IT Sicherheit: Bewertungskriterien

Größe: px
Ab Seite anzeigen:

Download "IT Sicherheit: Bewertungskriterien"

Transkript

1 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 IT Sicherheit: Bewertungskriterien Dr. Christian Rathgeb Hochschule Darmstadt, CASED, da/sec Security Group

2 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Einführung Ziel und Zweck von Bewertungskriterien Zur Beurteilung der Sicherheit von IT-Systemen existieren allgemein anerkannte Vorgehensmodelle und Kriterienkataloge Diese Vorgehensmodelle und Kriterienkataloge erlauben unterschiedlicher Systeme, die eine ähnliche Funktionalität besitzen, hinsichtlich ihrer Sicherheit vergleichen zu können Kriterienkataloge dienen dazu Vertrauen in die Wirksamkeit von IT-Sicherheitsfunktionen von IT-Systemen zu schaffen An Hand einer Prüfung auf Basis der Kriterienkataloge (Evaluierung), wird die Wirksamkeit nachgewiesen und mit einem entsprechenden Zertifikat von einer offiziellen Stelle bestätigt

3 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Einführung Beispiel: Signaturkarten I Signaturkarten, d.h. Chipkarten, enthalten einen geheimen Schlüssel zum Signieren. Um die Sicherheit von Signaturen, die mit diesen Karten ausgestellt wurden, zu beurteilen, müssen u.a. folgende Fragen beantwortet werden können: 1. Sind die verwendeten Signaturalgorithmen (inkl. Schlüssellängen) sicher? 2. Wie werden die Schlüssel erzeugt? 3. Wie werden die für die Signatur notwendigen Zufallszahlen erzeugt? 4. Werden sichere Zufallszahlengeneratoren genutzt?

4 Einführung Beispiel: Signaturkarten II 5. Wie ist der geheime Schlüssel geschützt (z.b. gespeichert in einem nichtauslesbaren Bereich, Zugriff nur mit einer PIN)? 6. Wie werden Signaturkarte und PIN verteilt? 7. Sind die Signaturalgorithmen sicher implementiert, genauer, erlauben Seitenkanalangriffe Rückschlüsse auf den geheimen Schlüssel? 8. Ist der Kartenhersteller, -aussteller vertrauenswürdig? 9. Was passiert bei Verlust der Signaturkarte? Weitere wichtige Frage: sind die oben betrachteten Sicherheitsfragen vollständig oder müssen weitere Aspekte betrachtet werden? Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27

5 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Einführung Geschichtliche Entwicklung I Trusted Computer System Evaluation Criteria (TCSEC): älteste Kriterien zur Bewertung der Sicherheit von IT-Systemen TCSEC wurden 1980 vom US National Computer Security Center entwickelt Fokus auf Stand-Alone-Computer, wurde aber 1985 um die Trusted Network Interpretation ergänzt, um auch vernetzte Systeme evaluieren zu können (Orange Book) Kriterien beziehen sich hauptsächlich auf Betriebssysteme, NICHT auf offene Kommunikationssysteme Weiters gibt es keine Trennung zwischen der Sicherheitsfunktionalität und der Qualität

6 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Einführung Geschichtliche Entwicklung II Kritikpunkte an TCSEC wurden von der Vorgängerbehörde des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) 1989 aufgegriffen (Grünbuch) Festgelegte IT-Sicherheitskriterien beinhalten Trennung zwischen Funktionalität und Qualität Die europäischen ITSEC-Kriterien (Information Technology Security Evaluation Criteria) sind eine Harmonisierung von Bewertungskriterien verschiedener europäischer Länder (Großbritannien, Frankreich, Niederlande und Deutschland)

7 1 https://www.commoncriteriaportal.org/ Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Einführung Geschichtliche Entwicklung III 1993 begann das Editorial Board (CCEB) mit Mitgliedern aus Kanada, Frankreich, Deutschland, Großbritannien und den Vereinigten Staaten mit der Ausarbeitung der for Information Technology Security Evaluation 1 (CC) Diese internationale Normung ist eine anerkannte gemeinsame Grundlage für Bewertungen der Datensicherheit und löste insbesondere den europäischen ITSEC- und den US-amerikanischen TCSEC-Standard ab

8 Einführung Geschichtliche Entwicklung III 1993 begann das Editorial Board (CCEB) mit Mitgliedern aus Kanada, Frankreich, Deutschland, Großbritannien und den Vereinigten Staaten mit der Ausarbeitung der for Information Technology Security Evaluation 1 (CC) Diese internationale Normung ist eine anerkannte gemeinsame Grundlage für Bewertungen der Datensicherheit und löste insbesondere den europäischen ITSEC- und den US-amerikanischen TCSEC-Standard ab Komponenten oder Systeme müssen NICHT in verschiedenen Ländern mehrfach bewertet und zertifiziert werden Weltweit anerkannter Standard: ISO https://www.commoncriteriaportal.org/ Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27

9 Bestandteile der Die CC umfassen drei Teile (ISO/IEC ): 1. Teil 1: Einführung und allgemeines Modell: Überblick über die erforderlichen Dokumente, die für eine Evaluierung des Produktes (Evaluierungsgegenstand (EVG), Target of Evaluation (TOE)) vorzulegen sind 2. Teil 2: Funktionale Sicherheitsanforderungen: Beschreibung der Kriterien und Anforderungen an Sicherheitsgrundfunktionen (z.b. Authentifizierung). Diese Sicherheitsanforderungen spiegeln allgemein anerkanntes Expertenwissen wider. 3. Teil 3: Anforderungen an die Vertrauenswürdigkeit: Beschreibung der Sicherheitsvorgaben für die Vertrauenswürdigkeit Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27

10 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Gliederung der Bewertung Die Bewertung ist gegliedert (analog zu ITSEC und den älteren BSI-Standard IT-Sicherheitskriterien), in die Bewertung 1. der Funktionalität des betrachteten Systems (d.h. den Funktionsumfang) und 2. der Vertrauenswürdigkeit (d.h. der Qualität der Umsetzung). Die Qualität der Umsetzung wird nach den Gesichtspunkten der Wirksamkeit der verwendeten Methoden und der Korrektheit der Implementierung bewertet Diese Bewertung führt zur Höhe der Evaluationsstufe

11 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Paradigma der Das grundsätzliche Paradigma der ist die Trennung der Betrachtung von Funktionalität und Vertrauenswürdigkeit Es erfolgt durch die Kriterien keine Vorgabe, dass eine bestimmte Funktionalität umgesetzt werden muss eine bestimmte Funktionalität mit einer bestimmten Vertrauenswürdigkeit geprüft werden muss Beide Aspekte werden zu Beginn der Evaluation vom Hersteller des Produkts in den Sicherheitsvorgaben definiert

12 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Evaluierungsschritte I Die Evaluierung erfolgt in mehreren Schritten: 1. Zur Bewertung der Funktionalität wird zunächst eine von fertigen Produkten unabhängige Sicherheitsbetrachtung durchgeführt, die zur Erstellung eines allgemeinen Schutzprofils (Protection Profile (PP)) führt 2. Mit Beginn der Evaluierung werden die Sicherheitsanforderungen des Schutzprofils vom Hersteller in spezielle Sicherheitsvorgaben (Security Target (ST)) für diesen konkreten Evaluierungsgegenstand überführt

13 Evaluierungsschritte II Über das Schutzprofil hinaus können hier weitere Informationen und Beschreibungen über das Produkt oder die genaue Einsatzumgebung hinzugefügt werden Dabei wird auch die geforderte Vertrauenswürdigkeit, die Prüftiefe, im allgemeinen gemäß EAL (Evaluation Assurance Level) festgelegt 3. Vor der Evaluierung des Produkts findet zunächst eine Evaluierung der Sicherheitsvorgaben statt Prüfung ob die Bedrohungen, die in den Sicherheitsvorgaben beschriebenen Einsatzumgebungen, die Sicherheitsziele und die Sicherheitsanforderungen auf einander abgestimmt sind (Grundlagen für die eigentliche Evaluierung des Produktes) Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27

14 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Evaluierungsschritte III 4. Eine unabhängige Prüfstelle prüft, ob der Hersteller des Evaluierungsgegenstandes die beschriebenen Sicherheitsvorgaben umgesetzt hat Die Stufe der Evaluierung gibt an, mit welcher Tiefe geprüft wurde und mit welcher Qualität die Umsetzung erfolgte 5. Im letzten Schritt wird die Prüfung der Prüfstelle von einer amtlichen Stelle überprüft und das Zertifikat vergeben Das Zertifikat ist die Bestätigung dafür, dass die vom Hersteller in den Sicherheitsvorgaben behauptete Sicherheitsfunktionalität umgesetzt wurde und wirksam ist

15 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Zertifikatsausstellung -Zertifikate werden in Deutschland vom BSI als ein amtlich bestätigter Nachweis der Sicherheitsleistung eines Produktes ausgestellt (in den USA ist die NSA für die Evaluierung nach zuständig) Bestandteil des Zertifizierungsverfahrens ist eine technische Prüfung, die von einer vom BSI anerkannten Prüfstelle durchgeführt werden kann Das BSI bestätigt mit der Ausstellung des Zertifikates, dass die Prüfstelle korrekt geprüft hat Dazu wird dem BSI der Prüfbericht von der Prüfstelle übergeben, die wiederrum vom BSI geprüft wird

16 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Funktionsklassen Die Methodik gliedert sich in nicht hierarchisch Funktionalitätsklassen Jede Klasse beschreibt eine bestimmte Grundfunktion der Sicherheitsarchitektur, die getrennt bewertet werden muss Klassen sind in sogenannte Familien aufgeteilt Jede Familie besitzt mindestens eine Komponente, in der die Sicherheitsanforderungen an die konkrete Funktionalität (z.b. Identifizierung, Zugriffskontrolle) beschrieben werden Wichtige Funktionalitätsklassen: Sicherheitsprotokollierung, Kommunikation, Kryptographische Unterstützung, etc.

17 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Beispiele für Funktionsklassen FAU (Sicherheitsprotokollierung): Aufzeichnungen für sicherheitsrelevante Verfahren FCS (Kryptographische Unterstützung): zwei Familien, eine für das Schlüsselmanagement und eine für den kryptographischen Betrieb FDP (Schutz der Benutzerdaten): u.a. Sicherheitspolitiken zum Schutz der Daten (z.b. Zugriffskontrollpolitik oder Informationsflusskontrolle) FRU (Betriebsmittelnutzung): Anforderungen an Verfügbarkeit

18 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Schutzprofile Funktionalitätsklassen werden zu Schutzprofilen zusammengefasst, die den Funktionsumfang bestimmter Produkte (z. B. Firewalls, Smartcards etc.) beschreiben Damit können Standardsicherheitsprobleme einer Klasse von Produkten produktunabhängig zusammengefasst werden Bei der Evaluierung eines konkreten Produktes werden aus dem für dieses Produkt vorgesehene Schutzprofil Sicherheitsvorgaben abgeleitet In Schutzprofilen werden sowohl Anforderungen an die Funktionalität als auch an die Vertrauenswürdigkeit zusammengefasst ( Menge von Sicherheitszielen)

19 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Schutzprofile: Struktureller Aufbau I 1. PP-Einführung: Die Einführung soll das Schutzprofil eindeutig identifizieren und einen kurzen Überblick geben Ziel ist, das Anwender schnell entscheiden können, ob das vorliegende Schutzprofil für sie von Interesse ist 2. EVG-Beschreibung: beschreibt die Klasse von Produkten, auf die das Schutzprofil Anwendung finden kann (im Detail)

20 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Schutzprofile: Struktureller Aufbau II 3. EVG-Sicherheitsumgebungen: Im einem Schutzprofil müssen die allgemeinen IT-Sicherheitseigenschaften, aber auch die Grenzen der Benutzung erläutert werden Dieses Kapitel wir in drei Abschnitte unterteilt: 3.1 Annahmen: Schutzbedarf der zu verarbeitenden Daten und typische Einsatzumgebungen. Aufgenommen werden aber auch gesetzliche Auflagen und vorgeschriebene Sicherheitsstandards 3.2 Bedrohungen: Durchführung einer Art Risikoanalyse und somit Emittlung der abzuwehrenden Bedrohungen 3.3 Sicherheitspolitiken (organisatorisch): Annahmen über den sicheren Betrieb des EVG

21 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Schutzprofile: Struktureller Aufbau III 4. Sicherheitsziele: detaillierte Angaben über die Gegenmaßnahmen der beschriebenen Bedrohungen und wie Sicherheitspolitiken erfüllt werden Das Kapitel wir in zwei Abschnitte unterteilt: 4.1 Sicherheitsziele für den EVG 4.2 Sicherheitsziele für die Umgebung

22 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Schutzprofile: Struktureller Aufbau IV 5. Sicherheitsanforderungen: Ziel eines Schutzprofils ist die Beschreibung des Sicherheitsbedarfs für eine bestimmte Produktfamilie in Form von Sicherheitsanforderungen Zur Erstellung der Anforderungen kann auf die CC-Funktionsklassen und auf die CC-Vertrauenswürdigkeitsklassen zurückgegriffen werden Dieses Kapitel wird wie folgt unterteilt: 5.1 EVG-Anforderungen an den EVG an die Vertrauenswürdigkeit des EVG 5.2 Sicherheitsanforderungen an die IT-Umgebung

23 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Schutzprofile: Struktureller Aufbau V 6. Erklärung: Dieses Kapitel soll den Verfasser zwingen, eine erste Konsistenz- und Vollständigkeitsanalyse durchzuführen und so die Angemessenheit der Anforderungen darzulegen Dieses Kapitel unterteilt sich wieder in die folgenden beiden Abschnitte: 6.1 Erklärung der Sicherheitsprofile 6.2 Erklärung der Sicherheitsanforderungen

24 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Vertrauenswürdigkeitsklassen (Beispiele) Die Sicherheitsanforderungen an die Vertrauenswürdigkeit sind (wie bei den Sicherheitsanforderungen an die Funktionalität) mittels Klassen und Familien strukturiert: ADO (Auslieferung und Betrieb): definiert Anforderungen an Maßnahmen, Prozeduren und Normen, die sich mit der Auslieferung, der Installation und den Betrieb befassen AGD (Handbücher): definieren Anforderungen an die vom Hersteller zur Verfügung gestellten Betriebsdokumentationen ADV (Entwicklung): definiert Anforderungen zur Entwicklung (Implementierung) des Evaluierungsgegenstandes ATE (Testen): siehe nächste Folien

25 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Vertrauenswürdigkeitsklassen II Diese Vertrauenswürdigkeitsklassen und -familien bilden die Grundlage zur Festlegung der Evaluierungsstufen In jeder Familie gibt es verschiedene Komponenten, die durchnummeriert sind Eine höhere Nummer bedeutet eine tiefere Beschreibung, einen tieferen Test usw. Beispiel: Klasse ATE: legt Anforderungen an das Testen des Evaluierungsgegenstandes dar, die nachweisen, dass die Sicherheitsanforderungen erfüllt werden

26 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Vertrauenswürdigkeitsklassen III Die Familie Testabdeckung (ATE COV ) behandelt die Vollständigkeit der vom Entwickler durchgeführten funktionalen Tests der Sicherheitsfunktionen Die Testtiefe (ATE DPT ) befasst sich mit dem Detaillierungsgrad der Tests Die Familie ATE FUN (Funktionale Tests) enthält funktionale Tests zur Prüfung der im Dokument Sicherheitsanforderungen beschrieben Sicherheitsvorgaben Die Familie ATE IND (unabhängige Tests) beschreiben den Detaillierungsgrad, bis zu dem funktionale Tests von unabhängigen Dritten durchgeführt werden

27 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Evaluierungsstufen I Die definieren sieben Stufen der Vertrauenswürdigkeit (Evaluation Assurance Level, EAL1-7) Diese beschreiben die Korrektheit der Implementierung des betrachteten Systems bzw. die Prüftiefe Mit steigender Stufe der Vertrauenswürdigkeit steigen die Anforderungen an die Tiefe, in der der Hersteller sein Produkt beschreiben muss und mit dem das Produkt geprüft wird

28 Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / /27 Evaluierungsstufen II EAL1: funktionell getestet EAL2: strukturell getestet EAL3: methodisch getestet und überprüft EAL4: methodisch entwickelt, getestet und durchgesehen EAL5: semiformal entworfen und getestet EAL6: semiformal verifizierter Entwurf und getestet EAL7: formal verifizierter Entwurf und getestet

IT Sicherheit: Bewertungskriterien

IT Sicherheit: Bewertungskriterien Dr. Christian Rathgeb IT-Sicherheit, Kapitel 7 / 02.12.2015 1/28 IT Sicherheit: Bewertungskriterien Dr. Christian Rathgeb Hochschule Darmstadt, CASED, da/sec Security Group 02.12.2015 Dr. Christian Rathgeb

Mehr

ETSI TS 102 042: Electronic Signatures and Infrastructures (ESI): Policy

ETSI TS 102 042: Electronic Signatures and Infrastructures (ESI): Policy Abkürzungen AIS BGBl BNetzA BSI CC CEM DAR DATech DIN EAL ETR ETSI EVG ISO IT ITSEC ITSEF ITSEM JIL PP SF SigG SigV SOF ST TSF ZDA Anwendungshinweise und Interpretationen zum Schema (des BSI) Bundesgesetzblatt

Mehr

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen conhit Kongress 2014 Berlin, 06.Mai 2014 Session 3 Saal 3 Gesundheitsdaten und die NSA Haben Patienten in Deutschland ein Spionageproblem?

Mehr

Zertifizierungsreport

Zertifizierungsreport Zertifizierungsreport Bundesamt für Sicherheit in der Informationstechnik BSI-PP-0023-2007 zu Schutzprofil Software zur Verarbeitung von personenbezogenen Bilddaten, Version 2.0 entwickelt im Auftrag des

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Bundesamt für Sicherheit in der Informationstechnik (BSI) Connected Living 2013 Agenda Studie: Integrierte

Mehr

Lehrveranstaltungshandbuch IT-Sicherheit

Lehrveranstaltungshandbuch IT-Sicherheit Lehrveranstaltungshandbuch IT-Sicherheit Lehrveranstaltung Befriedigt Modul (MID) Organisation Kompetenznachweis Lehrveranstaltungselemente Vorlesung/Übung Seminar Verantwortlich: Prof.Dr. Knospe Lehrveranstaltung

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1. Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen

Mehr

BSI-PP-0008-2002. Schutzprofil Benutzerbestimmbare Informationsflusskontrolle, Mehrbenutzervariante (MU), Version 2.01.

BSI-PP-0008-2002. Schutzprofil Benutzerbestimmbare Informationsflusskontrolle, Mehrbenutzervariante (MU), Version 2.01. Bundesamt für Sicherheit in der Informationstechnik BSI-PP-0008-2002 zu Schutzprofil Benutzerbestimmbare Informationsflusskontrolle, Mehrbenutzervariante (MU), Version 2.01 entwickelt vom Bundesbeauftragten

Mehr

Die elektronische Signatur und Kartenchips was ist das - wie geht das - wer braucht das - ist es sicher? Thilo Schuster

Die elektronische Signatur und Kartenchips was ist das - wie geht das - wer braucht das - ist es sicher? Thilo Schuster Die elektronische Signatur und Kartenchips was ist das - wie geht das - wer braucht das - ist es sicher? Thilo Schuster thilo.schuster NIXSPAM web.de Fragen Was ist eine elektronische Signatur? Wie funktioniert

Mehr

Sicher elektronisch und physisch kommunizieren mit der E-Post Business Box

Sicher elektronisch und physisch kommunizieren mit der E-Post Business Box Sicher elektronisch und physisch kommunizieren mit der E-Post Business Box E-POST Vorteile für Geschäftskunden Zeit sparen Prozesse abkürzen Sicher kommunizieren Die Vorteile für Geschäftskunden Kosten

Mehr

Übergabe DE-CIX Internet Exchange (BSI-IGZ-0059-2010)

Übergabe DE-CIX Internet Exchange (BSI-IGZ-0059-2010) Übergabe DE-CIX Internet Exchange (BSI-IGZ-0059-2010) BSI Überblick Zertifizierung Vorteile Zertifizierung nach ISO 27001 und IT-Grundschutz Prüfstandards des BSI Beispiele neuerer Zertifikate Akkreditierte

Mehr

Konzeptentwicklung Akkreditierte Software Prüfstelle

Konzeptentwicklung Akkreditierte Software Prüfstelle Konzeptentwicklung Akkreditierte Software Prüfstelle Durchgeführt an der Betreuer Autoren Datum Naturwissenschaftlichen Fakultät der Universität Salzburg Fachbereich Computerwissenschaften Uni.-Prof. Dipl.-Ing.

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

Schutzprofile nach CC. Beispiel einer Operator Station zur Erfassung und Steuerung von Prozeßdaten

Schutzprofile nach CC. Beispiel einer Operator Station zur Erfassung und Steuerung von Prozeßdaten Schutzprofile nach CC Beispiel einer Operator Station zur Erfassung und Steuerung von Prozeßdaten Marcel Weinand 01888/9582-5152 Marcel.Weinand@bsi.bund.de 1 Orange Book (TCSEC) 1985 Kriterienwerk CC -

Mehr

IT Sicherheitsstandards

IT Sicherheitsstandards IT Sicherheitsstandards warum, wieso, weshalb? und welche taugen wie für was? Überblick über die Standards: BSI Grundschutz, ISO 7799, Common Criteria und ITIL IT Sicherheitsstandards Inhalt Warum Standards

Mehr

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT Sicherheitsstandards

IT Sicherheitsstandards IT Sicherheitsstandards warum, wieso, weshalb? und wenn ja, welche taugen wie für was? Überblick über die Standards: BSI Grundschutz, ISO 7799, Common Criteria und ITIL IT Sicherheitsstandards Inhalt Warum

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit und der IT-Sicherheit Vorlesung im Sommersemester 2006 von Ergebnis Netzwerk-Sicherheit Funktionsweise der Kommunikationsbeziehungen beim ISO/OSI-Referenzmodell Unterschied zwischen IPSec und VPN Vergleich

Mehr

Normen als Zertifizierungsgrundlagen im Bereich IT-Sicherheit

Normen als Zertifizierungsgrundlagen im Bereich IT-Sicherheit Normen als Zertifizierungsgrundlagen im Bereich IT-Sicherheit DIN e. V. DIN ist ein eingetragener gemeinnütziger Verein und wird privatwirtschaftlich getragen. DIN ist laut eines Vertrages mit der Bundesrepublik

Mehr

http://dic Schutzprofile für Datenschutzgerechte Informationsflusskontrolle Roland Vogt

http://dic Schutzprofile für Datenschutzgerechte Informationsflusskontrolle Roland Vogt http://dic dic.dfki.de/ 1 Schutzprofile für Datenschutzgerechte Informationsflusskontrolle Roland Vogt Deutsches Forschungszentrum für Künstliche Intelligenz (DFKI GmbH) Prüfstelle für IT-Sicherheit 2

Mehr

Smart Meter Gateway: Informationsflusskontrolle und Datenschutz mittels Security Kernel Framework

Smart Meter Gateway: Informationsflusskontrolle und Datenschutz mittels Security Kernel Framework it-sa 2012 Nürnberg, 16.10.2012 Smart Meter Gateway: Informationsflusskontrolle und Datenschutz mittels Security Kernel Framework Michael Gröne Sirrix AG security technologies Agenda Sicherheitsanforderungen

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

Zertifizierungsreport

Zertifizierungsreport BSI - ITSEC - 0125-1997 zu SETCOS 3.1, Version 3.1.1.1 der Firma Setec Oy Zertifizierungsreport Bundesamt für Sicherheit in der Informationstechnik Sicherheitszertifikat BSI-ITSEC-0125-1997 SETCOS 3.1,

Mehr

Sicherheit der Komponenten der Telematik-Infrastruktur

Sicherheit der Komponenten der Telematik-Infrastruktur Sicherheit der Komponenten der Telematik-Infrastruktur IT - Sicherheit im Gesundheitswesen Regelungen und Maßnahmen für eine sichere TI im Zuge der Einführung der egk ( BSI ) Bundesamt für Sicherheit in

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Atos Worldline GmbH Hahnstraße 25 60528 Frankfurt/Main für das PIN Change-Verfahren Telefonbasierte Self Selected

Mehr

Wiederholung: XML-Grundlagen

Wiederholung: XML-Grundlagen IT-Sicherheit: XML-Sicherheit, Sicherheitskriterien Wiederholung: XML-Grundlagen! extensible Markup Language! XML 1.0 (3. Ausgabe, sowie XML 1.1), W3C Recommendation, Feb 2004! Meta-Language; entwickelt

Mehr

IT Sicherheit: Authentisierung

IT Sicherheit: Authentisierung Dr. Christian Rathgeb IT-Sicherheit, Kapitel 4 / 18.11.2015 1/21 IT Sicherheit: Dr. Christian Rathgeb Hochschule Darmstadt, CASED, da/sec Security Group 18.11.2015 Dr. Christian Rathgeb IT-Sicherheit,

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für die Firewall- und Serverinstallation SmartHome Backend und

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen D-TRUST GmbH Kommandantenstraße 15 10969 Berlin für den Zertifizierungsdienst D-TRUST SSL Class 3 CA die Erfüllung

Mehr

Testat IT-Sicherheit Fraunhofer-Institut SIT. Konzept, Kriterien, Vorgehensweise

Testat IT-Sicherheit Fraunhofer-Institut SIT. Konzept, Kriterien, Vorgehensweise Konzept, Kriterien, Vorgehensweise Inhalt Vorwort 3 1 Grundgedanke 4 2 Gegenstand und Evaluationsprinzipien 5 2.1 Evaluationsinstanz 5 2.2 Evaluationsgegenstand (EVG) 5 2.3 Evaluationsprinzipien 6 2.4

Mehr

Informationssicherheit in handlichen Päckchen ISIS12

Informationssicherheit in handlichen Päckchen ISIS12 Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin

Mehr

Data Overwrite Kit. Optional Data Overwrite Kit GP-1050 für e-studio230/280 e-studio350/450 GP-1060 für e-studio520/600/720/850 e-studio281c/351c/451c

Data Overwrite Kit. Optional Data Overwrite Kit GP-1050 für e-studio230/280 e-studio350/450 GP-1060 für e-studio520/600/720/850 e-studio281c/351c/451c Toshibas Sicherheitslösung für MFP Daten Optional GP-1050 für e-studio230/280 e-studio350/450 GP-1060 für e-studio520/600/720/850 e-studio281c/351c/451c Einführung Digitale multifunktionale Peripheriegeräte

Mehr

Anwendungshinweise und Interpretationen zum Schema (AIS)

Anwendungshinweise und Interpretationen zum Schema (AIS) Anwendungshinweise und Interpretationen zum Schema (AIS) AIS 46, Version 3 Stand: 04.12.2013 Status: Thema: Herausgeber: Zur Anwendung als Leitfaden Informationen zur Evaluierung von kryptographischen

Mehr

Bestätigung. TÜV Informationstechnik GmbH - ein Unternehmen der TÜV NORD Gruppe - Zertifizierungsstelle Langemarckstraße 20 45141 Essen

Bestätigung. TÜV Informationstechnik GmbH - ein Unternehmen der TÜV NORD Gruppe - Zertifizierungsstelle Langemarckstraße 20 45141 Essen Bestätigung von Produkten für qualifizierte elektronische Signaturen gemäß 15 Abs. 7 und 17 Abs. 4 Gesetz über Rahmenbedingungen für elektronische Signaturen und 11 Abs. 3 Verordnung zur elektronischen

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen TC TrustCenter GmbH Sonninstraße 24-28 20097 Hamburg für den Zertifizierungsdienst TC TrustCenter Class 2

Mehr

Zertifizierte IT-Sicherheit

Zertifizierte IT-Sicherheit Zertifizierte IT-Sicherheit Prüfstandards für IT-Sicherheit Technische Richtlinien und Schutzprofile Konformitätsbewertung Zertifizierung und Anerkennung ZertifiZierte it-sicherheit inhalt Inhaltsverzeichnis

Mehr

Sicherheitsbewertungsbericht

Sicherheitsbewertungsbericht Sicherheitsbewertungsbericht auf Basis der "Verordnung (EG) Nr. 352/2009 der Kommission vom 24. April 2009 über die Festlegung einer gemeinsamen Sicherheitsmethode für die Evaluierung und Bewertung von

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

Das NT Domänen-Konzept

Das NT Domänen-Konzept Das NT Domänen-Konzept Einführung Was ist eine Domäne? Was ist eine Gruppe? Was ist ein Trust? Domänen Das Single Domain Model Das Single Master Domain Model Das Multiple Master Domain Model Das Complete

Mehr

IT-Sicherheit der Netzleitstelle - Ausweitung auf Smart Meter

IT-Sicherheit der Netzleitstelle - Ausweitung auf Smart Meter IT-Sicherheit der Netzleitstelle - Ausweitung auf Smart Meter Agenda 1) Warum IT-Sicherheit? 2) IT-Sicherheit der Netzleitstelle 3) Ausweitung auf Smart Meter 2 Definition IT-Sicherheit IT-Sicherheit betrifft

Mehr

1. Tagung zum Schutzprofil für Smart Meter

1. Tagung zum Schutzprofil für Smart Meter 1. Tagung zum Schutzprofil für Smart Meter Strategische Ziele Anforderungen an IT-Sicherheit und Datenschutz IT-Sicherheitszertifizierung Bedeutung der Common Criteria für die Zertifizierung Zeitplan Bernd

Mehr

Community Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate

Community Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate Community Zertifizierungsstelle für Digitale Identität & Privatsphäre SSL / S/MIME Zertifikate www.cacert.org 2010 / ab OSS an Schulen, Zürich, 2010-05-29, Folie 1 Agenda Identität und Vertrauen WoT und

Mehr

IT-Sicherheit bei kleinen und mittleren Unternehmen. Dr. Kai Fuhrberg Bundesamt für Sicherheit in der Informationstechnik

IT-Sicherheit bei kleinen und mittleren Unternehmen. Dr. Kai Fuhrberg Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheit bei kleinen und mittleren Unternehmen Bundesamt für Sicherheit in der Informationstechnik Agenda BSI - Aufgaben und Dienstleistungen IT-Sicherheit: Zahlen & Fakten IT-Grundschutz Zertifizierung

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Normen und Standards für die IT-Sicherheit

Normen und Standards für die IT-Sicherheit Normen und Standards für die IT-Sicherheit 1. Zur Ausgangslage Die Anzahl der Normen und Standards auf dem IT-Sicherheitssektor hat im Verlauf der vergangenen Jahre ständig zugenommen. Ihre Vielzahl ist

Mehr

IT-Sicherheit kompakt und verständlich

IT-Sicherheit kompakt und verständlich Bernhard C.Witt IT-Sicherheit kompakt und verständlich Eine praxisorientierte Einführung Mit 80 Abbildungen vieweg Inhaltsverzeichnis -- Grundlagen der IT-Sicherheit 1 1.1 Übersicht 1 1.1.1 Gewährleistung

Mehr

Technische Universität München

Technische Universität München Kapitel 7 Secure Engineering Ziele Secure by Design: Systematische Integration von Sicherheitsaspekten bei der Entwicklung von IT-Systemen. Secure Programming ist Teilaspekt, wird hier nicht behandelt

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Fragenkatalog 2 vom 3. Juli 2015:

Fragenkatalog 2 vom 3. Juli 2015: Deutsches Patent- und Markenamt für das Offene Verfahren Signaturkarten und Signaturkartenlesegeräte für qualifizierte Signaturen (BUL 33/15) Fragenkatalog 2 vom 3. Juli 2015: Nr. Bezug (z.b. Teil I; Kap.

Mehr

13 Anhang A: Erfüllung der Norm ISO 9000 durch HERMES

13 Anhang A: Erfüllung der Norm ISO 9000 durch HERMES 13 Anhang A: Erfüllung der Norm ISO 9000 durch Hinweis Einleitung Eine der wesentlichsten Grundlagen für die Qualitätssicherung in einem Unternehmen ist die Normenserie «ISO 9000», insbesondere ISO 9001:1994

Mehr

Inhaltsverzeichnis VII

Inhaltsverzeichnis VII 1 Grundlagen der IT-Sicherheit...1 1.1 Übersicht...1 1.1.1 Gewährleistung der Compliance...1 1.1.2 Herangehensweise...2 1.2 Rechtliche Anforderungen an IT-Sicherheit...3 1.2.1 Sorgfaltspflicht...3 1.2.2

Mehr

Wirtschaftsportalverbund Sicherheitsklassen

Wirtschaftsportalverbund Sicherheitsklassen Wirtschaftsportalverbund Sicherheitsklassen Version 30.8.2014 Rainer Hörbe 1 Inhalt Inhalt... 2 Begriffe... 2 1 Einführung... 2 2 Geltungsbereich der Sicherheitsklassen... 3 3 Risikoeinstufung der Sicherheitsklassen...

Mehr

Digitale Signaturen. im Kontext der Biometrie. Thomas Kollbach kollbach@informatik.hu-berlin.de

Digitale Signaturen. im Kontext der Biometrie. Thomas Kollbach kollbach@informatik.hu-berlin.de Digitale Signaturen im Kontext der Biometrie Thomas Kollbach kollbach@informatik.hu-berlin.de 2005 Veröffentlicht (mit Ausnahme der Bilder) unter einer Creative Commons Lizenz Details siehe http://creativecommons.org/licenses/by-nc-sa/2.0/de/

Mehr

Mehr IT-Souveränität durch Zusammenarbeit Vertrauen ist eine Herausforderung für die Zukunft

Mehr IT-Souveränität durch Zusammenarbeit Vertrauen ist eine Herausforderung für die Zukunft Mehr IT-Souveränität durch Zusammenarbeit Vertrauen ist eine Herausforderung für die Zukunft Prof. Dr. (TU NN) Norbert Pohlmann Vorstandsvorsitzender TeleTrusT - Bundesverband IT-Sicherheit e.v. Professor

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

Elektronische Signaturen. LANDRATSAMT BAUTZEN Innerer Service EDV

Elektronische Signaturen. LANDRATSAMT BAUTZEN Innerer Service EDV Elektronische Signaturen Rechtsrahmen Signaturgesetz (SigG) Signaturverordnung (SigV) Bürgerliches Gesetzbuch (BGB), 125 ff. über die Formen von Rechtsgeschäften Verwaltungsverfahrensgesetz (VwVfG), 3a

Mehr

Antonius Sommer Geschäftsführer TÜV Informationstechnik GmbH. Datenschutzzertifizerung als Qualität im internationalen Wettbewerb

Antonius Sommer Geschäftsführer TÜV Informationstechnik GmbH. Datenschutzzertifizerung als Qualität im internationalen Wettbewerb Antonius Sommer Geschäftsführer TÜV Informationstechnik GmbH Datenschutzzertifizerung als Qualität im internationalen Wettbewerb Der Titel des Vortrages besteht im Wesentlichen aus den folgenden drei Teilen,

Mehr

Evaluierungsleitfaden für die Seitenkanalanalyse von ECC-Implementierungen

Evaluierungsleitfaden für die Seitenkanalanalyse von ECC-Implementierungen y 2 = x 3 + 2x + 4 mod 5 Evaluierungsleitfaden für die Seitenkanalanalyse von ECC-Implementierungen Wolfgang Killmann, Guntram Wicke T-Systems Manfred Lochter - Bundesamt für Sicherheit in der Informationstechnik

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

"Umsetzung der Richtlinie Modularer Anforderungskatalog" Dr. Astrid Schumacher/Dietmar Bremser, BSI

Umsetzung der Richtlinie Modularer Anforderungskatalog Dr. Astrid Schumacher/Dietmar Bremser, BSI Informationstag "Ersetzendes Scannen" Berlin, 19.04.2013 "Umsetzung der Richtlinie Modularer Anforderungskatalog" Dr. Astrid Schumacher/Dietmar Bremser, BSI TR RESISCAN 03138 Umsetzung der Richtlinie Modularer

Mehr

TÜV Informationstechnik GmbH. -TÜViT -

TÜV Informationstechnik GmbH. -TÜViT - Beurteilung der Rechts- und Revisionssicherheit durch das Kriterienwerk PK-DML des VOI Dr. Ernst-Hermann Gruschwitz und Joachim Faulhaber Feb-2005 TÜV Informationstechnik GmbH -TÜViT - Die Struktur der

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

IT-Sicherheit Einführung

IT-Sicherheit Einführung Karl Martin Kern IT-Sicherheit Einführung (http://www.xkcd.com/834/) Über mich... Dipl.-Inform. (FH) Karl Martin Kern (htwg@kmkern.de) Studium der technischen Informatik an der HTWG (damals Fachhochschule)

Mehr

LEGIC Positionspapier

LEGIC Positionspapier LEGIC Positionspapier Technische Richtlinie für den sicheren RFID Einsatz (TR RFID) TR 03126-5: Einsatzgebiet elektronischer Mitarbeiterausweis Version 1.1 Dez. 2010 Find details on website 1/5 1. Hintergrund

Mehr

Informationssicherheit in Unternehmen

Informationssicherheit in Unternehmen Informationssicherheit in Unternehmen Erfahrungen aus 5 Praxisprojekten mit mittleren und großen Unternehmen IT-Showcase 21. Juni 2001 Prof. Dr. Hartmut Pohl Hartmut.Pohl@fh-bonn-rhein-sieg.de Forschungsstelle

Mehr

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation Dr. André Wittenburg, Vice President Architektur & Plattformstragie i2b, Bremen, Februar 2012 1 Der E-Postbrief: Ein kurzer Überflug 2 Sicherheit

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

Zertifizierungsprogramm

Zertifizierungsprogramm Zertifizierungsprogramm Software-Qualität (Stand: Oktober 2004) DIN CERTCO Burggrafenstraße 6 10787 Berlin Tel: +49 30 2601-2108 Fax: +49 30 2601-1610 E-Mail: zentrale@dincertco.de www.dincertco.de Zertifizierungsprogramm

Mehr

DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN

DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN anhand eines praktischen Beispiels bei der Versatel Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration (MBA)

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Sichere Signaturerstellungseinheit CardOS V5.3 QES, V1.0

Sichere Signaturerstellungseinheit CardOS V5.3 QES, V1.0 Zentrum für sichere Informationstechnologie Austria Secure Information Technology Center Austria A-1030 Wien, Seidlgasse 22 / 9 Tel.: (+43 1) 503 19 63 0 Fax: (+43 1) 503 19 63 66 A-8010 Graz, Inffeldgasse

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Sichere Bürokommunikation am Beispiel von Fax, Kopierern, Druckern, Scannern und Mail Tag der IT-Sicherheit, 2. Februar 2015 - Torsten Trunkl

Sichere Bürokommunikation am Beispiel von Fax, Kopierern, Druckern, Scannern und Mail Tag der IT-Sicherheit, 2. Februar 2015 - Torsten Trunkl Sichere Bürokommunikation am Beispiel von Fax, Kopierern, Druckern, Scannern und Mail Tag der IT-Sicherheit, 2. Februar 2015 - Torsten Trunkl 1 Gliederung 1. Wer sind wir? 2. Datenschutz und Informationssicherheit

Mehr

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE Alternative Ansätze im Sicherheitsmanagement Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

ENTWURF ÖNORM EN 14169-1

ENTWURF ÖNORM EN 14169-1 ENTWURF ÖNORM EN 14169-1 Ausgabe: 2011-06-01 Schutzprofile für Sichere Signaturerstellungseinheiten Teil 1: Überblick Protection profiles for secure signature creation device Part 1: Overview Profiles

Mehr

Kryptografische Verfahren für sichere E-Mail

Kryptografische Verfahren für sichere E-Mail Kryptografische Verfahren für sichere Roadshow Sicheres Internet Prof. Dr. Christoph Karg Hochschule Aalen Studiengang Informatik 28. November 2013 Kommunikation Prof. Dr. Christoph Karg Kryptografische

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

BSI-Zertifizierungen im Zeitalter von Open Source und Web 2.0

BSI-Zertifizierungen im Zeitalter von Open Source und Web 2.0 BSI-Zertifizierungen im Zeitalter von Open Source und Web 2.0 Joachim Weber Fachbereichsleiter Zertifizierung und Standardisierung Bundesamt für Sicherheit in der Informationstechnik krz-forum 2012 Bundesamt

Mehr

Regelwerk für die Planung und Konzipierung sicherer Datennetze. Dr. Herbert Blum

Regelwerk für die Planung und Konzipierung sicherer Datennetze. Dr. Herbert Blum Regelwerk für die Planung und Konzipierung sicherer Datennetze Dr. Herbert Blum 12. Deutscher IT-Sicherheitskongress Bonn, 7 Anwendung 6 Darstellung 5 Sitzung Anwendung Datensicherheit in Netzen 3 Vermittlung

Mehr

Energie- und Stromsteuergesetz Spitzenausgleich- Effizienzsystemverordnung SpaEfV

Energie- und Stromsteuergesetz Spitzenausgleich- Effizienzsystemverordnung SpaEfV Energie- und Stromsteuergesetz Spitzenausgleich- Effizienzsystemverordnung SpaEfV Hier: Anwendung von Verfahrensvereinfachungen gemäß 5 Abs. 1 letzter Satz bei der Überprüfung der Voraussetzungen nach

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

IT-Sicherheit Prof. Dr. Claudia Eckert

IT-Sicherheit Prof. Dr. Claudia Eckert IT-Sicherheit Prof. Dr. Claudia Eckert Technische Universität München Organisatorisches: Vorlesung 3 SWS, Übung 1 SWS: 5 Credit-Points Mi 16:00-17:30 MI HS2 (Vorlesung) Do 16:15-17:00 MI HS2 (Vorlesung)

Mehr

Umsetzung der CSM-RA bei der Deutschen Bahn Sachstand & aktuelle Diskussion im Sektor

Umsetzung der CSM-RA bei der Deutschen Bahn Sachstand & aktuelle Diskussion im Sektor Umsetzung der CSM-RA bei der Deutschen Bahn Sachstand & aktuelle Diskussion im Sektor Deutsche Bahn AG Niko Holst Safety in Transportation 6 Braunschweig, 05.11.2013 Inhalt 1. 2. 3. 4. Umsetzung der CSM-RA

Mehr

Die elektronische Signatur. Anleitung

Die elektronische Signatur. Anleitung Die elektronische Signatur Anleitung Online-Banking mit der VR-BankCard FinTS Wie Sie die elektronische Signaturkarte im Online- Banking verwenden, lesen Sie ausführlich in diesem Dokument. Inhalt 1. Zum

Mehr

SUCCESS STORY INFORMATION SECURITY

SUCCESS STORY INFORMATION SECURITY SUCCESS STORY Landis+Gyr sorgt für Sicherheit im Smart Metering Schutzprofil für Smart-Meter-Gateway nach Common Criteria umgesetzt Die Herstellung intelligenter Stromzähler, sogenannte Smart Meter, unterliegt

Mehr

Information der Ärztekammer Hamburg zum earztausweis. Beantragung und Herausgabe des elektronischen Arztausweises

Information der Ärztekammer Hamburg zum earztausweis. Beantragung und Herausgabe des elektronischen Arztausweises Information der Ärztekammer Hamburg zum earztausweis Beantragung und Herausgabe des elektronischen Arztausweises 1 Wozu dient der elektronische Arztausweis? Sichtausweis ersetzt den bisherigen Papierausweis

Mehr

Scannen Sie schon oder blättern Sie noch?

Scannen Sie schon oder blättern Sie noch? Scannen Sie schon oder blättern Sie noch? Martin Steger Geschäftsführer intersoft certification services GmbH intersoft mc sec certification 2014 services GmbH mentana-claimsoft.de Agenda Scannen Sie schon

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

IT-Sicherheit. Konzepte-Verfahren - Protokolle von Prof. Dr. Claudia Eckert 6., überarbeitete und erweiterte Auflage. Oldenbourg Verlag München

IT-Sicherheit. Konzepte-Verfahren - Protokolle von Prof. Dr. Claudia Eckert 6., überarbeitete und erweiterte Auflage. Oldenbourg Verlag München IT-Sicherheit Konzepte-Verfahren - Protokolle von Prof. Dr. Claudia Eckert 6., überarbeitete und erweiterte Auflage Oldenbourg Verlag München Inhaltsverzeichnis 1 Einführung 1 1.1 Grundlegende Begriffe

Mehr

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Verfasser: BSI Ref. 113 Version: 1.0 Stand: 26. Januar 2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr