IT-Sicherheit als Wegbereiter der. Digitalisierung. Dr. Gerhard Schabhüser. EU-Datenschutz- Grundverordnung. Bundesgerichte

Transkript

1 Das Kundenmagazin Ausgabe 1/2017 IT-Sicherheit als Wegbereiter der Digitalisierung Dr. Gerhard Schabhüser Gastbeitrag des BSI-Vizepräsidenten: Deutschland braucht eine starke IT-Sicherheitsbranche EU-Datenschutz- Grundverordnung Worauf sollten sich Behörden und Unternehmen jetzt einstellen? Bundesgerichte Digitalisierung und IT-Sicherheit im Rechtswesen

2 Inhalt Verschlüsselung hochbeschleunigt: Kryptographische Höchstleistung auf drei Netzwerkebenen 22 Enabler 20 Tempo statt Stau: Client-Virtualisierung als für die Digitalisierung der Industrie National 04 Dr. Gerhard Schabhüser: Deutschland braucht eine starke IT-Sicherheitsbranche 06 Prozessbeschleuniger bei der Grenzkontrolle 08 Ralf Wintergerst: Niemand kommt am Thema Cybersicherheit vorbei 12 Gegen Passbild-Betrug 13 Strenge Buchführung für einarmige Banditen 14 Bundesgerichte: Im Zweifel für die IT-Sicherheit 15 SINA H und S Ausstattung für das Ulmer Kommando International 16 Der Datenschutz wird europäisch 18 Elektronische Identitäten: Hochtechnologie im hohen Norden Technologien & Lösungen 20 Client-Virtualisierung als Enabler für die Digitalisierung der Industrie 22 Kryptographische Höchstleistung auf allen Ebenen 24 Vorsicht vor VoIP-Betrug! 25 Sichere Authentisierung im Web 25 Wie im Film und doch ganz anders 26 Zuwachs für die Testing-Familie 27 Autos knacken für die Sicherheit SINA Tipps & Tricks 26 Sicheres WLAN unterwegs Wissenschaft 28 Wissen Sie nicht, wer ich bin? Kurz notiert 31 Peter Kraaibeek: Gedankenaustausch führt zu Innovation 32 Pentests in Serie : Rund SINA Workstations S ausgeliefert 33 CeBIT 2017: IT-Sicherheit als Enabler 34 Know-how und Speed-Dating: SINA Anwendertage 2017 Termine 35 Aktuelle Veranstaltungen 2 secuview 1/2017

3 Editorial das erste Halbjahr 2017 liegt hinter uns und es hat deutlich gezeigt, dass in Sachen IT-Sicherheit vielfach noch eine Kluft zwischen Problembewusstsein und Handeln besteht. Das gilt insbesondere für die Industrie und kritische Infrastrukturen. Auf der einen Seite erkennen immer mehr Verantwortliche die wachsende Bedrohungslage und sehen die Notwendigkeit, sich dagegen zu wappnen. Diese Entwicklung ist in aktuellen Studien dokumentiert, spiegelt sich in einer Vielzahl von Medienberichten wider und lässt sich auch auf Messen wie der CeBIT 2017 beobachten, wo die IT-Sicherheit auf besonders reges Interesse stieß. Zudem durften wir an unserem dortigen Messestand erneut viele hochrangige Persönlichkeiten aus Wirtschaft und Politik begrüßen, darunter Bundeskanzlerin Dr. Angela Merkel, was uns natürlich besonders gefreut hat. Auf der anderen Seite wird immer wieder deutlich, dass es noch großen Nachholbedarf gibt, vor allem in der Privatwirtschaft. Ernüchternd war beispielsweise der unnötige Erfolg der Schadsoftware WannaCry. Von diesem eher simplen Angriff, der eine eigentlich längst geschlossene Sicherheitslücke ausnutzte, ließen sich viele Unternehmen kalt erwischen darunter auch solche, die zu den kritischen Infrastrukturen gehören, wie Krankenhäuser oder Telekommunikations- und Logistikkonzerne. Auch andere Ransomware wie Petya konnte in diesem Jahr bereits einige Treffer landen. Dabei hilft gerade Unternehmen vielleicht die Erkenntnis, dass IT-Sicherheit heutzutage mehr sein kann als nur ein notwendiges Übel. Vielmehr sorgen intelligent aufgesetzte IT-Sicherheitskonzepte in vielen Fällen für vertrauenswürdige und gleichzeitig leistungsfähigere Prozesse und erfüllen damit das zentrale Effizienzversprechen der Digitalisierung. Die Technik, mit der sich solche Konzepte umsetzen lassen, ist vorhanden und wird zum Teil schon seit vielen Jahren im behördlichen Umfeld erfolgreich angewendet. Aus gesamtgesellschaftlicher Perspektive scheint noch ein weiterer Aspekt auf: Wie Dr. Gerhard Schabhüser, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik, in seinem secuview Gastbeitrag erläutert, brauchen wir eine starke IT-Sicherheitsbranche in Deutschland. Denn mehr digitale Souveränität bedeutet weniger technologische Abhängigkeit in Sicherheitsfragen und damit einen besseren Selbstschutz für Deutschland und Europa. Arbeiten Industrie und Behörden zudem partnerschaftlich zusammen, lassen sich die aktuellen und zukünftigen Herausforderungen bewältigen. Wenn wir die wachsende Verwundbarkeit unserer Gesellschaft nicht hinnehmen wollen, ist konkretes Handeln gefragt. So baut etwa die Bundeswehr derzeit den neuen Organisationsbereich Kommando CIR (Cyber- und Informationsraum) auf. Dem Organisationsbereich gehören aktuell bereits rund Soldatinnen und Soldaten an. Investitionen in ähnlicher Größenordnung werden auch für weitere Sicherheitsbehörden sowie für die Industrie notwendig werden. Ich wünsche Ihnen viel Spaß beim Lesen der neuen Ausgabe der secuview und eine schöne zweite Jahreshälfte! Ihr Dr. Rainer Baumgart secuview 1/2017 3

4 National Digitale Souveränität: Deutschland braucht eine starke IT-Sicherheitsbranche von Dr. Gerhard Schabhüser, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) L eistungsfähige und sichere Kommunikationssysteme sind das zentrale Nervensystem der Gesellschaft im 21. Jahrhundert. Kaum ein Bereich kommt ohne zuverlässige und sichere IT- und Kommunikationssysteme aus. Sie sind essenziell für eine funktionierende Wirtschaft und für viele weitere Bereiche unserer eng vernetzten Gesellschaft. Sie sind Voraussetzung für Mobilität, Datenaustausch sowie Kapital-, Waren- und Dienstleistungstransfer. Sie sorgen für die Vernetzung von medizinischen Geräten in einem Operationssaal und sind Voraussetzung für die Industrie 4.0, die Energiewende oder den Betrieb von kritischen Infrastrukturen. Jeder Schritt der Vernetzung vergrößert gleichzeitig jedoch die Angriffsfläche; die Zahl der IT-Angriffe steigt von Jahr zu Jahr. Sie werden immer professi- oneller, ihre Konsequenzen immer folgenschwerer: Erfolgreiche Angriffe auf Kommunikationssysteme, Krankenhäuser und Unternehmen, auf demokratische Institutionen wie den Bundestag, auf Medien und mediale Kampagnen wie einen Wahlkampf zeigen, wie verwundbar unsere Gesellschaft geworden ist. Kriminelle, terroristische und nachrichtendienstliche Akteure nutzen den Cyberraum als Feld für ihr Handeln. IT-Sicherheit ist damit eine der zentralen Voraussetzungen der Informations- und Kommunikationstechnologie geworden. Eine erfolgreiche Digitalisierung wird es ohne Cybersicherheit nicht geben. Die Akteure dieser Angriffe sind international organisiert, sie profitieren von der globalen Vernetzung und den Tarnungsmöglichkeiten des Internets. Ihre Spur ist oftmals schwer zu verfolgen und stößt 4 secuview 1/2017

5 National schnell an nationale Grenzen. Die Offenheit und Ausdehnung des Cyberraums erlaubt es ihnen, verschleierte Angriffe durchzuführen und dabei verwundbare Opfersysteme als Werkzeuge für Angriffe zu missbrauchen. Häufig kann bei Angriffen weder auf die Identität noch auf die Hintergründe des Angreifers geschlossen werden. Angesichts dieser Entwicklungen gilt es, die Widerstandsfähigkeit Deutschlands gegen Cybergefahren jeglicher Art zu erhöhen. Mit dem BSI gibt es in Deutschland seit über 25 Jahren ein staatliches Kompetenzzentrum für Fragen der Cybersicherheit, dessen fachliche Expertise weit über den Bereich der öffentlichen Verwaltung hinaus anerkannt ist. Das BSI als die nationale Cybersicherheitsbehörde gestaltet Informationssicherheit in der Digitalisierung für Staat, Wirtschaft und Gesellschaft. Dazu gehört, Akteure in Staat, Wirtschaft und Gesellschaft auf nationaler und internationaler Ebene noch enger zu verzahnen, da nur ein gemeinsamer Ansatz zum Erfolg führt. Es ist zu beobachten, dass private Akteure immer stärker in die Maßnahmen der Cybersicherheit einbezogen werden, etwa im Rahmen von Cybersicherheitsübungen, öffentlich-privater Partnerschaften oder von Aufklärungskampagnen, um Bevölkerung und KMU für die Gefahren des Internets zu sensibilisieren. Diese Formen der Kooperation zwischen den IT-Sicherheitsbehörden und der Wirtschaft müssen systematisch und kontinuierlich ausgebaut werden. Sie bilden eine wesentliche Grundlage für erfolgreiche Maßnahmen im Kampf gegen Cyberkriminalität. Um dies zu erreichen, brauchen wir eine starke nationale und europäische IT-Sicherheitsbranche. Die Vertrauenswürdigkeit zentraler Sicherheitslösungen von deutschen und europäischen Anbietern ist ein wichtiges Alleinstellungsmerkmal im internationalen Wettbewerb. Der Erhalt und die Herstellung technologischer Souveränität in Europa und in Deutschland im Bereich der Schlüsseltechnologien müssen deshalb auch weiterhin im Fokus stehen. n Über den Autor: Dr. Gerhard Schabhüser trat am 1. Januar 2017 sein Amt als Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) an. Er ist bereits seit 1991 beim BSI beschäftigt: Zunächst war sein Arbeitsschwerpunkt die Entwicklung und Evaluierung kryptographischer Verfahren. Danach leitete er den Fachbereich Kryptographie und wissenschaftliche Grundlagen. Von 2005 bis Ende 2016 war Schabhüser als Abteilungsleiter zuständig für die Themenfelder Kryptographie, wissenschaftliche Koordinierung und technische Verschlusssachensicherheit. Dr. Schabhüser wurde 1961 im westfälischen Warendorf geboren. Nach dem Abitur studierte er Mathematik an der Westfälischen Wilhelms-Universität Münster. Von 1987 bis 1990 promovierte er an der Universität Münster und der Fernuniversität Hagen. secuview 1/2017 5

6 National Prozessbeschleuniger bei der Grenzkontrolle Am Flughafen Frankfurt am Main erprobt die Bundespolizei derzeit den Einsatz von Selbstbedienungsterminals, mit denen Reisende aus Drittstaaten selbstständig die Erfassung ihrer Reisedokumente und biometrischen Daten vornehmen sowie Einreisebefragungen elektronisch durchführen können. Erste positive Erfahrungen zeichnen sich ab I m Terminal 2 des Flughafens Frankfurt am Main haben Drittstaatsangehörige derzeit die Wahl: Sie können entweder direkt zum Grenzkontrollschalter gehen und am herkömmlichen Einreiseverfahren teilnehmen oder zunächst eines von vier Selbstbedienungsterminals (Kiosksystemen) nutzen, die momentan dort aufgestellt sind. Dabei handelt es sich um den secunet easykiosk, den die Bundespolizei im Rahmen eines Pilotprojekts gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesverwaltungsamt einsetzt. Das Projekt wurde mit Blick auf die Initiative Smart Borders der Europäischen Kommission eingerichtet, die darauf abzielt, die Kontrolle der Schengen-Außengrenzen auch in Zukunft möglichst sicher und effizient zu gestalten. Geplant sind hierfür ein intelligentes, IT-gestütztes Ein- und Ausreisesystem (Entry/Exit- System oder EES) für Drittstaatenangehörige sowie ein Reisegenehmigungssystem (European Travel Information and Authorisation System, ETIAS) für visumbefreite Drittstaatsangehörige. Ein erstes Pilotprojekt zu Smart Borders in Deutschland fand im Jahr 2015 statt. Damals stellten die beteiligten Behörden erwartungsgemäß fest, dass die geplanten EES-Prozesse die Zeiten für die notwendige Grenzkontrolle deutlich erhöhen werden. Gleichzeitig ging man davon aus, dass sich dieser negative Effekt mit Hilfe sogenannter Prozessbeschleuniger d. h. durch eine Teilautomatisierung ausgleichen oder umkehren lässt und die Grenzkontrolle somit weiterhin sicher, schnell und komfortabel gestaltet werden kann. Verkürzte Kontrollzeiten Hier setzt das zweite, aktuelle Pilotprojekt an: Mit dem secunet easykiosk testet die Bundespolizei eine automatisierte Lösung, die es Reisenden erlaubt, die Dokumentenprüfung und die Erfassung biometrischer Daten zur Identitätsprüfung selbstständig vorzunehmen. Zu diesem Zweck enthält der easykiosk einen Passleser, einen Fingerabdruckscanner, eine Gesichtsbildkamera, eine Kamera zur Irisaufnahme und einen Touchscreen, an dem die Reisenden digitale Fragebögen ausfüllen und intuitiv durch den gesamten Prozess geleitet werden. Wenn die Daten erfasst sind, begeben sich die Reisenden zum eigentlichen Grenzkontrollschalter, wo die Beamten die am secunet easykiosk erhobenen Daten nochmals kurz überprüfen. 6 secuview 1/2017

7 Für die zentrale Konfiguration und Verwaltung der Kiosksysteme hat die Bundesdruckerei ihr Border Control System (BCS) erweitert. Damit setzen secunet und die Bundesdruckerei ihre erfolgreiche Zusammenarbeit aus dem Projekt EasyPASS, bei dem secunet easykiosk Systeme an deutschen Flughäfen zum Einsatz kommen, fort. Die Auswertung des Smart Borders Pilotprojekts ist noch nicht abgeschlossen, aber erste positive Tendenzen sind zu erkennen. Die wichtigste Erkenntnis: Die Tests bestätigen, dass die automatisierte Vorerfassung der Daten die Kontrollzeit am eigentlichen Grenzschalter deutlich verkürzt. Auch die Qualität der Grenzkontrolle am Schalter erhöht sich, da sich die Beamten durch den Wegfall der Datenerhebung auf nicht-technische Aspekte, die eigentliche semantische Prüfung des Reisevorganges, konzentrieren können. Sprachbarrieren fallen weg Die bisherigen Erfahrungen zeigen, dass die Selbstbedienungs-Kiosksysteme nicht nur von den Beamten, sondern auch von den Reisenden gut angenommen werden. Auch die Bedienung scheint kein Hindernis für die Reisenden darzustellen: Die Quote erfolgreicher Kiosknutzungen, in denen der Prozess nicht vorzeitig abgebrochen wurde, lag in den ersten beiden Testphasen bei deutlich mehr als 90 % und damit über den Erwartungen. Ein Aspekt, der vor Projektbeginn als eher nebensächlich gewertet worden war, entpuppte sich im Test als echter Nutzbringer: die digitale Erfassung des Einreise-Fragebogens. Die Reisenden können die Daten in ihrer Landessprache eingeben, wodurch Sprachbarrieren mit dem Grenzkontrollbeamten, die früher mitunter nur umständlich aufgelöst werden konnten, entfallen. Aufgrund des positiven Feedbacks der Beamten der Bundespolizei werden die Kiosksysteme jetzt länger eingesetzt als geplant. n Mehr Informationen: Eyck Warich eyck.warich@secunet.com secuview 1/2017 7

8 National Niemand kommt am Thema Cybersicherheit vorbei Ralf Wintergerst ist Vorsitzender der Geschäftsführung von Giesecke+Devrient (G+D) und seit 4. Mai Aufsichtsratsvorsitzender der secunet Security Networks AG. Im Interview mit secuview spricht er über die Schwerpunkte der G+D Unternehmensgruppe, seine Sicht auf das Geschäft der secunet und erläutert, warum die Cyberattacke WannaCry ein Weckruf für die Industrie sein muss Herr Wintergerst, als CEO von G+D und Aufsichtsratsvorsitzender der secunet Security Networks AG bekleiden Sie zwei wichtige Funktionen für secunet. Wie blicken Sie auf das Unternehmen? Wintergerst: Zuallererst halte ich die secunet für eine große Erfolgsgeschichte. Sie steht für 20 Jahre IT-Sicherheit auf allerhöchstem Niveau. Und die Bedeutung des Geschäfts wird weiter zunehmen in Deutschland, aber auch darüber hinaus. Weltweit besteht eine große Nachfrage nach absolut zuverlässiger IT-Sicherheit und nach entsprechender Beratungsleistung. Zudem gibt es ein wachsendes Bewusstsein dafür, dass Behörden und Unternehmen sich gegen Angriffe von Hackern schützen müssen. Was sonst passieren kann, das hat man anhand des jüngsten Vorfalls von Cyberkriminalität auf erschreckende Art und Weise beobachten können. Sie beziehen sich auf die kürzlich erfolgte Cyberattacke WannaCry, bei der weltweit über Computer von Unternehmen, kritische Infrastrukturen und Behörden mit Schadsoftware angegriffen wurden? Wintergerst: Ja, es hat in den letzten Jahren einige vergleichbare Angriffe gegeben, aber WannaCry ist für viele eine Art Weckruf. Dabei hätte es überhaupt nicht so weit kommen müssen. Wir haben in Deutschland die notwendige IT-Sicherheitstechnologie, um uns vor solch einem Angriff wirkungsvoll zu schützen. Sie kann ihren Zweck aber nur im Einsatz 8 secuview 1/2017

9 erfüllen. Niemand kommt am Thema Cybersicherheit vorbei vor allem Unternehmen müssen sich dessen noch stärker bewusst werden. Ich denke dabei in erster Linie an den Mittelstand und an all jene Industrieunternehmen, die sich mitten im digitalen Vernetzungsprozess befinden. Industrieanlagen benötigen Schutz, genau wie ein Rechner zu Hause oder im Büro. Sehen Sie IT-Sicherheit auch über das Geschäft der secunet hinaus als ein Wachstumsfeld für ganz G+D? Wintergerst: Definitiv, wir erkennen darin ein großes Potenzial für das gesamte Unternehmen. Durch die secunet sind wir bereits heute im Behördengeschäft gut aufgestellt. Auch unser Wissen im Hinblick auf Sicherheitselemente im Massenmarkt wollen wir künftig immer stärker in anderen Bereichen einsetzen. Vor allem für Anwendungen zur Absicherung der Industrie 4.0 und in der Machine-to-Machine- Kommunikation. Hier stellen wir unseren Kunden beispielsweise mit Secure Industrial Visibility eine Komplettlösung für Industriemaschinen zur Verfügung, die Systeme wirksam gegen Wirtschaftsspionage und Cyberangriffe schützt. Dabei profitieren wir in der Unternehmensgruppe auch von der Vorreiterrolle der secunet, die mit ihrer Expertise und ihren Produkten hohes Ansehen >>> Im Interview: Ralf Wintergerst ist seit 1. November 2016 Vorsitzender der Geschäftsführung von Giesecke+Devrient (G+D), einem international führenden Konzern für Sicherheitstechnologie mit Hauptsitz in München. Seit 4. Mai 2017 ist Wintergerst Aufsichtsratsvorsitzender der secunet Security Networks AG, an der Giesecke+Devrient als Mehrheitsaktionär mit rund 79 % beteiligt ist. Bei G+D arbeiten insgesamt über Beschäftigte daran, dass Bürger, Unternehmen und Staaten weltweit auf ein größtmögliches Maß an Sicherheit vertrauen können, wenn es um ihre Identitäten, das Bezahlen oder Verbindungen geht. Wintergerst kam 1998 zu G+D und war in verschiedenen Funktionen im Geschäftsbereich Banknote (heute Currency Technology) tätig, dessen Leitung er 2013 übernahm. Als Vorsitzenden der Geschäftsführung treiben ihn insbesondere die Themen Cyber Security, intelligente Automatisierung und digitale Transformation um dort sieht er für den Konzern große Entwicklungsmöglichkeiten. secuview 1/2017 9

10 National am Markt genießt. Wir achten darauf, Überschneidungen der Leistungsspektren sowie Wettbewerb zwischen secunet und G+D Geschäftsbereichen auszuschließen. Im Geschäft von G+D werden zwei Welten unter einen Hut gebracht, die physische und die digitale. Wo setzen Sie Ihre Schwerpunkte für die nächsten Jahre? Wintergerst: Wir haben insgesamt drei übergeordnete Themenfelder, auf die wir den Fokus legen: Cyber Security habe ich bereits erwähnt. Zusätzlich sehen wir nachhaltige Wachstumsmöglichkeiten in der intelligenten Automatisierung, vor allem entlang des gesamten Bargeldkreislaufs, und der digitalen Transformation, also der zunehmenden Vernetzung in allen Bereichen. Besonders wichtig ist es mir dabei aber, Folgendes zu betonen: Es geht uns nicht Mit unseren Sicherheitstechnologien sorgen wir auch dafür, dass ein internationales Miteinander fruchtbar und friedlich funktioniert. nur um ein rein quantitatives Mehr an Geschäft. Vielmehr wollen wir unser Portfolio in diesen Bereichen fortlaufend qualitativ weiterentwickeln und neue Technologien und Dienstleistungen in neuen Märkten etablieren. Wurde Giesecke+Devrient aus diesem Grund neu aufgestellt? Wintergerst: Seit Anfang des Jahres arbeitet G+D in einer neuen Struktur mit vier rechtlich eigenständigen Unternehmensbereichen: G+D Currency Technology, G+D Mobile Security, Veridos und secunet. Von dieser neuen Aufstellung erwarte ich mir mehr unternehmerische Handlungsfreiheit und größere Flexibilität. Unsere Unternehmensbereiche können schneller agieren, näher am Kunden operieren und noch besser auf dessen Anforderungen eingehen. Die starke Position, die sich die secunet etwa im Behördengeschäft erarbeitet hat, ist ein gutes Beispiel dafür. Mit Giesecke+Devrient verbinden viele Menschen vor allem ein physisches Produkt: die Banknote. Wie sehen Sie die Entwicklung in diesem Bereich? Wintergerst: Die Banknote ist in jeder Beziehung ein Hochtechnologieprodukt. In ihr stecken 165 Jahre Erfahrung und Know-how so lange wie es G+D gibt. Bargeld ist weltweit das Zahlungsmittel Nr. 1 und wird uns, wenn man die stabilen Zuwachsraten des weltweiten Bargeldvolumens verfolgt, noch sehr lange erhalten bleiben. Zudem ist die Banknote mitnichten ein einfaches, analoges Produkt: Modernste Technologie kommt zum Einsatz, um sie fälschungssicher zu machen und um den Bargeldkreislauf intelligent zu automatisieren sowie stetig sicherer zu machen. Technologien und Lösungen von G+D werden global eingesetzt. Glauben Sie, dass sich der Trend einer zunehmenden Internationalisierung vor dem Hintergrund wachsender nationalstaatlicher Tendenzen abschwächen oder sogar umkehren könnte? Wintergerst: Bei G+D haben wir grundsätzlich eine globale Sicht der Dinge. Wir sind in 32 Ländern vertreten und haben Kunden in aller Welt. Unabhängig von politischen Entwicklungen wissen und schätzen sie, dass wir in der Nähe sind, die Märkte kennen und sie kompetent beraten. Wichtig ist mir aber auch, zu betonen, dass Freiheit und Sicherheit Hand in Hand gehen. Offenheit sowohl im physischen als auch im digitalen Sinne sollte nicht bedeuten, die Sicherheit zu vernachlässigen. Deswegen sorgen wir mit unseren Sicherheitstechnologien auch dafür, dass ein internationales Miteinander fruchtbar und friedlich funktioniert. n 10 secuview 1/2017

11 Blickschutzfilter Der leicht anzubringende Blickschutzfilter schützt wirkungsvoll vor unberechtigten Seitenblicken. Für den Nutzer direkt vor dem Bildschirm wird alles weiterhin klar und deutlich angezeigt. Filter sind passend für Notebooks und Monitore erhältlich. Kensington Sicherheitsschloss Das Kensington Sicherheitsschloss von Lenovo bietet ein zusätzliches Maß an Sicherheit, indem Sie Ihre SINA Workstation an einem stationären Objekt per stabilem Kabel anschließen. Executive Ledertragetasche Die ThinkPad Notebooktasche sieht nicht nur besonders edel aus, sie ist durch die smarte Inneneinteilung auch äußerst praktisch und schützt Ihre SINA Workstation vor den Härten des mobilen Alltags. WEITERE INFORMATIONEN ERHALTEN SIE VON: Lukas Ickerott Key Account Manager Public Sector Lenovo (Deutschland) GmbH Annika Schulz Inside Sales Public Sector Lenovo (Deutschland) GmbH

12 National Gegen Passbild-Betrug Wer einen neuen Personalausweis oder ein anderes hoheitliches Identitätsdokument mit Lichtbild beantragen wollte, brachte früher selbst ein Passfoto zum Bürgeramt mit. Doch dieses Verfahren birgt Risiken: Beim sogenannten Face Morphing etwa verschmelzen Kriminelle die Gesichtsbilder mehrerer Personen zu einem neuen Bild. Ein Identitätsdokument mit diesem Bild kann dann nicht nur von einer, sondern von mehreren Personen zur Authentifizierung durch biometrische Identifizierungssysteme verwendet werden. Solche manipulierten Gesichtsbilder sind für Behördenmitarbeiter nur schwer als Täuschung zu erkennen. Doch die Betrugsmasche kann durch den Einsatz einer Speed Capture Station, eines biometrischen Ausweisautomaten, mittels Live- Aufnahmeverfahren zuverlässig verhindert werden. Die Speed Capture Station der Firma Speed Biometrics GmbH erfasst aber nicht nur das Gesichtsbild: Bürger können hier jegliche zur Beantragung hoheitlicher Identitätsdokumente notwendigen biometrischen Daten wie auch Unterschrift und Fingerabdrücke selbst erfassen. Dieser Vorgang dauert nur drei bis fünf Minuten. Durch das Verfahren wird die Beantragung von Personalausweisen, Reisepässen, Aufenthaltstiteln und EU-Führerscheinen nicht nur sicherer, sondern auch deutlich beschleunigt und vereinfacht. Für die Behörde reduziert sich die Bearbeitungszeit, und der Bürger profitiert durch mehr Komfort, geringere Kosten und weniger Aufwand. Die Erfassung der biometrischen Daten sowie deren Qualitätsprüfung auf dem Terminal erfolgen mit secunet biomiddle, einer Middleware für biometrische Systeme und elektronische Identitätsdokumente (eid), die secunet gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt hat. Sie ermöglicht in verschiedenen Biometrie- oder eid-anwendungen den modularen Einsatz von biometrischen Systemkomponenten und Ausweislesegeräten. Die vom BSI zertifizierte Speed Capture Station ist bereits in über 50 Kommunen in Betrieb. Allein im Jahr 2016 verzeichnete Speed Biometrics einen Zuwachs von mehr als 45 % bei den Installationen. Inzwischen ist die Speed Capture Station schon in 30 % der deutschen Großstädte im Einsatz. Es werden dabei alle wichtigen Fachverfahren der Ausweisbeantragung unterstützt. Insbesondere in Ausländerbehörden ist zudem die umfangreiche Sprachauswahl von Vorteil. n Mehr Informationen: Michael Schwaiger michael.schwaiger@secunet.com 12 secuview 1/2017

13 National Strenge Buchführung für einarmige Banditen Der deutsche Glücksspielmarkt macht mit einem Jahresvolumen von knapp 13 Mrd. Euro (2015)* einen nicht unerheblichen Teil der Freizeitwirtschaft aus. Der Großteil dieses Marktes ist strikt reguliert: Die Spielverordnung (SpielV) etwa regelt Details des Geschäfts mit Geldspielautomaten und limitiert unter anderem Einsätze und Gewinne. Zur Kontrolle sind die Betreiber verpflichtet, Informationen über tatsächlich gezahlte Einsätze, Gewinnausschüttungen und Kasseninhalte zu sammeln. Eine aktuelle Neuerung der Spielverordnung verbindet diese Vorschrift mit weiteren Auflagen und stellt die Betreiber damit vor eine anspruchsvolle technische Herausforderung: Ab sofort müssen sie die Daten manipulationssicher ablegen und unter anderem zweifelsfrei nachweisen können, an welchem Spielautomaten und zu welchem Zeitpunkt die Daten jeweils erzeugt wurden. Diese Auflagen lassen sich durch eine Public-Key- Infrastruktur (PKI) erfüllen: Jeder Spielautomat wird mit einer Smartcard ausgestattet, die ein Schlüsselpaar zum Signieren der Transaktionsdaten enthält. Zu diesem Schlüsselpaar werden geräte- und bauartspezifische Zertifikate ausgestellt. Im Bedarfsfall kann der Betreiber nun die signierten Transaktionsdaten zusammen mit dem aktuellen zugehörigen Zertifikat des Geräts zur Prüfung an die jeweils zuständige Aufsichtsbehörde übergeben. Über eine kundenspezifische HTTP-basierte Schnittstelle kann die Ausstellung der Geldspielgerätezertifikate direkt im bestehenden Warenwirtschaftssystem des Automatenherstellers initiiert werden. Dies ermöglicht eine reibungslose Integration in bestehende Arbeitsabläufe. Realisieren lässt sich der beschriebene Ansatz mit der secunet eid PKI Suite die noch einen Zusatzgewinn liefert: Sie verfügt über einen CA-Kern, der nach dem CIMC-PP (Certificate Issuing and Management Components Protection Profile) für Common Criteria EAL 4+ zertifiziert ist, was eine Abnahme der Lösung durch die zuständige Behörde erleichtert. Dieses Szenario zeigt einmal mehr, wie flexibel die PKI als Sicherheitsinfrastruktur eingesetzt werden kann: Auch fernab typischer Anwendungsfälle wie etwa der sicheren Verwaltung und Kontrolle elektronischer Identitäten in hoheitlichen Dokumenten ist sie auf der Gewinnerstraße. n * Vgl. Handelsblatt Research Institute, 2017: Der Glücksspielmarkt in Deutschland. Mehr Informationen: Andreas Hellrung andreas.hellrung@secunet.com secuview 1/

14 National Bundesgerichte: Im Zweifel für die IT-Sicherheit Der Justiz wird oft eine eher konservative Einstellung gegenüber aktuellen technischen Entwicklungen unterstellt. Doch bereits seit einigen Jahren vollzieht sich auch im Rechtswesen eine umfassende Digitalisierung. Prominentestes Beispiel ist die schrittweise Einführung der elektronischen Gerichtsakte oder e-akte : ein durchaus bedeutender Umbruch, der jahrhundertealte Prozesstraditionen revolutioniert. sind Stichwort: richterliche Unabhängigkeit, muss ein sicherer Zugriff auf das Behördennetzwerk auch jederzeit von unterwegs aus gewährleistet werden, und die Rechner müssen im ausgeschalteten Zustand vollständig geschützt sein. Zudem sollen neue IT-Lösungen den sich ändernden Arbeits- und Lebensweisen von Justizmitarbeitern erhöhte Mobilität, Home-Office Rechnung tragen und gleichzeitig die Produktivität erhöhen. Das digitale Arbeiten modernisiert die Gerichte, führt aber auch zu neuen Herausforderungen in Sachen IT-Sicherheit. Vor allem gilt es, die IT-Infrastrukturen so aufzustellen, dass der Verlust oder Missbrauch sensibler richterlicher Daten verhindert wird. Da Richter nicht an Arbeitszeiten und -orte gebunden Viele bedeutende Gerichte, darunter das Bundesverwaltungsgericht, der Bundesfinanzhof und der Bundesgerichtshof, setzen die Sichere Inter-Netzwerk Architektur (SINA) ein, um geschütztes digitales Arbeiten zu ermöglichen. Die SINA Workstation sorgt als Krypto-Client mit Zwei-Faktor-Authentisierung und Festplattenverschlüsselung für das nötige hohe Sicherheitsniveau sowohl bei stationärem als auch bei mobilem Gebrauch. Gleichzeitig bietet sie hohen Komfort, denn die Nutzer bewegen sich in ihrer gewohnten Arbeitsumgebung, die als virtualisiertes Gastsystem realisiert ist. An den genannten Bundesgerichten wird SINA sowohl von Richtern als auch von nicht-richterlichem Personal genutzt beispielsweise von Verwaltungsangestellten oder wissenschaftlichen Mitarbeitern. Dabei konnte in manchen Fällen die Anzahl der physischen Arbeitsplatz-PCs reduziert werden, da eine SINA Workstation mehrere unterschiedlich eingestufte Arbeitsplätze ersetzen kann. n Mehr Informationen: Marcel Göhler marcel.goehler@secunet.com 14 secuview 1/2017

15 SINA H und S Ausstattung für das Ulmer Kommando Das Bundesamt für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr (BAAINBw) hat secunet mit der Lieferung einer größeren Anzahl von SINA Workstations und SINA L3 Boxen bis Ende 2017 beauftragt. Die SINA Komponenten sind für die IT-Ausstattung des Multinationalen Kommandos Operative Führung / Multinational Joint Headquarters Ulm der Bundeswehr bestimmt. Das Ulmer Kommando ist eine multinational besetzte Dienststelle der Streitkräftebasis. Es ist darauf ausgerichtet, im Auftrag der Vereinten Nationen, der NATO oder der EU jederzeit einsatzbereit und schnell verlegbar die Führung von weltweiten Krisenmanagementeinsätzen zu übernehmen. Die militärstrategische und militäroperative Führung von EU-Battlegroups hat sich zum Markenzeichen des Kommandos entwickelt. Zertifiziert ist es zur Führung von Operationen multinationaler Streitkräfte aus Heer, Luftwaffe, Marine und spezialisierten Kräften mit einer Stärke von bis zu Soldaten. Die zu liefernden SINA H Komponenten ermöglichen die sichere Bearbeitung und Übertragung klassifizierter Daten der Einstufungen bis einschließlich GEHEIM / NATO SECRET / SECRET UE. Der Beschaffungsauftrag beinhaltet schwerpunktmäßig neben der Multi-Session-fähigen SINA Workstation H Client III auch die neue leistungsstarke SINA Workstation H R RW11, die auf einer gehärteten Notebook-Plattform basiert. Darüber hinaus umfasst die Beauftragung auch Ausstattungsanteile mit SINA S für die Verarbeitung von VS-NfD. Der zweistellige Millionen-Euro-Betrag ist die bislang größte Beauftragung, die secunet als Einzelauftrag einwerben konnte. n Mehr Informationen: Dr. Michael Sobirey michael.sobirey@secunet.com secuview 1/

16 International Der Datenschutz wird europäisch Die Zeit drängt. Unternehmen und die meisten Behörden müssen ab dem 25. Mai 2018 die EU-Datenschutz-Grundverordnung (DSGVO) anwenden und bis dahin alle Anforderungen vollständig umgesetzt haben. Dies gelingt am besten mit einem integrierten Datenschutz- und Informationssicherheits-Management Durch die neue EU-Verordnung kommen auf alle Stellen, die personenbezogene Daten verarbeiten, gesteigerte Anforderungen zu. Diese betreffen die Organisation und Verfahren zur Umsetzung des Datenschutzes und die Maßnahmen zur Datensicherheit. Über den gesamten Lebenszyklus von Daten und datenverarbeitenden Verfahren muss Rechtskonformität sichergestellt werden. Verstärkte Rechenschafts- und Nachweispflichten zwingen zu einer jederzeit aktuellen, vollständigen und nachvollziehbaren Dokumentation aller Verfahren, Bewertungen, Maßnahmen, Vorfälle etc. Auch die Auftragsdatenverarbeiter werden nun stärker in die Pflicht genommen. Die öffentliche Aufmerksamkeit für den Datenschutz wächst ebenso schnell wie die Risiken, die durch eine immer umfangreichere Datenverarbeitung entstehen. Durch die DSGVO kommen zudem massiv steigende Bußgeldrisiken auf die Datenverarbeiter zu. Gleichzeitig werden die Rechtsschutzmöglichkeiten der Betroffenen gestärkt. Spätestens jetzt ist also der richtige Zeitpunkt gekommen, um ein Datenschutzmanagementsystem (DSMS) einzurichten. Hierbei ist es sinnvoll, das DSMS mit anderen Managementsystemen Hand in Hand zu errichten bzw. auf einem bereits vorhandenen Informationssicherheitsmanagementsystem (ISMS) ob nach ISO oder auf der Grundlage des vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten IT-Grundschutzes aufzubauen. Die DSGVO weist bereits den Weg zu einem integrierten Managementsystem: Die neuen Vorschriften verfolgen einen risiko- und prozessorientierten Ansatz. Stellen, die personenbezogene Daten verarbeiten, müssen eine Datenschutzorganisation besitzen, für alle Verarbeitungen von personenbezogenen Daten eine Risikobetrachtung vornehmen und darauf fußend angemessene Sicherheitsmaßnahmen nach Stand der Technik ergreifen, um Vertraulichkeit, Integrität, Verfügbarkeit der Daten und Belastbarkeit der Systeme sicherzustellen. Dies ist kein einmaliger Vorgang. Die DSGVO verlangt ein Verfahren zur regelmäßigen Überprüfung und Evaluierung der Wirksamkeit der Sicherheitsmaßnahmen. Da Datenschutz auf Dauer sicherzustellen ist, sind also kontinuierlich Verbesserungsmaßnahmen zu ergreifen. 16 secuview 1/2017

17 Auf bekannte und bewährte Aspekte des ISMS kann und sollte zurückgegriffen werden. So können Dopplungen, Mehraufwände und Widersprüche vermieden und Synergien genutzt werden, etwa beim Risikomanagement, bei Audits, Sensibilisierungsmaßnahmen und der Dokumentation. Bis Mai 2018 ist noch einiges zu tun: Unter anderem sind alle Datenverarbeitungen auf ihre Vereinbarkeit mit den neuen Vorgaben zu überprüfen, Organisation und Prozesse anzupassen, Risikoanalysen und gegebenenfalls Datenschutz-Folgenabschätzungen durchzuführen, aktualisierte technisch-organisatorische Maßnahmen zu implementieren, Kontrollen vorzunehmen, Verträge anzupassen, Verantwortliche zu sensibilisieren und Mitarbeiter zu schulen. Dies alles dem Datenschutzbeauftragten aufzubürden, geht über seine Pflichten und Möglichkeiten weit hinaus. Für die umfassende Behandlung aller Aspekte sollte ein Projekt mit ausreichenden Ressourcen aufgesetzt werden. Und es bedarf eines ganzen Teams, unter anderem unter Einbeziehung des Informationssicherheitsbeauftragten. Auch Hersteller von IT-Produkten sollten sich auf die DSGVO einrichten, obschon sie nicht zu den direkten Adressaten der Verordnung zählen. Denn Letztere werden nur solche Hard- und Software einsetzen können (Stichwort: data protection by design and by default), mit der die Vorgaben des Datenschutzrechts eingehalten werden können. secunet berät Unternehmen und Behörden bei der Entwicklung eines auf die DSGVO abgestimmten Datenschutz- und Informationssicherheitsmanagements. n Mehr Informationen: Dr. Manuel Cebulla (Division Kritische Infrastrukturen) manuel.cebulla@secunet.com Mario Tönse (Division Öffentliche Auftraggeber) mario.toense@secunet.com secuview 1/

18 Elektronische Identitäten: Hochtechnologie im hohen Norden Einige nordeuropäische Staaten modernisieren derzeit ihre eid-infrastrukturen, um die innere Sicherheit weiter zu stärken und gleichzeitig den Reisekomfort für ihre Bürger zu erhöhen. Zwei Beispiele sind Norwegen und Island 18 secuview 1/2017

19 International Norwegen: Identitätskarte feiert Premiere F ür den Herbst 2018 ist die Einführung der ersten norwegischen ID-Karte geplant. Bisher fungierte der Reisepass als einziges nationales Identitätsdokument. Die neue Karte wird eine elektronische Identität (eid) enthalten, die mit drei Zertifikaten ausgestattet ist je ein Zertifikat zur Signatur, zur Authentisierung und zur Verschlüsselung. Die bereits bestehende Public-Key-Infrastruktur (PKI) für die sichere Ausgabe und Prüfung elektronischer Reisepässe und Aufenthaltstitel (European Residence Permit) wird nun um eine PKI für die nationale ID-Karte erweitert. Hierbei setzt die norwegische Polizei erneut auf die secunet eid PKI Suite. Diese wird sowohl während der Produktion der ID-Karten für die Erstellung der eid-zertifikate als auch für das Management dieser Zertifikate über deren gesamten Lebenszyklus eingesetzt. Island: Mehr Tempo bei der Grenzkontrolle Der isländische Flughafen Keflavik verzeichnet stetig wachsende Passagierzahlen und wird häufig als Drehscheibe für Interkontinentalflüge zwischen Europa und Nordamerika genutzt. Mit neuen, automatisierten Grenzkontrollsystemen von secunet wird für Reisende der Kontrollprozess komfortabler und schneller: Als Teil einer Kooperation zwischen Isavia, dem Betreiber des Flughafens Keflavik, der nationalen Polizeibehörde Islands und der Polizeiinspektion Sudurnes installiert secunet zwölf egates und nimmt sie in Betrieb. Die egates, von denen sechs bereits im Einsatz sind, werden Umsteige- sowie Ein- und Ausreisezeiten verkürzen. Die egates gleichen von der Bauart her den Systemen, die bereits an den passagierstärksten Flughäfen in Deutschland und am Flughafen in Prag im Einsatz sind. Die secunet easygates überprüfen hoheitliche Dokumente umfassend optisch wie elektronisch auf ihre Echtheit, lesen das elektronische Gesichtsbild der Reisenden aus und vergleichen die biometrischen Daten mit einem Live- Bild. Besonderes Merkmal der secunet egates ist die in die Ausgangstür der Schleuse integrierte Kamera. Sie befindet sich in der Laufrichtung der Reisenden und wird dadurch intuitiv immer richtig bedient. Grenzpolizisten überwachen den gesamten Prozess und können sich auf die Reisenden konzentrieren, bei denen weitere Überprüfungen notwendig sind. secuview 1/

20 Technologien & Lösungen Client-Virtualisierung als Enabler für die Digitalisierung der Industrie Auf deutschen Straßen sorgen täglich Staus und Unfälle für jede Menge Unmut. Der Grund für die Misere ist, dass jeder Teilnehmer sein Verhalten und seinen Fahrweg individuell bestimmen kann. Auch durch die Digitalisierung in der Industrie erhofft man sich vielfach mehr Individualität bedeutet das dann ebenfalls Chaos, Stau und Unmut? Nicht unbedingt: Mit aktueller Technik, die im behördlichen Einsatz vielfach bewährt ist, können Industrieunternehmen einen individuellen Kurs fahren, ohne mit Kollisionen rechnen zu müssen. Die entscheidende Stellschraube ist der richtige Sicherheitsansatz. Für eine wirklich sichere Fahrt von A nach B wäre eine abgeschlossene Fahrstrecke ohne Kreuzungen ideal, auf der zudem nur ein Fahrzeug unterwegs ist. Möchte der Fahrer ein anderes Ziel erreichen, muss er das Fahrzeug verlassen und in ein anderes Auto auf einer ganz anderen Strecke umsteigen. In der Industrie oder in kritischen Infrastrukturen sind Netzwerke im sicherheitstechnischen Idealfall tatsächlich genau so implementiert: Für jede Anforderung existiert ein eigenes Netz, das zudem in keinerlei Verbindung mit anderen Netzen steht, erst recht nicht mit dem Internet. Konsequente Trennung ist das ideale Konzept gegen digitale Bedrohungen. Die Folge eines solchen Szenarios ist, dass jeder, der Zugriff auf eines der abgeschlossenen Netze benötigt, einen eigenen Zugang dafür betreibt typischerweise einen eigenen Arbeitsplatz. Wer mit mehreren Netzen zu tun hat, muss zwischen mehreren Arbeitsplätzen pendeln. So entsteht ein Drehstuhl-Arbeitsplatz, einhergehend mit wenig Effizienz, wenig Mobilität und wenig Interoperabilität. Daher stellt sich die Frage: Ist es heute technisch möglich, eine angemessen sichere Netztrennung mit Mobilität und Effizienz im Sinne der Digitalisierung zu verbinden? Damit aus einer vollständigen Trennung eine intelligente Separierung wird, kommt es darauf an, die Trennstelle sauber zu kontrollieren. Mit der Virtualisierungstechnologie haben wir eine solche Möglichkeit bereits zur Hand die sich zudem in vielen Bereichen bereits bewährt hat: Im Serverbetrieb gibt es kaum noch Instanzen, die nicht auf Virtualisierung setzen. Zudem lässt sich damit ein angemessen hohes Sicherheitsniveau erreichen. Doch im Hinblick auf Client-Systeme hat sich dieses Denken noch nicht durchgesetzt: Der Ansatz, verschiedene Systeme virtualisiert auf einem Client zu betreiben, ist noch selten anzutreffen. Dabei reicht die Rechenleistung aktueller Systeme dafür völlig aus. Client-Virtualisierung eröffnet die Möglichkeit, nicht mehr zwischen verschiedenen realen Arbeitsplätzen wechseln zu müssen. Stattdessen gibt es nur noch einen einzigen Arbeitsplatz, der auch mobil realisiert werden kann. Der oben erwähnte Drehstuhl hat ausgedient! Unter dem Strich stehen Kosteneinsparungen und eine Steigerung der Effizienz. 20 secuview 1/2017

21 Der entscheidende Vorteil dieses Vorgehens: Die Sicherheitsmaßnahmen greifen direkt an der Virtualisierungsschicht. Die einzelnen, parallel ausgeführten virtuellen Arbeitsplätze können ganz nach Einsatzszenario gestaltet werden. Die sichere Separierung wird im Sinne der Streckenführung im eingangs gewählten Bild nur anhand der Virtualisierung und Verschlüsselung im Unterbau etabliert. Diese Komplexität ist heute einfach und sicher zu handhaben: Mit der SINA Workstation S ist beispielsweise ein Client verfügbar, mit dem sensible Daten unterschiedlicher Netze in verschiedenen Gastsystemen separiert voneinander in parallelen Sessions verarbeitet werden können und der dabei den sicherheitskritischen Anforderungen der Industrie genügt. Die zugrunde liegende Technik ist seit vielen Jahren bewährt, da die SINA Workstation im Behördenumfeld zur sicheren Bearbeitung eingestufter Daten eingesetzt wird, und zwar in speziellen Produktvarianten bis zur Geheimhaltungsstufe GEHEIM. secunet folgt beim Aufbau sicherer Netzwerke im Industrieumfeld dem Konzept der secunet security infrastructure. Dieser Ansatz zeigt strukturell auf, wie je nach Use Case trotz Vernetzung eine klare Separierung etabliert werden kann. Die SINA Workstation S beispielsweise bietet hohe Sicherheit vom Client bis zum definierten Endpunkt (Fernwartungsszenario) und das gleichzeitig für mehrere Netze. Virtualisierungstechnologien, ergänzt durch sinnvolle weitere Sicherheitsmaßnahmen, schaffen hier also neue Möglichkeiten für eine digitalisierte kritische Industrie. Übertragen auf den Straßenverkehr würde der Ansatz bedeuten, man könnte gleichzeitig mit mehreren Autos auf unterschiedlichen Streckennetzen unterwegs sein und zusätzlich kontrolliert das Streckennetz wechseln aber ohne mit anderen ungewollt in Kontakt zu treten. Das heißt: Effizienz und Sicherheit ohne Unmut und Stau. n Es liegen also sowohl der technologische Ansatz als auch fertig verfügbare Produkte vor, um die Digitalisierung in kritischen Bereichen gleichermaßen sicher und effizient zu gestalten. Dabei kommt es darauf an, eine sicherheitstechnische Separierung derart umzusetzen, dass eine Vernetzung für Szenarien wie Fernwartung, Datenaustausch oder den sicheren Zugriff auf das Internet aufgrund der definierten und kontrollierbaren Schnittstellen sicherheitstechnisch bewertbar ist. Mehr Informationen: Markus Linnemann markus.linnemann@secunet.com secuview 1/

22 Technologien & Lösungen Kryptographische Höchstleistung auf allen Ebenen Um die exponentiell zunehmenden Bandbreitenanforderungen in neuen Netzinfrastrukturen auch perspektivisch mit VS-NfD zugelassenen Verschlüsselungslösungen absichern zu können, sind neue Technologien gefragt. secunet hat eine Produktinitiative gestartet, um den Kunden innerhalb der nächsten zwei Jahre mit SINA einen Zugang zu neuen Leistungsbereichen in allen Netzwerkschichten (Layer 3 / IPsec, Layer 2 / Ethernet und Layer 1 / DWDM) mit Verschlüsselungsleistungen von bis zu 100 Gbit / s anbieten zu können Neue SINA Lösung für Layer 1 Mit der Lösung ADVA FSP 3000 SINA L3 Box S inside als Teil des neuen VS-NfD-zugelassenen SINA L1 S Portfolios erhält SINA erstmals Zuwachs auf Netzwerkebene 1. Die neue Lösung adressiert höchste Leistungsanforderungen im Rechenzentrumsbetrieb für Behördenund Industriekunden. Sie basiert auf der erprobten WDM-Technologie (Wavelength Division Multiplexing) der Firma ADVA Optical Networking, welche bereits eine VS-NfD-Zulassung zur verschlüsselten Übertragung von Diensten auf Basis von 100 Gbit / s-wellenlängen hat. ADVA Optical Networking ist ein weltweit agierender Hersteller von Lösungen für optische Netze mit Firmensitz in München und führender Innovator für optische Verbindungsnetzwerke im Rechenzentrumsumfeld. Die Integration von SINA in die ADVA FSP 3000 vereint die Vorteile des SINA Schlüsselmanagements mit der Wellenlängenmultiplex- und Verschlüsselungstechnologie von ADVA Optical Networking in einem Produkt. Rechenzentren können damit sicher über DWDM- und CWDM-Technologie gekoppelt werden. Die Lösung unterstützt ein breites Spektrum an Schnittstellenprotokollen wie Ethernet und Fibre Channel und kann in eine bestehende oder neue SINA Architektur integriert werden. Die bewährte Kopplung der SINA Workstation S mit einer in die ADVA FSP 3000 integrierten SINA L3 Box S ermöglicht sowohl bestehenden als auch neuen Kunden eine flexible und VS-NfD-gesicherte Verbindung für ein Remote-Management der optischen Übertragungstechnologie. Die gemeinsame Lösung erhöht die Flexibilität in der Konzeption neuer Netzarchitekturen mit 22 secuview 1/2017

23 besonderen Sicherheits- und Leistungsanforderungen und begünstigt die einfache Integration in bestehende SINA Systeme. Nach erfolgreichem Abschluss der Pilotierungsphase im September 2016 vereinbarten ADVA Optical Networking und secunet, die Integration beider Welten in Serienreife zu überführen, was für das dritte Quartal 2017 geplant ist. Layer-2-Verschlüsselung als neues Modell für Rechenzentren Auch auf Netzwerkebene 2 steht der Vorstoß in eine neue Leistungsklasse an. Voraussichtlich ab dem vierten Quartal 2017 wird die SINA L2 Box S mit einem Datendurchsatz von 40 Gbit / s verfügbar sein. Die bisher im deutschen Markt erhältlichen Layer-2-Verschlüsselungslösungen erreichten diese Leistung nur durch viermalige Kopplung von 10 Gbit / s Verschlüsselungsleistung. Die neue Lösung wird das Portfolio der SINA L2 Boxen S 50M, 1G und 10G ergänzen und sich wie gewohnt durch das SINA Management konfigurieren und steuern lassen. Wie alle SINA L2 Komponenten hat secunet die neue Lösung gemeinsam mit der atmedia GmbH mit Sitz in Saarbrücken entwickelt, einem der Marktführer im Bereich der Breitband-Verschlüsselungssysteme. für anspruchsvolle Netzwerke liefert. Zentraler Baustein der neuen Layer-3-Lösung ist der Innova IPsec Netzwerkadapter von Mellanox. Im Zuge der gemeinsamen Entwicklungsarbeit der beiden Unternehmen wurde der Innova Netzwerkadapter in den LINUX Kernel integriert. Layer-3-Verschlüsselung hochbeschleunigt Auf der CeBIT 2017 zeigte secunet einen Prototypen der SINA L3 Box S, der eine weltweit einzigartige IPsec-Verschlüsselungsleistung von 200 Gbit / s Durchsatz erreichte. Dies beweist, dass die SINA L3 Box S den zukünftigen Anforderungen in Netzwerken mit großen Datenmengen und den Bandbreiten in realen oder virtuellen Rechenzentren gewachsen ist. Im ersten Schritt wird die bewährte SINA L3 Box S mit VS-NfD Zulassung im Jahr 2018 in einer neuen Version mit über 20 Gbit / s Verschlüsselungsleistung Produktreife erlangen. Dazu kooperiert secunet mit dem Halbleiterhersteller Mellanox, der seit mehr als 18 Jahren Hochgeschwindigkeitskomponenten Durch eine Lastverteilung vom Hauptprozessor auf den Netzwerkadapter werden Durchsatzraten erreicht, die die bisherige Leistung einer SINA L3 Box S um ein Vielfaches steigern können. Der Mellanox Innova IPsec Netzwerkadapter erfüllt den steigenden Bedarf an Sicherheit und Encryption by Default, unterstützt integrierte Krypto- und Sicherheitsprotokolle bei der Verschlüsselung von Daten und spart dabei wertvolle Prozessorzeit. n Mehr Informationen: David Ristow david.ristow@secunet.com secuview 1/

24 Vorsicht vor VoIP-Betrug! V oice-over-ip (VoIP)-Telefonie ist in vielen Unternehmen und Behörden Standard. Mehr noch als bei der klassischen Telefonie über ISDN sind dabei Sicherheitsbedenken angebracht: Das häufig zum Verbindungsaufbau genutzte Session Initiation Protocol (SIP) ist anfällig für bestimmte Angriffsformen, insbesondere für sogenannte VoIP-Fraud-Attacken, bei denen Kriminelle eine IP-Telefonanlage hacken und diese dann automatisiert teure, betrügerische Servicerufnummern anrufen lassen. Der finanzielle Schaden kann immens sein, während die Täter meist unentdeckt bleiben. Weitere Gefahren sind Datendiebstahl oder Denial-of-Service (DoS)-Angriffe, die Telefonanlagen zeitweise lahmlegen können. Mit secunet SBC lässt sich sicherer Schutz für die Telefone sowie für das interne Netz realisieren. Dazu verbindet die Lösung einen klassischen Session Border Controller, der IP-Telefonnetze koppelt, indem er beispielsweise SIP-Anfragen entgegennimmt und für das passende Zielsystem übersetzt, mit einer hochsicheren Firewall sowie Fraud- Detection- und -Prevention-Funktionalität. Damit wird VoIP-Telefonie sicher, Angriffe werden wirksam abgewehrt. Zusätzlich ermöglicht die Lösung auch eine verschlüsselte Anbindung von Außenstellen oder mobilen Teilnehmern an das interne Telefonnetz. secunet SBC wird als Hardware-Box ausgeliefert, die sich einfach in bestehende VoIP- Infrastrukturen integrieren lässt. n Mehr Informationen: Carsten Fischer carsten.fischer@secunet.com 24 secuview 1/2017

25 Technologien & Lösungen Sichere Authentisierung im Web Der Trend zu Web- und Cloud-Anwendungen führt zu einer Vielfalt von Portalen und Webdiensten, bei denen eine Nutzeranmeldung erforderlich ist. secunet protect4use ist eine benutzerfreundliche und sichere Authentisierungslösung, die Anwender mittels software- oder hardwarebasierter Token identifiziert. Die Lösung arbeitet plattform- und browserunabhängig und erlaubt alle gängigen Token bis hin zum Smartphone des Anwenders. Mit secunet protect4use können schriftformwahrende Vorgänge für Verwaltung, Bürger und Unternehmen gesetzeskonform abgebildet werden. Authentisierungsanfragen werden lokal auf dem Gerät des Anwenders verarbeitet und durch den protect4use Server überprüft. Das Ergebnis wird dem Webdienst anschließend übermittelt. Multi-Faktor- und Multi-Kanal-Authentisierungen sowie Transaktionsfreigaben sind möglich, so dass secunet protect4use auch bei hohen Sicherheitsanforderungen, etwa beim Online-Banking, eingesetzt werden kann. Die Lösung kann problemlos in Systemlandschaften integriert und angepasst werden. Es besteht keine Abhängigkeit von Browser, Betriebssystem oder Plattform das bedeutet maximale Flexibilität für den Dienstanbieter und besten Komfort für den Anwender bei höchster Sicherheit. n Mehr Informationen: Gregor Boeckeler gregor.boeckeler@secunet.com Wie im Film und doch ganz anders Jeder hat schon einmal im Film gesehen, wie ein Einbruch in die Leitwarte eines Kraftwerks funktioniert: Gestylte Protagonisten bereiten sich akribisch vor, sammeln Informationen aus Müllcontainern, hören per Richtfunk Mitarbeiter ab und entführen Kinder, um an bestens gehütete Zugangsinformationen zu gelangen. Danach wird aufwändig dargestellt, wie Firewalls umgangen und Systeme übernommen werden. Manchmal ist die Realität jedoch viel banaler. Vor Kurzem erhielt das secunet Pentest-Team einen ganz ähnlichen Auftrag. Einer der Pentester versuchte das Nächstliegende: Er rief den diensthabenden Schichtleiter in der Leitwarte an, gab sich als Techniker eines bekannten Unternehmens aus und teilte mit, er müsse kurz auf die Steuerung der Anlage zugreifen, da ein Sensor ungewöhnliche Werte gemessen habe. Ohne weitere Überprüfung teilte der Schichtleiter einen Session-Key mit. Dieser Schlüssel öffnete dem Pentester über ein im Internet verfügbares Web-Interface die digitalen Pforten zur Leitwarte. Das Beispiel zeigt: Nicht nur IT-Systeme haben Schwachstellen. Auch Menschen, die während ihrer Arbeitszeit unter hohem Druck Entscheidungen treffen müssen, stellen ideale Angriffsziele dar Stichwort Social Engineering. Awareness-Schulungen und definierte Prozesse schaffen hier Abhilfe. n Mehr Informationen: Dirk Reimers dirk.reimers@secunet.com secuview 1/

26 Technologien & Lösungen Zuwachs für die Testing-Familie Aktuell sind mehr als 490 Mio. elektronische Reisepässe im Umlauf* Tendenz steigend. Voraussetzung für deren Einsatz ist die Interoperabilität von elektronischen Identitätsdokumenten (eid) und den Lesegeräten, die an internationalen Grenzen zum Einsatz kommen. Auch für die Nutzung der Funktionen von eid-karten (z. B. Personalausweisen) in E-Government- und E-Business-Anwendungen ist Interoperabilität ausschlaggebend. Seit September 2016 hat sich das Produktportfolio der secunet in diesem Umfeld erweitert: Der secunet GlobalTester ist ein Werkzeug zum Testen und Analysieren von sicheren eid-protokollen. Die derzeitige Produktfamilie umfasst Testwerkzeuge für elektronische ID-Karten (z. B. Personalausweise) und Reisepässe sowie für die dazugehörigen Lesegeräte. Das Angebot richtet sich an Kunden aus der gesamten eid-wertschöpfungskette, von Chipherstellern über Applikationsentwickler, Systemintegratoren und Nationaldruckereien bis hin zu Testhäusern. Neue Anwendungsmöglichkeiten des GlobalTesters gehen weit über Chipkarten hinaus und erstrecken sich auf jegliche Art von zu evaluierenden Protokollen. Während das secunet Golden Reader Tool (GRT) als Referenzimplementierung zum Auslesen von elektronischen Pässen dient und möglichst alle auf dem Chip gespeicherten Daten auslesen soll, prüft der GlobalTester die einzelnen Implementierungen im Detail. Somit ergänzen sich die beiden Produkte in idealer Weise gegenseitig. n * Vgl. die Website der Internationalen Zivilluftfahrtorganisation ICAO, Stand Mai 2017: PKD/Pages/ePassportBasics.aspx. Mehr Informationen: Holger Funke holger.funke@secunet.com SINA Tipps & Tricks Sicheres WLAN unterwegs Internetzugänge an öffentlichen Hotspots sind insbesondere für Geschäftsreisende praktisch, die ihre Wartezeit am Flughafen oder im Hotel effektiv nutzen wollen. Das ist auch mit der SINA Workstation problemlos möglich: Nutzer können sich mit Hilfe der SINA Hotspot App unterwegs an einem solchen Hotspot anmelden und anschließend per VPN-Zugang sicher auf das firmen- oder behördeneigene Intranet zugreifen. Nach dem Start der App wird die Landingpage des Hotspots automatisch aufgerufen. SINA Apps sind einzelne Anwendungen in der SINA Umgebung, die als separater Arbeitsplatz in einer SINA Workstation gestartet werden können und so deren hohes Sicherheitsniveau wahren. Sie erfüllen festgelegte Aufgaben, z. B. einen Messenger-Dienst oder eben eine sichere WLAN-Hotspot-Anmeldung, und können parallel zu anderen Funktionen der SINA Workstation genutzt werden. Die Hotspot App ist dabei optimal für die Nutzung unterwegs ausgelegt: Sie ist leicht zu bedienen und hat nur einen geringen Ressourcenbedarf. Erhältlich ist sie über den gewohnten secunet Kundenansprechpartner. n Mehr Informationen: David Hajok david.hajok@secunet.com 26 secuview 1/2017

27 Technologien & Lösungen Autos knacken für die Sicherheit Mit dem kontinuierlich größer werdenden IT-Anteil im Auto wächst auch die für Kriminelle nutzbare Angriffsfläche. Daher werden Pentests im Automotive-Bereich immer wichtiger. secunet, bereits seit mehr als 15 Jahren mit Sicherheitskonzepten und -lösungen für die Automobilbranche aktiv, betreibt seit zwei Jahren auch ein eigenes Labor für Embedded-Pentests. Dort suchen Experten nach Angriffsmöglichkeiten in Steuergeräten und Fahrzeugbordnetzen. Gefundene Schwachstellen werden anschließend hinsichtlich ihrer Ausnutzbarkeit und möglicher Auswirkungen bewertet und Gegenmaßnahmen aufgezeigt. Neben einzelnen Steuergeräten testen die Spezialisten auch Funktionen im Systemverbund oder führen Angriffe auf ein ganzes Fahrzeug aus. Dabei können sie die Hardware direkt angreifen oder vorhandene Schnittstellen ausnutzen, egal ob kabelgebunden (z. B. OBD, JTAG, Ethernet) oder drahtlos (z. B. BT LE, WLAN, GSM). de der Angriff immer noch Mio. Jahre dauern. Da die Pentester aber in der Embedded Hardware eine schlechte Implementierung der Passwort-Verifikation vorfanden über ein Oszilloskop war erkennbar, wie viele richtige Zeichen bereits gefunden worden waren, konnten sie den Zahlenraum für den Angriff auf 752 Versuche reduzieren und das Passwort ohne Weiteres knacken. Der Einsatz des Verfahrens Secure String Compare oder ein Vergleich der Hash-Werte der Passwörter würde in diesem Fall Abhilfe schaffen. n Mehr Informationen: Harry Knechtel harry.knechtel@secunet.com Ein exemplarischer Fall, den secunet bei seinem Workshop IT Security on Board am 7. April 2017 in München präsentierte, demonstriert die Effektivität von Pentests: Bei einem Embedded Controller war der Zugriff auf kritische Daten über ein Passwort gesichert. Nach einigen Analyseschritten zeigte sich, dass das Passwort 16 Zeichen lang sein musste und sowohl Groß- und Kleinbuchstaben als auch Sonderzeichen und Zahlen enthielt. Damit würde es normalerweise als relativ sicher gelten. Eine sogenannte Brute-Force-Attacke, also das automatische Durchprobieren sämtlicher Zeichenkombinationen, würde einen Zahlenraum von ca. 94 Zeichen für 16 Stellen abdecken müssen d. h. einen Wert von möglichen Passwörtern. Auch wenn man Login-Versuche in der Sekunde ausführen könnte und davon ausgeht, nach der Hälfte der Versuche einen Treffer zu landen, wür- secuview 1/

28 Wissen Sie nicht, wer ich bin? Abb. 1: Deutscher Pass von 1811 Wie ist das moderne Identitätsdokument entstanden? Tom Topol, anerkannter Experte für das Thema und passionierter Sammler historischer Reisepässe, zeichnet die Entwicklung nach Die Französische Revolution gegen Ende des 18. Jahrhunderts war die Geburtsstunde des modernen Passsystems mussten Personen, die Frankreich verlassen wollten, einen Pass vorweisen können. Während es sich damals noch um ein einzelnes Blatt Papier handelte, ist der Reisepass heute zum Hightech-Sicherheitsdokument geworden. Was hat sich in den vergangenen gut 200 Jahren getan? Der offensichtlichste Unterschied ist, dass man heute einen Pass benötigt, um in viele andere Länder einzureisen. Doch es gibt natürlich viele weitere Aspekte, die im Laufe der Zeit die Funktionalität des Passes wesentlich verändert haben. Ursprünglich bestanden Pässe in der Regel aus einem großen ein- oder zweiseitigen Vordruck, auf dem zusätzliche Angaben per Hand eingetragen wurden, oder sie waren komplett handgeschrieben. Natürlich machte sich damals niemand Gedanken über die Langlebigkeit oder Praxistauglichkeit von Reisepässen. Daher verwundert es nicht, dass diese aus einfachem, dünnem Papier bestehenden Pässe schnell verschlissen, wenn man nicht vorsichtig mit ihnen umging oder wenn man häufig unterwegs war. Der Reisende faltete sein Reisedokument meist mehrfach, damit es in seine Brieftasche passte. Was stand auf den Passdokumenten des 18. und 19. Jahrhunderts? Wesentlicher Bestandteil des Dokuments war die Kopfzeile mit dem Wappen, in der in großen, fettgeschriebenen Lettern stand, wer den Pass ausgestellt hatte teilweise gefolgt von einer langen Liste der (Adels-)Titel des Ausstellers. Darauf folgte eine kurze Grußformel An die zuständigen Herren, der Name des Passinhabers, das Reiseziel oder die Reiseroute und schließlich der Zweck der Reise. Zum Schluss enthielt das Dokument noch die Bitte um Unterstützung für den Reisenden, damit dieser auf seiner Reise die Grenze(n) ungehindert passieren könne, sowie Ausstellungsdatum und -ort, Unterschrift und Siegel. Diese Bitte um Unterstützung zum ungehinderten Passieren findet sich auf vielen modernen Pässen nicht mehr, auf manchen ist sie jedoch immer noch zu lesen. Dass die damaligen Reisepässe keinerlei physische Beschreibungen des Inhabers enthielten, mag verwunderlich erscheinen. Doch ein Pass war damals eher eine Art Empfehlungsschreiben für die Reise und für die Unterstützung des Reisenden auf seinem Weg. 28 secuview 1/2017

29 Wissenschaft Es dauerte ein weiteres Jahrzehnt, bis eine physische Beschreibung des Passinhabers aufgenommen wurde. Etwa um das Jahr 1811 enthielten Pässe dann z. B. Informationen zu folgenden Eigenschaften: Alter, Größe, Haare, Stirn, Augenbrauen, Augen, Nase, Mund, Kinn, Bart, Gesicht, Statur, Zähne, besondere Eigenschaften usw. (Abb. 1) Mit diesen persönlichen Merkmalen war erstmals zumindest eine rudimentäre physische Identifizierung des Passinhabers möglich. Wohlhabendere Reisende bestellten ihre Pässe ab etwa 1850 bei speziellen Reisepass-Agenturen. Ein bei einer Agentur in Auftrag gegebenes Reisedokument wurde in einem schicken Lederetui geliefert, eventuell mit dem in Gold eingeprägten Namen des Passinhabers darauf. Ein solcher Pass war nicht nur viel besser geschützt, sondern vermittelte bei der Grenzkontrolle auch das Bild eines wichtigen Reisenden. Die Passagenturen besorgten ihren Kunden zudem die notwendigen Visa. (Abb. 2 und Abb. 3) Nach mehr als 15 Jahren Forschung zu Pässen und ihrer Geschichte bin ich überzeugt, dass der 1863 ausgestellte und bis 1864 gültige deutsche Pass von Abb. 4 aus dem Königreich Hannover eines der ersten Passbücher überhaupt ist. Das Buch hat 16 Seiten. Ich habe nie einen älteren Pass in dieser Form gesehen. Das Deutsche Kaiserreich verwendete dann ab 1871 Passbücher. Abb. 4: Deutsches Passbuch von 1863 Sicherheitsmerkmale im 19. Jahrhundert Das deutsche Passbuch aus dem Königreich Sachsen in Abb. 5, ausgestellt im Jahr 1866 und gültig bis 1868, zeigt sehr gut die zu dieser Zeit integrierten Sicherheitsmerkmale: versiegelte farbige Fadenheftung, Mikrodruck, ein Wappen als Wasserzeichen sowie geprägte Grafiken und Buchstaben. >>> Abb. 2 und Abb. 3: Rechnung eines Vertreters für Pässe des Vereinigten Königreichs (äußerst selten und historisch wertvoll) und Pass des Vereinigten Königreichs in Lederetui Abb. 5: Königreich Sachsen, Deutschland, 1866, Sicherheitsmerkmale (dieses Passbuch wurde von Giesecke+Devrient produziert) secuview 1/

30 Wissenschaft Ein moderner Pass verfügt heute über mindestens 30 Sicherheitsmerkmale, von denen einige mit dem bloßen Auge nicht sichtbar sind. Die Fotografie wurde 1839 kommerziell eingeführt, jedoch dauerte es noch bis 1915, bis die Mehrzahl der Länder die Verwendung eines Passbilds vorschrieb. Und auch dann gab es zunächst keinerlei Regelungen, wie dieses Bild beschaffen sein sollte. Es konnte jedes Foto verwendet werden, das vom Format her auf das Reisedokument passte selbst wenn es den Inhaber zu Pferd, mit Hut oder mit Hund zeigte. Übrigens: Ungewöhnliche Passbilder gehören zu meinen Lieblings-Sammlerstücken. Deshalb bin ich auch der Meinung, alte Pässe seien Kunstwerke, denn sie waren damals alle recht individuell sowie wunderschön und kurios. Stempel und Visa Wenn Sie (als Europäer) heute verreisen, wird Ihr Reisepass nicht mehr gestempelt, zumindest nicht innerhalb Europas. Sofern Sie nicht über die Staatsbürgerschaft eines europäischen Landes verfügen, erhalten Sie nur einen Stempel, wenn Sie in die EU ein- und aus der EU ausreisen. Reisen zwischen EU-Ländern werden in der Regel nicht im Pass festgehalten. Und Australien z. B. stellt überhaupt keine physischen Visa aus. Das australische Visum besteht aus elektronischen Daten, die an der Grenze überprüft werden. Ganz anders damals, als die Pässe noch voll von bunten Stempeln und Visa waren und bei jedem Grenzübergang neue hinzukamen. Meine Aussage, alte Reisepässe seien Kunstwerke, gründet sich auch auf diesen Aspekt, der die Geschichte des Passes für mich umso faszinierender macht. Nachforschungen zu diesem Thema bereiten mir große Freude, und das Sammeln und Archivieren dieser historischen Reisedokumente ist unterhaltsam und lehrreich zugleich. Wann beginnen Sie mit Ihrer Sammlung? Wissen Sie nicht, wer ich bin? Der US-amerikanische Passhistoriker Craig Robertson hat einmal gesagt: Bei der Grenzkontrolle zeigt man einen Pass, also ein kleines Buch, und muss dem Beamten beweisen, dass man zu diesem Dokument gehört. Viele Leute meinen, es wäre anders herum. [...] Es geht um diese Idee, dass die maßgebende Repräsentation deiner selbst nicht die Verkörperung deiner Identität, sondern ein Stück Papier ist. Paradox? Denken Sie einmal darüber nach! n Über den Autor: Tom Topol, Mitglied der Ephemera Society im Vereinigten Königreich und den USA, ist ein anerkannter Experte für Pässe und ihre Geschichte und hat zahlreiche Publikationen vorzuweisen (siehe Online-Literaturliste). Er berät Sammler, Stiftungen, Museen sowie Nachrichten- und Medienagenturen zu diesem Thema. Seine Internetseite ist eine wahre Fundgrube für Informationen zu historischen und bedeutenden Reisedokumenten. Tom Topol beschäftigt sich über seine Social-Media-Kanäle auch mit aktuellen News zu Pässen und Visa, Grenzsicherheit und Sicherheitsdruck. 30 secuview 1/2017

31 Kurz notiert Gedankenaustausch führt zu Innovation Peter Kraaibeek war jahrzehntelang einer der profiliertesten IT-Sicherheitsexperten im deutschen Behörden- und Unternehmensumfeld. Im März 2017 verabschiedete er sich in den wohlverdienten Ruhestand und zieht hier ein Resümee Im Interview: Peter Kraaibeek hatte seit 1983 verschiedene führende Positionen in der IT-Branche inne. Seit 1989 konzentrierte er sich auf die IT-Sicherheit und leitete mehrere Ausschüsse und Arbeitskreise, unter anderem des Bitkom. Von 2002 bis 2017 war er als Principal bei secunet tätig. Herr Kraaibeek, wie hat sich das Interesse an IT-Sicherheit in den letzten Jahrzehnten gewandelt? Kraaibeek: Noch in den 80er Jahren spielte IT- Sicherheit außerhalb von militärischen Organisationen und dem Finanzsektor kaum eine Rolle. Als das Internet Mitte der 90er Jahre auf öffentliches Interesse stieß, wuchs auch in der Industrie die Aufmerksamkeit für das Thema allerdings erst langsam. Einige Problemfelder, auf die wir als Experten schon vor 20 Jahren hingewiesen haben, sind erst in jüngster Zeit in der breiten Öffentlichkeit angekommen: etwa die Möglichkeit der Manipulation von Nachrichten oder die Risiken, die von unzureichend geschützten kritischen Infrastrukturen ausgehen. Was sind für Sie wesentliche Zutaten für Innovation? Kraaibeek: Wichtig ist die Zusammenarbeit von Privatwirtschaft, Wissenschaft und Behörden. Bei zahlreichen von mir mitorganisierten Konferenzen sowie Sessions, die ich dort geleitet habe, konnte ich erleben, wie nützlich der intersektorale Gedankenaustausch für die Entwicklung innovativer Lösungen ist. IT-Sicherheitsunternehmen sollten zudem darauf achten, dass Entwicklungsteams sich aus Mitarbeitern mit unterschiedlichen Kenntnissen und auf verschiedenen Erfahrungsstufen zusammensetzen. Gibt es etwas, was Sie in der Branche hin und wieder gestört hat? Kraaibeek: IT-Sicherheit lebt von kurzen Innovationszyklen. Damit kann die Gesetzgebung oft nicht Schritt halten. Manchmal habe ich auch erlebt, dass es sehr lang dauerte, bis für neue Produkte Zulassungen von offizieller Stelle vorlagen. Das ist schade, denn in solchen Fällen geht wertvolle Zeit für die IT-Sicherheit verloren. n secuview 1/

32 Kurz notiert Pentests in Serie Pentests sind ein allgemein anerkanntes Mittel, um die Angreifbarkeit von IT-Systemen zu ermitteln. Sie stellen aber immer nur eine kurzfristige Situation dar vergleichbar mit einem Polaroid-Foto. Und wie bei einem Polaroid werden die Farben schnell verwaschen, die Konturen verschwimmen, und nach einiger Zeit kann man das ur- sprüngliche Motiv nur noch mit Mühe erkennen. Diese Vergänglichkeit ist der Art der Analyse bei einem Pentest geschuldet. Viele Kunden gehen daher dazu über, Pentests regelmäßig und in kurzen Abständen durchzuführen. Ein solches Pentest-Kontingent besteht aus einem initialen Test und einer Reihe von Re-Tests, die jeweils prüfen, ob bisher nicht als behoben markierte Schwachstellen weiterhin existieren. Zusätzlich werden die Analysen von unterschiedlichen Experten durchgeführt, um möglichst viele verschiedene Vorgehensweisen abzudecken. Damit entsteht um beim Bild zu bleiben aus einzelnen Polaroids ein Film, der die IT-Entwicklung dokumentiert und auch einen Ausblick ermöglichen kann, indem aus Trends zukünftige Entwicklungen interpoliert werden. n Mehr Informationen: Dirk Reimers dirk.reimers@secunet.com 2016: Rund SINA Workstations S ausgeliefert Die SINA Workstation S setzt ihre Erfolgsgeschichte fort: Im vergangenen Jahr hat secunet den bewährten für VS-NfD zugelassenen Krypto-Client rund Mal an Kunden ausgeliefert. Inter-Netzwerk Architektur, lässt sie sich zudem flexibel in ganz unterschiedlichen Einsatzszenarien verwenden, in denen es auf die Sicherheit eingestufter oder vertraulicher Daten ankommt. n Die universell mobil und stationär einsetzbare SINA Workstation S ist Multi-Session-fähig und kann beispielsweise offene und VS-NfD eingestufte Daten in parallelen Sessions verarbeiten. Als Komponente von SINA, der Sicheren Mehr Informationen: Gordon Freiburg gordon.freiburg@secunet.com 32 secuview 1/2017

33 Kurz notiert CeBIT 2017: IT-Sicherheit als Enabler Moderne Verwaltung, elektronische Identitäten, kritische Infrastrukturen, intelligente Grenzkontrolle die wichtigen Themen der Digitalisierung erfordern vertrauenswürdige IT-Sicherheit. In der Vergangenheit oft als notwendiges Übel gesehen, wird sie heute mehr und mehr zum Wegbereiter der digitalen Transformation. Innerhalb dieser thematischen Klammer präsentierte secunet den Messebesuchern in Hannover ein breites Produktportfolio, welches alle Facetten der Cybersicherheit mit besonderem Fokus auf öffentlichen Bedarfsträgern, Sicherheitsbehörden und militärischen Organisationen abdeckte. Zudem konnten sich Interessenten aus dem Umfeld kritischer Infrastrukturen vom langjährigen Knowhow von secunet überzeugen. Auch in diesem Jahr empfing secunet auf der CeBIT zahlreiche hochrangige Besucher aus Politik, Wissenschaft und Wirtschaft. n Bundeskanzlerin Dr. Angela Merkel (3. v. l.) und der japanische Premierminister Shinzo Abe (2. v. l.) im Gespräch mit den secunet Vorstandsmitgliedern Dr. Rainer Baumgart (ganz links) und Thomas Pleines (ganz rechts) Der Sächsische Staatsminister des Innern und Vorsitzende der Innenministerkonferenz, Markus Ulbig (rechts vorn), informiert sich über Sicherheitstechnologie von secunet Svenja Schulze, bis Juni 2017 Ministerin für Innovation, Wissenschaft und Forschung des Landes Nordrhein-Westfalen, ließ sich Hochtechnologie made in Germany demonstrieren EU-Kommissarin Vera Jourová bei ihrem Besuch auf dem secunet Messestand secuview 1/

34 Kurz notiert Know-how und Speed-Dating: SINA Anwendertage 2017 Trotz sommerlicher Temperaturen sowohl in Bonn als auch in Berlin haben mehr als 350 Teilnehmerinnen und Teilnehmer die SINA Anwendertage 2017 in den beiden Städten besucht. Die Plattform für Innovation, Information und Austausch rund um das Thema SINA fand bereits zum 15. Mal statt. Neben spannenden Einblicken in den Alltag von Organisationen und ihren Erfahrungen mit SINA lud ein Speed-Dating zur schnellen Informationsvermittlung ein: Die Themen-Highlights wurden in vierminütigen Kurzvorträgen vorgestellt, nach einem Gong war das nächste Thema an der Reihe. Über den Tag verteilt gab es in den Pausen ausreichend Zeit und Gelegenheit, um mit den secunet Experten die Themen zu vertiefen, Fragen zu erörtern und ausgestellte Geräte zu testen. Registrierte Nutzer des SINA Portals können die Vorträge der SINA Anwendertage herunterladen. Die Download-Links finden sich unten auf der Startseite des Portals: n 34 secuview 1/2017

35 Termine August bis Dezember 20. Sept. 2017» Fachtagung Informationssicherheit Kritischer Infrastrukturen / Düsseldorf 26. Sept. 2017» Fachtagung Informationssicherheit Kritischer Infrastrukturen / Nürnberg Okt. 2017» GITEX / Dubai, Vereinigte Arabische Emirate Okt. 2017» AFCEA TechNet Europe / Stockholm, Schweden Okt. 2017» it-sa / Nürnberg Okt. 2017» NIAS / Mons, Belgien Okt. 2017» Europe ELIV / Bonn Okt. 2017» 13 th Symposium and Exhibition on ICAO TRIP / Montreal, Kanada Okt Nov. 2017» European Coreboot Conference (ECC) / Bochum» Automotive Workshop IT Security on Board / München Haben Sie hierzu Fragen oder möchten Sie sich anmelden? Nov Nov. 2017» Berlin Security Conference (BSC) / Berlin» DVGW Technikmesse Gas & Wasser gat/wat / Köln Schicken Sie uns gern eine an events@secunet.com. secuview abonnieren Sie möchten die secuview regelmäßig und kostenlos zugesendet bekommen? Wählen Sie zwischen der Print- und der -Version. Anmeldung: Dort haben Sie auch die Möglichkeit, Ihr Abonnement zu ändern oder zu kündigen. Impressum Herausgeber: secunet Security Networks AG Kurfürstenstraße 58, Essen Leitung Redaktion, Konzeption, Gestaltung und Anzeigen (V. i. S. d. P.): Marc Pedack, marc.pedack@secunet.com Gestaltung: Agentur für dynamisches Marketing, Der Inhalt gibt nicht in jedem Fall die Meinung des Herausgebers wieder. Urheberrecht: secunet Security Networks AG. Alle Rechte vorbehalten. Alle Inhalte sind urheberrechtlich geschützt. Jede Verwendung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen schriftlichen Erlaubnis. Bildnachweis: Titel: gubernat/istock; S. 2, 21: Jupiterimages/Thinkstock; S. 2, 23: envfx/ fotolia; S. 13: euthymia/fotolia; S. 14: everything possible/shutterstock; S. 15: Joerg Huettenhoelscher/Fotolia; S. 17: symbiot/shutterstock; S. 18: Leonardo Patrizi/iStock; S. 19: Zerophoto/Fotolia; S. 24: everything possible/shutterstock; S. 25: Kaesler Media/Fotolia; S. 27: dolgachov/thinkstockphoto + filistimlyanin (screen)/thinkstockphoto; S : passport-collector.com; S. 32: vladimirfloyd/fotolia; alle anderen: secunet secuview 1/

36 Wir finden den Fehler im System: Automotive Pentests von secunet. In vernetzten Automobilen können selbst kleinste Änderungen fatale Folgen haben. Die Experten von secunet identifi zieren die Schwachstellen in Fahrzeug-Systemen, analysieren die Auswirkungen auf die IT-Sicherheit und konzipieren wirksame Gegenmaßnahmen von den Steuergeräten über das Bordnetz bis zum Backend. Testen Sie, wie wir testen! IT-Sicherheitspartner der Bundesrepublik Deutschland