Smart Device Applikationen

Größe: px
Ab Seite anzeigen:

Download "Smart Device Applikationen"

Transkript

1 VdS-Richtlinien für rechnergestützte Informationssysteme VdS Anforderungen und Prüfmethoden VdS : (02)

2 Herausgeber und Verlag: VdS Schadenverhütung GmbH Amsterdamer Str Köln Telefon: (0221) ; Fax: (0221) Copyright by VdS Schadenverhütung GmbH. Alle Rechte vorbehalten.

3 VdS : (02) VdS-Richtlinien für rechnergestützte Informationssysteme Anforderungen und Prüfmethoden Inhalt 1 Allgemeines Anwendungsbereich Gültigkeit Begriffe und Abkürzungen Begriffe Abkürzungen Normative Verweisungen Klassifizierung Anforderungen Basisschutzmaßnahmen Firewall Schutz vor Schadsoftware Nutzercode Länge und Zusammensetzung des Nutzercodes Klasse 2-Stern Klasse 3-Stern Verbindung zu Steuer- und Anzeigeeinrichtungen von sicherungstechnischen Anlagen Updatemanagement Managementsystem für Informationssicherheit (ISMS) Maßnahmen gegen Brute-Force-Angriffe Zeitkonstante Vollsperre Maßnahmen gegen Reverse Engineering Standard-Obfuskation Höherwertige Obfuskation Maßnahmen gegen Vertraulichkeitsverlust auf dem Übertragungsweg Online Offline Maßnahmen gegen Keylogger Individualtastatur Scramble-Individualtastatur Maßnahmen gegen Vertraulichkeitsverlust auf dem Smart Device Verschlüsselte Speicherung Schutz der Integrität Schutz durch Secure Element Maßnahmen gegen Root-Exploits

4 VdS : (02) 6 Prüfmethoden Basisschutzmaßnahmen Firewall Schutz vor Schadsoftware Nutzercode Anforderungen an den Nutzercode Klasse 2-Stern Anforderungen an den Nutzercode Klasse 3-Stern Updatemanagement Managementsystem für Informationssicherheit (ISMS) Maßnahmen gegen Brute-Force-Angriffe Zeitkonstante Vollsperre Maßnahmen gegen Reverse Engineering Standard Obfuskation Höherwertige Obfuskation Maßnahmen gegen Vertraulichkeitsverlust auf dem Übertragungsweg Online Offline Maßnahmen gegen Keylogger Individualtastatur Scramble-Individualtastatur Maßnahmen gegen Vertraulichkeitsverlust auf dem Smart Device Verschlüsselte Speicherung Schutz vor Integrität Secure Element Maßnahmen gegen Root-Exploits Anhang A Anforderungen an die Dokumentation A.1 Dokumentationspflicht des Herstellers A.2 Form und Qualität der Dokumentation A.3 Sprache der Dokumentation A.4 Sicherung der Dokumentationspflege Anhang B Inhaltliche Anforderungen an die Dokumentation B.1 Betreiberdokumentation B.1.1 Herstellerinformation und Listung von Fachunternehmen B.1.2 Mindestanforderungen an das S mart Device und das B etriebss ys tem B.1.3 Dokumentation des Funktionsumfang der Applikation B.1.4 Installationsanleitung/Einrichtung der Applikation B.1.5 Bedienungsanleitung B.1.6 Zertifikate, Prüf- und Anerkennungsnachweise B.1.7 Ratschläge, Fehleranalyse und Problembehandlung B.1.8 Frequently Asked Questions (FAQ) B.1.9 Glossar B.2 Herstellerdokumentation B.2.1 Entwicklungsdokumentation/Versionsschema B.2.2 Prozessdokumentation/Flussdiagramm B.2.3 Programmdokumentation B.2.4 Quellcode-Listing

5 VdS : (02) 1 Allgemeines 1.1 Anwendungsbereich Smart-Device-Applikationen sind für eine Vielzahl von Anwendungen verfügbar. Oftmals entsteht ihr Nutzwert erst durch die Interaktion mit anderen computergestützten Informationseinrichtungen über öffentliche Netze. Bedingt durch den Informationsaustausch über öffentlich zugängliche Netze und Schnittstellen sowie die Mobilität und Verbreitung der Smart Devices entstehen in sicherheitskritischen Anwendungsbereichen nicht unerhebliche Risiken. Diese Richtlinien beschreiben die generellen Anforderungen und Prüfmethoden für die VdS-Anerkennung von Smart-Device-Applikationen. Ausgenommen sind Applikationen zum Einsatz in Verbindung mit brandschutztechnischen Anlagen. Hinweis: In Verbindung mit sicherungstechnischen Anlagen gelten zusätzlich die Richtlinien VdS Gültigkeit Diese Richtlinien können ab dem für die Prüfung und VdS-Anerkennung verwendet werden. 2 Begriffe und Abkürzungen 2.1 Begriffe Browsergestützte Applikation Eine Applikation, die grundsätzlich nichts anderes ist als eine speziell programmierte HTML- Seite, die durch das Smart Device erkannt wird und für diese optimiert dargestellt wird. Brute-Force Angriff Ein Angriff auf einen kryptografischen Algorithmus, welcher versucht durch systematisches Ausprobieren aller Möglichkeiten den Algorithmus zu knacken. Certification Authority (CA) Eine Stelle, die die Identität einer Person oder Organisation prüft und dies mit einem Zertifikat belegt. Beim Kommunikationsaufbau zweier Parteien können dann die jeweiligen Zertifikate des Anderen von der CA geprüft und bestätigt werden. Somit wird für die Kommunikationspartner die Identität des jeweils anderen authentifiziert. Die CA fungiert dabei als unabhängige und glaubwürdige dritte Partei. Checksum-Funktion Eine Funktion, die eine Prüfsumme aus den Ausgangsdaten berechnet und somit mindestens einen Bitfehler bei der Datenübertragung erkennt. Mit einer Prüfsumme lässt sich leicht die Integrität der Daten überprüfen. Client In diesem Zusammenhang ist das mobile Endgerät (Smart Device) mit der Applikation zur Verbindung mit der sicherungstechnischen Anlage gemeint. 5

6 VdS : (02) Diffie-Hellman Schlüsselaustausch Verfahren zur Erzeugung und Austausch eines digitalen Schlüssels, ohne dass der Schlüssel jemals selbst über ein unsicheres Medium übertragen werden muss. (Root)-Exploit Eine systematische Möglichkeit, die bei der Programmierung einer Anwendung u. U. entstandenen Schwachstellen auszunutzen, um einem Angreifer den möglichen Zugriff auf geschützte Bereiche zu ermöglichen. Der Root-Exploit bezeichnet dabei den Versuch administrative Zugriffsrechte auf das Betriebssystem des Smart Device zu erlangen. Die Schwachstellen können dabei bspw. durch Fehlfunktionen von Programmbefehlen hervorgerufen werden. Keylogger Eine Hard- oder Software, die die Eingaben des Benutzers über die Tastatur im Hintergrund protokolliert. Oftmals dienen Keylogger dazu, vertrauliche Informationen auszuspähen (bspw. Kennwörter) und diese an unberechtigte Personen zu versenden. Master In diesem Zusammenhang ist die Zentraleinheit der sicherungstechnischen Anlage bzw. der Webserver bei browsergestützten Applikationen gemeint. Native Applikation Eine Applikation, die speziell für ein Betriebssystem (z. B. ios, Android etc.) programmiert wurde und ausschließlich nur auf diesem lauffähig ist. Nutzercode Als Nutzercode wird eine vom Benutzer beliebig gewählte Zeichen-/Buchstabenfolge bezeichnet, die vor der Benutzung der Applikation durch Unberechtigte schützt. Der Nutzercode ist nicht mit dem Sperrcode gleichzusetzen und wird zu diesem als zusätzliche Sicherheitsmaßnahme eingesetzt. Pairing Kopplung zweier Kommunikationspartner unter Zuhilfenahme einmaliger Identifikationsmerkmale wie MAC-Adresse oder IMEI (Pairing Information). Für den Master ergibt sich eine 1:n-Struktur. Er akzeptiert nur Verbindungsanfragen von ihm bekannten Clients. Personal Unblocking Key (PUK) Ein elektronischer Schlüssel, mittels dessen eine Entsperrung einer vorher erkannten Fehlbedienung aufgehoben werden kann. In den vorliegenden Richtlinien sind damit bspw. die Entsperrung der Applikation oder die Initialisierung eines Re-Pairings gemeint. Secure Element Durch die Verknüpfung mit einem hardwareseitig eingebauten Sicherheitsmodul im Smart Device (Secure Element) kann durch kryptografische Verfahren ein zusätzlicher Schutz von sensiblen Daten erreicht werden. Dieses Secure Element kann in Form einer speziellen SIM-Karte, einer Mikro-SD-Karte oder eines implementierten Chips im Smart Device realisiert werden. 6

7 VdS : (02) Smart Device Tragbares Kommunikationsgerät, typischerweise Smartphone, Tablet oder ähnliches, auf dem die Applikation gestartet wird. Sperrcode Als Sperrcode wird eine vom Benutzer beliebig gewählte Zeichen-/Buchstabenfolge bezeichnet, die vor der Benutzung des Smart Device durch Unberechtigte schützt. Je nach Betriebssystem und VdS-Klasse kann die Länge und Komplexität des Sperrcodes variieren. Web-Application-Firewall Ein Verfahren oder Maßnahmen, die vor Angriffen mittels HTTP-Protokoll auf der Anwendungsebene schützen soll. 2.2 Abkürzungen PUK AES DH ISMS CA ISO ISMS CA URL 3 Personal Unblocking Key Advanced Encryption Standard Diffie-Hellman-Schlüsselaustausch Informations-Sicherheits-Management-System Certificate Authority oder Certification Authority International Organization for Standardization Information Security Management System Certificate Authority Uniform Resource Locator Normative Verweisungen Diese Richtlinien enthalten datierte und undatierte Verweise auf andere Regelwerke. Die Verweise erfolgen in den entsprechenden Abschnitten, die Titel werden im Folgenden aufgeführt. Änderungen oder Ergänzungen datierter Regelwerke gelten nur, wenn sie durch Änderung dieser Richtlinien bekannt gegeben werden. Von undatierten Regelwerken gilt die jeweils letzte Fassung. VdS 2465 Richtlinien für das VdS-Übertragungsprotokoll für Gefahrenmeldungen 7

8 VdS : (02) 4 Klassifizierung Der Tabelle ist zu entnehmen, welche der nachfolgenden Anforderungen in welcher Klasse erfüllt sein müssen**. Angriffsvektor Basisangriffsvektor Brute-Force-Angriff Reverse Engineering Vertraulichkeitsverlust auf dem Übertragungsweg Keylogger Vertraulichkeitsverlust auf dem Smart Device Maßnahme(n) Firewall Abschnitt Web-Application- Firewall Stern 2-Stern 3-Stern N/B N/B N/B N/B N/B N/B Virenschutz N/B N/B N/B Nutzercode N/B N/B Pairing-Verfahren * * * Updatemanagement N/B N/B N/B Zeitkonstante N/B N/B N/B Nutzercode-Länge N/B N/B N/B Vollsperre N/B Standard Obfuskation N/- N/- Höherwertige Obfuskation Verschlüsselung (Online/Offline) N/- 5.4 N/B N/B N/B Individualtastatur N/B Scramble- Individualtastatur im Gerät verschlüsselt gespeichert N/B N/B N/B N/B Integritätsschutz N/B Secure Element N/B Root-Exploit Verhindern/Detektion 5.7 N/B N/B Tabelle 4-1: Klassifizierung *) wenn anwendbar, siehe jeweiliger Abschnitt **) N für native Apps, B für browsergestützte Apps 8

