LEGIC Positionspapier

Transkript

1 LEGIC Positionspapier Technische Richtlinie für den sicheren RFID Einsatz (TR RFID) TR : Einsatzgebiet elektronischer Mitarbeiterausweis Version 1.1 Dez Find details on website 1/5

2 1. Hintergrund Schaffung und Gewährleistung von Sicherheit ist ein dynamischer Prozess. Deshalb ist LEGIC im stetigen Kontakt mit dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI), welches im Juni 2010 die Technische Richtline TR zur Sicherheit von Electronic Employee ID Cards veröffentlicht hat, um die Sicherheit von Mitarbeiterausweisen zu verbessern. Da die Richtlinie sehr umfangreich ist, wollen wir als kompetente Schnittstelle dienen, und mit diesem kurzen Positionspapier interessierten Kreisen den Einstieg in die TR erleichtern und den aktuellen Stand erläutern. 2. Zusammenfassung der Richtlinie 2.1. Grundsätzliches Das BSI erstellt regelmässig Richtlinien zur Sicherheit von informationstechnischen Systemen. So umfasst die Reihe TR Technische Richtlinie für den sicheren RFID-Einsatz bereits vier veröffentlichte Teile zu den Anwendungsbereichen eticketing, NFC und Logistik. Der nun vorliegende Teil 5 beinhaltet Methodik und Empfehlungen wie bei Systemen für kontaktlose Mitarbeiterausweise eine angemessene Sicherheit gewährleistet werden kann. Die Richtlinien des BSI sind nicht bindend, sondern dienen als technische Empfehlungen. Sie gelten als Stand der Technik und staatliche Stellen berücksichtigen diese daher grundsätzlich. Es ist also damit zu rechnen, dass z.b. Behörden ihre Anwendungen wie Zutrittskontrolle, Zeiterfassung, Bezahlen in der Kantine oder an Automaten sowie IT-Login zukünftig an der TR ausrichten werden. Das Dokument liegt in Englisch vor und wird daher auch international Beachtung finden Methodik Die TR betrachtet das gesamte System elektronischer Mitarbeiterausweis, von der Karte bis zu den wichtigsten Applikationen einschliesslich der Hintergrundsysteme und Datenbanken. Aus diesem Grunde enthält das Dokument umfassende Definitionen und behandelt ausführlich die generelle Systemarchitektur sowie die dazugehörigen Geschäftsprozesse und Anwendungsfälle. Darauf aufbauend werden Sicherheitsziele, Gefährdungen und Massnahmen definiert. Umsetzungsvorschläge für das gesamte System und für ausgewählte Anwendungen wie Zutrittskontrolle, Zeiterfassung, Bezahllösungen und IT-Login bilden den wesentlichen Teil des Dokumentes. 1 Dokument TR : Einsatzgebiet elektronischer Mitarbeiterausweis, V1.0, Find details on website 2/5

3 Das BSI hat darüber hinaus auch die Möglichkeiten für den Einsatz des neuen kontaktlosen Deutschen Personalausweises (eid) als Mitarbeiterausweis sicherheitstechnisch beurteilt. Anwender der Richtline haben verschiedene Möglichkeiten zur Umsetzung. Einerseits können die Empfehlungen für Schutzmassnahmen direkt übernommen werden. Diese schreiben allerdings oft den höchsten Schutzgrad vor, was zu einer oft aufwändigen Realisierung führt. Andererseits können Sicherheitsziele, Angriffsbedrohungen und Schutzmassnahmen auch anlagenspezifisch definiert werden, was zwar den Aufwand in der Planungsphase erhöht, aber von vielen Anbietern leichter zu realisieren sein dürfte Exemplarische Auswahl empfohlener Schutzmassnahmen Die Technische Richtline empfiehlt verschiedene Schutzmassnahmen zu einer Vielzahl von Angriffsbedrohungen. Zu den empfohlenen Massnahmen gehört: Komponenten wie Terminals, Karten, Hintergrundsystem, Sicherheitsmodule etc. sollen evaluiert und von unabhängigen Instituten zertifiziert sein. Dies umfasst neben Sicherheitszertifikaten (z.b. CC EAL4+ 2 ) auch die Evaluierung und Zertifizierung der Schnittstellen, der Zuverlässigkeit und des spezifizierten Funktionsumfanges der Komponenten. Algorithmen und Schlüssellängen sollen immer dem neuesten Stand der gerade aktuellen BSI Empfehlung folgen (z.zt. BSI TR vom August 2008) und bei Bedarf angepasst werden. Schlüssel bzw. Sicherheitsmodule sind bei Kompromittierung unverzüglich zu tauschen. Der Einsatz von asymmetrischen Verschlüsselungsverfahren wird oft empfohlen. Datenübertragung und Datenspeicherung erfolgt im gesamten System generell authentifiziert (mindestens MAC; besser: Signaturverfahren) und verschlüsselt (3DES 4 oder höher). Dies betrifft Hintergrundsysteme einschliesslich Datenbanken, die Access System Komponenten, Terminals und Lesegeräte sowie die Karten. Die Verwendung von CC EAL5+ zertifizierten Sicherheitsmodulen (SAM) in allen wesentlichen Komponenten, d.h. auch in Terminals (online oder offline) sowie im Hintergrundsystem ist vorgeschrieben; ebenso der Einsatz eines zertifizierten Key Management Systems. 2 CC = Common Criteria for Information Technology Security Evaluation EAL = Evaluation Assurance Level 3 Dokument BSI TR Kryptographische Verfahren: Empfehlungen und Schlüssellängen 4 3DES = Triple DES (Data Encryption Standard) Find details on website 3/5

4 3. Anwendung der Richtlinie 3.1. Vergleich mit heutigen Systemen Wenn man die oben exemplarisch aufgeführten Schutzmassnahmen mit heute als state of the art im Einsatz befindlichen Mitarbeiterausweis-Systemen vergleicht, ergibt sich folgendes Bild: Auswechselbare und zertifizierte Sicherheitsmodule (SAM) werden unseres Wissens heute bei Mitarbeiterausweis-Anwendungen noch nicht oder nur sehr selten verwendet, da es auch kaum Access Control Leser und Systeme gibt, die solche SAMs überhaupt nutzen könnten. Hier ist ein grosses Potential für Leser- und Systemhersteller für die Entwicklung neuer Geräte. Verschlüsselung und Authentifizierung der Systemdaten vom Terminal bis zum Hintergrundsystem ist heute technisch möglich, wird aber in der Praxis selten verwendet. Installations- bzw. System-Lebenszyklen von deutlich über 10 Jahren stehen oft viel kürzeren Lebenszyklen bei den Sicherheitsmethoden und Algorithmen gegenüber. Die dadurch notwendig werdenden Schlüsselwechsel bzw. Algorithmen-Upgrades sind bei älteren Systemen nicht oder nur durch Komponententausch möglich. Ein wirklich kosteneffizienter und sicherer Upgrade der Systemsoftware ist bei installierten Komponenten nur selten möglich, wobei heute immer mehr Hersteller die bei LEGIC advant schon immer mögliche Update-Fähigkeit unterstützen. Die in der IT-Sicherheit gebräuchlichen Methoden der Sicherheitsbeurteilung aber auch der Evaluierungen und Zertifizierungen sind heute im Bereich der Mitarbeiterausweis- Systeme nahezu unbekannt.. Es lässt sich daher folgern, dass die in der TR empfohlenen Schutzmassnahmen mit den heute am Markt verfügbaren Systemen und Komponenten nur zu einem geringen Teil realisierbar sind, jedoch zukünftige Entwicklungen stark beeinflussen werden Erwartete Marktakzeptanz Aufgrund des Entwicklungsstandes und der Komplexität von heutigen, elektronischen Mitarbeiterausweis-Systemen einerseits und der in der TR dargelegten erforderlichen Sicherheitsmethoden und Schutzmassnahmen für zukünftige Systeme kann mit folgenden Auswirkungen gerechnet werden: Anwender und Lieferanten solcher Systeme werden am Anfang hohen Beratungsbedarf haben, um die Sicherheitsmethodik der TR anwenden zu können. Heute in der Branche etablierte Standards wie z.b. die VdS 2358 müssen möglicherweise angepasst werden, damit es nicht zu Sicherheitslücken durch verschiedene Interpretationen der jeweiligen Vorschriften kommt. Dabei ist auch die Frage nach dem optimalen Technologieeinsatz generell zu klären, z.b. die Gewichtung der informationstechnischen Sicherheit von Ausweissystemen im Vergleich zu Alarmierung, Überwachung und physischem Anlagenschutz. Komponentenlieferanten werden weitere Produktentwicklungsarbeiten und Zertifizierungen leisten müssen, bevor sie die Anforderungen der TR erfüllen können. Es ist auch damit zu rechnen, dass viele Produkte die Anforderungen der TR nicht vollständig erfüllen werden. Anwender werden daher genau prüfen müssen, was sie tatsächlich erhalten, wenn ihnen TR konforme Systeme angeboten werden. Find details on website 4/5

5 Der Markt wird daher eine längere Lernkurve durchlaufen müssen, bevor die Anforderungen der TR vollständig Umsetzbar sein werden. Zudem ist, wie eingangs gesagt, die Schaffung von Sicherheit ein dynamischer Prozess, so dass stetige Anpassungen erforderlich sind. Wir erwarten, dass in Ausschreibungen verstärkt auf die TR Bezug genommen wird und daher die Hersteller von Systemen und Komponenten in den nächsten Jahren die Empfehlungen des BSI umsetzten werden. 4. Position LEGIC Wir begrüssen und unterstützen die TR als einen wichtigen Schritt in Richtung systemund prozessorientierte Sicherheitsbetrachtungen. Die ständige Verbesserung der Sicherheitsmechanismen von kontaktlosen Chipkartensystemen ist von je her ein Bestandteil unserer Tätigkeit als Technologielieferant. Auch unsere Technologie-Plattformen entwickeln sich stets weiter und werden regelmässig mit neuen Sicherheitsmerkmalen ausgestattet. Damit dieser Schritt bestmöglich gelingt, sollten folgende Aspekte nicht vergessen werden: 1. Erprobte Sicherheitstechnik aus anderen Hochsicherheits- bzw. hoheitlichen Anwendungen z.b. ebanking oder eticketing oder dem neuen deutschen Personalausweis (npa) sind nur teilweise übertragbar auf Mitarbeiterausweis-Systeme. Schon alleine aufgrund von Kosten-Nutzen Überlegungen, aber auch oft aus ganz praktischen Performancegründen sind einer direkten Verwendung Grenzen gesetzt. So wird z.b. die bei Nicht-Hoheitlichen Anwendungen immer erforderliche PIN-Eingabe und Online Verbindung die Verwendung des npa als Identifikationsmittel für Zutrittskontrolle in der Praxis sehr stark einschränken. 2. Neue, praxistaugliche Sicherheitsmethoden und Technologien für Anwendungen um den Mitarbeiterausweis werden nun entwickelt. Die Zusammenarbeit von Experten aus der IT-Sicherheit mit Experten aus Anwendungen wie z.b. Zutrittskontrolle, Zeiterfassung und Mitarbeiterverpflegung ist dabei unbedingt erforderlich, um die technisch detaillierten und oft nur Experten verständlichen Anforderungen der TR praxisgerecht umzusetzen. 3. Das erforderliche Eco-System der Lieferanten ist gross und fragmentiert. Alle müssen mitgenommen werden. (Produkthersteller, Planer, Systemlieferanten, Installationshäuser, Ausweislieferanten, Wartungstechniker, usw.). Dies erfordert Zeit; d.h. Übergangszeiten sind vorzusehen. LEGIC kennt einerseits die Sicherheitsmethoden der Smart Card Welt, wie sie der TR zugrunde liegen, und andererseits die Anforderungen beim praktischen Einsatz von Mitarbeiterausweisen in den vielfältigsten Anwendungen. Wir unterstützen aktiv die Weiterentwicklungen der Sicherheitstechnologien und begrüssen entsprechende Standards. Unseren Kunden stehen wir als Realisierungspartner für diese Themen gerne zur Verfügung. Unter stehen wir Ihnen für weitere Auskünfte jederzeit zur Verfügung. Find details on website 5/5