Den Virenzoo aussperren. WANTED: Schnelles Multitasking-Talent für das Gesundheitswesen. Digitale Signatur schnell und einfach

Transkript

1 Der IT-Sicherheitsreport Ausgabe Business Security Automotive Government Hochsicherheit Digitale Signatur schnell und einfach Den Virenzoo aussperren WANTED: Schnelles Multitasking-Talent für das Gesundheitswesen Datenfluss unter Kontrolle mobile.de setzt auf secunet multisign für den elektronischen Rechnungsversand Embedded Security in Auto - mobilen zum Schutz vor Malware-Angriffen DSV setzt neuen OCSP-Res - ponder secunet ein SIAM überwacht Prozesse in der elektronischen VS-Bearbeitung Unternehmen möchten bei der Einführung neuer Technologien vor allem eins: einen reibungslosen Ablauf. Wenn dann auch noch gesetzliche Anforderungen beachtet werden müssen, kann eine Umstellung schnell sehr komplex werden. Nicht so bei mobile.de. Lesen Sie, was Herr Pascal Frohn über die Einführung der elektronischen Rechnungsstellung mit secunet multisign zu berichten hat. ERP-System Rechnung PDF Das Internet ähnelt der Tierwelt: Es gibt viele verschiedene Viren, Würmer und Trojaner, und jeden Tag entdecken Forscher neue Arten. Wenn nun ein Besucher diesen Malware-Zoo betreten möchte, muss er entsprechend geschützt werden. Die Gesundheitskarte ist da. Ausgehend der Region Nordrhein wird sie nun nach und nach in den aktiven Dienst überstellt. Über diese kleine elektronische Karte und ihre werte, den Zeitpunkt ihrer Einführung oder über den Schutz der hochsensiblen Patientendaten, über die mit ihrer Hilfe verfügt werden kann, ist im Vorfeld ihrer Einführung lange und umfassend allen Medien berichtet, spekuliert und mit Experten diskutiert worden. PKI Internet Prozesskanal gesicherter Bestätigungskanal Herr Pfiffig kennt viele Geheimnisse. Die hat er sicher auf seinem Rechner gespeichert. Da kommt keiner ran. Eigentlich. Aber so ganz sicher ist sich Herr Pfiffig da nicht, was alles so über sein Netzwerkkabel entschwindet, ohne dass er es merkt. Und natürlich dürfen diese Geheimnisse nur autorisierte Personen kennen. -Server Kunde trennt Proxy (Signier setzt signierten An wieder zus Bereits in den beiden letzten Ausgaben der secuview haben wir über die aktuellen Entwicklungen zum Thema Online- Zugang im Fahrzeug berichtet. Kunden, Hersteller und Gesetzgeber forcieren Internet-Zugang, Fernwartung und die Car-2-Car- Kommunikation. Herrn Pfiffigs Misstrauen ist berechtigt. Es gibt viele Möglichkeiten, die Daten seinem Rechner abzuziehen. Da treibt zum Beispiel ein Trojaner unbemerkt sein Unwesen auf der Festplatte Herrn Pfiffig und verschickt heimlich Daten. zu diesem Thema auf Seite 3 zu diesem Thema auf Seite 5 zu diesem Thema auf Seite 6 zu diesem Thema auf Seite 10

2 EDITORIAL INHALT 03 Digitale Signatur schnell und einfach 04 secunet managt die größte Fernschule Deutschlands 05 Den Virenzoo aussperren Dr. Rainer Baumgart Liebe Leserinnen und Leser, weltweite Finanzkrise, Rezession, Stellenabbau. Diese Themen beherrschen seit Monaten die Medienwelt. Doch neben allen negativen Prognosen und Meldungen gibt es auch Lichtblicke. Unternehmen, die der Konjunkturflaute trotzen und aktiv dagegen angehen. Wie zum Beispiel secunet. Die letztjährige Umsatzsteigerung im zweistelligen Bereich spricht für sich. Und wem verdanken wir diesen Erfolg? Zum einen natürlich unseren Mitarbeiterinnen und Mitarbeitern, die jeden Tag hochmotiviert und zuverlässig an Lösungen für unsere Kunden arbeiten. Einen noch wichtigeren Beitrag leisten aber Sie, unsere Kunden und Partner. Ihr Vertrauen in uns bestärkt uns in unserer täglichen Arbeit und sorgt seit über 10 Jahren dafür, dass wir erfolgreich sind. Dafür möchten wir uns an dieser Stelle bei Ihnen bedanken mit gewohnt zuverlässigen Lösungen und transparenter Kommunikation. Wir arbeiten weiter daran, Ihnen die Stabilität und Zuverlässigkeit zu bieten, die gerade jetzt besonders wichtig ist. Das hindert uns jedoch nicht daran, flexibel auf Ihre Wünsche und Anforderungen einzugehen. Welche Herausforderungen uns in den letzten Monaten beschäftigt haben, lesen Sie in dieser Ausgabe der secuview. Neben den Be - richten zu aktuellen Projekten finden Sie auch en über zukunftsweisende Entwicklungen, die uns die Zuversicht geben, die nächsten Jahre trotz Krise und Konjunkturflaute sicher zu überstehen. Mit Ihrem Vertrauen WANTED: Schnelles Multitasking-Talent für das Gesundheitswesen Was ist eigentlich? ELSTER muss durch den Zoll Bürger auf einen Schlag abgesichert Datenfluss unter Kontrolle SINA trifft Beethoven Einladung zum SINA-Anwendertag IT-Sicherheitscheck 2009 Professionelles Projektmanagement bei secunet Termine Erfolgreiche Kooperationen auf der CeBIT 2009 Ihr Rainer Baumgart 2

3 Business Security Digitale Signatur schnell und einfach mobile.de setzt auf secunet multisign für den elektronischen Rechnungsversand Fortsetzung Seite 1 Herr Pascal Frohn, Business Ope rations Manager bei mobile.de: Wie die Umstellung auf die elektronische Rechnungsstellung statten gegangen ist? Schnell und einfach, um es auf den Punkt zu bringen. Ich habe eine secunet erhalten, in der als Attachment das Signierprogramm und eine Konfigurationsanleitung beigefügt waren. Gemeinsam mit einem secunet- Berater habe ich dann telefonisch die Konfiguration vorgenommen. In kürzester Zeit war secunet multisign installiert und ich konnte am gleichen Tag problemlos elektronische Rechnungen an meine Kunden versenden. Der Unterschied zwischen der secunet-lösung und denen anderen Anbietern ist, dass sie einfach in unser ERP-System integriert werden kann. Das spart nicht nur Zeit sondern auch Nerven und Kosten, denn kundenindividuelle Anpassungen an ein ERP-System sind sehr aufwendig. Mit secunet multisign musste nichts umprogrammiert werden kein Risiko bei geringen Kosten. Das hat mich einfach überzeugt. Wir haben uns für die Service- Variante secunet multisign entschieden. Das heißt, dass die Rechungen nicht hausintern signiert werden, sondern in einem Rechenzentrum der Deutschen Post. Technisch gesehen wurde lediglich ein zusätzlicher Schritt in die Rechnungserstellung eingefügt: Die dem ERP-System generierte PDF-Rechnung wird als -Anhang über einen Proxy direkt an den Signaturservice gesendet. Dort wird die PDF-Rechnung signiert und zurück an unseren Server geschickt. Von dort aus erfolgt der Versand an unsere Kunden. Der vollautomatische Austausch über die secunet multisign- Lösung ist alles, was dazu gekommen ist. Wir haben nicht gedacht, dass es so einfach sein würde, Kosten zu sparen und dabei alle gesetzlichen Anforderungen zu erfüllen. Die kinderleichte Integration der zertifizierten secunet multisign- Lösung hat uns schnell überzeugt. Wir haben unsere Rechnungslegung inzwischen an einen Dienstleister ausgelagert auch diesen Transfer hat secunet multisign problemlos mitgemacht und alles läuft ebenso zuverlässig weiter. Das Signieren ist bei der elek - tronischen Rechnungsstellung lediglich ein Aspekt vielen. Um Kunden den Gesamtprozess zu erleichtern bietet secunet neben der qualifizierten Signatur weitere Services an. Dazu ge - hören die Verschlüsselung und der Versand, das Archivieren Rechnungen sowie das Management des Systems. Ein zusätzliches Kundenportal ermöglicht dem endgültigen Rechnungsempfänger das selbständige Einsehen in alle erhaltenen Rechnungen. Für die secunet-kunden bedeutet das Zeit- und Kostenersparnis, da sie keine Rechungen recherchieren und erneut versenden müssen. Roland Krüger Telefon: roland.krueger@secunet.com secunet multisign kann einfach und schnell in bestehende ERP-Systeme integriert werden. ERP-System Rechnung PDF trennt & Anhang Proxy (Signierprogramm) Rechnung secunet multisign -Server setzt signierten Anhang & wieder zusammen Rechnung mit Signatur Kunde 3

4 Business Security secunet managt die größte Fernschule Deutschlands Das Institut für Lernsysteme beauftragte secunet mit Managed Security Services Guido Höfken Telefon: Abitur, Techniker oder Betriebswirtschaft das sind nur einige Lehrgänge, die das Institut für Lernsysteme, kurz ILS, anbietet. Bei den Angeboten handelt es sich um Fernstudiengänge. Das heißt: Wissbegierige in ganz Deutschland und sogar über Landesgrenzen hinaus können das Angebot nutzen über das World Wide Web. Rund Studienteilnehmer kommunizieren jährlich mit ILS über das Internet. Täglich greifen mehr als Kunden auf das Online-Studienzentrum zu, um sich mit den Tutoren und Kommilitonen auszutauschen, Prüfungsergebnisse einzusehen oder ihre persönlichen Daten im Portal zu aktualisieren. Vor diesem Hintergrund spielt IT-Sicherheit für das ILS eine beachtliche Rolle. Aufgrund des großen Kundenkreises und des stetigen Zugriffs auf die Webseite sind für das Unternehmen zwei Kriterien entscheidender Bedeutung: zum einen der Schutz der personenbezogenen Kundendaten und zum anderen eine hohe Ausfallsicherheit. Um diesen Anforderungen optimal gerecht zu werden, hat secunet gemeinsam mit ILS eine maßgeschneiderte Lösung entwickelt, die die Webserver-Farm absichert. Zur Steigerung der Sicherheit wurde zu Beginn eine Teilung der Verantwortlichkeiten für die Webserver vorgenommen: Für die Inhalte trägt ILS weiterhin die Verantwortung, das Hosting übernimmt ein großer Rechenzentrumsbetreiber in Süddeutsch- land. secunet wurde mit der Absicherung des Betriebs beauftragt. Mit unserem Managed Security Service erhält ILS ein Rundumsorglos-Paket. Um die Verfügbarkeit und die Ausfallsicherheit der Webseiten und ebenso der Kundenportale zu erhöhen, werden sensible Daten, wie personenbezogene Kundendaten, separat Web-Inhalten auf Servern bereitgestellt. Über so genannte Loadbalancer wird sichergestellt, dass Anfragen aus dem Web gleichmäßig an die einzelnen Webserver weitergeleitet werden. Im Falle einer Störung des Webservers A wird so der Internetuser auf den Webserver B oder C weitergeleitet. Für ihn geschieht das natürlich unbemerkt. In der Zwischenzeit wird der Server A durch secunet wieder in Stand gesetzt. Dank unserer Rund-um-die-Uhr- Überwachung der gesamten Systemumgebung werden Störungen binnen weniger Minuten erkannt und direkt behoben. Um auch zukünftig die IT-Landschaft auf höchstem Sicherheitsniveau zu halten, übernimmt secunet auch das Patch-Management der Webserver-Farm. Nur so kann sichergestellt werden, dass die Server- Farm gegenüber gefährlichen Angriffen oder anderen Gefahren aus dem Internet gewappnet ist. Die Managed Security Services secunet garantieren den Schutz der persönlichen Studierenden- Daten und eine hohe Ausfallsicherheit für das ILS-Portal. Durch den Managed Security Service secunet müssen wir uns um unsere IT-Sicherheit keine Sorgen mehr machen. Sollten wir dennoch Fragen oder Änderungswünsche haben, können wir das secunet-team dank der 24/7 Hotline Tag und Nacht erreichen. Aber das war zum Glück noch nicht notwendig, so Thorsten Boek, IT- Leiter der ILS GmbH. 4

5 Automotive Den Virenzoo aussperren Embedded Security in Automobilen zum Schutz vor Malware-Angriffen Fortsetzung Seite 1 Die aus der PC-Welt bekannten Schutzkonzepte sind im Automobilbereich jedoch nicht einfach anwendbar. Die große Frage ist: Wie schützt man einen Besucher der Tierwelt vor Arten, die heute noch nicht bekannt sind? Also wie kann man ein Fahrzeug vor Malware be - wahren, die heute noch gar nicht entwickelt ist? secunet hat vor diesem Hintergrund ein zweistufiges Verfahren zur Absicherung offenen Kommunikationsschnittstellen im Fahrzeug entwickelt. In der letzten Ausgabe der secuview wurde bereits die Secure Communi - cation Unit vorgestellt, die ein Fahrzeug auf IP-Packetebene zuverlässig gegen Denial-of- Service Angriffe absichert. Diese schützt jedoch nicht vor Mal - ware. Dagegen hilft nur eine Absicherung auf Applikationsebene und das übernimmt ab sofort die Protec tion Unit. Doch wie schafft sie es, langfristig Viren zu erkennen, die es heute noch gar nicht gibt? Die im Fahrzeug laufenden Multimediaund Internet-Applikationen sind bekannt und werden einem Fahrzeughersteller vorgegeben, so dass die Absicherung auf Applikationsebene auf die Er - kennung fehlerhaftem Verhalten während der Laufzeit basiert. Ziel der Protection Unit ist somit nicht die Identifikation jedem einzelnen Virus, sondern die Detektion des daraus resultierenden fehlerhaften Verhaltens. Dabei stützt sich die Protection Unit auf zwei Ansätze aus der Welt der Betriebssys - teme: Sicherheitserweiterungen, die es zum einen erlauben, den Zugriff auf Systemressourcen für jede Applikation spezifisch festzulegen. Zum anderen kann ein Schutz auch durch Ausführung Applikationen in einer virtuellen Umgebung bzw. Sandbox erreicht werden. Einfach ausgedrückt: Zwischen die unsicheren Applikationen und das Fahrzeug wird eine künstliche Barriere gesetzt, gleich einem Wassergraben bei einem Gehege im Zoo. Wird der Wassergraben einem neuen Tier also einem Virus übersprungen, kann das einem Wärter entdeckt werden auch wenn er das Tier selbst nicht kennt. Die Protection Unit (PU) arbeitet als selbständige Einheit unabhängig dem eigentlichen Applikationsprozessor und übernimmt die Funktion des Wärters. Sie wacht somit darüber, ob ein Virus die künstliche Barriere überspringt. Dabei muss sie nicht wissen, welches Virus über die Barriere springt, nur dass etwas aus dem abgesicherten Gehege ausgebrochen ist. Damit werden auch neue Viren eingedämmt, selbst wenn die PU diese nicht kennt. Sowohl die Sicherheitserweiterungen als auch die virtuellen Umgebungen werden somit der PU überwacht. Sollte sie Unregelmäßigkeiten entdecken, so werden dedizierte Notlaufeigenschaften aktiviert. Diese reichen der Beendigung des fehlerhaften Prozesses bis hin zum Neustart des Systems im abgesicherten Modus mit reiner Basisfunktionalität. Im Zusammenspiel mit der Secure Communication Unit bietet die Protection Unit somit einen umfassenden Schutz für Fahrzeuge mit offenem Internetzugang auch wenn der Virenzoo tagtäglich wächst. Durch die virtuelle Umgebung baut die Protection Unit eine künstliche Barriere zwischen un - sichere Applikationen und das Fahrzeug. Dr. Marc Lindlbauer Telefon: marc.lindlbauer@secunet.com 5

6 Government WANTED: Schnelles Multitasking-Talent für das Gesundheitswesen DSV setzt neuen OCSP-Responder secunet ein Steffen Heyde Telefon: Fortsetzung Seite 1 Eine Baustelle, die sich weniger laut im Rahmen des weltweit größten IT-Projektes gelöst hat, ist die konkrete Absicherung und Regelung des gigantischen Datenverkehrs hinter «den Kulissen der prominenten Karte. Es gibt zwei wesentliche Vor - aussetzungen für den sicheren und erfolg - reichen Einsatz der Gesundheitskarte: Die eine ist eine sehr sicher ausgelegte technische Infrastruktur. Daneben gilt es sicherzustellen, dass nur solche Verkehrs teil - nehmer einen Zugang zur ge - schützten Telematik-Infrastruktur erhalten, die dazu auch nachweislich berechtigt sind. Anders ausgedrückt: Wenn sich ca. 2,5 Millionen Angehörige verkammerten Berufen und Fachberufen im Gesundheitswesen über den Konnektor in die Telematik- Infrastruktur einwählen, muss bei jedem einzelnen sichergestellt sein, dass er dazu aktuell legitimiert ist. Zur Absicherung solcher elektronischen Verbindungen werden innerhalb sicherheitskritischen Bereichen grundsätzlich digitale Zertifikate verwendet. Ein solches Zertifikat ist Dr. Rüdiger Mock-Hecker Leiter der Geschäftssparte Kartensysteme des Deutschen Sparkassenverlags Wir arbeiten schon lange sehr erfolgreich mit secunet zusammen. Auch im gematik-umfeld hat sich deshalb die Zusammenarbeit angeboten und bewährt. im Prinzip gleich einer elektronischen Identität, welche einer vertrauenswürdigen Instanz bestätigt wurde. Die technologische Basis hierfür ist eine Public- Key-Infrastruktur (PKI). Die Bereitstellung und Verwaltung digitalen Zertifikaten gehört zu den Kernkompetenzen der DSV-Gruppe (Deutscher Sparkassenverlag), die bereits seit 2001 unter der Marke S-TRUST ein Trustcenter für elektronische Signaturen betreibt. Die gematik hat mit ihr einen sehr erfahrenen Technologie-Partner mit dem Aufbau und dem Betrieb der zentralen Dienste und Komponenten der PKI be auftragt. Eine we - sentliche Komponente dieser PKI ist der sogenannte OCSP-Responder. OCSP ist der internationale Standard zur Feststellung der aktuellen Gültigkeit eines digitalen Zertifikats. Dies erfolgt auf Anfrage online also realtime und erlaubt damit eine zeitnahe und einfache Statusabfrage. Der Deutsche Sparkassenverlag setzt den OCSP-Responder secunet bereits in seinem eigenen, Signaturgesetz-konformen Trustcenter erfolgreich ein. Kein Wunder, besitzt dieser OCSP- Responder doch eine spezielle innere Architektur und verschiedene Sicherheitsfunktionen, die seinen Einsatz unter höchsten «Wie funktioniert Online Certificate Status Protocol (OCSP)? Beim Registrierungsprozess nimmt eine sogenannte vertrauenswür - dige Instanz die Daten eines An - tragstellers auf. Anschließend erhält diese Person ein digitales Zertifikat, das dieser Instanz digital signiert ist. Darin befinden sich der öffentliche Schlüssel des Zertifikatsinhabers und weitere Daten, wie z. B. dessen Name und Adresse. Jede Person, die mit dem Zertifikatsinhaber eine elektronische Transaktion durchführt, kann dessen digitales Zertifikat und damit dessen Netzidentität auf Richtigkeit überprüfen, indem sie den Status des Zertifikats bei der vertrauenswürdigen Instanz erfragt. Um die Gültigkeit eines Zertifikats zu überprüfen, gibt es eine Reihe technischer Möglichkeiten. Eine gängige Variante ist die Überprüfung einer sogenannten Sperrliste, in der alle ungültigen Zertifikate enthalten sind. Diese Liste ist sehr umfangreich und muss bei der Zertifizierungsinstanz heruntergeladen und überprüft werden. Zudem enthält diese Liste nur der Instanz gesperrte Zertifikate; der Nachweis, ob ein Zertifikat überhaupt dieser Instanz ausgestellt wurde, wird damit nicht erbracht. Eine deutlich zuverlässigere und zudem schnellere Möglichkeit der Überprüfung bietet der OCSP-Responder einer vertrauenswürdigen Instanz. Auf An - frage teilt der OCSP-Responder den Status eines dedizierten digitalen Zertifikats online mit. Diese Antwort besteht nach RFC 2560 standardmäßig aus dem Status, einem Zeitstempel und einer elektronischen Signatur durch den OCSP- Responder. So werden die Validität des Zertifikats, die Aktualität und Integrität der Antwort und die Integrität des Antwortgebers sichergestellt. 6

7 Government Sicherheitsanforderungen wie z. B. die des deutschen Signaturgesetzes überhaupt erlauben. Das ausgesprochen hohe Sicherheitsniveau wurde nicht zuletzt durch die Zulassung durch das Bundesamt für Sicherheit in der stechnik und die Bundesnetzagentur bestätigt. Von den Sicherheitsfeatures her bereits die beste Lösung, musste allerdings die Performance der Komponente für den Einsatz in der Telematik-Infrastruktur noch einmal deutlich gesteigert werden. Die Anforderungen: Eine sehr schnelle und parallele Beantwortung vieler Anfragen und eine Minimierung der Antwortzeit für die Bereitstellung der en über initiale und geänderte Zertifikatsstati. Hierbei vertraute der Deutsche Spar - kassenverlag wiederum auf die Experten secunet, die um - fassendes Know-how im Be reich der Telematik und gematik Spezifikationen im Allgemeinen aufgebaut haben. Im Ergebnis gibt es nun eine neue Version der OCSP- Responder-Software, die das bereits vorhandene, hohe Sicherheitsniveau mit der Umsetzung einer High Performance verbindet eine absolut einzigartige Lösung im Markt. Der späteren Last im gematik-netz kann der Deutsche Sparkassenverlag nun gelassen entgegenblicken. Der OCSP-Responder secunet sorgt für kurze Antwortzeiten im Telematik-Netzwerk. Was ist eigentlich... der Sicherheitsstick? Der Sicherheitsstick ist der neue Steuermann secunet und übernimmt damit das Ruder vom bisherigen ELSTER-Stick. Dieser geht (noch) nicht ganz Bord, fährt aber zukünftig in ruhigeren Gewässern und ist nicht mehr zu erwerben. Wer seine elektronische Steuererklärung kosten günstig, flexibel und sicher steuern möchte, ist ab sofort mit dem Sicherheitsstick auf dem richtigen Kurs

8 Government ELSTER muss durch den Zoll Zertifikate der Steuerbehörden kommen bald auch in der Zollverwaltung zum Einsatz unter Kurt Maier Telefon: als 1,5 Milliarden Tonnen an Fracht werden jedes Jahr weltweit exportiert und nehmen somit ihren Weg durch den Zoll. Bereits seit einigen Jahren kann die Ausfuhranmeldung kostenlos über das Internet abgegeben werden, was insbesondere kleinen und mittelständischen Unternehmen zugute kommt. Im Rahmen der Sicherheitsinitiative der Europäischen Kommission müssen ab dem 1. Juli 2009 für alle Warenausfuhren elektronische Ausfuhranmeldungen bei der Zollbehörde abgegeben werden. Hierbei kann die neue Internetausfuhranmeldung IAA-Plus als kostenneutrale Lösung genutzt werden. Die Beteiligten müssen sich über das Zollportal elek - tronisch identifizieren. Diese Au thentisierung erfolgt über fortgeschrittene digitale Signaturen. Wenn Sie jetzt sagen: Da war doch was, da habe ich schon einmal etwas gehört, liegen Sie genau richtig: Die elektronische Steuererklärung ELSTER funktioniert über das gleiche System. Das haben sich auch die Be - hörden gedacht und sich darauf geeinigt, dass Unternehmen für die Internetausfuhranmeldung IAA-Plus die gleichen Zertifikate nutzen können wie für die elektronische Steuererklärung. Diese werden der Steuerverwaltung über das ElsterOnline-Portal ( kostenlos ausgegeben. Zudem basiert die gesamte Authentisierung der Online-Abwicklung der IAA-Plus auf eben dem System, das bei der Steuererklärung verwendet wird. Auch bei der Abwicklung Zollanmeldungen können die Zertifikate in drei Sicherheitsstufen verwendet werden: ELSTER- Basis speichert das Zertifikat auf einem PC. Nachteil ist, dass es durch Anwendungsfehler oder Virenbefall verloren gehen oder durch Phishing-Attacken sogar gestohlen werden kann. ELS- TERPlus beinhaltet den Einsatz einer Signaturkarte und verwendet nicht die kostenlosen Zertifikate der Steuerverwaltung sondern kostenpflichtige Versionen deutscher Trustcenter. Die Si - cherheit ist bei diesem Verfahren recht hoch, der Aufwand und die Zusatzkosten allerdings auch. Das ELSTERSpezial-Verfahren mit dem Sicherheitsstick hat sich in der Praxis als beste Lösung für hohe Sicherheit bei niedrigen Kosten erwiesen. Der Stick ist immun gegen Phishing-Attacken, Rechner-unabhängig und somit mobil einsetzbar. Siehe hierzu auch Seite 7. Ab dem 1. Juli 2009 müssen alle Exportwaren online angemeldet werden. Die ELSTER-Zertifikate sorgen dabei für eine sichere Identifizierung im Internet. Mit der Umsetzung der Sicherheitsinitiative soll unter anderem auch der Umsatzsteuerbetrug bekämpft werden. Durch die secunet realisierten Sicherheitsverfahren in der Zollverwaltung ist ein großer Schritt dorthin getan. 8

9 Government Bürger auf einen Schlag abgesichert Upgrade der Firewall für Macao Kennen Sie Macao? Also gut, ein bisschen Geographie-Nachhilfe schadet sicher nie: Macao ist eine Sonderverwaltungszone China, die in der Nähe Hongkong liegt. Die ehemalige portugiesische Kolonie wurde 1999 an die Volksrepublik zurückgegeben und lebt heute hauptsächlich vom Tourismus und Glücksspiel. Für Poker und Roulette hatten die beiden Experten secunet jedoch keine Zeit, als sie Ende Oktober 2008 nach Macao flogen. Im Gepäck: das Konzept für ein Upgrade der Firewall-Architektur im umfassenden Netzwerk. Doch warum braucht ein kleiner Stadtstaat wie Macao ein hochsicheres und hoch - verfügbares Netzwerk? Dazu ein Rückblick: In 2002 wurde Giesecke & Devrient (G& D) zusammen mit Siemens Macao mit der Entwicklung und Einführung einer Bürgerkarte für alle Einwohner Macaos beauftragt, der Macao ID. Durch den Aufbau einer Public- Key-Infrastruktur erhielt jeder Bürger einen digitalen Ausweis, der neben biometrischen Merkmalen für die automatische Grenzkontrolle auch eine individuelle elektronische Signatur enthält. Damit kann sich jeder der Macanesen im Internet ausweisen und rechtsverbindliche Verträge abschließen. secunet konzipierte dabei die sichere Netzwerkinfrastruktur und deren Absicherung nach außen sowie die Komponenten der Public- Key-Infrastruktur. Zurück in die Gegenwart: Die Abwicklung Behördengeschäften und anderen offiziellen Transaktionen bedarf natürlich einem besonderen Schutz, da hierbei persönliche Daten der Einwohner über das Netz versendet werden. Der alte Firewall- Cluster entsprach nicht mehr dem aktuellen Stand der Technik, so dass ein umfassender Schutz des Netzwerks gegen neue Gefahren aus dem Internet nicht mehr gewährleistet werden konnte. Also wandte sich das Identification Department (DSI) Macao an G& D, mit deren Leistungen sie schon in 2002 sehr zufrieden waren. G&D wiederum beauftragte ihre Tochtergesellschaft secunet, die umfassendes Know-how im Bereich der Netzwerkabsicherung besitzt. In Abstimmung mit dem Identification Department hat secunet ein Konzept erarbeitet und die Komponenten, die zum Einsatz kommen sollten, in einem Referenzsystem in Deutschland ge - testet und vorkonfiguriert. Ein Vorteil des nachgebauten Systems: Bei Ausfällen oder Störungen kann die Fehlersituation in Deutschland nachgestellt und schnell behoben werden. Außerdem konnte so das hochsichere und hochverfügbare Cluster aus drei neuen, leistungsfähigen Firewall-Appliances schnell und fehler frei installiert werden. Die einfach zu verwaltende und kosteneffektive Plattform besteht aus einer Stateful-Interspection- Firewall, die mit einem IPSec VPN, Gateway-Antivirus und -Antispyware, Intrusion Prevention und einer Web Application Firewall erweitert werden kann. Für das Monitoring der Netzwerk-Aktivitäten wird spezielle Software eingesetzt, durch die die Administratoren Trends in der Netzwerk-Belastung erkennen und auf eventuelle Hard- und Softwareprobleme schneller reagieren können. Ein großes Augenmerk wurde dabei auf den Betrieb gelegt: Schnappschüsse, Online-Backups und Disaster- Recovery wird in extrem kurzen Zeiten ermöglicht. Die Überwachung wichtigen Diensten und Zuweisung neuen Ressourcen (RAM, CPUs) helfen dem Administrator im täglichen Betrieb. Dieser umfassende Schutz sorgt nun dafür, dass die Einwohner Macaos auch weiterhin 24 Stunden am Tag ihre behördlichen und geschäftlichen Transaktionen sicher über das Internet abwickeln können. Selbst wenn eine oder zwei Komponenten ausfallen, läuft das System unbemerkt den Benutzern weiter, die fehlerhaften Teile können während des Betriebs ausgetauscht werden. Macao Kurt Maier Telefon: kurt.maier@secunet.com 9

10 Hochsicherheit Datenfluss unter Kontrolle SIAM überwacht Prozesse in der elektronischen VS-Bearbeitung PKI Internet Prozesskanal gesicherter Bestätigungskanal SIAM Web-Server IDM dass etwas nicht in Ordnung ist, denn SIAM fragt über den Rückkanal in diesem Moment bei ihm nach, ob der Befehl zur Weiterleitung Daten auch wirklich ausgeführt werden soll. Und wenn Herr Pfiffig nicht bestätigt, hat die Aktion Herrn Unverschämt keinen Erfolg. Jörg Kebbedies Telefon: Fortsetzung Seite 1 Es könnte auch sein, dass Herr Unverschämt sich als Herr Pfiffig ausgibt und in seinem Namen s verschickt. Dann kann Herr Pfiffig seine Geheimnisse in der Zeitung lesen. Will er nicht. Deswegen haben wir uns etwas überlegt. Erst einmal sollen die Daten aus Herrn Pfiffigs Datenraum nur zu ei - ner einzigen Tür hinauskönnen. Zweitens will Herr Pfiffig wissen, was durch die Tür hinausgeht und an wen. Drittens will er ein Veto-Recht haben, so dass die Daten nur mit seiner ausdrücklichen Genehmigung hinaus können. Viertens möchte er, dass der Empfänger sich sicher sein kann, dass der Absender auch wirklich Herr Pfiffig ist und nicht Herr Unverschämt. Und fünftens möchte Herr Pfiffig im Zweifelsfall nachvollziehen können, wann er welches Geheimnis wohin geschickt hat. Gelöst haben wir Herrn Pfiffigs Problem mit dem SIAM-Modul. SIAM ist eine Art Türwächter und observiert den Datenabfluss. Im ersten Schritt kontrolliert das System die Identität Herrn Pfiffig. Wenn der sich anmeldet, prüft es die Anmeldung und baut einen gesicherten Rückkanal zu Herrn Pfiffig auf. Falls sich Herr Unverschämt also wieder einmal als Herr Pfiffig ausgeben will, hilft ihm das nun nicht mehr weiter, denn der SIAM aufgebaute Rückkanal endet nicht auf dem Rechner Herrn Unverschämt, sondern auf dem Herrn Pfiffig. Dieser merkt gleich, Herr Pfiffig hat also die Kontrolle über die Datenverarbeitungsprozesse, die in seinem Namen ausgeführt werden. Die Kontrolle wird dort durchgeführt, wo es laut Sicherheitspolitik gefordert wird. Unter diesen Bedingungen kann auch als ein sicheres Transportmittel genutzt werden. Sein Chef kann sich sicher sein, dass die elektronischen Nachrichten Herrn Pfiffig, die er erhalten hat, auch tatsächlich Herrn Pfiffig ge - sendet wurden. So hat er die ganze Bearbeitung vertraulichen Daten besser im Griff. Ergänzend zur Prozesskontrolle enthält SIAM einen Protokollierungsdienst. Der notiert alle Prozesse, die Herr Pfiffig ausführt. Damit lässt sich im Nachhinein genau nachvollziehen, wer, wann, was gemacht hat. SINA trifft Beethoven Einladung zum SINA-Anwendertag unter Anmeldung und Anregungen unter: events@secunet.com Der SINA-Anwendertag findet in diesem Jahr am 15. und 16. Juni in der Beethovenhalle Bonn statt. Dazu möchten wir Sie als An - wender unserer SINA-Lösungen herzlich einladen. Das Programm ist an beiden Tagen identisch, so dass Sie einen Termin auswählen können. Haben Sie noch Themen, die Ihnen als Anwender am Herzen liegen? Lassen Sie es uns wissen. Anmeldungen und Anregungen können Sie bereits jetzt an events@secunet.com senden. Bitte nennen Sie uns bei der Anmeldung Ihren Wunsch termin und Ihre vollständige Adresse. Sie erhalten dann auto matisch eine Bestätigung. 10

11 PINNWAND IT-Sicherheitscheck 2009 Anzahl der Angriffe auf IT-Systeme steigt weiter unter 43 Prozent der Unternehmen und Behörden konnten 2008 einen Anstieg der Angriffe auf ihre IT-Systeme verzeichnen. Zu diesem Ergebnis kommt die secunet Studie IT-Sicherheits - check Die jährlich durchgeführte Online-Umfrage ba siert auf den Antworten 275 IT-Entscheidern, -Leitern und -Führungskräften aus Deutschland. Vor allem die öffentliche Verwaltung stand im Visier der Angreifer: 65 Prozent der Be fragten gaben an, dass sie 2008 häufiger Opfer An griffen wurden als Auch die Gesundheitsbranche und Finanzdienstleister rangierten in 2008 ganz oben auf der Liste der Angreifer. Hier berichten 57 bzw. 50 Prozent der Befragten über eine Zunahme der Attacken. Interessenten können den Bericht unter presse@secunet.com anfordern. Professionelles Projekt management bei secunet Als rein projektgetriebenes Un ternehmen legen wir viel Wert auf professionelles Projektmanagement. Im Sommer letzten Jahres wurden daher 40 Projektleiter intern fortgebildet. Weitere 12 sehr erfahrene Mitarbeiter wurden in einer sechsmonatigen Qualifizierungsphase in unserem Schulungszentrum in München für die Prüfung zum zertifizierten Projektmanager vorbereitet. Ba sis des Lehrgangs sind die weltweit anerkannten Standards der International Project Management Association (IPMA), in Deutschland vertreten durch die Ge - sellschaft für Projektmanage - ment (GPM). Durchgeführt wur - de das Training durch Resultance, ein darauf spezialisiertes Beratungsunternehmen. Die Prüfung haben alle erfolgreich bestanden. Herz lichen Glück - wunsch! So ar beiten wir stetig daran, die Qualität unserer Projekte immer weiter zu steigern. +++ Messe-Termine +++ wichtige Termine +++ Aktuelles +++ IDC IT Security Roadshow Kiew, Bukarest, Sofia Februar 2009, 17. März 2009 CeBIT Hannover März 2009 Border Security Warschau März 2009 Security Document World London März 2009 RSA Conference San Francisco April AFCEA Fachausstellung Bonn Mai Deutscher IT-Sicherheitskongress Bonn Mai 2009 SINA-Anwendertag Bonn Juni 2009 Biometrics London Oktober 2009 Public IT Security Berlin 27. Oktober

12 3.-8. März Halle 11, Stand D 61 Erfolgreiche Kooperationen auf der CeBIT 2009 secunet und Partner präsentieren Ergebnisse ihrer Zusammenarbeit in Hannover Unter dem Motto Wer die Welt bewegt, bewegt sich hier öffnet die CeBIT am 3. März 2009 ihre Tore für alle IT-Interessenten. Auf dem Marktplatz Nr. 1 des digitalen Business zeigen wieder hunderte Ausstellern ihre neuesten Lösungen und Produkte. Halle 11 ist in diesem Jahr Treffpunkt für die IT Security-Community. Unsere Partner: InterComponentWare AG & secunet Sichere und effiziente E-Health-Lösungen Intraproc GmbH & secunet Digitale Erfassung biometrischer Daten für elektronische Ausweisdokumente Bayerisches Landesamt für Steuern & secunet Sicherheit und Effizienz für Bürgerinnen und Bürger secunet holt sich Verstärkung an den Stand: Gemeinsam mit unseren Partnern InterComponentWare, Intraproc und dem Bayerischen Landesamt für Steuern stellen wir Ihnen unsere neuesten Entwicklungen vor. Überzeugen Sie sich selbst dem Potenzial, das aus diesem Spezialisten-Netzwerk entsteht, und besuchen Sie uns in Halle 11, Stand D 61. Die Qualität der medizinischen Versorgung nachhaltig zu steigern heißt heute, Neuerungen strukturiert und mit Weitblick einzuführen bei gleichzeitig be - grenzten Ressourcen. Hier setzt die InterComponentWare AG (ICW) mit vernetzenden stechnologien Zeichen. Bei ihrem Konnektor für das Gesundheitswesen, dem ICW Healthcare Connector based on SINA, vertraut ICW auf die Sicherheitstechnologie secunet. Der secunet Netzkonnektor auf der Basis der Hochsicherheitslösung SINA sorgt gemeinsam mit dem Anwendungskonnektor ICW für eine sichere Anbindung und schützt somit den Datenaustausch zwischen allen Beteiligten. Die Intraproc GmbH (Ratingen) ist seit mehr als 20 Jahren weltweit in den Bereichen Planung, Realisierung und Vertrieb Karten und Personalisierungssystemen tätig. Gemeinsam mit Speed Identity AB (Stockholm) entwickelt Intraproc Terminals zur Live-Erfassung biometrischer Daten, z.b. für epa und epass. Während der Erfassung wird eine automatische Prüfung der Bilddaten nach ICAO-Kriterien durchgeführt. Die Antragserfassung wird durch die direkte Übernahme der digitalen Daten beschleunigt. Für die Integration bei Behörden wird secunet biomiddle eingesetzt. Diese Middleware erfüllt die hoheitlichen Anforderungen und lässt sich flexibel mit verschiedenen Terminals kombinieren. Besuchen Sie uns und testen Sie dieses bürgerfreundliche Selbstbedienungsterminal an unserem Stand. Das Bayerische Landesamt für Steuern (BayLfSt) ist der An - sprechpartner des Bayerischen Staatsministeriums der Finanzen auf dem Gebiet der Steuerverwaltung. Seine Aufgabe ist u.a. die Bereitstellung technischer Dienstleistungen für alle nachgeordneten Finanzämter. So wurde unter der Federführung des BayLfSt das gesamte Konzept zur elektronischen Steuererklärung ELSTER erarbeitet und umgesetzt. Unterstützung in Fragen der IT- Sicherheit erhält ELSTER durch secunet. Die Sicherheitskomponenten für das ElsterOnline-Portal sowie die dafür verwendeten elektronischen Zertifikate sind Ergebnis dieser erfolgreichen Kooperation. In einem aktuellen Projekt werden die ELSTER-Zertifikate auch bei der Zollverwaltung eingesetzt. IMPRESSUM Herausgeber: secunet Security Networks AG Kronprinzenstraße Essen Telefon: Verantwortlich für den Inhalt: Marketing/Kommunikation marketing@secunet.com Redaktionsleitung: ines.kruse@secunet.com Gestaltung: Chromedia West GmbH Urheberrecht: secunet Security Networks AG. Alle Rechte vorbehalten. Alle Inhalte und Strukturen sind urheberrechtlich geschützt. Jede Verwendung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen schriftlichen Erlaubnis. 12