Operation am offenen Hirn. Österreich entscheidet sich für secunet. WestLB: Kerberos Single Sign-On verbindet Sicherheit mit Benutzerkomfort

Transkript

1 Der IT-Sicherheitsreport von Ausgabe Business Security Automotive Government Hochsicherheit WestLB: Kerberos Single Sign-On verbindet Sicherheit mit Benutzerkomfort Operation am offenen Hirn Österreich entscheidet sich für secunet Dem Himmel so nah mit der SINA Virtual Workstation Zukunftssichere Lösung integriert Identity Management unter UNIX und Windows Dank der Advanced Backend Security-Lösung verläuft alles ohne Risiken secunet biomiddle wird Kernstück der biometrischen Erfassungssysteme in allen österreichischen Botschaften Exakte Luftraumlage wird in Echtzeit bereitgestellt Kerberos ist der Höllenhund in der griechischen Mythologie, der den Eingang zur Unterwelt bewacht. Er hat die Aufgabe, nur die Personen einzulassen, die eine Erlaubnis haben. Diese Eigenschaft hat zwei Entwickler am Massachusetts Institute of Technology in den 80er Jahren veranlasst, ihr Authentifizierungsprotokoll nach dieser Kreatur zu benennen. Was das Hirn des Menschen ist, sind des Autos Steuergeräte. Während Autos der 90er, ausgestattet mit ESP, ABS und Navigationssystemen, mit ca Steuergeräten auskamen, beherbergen moderne Luxusfahrzeuge heute an die 100 Tendenz stark steigend. Anders als beim Menschen kann das Gehirn des Fahrzeugs jedoch physikalische Verbindungen zur Außenwelt aufbauen. secunet liefert an das österreichische Bundesministerium für europäische und internationale Angelegenheiten biometrische Erfassungssysteme zur Beantragung eines Schengen-Visums. Dieser Auftrag umfasst neben der Ausstattung der 130 Auslandsvertretungen mit Hard- und Software auch die komplette Implementierung. Erinnern Sie sich noch an die Besuche von Barack Obama, Papst Benedikt XVI. oder anderen Persönlichkeiten in Deutschland? Vielleicht erinnern Sie sich auch nicht. Das könnte auch daran liegen, dass es keine sicherheitsrelevanten Zwischenfälle gab. Eine zentrale Schutzvorkehrung ist die Überwachung des Luftraums. Und diese Daten der aktuellen Luftlage sind nun dank der SINA Virtual Workstation zu jeder Zeit und an jedem Ort für alle Einsatzbeteiligten verfügbar. zu diesem Thema auf Seite 3 zu diesem Thema auf Seite 10 zu diesem Thema auf Seite 12 zu diesem Thema auf Seite 17

2 EDITORIAL INHALT 03 WestLB: Kerberos Single-Sign-On verbindet Sicherheit mit Benutzerkomfort Liebe Leserinnen und Leser, vor 40 Jahren betraten die ersten Menschen den Mond das war eine Revolution. Dies ist ein kleiner Schritt für einen Menschen, aber ein Riesenschritt für die Menschheit., ist wohl eines der bekanntesten Zitate der Welt. Doch was ist heute, vier Jahrzehnte nach diesem historischen Ereignis? Gibt es ein Leben auf dem Mond, wie damals prophezeit? Machen wir Urlaub auf diesem Himmelskörper? Der Hype, der Dr. Rainer Baumgart 1969 ausgelöst wurde, ist schnell verglüht. Übrig geblieben sind Science Fiction-Fantasien und Verschwörungstheorien, die behaupten, das Ganze sei eine Inszenierung in einem Hollywood-Studio gewesen. Auch in der IT gibt es Hype-Themen, die nie den großen Durchbruch geschafft haben. Es lassen sich aber auch andere Beispiele finden: Über die Aussage des DEC-Gründers Ken Olson von 1977, es gäbe keinen erdenklichen Grund, weshalb jemand einen Computer für zu Hause haben sollte, schmunzeln wir noch heute. Auch der Gründer von IBM, Thomas J. Watson, sah nur einen Weltmarkt für etwa fünf Computer wie gut für sein Unternehmen, dass er damit völlig falsch lag. Und wer erinnert sich nicht an Bill Gates Einschätzung, das Internet sei nur eine vorübergehende Erscheinung? als eine Milliarde Internetanschlüsse weltweit beweisen heute das Gegenteil. In der IT-Sicherheit können Fehleinschätzungen gravierende Folgen haben: Die Ansicht, Schlüssellängen von 512 Bit seien im Bereich digitaler Signaturen ausreichend, teilt inzwischen niemand mehr ernsthaft. Und seitdem die Qualität des Standards für sichere Hash-Funktionen SHA-1 durch Attacken bezweifelt wird, muss nach Alternativen gesucht werden. Daher ist es für ein IT-Sicherheitsunternehmen wie secunet enorm wichtig, nicht nur über aktuelle Entwicklungen und Innovationen informiert zu sein, sondern sie auch mit zu gestalten. So ist RFID ein Thema, bei dem sich der Markt nicht sicher ist, ob es nun flächendeckend eingesetzt werden sollte, oder doch nur für Nischenbereiche wirtschaftlich ist. Dazu haben wir ein Gespräch mit Prof. Dr. Frank Gillert, Experte für RFID geführt. Welche Zukunftsperspektiven er sieht und wie man diese Technologie absichert, lesen Sie auf Seite 4. stechnik und ihre Sicherheit wird in vielen weiteren Bereichen immer mehr zu einem entscheidenden Wettbewerbsfaktor. Wie zum Beispiel in unserem Geschäftsfeld Automotive: Eine herausragende Rolle spielt die Entwicklung von sicheren Lösungen, die unseren Kunden ganz neue Geschäftsmodelle eröffnen. Ab Seite 10 lesen Sie, wie und warum. Viel Spaß Kommunizierende Gegenstände sollen Prozesse optimieren Mit gutem Beispiel vorangehen Was ist eigentlich Der Täter kommt durch die Kamera GPKE-Verordnung der Bundesnetzagentur ganz einfach umgesetzt Operation am offenen Hirn EURO5-Norm fordert neue IT-Sicherheitsstrukturen in der Automobilbranche Neue Veranstaltungsreihe IT Security on Board Österreich entscheidet sich für secunet D so einfach wie , so sicher wie Papierpost EasyPASS Pilotprojekt zur Automatisierung der Grenzkontrolle Ist das e im epass echt? Sag mir, wo die Daten sind Dem Himmel so nah mit der SINA Virtual Workstation Satellitengestützte Kommunikation mit SINA SINA Anwendertag 2009 Exklusiv für SINA Anwender: das neue SINA Kundenportal Neue Veranstaltungsreihe Frühschicht Termine Ihr Rainer Baumgart 2

3 Business Security WestLB: Kerberos Single Sign-On verbindet Sicherheit mit Benutzerkomfort Zukunftssichere Lösung integriert Identity Management unter UNIX und Windows Fortsetzung von Seite 1 Die in den USA entwickelte Technologie Kerberos wurde mit Unterstützung von secunet bei der WestLB AG im UNIX-Umfeld implementiert. Das gesamte Projekt umfasste verschiedene Teilbereiche. Wichtige Aspekte waren die Zentralisierung des User Managements der UNIX-Systeme und der Aufbau der Single Sign-On- Infrastruktur. Das Ziel: die zentral gesteuerte, standardisierte Implementierung der Identity Management Policy auf den Systemen. Dabei haben die Verantwortlichen der WestLB AG großen Wert auf den Einsatz einer zukunftssicheren Technologie gelegt. Durch ein verteiltes User Management ergibt sich stets ein erhöhtes Risiko für das Auftreten von verwaisten Accounts. Nun erfolgt die Administration der Benutzeridentitäten zentral über das etablierte Active Directory, in dem bereits die Windows- Accounts der Anwender verwaltet werden. So können Nutzer schneller und flexibler eingerichtet, mit Rechten ausgestattet, gesperrt oder gelöscht werden. Des Weiteren kann mit der neuen Lösung eine Trennung von User Management und UNIX-System- Administration realisiert werden. On-System bietet hier die richtige Lösung. Mit der Entscheidung für Kerberos als zukunftssicheres System führt die WestLB AG eine Lösung ein, die über ein standardisiertes Protokoll verfügt und die von vielen Betriebssystemen (u. a. Windows sowie zahlreichen UNIX-Derivaten) und Applikationen unterstützt wird. Die Lösung arbeitet über ein Ticket-System, das quasi wie eine Eintrittskarte funktioniert. Diese erhält man, wenn man sich an seinem PC anmeldet. Mit dem Ticket geht man nun zu einem zentralen Verzeichnisdienst und lässt sich eine Service-Karte aushändigen, mit der man sich an der gewünschten Applikation ausweist ohne erneut Passwort oder PIN eingeben zu müssen. Die Sicherheit wird dabei über starke kryptographische Verfahren gewährleistet. Natürlich läuft dieser Prozess für den Nutzer unbemerkt im Hintergrund ab. Ein weiterer Vorteil der Lösung: Die Authentisierung im Netzwerk erfolgt verschlüsselt. Damit gehört die Übertragung von Passwörtern im Klartext der Vergangenheit an. Und glücklicherweise ist die technische Variante von Kerberos nicht mit Honigkuchen bestechlich wie das Original. Single Sign-On mit Kerberos Hauptbestandteil des Projekts war die Einrichtung eines geschützten und unkomplizierten Zugriffs für weit über Bankmitarbeiter aus Fach- und IT- Bereichen auf UNIX-basierte Applikationen. Ein Single Sign- Der Aufbau einer Single Sign-On-Infrastruktur unterstützt die Sicherheitsrichtlinien der WestLB AG. 3

4 Business Security Kommunizierende Gegenstände sollen Prozesse optimieren Expertengespräch zum Thema RFID und das Internet der Dinge Dr. Frank Gillert Dr. Frank Gillert hat Maschinenbau an der Technischen Universität Dortmund studiert. Nach seiner Zeit als wissenschaftlicher Mitarbeiter am Institut für Distributions- und Handelslogistik (IDH) war er in unterschiedlichen Managementfunktionen in der Industrie tätig. Seit 2005 ist er Inhaber der Unternehmensberatung UbiConsult in Berlin. Im Dezember 2008 nahm er einen Ruf an die Technische Fachhochschule Wildau im Fachgebiet Logistikmanagement/ Logistikcontrolling an. Dr. Frank Gillert ist Autor und Ko-Autor von Veröffentlichungen zum Thema RFID und Sicherheit wie z. B. RFID für die Optimierung von Geschäftsprozessen (Hanser 2007) und ist Mitglied in diversen Gremien und Fachbeiräten wie BITKOM, Omnicard, Cebit AutoID Forum und EuroID. Thomas Koelzer Vorstand secunet Große Handelskonzerne wie Walmart und Metro haben bereits vor einigen Jahren angekündigt, die Logistik-Kette und den Bezahlprozess durch den Einsatz von RFID revolutionieren zu wollen. Doch was verbirgt sich hinter dieser Technologie und dem Begriff Internet der Dinge? Welche Chancen und Risiken bietet es für die Optimierung von Geschäftsprozessen? secuview hat nachgefragt bei Dr. Frank Gillert, Inhaber von UbiConsult, und Thomas Koelzer, Vorstand von secunet. tion zwischen Objekten durch Übertragungstechnologien wie RFID ohne eine explizite Veranlassung durch den Menschen. Das bekannteste Beispiel ist der automatische Supermarkt: Beim Passieren einer Barriere kommunizieren die RFID-Tags an der Lebensmittelverpackung mit der Kasse, ohne dass der Kunde die Ware auf ein Band legen oder über einen Scanner ziehen muss. Das Internet der Dinge bezeichnet also eine hoch automatisierte, medienbruchfreie Kommunikation zwischen Gegenständen. Gillert: Zum Teil entwickelt sich das Internet der Dinge bereits um uns herum, ohne dass es uns bewusst ist. Handys synchronisieren sich automatisch mit dem PC auch ohne explizite menschliche Veranlassung. Die Geräte besitzen eine gewisse Intelligenz und können bestimmte Prozesse antizipieren. Das genannte Supermarkt-Szenario ist allerdings tatsächlich noch weit entfernt. secuview: Welche Geschäftsmodelle sind denn realistischer? secuview: Was bedeuten die Begriffe RFID und das Internet der Dinge? Gillert: RFID ist die Abkürzung für Radio Frequenz Identifikation. Dahinter verbirgt sich eine Wireless-Technologie zur Übertragung von Daten, ähnlich wie Bluetooth oder WLAN. Der Unterschied ist nur die geringere Reichweite. Das Internet der Dinge bezeichnet die intelligente Kommunika- Koelzer: RFID kennen wir in der Praxis vom elektronischen Reisepass: Der Abgleich der biometrischen Daten im Dokument mit denen des Reisenden erfolgt an der Grenze über genau diese Technologie. Solche sicheren Workflows werden künftig auch bei Objekten und Gebrauchsgegenstände etabliert werden. secuview: Wie weit ist die Technik denn heute schon mit dem Einsatz von RFID bei Objekten? Gillert: Es gibt konkrete Szenarien, die nichts mit einem Volumenmarkt wie dem Handel zu tun haben. Ein Beispiel ist die Luftfahrt. Hier entsteht jährlich ein Schaden von etwa zwei Milliarden Euro, weil falsche Ersatzteile geliefert werden. Wenn man hier durch den Einsatz von RFID Fälschungen und Fehler vermeiden kann, wäre das ein großer Schritt nach vorne. Koelzer: Das gleiche gilt für Bereiche wie Lifecycle-Manage- 4

5 Business Security ment, Anlagenbau oder die Logistik von hochwertigen Gütern. Die Einsparpotenziale sind hier enorm. secuview: Die Idee von RFID ist ja nicht neu. Seit über zehn Jahren diskutieren Experten über Einsatzmöglichkeiten. Warum ist in dieser langen Zeit so wenig passiert? Wie es scheint, gibt es ja offensichtlich interessante Geschäftsmodelle? Gillert: Es wird nach einer großen, globalen Lösung gesucht, nach der berühmten eierlegenden Wollmilchsau, wenn Sie so wollen. Der RFID-Tag muss einen großen Speicher für die Dokumentation haben, eine große Reichweite abdecken können und über ein Sicherheitssystem für die Authentifizierung verfügen. Dazu kommen spezielle physikalische Anforderungen. Dieser Anspruch steht der Realisierung häufig im Weg: Anstatt zunächst dorthin zu schauen, wo es bereits funktionierende Lösungen gibt, wird der globale Ansatz gewählt. Koelzer: Ein Lifecycle-Management, zum Beispiel von hochwertigen medizinischen Verbrauchsmaterialien, bedarf keiner globalen Standardisierung, wie es im Luftverkehr der Fall ist. Hier sollte die Industrie anfangen und im Kleinen eine Lösung erarbeiten. Funktioniert sie dort, kann sie später auf globale Prozesse ausgeweitet werden. Gillert: Das hängt ganz vom Einsatzgebiet und dem Wert der Waren ab. Wir sind uns sicher einig: ein Joghurtbecher hat keinen Sicherheitsbedarf. In der Luftfahrt sieht das natürlich schon ganz anders aus. Hier geht es um Menschenleben und Millionenbeträge, so dass Sicherheit als Thema deutlich relevanter wird. Konkret bedeutet das: wir müssen sicherstellen, dass nur Originalteile verwendet werden. Koelzer: Wichtig ist, dass das Thema Sicherheit von Anfang an berücksichtigt werden muss. Man kann nicht zuerst den Geschäftsprozess festlegen, eine RFID-Lösung konzipieren und sich dann fragen, ob man noch zusätzliche Sicherheit benötigt. Fortsetzung nächste Seite secuview: Kommen wir auf das Thema Sicherheit zu sprechen: Welche Sicherheit ist für RFID notwendig? 5

6 Business Security Fortsetzung von Seite 5 Allgemein gesagt gilt bei RFIDgestützten Prozessen zwischen Objekten der gleiche Grundsatz wie bei elektronischen Geschäftsprozessen zwischen Menschen: Haben sie eine gewisse Werthaltigkeit, weil zum Beispiel eine geldwerte Transaktion stattfindet, besteht auch ein Angriffspotenzial und somit die Notwendigkeit, für die Sicherheit Sorge zu tragen. secuview: Gibt es hier bereits Ansätze, wie eine Sicherheitslösung für RFID technisch aussehen kann? Gillert: Es gibt einen RFID-Chip, der ein asymmetrisches Verfahren verwendet, ähnlich einer Public-Key-Infrastruktur. So können sich Objekte gegenseitig sicher authentifizieren. Ganz wichtig bei einer Lösung ist die Praktikabilität: die Authentifizierung muss auf einfachstem Wege erfolgen, ohne zusätzliche Geräte. Wir brauchen also einfache, standardisierte Infrastrukturen, damit die Geschäftsmodelle realisierbar werden. secuview: Standards ist ein gutes Stichwort. Wie weit sind entsprechende Gremien hier? Gillert: Das Bundesamt für Sicherheit in der stechnik (BSI) hat bereits technische Richtlinien verfasst. Bisher zielten diese auf den Einsatz von «Den Joghurtbecher, der mit dem Kühlschrank kommuniziert, werden wir in den nächsten zehn Jahren nicht erleben. «RFID in elektronischen Pässen ab, also auf die Personenidentifikation. Zurzeit wird aber an einer Richtlinie für RFID in der Logistik gearbeitet. Es ist klar, dass man nicht alle Anwendungen sofort mit einer technischen Richtlinie erschlagen kann. So etwas muss praxisnah entstehen und das BSI ist auf einem guten Weg. Insbesondere für Nicht- Sicherheitsexperten sind Richtlinien und Checklisten eine große Hilfe bei der Entwicklung von sicheren RFID-Lösungen. secuview: Last but not least: Was ist Ihre Einschätzung zur Perspektive von RFID? Mit welchen RFID-Technologien müssen wir rechnen und was ist eher doch noch Vision? Gillert: Ich persönlich denke, den Joghurtbecher, der mit dem Kühlschrank kommuniziert, werden wir in den nächsten zehn Jahren nicht erleben. Aber bei hochwertigen Textilien wird der Einsatz von RFID schon früher Realität. Und dann nicht nur auf der Verpackung für die Logistik, sondern am Objekt selbst. In den nächsten ein bis zwei Jahren sehe ich eher die Nischenbereiche, wie die angesprochenen Beispiele Anlagenbau und Luftfahrt. In der Pharma-Industrie wird das Thema auch schon jetzt stark verfolgt, um die Supply- Chain zuverlässig überprüfen zu können. Wichtig ist, dass es ein ganzheitliches Sicherheitssystem gibt, eine funktionierende Infrastruktur und eine einfache Auswertbarkeit der Daten. Im Moment ist die Schwelle noch sehr hoch, RFID in der Praxis einzusetzen, weil das Verständnis fehlt und die Wirtschaftlichkeit noch nicht nachgewiesen ist. Aber wir sind dabei, das zu ändern. 6

7 Business Security Mit gutem Beispiel vorangehen secunet sichert eigenes Karriere-Portal mit Web Application Firewall (WAF) Der Schuster hat immer die schlechtesten Schuhe! Dieses Sprichwort hatte schon Gültigkeit, als die Begriffe IT, Computer und Internet noch gar nicht existierten. In der heutigen Zeit müsste man sich demnach fragen: Braucht die Unternehmensberatung selbst unternehmerische Beratung? Hat der Anbieter für Archivierungssoftware seine Dokumente ordentlich archiviert? Und sind die vertraulichen Daten eines IT-Sicherheitsunternehmens wirklich sicher? secunet ist sich der Verantwortung bewusst und setzt daher auf das eigene, bewährte Know-how: Die Standorte des Unternehmens sind über die Hochsicherheitslösung SINA vernetzt. Und auch bei neuen Kommunikationswegen wird Sicherheit ganz groß geschrieben: Das neue secunet Karriere-Portal wird mit einer Web Application Firewall zuverlässig vor unbefugten Zugriffen geschützt. heit eine besondere Beachtung geschenkt werden, betont Carsten Borkus, Bereichsleiter Interne EDV bei secunet. Und als IT-Sicherheitsunternehmen gehen wir mit gutem Beispiel voran. Insbesondere, da wir noch öfter als andere Firmen das Ziel von Angriffsversuchen sind. Deshalb haben wir uns für den Einsatz einer Web Application Firewall entschieden, um so die persönlichen Daten unserer Bewerber entsprechend zu schützen. Die mitgelieferten Sicherheitsfunktionen von Portal-Software sind für professionelle Angreifer leicht zu umgehen. Auch eine übliche Firewall kann keinen umfassenden Schutz bieten, da sie nur den Verkehrsfluss, nicht aber die Inhalte überwacht. Daher war die Entscheidung für eine spezielle Firewall, ausgerichtet auf die Absicherung von Web-Applikationen für secunet selbstverständlich. Die Integration des Schutzsystems war dank Überall da, wo Personen ihre vertraulichen Daten in einem Portal hochladen, muss der Sicherflexibler Schnittstellen unproblematisch. Innerhalb eines Tages wurde die Web Application Firewall installiert, die nun einen umfassenden Schutz für die sensiblen Daten der Bewerber bietet. von Uwe Demsky Telefon: Was ist eigentlich... eine Web Application Firewall? Eine Web Application Firewall ist der Türwächter für Ihr Web-Portal. Er bestimmt, wer das Portal betreten darf. Entscheidungsgrundlage ist dabei ein Buch voller Vorschriften, das er sich vorher durch die Beobachtung von erlaubtem und unerlaubtem Verhalten zusammenstellt. Wer sich nicht an diese Vorschriften hält, darf nicht hinein. Der Türwächter steht vor dem Portal, so dass die eigentliche Anwendung nicht an seine Bedürfnisse angepasst werden muss. Im Gegenteil: Er ist so pflegeleicht und flexibel, dass er jedes beliebige Portal ohne großen Lernaufwand bewachen kann. 7

8 Business Security Der Täter kommt durch die Kamera Penetrationstests decken unbekannte Schwachstellen in Unternehmensnetzwerken auf Kleine Schwachstellen mit großen Folgen Dieses reale Beispiel zeigt, dass vermeintlich kleine Schwachstellen das gesamte Unternehmensnetzwerk bis hin zum Unternehmen selbst gefährden können. Erfahrungswerten nach erlauben elf von 100 internen Systemen einem Angreifer direkten oder indirekten Zugriff. Häufig wird dabei nicht bedacht, dass nach einem erfolgreichen Angriff auf ein System auch bisher sichere Systeme verwundbar werden, da administrative Benutzer und deren Passwörter ausgelesen werden können, gibt Dirk Reimers, Sicherheitsspezialist von secunet, zu bedenken. Schwachstelle Kamera-LAN von Dirk Reimers Telefon: Wir überwachen derzeit unsere Außentüren mittels IP-Kameras. Ein Mitarbeiter kann diese Bilder über unser Netzwerk ansehen und auswerten. Wie könnte ein externer Angreifer dies nutzen, um an interne Daten zu gelangen? In etwa so wurde secunet von einem langjährigen Kunden beauftragt, die Anbindung seiner Kameras an das interne LAN auf Schwachstellen zu überprüfen. Als einzige stellte das Unternehmen, das nicht genannt werden möchte, ein Ethernet- Kabel mit dem Zugang zum Kamera-LAN bereit eine realistische Ausgangslage für Angreifer von innen und außen. Bereits zu Beginn der Analyse entpuppte sich die angeblich aufwändige Trennung des Kamera-LANs vom internen Netzwerk als simpel: ein Switch und die Nutzung unterschiedlicher IP- Adressbereiche sollten den nötigen Schutz bieten. Dass dies eine Fehleinschätzung war, zeigte sich schnell: Der secunet- Experte schloss einen Laptop an das Ethernet-Kabel des Kamera- LANs und erhielt sofort eine IP- Adresse mit direktem Zugang zum internen Unternehmensnetzwerk und somit auf alle vertraulichen Daten. Doch auch die Kameras selbst wurden durch das Eindringen des Spezialisten angreifbar: Mit gefälschten IP-Paketen konnte er sie problemlos deaktivieren. Die Überwachung wurde ohne weitere Warnmeldungen beendet, so dass Einbrecher das Gebäude unbemerkt hätten betreten können. Schutz vor unerlaubten Zugriffen auf das Unternehmensnetzwerk bietet eine umfassende Sicherheitsanalyse, mit der alle Schwachstellen identifiziert und anschließend beseitigt werden. Die Zugänge können dabei ganz unterschiedlich aussehen: Das Kamera-System ist ein außergewöhnliches Beispiel; oft erhalten die secunet-experten nur die Visitenkarte eines Mitarbeiters oder einen Log-In-Namen. Mit verschiedenen Tools und Tricks verschaffen sie sich so Zugang zu vertraulichen Unternehmensdaten. Auf dem gleichen Weg gelangen auch reelle Angreifer in das Netzwerk. Dieses Risiko ist vielen Geschäftsführern gar nicht bewusst. Übrigens: Der Auftraggeber hat die Kopplung des Kamera-LANs mit dem internen Netzwerk direkt nach dem Test unterbrochen. 8

9 Business Security GPKE-Verordnung der Bundesnetzagentur ganz einfach umgesetzt Die Stadtwerke Bonn setzen auf Komplettlösung von secunet Jörg Thomas, IT Administrator bei den Stadtwerken Bonn: Die Bundesnetzagentur verpflichtete 2008 alle Energieversorger bundesweit dazu, den elektronischen Rechnungsversand mit digitaler Signatur einzuführen. Zusätzlich haben wir mit einigen Geschäftspartnern vereinbart, die elektronischen Rechnungen verschlüsselt zu übertragen. Wir brauchten also eine Komplettlösung von einem Anbieter, der gemeinsam mit uns die Umstellung reibungslos durchführen konnte. Als einziges Unternehmen bot secunet uns diese Gesamtlösung an: Qualifizierte Signatur, Verschlüsselung und Projektleitung aus einer Hand und mit einem Ansprechpartner, der sich um alles gekümmert hat. Wir signieren unsere Rechungen nun durch die Lösung secunet multisign und verschlüsseln sie direkt im Anschluss mit einem System von Zertificon, einem Partner von secunet. Die IT-Experten des Unternehmens haben uns viele Aufgaben abgenommen: von der Installation, über die Schnittstellen zur Verschlüsselungslösung bis hin zur Inbetriebnahme. Und das Beste daran ist, dass die Lösung bereits nach zwei Tagen vollständig installiert war und wir sofort unsere Rechnungen elektronisch signieren und versenden konnten. Signieren können wir jetzt bereits hochverfügbar; in Zukunft folgt auch die Verifizierung mit Hochverfügbarkeit. So ist garantiert, dass unsere Tagesgeschäfte auch elektronisch ungestört weiterlaufen, also alle Rechnungen, die wir digital versenden und erhalten, bearbeitet werden können selbst, wenn mal ein Proxy ausfällt. von Roland Krüger Telefon: GPKE und GeLi: Stichtag 1. Oktober 2010 Die Bundesnetzagentur hat im Zuge der Liberalisierung des Energiehandels die IT der Energieversorger vor neue Aufgaben gestellt. Insbesondere die Festlegung verbindlicher Geschäftsprozesse (GPKE, GeLi) zur Geschäftpartneranbindung stellt neue Anforderungen an die Integrität und Vertraulichkeit bei der Marktkommunikation. Die Bundesnetzagentur hat die Frist zur Umsetzung auf den verlängert. Neben der verschlüsselten Nachrichtenübermittlung inklusive Transportsignatur sind beim Austausch der Netzentgelte (Invoic) die Anforderungen des Umsatzsteuergesetzes (UStG) zu beachten. Qualifizierte Signaturen ermöglichen dem Rechnungsempfänger die gesetzlich geforderten Nachweise für die Rechnungsdaten die Echtheit der Herkunft und Unversehrtheit des Inhalts zu erbringen und sichern so die Vorsteuerabzugsfähigkeit auch beim elektronischen Datenaustausch. 9

10 Automotive Operation am offenen Hirn Dank der Advanced Backend Security-Lösung verläuft alles ohne Risiken das Management des hierfür eingesetzten Schlüsselmaterials. ABSec ermöglicht dem Automobilhersteller, Sicherheitsmethoden wie Authentisierung, Signierung und Verschlüsselung also all-in-one vorzunehmen. Damit wird sichergestellt, dass nur der Gehirnspezialist persönlich die OP vornehmen darf und nicht der selbsternannte Schönheitschirurg. Zukünftig benötigt der Chirurg dank der Remote-Wartung nicht einmal mehr den Patienten vor Ort im OP-Saal. von Fortsetzung von Seite 1 Um Fahrzeugfunktionen freizuschalten, Fehlermeldungen nachzugehen oder Steuergeräte mit neuer Software zu versehen, führen Werkstätten und Hersteller gewissermaßen Operationen am offenen Gehirn durch. Der Kfz- Meister wird zum Chirurgen. Zukünftig benötigt er dank der Remote-Wartung nicht einmal mehr den Patienten vor Ort im OP-Saal. Die Advanced Backend Security-Lösung von secunet sorgt dafür, dass dieser Fernzugriff ohne Komplikationen verläuft. Kommunikationsnetz, an dem die Chirurgen angebunden sind, abgesichert werden. secunet bietet mit der Advanced Backend Security (ABSec) eine Lösung für die Absicherung dieser Kommunikationswege. Das Herzstück von ABSec ist der so genannte KeyCore. Er bietet Herstellern kryptographische Dienste an und übernimmt gleichzeitig ABSec wird auch den Ansprüchen an eine kosteneffiziente Lösung gerecht. Fahrzeughersteller, die so genannten OEMs, müssen nicht länger in eigene Entwicklungen investieren. Durch das lizenzbasierte System ABSec können sie ihre Kosten erheblich reduzieren. Das System ist modular aufgebaut und kann problemlos jeder Struktur mit beliebig vielen Kommunikationspartnern angepasst werden. ABSec ist ein erprobtes Produkt, das bereits erfolgreich bei OEMs eingesetzt wird. Kinderkrankheiten sind schon längst kuriert. Dr. Marc Lindlbauer Telefon: marc.lindlbauer@secunet.com Es existieren also Kommunikationswege in das Fahrzeug, um im Rahmen einer Online-Diagnose Steuergeräteinformationen abzufragen oder sogar zu verändern. Je mehr Marktteilnehmer wie zum Beispiel Werkstätten diese Wege nutzen können, desto angreifbarer und empfindlicher werden sie für Manipulationen. Motortuning ist nur ein Beispiel. Damit es durch unbefugte Angriffe nicht zu einer Gehirnwäsche oder gar zum Gehirntod des Fahrzeugs kommt, muss neben den Steuergeräten das komplette 10

11 Automotive EURO5-Norm fordert neue IT-Sicherheitsstrukturen in der Automobilbranche Die EURO5-Norm legt neben Emissionswerten von Fahrzeugen auch Zugriffsrechte für Werkstätten fest. Somit soll freien Werkstätten der Zugang zu Steuergeräteinformationen der Automobilhersteller ermöglicht werden. Um sicher zu stellen, dass nur autorisierte Werkstätten auf diese en zugreifen können, plant die Europäische Kommission eine zertifikatsbasierte Authentisierung zu etablieren. Der Tachosmart, der digitale Fahrtenschreiber, könnte als Vorbild für eine technische Infrastruktur dienen: Die Kommunikation zwischen Werkstätten und Fahrzeugherstellern würde demnach mit einer europaweiten Public-Key-Infrastruktur abgesichert werden, in der Zertifikate hinterlegt sind, so Dr. Marc Lindlbauer, Leiter Online Security Automotive bei secunet. Die zertifikatsbasierten Abläufe könnten ähnlich aussehen wie bei ELSTER, der Elektronischen Steuerklärung, an deren Umsetzung secunet maßgeblich mitgewirkt hat. Eine freie Werkstatt müsste sich nach diesem Modell registrieren, um ein Zertifikat zu erhalten. Dieses sendet sie dann an den Hersteller, um die relevanten en über das Fahrzeug zu erhalten. Das ist nur eine mögliche Absicherung, die wir als Sicherheitsexperten sehen. Wie die Lösung letztendlich genau aussehen wird, ist noch in der Diskussion. Hersteller- und Werkstättenverbände diskutieren derzeit über die Umsetzung der IT-Sicherheitsanforderungen aus der EURO5-Norm in Brüssel. Zum Thema Sicherheit tagt in diesem Rahmen eine eigenständige Arbeitsgruppe. Neue Veranstaltungsreihe IT Security on Board Stellvertreter deutscher Automobilhersteller trafen sich in München, um gemeinsam mit secunet über das sicher vernetzte Fahrzeug zu diskutieren Car2Car-Kommunikation, das vernetzte Auto, Fernwartung gewaltige Schlagwörter, mit denen sich Automobilhersteller momentan intensiv auseinandersetzen. Bei diesen Themen darf die IT-Sicherheit nicht fehlen. Doch wie viel Sicherheit wird tatsächlich benötigt? Und was genau muss geschützt werden? Um diese Fragen zu diskutieren, hat secunet die neue Veranstaltungsreihe IT Security on Board ins Leben gerufen. Herstellerübergreifend werden hier nicht nur aktuelle, sondern insbesondere zukünftige IT-Sicherheitsthemen der Automobilbranche diskutiert. Der Workshop richtet sich an Abteilungsleiter der Automobilbranche, die sich mit der IT-Sicherheit im Fahrzeug befassen. Wenn Sie sich angesprochen fühlen und Interesse an dem Workshop haben, senden Sie uns eine an Der nächste Termin findet am 20. November in München statt. unter Bei Interesse am Workshop senden Sie uns eine an: 11