9 VdS : (02) 5 Anforderungen 5.1 Basisschutzmaßnahmen Firewall Der Betreiber der Applikation muss in der Dokumentation darauf hingewiesen werden, dass für einen VdS-konformen Betrieb, sofern technisch möglich, eine Firewall auf dem Smart Device und dem Master verwendet werden muss. Weiterhin wird der Betreiber darauf hingewiesen, dass die Software der Firewall durch einen geeigneten Prozess automatisch und regelmäßig zu aktualisieren ist. Wenn der Master über ein öffentliches Netz erreichbar ist, gilt zusätzlich: Der Betreiber der Applikation muss in der Dokumentation darauf hingewiesen werden, dass für einen VdS-konformen Betrieb, sofern technisch möglich, eine Application Firewall auf dem Master verwendet werden muss. Weiterhin wird der Betreiber darauf hingewiesen, dass die Software der Application Firewall durch einen geeigneten Prozess automatisch und regelmäßig zu aktualisieren ist Schutz vor Schadsoftware Der Betreiber der Applikation muss in der Dokumentation darauf hingewiesen werden, dass für den VdS-konformen Betrieb, die Nutzung eines geeigneten Schutzprogramms vor Schadsoftware auf dem Smart Device, dem Master und ggf. erforderlicher Server erforderlich ist. Weiterhin muss eine regelmäßige Überprüfung auf Schadsoftware und die automatische Aktualisierung der Signaturdatenbankempfohlen werden. Weiterhin muss der Betreiber darauf hingewiesen werden, dass er dafür Sorge zu tragen hat, dass im Falle einer Infektion durch Schadprogramme, der Virenfund vom Schutzprogramm dokumentiert und durch geeignete Maßnahmen behoben wird Nutzercode Die Applikation darf nur durch Berechtigte gestartet werden können. Die Berechtigung muss durch die Eingabe eines Nutzercodes oder eines anderen, gleichwertigen Identifikationsmerkmals (z. B. Fingerabdruck) nachgewiesen werden. Der Nutzercode ist nicht gleichzusetzen mit dem Sperrcode des Smart Device. Für 1-/2-Stern gilt: Die vorgenannten Anforderungen entfallen, wenn durch die Applikation softwareseitig sichergestellt wird, dass ein Sperrcode im Betriebssystem verwendet wird. Der Nutzer ist in der Dokumentation auf die Wichtigkeit der Auswahl eines sicheren Nutzerund Sperrcodes hinzuweisen Länge und Zusammensetzung des Nutzercodes Klasse 2-Stern Der Nutzercode muss eine Mindestlänge von 4 Zeichen haben und aus Kleinbuchstaben, Großbuchstaben oder Ziffern zusammengesetzt werden Klasse 3-Stern Der Nutzercode muss eine Mindestlänge von 8 Zeichen haben und aus Klein- und Großbuchstaben sowie Ziffern zusammengesetzt werden. Der Nutzer muss in regelmäßigen Abständen automatisch aufgefordert werden, seinen Nutzercode zu ändern. 9

10 VdS : (02) Verbindung zu Steuer- und Anzeigeeinrichtungen von sicherungstechnischen Anlagen Es sind die zusätzlichen Anforderungen der weiteren Teile dieser Richtlinien zu erfüllen, soweit anwendbar Updatemanagement Der Betreiber der Applikation muss in der Dokumentation darauf hingewiesen werden, dass es für einen VdS-konformen Betrieb erforderlich ist, stets die aktuelle Softwareversion der, für den ordnungsgemäßen Betrieb der Applikation erforderlichen Programme, auf dem Smart Device, dem Master und ggf. erforderlicher Server zu verwenden. Dies schließt vor allem auch die Applikation selbst und die jeweiligen Betriebssysteme der vorgenannten Hardwarekomponenten ein. Kann ein Update eines Masters bzw. ggf. erforderlicher Server nur durch einen Errichter erfolgen, hat der Betreiber dafür Sorge zu tragen, dass die Systemsoftware zeitnah vom Errichter aktualisiert wird. Es muss ein softwareseitiges Updatemanagement vorhanden sein, das dafür sorgt, dass die Applikation stets aktuell ist. Die Applikation muss bei jedem Aufruf durch den Nutzer (bei mehrfachem Aufruf pro Tag mindestens einmal) nach Updates suchen und den Nutzer informieren, sobald ein Update verfügbar ist (Hinweis). Der Nutzer hat dann noch eine gewisse Karenzzeit, die sich ab Kenntniserlangung durch die Applikation über die Verfügbarkeit eines Updates berechnet und aus Tabelle 5-1: Updatemanagement ergibt, um das Update der Applikation durchzuführen. Bei Überschreitung dieser Zeit darf die Applikation nicht mehr genutzt werden können (Zwangssperre). Wenn sowohl Master als auch Smart Device ohne Internetverbindung betrieben werden, ist die Anforderung an die Zwangssperre nicht relevant. Hinweis: Das Updatemanagement kann auch durch ein drittes Programm, z. B. App Store, Google play etc. realisiert werden. Klasse Hinweis Zwangssperre 1-Stern sofort nein 2-Stern sofort nach 30 Tagen 3-Stern sofort nach 7 Tagen Tabelle 5-1: Updatemanagement Managementsystem für Informationssicherheit (ISMS) Sind für den ordnungsgemäßen Betrieb der Applikation ein oder mehrere Server, auf denen anlagenspezifische Daten gespeichert oder verwaltet werden, außerhalb des Einflussbereichs des Betreibers der Applikation notwendig, muss der Betreiber der Server (dritte Partei) für einen VdS-konformen Betrieb der Applikation über ein geeignetes und zertifiziertes ISMS nach anerkannten Standards (bspw. VdS 3475, ISO o. ä.) verfügen. Der Hersteller der Applikation muss das ISMS-Zertifikat der dritten Partei in der Dokumentation verzeichnen und über Art und Umfang der Datenverarbeitung und -speicherung hinweisen. 10

11 VdS : (02) 5.2 Maßnahmen gegen Brute-Force-Angriffe Zeitkonstante Wird ein falscher Nutzercode eingegeben, ist durch eine Zeitverzögerung sicherzustellen, dass der nächste Eingabeversuch erst nach Ablauf einer bestimmten Zeit erfolgen kann. Die Zeit t berechnet sich in Abhängigkeit der Fehlversuche n nach t = 2 n Sekunden Vollsperre Werden nacheinander zehn Falscheingaben des Nutzercodes getätigt, ist das Starten der Applikation vollständig zu blockieren. Um die Vollsperre aufzuheben, muss ein PUK abgefragt werden. Wird der PUK dreimal hintereinander falsch eingegeben, so sind alle auf diese Applikation bezogenen hinterlegten Informationen zu löschen. Der Betreiber der Applikation ist in der Dokumentation auf die vollständige Löschung der Daten hinzuweisen. 5.3 Maßnahmen gegen Reverse Engineering Standard-Obfuskation Bei Applikationen der Klassen 1-Stern oder 2-Stern muss der Quellcode mittels standardmäßig vom Entwicklungssystem angebotener Verschleierungsmechanismen (Obfuskation) gegen Reverse Engineering geschützt sein Höherwertige Obfuskation Bei 3-Sterne Applikationen muss der Quellcode mittels hochwertiger Verschleierungsmechanismen (Obfuskation) gegen Reverse Engineering geschützt sein. Die standardmäßig vom Entwicklungssystem angebotenen Obfuskationsverfahren sind nicht (ausschließlich) zu verwenden. 5.4 Maßnahmen gegen Vertraulichkeitsverlust auf dem Übertragungsweg Die Vertraulichkeit und Integrität der Daten, die über Datennetze übermittelt werden, sind sicherzustellen. Dies muss durch geeignete Verfahren und Algorithmen (z. B. HTTPS- Verbindungen mit aktuellen Verschlüsselungsverfahren und Nutzung von Checksum- Funktionen) erfolgen. HTTPS-Verbindungen sind mindestens mit einem SHA-256 Bit Zertifikatunterzeichnungsalgorithmus zu erstellen. Um die HTTPS-Verbindungen nicht zu gefährden sollten Protokolle TLS 1.0 verwendet werden. Veraltete Protokolle < TLS 1.0 dürfen nicht angeboten werden. Der Hersteller muss die angewendeten Verfahren und Algorithmen in der Herstellerdokumentation aufführen. Zertifikate müssen auf ihre Gültigkeit hin überprüft werden. Nur gültige Zertifikate dürfen verwendet werden. Hinweis: Grundsätzlich sind immer hohe und aktuelle Verschlüsselungsprotokolle und Checksum-Funktionen zu verwenden, die in den Richtlinien für das VdS- Übertragungsprotokoll für Gefahrenmeldungen, Version 2, Ergänzung S2: Protokollerweiterung zur Anschaltung an Netze der Protokollfamilie TCP, VdS 2465 beschrieben oder 11

12 VdS : (02) sich an den Empfehlungen zur Informationssicherheit öffentlicher Behörden und Organisationen (z. B. Bundesamt für Sicherheit in der Informationstechnik (BSI) oder Internationale Organisation für Normung (ISO)) orientieren Online Wenn die Kommunikation der Applikation über HTTPS erfolgt, sind die folgenden Zertifikatsklassen vorgeschrieben. Klasse Zertifikatsklasse Symmetrische Schlüsselstärke Asymmetrische Schlüsselstärke 1-Stern Domain-Validierung 1024 Bit 128 Bit 2-Stern Organisation- Validierung 2048 Bit 256 Bit 3-Stern Extended-Validation 4096 Bit 256 Bit Wenn in der Applikation der oder die Master und ggf. weitere erforderliche Server festgelegt sind und diese nicht geändert sowie über allgemein verfügbare Browser aufgerufen werden können und weiterhin das Zertifikat der vertrauenswürdigen CA vom Hersteller integriert ist und nicht geändert werden kann, dürfen auch selbst ausgestellte Zertifikate verwendet werden, die aus dieser vertrauenswürdigen CA abgeleitet sind, Die Anforderungen an Schlüsselstärke und verwendete Algorithmen bleiben davon unberührt Offline Wenn der Master nicht über ein öffentliches Netz erreichbar ist, gilt: Klasse Zertifikatsklasse Symmetrische Schlüsselstärke Asymmetrische Schlüsselstärke 1-Stern selbst signiert * 1024 Bit 128 Bit 2-Stern selbst signiert * 2048 Bit 256 Bit 3-Stern selbst signiert * 4096 Bit 256 Bit *) Durch den Hersteller selbst signierte oder durch ein vom Hersteller vorgegebenes Verfahren signierte Zertifikate müssen durch ein geeignetes Verfahren beim Verbindungsaufbau authentifiziert werden. Das Zertifikat muss auf einem sicheren Weg in den Client gelangen, z. B. indem es in der Applikation ab Werk integriert ist. 5.5 Maßnahmen gegen Keylogger Individualtastatur Um einen Schutz gegen das Mitschreiben der Tastatureingaben (Keylogger) zu gewährleisten, dürfen nicht die angebotenen Standard-Programmbibliotheken der Entwicklungsumgebung für Tastaturen verwendet werden. Es ist eine Tastaturfunktion zu implementieren, bei der die Informationen der Tasteneingaben nur innerhalb der Applikation erzeugt und verarbeitet werden, sodass Tasteneingaben nicht über eine Schnittstelle vom Betriebssystem in die Applikation eingespeist oder ausgelesen werden können. Hinweis: Die vorgenannten Anforderungen gelten nur, wenn nicht der Sperrcode des Betriebssystems verwendet wird. 12

13 VdS : (02) Scramble-Individualtastatur Um einen hinreichenden Schutz gegen das Mitschreiben der Tastatureingaben (Keylogger) auch für Applikationen höherer Klassen (siehe Tabelle 4-1: Klassifizierung) zu gewährleisten, muss eine Individualtastatur (Abschnitt 5.5.1) eingesetzt werden, die zusätzlich die Anordnung der Button zufällig neu berechnet (Scramble-Funktion). 5.6 Maßnahmen gegen Vertraulichkeitsverlust auf dem Smart Device Verschlüsselte Speicherung Die Vertraulichkeit der Daten, die auf dem Smart Device für die betreffende Applikation gespeichert werden, ist sicherzustellen. Der Hersteller der Applikation muss dies durch die Verwendung speziell geschützter Speicherbereiche oder einer geeigneten Verschlüsselung der Daten (z. B. AES) sicherstellen. Grundsätzlich gilt: Die Speicherung von Daten auf dem Smart Device sollte sich an dem Grundsatz ausrichten, dass so wenig wie möglich und nur so viel wie gerade nötig gespeichert wird. Alle Daten die auf dem Master abgerufen werden können, dürfen auch nur dort gespeichert werden. Der Hersteller muss in der Herstellerdokumentation die verwendeten Speicherbereiche sowie das verwendete Verschlüsselungsverfahren dokumentieren Schutz der Integrität Bei Klasse 3-Stern gilt: Die Integrität der Applikationsdaten, die auf dem Smart Device gespeichert oder übertragen werden, ist sicherzustellen. Dies muss durch die Verwendung einer geeigneten und aktuellen Prüfsummenfunktion der Daten erfolgen. Nicht integre Daten dürfen nicht durch die Applikation verarbeitet und müssen verworfen werden. Zu der Eignung und Aktualität der zu verwendenden Prüfsummenfunktion ist der Hinweis in 5.4 zu beachten Schutz durch Secure Element Bei Klasse 3-Stern gilt: Die Applikationsdaten sind, sofern technisch möglich, in einem Secure-Element zu speichern. Der Hersteller muss den Betreiber der Applikation in der Betreiberdokumentation darauf hinweisen, dass die Verwendung eines Secure-Elements im Smart Device einen Mehrwert an Sicherheit bietet und die Verwendung eines geeigneten Smart Device empfehlen. 5.7 Maßnahmen gegen Root-Exploits Der Betreiber der Applikation muss in der Dokumentation darauf hingewiesen werden, dass für einen VdS-konformen Betrieb, sofern technisch möglich, geeignete Maßnahmen zum Schutz des Smart Device vor (Root-)Exploits zu ergreifen sind und dass er sich bei Bekanntwerden eines Exploits umgehend beim Hersteller zu informieren hat, ob ein behebendes Softwareupdate verfügbar ist. Ist dies der Fall liegt es in seinem Verantwortungsbereich dies zu installieren. Die Applikation muss zuverlässig erkennen, wenn der Betreiber die Applikation mit administrativen Berechtigungen ausführt oder diese während der Nutzung erlangt. In diesem Fall muss die Applikation augenblicklich beendet werden und gegen Neustart gesichert werden. 13

14 VdS : (02) 6 Prüfmethoden 6.1 Basisschutzmaßnahmen Firewall Es wird geprüft, ob der Hersteller in der Betreiberdokumentation darauf hinweist, dass für den VdS-konformen Betrieb der Applikation eine Firewall auf dem Smart Device bzw. auf dem Master betrieben werden muss und entsprechende Maßnahmen für die automatische und regelmäßige Aktualisierung der Firewall Software empfiehlt. Annahme-/Zurückweisungskriterien: Das vorgenannte Prüfkriterium ist bestanden, wenn die Betreiberdokumentation einen entsprechenden Hinweis zum Betrieb einer Firewall auf dem Smart Device bzw. auf dem Master und Maßnahmen zur automatischen und regelmäßigen Aktualisierung enthält. Es wird geprüft, ob der Master über ein öffentliches Netz erreichbar ist. Ist dies der Fall wird geprüft ob der Hersteller in der Betreiberdokumentation darauf hinweist, dass für den VdS-konformen Betrieb der Applikation eine Application-Firewall auf dem Master betrieben werden muss und entsprechende Maßnahmen für die automatische und regelmäßige Aktualisierung der Application-Firewall Software empfiehlt. Annahme-/Zurückweisungskriterien: Das vorgenannte Prüfkriterium ist bestanden, wenn die Betreiberdokumentation einen entsprechenden Hinweis zum Betrieb einer Application-Firewall auf dem Master und Maßnahmen zur automatischen und regelmäßigen Aktualisierung enthält Schutz vor Schadsoftware Es wird geprüft, ob der Hersteller in der Betreiberdokumentation darauf hinweist, dass für den VdS-konformen Betrieb der Applikation ein aktuelles Schutzprogramm vor Schadsoftware auf dem Smart Device, dem Master und ggf. weiterer Server betrieben werden muss und eine regelmäßige Überprüfung und automaische Aktualisierung der Signaturdatenbank empfiehlt. Annahme-/Zurückweisungskriterien: Das vorgenannte Prüfkriterium ist bestanden, wenn die Betreiberdokumentation einen entsprechenden Hinweis zur Nutzung eines Schutzprogramms vor Schadsoftware auf dem Smart Device, dem Master und ggf. weiterer Server enthält und eine regelmäßige Überprüfung und automatische Aktualisierung der Signaturdatenbank empfiehlt. Es wird geprüft, ob der Hersteller in der Betreiberdokumentation darauf hinweist, dass für den VdS-konformen Betrieb der Applikation, der Betreiber dafür Sorge zu tragen hat, dass im Falle einer Infektion durch ein Schadprogramm der Virenfund vom Schutzprogramm dokumentiert und durch geeignete Maßnahmen behoben wird. Annahme-/Zurückweisungskriterien: Das vorgenannte Prüfkriterium ist bestanden, wenn die Betreiberdokumentation einen entsprechenden Hinweis enthält, dass der Betreiber dafür Sorge zu tragen hat, dass im Falle einer Infektion durch ein Schadprogramm der Virenfund vom Schutzprogramm dokumentiert und durch geeignete Maßnahmen behoben wird Nutzercode Es wird geprüft, ob das Starten der Applikation die Eingabe eines Nutzercodes gemäß Abs oder den Nachweis eines anderen, gleichwertigen Identifikationsmerkmals (z. B. Fingerabdruck) voraussetzt. 14

15 VdS : (02) beim Starten der Applikation ein entsprechendes Identifikationsmerkmal abgefragt wird. Für 2-Stern gilt: Es wird geprüft, ob beim Starten der Applikation die Einrichtung eines Sperrcodes im Smart Device überprüft wird. Ist dies der Fall, entfallen die genannten Anforderungen an den Nutzercode. die Applikation die Einrichtung eines Sperrcodes im Smart Device erfolgreich überprüft. Es wird geprüft, ob die Bedienungsanleitung für den Betreiber der Applikation einen Hinweis über die Wichtigkeit der Auswahl eines sicheren Nutzer- und Sperrcodes enthält. Annahme-/Zurückweisungskriterium: Die Prüfung ist bestanden, wenn die Bedienungsanleitung einen entsprechenden Hinweis über die Wichtigkeit der Auswahl eines sicheren Nutzer- und Sperrcodes enthält Anforderungen an den Nutzercode Klasse 2-Stern Es wird geprüft, ob die Mindestanforderungen an den Nutzercode nach erfüllt werden. verschiedene und zufällig erstellte Nutzercodes abgelehnt werden, die den Mindestanforderungen nach nicht entsprechen Anforderungen an den Nutzercode Klasse 3-Stern Es wird geprüft, ob die Mindestanforderungen an den Nutzercode nach erfüllt werden. verschiedene und zufällig erstellte Nutzercodes abgelehnt werden, die den Mindestanforderungen nach nicht entsprechen. Es wird geprüft, ob der Nutzer in regelmäßigen Abständen automatisch auffordert wird seinen Nutzercode zu ändern. Annahme-/Zurückweisungskriterium: Die Prüfung ist bestanden, wenn der Nutzer in regelmäßigen Abständen automatisch aufgefordert wird, seinen Nutzercode zu ändern. Hinweis: Der Nachweis kann z. B. durch das Vorhandensein einer entsprechenden Routine im Quellcode erbracht werden Updatemanagement Es wird geprüft, ob der Hersteller in der Betreiberdokumentation darauf hinweist, dass für den VdS-konformen Betrieb stets die aktuelle Softwareversion aller, für den ordnungsgemäßen Betrieb der Applikation, erforderlichen Programme auf dem Smart Device, dem Master und ggf. erforderlicher Server verwendet werden müssen. Die Applikation selbst und die jeweiligen Betriebssysteme der vorgenannten Hardwarekomponenten müssen ebenfalls explizit erwähnt werden. die Betreiberdokumentation einen entsprechenden Hinweis zur Nutzung der aktuellen Softwareversion aller für den ordnungsgemäßen Betrieb der Applikation erforderlichen Software auf dem Smart Device, dem Master und ggf. erforderlicher Server enthält, sowie 15

16 VdS : (02) ein Hinweis auf Nutzung der aktuellen Betriebssystemversionen der vorgenannten Hardwarekomponenten und der Applikation selbst. Es wird geprüft, ob die Applikation bei jedem Starten (bei mehrfachem Aufruf pro Tag mindestens einmal) nach Updates sucht und den Betreiber informiert, sobald ein Update verfügbar ist. ein entsprechender Hinweis den Betreiber bei Vorliegen eines Updates informiert bzw. diese Funktionalität anhand des Quellcodes nachvollzogen werden kann. Es wird geprüft, ob sich die Applikation nicht mehr starten lässt, wenn seit der Kenntniserlangung der Applikation über das Vorhandensein eines Updates die in definierte Karenzzeit überschritten ist. sich die Applikation nach der definierten Karenzzeit nicht mehr starten lässt bzw. diese Funktionalität anhand des Quellcodes nachvollzogen werden kann Managementsystem für Informationssicherheit (ISMS) Nachfolgende Kriterien müssen geprüft werden, wenn für den ordnungsgemäßen Betrieb der Applikation ein oder mehrere Server, auf denen anlagenspezifische Daten gespeichert oder verwaltet werden, außerhalb des Einflussbereichs des Betreibers der Applikation notwendig sind. Es wird geprüft, ob der Hersteller ein allgemein anerkanntes ISMS-Zertifikat des Serverbetreibers in der Herstellerdokumentation verzeichnet hat. ein Zertifikat vorliegt, dass der Betreiber der Server ein geeignetes ISMS nach anerkannten Standards implementiert hat. Es wird geprüft, ob ein entsprechender Hinweis in der Betreiberdokumentation über Art und Umfang der Datenverarbeitung und -speicherung vorhanden ist die Betreiberdokumentation einen entsprechenden Hinweis enthält, der den Betrieb von ein oder mehreren Servern außerhalb des Einflussbereichs des Betreibers und über Art und Umfang der Datenverarbeitung und -speicherung informiert. 6.2 Maßnahmen gegen Brute-Force-Angriffe Zeitkonstante Es wird geprüft, ob bei Eingabe eines falschen Nutzercodes der nächste Eingabeversuch durch eine Zeitkonstante nach verzögert wird. der nächste Eingabeversuch des Nutzercodes nach vorheriger Fehleingabe um die Zeit t nach verzögert wird Vollsperre Es wird geprüft, ob nach zehnfacher Falscheingabe des Nutzercodes das Starten der Applikation vollständig blockiert ist. 16

17 VdS : (02) nach zehnfacher Falscheingabe des Nutzercodes das Starten der Applikation blockiert ist. Es wird geprüft, ob die Vollsperre durch die Eingabe eines PUK deaktiviert werden kann. Annahme-/Zurückweisungskriterium: Die Prüfung ist bestanden, wenn die Vollsperre durch die Eingabe des richtigen PUK aufgehoben ist. Es wird geprüft, ob nach dreimaliger Falscheingabe des PUK alle anwendungsbezogenen Informationen gelöscht werden. nach dreimaliger Falscheingabe des PUK alle anwendungsbezogenen Daten gelöscht sind. Es wird geprüft, ob der Hersteller in der Betreiberdokumentation darauf hinweist, dass nach dreimaliger Falscheingabe des PUK alle anwendungsbezogene hinterlegte Daten vollständig gelöscht werden. die Betreiberdokumentation einen entsprechenden Hinweis auf vollständige Löschung der Daten nach dreimaliger Falscheingabe des PUK enthält. 6.3 Maßnahmen gegen Reverse Engineering Standard Obfuskation Es wird geprüft, ob der Quellcode der (1- oder 2-Stern) Applikation grundlegend obfuskiert ist. der Quellcode, durch standardmäßig einfache Obfuskationsmethoden verschleiert ist Höherwertige Obfuskation Es wird geprüft ob der Quellcode der 3-Sterne Applikation hochwertig obfuskiert ist. der Quellcode, durch hochwertige Obfuskationsmethoden verschleiert ist und nicht (ausschließlich) standardmäßig einfache Obfuskationsmethoden verwendet sind. 6.4 Maßnahmen gegen Vertraulichkeitsverlust auf dem Übertragungsweg Es wird geprüft, ob der Hersteller geeignete Verfahren zur Sicherung von Daten bei der Übermittlung über Datennetze einsetzt (z. B. HTTPS) und die genannten Anforderungen nach 5.4 mindestens erfüllt. die Anforderungen hinsichtlich der Sicherungsverfahren für Daten bei der Übermittlung nach 5.4 mindestens erfüllt. Es wird geprüft, ob der Hersteller die verwendeten Verfahren und Algorithmen zur Sicherung von Daten bei der Übermittlung in der Herstellerdokumentation aufführt. die verwendeten Verfahren und Algorithmen in der Herstellerdokumentation aufgeführt sind. 17

18 VdS : (02) Es wird geprüft, ob bei der Übermittlung von Daten nur gültige Zertifikate verwendet und akzeptiert werden. die ausschließliche Verwendung von gültigen Zertifikaten bei der Datenübermittlung gesichert ist. Dies kann durch Verwendung mehrerer ungültiger Zertifikate bestätigt werden Online Es wird geprüft, ob bei der Kommunikation zwischen Smart Device, Master und ggf. weiterer Server eine Verschlüsselung eingesetzt wird und die Schlüsselstärke der entsprechenden Zertifikatsklasse nach entspricht. eine Abfrage aller möglichen Schlüsselstärken auf dem Master und ggf. verwendeter Server mindestens die Anforderungen der entsprechenden Zertifikatsklasse nach Tabelle erfüllt Offline Es wird geprüft, ob bei der Kommunikation zwischen Smart Device, Master und ggf. weiterer Server eine Verschlüsselung eingesetzt wird und die Schlüsselstärke der entsprechenden Zertifikatsklasse nach entspricht. eine Abfrage aller möglichen Schlüsselstärken auf dem Master und ggf. verwendeter Server mindestens die Anforderungen der entsprechenden Zertifikatsklasse nach Tabelle erfüllt. 6.5 Maßnahmen gegen Keylogger Individualtastatur Es wird geprüft, ob in der Applikation bei fehlendem Sperrcode auf dem Smart Device eine herstellereigene Individualtastatur wirksam implementiert ist. anhand des Quellcodes nachvollzogen werden kann, dass eine herstellereigene Tastaturfunktion wirksam implementiert ist Scramble-Individualtastatur Es wird geprüft, ob in der Applikation eine herstellereigene Individualtastatur wirksam implementiert ist. Zusätzlich soll bei jedem Aufruf die Anordnung der Button verwürfelt werden (Scramble-Funktion). Annahme-/Zurückweisungskriterium: Das vorgenannte Prüfkriterium ist bestanden, wenn anhand des Quellcodes nachvollzogen werden kann, dass eine herstellereigene Tastaturfunktion wirksam implementiert ist. Zusätzlich muss bei jedem Aufruf der Tastatur die Anordnung der Button verwürfelt (Scramble-Funktion) werden. 18

19 VdS : (02) 6.6 Maßnahmen gegen Vertraulichkeitsverlust auf dem Smart Device Verschlüsselte Speicherung Es wird geprüft, ob Daten in speziell gesicherten Speicherbereichen oder verschlüsselt auf dem Smart Device abgelegt werden. die Daten in speziell gesicherten Speicherbereichen oder verschlüsselt auf dem Smart Device abgelegt werden. Es wird geprüft, ob der Hersteller den Ablageort der Daten oder das verwendete Verschlüsselungsverfahren in der Herstellerdokumentation aufgeführt hat. der verwendete Ablageort oder das Verschlüsselungsverfahren in der Herstellerdokumentation aufgeführt ist Schutz vor Integrität Es wird geprüft, ob Prüfsummen der übertragenen Daten erzeugt und von der Applikation geprüft werden. eine Veränderung mehrerer Prüfsummen von zu verarbeitenden Daten von der Applikation verworfen werden Secure Element Es wird geprüft, ob das Secure Element verwendet wird und die Daten dort gespeichert werden. anhand des Quellcodes oder eines Einblicks in das Dateisystem des Smart Device nachvollzogen werden kann, dass die Daten der Applikation in einem Secure Element gespeichert werden. Es wird geprüft, ob der Hersteller den Betreiber in der Betreiberdokumentation auf den zusätzlichen Schutz durch ein Secure-Element hinweist und die Verwendung eines geeigneten Smart Device empfiehlt. entsprechende Hinweise in der Betreiberdokumentation vorhanden sind. 6.7 Maßnahmen gegen Root-Exploits Es wird geprüft, ob in der Betreiberdokumentation ein Hinweis enthalten ist, dass der Betreiber für einen VdS-konformen Betrieb dafür Sorge zu tragen hat, dass Maßnahmen zum Schutz vor (Root-)Exploits ergriffen werden und dass er bei Bekanntwerden entsprechender Exploits sich umgehend bei dem Hersteller zu informieren hat, ob ein behebendes Softwareupdate verfügbar ist. Wenn ein Update vorhanden ist, wird er verpflichtet dies zu installieren. entsprechende Hinweise in der Betreiberdokumentation vorhanden sind. 19

20 VdS : (02) Es wird geprüft, ob in der Applikation zuverlässig erkennt wird, dass ein Betreiber administrative Berechtigungen auf dem Smart Device (erlangt) hat. Ist dies der Fall muss die (weitere) Ausführung der Applikation augenblicklich unterbunden werden. eine Ausführung der Applikation mit administrativen Rechten auf dem Smart Device die Applikation augenblicklich beendet und gegen Neustart sichert. 20

21 VdS : (02) Anhang A Anforderungen an die Dokumentation A.1 Dokumentationspflicht des Herstellers Der Hersteller der Applikation muss zum Zeitpunkt der Auslieferung mindestens eine Hersteller- und eine Betreiberdokumentation vorlegen. In der Betreiberdokumentation sind relevante Informationen für den Betreiber zu hinterlegen und dem Betreiber spätestens mit Auslieferung der Applikation zur Verfügung zu stellen. Es steht dem Hersteller frei dem Betreiber ebenfalls die Herstellerdokumentation auszuhändigen. dem VdS-Prüflabor eine Betreiber- und eine Herstellerdokumentation der Applikation vorliegen. Hinweis: Die Dokumentationen sollten zur Prüfung in elektronischer Form (möglichst als pdf) bereitgestellt werden. A.2 Form und Qualität der Dokumentation Die Dokumentation der Applikation ist grundsätzlich an keine vordefinierte Form gebunden, muss aber eine durchgängig hohe Qualität aufweisen. Hierbei bilden die Dokumente zusammenhängende Sätze von Informationen, aus denen die geforderten Inhalte eindeutig nachweisbar hervorgehen. Hinweis: Qualitative Anforderungen an eine Dokumentation sind im Hinblick auf die Konsistenz, Aktualität, Richtigkeit, Vollständigkeit, Verständlichkeit, Relevanz, Umfang, Nachvollziehbarkeit und der Aussagekraft der Beschreibungen zu beachten. A.3 Sprache der Dokumentation Die Betreiberdokumentation ist in der jeweiligen Amtssprache des Vertriebslandes abzufassen und dem Betreiber entsprechend zur Verfügung zu stellen. Die Herstellerdokumentation ist mindestens in der Amtssprache des Herstellers zu verfassen. Hinweis: Für eine Prüfung durch die VdS-Laboratorien sind beide Dokumentationen in der deutschen Sprache abzufassen. Wird die Applikation ausschließlich in nicht deutschsprachigen Ländern vertrieben, reicht eine Anfertigung beider Dokumentationen in englischer Sprache. Betreiber- und Herstelldokumentation in der deutschen oder englischen Sprache vorliegen. A.4 Sicherung der Dokumentationspflege Der Hersteller muss ein Verfahren implementieren welches gewährleistet, dass die Dokumentation ständig auf aktuellem Stand gehalten wird und mit Auslieferung der Applikationsversion übereinstimmt. Ebenfalls muss das Verfahren Maßnahmen gegen absichtliche und unabsichtliche Falscheinträge enthalten. Das Verfahren muss vom Hersteller dokumentiert sein. der Hersteller das Verfahren zur Sicherung der Dokumentationspflege dokumentiert hat und dies vom VdS-Prüflabor als geeignet angesehen wird. 21

22 VdS : (02) Anhang B Inhaltliche Anforderungen an die Dokumentation B.1 Betreiberdokumentation Die Betreiberdokumentation muss alle Dokumente aus den Anforderungen dieser Richtlinien enthalten. Darüber hinaus müssen die nachfolgenden Beschreibungen enthalten sein. B.1.1 Herstellerinformation und Listung von Fachunternehmen In der Betreiberdokumentation ist der Hersteller der Applikation und dessen Kontaktmöglichkeit eindeutig aufzuführen. Dieser setzt sich mindestens aus einer postalischen Anschrift, einer Telefonnummer und einer -Adresse zusammen. Ist für Rückfragen des Betreibers ein vertretendes Unternehmen oder eine Einrichtung zuständig, so ist diese Kontaktmöglichkeit ebenfalls aufzuführen. Außerdem ist in der Betreiberdokumentation ein Hinweis auf die Beachtung aktueller Produktinformationen des Herstellers enthalten. Die Produktinformationen sind einer Webseite (Angabe der URL) des Herstellers zu entnehmen. Ist die Einrichtung, der Betrieb oder die Wartung der Applikation nur durch herstellerseitig anerkannte Fachunternehmen möglich, so sind diese ebenfalls in der Betreiberdokumentation oder ein Hinweis auf eine ersetzende Quelle (bspw. URL im Internet) verfügbar zu machen. in der Betreiberdokumentation der Hersteller mit Kontaktmöglichkeit aufgeführt ist. in der Betreiberdokumentation der Hinweis auf Beachtung aktueller Produktinformationen mit Angabe der URL enthalten ist. in der Betreiberdokumentation, insofern notwendig, eine Listung von Fachunternehmen oder ein Hinweis auf eine ersetzende Quelle erfolgt. B.1.2 Mindestanforderungen an das S mart Device und das B etriebss ystem Folgende Informationen müssen in der Betreiberdokumentation aufgeführt sein: 1. Mindestanforderungen an die unterstützende Hardware (bspw. Prozessorleistung, benötigte Kommunikationsmodule, Speicheranforderungen, etc.) 2. Welche Betriebssysteme werden von der Applikation unterstützt. 3. Welche unterstützende Software ggf. auf dem Smart Device noch benötigt wird (bspw. VPN Client, etc.). Annahme-/Zurückweisungskriterium: Das vorgenannte Prüfkriterium ist bestanden, wenn o. g. Informationen in der Betreiberdokumentation enthalten sind. 22

23 VdS : (02) B.1.3 Dokumentation des Funktionsumfang der Applikation Der Hersteller muss eine Listung mit aussagekräftiger Kurzbeschreibung aller durch den Betreiber bedienbarer Funktionen der Applikation vornehmen. Hinweis: Es steht dem Hersteller frei auch implizite Funktionen zu beschreiben. in der Betreiberdokumentation alle Funktionen, die durch den Betreiber bedient werden können, mit einer aussagekräftigen Kurzbeschreibung aufgeführt sind. B.1.4 Installationsanleitung/Einrichtung der Applikation Es ist eine Anleitung zur Installation und Konfiguration der Applikation zur Verfügung zu stellen. Ist vom Hersteller eine Standard-Konfiguration mit der Applikation ausgeliefert worden, so ist diese, sowie die Auswirkung einer möglichen Änderung durch den Betreiber, zu erläutern. in der Betreiberdokumentation eine vollständige Anleitung zur Installation und Konfiguration der Applikation vorhanden ist. Gegebenenfalls muss die ausgelieferte Standard- Konfiguration beschrieben sein. B.1.5 Bedienungsanleitung Der Hersteller muss eine aussagekräftige und in der Problemwelt des Betreibers verfasste Bedienungsanleitung zur Verfügung stellen. Dabei ist die Bedienungsanleitung in der Amtssprache des jeweiligen Vertriebslandes zu verfassen. Hinweis: Für eine Prüfung durch die VdS-Laboratorien ist die Bedienungsanleitung in der deutschen Sprache abzufassen. Wird die Applikation ausschließlich in nicht deutschsprachigen Ländern vertrieben, reicht eine Anfertigung in englischer Sprache. eine Bedienungsanleitung vorhanden ist, welche die Bedienung der Applikation verständlich und mindestens in deutscher und/oder englischer Sprache beschreibt. B.1.6 Zertifikate, Prüf- und Anerkennungsnachweise Sind im Sinne der Anforderungen aus dieser Richtlinien Zertifikate und Prüfnachweise anderer Hersteller erforderlich, sind diese in einer aussagekräftigen Kurzdarstellung mit dem jeweiligen Geltungsbereich aufzuführen. in der Betreiberdokumentation, insofern notwendig, Zertifikate und Prüfnachweise anderer Hersteller aussagekräftig und mit entsprechendem Geltungsbereich vorhanden sind. B.1.7 Ratschläge, Fehleranalyse und Problembehandlung Der Hersteller muss in der Betreiberdokumentation bekannte Fehler der Applikation oder mögliche Probleme des Betreibers bei der Bedienung aufführen und eine kurze Fehleranalyse mit geeigneten und für den Betreiber verständlichen Gegenmaßnahmen darstellen. die Betreiberdokumentation bekannte Fehler und Bedienprobleme der Applikation, sowie eine Fehleranalyse mit Gegenmaßnahmen enthält. 23

24 VdS : (02) B.1.8 Frequently Asked Questions (FAQ) Die Betreiberdokumentation muss eine Auflistung der häufigsten Fragen zur Installation, Konfiguration und Bedienung der Applikation durch den Betreiber und eine entsprechende Beantwortung der Fragen in einer übersichtlichen Darstellungsweise enthalten. Hinweis: Die FAQ sollten alle Funktionsbereiche der Applikation abdecken. die Betreiberdokumentation eine FAQ zu allen Funktionsbereichen der Applikation enthält. B.1.9 Glossar Der Hersteller hat fachspezifische Begriffe der Betreiberdokumentation in einem Glossar zu erläutern. die Betreiberdokumentation einen Glossar mit allen in der Dokumentation vorkommenden fachspezifischen Begriffen enthält. B.2 Herstellerdokumentation Die Herstellerdokumentation muss alle technischen Unterlagen enthalten, die für eine Entwicklung, Umsetzung und für die Qualitätssicherung der Applikation relevant sind. Anhand der Technischen Unterlagen muss es dem Hersteller möglich sein im Falle von Personalwechseln (bspw. Wechsel des programmierenden Personals) oder anderweitigen Änderungen im Unternehmen die Applikation samt der dafür notwendigen Infrastruktur weiterhin betreiben und weiterentwickeln zu können. Die Herstellerdokumentation muss dem Betreiber nicht zugänglich gemacht werden und dient lediglich der Sicherung und Fortführung der Applikationsentwicklung. Zu den technischen Unterlagen gehören nachfolgend beschriebene Dokumente. B.2.1 Entwicklungsdokumentation/Versionsschema Der Hersteller muss eine Entwicklungsdokumentation vorhalten, die regelmäßig gepflegt wird. In der Entwicklungsdokumentation ist ein festes Versionsschema eindeutig zu erkennen. In der Dokumentation sind die verschiedenen Entwicklungsstände der Applikation und Änderungen zu den Vorversionen hinsichtlich Umfang und Auswirkung von Modifikationen an der Applikation beschrieben. Zu jedem Versionsstand ist dokumentiert welche Entscheidungsgrundlage zu der Applikationsversion geführt hat und welche Personengruppen oder Organisationseinheiten an der Entscheidung beteiligt waren. Annahme-/Zurückweisungskriterien: Das vorgenannte Prüfkriterium ist bestanden, wenn in der Herstellerdokumentation ein Versionsschema eindeutig zu erkennen ist. Annahme-/Zurückweisungskriterien: Das vorgenannte Prüfkriterium ist bestanden, wenn in der Entwicklungsdokumentation alle Stände der Applikationsversionen und deren Änderungen zu Vorversionen beschrieben sind. Außerdem müssen zu jedem Versionsstand die Entscheidungsgrundlage und die beteiligten Personengruppen oder Organisationseinheiten aufgeführt sein. B.2.2 Prozessdokumentation/Flussdiagramm Der Hersteller muss alle Prozesse und Funktionen der Applikation in einer geeigneten Weise darstellen und eindeutig bezeichnen. Aus der Dokumentation muss der Programmfluss erkennbar sein. Zu jedem Prozess muss eine kurze Beschreibung erfolgen 24

25 VdS : (02) welche Aufgaben der Prozess ausführen soll, welche Eingangs- und Ausgangsinformation vorliegen und welche Vorgänger- bzw. Nachfolgeprozesse vorhanden sind. alle Prozesse und Funktionen der Applikation in der Herstellerdokumentation in nachvollziehbarer Weise mit o. g. Angaben dargestellt sind. B.2.3 Programmdokumentation Der Programmcode weist einen klar strukturierten, modularen Aufbau auf. Zu den Programmmodulen ist jeweils eine detaillierte Beschreibung vorhanden mit nachfolgenden Angaben: a) Eindeutige Bezeichnung des Moduls, b) Kurzbeschreibung der auszuführenden Aufgabe, c) einer Beschreibung, aus der die Art des Zusammenwirkens, die Abhängigkeit und die Wechselwirkung mit anderen Modulen und Objekten hervorgeht, d) Eine Beschreibung der Schnittstellen einschließlich der Art des Datentransfers, des gültigen Wertebereiches und der gültigen Input- und Outputparameter, e) Angabe der Art, in welcher das Modul aufgerufen wird, f) Angabe von welchen Prozessen und Funktionen das Modul aufgerufen wird, g) einer Darstellung der allgemeinen Programmhierarchie. Hinweis: Die Modulbeschreibungen liegen nicht nur im Quellcode vor wichtige Module oder Aufrufe müssen aber mit einem eindeutigen Kommentar versehen sein. in der Herstellerdokumentation alle Programmmodule mit o. g. Angaben detailliert beschrieben sind. B.2.4 Quellcode-Listing Die Herstellerdokumentation muss ein Quellcode-Listing einschließlich aller globalen und lokalen Variablen, Konstanten und Labels sowie einen ausreichenden Kommentar enthalten, so dass der Programmfluss erkannt werden kann. anhand von mindestens 5 Stichproben die Modulbeschreibungen aus B.2.3 mit dem Quellcode-Listing verglichen und als korrekt und konsistent erachtet wird. 25

VdS-Richtlinien für rechnergestützte Informationssysteme

VdS-Richtlinien für rechnergestützte Informationssysteme VdS-Richtlinien für rechnergestützte Informationssysteme Smart Device Applikationen Anforderungen und Prüfmethoden VdS 3169-1 1 Allgemeines... 2 1.1 Anwendungsbereich... 2 1.2 Gültigkeit... 3 2 Begriffe

Mehr

Smart Device Applikationen

Smart Device Applikationen VdS-Richtlinien für rechnergestützte Informationssysteme VdS 3169-1 Anforderungen und Prüfmethoden Vorgesehen als Ausgabe VdS 3169-1 : 2015-06 (01) Dieser Richtlinienentwurf ist mit der Fachöffentlichkeit

Mehr

knxpresso Webserver Plug-in

knxpresso Webserver Plug-in Technisches Handbuch knxpresso Webserver Plug-in August 2018 knxpresso Webserver Plug-in Seite 1/9 Copyright und Lizenz 2018 knxpresso UG Die Vervielfältigung, Adaption oder Übersetzung ist ohne vorherige

Mehr

Vorwort ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird.

Vorwort  ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird. Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird. Auch die Unternehmensgruppe ALDI Nord steht mit einer Vielzahl

Mehr

CardOS/M4.01A mit Applikation für digitale Signatur. Anhang Nr. 2 vom zum Zertifizierungsreport

CardOS/M4.01A mit Applikation für digitale Signatur. Anhang Nr. 2 vom zum Zertifizierungsreport Anhang Nr. 2 vom 30.09.2004 zum Zertifizierungsreport T-Systems-DSZ-ITSEC-04084-2002 vom 24.09.2002 und zum Anhang Nr. 1 vom 30.04.2004 1 Gegenstand des Anhangs 1 Dieser Anhang beschreibt - alle vom Hersteller

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Softwareproduktinformation

Softwareproduktinformation Softwareproduktinformation Secomo 2016 Winter Release Gültig ab 20. Dezember 2015 Copyright Fabasoft Cloud GmbH, A-4020 Linz, 2016. Alle Rechte vorbehalten. Alle verwendeten Hard- und Softwarenamen sind

Mehr

Mobile UI für ios und Android. SIMATIC WinCC Open Architecture

Mobile UI für ios und Android. SIMATIC WinCC Open Architecture Mobile UI für ios und Android SIMATIC WinCC Open Architecture siemens.de/wincc-open-architecture Inhaltsverzeichnis Merkmale Vorteile Funktionen Architektur Konfigurationen Security Empfehlungen & Voraussetzungen

Mehr

Übertragungswege in Alarmübertragungsanlagen

Übertragungswege in Alarmübertragungsanlagen VdS-Richtlinien für Einbruch- und Überfallmeldeanlagen VdS 2471-S1 Übertragungswege in Alarmübertragungsanlagen Anforderungen und Prüfmethoden Ergänzung S1: Netzspezifische Parameter zu Alarmübertragungsanlagen

Mehr

aufgrund des 217f Absatz 4b SGB V

aufgrund des 217f Absatz 4b SGB V Richtlinie des GKV-Spitzenverbandes zu Maßnahmen zum Schutz von Sozialdaten der Versicherten vor unbefugter Kenntnisnahme nach 217f Absatz 4b SGB V (GKV-SV Richtlinie Kontakt mit Versicherten) vom 14.12.2018

Mehr

Eine Untersuchung der Funktionen des Apache Wicket Webframeworks

Eine Untersuchung der Funktionen des Apache Wicket Webframeworks Eine Untersuchung der Funktionen des Apache Wicket Webframeworks Seminararbeit von Olaf Matticzk 1 15.01.2016 (c) by synaix 2016 synaix...your business as a service. Agenda 1. Einleitung 2. Webanwendungen

Mehr

Leistungsbeschreibung CSE Connect

Leistungsbeschreibung CSE Connect Leistungsbeschreibung CSE Connect 1. Allgemeine Beschreibungen Dräger CSE Connect ist eine Software Lösung zur Optimierung des Freigabeprozesses im Bereich Industrie und Mining. CSE Connect unterstützt

Mehr

Systeme. VdS VdS-Richtlinien für Rauchschutz-Druck-Anlagen. Anforderungen und Prüfmethoden. VdS 2890 : (01)

Systeme. VdS VdS-Richtlinien für Rauchschutz-Druck-Anlagen. Anforderungen und Prüfmethoden. VdS 2890 : (01) VdS-Richtlinien für Rauchschutz-Druck-Anlagen VdS 2890 Systeme Anforderungen und Prüfmethoden Vervielfältigungen auch für innerbetriebliche Verwendung nicht gestattet. VdS 2890 : 2004-05 (01) Herausgeber

Mehr

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen Surfen, aber sicher! Basisschutz leicht gemacht 10 Tipps für ein ungetrübtes Surf-Vergnügen Ins Internet mit Sicherheit! Viele nützliche und wichtige Dienstleistungen werden heute über das Internet genutzt.

Mehr

Einbruchhemmende Türschilder

Einbruchhemmende Türschilder VdS-Richtlinien für mechanische Sicherungseinrichtungen VdS 2113 Anforderungen und Prüfmethoden VdS 2113 : 2012-07 (05) Herausgeber und Verlag: VdS Schadenverhütung GmbH Amsterdamer Str. 172 174 50735

Mehr

Umgang mit mobilen IT Geräten

Umgang mit mobilen IT Geräten Inhaltsverzeichnis 1. EINLEITUNG/PRÄAMBEL 3 2. GELTUNGSBEREICH 3 2.1. DIENSTLICHE MOBILGERÄTE 3 2.2. PRIVATE MOBILGERÄTE 3 3. SPEICHERUNG VON DATEN 3 4. EMPFEHLUNGEN FÜR LAPTOPS 4 4.1. ABSICHERUNG DES

Mehr

Automatische Client-Updates

Automatische Client-Updates Fleet & Servicemanagement Automatische Client-Updates Anleitung Seite 1 von 7 FSM V6.0 02.12.16 1 Einleitung Fleet & Servicemanagement (FSM) ermöglicht mit Herausgabe der Version V6.0 die automatische

Mehr

EMA-Überwachungsmaßnahmen für Wertbehältnisse

EMA-Überwachungsmaßnahmen für Wertbehältnisse VdS-Richtlinien für Einbruchmeldeanlagen VdS 2264 EMA-Überwachungsmaßnahmen für Wertbehältnisse Vervielfältigungen auch für innerbetriebliche Verwendung nicht gestattet. VdS 2264 : 2008-08 (02) Herausgeber

Mehr

BIT IT Cloudio. Konfigurationsanleitung

BIT IT Cloudio. Konfigurationsanleitung BIT IT Cloudio Konfigurationsanleitung - Wichtige Einrichtungsinformationen - Wir empfehlen Ihnen umgehend Ihr initiales Passwort in Ihren persönlichen Einstellungen abzuändern, sowie fehlende, persönliche

Mehr

Security und Privacy im Smart Home aus Sicht des Nutzers. Dr. Siegfried Pongratz ITG Workshop, 23. Oktober 2015, Offenbach

Security und Privacy im Smart Home aus Sicht des Nutzers. Dr. Siegfried Pongratz ITG Workshop, 23. Oktober 2015, Offenbach Security und Privacy im Smart Home aus Sicht des Nutzers Dr. Siegfried Pongratz ITG Workshop, 23. Oktober 2015, Offenbach Beispiele die den Nutzer betreffen können Schnittstellen, die angegriffen werden:

Mehr

Einbruchhemmende Verglasungen

Einbruchhemmende Verglasungen VdS-Richtlinien für mechanische Sicherungseinrichtungen VdS 2163 Anforderungen und Prüfmethoden VdS 2163 : 2016-03 (02) Herausgeber und Verlag: VdS Schadenverhütung GmbH Amsterdamer Str. 172-174 50735

Mehr

Anleitung zur Prüfung von qualifizierten elektronischen Signaturen nach schweizerischem Signaturgesetz

Anleitung zur Prüfung von qualifizierten elektronischen Signaturen nach schweizerischem Signaturgesetz Anleitung zur Prüfung von qualifizierten elektronischen Signaturen nach schweizerischem Signaturgesetz Das schweizerische Signaturgesetz (ZertES) ist die gesetzliche Grundlage für qualifizierte digitale

Mehr

Merkblatt: Spezielle Anforderungen an Kryptografiemodule

Merkblatt: Spezielle Anforderungen an Kryptografiemodule Arbeitsgruppe 8.51 Metrologische Software Stand: 25.07.2018 Merkblatt: Spezielle Anforderungen an Kryptografiemodule Ergänzung zu den messtechnischen und sicherheitstechnischen Anforderungen bei Konformitätsbewertungen

Mehr

Sicherheit und Datenschutz. Bei apager PRO. Alamos GmbH

Sicherheit und Datenschutz. Bei apager PRO. Alamos GmbH Sicherheit und Datenschutz Bei apager PRO Gültig für: apager PRO Android und apager PRO ios Ab: FE2 Version 2.16 Stand: Donnerstag, 24. Mai 2018 Inhalt Verschlüsselung... 2 Transportverschlüsselung...

Mehr

Übermittlung der Elektronischen Dokumentation zur Früherkennungs-Koloskopie. IT-Beratung

Übermittlung der Elektronischen Dokumentation zur Früherkennungs-Koloskopie. IT-Beratung Bildnachweis: fotolia_zerbor IT-Beratung Übermittlung der Elektronischen Dokumentation zur Früherkennungs-Koloskopie Merkblatt für Arztpraxen zur Übermittlung der elektronischen Koloskopie-Dokumentation

Mehr

Bluegate Pro Gebrauchsanweisung

Bluegate Pro Gebrauchsanweisung Bluegate Pro Gebrauchsanweisung Gültig für die Version 2.8 der Software Zuletzt geändert am: 04.11.2018 Inhalt 1. Systemvoraussetzungen / Kompatibilität... 2 2. Warnhinweise... 2 3. Installation der Software...

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts PCs, Tablets und Smartphones Umgang mit Schwachstellen und Risiken im praktischen Einsatz Heiko Behrendt ISO

Mehr

Informationen zum. LANCOM Advanced VPN Client 3.10

Informationen zum. LANCOM Advanced VPN Client 3.10 Informationen zum LANCOM Advanced VPN Client 3.10 Copyright (c) 2002-2016 LANCOM Systems GmbH, Würselen (Germany) Die LANCOM Systems GmbH übernimmt keine Gewähr und Haftung für nicht von der LANCOM Systems

Mehr

Sicherheitsinformationen

Sicherheitsinformationen Sicherheitsinformationen Informationen der European American Investment Bank Aktiengesellschaft (nachfolgend Euram Bank ) zum Schutz Ihrer Daten und sensibler Informationen im Zusammenhang mit der Nutzung

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Bundesdruckerei GmbH Kommandantenstraße 18 10969 Berlin für das IT-System BDrive v. 2.0.51.4 die Erfüllung

Mehr

EIBPORT 3 VPN SSL Nutzung mit OpenVPN-Client

EIBPORT 3 VPN SSL Nutzung mit OpenVPN-Client BAB TECHNOLOGIE GmbH EIBPORT 3 VPN SSL Nutzung mit OpenVPN-Client Datum: 11. Oktober 2016 DE BAB TECHNOLOGIE GmbH 1 OPTIMALE DATENSICHERHEIT Um bei Internet-Zugriffen auf EIBPORT 3 eine ausreichende Datensicherheit

Mehr

Bluegate Pro (Master) Gebrauchsanweisung

Bluegate Pro (Master) Gebrauchsanweisung Bluegate Pro (Master) Gebrauchsanweisung Gültig für die Version 2.2 der Software Zuletzt geändert am: 15.02.2018 Inhalt 1. Systemvoraussetzungen / Kompatibilität... 2 2. Warnhinweise... 2 3. Installation

Mehr

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen Surfen, aber sicher! Basisschutz leicht gemacht 10 Tipps für ein ungetrübtes Surf-Vergnügen www.bsi-fuer-buerger.de www.facebook.com/bsi.fuer.buerger Surfen, aber Sicher 10 Tipps Ins Internet mit Sicherheit!

Mehr

Informationen zum. LANCOM Advanced VPN Client 3.10

Informationen zum. LANCOM Advanced VPN Client 3.10 Informationen zum LANCOM Advanced VPN Client 3.10 Copyright (c) 2002-2016 LANCOM Systems GmbH, Würselen (Germany) Die LANCOM Systems GmbH übernimmt keine Gewähr und Haftung für nicht von der LANCOM Systems

Mehr

CADEMIA: Einrichtung Ihres Computers unter Mac OS X

CADEMIA: Einrichtung Ihres Computers unter Mac OS X CADEMIA: Einrichtung Ihres Computers unter Mac OS X Stand: 30.01.2017 Java-Plattform: Auf Ihrem Computer muss die Java-Plattform, Standard-Edition der Version 7 (Java SE 7) oder höher installiert sein.

Mehr

Webseiten mit HTTPS bereitstellen und mit HSTS sichern

Webseiten mit HTTPS bereitstellen und mit HSTS sichern Webseiten mit HTTPS bereitstellen und mit HSTS sichern https://www.my-it-brain.de 10. März 2018 Inhalt 1 Inhalt 1 2 Inhalt 1 2 3 Inhalt 1 2 3 4 Inhalt 1 2 3 4 5 Ziele von HTTPS Inhalt Authentizität Vertraulichkeit

Mehr

Zylinderschlösser. VdS VdS-Richtlinien für mechanische Sicherungseinrichtungen. Anforderungen und Prüfmethoden. VdS 2201 : (02)

Zylinderschlösser. VdS VdS-Richtlinien für mechanische Sicherungseinrichtungen. Anforderungen und Prüfmethoden. VdS 2201 : (02) VdS-Richtlinien für mechanische Sicherungseinrichtungen VdS 2201 Zylinderschlösser Anforderungen und Prüfmethoden Vervielfältigungen auch für innerbetriebliche Verwendung nicht gestattet. VdS 2201 : 2004-02

Mehr

Installation & Bedienung der Mobile Device Interface App auf Android und Apple IOS - Systemen

Installation & Bedienung der Mobile Device Interface App auf Android und Apple IOS - Systemen Installation & Bedienung der auf Android und Apple IOS - Systemen Inhaltsverzeichnis 1 Einführung, Download und Konfiguration der App 3 1.1 DOWNLOAD DER APP MIT ANDROID-ENDGERÄT 3 1.2 DOWNLOAD DER APP

Mehr

Wichtiger Produkthinweis

Wichtiger Produkthinweis Wichtiger Produkthinweis Mannheim, 26.06.2017 Wichtige Information zur Accu-Chek Connect Diabetes Management App: Risiko für falsche Bolusvorschläge in verschiedenen App-Versionen für ios und Android Roche

Mehr

CADEMIA: Einrichtung Ihres Computers unter Windows

CADEMIA: Einrichtung Ihres Computers unter Windows CADEMIA: Einrichtung Ihres Computers unter Windows Stand: 30.01.2017 Java-Plattform: Auf Ihrem Computer muss die Java-Plattform, Standard-Edition der Version 7 (Java SE 7) oder höher installiert sein.

Mehr

Das Secure -System der S-Förde Sparkasse

Das Secure  -System der S-Förde Sparkasse Das Secure E-Mail-System der S-Förde Sparkasse Die Absicherung Ihrer E-Mails von und an die Förde Sparkasse Weitere Informationen finden Sie in unserer Internetfiliale: Informationen zu Secure E-Mail 1

Mehr

Software Release Notes

Software Release Notes Software Release Notes dss V1.4.0 Mit Software Release Notes (SRN) informiert aizo über Software-Änderungen bei bestehenden Produkten, welche vom Endkunden aktualisiert werden können. Dokument-Nummer SRN-2012-03

Mehr

DATEN- SCHUTZ DATENSCHUTZRICHTLINIEN

DATEN- SCHUTZ DATENSCHUTZRICHTLINIEN DATEN- SCHUTZ DATENSCHUTZRICHTLINIEN KOMAX AG Gültig ab 1. November 2015 GESCHÄFTS- BEDINGUNGEN INHALTSVERZEICHNIS 1 Geltungsbereich und Zweck 3 2 Datenerhebung 3 3 Zweck der Datenerhebung und 3 Verwendung

Mehr

Erstanmeldung im Online-Banking mit

Erstanmeldung im Online-Banking mit Erstanmeldung im Online-Banking mit TAN auf Smartphone oder Tablet empfangen Die VR-SecureGo TAN-App ermöglicht Ihnen den bequemen Empfang von Transaktionsnummern (TAN) direkt auf Ihrem Smartphone oder

Mehr

Firewall - Techniken & Architekturen

Firewall - Techniken & Architekturen Firewall -techniken & -architekturen Was ist eine Firewall? Eine Firewall ist eine Software oder Hardware, die die aus dem Internet oder einem Netzwerk eingehenden Daten überprüft und dann je nach den

Mehr

Privacy Statement. 2. Einsatz von Cookies

Privacy Statement. 2. Einsatz von Cookies Privacy Statement Diese Website (nachfolgend Website ) wird bereitgestellt von Bayer AG (nachfolgend uns oder wir ). Weitere Informationen zum Anbieter der Website finden Sie in unserem Impressum. A. Umgang

Mehr

ESTOS XMPP Proxy

ESTOS XMPP Proxy ESTOS XMPP Proxy 4.1.12.22953 4.1.12.22953 1 Willkommen zum ESTOS XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Diagnose... 6 1.4 Proxy Dienst... 6 1.5 Server-Zertifikat...

Mehr

ESTOS XMPP Proxy

ESTOS XMPP Proxy ESTOS XMPP Proxy 4.1.18.27533 4.1.18.27533 1 Willkommen zum ESTOS XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Diagnose... 6 1.4 Proxy Dienst... 6 1.5 Server-Zertifikat...

Mehr

Kryptographie. Nachricht

Kryptographie. Nachricht Kryptographie Kryptographie Sender Nachricht Angreifer Empfänger Ziele: Vertraulichkeit Angreifer kann die Nachricht nicht lesen (Flüstern). Integrität Angreifer kann die Nachricht nicht ändern ohne dass

Mehr

Besser geht immer. - SSL Verschlüsselung - Notwendigkeiten, Hintergründe, Vorteile, Kosten. Sicherheit zum Festpreis.

Besser geht immer. - SSL Verschlüsselung - Notwendigkeiten, Hintergründe, Vorteile, Kosten. Sicherheit zum Festpreis. Besser geht immer. - SSL Verschlüsselung - Notwendigkeiten, Hintergründe, Vorteile, Kosten Sicherheit zum Festpreis. Eine SSL Verschlüsselung bringt klare Vorteile Sicherheit zuerst Durch SSL verschlüsseln

Mehr

Datenschutzerklärung Geltungsbereich

Datenschutzerklärung Geltungsbereich erklärung Geltungsbereich Verantwortliche Stelle im Sinne der gesetze und Websitebetreiber von www.eifelhaus24.de ist: Wieczorek GbR - Claudia Wieczorek als beauftragte Am Strauch 88 40723 Hilden Telefon:

Mehr

Anleitung: SecureSafe-Client für PC / Mac

Anleitung: SecureSafe-Client für PC / Mac Anleitung: SecureSafe-Client für PC / Mac by DSwiss AG, Zurich, Switzerland 1 Inhaltsverzeichnis 1. EINFÜHRUNG 1.1 SecureSafe im Überblick: Online-Konto, SecureSafe-Client, Mobile-Apps 1.2 Logik des SecureSafe-Clients

Mehr

VdS VdS-Richtlinien für Brandmeldeanlagen. Brandmelderzentralen. Anforderungen und Prüfmethoden. VdS 2540 : (02)

VdS VdS-Richtlinien für Brandmeldeanlagen. Brandmelderzentralen. Anforderungen und Prüfmethoden. VdS 2540 : (02) VdS-Richtlinien für Brandmeldeanlagen VdS 2540 Brandmelderzentralen Anforderungen und Prüfmethoden VdS 2540 : 2010-12 (02) Herausgeber und Verlag: VdS Schadenverhütung GmbH Amsterdamer Str. 172-174 50735

Mehr

SIWECOS KMU Webseiten-Check 2018

SIWECOS KMU Webseiten-Check 2018 SIWECOS KMU Webseiten-Check 2018 Für den SIWECOS KMU Webseiten-Check wurden 1.142 Webseiten kleiner und mittelständischer Unternehmen aus Deutschland mit den Scannern des SIWECOS Projekts auf mögliche

Mehr

WEBINAR: HTTPS, ZERTIFIKATE, GRÜNE URLS. Trügerische Sicherheit im Internet

WEBINAR: HTTPS, ZERTIFIKATE, GRÜNE URLS. Trügerische Sicherheit im Internet WEBINAR: HTTPS, ZERTIFIKATE, GRÜNE URLS Trügerische Sicherheit im Internet HERZLICH WILLKOMMEN Die Moderatoren Andreas Krenz Client Relationship Manager Fragen über Chat Frank Pöhler Senior Consultant

Mehr

ABB MEASUREMENT & ANALYTICS SYSTEMHANDBUCH CEM-DAS Connect Sicherer Zugang zu CEM-DAS Systemen über ein öffentliches Netzwerk. Measurement made easy

ABB MEASUREMENT & ANALYTICS SYSTEMHANDBUCH CEM-DAS Connect Sicherer Zugang zu CEM-DAS Systemen über ein öffentliches Netzwerk. Measurement made easy ABB MEASUREMENT & ANALYTICS SYSTEMHANDBUCH CEM-DAS Connect Sicherer Zugang zu CEM-DAS Systemen über ein öffentliches Netzwerk Measurement made easy CEM-DAS CONNECT SYSTEMHANDBUCH TD/CEM-DAS-CONNECT-DE

Mehr

Handbuch Bedienungsanleitung KeePass / Version 1.0

Handbuch Bedienungsanleitung KeePass / Version 1.0 28.05.2013 Handbuch Bedienungsanleitung KeePass / Version 1.0 Copyrights and Trademarks Copyright 2013 arvato Systems GmbH, An der Autobahn, 33333 Gütersloh, Deutschland. Alle Rechte vorbehalten. Der Inhalt

Mehr

SECURE & WEBMAIL

SECURE  & WEBMAIL SECURE E-MAIL & WEBMAIL SICHERHEIT IN DER E-MAIL KOMMUNIKATION KURZBESCHREIBUNG DER LÖSUNG WAS IST SECURE E-MAIL E-Mails, welche Julius Bär verlassen, sind immer mit einer digitalen Signatur versehen

Mehr

Überprüfung der elektronischen Signatur

Überprüfung der elektronischen Signatur Aufgrund des BMF-Erlasses vom Juli 2005 (BMF-010219/0183-IV/9/2005) sind ab 1.1.2006 nur noch jene elektronischen Rechnungen (Vorschreibungen) vorsteuerabzugsberechtigt, welche mit einer entsprechenden

Mehr

S Kreis- und Stadtsparkasse

S Kreis- und Stadtsparkasse S Kreis- und Stadtsparkasse Kaufbeuren im Oktober 2017 Informationen zum sicheren E-Mailverkehr Mit diesem Schreiben wollen wir Ihnen Inhalt: 1. die Gründe für die Einführung von Sichere E-Mail näher bringen,

Mehr

SecureSafe Tutorial Mail- In

SecureSafe Tutorial Mail- In SecureSafe Tutorial Mail- In V1.0 2013-05- 27 by DSwiss AG, Zurich, Switzerland DSwiss AG Badenerstrasse 281 CH- 8003 Zürich T: +41 44 515 11 11 www.securesafe.com INHALT 1 MAIL- IN VERWALTEN 3 1.1 EINLEITUNG

Mehr

Fernzugriff über Citrix Access Gateway https://cag.insel.ch (Campus Inselspital / Spitalnetz Bern AG) https://cagext.insel.ch (Extern / Home Office)

Fernzugriff über Citrix Access Gateway https://cag.insel.ch (Campus Inselspital / Spitalnetz Bern AG) https://cagext.insel.ch (Extern / Home Office) Dienste, Bereich Informatik & Telekommunikation Fernzugriff über Citrix Access Gateway https://cag.insel.ch (Campus Inselspital / Spitalnetz Bern AG) https://cagext.insel.ch (Extern / Home Office) Raphael

Mehr

Datenschutzinformation Projekt VolksBot

Datenschutzinformation Projekt VolksBot Datenschutzinformation Projekt VolksBot VolksBot ist ein Projekt des Fraunhofer-Institut für Intelligente Analyse- und Informationssysteme IAIS. Die Ziele des Projektes VolksBot sind unter Konzept auf

Mehr

Herstellererklärung für eine Signaturanwendungskomponente gemäß 17(4) Satz 2 Signaturgesetz 1. R&L AG Frühlingstraße Landshut

Herstellererklärung für eine Signaturanwendungskomponente gemäß 17(4) Satz 2 Signaturgesetz 1. R&L AG Frühlingstraße Landshut Herstellererklärung für eine Signaturanwendungskomponente gemäß 17(4) Satz 2 Signaturgesetz 1 Frühlingstraße 2 84034 Landshut erklärt hiermit gemäß 17(4) Satz 2 SigG, dass das Produkt safex Verifier 4.0

Mehr

Der Einstieg zur Administrationsoberfläche befindet sich in der Willkommens- und sieht wie folgt aus:

Der Einstieg zur Administrationsoberfläche befindet sich in der Willkommens- und sieht wie folgt aus: Setup der Nextcloud Inhalt Einstieg 3 Allgemeines Setup & Vorbereitungsthemen 4 Benutzer einrichten 5 Datenbanken einrichten 5 SSL-Zertifikate 6 Installation der Nextcloud 7 Vorbereitung 7 Anwendung installieren

Mehr

Datenschutzerklärung für die Nutzung von Google Analytics

Datenschutzerklärung für die Nutzung von Google Analytics Datenschutzerklärung Wir freuen uns sehr über Ihr Interesse an der Seite Flüchtlingshelfer Schönberg. Datenschutz hat einen besonders hohen Stellenwert für unsere Arbeit. Eine Nutzung unserer Internetseiten

Mehr

Protokoll RiMEA-Projekt

Protokoll RiMEA-Projekt Datum: 08.02.2005 Ort: per Email Teilnehmer: RiMEA Initiatoren Verfasser: Tim Meyer-König Nathalie Waldau Thema: Beiträge zur Richtlinie 1.6.0 Verteiler: - RiMEA Initiatoren - RiMEA Mitglieder Besprochene

Mehr

Migration von Windows

Migration von Windows Migration von Windows auf elux RP5 Kurzanleitung Stand 2016-04-08 1. Voraussetzungen 2 2. Migrationsprozess 3 3. Optionale Parameter 4 4. Beispiele für den Aufruf von win2elux 5 2016 Unicon Software Entwicklungs-

Mehr

Nur für den internen Dienstgebrauch. Freie Universität Berlin. FU Directory and Identity Service FUDIS der ZEDAT. Fragenkatalog des Sicherheits-Audit

Nur für den internen Dienstgebrauch. Freie Universität Berlin. FU Directory and Identity Service FUDIS der ZEDAT. Fragenkatalog des Sicherheits-Audit Nur für den internen Dienstgebrauch Freie Universität Berlin FU Directory and Identity Service FUDIS der ZEDAT Fragenkatalog des Sicherheits-Audit Fassung: März 2009 Version 1.1 Fragenkatalog des Sicherheits-Audits

Mehr

Migration von Windows

Migration von Windows Migration von Windows auf elux RP4 Kurzanleitung Stand 2016-04-08 1. Voraussetzungen 2 2. Migrationsprozess 3 3. Optionale Parameter 4 4. Beispiele für den Aufruf von win2elux 5 2016 Unicon Software Entwicklungs-

Mehr

Datenschutzerklärung. 1. Datenschutz auf einen Blick. 2. Allgemeine Hinweise und Pflichtinformationen. Allgemeine Hinweise

Datenschutzerklärung. 1. Datenschutz auf einen Blick. 2. Allgemeine Hinweise und Pflichtinformationen. Allgemeine Hinweise Datenschutzerklärung 1. Datenschutz auf einen Blick Allgemeine Hinweise Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie unsere Website

Mehr

Bestätigung von Produkten für qualifizierte elektronische Signaturen

Bestätigung von Produkten für qualifizierte elektronische Signaturen Bestätigung von Produkten für qualifizierte elektronische Signaturen gemäß 15 Abs. 7 S. 1, 17 Abs. 4 Gesetz über Rahmenbedingungen für elektronische Signaturen 1 und 11 Abs. 2 und 15 Signaturverordnung

Mehr

secuentry/anleitung Android ConfigApp

secuentry/anleitung Android ConfigApp Beschreibung Kostenlose App zum Programmieren von Schlössern der Serie secuentry der Firma BURG- WÄCHTER. Mit der exklusiven secuentry PC-Software (Light, System, System+) administrieren Sie bequem komplette

Mehr

Schnelleinstieg Agenda ASP

Schnelleinstieg Agenda ASP Schnelleinstieg Agenda ASP Bereich: IT-Lösungen - Info für Anwender Nr. 86223 Inhaltsverzeichnis 1. Ziel 2. Zusammenfassung 3. Einrichtung 4. Vorgehensweisen 4.1. Über VPN-Client Pulse Secure anmelden

Mehr

xflow Systemanforderungen Version 5.1.5

xflow Systemanforderungen Version 5.1.5 xflow Systemanforderungen Version 5.1.5 25.01.2017 Copyright 2017 - WMD Group GmbH Alle Rechte, auch die des Nachdrucks, der Vervielfältigung oder der Verwertung bzw. Mitteilung des Inhalts dieses Dokuments

Mehr

C-Software Internet-Update

C-Software Internet-Update C-Software Internet-Update Anwenderdokumentation Ausgabe: Juli 2013 PDS Programm + Datenservice GmbH Anwenderdokumentation PDS-C-Software Mai 13 by PDS Programm + Datenservice GmbH Mühlenstraße 22-24 27356

Mehr

Dienste, Bereich Informatik & Telekommunikation Fernzugriff über Basic Access

Dienste, Bereich Informatik & Telekommunikation Fernzugriff über Basic Access Dienste, Bereich Informatik & Telekommunikation Fernzugriff über Basic Access http://www.insel.ch/de/login/ Raphael Hodel 22. November 2016 1 Inhaltsverzeichnis 1. Einleitung... 3 2. Anforderungen... 3

Mehr

Handbuch WAS-Extension. Version 1.8.1

Handbuch WAS-Extension. Version 1.8.1 Handbuch WAS-Extension Version 1.8.1 grit Beratungsgesellschaft mbh 08.08.2016 WAS-Extension Handbuch Seite 2 von 11 grit GmbH - 2016 Der Inhalt dieses Dokuments darf ohne vorherige schriftliche Erlaubnis

Mehr

Datenschutzerklärung Phicomm Smart Scale S7. Inhalt. (1) Einleitung

Datenschutzerklärung Phicomm Smart Scale S7. Inhalt. (1) Einleitung Datenschutzerklärung Phicomm Smart Scale S7 Die Phicomm (Shanghai) Co., Ltd. -nachfolgend PHICOMM genannt- nimmt den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten

Mehr

SIBELCO DEUTSCHLAND GMBH Verantwortlich die Geschäftsführung: Michael Klaas Verantwortlich für den Inhalt der Seite gemäß 10 MDStV: Michael Klaas

SIBELCO DEUTSCHLAND GMBH Verantwortlich die Geschäftsführung: Michael Klaas Verantwortlich für den Inhalt der Seite gemäß 10 MDStV: Michael Klaas Anbieter dieser Seiten nach 5 TMG (Telemediengesetz) ist: SIBELCO DEUTSCHLAND GMBH Verantwortlich die Geschäftsführung: Michael Klaas Verantwortlich für den Inhalt der Seite gemäß 10 MDStV: Michael Klaas

Mehr

Warnmeldung für Unternehmen und Behörden

Warnmeldung für Unternehmen und Behörden Warnmeldung für Unternehmen und Behörden PRESSESTELLE LKA BW TELEFON 0711 5401-2012 ODER -3012 FAX 0711 5401-1012 PRESSESTELLE- LKA@POLIZEI.BW L.DE WWW.LKA-BW.DE Stuttgart, 20. Dezember 2018 Schadsoftware

Mehr

ECOS SECURE BOOT STICK [SX]+[FX]

ECOS SECURE BOOT STICK [SX]+[FX] Administrator Manual (Deutsch) ECOS SECURE BOOT STICK [SX]+[FX] Hardware DE Revision 0101 Sep 2018 EN Revision 0101 Dec 2018 ECOS TECHNOLOGY GMBH www.ecos.de by ECOS TECHNOLOGY GMBH 2000-2018 Weitergabe

Mehr

Mailverschlüsselung Anleitung Secure Webmail

Mailverschlüsselung Anleitung Secure Webmail Mailverschlüsselung Anleitung Secure Webmail Wir machen den Weg frei Mit Secure Webmail wird der Inhalt von vertraulichen Daten verschlüsselt und verhindert, dass Unbefugte Einblick nehmen können. Die

Mehr

BlackBerry Dynamics einrichten - Android

BlackBerry Dynamics einrichten - Android Status Vorname Name Funktion Datum DD-MM-YYYY Erstellt: V. De Riggi Junior Network Engineer 07.09.2017 12:31:16 V. De Riggi Unterschrift Handwritten signature or electronic signature (time (CET) and name)

Mehr

Bedienungsanleitung für das MEEM-Netzwerk

Bedienungsanleitung für das MEEM-Netzwerk Bedienungsanleitung für das MEEM-Netzwerk 1. Über das MEEM-Netzwerk Bevor Sie diese Anleitung lesen, sollten Sie bitte die Bedienungsanleitungen für MEEM-Kabel und Handy-App für ios oder Android sowie

Mehr

Behörde / öffentliche Stelle

Behörde / öffentliche Stelle Behörde / öffentliche Stelle Verfahrensverzeichnis des einzelnen Verfahrens nach 8 DSG NRW Lfd. Nr: Neues Verfahren: Änderung: Das Verzeichnis ist zur Einsichtnahme bestimmt ( 8 Abs. 2 Satz 1 DSG NRW)

Mehr

Kundenleitfaden Secure

Kundenleitfaden Secure Kundenleitfaden Secure E-Mail Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien, z. B. per E-Mail. Neben den großen Vorteilen,

Mehr

Ein Dienst für Hochschulen und Forschungsinstitutionen zum einfachen Synchronisieren und Teilen von Dokumenten

Ein Dienst für Hochschulen und Forschungsinstitutionen zum einfachen Synchronisieren und Teilen von Dokumenten 1. Allgemeines Seite 1 Ein Dienst für Hochschulen und Forschungsinstitutionen zum einfachen Synchronisieren und Teilen von Dokumenten Mobil-Client Steinbuch Centre for Computing, KIT Fassung vom 28.04.2017

Mehr

Cnlab/CSI Herbstveranstaltung Kryptographie in Smartphones

Cnlab/CSI Herbstveranstaltung Kryptographie in Smartphones Cnlab/CSI Herbstveranstaltung 2017 Kryptographie in Smartphones Agenda Besonderheiten von Smartphones Teil I: Verschlüsselung auf Smartphones PIN und Schlüssel Konzepte Vergleich Teil II: Kryptographie

Mehr

Wie Sie Ihr Windows-Smartphone auf Windows 10 Mobile finale Konfiguration aktualisieren

Wie Sie Ihr Windows-Smartphone auf Windows 10 Mobile finale Konfiguration aktualisieren Wie Sie Ihr Windows-Smartphone auf Windows 10 Mobile finale Konfiguration aktualisieren BASF-Smartphone-Nutzer erhalten die Möglichkeit, Ihre Geräte auf Windows 10 Mobile finale Konfiguration zu aktualisieren.

Mehr

Vorsorge-Portal für Unternehmen (VPU)

Vorsorge-Portal für Unternehmen (VPU) Vorsorge-Portal für Unternehmen (VPU) Die Anwendung Vorsorge-Portal für Unternehmen (VPU) ist ein Angebot der BG RCI an die Unternehmen und dient den Unternehmen als Unterstützung bei der Organisation

Mehr

ORGAKOM 2017 imanv mstart Installations-Info Version 4.0

ORGAKOM 2017 imanv mstart Installations-Info Version 4.0 ORGAKOM 2017 imanv mstart Installations-Info Version 4.0 Installations-Info Übersicht 1. Allgemeines 2. FileMaker Go 16 Installation 3. Wichtige Einstellungen setzen 4. Download der imanv-mstart-app 5.

Mehr

5.1 Name und Kontaktdaten des für die Verarbeitung Verantwortlichen

5.1 Name und Kontaktdaten des für die Verarbeitung Verantwortlichen 5. 5.1 Name und Kontaktdaten des für die Verarbeitung Verantwortlichen Diese -Information gilt für die Datenverarbeitung durch: Verantwortlicher: Rentenberater Christoph Schrage, In der Delle 15, D-57462

Mehr