Security Assessments und Security-by-Design

Ähnliche Dokumente
eticket-vertrieb über Internet Chipkartenleser für Endverbraucher

Technische Richtlinie für den sicheren RFID-Einsatz (TR RFID)

Datenschutz- Grundverordnung (DSGVO / GDPR) 24 welche Datenschutzmanagement -systemansätze können hier unterstützen?

Aktuelle Herausforderungen im Datenschutz

Zertifizierung von IT-Standards

IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen?

BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders. 27. September 2016 Simone Hock & Denny Dittrich

Compliance Management

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

ANHANG 17-G FRAGENKATALOG ZU NACHWEISEN INTERNATIONALER NORMEN UND ZERTIFIZIERUNGEN

Die Modernisierung des IT-Grundschutzes. Informationssicherheit im Cyber-Raum aktuell, flexibel, praxisnah.

Modernisierung des IT-Grundschutzes - Modernisierung, Zertifizierung & Migration - Birger Klein, BSI

Informationssicherheitsma nagementsystem (ISMS)

Inhalt. Überblick über die Normenfamilie. Struktur der ISO/IEC 27018:2014. Die Norm im Einzelnen. Schnittmenge zum Datenschutz. Kritische Würdigung

Sicherheit für Ihre Geodaten

Management von Informationssicherheit und Informationsrisiken Februar 2016

BSI TR (RESISCAN) Ersetzendes Scannen einfach und sicher

VDI 4472 Blatt 8 Leitfaden für das Management von RFID-Projekten

Erfolgsfaktoren für innovative Leitmärkte Prof. Dr. Knut Blind, Fachgebiet Innovationsökonomie, TU Berlin, Fraunhofer FOKUS

Anforderungskatalog Cloud Computing C5. Cloud Computing Compliance Controls Catalogue (C5)

IT-Sicherheitszertifikat

Entwicklung des Hannoveraner Referenzmodells. für Sicherheit. und Evaluation an Fallbeispielen. Diplomarbeit

Die Modernisierung des IT-Grundschutzes

Datenschutz und Datensicherheit im Smart Home - rechtliche Rahmenbedingungen für Wohnungsunternehmen und Vermieter -

FNN-Hinweis. Konformitätsnachweis für Energiemesssysteme

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

aufgrund des 217f Absatz 4b SGB V

DATENSCHUTZ in der Praxis

1.1 Historie von FitSM Der Aufbau von FitSM FitSM als leichtgewichtiger Ansatz... 6

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Ermittlung der Schutzanforderungen und erforderlicher Maßnahmen anhand einer Datenschutz-Folgenabschätzung

Digitalisierung in der Justiz: Vertrauen durch IT-Sicherheit

Privatsphäre und Sicherheit im Smart Home

Standardisierung und Normung für die Energiewende auf nationaler und internationaler Ebene

Cyber Security der Brandschutz des 21. Jahrhunderts

Herzlich Willkommen zum Strategiegruppentreffen der ÖPNV Digitalisierungsoffensive NRW. Düsseldorf, den 26. November 2018

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 1.

Grundsätze zur Informationssicherheit an der Universität Leipzig

Initiative zur Harmonisierung der Near Field Communication (NFC)

Agenda INTELLIGENT. EINFACH. PREMIUM.

Todgesagte leben länger... ELDAT greift an

Informations-Sicherheitsmanagement und Compliance

Cloud Security. Compliance in der Cloud sicherstellen. Managed Hosting Cloud Hosting Managed Services

Datenschutzmanagement. DS-GVO mit ISIS12. im Zeichen der

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

1 Grundlagen. Stand: 13. März 2015

HPC und EU-DSGVO. Konzenquenzen der neuen EU-Datenschutzgrundverordnung für den Betrieb von HPC-Systemen. Dr. Loris Bennett, FU Berlin

Stufenplan Digitales Planen und Bauen des Bundesministeriums für Verkehr und digitale Infrastruktur (BMVI)

DATENSCHUTZ DIE WORKSHOP-REIHE

(ISMS) Informationssicherheits-Managementsystem. - das ABC der Umsetzung

SC124 Kritische Infrastrukturen gem. ISO u. ISO 27019

ISIS12 und die DS-GVO

Vorsprung durch digitale Signatur und TR-RESISCAN-ready

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

Testen mit Use Cases. Chris Rupp Dr. Stefan Queins

Projekt: Unterschrift unterwegs

Die neuen IT-Grundschutz-Bausteine und deren Struktur. Florian Hillebrand IT-Grundschutz und Allianz für Cyber-Sicherheit

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

Multiscope ISMS. ISO für Konzerne. Thomas Grote, , Köln

Glücklich mit Grundschutz Isabel Münch

Zertifizierung gemäß ISO/IEC 27001

ERFAHRUNGSBERICHT: PRÜFUNG NACH 8A (3) BSIG AUS PRÜFER- UND KRANKENHAUSSICHT

ÖPNV-TICKET auf DEM VIELE FUNKTIONEN. EIN SYSTEM. EINE KARTE.

Mobile Payment mittels NFC

RFID. Funkchips für jede Gelegenheit?

IT-Sicherheit für Stadtwerke Sind Sie READY für ein zertifiziertes ISMS? Thomas Steinbach Leipzig, 10. Mai 2017

ConformityZert GmbH. Zertifizierungsprozess ISO 27001

Datenschutz und Datensicherheit beim Smart Metering in der Schweiz

Fallbeispiele zur Kompetenz IT-Sicherheit und CyberSecurity Berlin, Leipziger Platz 15

Leitlinie für die Informationssicherheit

Deutschland Online Vorhaben Standardisierung

IT Security Risikoanalyse vermeidet Kosten

Zertifizierung nach ISO unter Berücksichtigung des Konformitätsprogramms der BNetzA

Regelwerk der Informationssicherheit: Ebene 1

Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung

Trust in Cloud Quo Vadis Zertifizierung. Wolfgang Schmidt, Folker Scholz. Folker Scholz. Cloud-Ecosystem Cloud-EcoSystem

Engagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25.

Damit die Einführung eines ISMS und die ISO Zertifizierung gelingen

IT-Sicherheit im Spannungsfeld

zurückgezogen DVGW-Information GAS Nr. 22 März 2016 INFORMATION Informationssicherheit in der Energieversorgung in Kooperation mit GAS

Sicherheit der Verarbeitung nach der Europäischen Datenschutzgrundverordnung. Sicherheit der Verarbeitung nach DSGVO

Technologische Markttrends

Projektüberblick in 10 Minuten. Peter Niehues, regio it aachen Berlin, 04. Oktober 2011

EU-Datenschutz- Grundverordnung

Zertifizierung gemäß ISO/IEC IT-Sicherheitskatalog nach 11 Abs. 1a EnWG

Transkript:

Erfahrungen bei der Anwendung von Risikoabschätzungsverfahren in RFID-Anwendungen Security Assessments und Security-by-Design PIA Experten-Symposium am 25.11.2011 Bernd Kowalski

Rolle des BSI bei RFID-Anwendungen Das BSI fokussiert auf Themen der Informations- und Funktionssicherheit Kontaktlose Technologie wird seit Jahren in sicherheitsrelevanten Anwendungen und auch in kritischen Infrastrukturen eingesetzt (z.b. ÖPV, Zutrittskontrolle, Mitarbeiterausweise, Fälschungsschutz). Weitere Anwendungen mit Schutzbedarf stehen vor der Einführung (Contactless payment, NFC, Nutzung von RFID zur Sicherung der logistischen Warenkette) Kontrollterminal bei VRS und VRR für kontaktloses Ticketing Bildquelle: Haas-IT traffic solutions Player beim Contactless Payment Einzelbildquellen: MasterCard, VisaCard, NFC-Forum PIA-Experten-Symposium Folie 2

IT-Security Assessments bei RFID- Anwendungen Das BSI hat im Jahr 2006 begonnen, IT-Sicherheitsbetrachtungen in den Einsatzgebieten Öffentlicher Personenverkehr, Zutrittskontrolle, NFC und Handelslogistik durchzuführen. Für alle 3 Bereiche der IT-Sicherheit (Informations-, Funktionssicherheit und Datenschutz) wurden Schutzbedarf und potentielle ermittelt. Um den ermittelten Handlungsbedarf zu adressieren, wurden die Aktivitäten zu den Technischen Richtlinien "Sicherer RFID-Einsatz" (TR-03126) durch das BSI implementiert. Einsatzgebiete der TR RFID Einzelbildquellen: Deutsche Bahn, VRR, BMI, FIFA Funktionssicherheit, Informationssicherheit, Datenschutz Schutzbedarf Maßnahmen Technische Richtlinie für den sicheren RFID-Einsatz Grundlegende Inhalte der TR RFID PIA-Experten-Symposium Folie 3

Ziele der Technischen Richtlinien Sicherer RFID-Einsatz Unterstützung der sicheren, praxisnahen Implementierung von RFID- Anwendungen Definition des State-of-the-Art bei Informations- und Funktionssicherheit Unterstützung der Anwendungsbetreiber und Service Provider mit spezifischem Know-how zur sicheren Implementierung von RFID- Anwendungen Schaffung von Akzeptanz durch Transparenz und Berücksichtigung der Interessen der Beteiligten. Unterstützung von Konformitätsprüfungen und Zertifizierungen Mögliches Zertifikat auf Basis der Richtlinienreihe TR 03126 (TR RFID, Technische Richtlinie für den sicheren RFID-Einsatz) PIA-Experten-Symposium Folie 4

Struktur der TR RFID Beschreibung des Einsatzgebiets Beschreibung der Anwendungen Rollen, Produkte und Dienste, Prozesse, Use Cases, Systeme Definition der Sicherheitsziele Sicherheitszielen Sicherheitszielen Sicherheitszielen Ermittlung Schutzbedarf Zuordnung Schutzbedarfsklassen Zuordnung Schutzbedarfsklassen Zuordnung Schutzbedarfsklassen Ermittlung von Schutzmaßnahmen Definition von geeigneten Schutzmaßnahmen für alle Identifizierung der Restrisiken Bestimmung und Dokumentation der verbleibenden Risiken Funktionssicherheit Informationssicherheit Datenschutz PIA-Experten-Symposium Folie 5

Lessons learned der Security Assessments zu den TR RFID Interessen von Anwendungsbetreibern, Nutzern, IT-Sicherheits- und Datenschutz-beauftragten können synchronisiert und bedient werden Know-how zu Security-by-Design, Privacy-by-Design bei RFID-Betreibern, Lieferanten nur in Ausnahmefällen vorhanden Technische Richtlinien sind unbedingt nötig Anforderungen zu Security-by-Design und Privacy-by- Design müssen synchronisiert werden und in Lastenheft, Spezifikationen einfließen. Datenschutz Funktionssicherheit Separate Umsetzung von IT-Sicherheit und Datenschutz nicht praxisgerecht und ineffizient Die gemeinsame Betrachtung von Funktions-, Informationssicherheit und Datenschutz sind elementar für die erfolgreiche Implementierung von sicheren RFID-Anwendungen. Informationssicherheit PIA-Experten-Symposium Folie 6

Zusammenwirken von PIA und TR RFID Die Initiative der EC zum PIA Framework und die Aktivitäten zur TR RFID verfolgen die gleichen Ziele! Beide Aktivitäten unterstützen sich optimal: BSI TR RFID (Nr. 6 der EU-Empfehlung zu RFID): Fokus auf Informations- und Funktionssicherheit, Datenschutz und Schutz der Privatsphäre bisher nur sehr generell betrachtet worden. EC PIA-Framework (Nr. 5 der EU-Empfehlung zu RFID): Fokus auf Datenschutz und Schutz der Privatsphäre Beide Verfahren basieren auf der Vorgehensweise nach ISO/IEC 27005 Die TR RFID eignen sich ideal als Templates zur Umsetzung des PIA-Frameworks PIA-Experten-Symposium Folie 7

Zusammenwirken von PIA und TR RFID Datenschutz nichttechn. Datenschutz PIA- Leitfaden techn. Datenschutz TR RFID Informationssicherheit Die Technische Richtlinie für den sicheren RFID-Einsatz als Basis für die BSI-Aktivitäten zum Privacy Impact Assessment PIA-Experten-Symposium Folie 8

Erweiterung der TR RFID zum Template für den PIA-Prozess Handlungsstrang "Datenschutz" der TR RFID wird zur Umsetzung des PIA Prozesses erweitert: Beschreibung des Einsatzgebiets Beschreibung der Anwendungen Rollen, Produkte und Dienste, Prozesse, Use Cases, Systeme Definition der Sicherheitsziele Sicherheitszielen Sicherheitszielen Sicherheitsziele spez. PIA Definition von Sicherheitszielen Ermittlung Schutzbedarf Zuordnung Schutzbedarfsklassen Zuordnung Schutzbedarfsklassen Schutzbedarf Zuordnung PIA Schutzbedarfsklassen Ermittlung von Definition von PIA spez. Schutzmaßnahmen Maßnahmen Definition von geeigneten Schutzmaßnahmen für alle PIA Identifizierung der Restrisiken Restrisiken, Bestimmung und Dokumentation der verbleibenden Risiken PIA-Report Funktionssicherheit Informationssicherheit Datenschutz PIA PIA-Experten-Symposium Folie 9

Kombinierte Konformitätstests und ggf. Zertifizierungen Bei Nutzung der TR RFID als PIA-Template lassen sich Konformitätstests und Zertifizierungen zu den Sicherheitszielen des Datenschutzes (PIA) und der Funktions- und Informationssicherheit (TR RFID) kombiniert durchführen. Ein PIA und ein PIA-Report können auf Basis der TR RFID auch separat erstellt werden. Funktionssicherheit Informationssicherheit techn. Datenschutz nichttechn. Datenschutz TR RFID (EUC-REC #6) 2012 PIA-Leitfaden (EUC-REC #5) - - - ToDo: Prüfkriterien : Umsetzung der Europäischen Empfehlung zu RFID in Deutschland! PIA-Experten-Symposium Folie 10

Value Proposition der Umsetzung des PIA-Prozesses mit den TR RFID Die TR RFID werden akzeptiert und haben Praxistauglichkeit bewiesen. Referenzen sind z.b. die VDV Kernapplikation (mehrere Mio. Kartenbesitzer), FIFA WM2006, etc Die TR RFID ist ideal geeignet, den PIA-Prozess anwendungsgerecht, effizient und transparent umzusetzen. Zur Implementierung von Security-by-design und Privacy-by-design müssen Anforderungen der Informations-, Funktionssicherheit und des Datenschutzes berücksichtigt werden. Die TR RFID unterstützt dies. Konzepte, die sich nur auf Datenschutz oder nur auf IT-Sicherheit fokussieren, leisten dies nicht. Die TR RFID bietet wirksame Unterstützung für Betreiber und Service Provider bei der effizienten Implementierung von sicheren und PIAkonformen RFID-Systeme. PIA-Experten-Symposium Folie 11

Perspektiven Das BSI arbeitet zur Zeit an der Erweiterung der existierenden TR RFID zu PIA Templates Die TR RFID werden künftig neben den Zielen der Informations- und Informationssicherheit auch den PIA-Prozess unterstützen. Das BSI wird dabei auch weiterhin die Kooperation mit Verantwortlichen und Beteiligten insbesondere den Datenschutzverantwortlichen suchen. Das BSI wir eine Zertifizierung nach TR RFID anbieten. PIA-Experten-Symposium Folie 12

Vielen Dank für Ihre Aufmerksamkeit! Bernd Kowalski Abteilungspräsident Sichere elektronische Identitäten, Zertifizierung und Standardisierung Tel.: 0228-9582-5700 Mail: bernd.kowalski@bsi.bund.de

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback