SuisseID so what? ISACA After Hours Seminar Zürich, 28. Juni 2011 Marc Zweiacker marc.zweiacker@zweiacker.com

Ähnliche Dokumente
Die SuisseID Effizienter Staat 2011 FORUM IX: E-Identität

Die SuisseID ts- und Funktionsnachweis BAT Architekturforum Urs Bürge;

Rechtsfolgen der Digitalen Identität

Zertifizierung in der Schweiz

1. GELTUNGSBEREICH ENTGELT AUSKUNFT TERRAVIS Pauschalentgelt Grundbuchinformationen Daten der Amtlichen Vermessung 2

MOA-Workshop. Ausländische BürgerInnen (STORK) Bernd Zwattendorfer Wien, 28. Juni 2012

Mitteilung zur Kenntnisnahme

Studie Autorisierungsverfahren Online-Banking n = 433, Befragungszeitraum: Februar bis März 2014

SSZ Policy und IAM Strategie BIT

Die digitale Signatur. Einführung in die rechtlichen Grundlagen der elektronischen Signatur

1. Sept Über Keyon

Elektronischer Kontoauszug

* Leichte Sprache * Leichte Sprache * Leichte Sprache *

Leitfaden E-Books Apple. CORA E-Books im ibook Store kaufen. Liebe Leserinnen und Leser, vielen Dank für Ihr Interesse an unseren CORA E-Books.

Anwendungsbeispiele Sign Live! Secure Mail Gateway

Leitfaden. zur Registrierung und Beschaffung einer elektronischen Signatur für die IKK classic Ausschreibungsplattform.

Avenue Oldtimer Liebhaber- und Sammlerfahrzeuge. Ihre Leidenschaft, gut versichert

Wissensmanagement im Geschäftsalltag: Wie unterstützt es mich in der beruflichen Praxis?

SWOT Analyse zur Unterstützung des Projektmonitorings

Elektronischer Kontoauszug

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

SuisseID Risiken und Haftungsfragen

Digitale Zertifikate

Handbuch ECDL 2003 Professional Modul 3: Kommunikation Kalender freigeben und andere Kalender aufrufen

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Arbeitsgruppen innerhalb der Website FINSOZ e.v.

Entwicklung und Einsatz von Signaturserverdiensten

1 WEB ANALYTICS: PROFESSIONELLE WEB-ANALYSEN UND REPORTING FÜR IHR ONLINE MARKETING.

Welches Übersetzungsbüro passt zu mir?

Software- und Druckerzuweisung Selbstlernmaterialien

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

11. Swiss CRM Forum Mobiler Kundenservice wann die APPeconomy auch für SIE Sinn macht

Transaktionsempfehlungen im ebase Online nutzen

Anleitung für die Teilnahme an den Platzvergaben "Studio II, Studio IV und Studio VI" im Studiengang Bachelor Architektur SS15

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Win-Digipet V 9.2 Premium Edition Wie bastele ich mir steuerbare Kontakte. Wie bastele ich mir steuerbare Kontakte? -Quick-And-Dirty-Lösung-

Datenschutz im (gescheiterten) Case Management

Das liebe Geld Vom Sparen und Erben

Bernadette Büsgen HR-Consulting

Wir machen neue Politik für Baden-Württemberg

LU - Mehrwertsteuer. Service zur Regelung der MwSt.-Prozedur:

Auktionen erstellen und verwalten mit dem GV Büro System und der Justiz Auktion

-Zertifikatsverwaltung

Ganz sicher oben arbeiten!

1) Was sind die Ziele des Europäischen Wirtschaftsführerscheins, EBC*L? 4) Von wem wurde der EBC*L initiiert und von wem wird er betrieben?

Unterstützte Kombinationen: Chipkartenlesegeräte, Signaturkarten und Betriebssysteme

Shopz Zugang Neuanmeldung

RMeasy das SAP IS U Add On für Versorgungsunternehmen. Optimieren Sie Ihre Prozesse in Kundengewinnung und Kundenbindung.

Umzug der abfallwirtschaftlichen Nummern /Kündigung

Word 2010 Schnellbausteine

Unterstützte elektronische Signaturkarten Karten-Leser-Ansteuerung (MCard) Version vom

Erstellen von x-y-diagrammen in OpenOffice.calc

Erhebung zum Zusammenleben in der Schweiz

Anleitung über den Umgang mit Schildern

Intelligente und organisationsübergreifende Authentifikations- und Signaturmethoden

Big Data Kundendaten im 2015 Michael Gisiger Wortgefecht Training & Beratung

HOTEL BÄREN. Familie Sauter Beobachtungen & Problembereiche. Interview mit Stefan Sauter (Miteigentümer)

Lessons Learned. Ein OpenID-Provider unterstützt den neuen Personalausweis. CeBIT 2011, Hannover Heise Future Talk Freitag, 4.

Professionelle Seminare im Bereich MS-Office

Es gibt nur eine Bilanz die zählt: Ihre Zufriedenheit.

Häufig gestellte Fragen

SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.

EINE UNI FÜR ALLE. Universität Luzern, Montag, 5. Mai Uhr

Inhalt. Seminar: Codes und Kryptographie

Unterschrift unterwegs

Installation OMNIKEY 3121 USB

Integrierte Dienstleistungen regionaler Netzwerke für Lebenslanges Lernen zur Vertiefung des Programms. Lernende Regionen Förderung von Netzwerken

AGENDA BUNDESWEHR IN FÜHRUNG AKTIV. ATTRAKTIV. ANDERS.

Statuten in leichter Sprache

FH-SY Chapter Version 3 - FH-SY.NET - FAQ -

Leistungsbeschreibung tengo domain

Attribut-Zertifikat importieren zur Nutzung in Sign Live! CC

Software-Engineering 2. Übungen zur Wiederholung. IT works. Metris GmbH

TRANSPARENZ wird bei uns GROSS geschrieben.

L i e f t d en oci l a M d e i di G a uid id l e i lines Dr. Jan Janzen

SECURITY DESIGN PATTERN FÜR EHEALTH-PLATTFORMEN

Meine Bildungswelt.ch. Mein Bildungspartner

Richtlinien bezüglich des Verfahrens bei Einstellung der Geschäftstätigkeit einer anerkannten CSP

Hallo! Social Media in der praktischen Anwendung Warum macht man was und vor allem: wie? Osnabrück, den 07. Juli 2014.

Evangelisieren warum eigentlich?

Manuel Schmalz. Abteilungsleiter Vertragsmanagement. Düsseldorf,

SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.

Professionelle Kommunikation im Internet. Seminar für Fach- und Führungskräfte. WISSEN FÜR MEHR ERFOLG

Rechtliche Grundlagen: Amtssignatur & elektronische Zustellung. BRZ, 21. Oktober 2010, Palais Mollard, Wien

Übungsaufgaben Tilgungsrechnung

DNotI. Fax - Abfrage. GrEStG 1 Abs. 3 Anteilsvereinigung bei Treuhandverhältnissen. I. Sachverhalt:

Fragebogen zur Diplomarbeit von Thomas Friedrich

Hinweise zur Nutzung des E-Learning Systems Blackboard (Teil 4): Teil I: Informationen über andere Beteiligte des Kurses

OSCI-Transport 1.2 Korrigenda 05/2011 Status: Entwurf OSCI Leitstelle

Ihr Zeichen, Ihre Nachricht vom Unser Zeichen (Bei Antwort angeben) Durchwahl (0511) 120- Hannover NDS EU-DLR

Einsatz der SuisseID in der Bildungsinstitution

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause

Einführung von D im Land Bremen

Anmeldung bei Office 365 für Bildungseinrichtungen

Was ist das Budget für Arbeit?

AGENDA BUNDESWEHR IN FÜHRUNG AKTIV. ATTRAKTIV. ANDERS.

Vorbemerkungen. Digitale Signatur? Digitale Signatur. - BG über Zertifizierungsdienste im Bereich der elektronischen Signatur. - Keine Unterschrift!

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

Welche Bereiche gibt es auf der Internetseite vom Bundes-Aufsichtsamt für Flugsicherung?

Transkript:

SuisseID so what? ISACA After Hours Seminar Zürich, 28. Juni 2011 Marc Zweiacker marc.zweiacker@zweiacker.com 1

Zur Person Marc Zweiacker Zweiacker IT Management Informatik-Ingenieur ETH (CISA) Beratung und Leitung von IT Projekten für die öffentliche Verwaltung Leitung TP Funktionsnachweis im SuisseID Projekt 2010 Leitung AGr Sicherheit im Trägerverein SuisseID (aktuell) 2

Agenda 1. SuisseID Projekt, Ziele und Rahmenbedingungen 2. Einsatzszenarien 3. Elektronische Bestätigungen aus Registern 4. Entwicklungspotential 5. Sicherheit und Datenschutz 3

Herausforderung: Sicherheit und Vertrauen Web-Gretchenfrage Welche Person? in welcher Funktion? mit welchen Vollmachten und Berechtigungen? 4

Projektziele (2010) Anlass: 3. Konjunktur-Stabilisierungspaket (Sept. 2009) Man will dem el. Geschäftsverkehr zum Durchbruch verhelfen (Überwindung des Deadlocks Id-vs-App) Mittel für sicheren Identitätsnachweis bereitstellen Anwendungen fördern, die damit umgehen können Funktionsnachweise fördern/bereitstellen 5

Rahmenbedingungen Kein e-id Projekt, sondern Wirtschaftsförderung Kaufpreis-Subvention im Umfang von total CHF 17 Mio. Subventions-Zeitfenster: bis Ende 2010 Hoher Zeitdruck, hohe Erwartungen Keine spezielle gesetzliche Grundlage (ausser Subventionsgesetz) 6

Einordnung SuisseID 7

Scope e-karten-funktionalitäten (ECC) Klassischer Reiseausweis (Sichtausweis) Identity und Access - Funktionen: - Identitätsnachweis (Authent. & IdP) - El. Signatur Basierend auf bisheriger, gesetzlich geregelter Signaturkarte Auf beliebigem Träger kombinierbar Biometrischer Reiseausweis ehealth- Funktionen 8

SuisseID Framework 1. Schlüssel & Zertifikat für qualifizierte Signatur (QC) 2. Schlüssel & Zertifikat für Authentisierung (AC) 3. SuisseID-Nummer (16 Stellen) 4. Identity Provider Service (IdP) Authentication AC Non Repudiation QC core IdP 1200-8301-5378-8409 9

Produkte Formfaktor frei (SmartCard, USB-Token) bereitgestellt von einem der vier anerkannten CSPs (SwissSign/Post, QuoVadis, Swisscom, BIT) 10

Agenda 1. SuisseID Projekt, Ziele und Rahmenbedingungen 2. Einsatzszenarien 3. Elektronische Bestätigungen aus Registern 4. Entwicklungspotential 5. Sicherheit und Datenschutz 11

Option 1: Signaturkarte Signer 12

Option 2: Traditioneller Smartcard-Einsatz Online Service 13

Option 3: Bestätigung der Personalien core IdP (Ausweisdaten) 2 Name: Felix Muster Geb.datum: 1.1.1978 Pass-Nr: C9295499 Heimatort: Winterthur 1 3 Online Service 14

Option 3: Bestätigung der Personalien User Centric Design Anfragende Applikation SuisseID Inhaberdaten Erbetene Ausweisdaten Bestätigung 15

Option 3: Bestätigung der Personalien Anonymisierte abgeleitete Personalien 16

Agenda 1. SuisseID Projekt, Ziele und Rahmenbedingungen 2. Einsatzszenarien 3. Elektronische Bestätigungen aus Registern 4. Entwicklungspotential 5. Sicherheit und Datenschutz 17

Option 4: Funktionsnachweis (Claim Assertion Services) CAS (Registerdaten) 2 Name: UID: Company: Function: Marc Zweiacker CHE-109.540.496 Zweiacker IT Management Inhaber 1 3 Online Service 18

Option 4: Funktionsnachweis (Claim Assertion Services) CAS (Registerdaten) 1 Name: UID: Company: Function: Marc Zweiacker CHE-109.540.496 Zweiacker IT Management Inhaber 2 3 Signer 19

CAS Projekte (Claim Assertion Services) Core IdP für Ausweisdaten Register der Urkundspersonen (Notarenregister) CAS-SuisseTrust (Firmenregister) myidp (FH Bern) Demoregister (SECO) Potential für Medizinisches Personal, Anwälte, Verwaltungen, Behördenregister, u.v.m. 20

Agenda 1. SuisseID Projekt, Ziele und Rahmenbedingungen 2. Einsatzszenarien 3. Elektronische Bestätigungen aus Registern 4. Entwicklungspotential 5. Sicherheit und Datenschutz 21

SuisseID Stand Interesse und Anwendungen SuisseID Anwendungen Über 220 Anwendungen online, vorwiegend B2B/B2G Kommunale und kantonale Portale Mitgliederkarte des Anwaltsverbandes MWST, AHV, für dieses Jahr geplant Verkauf > 20 000 an private Einzelabnehmer > 250 000 an Grossabnehmer (Projekte, Aktionen, ) 17 Mio. Subventionstopf ist ausgeschöpft 22

SuisseID Internationales Potential? STORK Kompatibilität Europäisches Projekt zur Integration unterschiedlicher e-id Systeme Ziel: Länderübergreifende Identifikation/Authentisierung European Citizen Card (ECC) Werden vom Staat ausgegeben Sind gültige Ausweisdokumente (Pass, Identitätskarte) Sichtausweis 23

Wo stehen wir Es gibt ein verbreitetes, standardisiertes Mittel für die starke Authentisierung und rechtsgültige digitale Signatur Verein Trägerschaft SuisseID ist gegründet; 4 Provider, SECO als Mitglieder; viele Fördermitglieder Arbeitsgruppen: Spezifikation, Sicherheit, Marketing, Internationales Grosse Zukunft wird den Funktionsregistern zugebilligt Mögliche Zukunft: SuisseID als "ID-Driver" für Identitätskarte, Pass, ehealth, u.v.m. 24

Agenda 1. SuisseID Projekt, Ziele und Rahmenbedingungen 2. Einsatzszenarien 3. Elektronische Bestätigungen aus Registern 4. Entwicklungspotential 5. Sicherheit und Datenschutz 25

Bestmögliche Wahrung des Datenschutzes Verzicht auf Personenidentifikator (AHVN13) Nur minimale identifizierende Attribute im Zertifikat Genauere Personendaten sind nur vom Inhaber abrufbar Personalien (IdP-Attribute) sind einzeln abrufbar, einige Attribute wahren die Anonymität ("ist über 18") Benutzer kann den Provider (des Vertrauens) auswählen, wie seine Bank, Versicherung oder Kreditkartenunternehmen Eine Person kann mehrere SuisseIDs haben und je Kontext (Staat, Shopping, Versicherung) einsetzen Grundsätzlich auch pseudonyme Zertifikate möglich 26

Sicherheit der SuisseID "Verseuchter" PC als Prämisse Angriffsvektoren en masse (Kartenleser, Mensch, Chip, ) Fazit: An sich bekannte und akzeptierte Probleme von Smartcards, aber neues (mediales) Tummelfeld SECO resp. Trägerverein nimmt sich dem Thema Sicherheit aktiv an (nachdem ein medialer "GAU" vorausgegangen war) Kooperation mit Sicherheitsorganisationen (Erkenntnisgewinn, "Eisbrecher") 27

Sicherheit der SuisseID Studie zu Angriffsvektoren 28

Sicherheit der SuisseID Angriffsvektor "Lesegerät" "Einfache" Lesegeräte (Klasse 1) sind einfach zu bedienen, bieten jedoch Angriffsflächen Demos von "gehackten" SuisseIDs sind alltäglich Aber: Wovor müssen wir uns wirklich fürchten? Derzeit untersuchen wir: Rechtliche Folgen (jur. Gutachten) und techn. Risikobetrachtung 29

AGr Sicherheit im Trägerverein SuisseID Derzeitige Schwerpunkte Ländervergleich von e-id Systemen Rechtsgutachten des Bundesamtes für Justiz Risikobetrachtung anhand erfundener Missbrauchsszenarien Aktueller Stand: Einbezug von Sicherheitsexperten nötig. Workshop für Sommer geplant. 30

Besten Dank für Ihr Interesse 31

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback