 12 Das iphone als Single Sign-On-Lösung im Fahrzeug 13 IT Security on Board geht erfolgreich in die 4. Runde 14 Premium-Sicherheit für den öffentlichen Dienst im Freistaat SINA Anwendertag in Bonn 15 Was ist eigentlich... SINA CORE? Liebe Leserinnen und Leser, die Ölkatastrophe im Golf von Mexiko und die steigenden Kraftstoffpreise zeigen es sehr deutlich: Es drängt nach Alternativen zu benzinangetriebenen Autos. Daher treiben große Energieversorger wie RWE gemeinsam mit Automobilherstellern die Forschung im Bereich Elektroautos stark voran. Deren Verbrauch liegt bei einem Drittel der Kosten eines Benziners. So helfen Elektroautos glaubt man den Befürwortern bei der Erreichung der Klimaschutzziele. Im europäischen Durchschnitt stößt ein Elektrofahrzeug 86 Gramm CO 2 pro Kilometer aus. Dieser Wert variiert je nach Art der Stromgewinnung. Steigt der Anteil erneuerbarer Energien, sinkt natürlich der CO 2 -Ausstoß. Zum Vergleich: Ein Benzinmotor liegt mit 161g/km bei fast doppelt so viel CO 2 -Emission. Bereits in den Anfängen der Automobilentwicklung Ende des 19. Jahrhunderts gab es Elektroautos. Aufgrund der geringen Reichweite und der unzureichenden Technik mussten sie jedoch Benzinern weichen. Heute sind wir einige Schritte weiter. So ermöglicht die Entwicklung der Lithium- Batterie deutlich größere Reichweiten für Elektroautos. Doch noch gibt es verschiedene Hürden, die es zu bewältigen gilt. Welche, das lesen Sie in unserem Expertengespräch auf Seite 4. Gunnar Hettstedt, Leiter unseres Geschäftsbereichs Automotive Security, hat sich mit Stephan Voit, Projektleiter beim Energiekonzern RWE, über die aktuellen und zukünftigen Entwicklungen und die dabei so wichtige Rolle der IT-Sicherheit unterhalten. Natürlich haben wir auch in dieser Ausgabe der secuview wieder weitere spannende Themen der IT-Sicherheit für Sie aufbereitet. Der Vizepräsident des BSI, Horst Flätgen, berichtet über seine ganz persönlichen Erfahrungen mit der SINA Virtual Workstation. Außerdem geben wir Ihnen Hintergrundinformationen über aktuelle Projekte der Bundesregierung. Viel Spaß beim Lesen! Ihr Rainer Baumgart 16 Termine 02»

3 Aus der Praxis «Schau mir in die Dokumente, Kleines Lufthansa testet Lösung von secunet zur Prüfung von Reisedokumenten in Casablanca und Lagos Versuche von unberechtigten Grenzübertritten an Flughäfen stellen nicht nur für die Bundespolizei kritische Situationen dar. Auch die befördernden Fluggesellschaften sind betroffen und beteiligen sich an der Prüfung der Reisedokumente. secunet hat aktuell für Lufthansa ein automatisiertes, mobiles Prüfsystem für Reisedokumente entwickelt. Damit kann die Fluggesellschaft bereits vor dem Check-in am ausländischen Flughafen die Reisedokumente aller Passagiere mit dem Ziel oder auch Zwischenstopp Deutschland überprüfen und eine mögliche illegale Beförderung so frühzeitig verhindern. Lufthansa unterstützt damit die Arbeit der Bundespolizei, in deren Hoheit die Grenzkontrolle an deutschen Flughäfen liegt. Was erst einmal einfach klingt, verlangt in der Praxis eine besondere Expertise: 1. Das Reiseaufkommen ist hoch, es müssen viele Reisedokumente geprüft werden. 2. Reisepässe und Visa aus aller Herren Länder müssen auf Echtheit und Gültigkeit überprüft werden. 3. Viele Fälschungen sind heute nur schwer als solche zu erkennen. Das neue, automatisierte System soll die Sicherheit der optischen Prüfung erhöhen. Die notwendige Hardware, ein Dokumentenlesegerät und Laptop mit Referenzdatenbank, ist kompakt in einem Koffer untergebracht und somit sehr mobil. Sie kann gezielt und äußerst flexibel an den Flughäfen mit kritischem Missbrauchspotenzial Lufthansa-intern Hotspots genannt eingesetzt werden. secunet biomiddle sorgt dafür, dass das System auch für zukünftige Technologien und Erweiterungen offen ist. Zudem ist es für das Lufthansa-Personal intuitiv bedienbar. Die Praxis Vor dem Check-in-Schalter sitzen Lufthansa-Mitarbeiter und überprüfen mit Hilfe der secunet-lösung die wesentlichen optischen Sicherheitseigenschaften der Dokumente im UV-, Infrarot- und sichtbaren Licht sowie deren Gültigkeit und Bekanntheit in der Referenzdatenbank. Bis zur Landung in Deutschland werden die Daten kurzfristig zur Prüfung archiviert und anschließend unwiederbringlich gelöscht. Das System ersetzt zwar nicht den Dokumentenexperten, bietet jedoch dem geschulten Laien eine wertvolle technische Unterstützung. Darüber hinaus können die Prüfdaten bei Bedarf verschlüsselt an den zentralen Security Desk der Lufthansa in Frankfurt übermittelt werden, eine Sicherheitseinrichtung, die in Zweifelsfällen entscheiden kann. In Praxistests in Casablanca und Lagos haben secunet- Experten mit Unterstützung der Bundespolizei die Abwicklung verschiedener Flüge von Afrika nach Europa begleitet und dabei insgesamt über Dokumente geprüft. Das System traf dabei auf hohe Akzeptanz, sowohl bei den Reisenden als auch bei den Lufthansa-Mitarbeitern. Die praktischen Erfahrungen aus diesen Kontrollen haben die Experten in der Modifikation und Fortentwicklung des Prüfsystems umgesetzt. Lufthansa setzt das Koffersystem seit diesem Jahr zielgerichtet an den international bekannten Hotspots ein. Marco Breitenstein Foto: Dominik Mentzos/Lufthansa Das neue, mobile System von secunet ermöglicht es Lufthansa, bereits am Check-in die Reisedokumente zu prüfen «03

4 » Expertengespräch Drei Branchen im Schulterschluss Expertengespräch mit RWE zum Thema Elektromobilität Elektromobilität das bedeutet von A nach B zu kommen, ohne einen Tropfen Benzin zu verbrauchen. Möglich macht dies das Elektrofahrzeug. Die Elektromobilität ist einer der wichtigsten Faktoren für das deutsche Wirtschaftswachstum und die Erreichung der Klimaschutzziele. Damit jedoch die Elektrifizierung des Fahrzeugantriebs eine echte Alternative zu konventionellen Motoren wird, sind noch einige Hürden zu nehmen. Um tragfähige Lösungen zu entwickeln, arbeitet secunet Hand in Hand sowohl mit Fahrzeugherstellern als auch mit Energieversorgern wie RWE. secuview: Herr Hettstedt, was hat dazu geführt, dass das Thema Elektromobilität momentan eine so starke Aufmerksamkeit erhält? Soweit ich mich erinnere, wurde das Elektroauto schon vor über 100 Jahren erfunden. Hettstedt: Das stimmt. Thomas Davenport entwickelte schon 1834 das erste batteriebetriebene Fahrzeug. Nur setzte es sich nicht sofort durch. Erst in den letzten Jahren gaben steigende Ölpreise und eine alarmierende Umweltbelastung der Entwicklung neuen Schwung. Die aktuell spürbare Dynamik in der Wirtschaft ist vor allem auf das Energie- und Klimaprogramm von 2007 zurückzuführen. Der Bund verabschiedete damals ein Maßnahmenpaket, das auf den Klimaschutz sowie auf das Wachstum und die Sicherung des Industriestandortes Deutschland abzielt. Die Elektromobilität ist eine der tragenden Säulen dieses Plans. Stephan Voit Projektleiter bei RWE Effizienz GmbH RWE treibt seit Jahren die Entwicklung der Elektromobilität stark voran. Warum? Voit: Die Zeit ist reif für Elektromobilität. Die Batterietechnik hat dank Laptops und Mobiltelefonen inzwischen einen Stand erreicht, der zum Teil Fahrzeugreichweiten bis zu einigen hundert Kilometern ermöglicht. Wenn die Antriebsbatterien erst in Serie gefertigt werden, werden auch die Batteriepreise deutlich sinken. Durch den Ausbau der regenerativen Energien, insbesondere der Windenergie, werden zudem viele Energieabnehmer benötigt, die dynamisch im Gleichklang mit der Energieeinspeisung diesen Strom speichern. Die hohe Effizienz der elektrischen Systeme erlaubt so eine deutliche Reduzierung von klimawirksamen Abgasen. Viele gute Gründe für RWE vorrweg zu gehen. Gunnar Hettstedt Geschäftsbereichsleiter Automotive Security bei secunet Wie funktioniert denn eigentlich das Aufladen eines Fahrzeugs? Hettstedt: Ganz einfach und vergleichbar mit dem bekannten Betankungsprozess. Anstelle der Zapfsäule benutzen Fahrer die Ladesäule und anstelle der Zapfpistole den Ladestecker. Allerdings dauert der Ladevorgang mit der verfügbaren Batterietechnologie heute noch deutlich länger als der klassische Tankvorgang und das selbst im Fast Charge Modus mit dreiphasigem Drehstrom. Voit: Da die meisten PKWs mehr als 20 Stunden pro Tag stehen, gibt es jedoch genügend Zeit, das Auto zu laden zu Hause in der Garage oder auf dem Parkplatz, auf dem Firmenparkplatz, im Parkhaus, Kino oder Einkaufszentrum. Und wie bezahlt man seinen Strom? Voit: Es ist wichtig, dass der Bezahlvorgang so einfach und kostengünstig wie möglich für den Endkunden abläuft. Unsere Ladestationen erkennen unsere 04»

5 Expertengespräch «Kunden durch eine automatische Authentifizierung über das Ladekabel. Ist der Ladevorgang abgeschlossen, wird der Verbrauch an unser Kundencenter weitergeleitet und dem Kundenkonto zugeordnet. Dies stellt die Basis für den Rechnungsversand dar. Hettstedt: In den e-mobility-pilotregionen werden darüber hinaus weitere Bezahlmodelle getestet. So zum Beispiel über Mobilfunk und mittels zusätzlicher RFID-Karte. Wichtig dabei ist, dass der Endkunde so weit wie möglich auf bekannte Verfahren zurückgreifen kann. RWE und secunet überarbeiten gerade gemeinsam die Sicherheitsmechanismen der Ladekommunikation. Wie ist hier der aktuelle Status? Voit: Für das Pilotprojekt e-mobility Berlin haben Daimler, EMSYCON, INSYS und RWE gemeinsam ein Protokoll zur Ladekommunikation entwickelt und es als Basis für einen internationalen Standard zur Verfügung gestellt. Die Analyse von secunet hat gezeigt, dass nach gegenwärtigem Stand der Technik die Sicherheit ausreichend berücksichtigt wurde. Für den zurzeit in der Entwicklung befindlichen internationalen Standard (ISO/IEC 15118) geht es jetzt darum, die Komplexität der Sicherheitsarchitektur zu reduzieren und das Sicherheitsniveau für weitere Anwendungsbereiche wie das Roaming der Nutzung von Ladeinfrastrukturen anderer Anbieter zu erhöhen. Warum haben Sie gerade secunet als Partner für dieses Projekt ausgewählt? Voit: secunet hat auf der IAA 2009 das Gespräch mit uns gesucht. Das Automotive Team hat uns seine Ideen bezüglich einer zentralen Plattform für das Identitäten-Management und für die Vereinheitlichung betreiberspezifischer Authentisierungs- und Bezahlprozesse vorgestellt. secunet kennt die Sicht der Fahrzeughersteller sowie die der Energieversorger. Das war uns wichtig. Welchen Aufgaben wird sich RWE als Nächstes widmen? Voit: Wir werden mit unseren Kollegen Vorschläge für die Abstimmung von Stromnetzbelastung und Stromeinspeisung erarbeiten. Wegen des internationalen Interesses an unserer Ladeinfrastruktur bereiten wir erweiterte Betreibermodelle vor. Im Bereich der internationalen Standardisierung der Ladekommunikation werden wir gemeinsam mit secunet die Sicherheitsarchitektur zügig weiterentwickeln, damit der Standard möglichst bald veröffentlicht werden kann. Zusammen mit Vertretern der Automobilindustrie wollen wir eine Vereinfachung der automatischen Authentifizierung konzipieren. Gunnar Hettstedt «05

6 » Aus der Praxis Keine Cocktails für die öffentliche Verwaltung Mixgetränke leben von der Mischung, unterschiedlich eingestufte Daten in Behörden von der Trennung SINA VW im Einsatz in der öffentlichen Verwaltung Cocktails sind hübsch dekorierte Drinks, zusammengemixt aus verschiedenen Getränken, die wir uns gern schmecken lassen. Ein Datencocktail, entstanden aus unterschiedlich vertraulichen Informationen, könnte allerdings zu einer explosiven Mischung werden: Denn eine VS-VERTRAULICH deklarierte Information darf sich beispielsweise nicht mit VS-NfD-Daten vermischen. Um diese Trennung konsequent durchzusetzen, unterstützt das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Einsatz der SINA Virtual Workstation (VW), die diesen erforderlichen Rundum-Schutz sicherstellt. Das Bundesministerium des Innern hat eine Generallizenz für die SINA VW in der Variante B (bis VS-NfD) von secunet erworben. Somit können ab sofort alle deutschen Behörden die SINA VW ohne zusätzliche Lizenzkosten für drei Jahre schnell und einfach beschaffen. Damit hat das BSI den Weg geebnet, diese Lösung in deutschen Behörden als Standard zu etablieren. Im Rahmen des IT-Investitionsprogramms konnte das BSI verschiedene Behörden in einem Pilotprojekt mit insgesamt 700 SINA VWs ausstatten. Von diesen Erfahrungen werden zukünftig alle Anwender profitieren: Ein detaillierter Leitfaden ermöglicht eine schnelle und problemlose Integration der SINA VW in eine vorhandene SINA Infrastruktur. In diesem Sinne wird es auch zukünftig keine Datencocktails für deutsche Behörden geben. Lassen Sie sich stattdessen lieber mal einen kühlen Fruchtcocktail schmecken. Wir wünschen noch wunderbare Herbsttage. Dr. Michael Sobirey michael.sobirey@secunet.com! Die SINA Virtual Workstation im Überblick - Sichere Bearbeitung, Speicherung und Übertragung klassifizierter Daten - Notebook- oder Desktop-Variante (ideal als Heim- bzw. Telearbeitsplatz) - Arbeiten in gewohnter IT-Umgebung (z. B. in MS Office-Programmen) - Verbindungen über UMTS, GPRS, WLAN und LAN - Integrierte Festplattenverschlüsselung - Parallele und gleichzeitig streng getrennte Bearbeitung offener oder verschieden eingestufter Daten 06»

7 Kundenstimmen «Die Sicherheit der Daten muss jederzeit gewährleistet sein. Interview mit Horst Flätgen, Vizepräsident Bundesamt für Sicherheit in der Informationstechnik (BSI). Herr Flätgen hat das Pilotprojekt im Rahmen des IT-Investitionsprogramms intensiv begleitet. Horst Flätgen, Vizepräsident Bundesamt für Sicherheit in der Informationstechnik secuview: Herr Flätgen, Sie haben selbst seit einigen Wochen die SINA VW als Notebook im Einsatz. Wie sind Ihre ersten persönlichen Erfahrungen? Flätgen: Mit der SINA VW kann ich von unterwegs auf alle Daten zugreifen, sogar auf die eingestuften. Das erleichtert meinen Arbeitsalltag erheblich. Besonders praktisch ist: Wenn ich den Arbeitsplatz kurz verlasse, kann ich den SINA Token im laufenden Betrieb aus der SINA VW ziehen, stecke ihn in die Tasche und kann ganz sicher sein, dass niemand an meine Daten kommt. Anschließend stecke ich den SINA Token wieder ein und die Arbeitsumgebung ist sofort startklar. Was hat das BSI dazu bewegt, sich für den Einsatz der SINA VW in der öffentlichen Verwaltung zu entscheiden? Flätgen: In der öffentlichen Verwaltung ist Informationssicherheit ein wichtiges Thema. Dennoch fördern wir die Mobilität in Behörden. Die Sicherheit der Daten muss jederzeit gewährleistet sein. Dazu gibt es die sogenannten VSA-Vorschriften: ein Regelwerk zum sicheren Umgang mit Verschlusssachen (VSA = Verschlusssachen-Anweisung). Die SINA VW bietet eine einfache und günstige Möglichkeit, Anforderungen aus diesen Vorschriften umzusetzen. Zudem lässt sich die SINA VW mobil und stationär einsetzen, was unseren Mitarbeitern in Behörden eine höhere Flexibilität bietet. Welche Herausforderungen gab es bei der Einführung? Welche Änderungen an der IT-Infrastruktur waren notwendig? Flätgen: Wenn bereits ein SINA Netz vorhanden ist, sind kaum Änderungen der IT-Infrastruktur notwendig. Die SINA VW ließ sich bei unserem Pilotprojekt auch in größeren Stückzahlen problemlos integrieren. Unseren Mitarbeitern in den Behörden bietet die SINA VW eine höhere Flexibilität. Eine Herausforderung waren die unterschiedlichen Vorkenntnisse der Anwender: Vom IT-Experten bis zum normalen Sachbearbeiter sind alle vertreten. Trotz der technischen Anmutung beim Starten der SINA VW konnten alle Anwender nach kurzer Eingewöhnung schnell in den normalen Tagesablauf einsteigen. Wir haben dazu bereits bei secunet angeregt, die Startprozedur weiter zu vereinfachen. Wie lange haben Sie persönlich für die Eingewöhnung in die Arbeit mit der SINA VW gebraucht? Flätgen: Innerhalb kürzester Zeit war ich mit dem Funktionsumfang der SINA VW vertraut. Neu ist ja eigentlich auch nur der Startprozess. Nach dem Start habe ich meine ganz normale, vertraute Arbeitsumgebung. Zum Beispiel Windows oder Linux wenn ich möchte, sogar beides. Eine letzte Frage: Wie wird der Arbeitsplatz der Zukunft in Behörden aussehen? Flätgen: Auf jeden Fall wird die Anzahl der Telearbeitsplätze zukünftig weiter steigen. Dafür ist die SINA VW gut geeignet, da sie VS-Sicherheit und Mobilität in einem Gerät vereint «07

8 » Technologien & Lösungen Sichere und einfache Lösung für die Kopplung von Infrastrukturen secunet konnektor ermöglicht komfortable Anbindung an D und das Telematiknetz Montag, 28. Juni 2010, 8:30 Uhr bei einem Automobilzulieferer: Heute erhalten Mitarbeiter der Firma ihre Entgeltabrechnungen. Ein Großteil von ihnen bekommt seine Lohntüte wie immer als Ausdruck in einem Briefumschlag. Mit einer Reihe Freiwilliger testet die Personalabteilung die elektronische Zustellung der Abrechnungen per D . Dazu wird die Entgeltmitteilung direkt aus dem firmeninternen SAP- System über das D -Gateway an die D -Adressen der Mitarbeiter gesendet. Die Mitarbeiter können dann die Entgeltmitteilungen in ihren privaten D -Postfächern einsehen. Eine Umfrage unter den Teilnehmern ergab, dass 86 % ihre papiergebundene Abrechnung nicht vermissen und neun von zehn ihren Kollegen die Nutzung von D empfehlen würden. Szenario 1: Entgeltabrechnung beim Personalabteilung Mitarbeiter Szenario 2: Übertragung von Versichertendaten Zur gleichen Zeit in einer Arztpraxis: Herr M. hat einen Termin und bittet zusätzlich um eine Überweisung zum Orthopäden. Die Sprechstundenhilfe liest seine elektronische Gesundheitskarte ein. Diese wird unmittelbar online auf ihre Gültigkeit geprüft, die gespeicherten Versichertendaten werden gegebenenfalls aktualisiert und in das Praxissystem übernommen. Was haben diese beiden Szenarien gemein? Beide sind auf eine hochsichere Verbindung angewiesen, da sie vertrauliche, personenbezogene Informationen übermitteln. Gleichzeitig müssen die Kommunikationspartner gegenseitig ihre Identität nachweisen, es muss also eine sichere Authentisierung erfolgen. Mit komplizierten kryptographischen Prozessen möchte sich jedoch keiner der beiden Nutzer auseinandersetzen. Die Arztpraxis verlässt sich auf ihren Arztsystem-Dienstleister, der Automobilzulieferer auf seinen D -Provider. Und beide hatten die geeignete Lösung: den secunet konnektor. Arztpraxis Telematik- Infrastruktur- Zugangsprovider Versicherer Der secunet konnektor ist die Lösung für eine einfache und sichere Anbindung an D und das Telematiknetz. Diese Software VPN-Appliance verfügt über Standardschnittstellen, so dass sowohl der Automobilzulieferer als auch die Arztpraxis sie ohne Anpassungen in ihre bestehenden Infrastrukturen integrieren konnten. Ein weiterer Vorteil ist die zentrale Administration des secunet konnektors. Der Dienstleister bzw. der Provider kann remote zu jeder Zeit Sicherheits-Updates einspielen und behält so die Hoheit über das System. 08»

9 Technologien & Lösungen «Auch bei einem Ausfall kann er schnell und ortsunabhängig reagieren. Weder das Unternehmen noch die Praxis muss sich so mit der Wartung des konnektors befassen. Bisher stehen die Anwendungen für D und die elektronische Gesundheitskarte noch vor dem Rollout. Doch der secunet konnektor ist bereits heute für die Realisierung und die zukünftige Weiterentwicklung gerüstet. So können beispielsweise zusätzliche Anwendungen nachträglich aufgespielt bzw. aktualisiert werden. Denkbar sind Szenarien wie die Integration einer Zahlfunktion für die Praxisgebühr oder der Austausch von Befunden per D zwischen Hausarzt und Krankenhaus bzw. weiterbehandelndem Facharzt. Diese Mehrwerte können von den jeweiligen Dienstleistern angeboten und ebenso als zusätzliche Applikation in den konnektor integriert werden. Die Vertraulichkeit der sensiblen Personendaten ist jederzeit gewährleistet, der secunet konnektor befindet sich gerade in der Zertifizierung nach CC 3.1 EAL 3+. Steffen Heyde, Bernhard Weiss, Wichtige Meilensteine für das Projekt D November 2008: Das Konzept zu D wird erstmals auf dem IT-Gipfel in Darmstadt vorgestellt Oktober 2009: Veröffentlichung der Technischen Richtlinien in der Version 0.99 Oktober 2009: Das erste Pilotprojekt zu D startet in Friedrichshafen März 2010: Das Pilotprojekt wird erfolgreich beendet, die Erwartungen der Projektpartner wurden übertroffen Juli 2010: GMX, Web.de und Deutsche Telekom starten die Vorabregistrierung der D -Adressen für alle Bürgerinnen und Bürger Juli 2010: Verbände kommentieren D -Gesetzentwurf Sicherheitsgerüst für hoheitliche Dokumente Die eid PKI Suite von secunet bietet umfassenden Schutz für npa, epass, Aufenthaltstitel und weitere eids Die elektronischen Daten in hoheitlichen Dokumenten müssen ebenso wie die optischen Daten vor Manipulation und unberechtigten Zugriffen wirksam geschützt werden. Die technologische Basis dafür ist eine Public-Key- Infrastruktur (PKI). Im Falle von elektronischen Identitätsdokumenten werden zum Schutz der Daten sogar zwei PKIs notwendig: Die Anforderungen an Authentizität und Unveränderbarkeit werden durch die Sicherheitsmechanismen der ICAO-PKI abgebildet. Die Vertraulichkeit der Kommunikation und den Zugriff auf die Daten regelt hingegen die EAC-PKI. In der eid PKI Suite hat secunet Know-how und Erfahrungen aus über 250 PKI- und eid-projekten gebündelt: Die hochkomplexe IT-Sicherheitslösung bindet moderne hoheitliche Dokumente in eine sehr sichere Infrastruktur ein und schützt sie zuverlässig vor Manipulation und unberechtigtem Zugriff. Die eid PKI Suite von secunet macht die Vorteile der neuen elektronischen Dokumente erstmals vollumfänglich nutzbar. Prozesse wie beispielsweise die Grenzkontrolle können so weitestgehend automatisiert werden. Die Vorteile der secunet eid PKI Suite: - All-in-one: erfüllt die Anforderungen von Dokumentenproduzenten und Kontrollen (ICAO, EAC) - Flexibel: modular, skalierbar, standardorientiert - Vernetzt: mit SPOC für den nationalen und internationalen Zertifikatsaustausch «09

10 » Aus der Praxis Neues aus der Welt Rundum-Schutz für ein ganzes Unternehmen Die swb AG baut schrittweise die Sicherheit ihrer IT-Landschaft aus In der letzten Ausgabe der secuview haben wir Ihnen bereits über das Pilotprojekt zur Einführung eines Enterprise Single Sign-On-Systems (SSO) bei der swb AG in Bremen berichtet. In der Zwischenzeit hat sich viel getan: Der Rollout der Evidian E-SSO-Lösung IAM 8 für fast Arbeitsplätze ist geschafft. Nun stehen bereits weitere Projekte für den Schutz der Unternehmensdaten auf dem Plan. Rückblick Die swb AG versorgt Bremen und Bremerhaven mit Strom, Gas, Wärme und Dienstleistungen. Um die Daten ihrer Kunden zu schützen und ihren Mitarbeitern das Arbeiten am PC zu vereinfachen, hat sich die swb AG im letzten Jahr entschlossen, ein Single Sign-On-System einzuführen. Jeder Mitarbeiter muss sich nur noch ein Passwort merken, die Anmeldung an den verschiedenen Anwendungen erfolgt anschließend automatisch. Das Pilotprojekt lief einwandfrei, so dass wir uns entschieden haben, den großen Rollout für unser gesamtes Unternehmen durchzuführen, erinnert sich Michael Krempel, Teamleiter IT und Organisationsmanagement. Und nachdem der Pilot so erfolgreich war, kam für uns kein anderer Partner als secunet in Frage. Die swb AG hat 2009 mit fast Mitarbeitern einen Jahresumsatz von 1,148 Mrd. Euro erwirtschaftet. Das System wurde von secunet Anfang des Jahres gruppenweise ausgerollt und beinhaltet bisher drei der Hauptapplikationen, darunter auch die verschiedenen SAP-Systeme. Die Lösung erfährt eine hohe Akzeptanz bei unseren Mitarbeitern, freut sich Michael Krempel. Wir vereinfachen Arbeitsabläufe und erhöhen gleichzeitig die Sicherheit. Da sind alle zufrieden. Auch die Anrufe beim Helpdesk wegen vergessener Passwörter wurden deutlich reduziert. Das zeigen die monatlichen Reports des Managed Services Dienstleisters Logica Bremen. Ausblick Die Single Sign-On-Lösung ist der Anfang einer Reihe von Projekten, die die swb AG für die nächsten Jahre plant, um die IT-Sicherheit des Unternehmens auf einem hohen Niveau zu halten. Als nächster Schritt ist die Integration des Mitarbeiterausweises in das SSO geplant. Der Ausweis wird bisher für die klassischen Prozesse wie Zutrittskontrolle, Zeiterfassung und Bezahlung in der Kantine verwendet. Nun soll er um einen Chip erweitert werden, der die sichere Authentifizierung am PC ermöglicht. Der große Vorteil dabei ist, dass die PCs automatisch gesperrt sind, wenn die Mitarbeiter ihren Arbeitsplatz verlassen, so zum Beispiel in der Mittagspause, denn sie nutzen ihre Ausweise als Bezahlsystem in der Kantine. Dank des integrierten Kartenmanagements in der Evidian SSO-Lösung ist die Einbindung des Mitarbeiterausweises ohne großen Aufwand möglich, ist sich Günther Mellinger, Projektverantwortlicher von secunet, sicher. Foto: swb AG Auch Ansätze des aktuellen Themas Data Loss Prevention (DLP) hat die swb AG fest im Blick. Wir möchten langfristig die Sicherheit unserer Daten mit Hilfe einer Festplattenver- 10»

11 Foto: swb AG schlüsselung und der Kontrolle von USB-Schnittstellen weiter erhöhen, erklärt Michael Krempel. Dabei könnte auch hier der Mitarbeiterausweis zum Einsatz kommen, der um entsprechende Funktionalitäten erweitert würde. Günther Mellinger Unter der Marke swb versammeln sich verschiedene spezialisierte Unternehmen mit Angeboten in den Bereichen Strom, Gas, Wärme und Dienstleistungen. Fazit Das erfolgreiche Projekt bei der swb AG zeigt, dass ein Single Sign-On-System keine Insellösung ist, sondern mit vielen vorhandenen und zukünftigen Geschäftsprozessen kombiniert werden kann. Die Abläufe für die Mitarbeiter werden erheblich vereinfacht und gleichzeitig Compliance-Vorgaben wie regelmäßige Passwortwechsel, die Verwendung besonders komplexer Passwörter und das Sperren des Arbeitsplatzes beim Verlassen eingehalten. Die Integration des Mitarbeiterausweises als starke Authentisierung am PC wird Anfang 2011 in einem Pilotprojekt getestet. Der unternehmensweite Rollout ist im Anschluss für 2011 geplant «11

12 » Neues von secunet Das iphone als Single Sign-On-Lösung im Fahrzeug Benutzernamen und Passwörter könnten zukünftig sicher mobil hinterlegt werden Das Internet im Auto ist bereits in vielen Oberklassefahrzeugen verfügbar. Allerdings sind die Eingabemöglichkeiten für Passwörter und Benutzernamen über das Interface begrenzt. Es steht meist nicht der gesamte Zeichensatz aus dem PC-Umfeld zur Verfügung und das Eingeben der Zeichen über die Bedienkonsole erfordert bei langen Buchstabenkombinationen eine Menge Geduld. Auch das Speichern der Login-Daten für Online-Dienste ist noch nicht sicher und komfortabel gelöst. Optimal wäre eine zentrale Ablage außerhalb des Fahrzeugs. Eine einmalige Anmeldung wäre so ausreichend, um alle Online-Dienste nutzen zu können. Dieses Verfahren gibt es bereits im PC-Umfeld das sogenannte Single Sign-On. Beim Auto ist es wichtig, dass der Datenträger, auf dem die Login-Daten gespeichert sind, nicht im Fahrzeug verbleibt. Denn das Auto wird meist von mehreren Personen gefahren, die alle auf den Bordcomputer zugreifen. Sind Benutzernamen und Passwörter im Fahrzeug hinterlegt, verfügt der Fahrer beim Fahrzeugwechsel nicht mehr über sie. Durch die Single Sign-On-Lösung hat er sie immer bei sich. Ein Missbrauch der Benutzerdaten im Falle eines Autodiebstahls wird so vermieden. Die Idee von secunet Die Lösung des Problems ist ein mobiles Endgerät mit Internetzugang. Millionen von Menschen tragen es weltweit bereits bei sich das Smartphone. Mit dem Einsatz von Applikationen auf modernen Smartphones, z. B. einem App auf dem iphone, kann der Schutz der Passwörter durch eine Zwei-Faktor- Authentisierung erhöht werden Besitz und Wissen. Nur wer sein Smartphone besitzt und das Login kennt, kann sich anmelden und auf seine Datenbank mit allen Benutzernamen und Passwörtern zugreifen. Diese ist online immer verfügbar. Eine Schnittstelle im Fahrzeug könnte es künftig ermöglichen, diese Daten dem Browser im Auto bereitzustellen. Eine manuelle Eingabe der Daten entfällt und die geheimen Passwörter bleiben zusammen mit dem Smartphone immer bei ihrem Besitzer. Online-Dienste könnte er somit sogar im Mietwagen nutzen. Die Machbarkeitsstudie secunet hat in einem ersten Technologie-Showcase eine iphone-applikation erstellt, die beweist, dass eine mobile Single Sign-On-Lösung machbar ist. Über das Internet kann Eine einmalige Anmeldung über das Smartphone genügt, um alle Online-Dienste im Fahrzeug nutzen zu können. 12»

13 Termin «IT Security on Board geht erfolgreich in die 4. Runde Der IT-Workshop für die Automobilbranche der Fahrer komfortabel via Web-Frontend einen eigenen Account beantragen. Das kennt er bereits von diversen kostenfreien -Providern. Seine Login-Daten kann er dort sicher hinterlegen. Durch das App auf dem iphone meldet sich der Anwender bei seinem Account an und kann überall remote auf seine Logins zugreifen. Dabei werden künftig die Daten auf dem gesamten Übertragungsweg und bei der Ablage kryptographisch geschützt. Optional könnte die Applikation auch so entwickelt werden, dass der Fahrer nach der Anmeldung an seinem iphone zusätzlich eine persönliche PIN eingeben muss. So ist sein Account geschützt, selbst wenn sein Smartphone im angeschalteten Modus verloren gehen sollte. secunet befindet sich bereits mit verschiedenen Automobilherstellern im Gespräch, um zu klären, wie eine solche Applikation in bestehende Online-Dienste im Fahrzeug integriert werden kann. Harry Knechtel Bereits zum vierten Mal findet am 19. November 2010 unsere Veranstaltung IT Security on Board statt. Im Novotel an der Messe München beleuchten Experten von secunet gemeinsam mit Vertretern der Automobilindustrie sicherheitsrelevante Aspekte des vernetzten Fahrzeugs der Zukunft und der Gegenwart. Nachdem wir im letzten Workshop die Anforderungen an die IT-Sicherheit im Umfeld Vehicle to Grid und damit verbunden sichere Authentifizierungslösungen präsentierten, wenden wir uns am 19. November dem Thema Sicherheit 2012 neue Ansätze für die Sicherheit im Bordnetz zu. Spannende Themen wie Virtualisierung im Automotive Umfeld und Sicherheit für online-basierte Dienste im Fahrzeug stehen dieses Mal unter anderem auf der Agenda. Der Workshop richtet sich an Abteilungsleiter der Automobilbranche, die sich mit der IT- Sicherheit im Fahrzeug befassen. Thema: Sicherheit 2012 Datum: 19. November 2010 Ort: München, Novotel an der Messe Wenn Sie sich angesprochen fühlen und Interesse an der Veranstaltungsreihe haben, senden Sie eine an: «13

14 » Aus der Praxis Premium- Sicherheit für den öffentlichen Dienst im Freistaat Authentifizierungslösung von secunet und mgm sichert künftig Mitarbeiterportal in Bayern Der Freistaat Bayern beabsichtigt, für seine Mitarbeiterinnen und Mitarbeiter ein Portal einzurichten, das ihnen künftig zum Beispiel ihre Bezügemitteilungen abrufbar zur Verfügung stellt. Da es sich dabei um vertrauliche personenbezogene Daten handelt, auf die die Angestellten und Beamten des Freistaats beispielsweise als Lehrer von zu Hause oder als Beschäftigte an den Universitäten und Hochschulen auch von außerhalb des geschlossenen und sicheren bayerischen Behördennetzes zugreifen sollen, müssen nach den Vorgaben des Bayern-CERT externe Zugriffe über eine starke Authentifizierung angebunden werden. Für besonders sensible Fachanwendungen wie beispielsweise die Zustellung von Bezügemitteilungen ist sogar das Smartcard-Verfahren vorgegeben. Um diesen strengen Sicherheitsanforderungen gerecht zu werden, hat sich die CIO-Stabsstelle Bayern entschlossen, auf die bewährte IT-Sicherheitsplattform auf Basis der ELSTER- Technologie zurückzugreifen. Sie hat deshalb die Firmen secunet und mgm aufgrund der Erfahrungen aus dem ELSTER-Projekt damit beauftragt, für ein neues Mitarbeiterportal eine starke Authentifizierungslösung zu entwickeln: Der Authentifizierungsdienst sorgt dafür, dass alle Mitarbeiter in Zukunft bei vertraulichen Personalangelegenheiten wie Urlaubsanträge, Bezügemitteilungen oder Beihilfeanträge sicher über das Portal mit dem Dienstherrn kommunizieren können. Die Authentifizierungskomponente wird als ausgereifte und bewährte Lösung auf Anwenderseite plattformunabhängig und anwenderfreundlich für alle gängigen Browser und Betriebssysteme einsetzbar sein. Über Web-Services werden dem Portalbetreiber einheitliche Schnittstellen zur Verfügung gestellt, das heißt, die Authentifizierungslösung wird einmalig aufgebaut und steht als Dienst auch für andere Portale und Anwendungen zur Verfügung. Die Realisierung der Komponente Authentifizierung ist in drei Meilensteinen geplant: - Erstellung des Feinkonzepts und eines Proofs of Concepts im Kontext mit den fachlichen Funktionalitäten des Mitarbeiterportals (Abschluss voraussichtlich Ende 2010) - Herstellung der Voraussetzung für das Deployment dieses Dienstes und seine Einbindung in die Rechenzentrumsumgebung des Freistaats - Implementierung im Massenbetrieb des Mitarbeiterportals Kurt Maier kurt.maier@secunet.com Jedes Verfahren, das heute in Papierform durchgeführt wird, könnte morgen medienbruchfrei elektronisch funktionieren. 14»

15 Termin «8. SINA Anwendertag in Bonn SINA Virtual Workstation und SINA CORE das waren die gefragtesten Themen auf dem diesjährigen SINA Anwendertag. Über 160 Kunden und Gäste von secunet nahmen an der Veranstaltung im Hotel Hilton Bonn teil. Neben Expertenvorträgen und Kundenberichten wurde in den Pausen viel und intensiv diskutiert und genetzwerkt. Das Feedback der Teilnehmer war überwiegend positiv, neue Anregungen haben wir gern für das nächste Jahr aufgenommen. Die Veranstaltung wird auch im kommenden Jahr wieder als Plattform zum Austausch zwischen SINA Anwendern und den Experten von secunet durchgeführt dann voraussichtlich auch erstmals in Berlin. Termine für den SINA Anwendertag 2011 finden Sie in der nächsten secuview Ausgabe. Die Vorträge vom SINA Anwendertag stehen im SINA Kundenportal zum Download bereit: Was ist eigentlich SINA CORE? Wir bringen mehr Pep in Ihre SINA Landschaft aber zukünftig ohne PEPP-Board. SINA CORE ist der neue Wirbelwind, der Ihre geheimen Daten auf Hardware-Basis verschlüsselt. Die besonderen Anforderungen an GEHEIM eingestufte Daten hat SINA CORE fest im Griff: Die Verschlüsselungsfunktion ist redundant und ausfallsicher und Algorithmen, Schlüssel und Parameter sind ebenso sicher geschützt. SINA CORE steckt in allen Geräten ab der Einstufung GEHEIM, von der SINA Box bis zur SINA Virtual Workstation. Die Hardware-Komponente löst die bisher eingesetzten PEPP-Boards mit dem herkömmlichen und nun leicht in die Jahre gekommenen Pluto-Chip ab. Gegenüber der bisherigen Lösung bietet SINA CORE einen erheblich größeren Datendurchsatz und flexiblere Einsatzmöglichkeiten, gerade in multinationalen Einsätzen. secunet und BSI haben die SINA CORE Familie gemeinsam entwickelt. Die Lösung bietet unseren Kunden langfristig hohe Investitionssicherheit. Neu ausgelieferte SINA Komponenten mit SINA CORE sind übrigens kompatibel mit den bisherigen PEPP-basierten Varianten. Dr. Michael Sobirey SINA CORE M100R mit Token «15

16 Termine: September 2010 bis Februar 2011 Save the Date 7. September September September Oktober Oktober Oktober Oktober Oktober November 2010» secunet Frühschicht Single Sign-On / Essen» CxO Dialog Information Risk Management / Düsseldorf» IAA Nutzfahrzeuge / Hannover» ISSE Information Security Solutions Europe / Berlin» PITS Public IT Security / Berlin» Biometrics / London» it-sa / Nürnberg» Moderner Staat / Berlin» DWT Forum / Bonn Bad Godesberg 19. November 2010» Workshop IT Security on Board / München Vertreter der Automobilindustrie diskutieren sicherheitsrelevante Aspekte des vernetzten Fahrzeugs. Interesse? automotive.security@secunet.com Dezember Februar Februar 2011» Cartes / Paris» Mobile World Congress / Barcelona» RSA Conference 2011 / San Francisco Impressum Herausgeber secunet Security Networks AG Kronprinzenstraße Essen Verantwortlich für den Inhalt Marketing marketing@secunet.com Redaktionsleitung ines.kruse@secunet.com Gestaltung Agentur für dynamisches Marketing Urheberrecht: secunet Security Networks AG. Alle Rechte vorbehalten. Alle Inhalte und Strukturen sind urheberrechtlich geschützt. Jede Verwendung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen schriftlichen Erlaubnis.