ICT Security Solutions Die digitale Identität im egovernment Wie viele digitale Identitäten braucht der Mensch? 22. April 2005 V1.1 The delicate balance between acceptable levels of risk and available levels of investment.
Agenda 1 Einleitung 2 Ist das Passwort zur Authentisierung noch zeitgemäss? 3 Ansatz für das richtige Mass an IT-Security 4 PKI, eine kurze Einführung 5 Das Schweizer Signaturgesetz 6 Einsatz von Zertifikaten als digitale Identität 7 Konkrete Beispiele 8 Zusammenfassung 2
Seamless Security Solutions by Swisscom Solutions Unsere Dienstleistungen: Business-Kommunikation, die Sie mit der Zukunft verbinden Consulting Integration Operation Risk Assessment Enterprise Security Architecture General Contractor Project Management Trust Center IT Audit Project Controlling & Assurance ICT Security Infrastructure Solutions (PKI, AAA, Directory, Secure Hosting) Security Technology Deployment Secure Collaboration Solutions (Secure Messaging, Secure edocument Perimeter Security Solutions (Firewall, IPS, SPAM, SSL VPN, IPsec VPN) Secure Mobile Computing (Client Security, ComSec) 3
Ist das Passwort zur Authentisierung noch zeitgemäss? Der durchschnittliche Bürger hat ca. 20 verschiedene Accounts mit Passwort..und alle sind unterschiedlich, alle sind schwierig zu erraten und sollten alle 90 Tage geändert werden 4
Ist das Passwort zur Authentisierung noch zeitgemäss? Das Passwort hat uns gute Dienste geleistet aber nun sind wir an die Leistungsgrenzen gestossen. Nutzen der digitalen Identität für die Authentisierung: Kosteneinsparung (Help-Desk für das zurücksetzen des Passworts). Benutzerfreundlichkeit Mehrfach einsetzbar (Single Sign On) Nachvollziehbarkeit gewährleistet Steigerung der IT- Security 5
Ansatz für das richtige Mass an IT-Security Welche Informationen müssen wie geschützt werden? vollkommene Sicherheit gibt es nicht ohne Sicherheit geht es aber auch nicht wenn schon, dann wirkungsvoll und nachhaltig Was ist dabei zu beachten? Welche Informationen sind schützenswert? wie legt man den Schutzbedarf fest? 6
Ansatz für das richtige Mass an IT-Security Klassifizierung des Assets: Anforderungen an die Vertraulichkeit Anforderungen an die Integrität Anforderungen an die Verfügbarkeit Anforderungen an die Verbindlichkeit (Nachvollziehbarkeit, gesetzliche / regulatorische Anforderungen) Falls bei dieser Gelegenheit der Schluss aufkommt, dass eine Information keinerlei Wert darstellt, dann sollte es konsequenterweise gelöscht werden. 7
PKI, eine kurze Einführung PKI ist eine technische Lösung für: Integrität Message Digest, Hash Vertraulichkeit Verschlüsselung Authentizität signieren Nicht-Abstreitbarkeit Message Digest, signieren 8
PKI, eine kurze Einführung Wo hilft PKI bei der Authentisierung? Einführung der digitalen Identität Mehrfache Verwendung der digitalen Identität Ausnutzung eines Vertrauensverhältnisses (Trust Relationship) 9
PKI, eine kurze Einführung Trust Center (PKI) Aufbau einer Trust Relationship Person Registrierung des Benutzers Abgabe der SmartCard Publzieren des Public Key Directory Die beiden Parteien haben einen rechtsgültigen Vertrag abgeschlossen Signieren eines Dokumentes unter zuhilfenahme des Private Key Prüfung der Gültigkeit der Signatur Busines oder egovernment 10
Das Schweizer Signaturgesetz Elektronischer, medienbruchfreier Handel (ecommerce) verlangt verbindliche elektronische Signatur am 13. Dezember 1999 erliess die EU eine Richtlinie (1999/93/EG), die alle Mitgliedsstaaten beauftragt, die elektronische Signatur der handschriftlichen gleichzustellen. das schweizerische Signaturgesetz ist seit dem 1.1.2005 in Kraft und definiert neu im OR Artikel 14. Abs. 2bis: Art. 14 Abs. 2bis 2bis Der eigenhändigen Unterschrift gleichgestellt ist die qualifizierte elektronische Signatur, die auf einem qualifizierten Zertifikat einer anerkannten Anbieterin von Zertifizierungsdiensten im Sinne des Bundesgesetzes vom 19. Dezember 2003 [1] über die elektronische Signatur beruht. Abweichende gesetzliche oder vertragliche Regelungen bleiben vorbehalten. [1] SR 943.03; AS 2004 5085 11
Das Schweizer Signaturgesetz Um qualifizierten elektronischen Signaturen einsetzen zu können, muss sich in der Schweiz ein Dienstanbieter finden, der gemäss Signatur Gesetzes (ZertES) die technischen und administrativen Vorschriften über Zertifizierungsdienste im Bereich der elektronischen Signatur vom 6. 12. 2004 (SR 943.032.1) erfüllt. Die Einhaltung dieser Vorgaben wird durch eine von der Schweizerischen Akkreditierungsstelle (SAS) akkreditierte Anerkennungsstelle geprüft. Swisscom hat ein Projekt gestartet, um als Dienstanbieter für qualifizierte elektronische Signaturen in der Schweiz aufzutreten. 12
Das Schweizer Signaturgesetz Wozu qualifizierte Signaturen? Die Schriftlichkeit ist nur selten von Gesetzes wegen gefordert. Trotzdem werden die meisten Formulare und Verträge heute schriftlich abgefasst und unterzeichnet PKI ist eine allgemein anerkannte Technologie für den sicheren elektronischen Datenaustausch Ein öffentliche Verzeichnis erlaubt online die Überprüfung der Gültigkeit einer Signatur Auch fortgeschrittene Zertifikate eines Dienstanbieters für qualifizierte Signaturen sind sehr vertrauenswürdig, wenn der selbe Prozess für die Registrierung verwendet wird. 13
Das Schweizer Signaturgesetz PKI Implementation gemäss technischen und administrativen Vorschriften für ein Dienstanbieter von qualifizierten Zertifikaten CP / CPS und Trust-Model erstellen Architektur festlegen Security Framework (ISMS) definieren Formales Information Security Management System nach ISO/IEC 17799 Prozesse für Registrierung und Zertifikatserstellung Key Life-Cycle Management Aufbau und Betrieb des Perimeter Aufbau und Betrieb der Plattform Einbindung der externen RA Top-Down Prüfung und Anerkennung durch KPMG 14
Einsatz von Zertifikaten als digitale Identität Herausforderungen bei der Verwendung von digitalen Identitäten im B2G und B2B ist die Zuordnung von natürlichen Personen zu juristischen Personen Handelsregister {A,a}? Unternehmen A Unternehmen A Person a Gegenpartei G alpha Befugnis: Vollmacht?? {B,beta}? Unternehmen B Applikation beta Gegenpartei G Applikation gamma 15
Konkrete Beispiele Folgende Anwendungen stehen für die Verwendung von qualifizierten digitalen Zertifikaten teilweise in Verbindung mit fortgeschrittenen Zertifikaten - im Fokus der Swisscom: Elektronische Lohnmeldung mit Ausgleichskassen, der SUVA und den Steuerbehörden über standardisierte elektronische Formate (ELM = Einheitliches Lohnmeldverfahren) Einbindung ins KMU-Portal des SECO für die vereinfachte Kommunikation von KMU s mit den Bundesstellen (z.b. Handelsregister, Anträge für Bewilligungen, etc). Dokumentenmanagement: versenden von signierten Rechnungen als Adobe PDF (z.b. mit Abacus Finanzsoftware) Elektronische MwSt. Abrechnung von Firmen mit dem Bund Time Stamping Services für Dokumentenmanagement und Archivierung (Unveränderbarkeit) Healthcare: Patientenkarte, Versicherungskarte, Patientendossier, Übertragungssicherheit SIMAP.ch: Portal beim Bund für WTO Ausschreibungen Weitere Anwendungen: Der neue elektronische Pässe mit biometrischen Merkmalen, muss vom Aussteller digital signiert werden bei der Erstellung. Für das Zinsbesteuerungsabkommen mit der EU müssen die Daten elektronisch signiert werden Identity Federation : z.b SSO Portal des EJPD bietet bei verschiedenen Portalen eindeutige Identifikation der Nutzer mittels universell nutzbaren Sign-on Zertifikaten 16
PKI, Anwendungsbeispiel: Das «eformular» Gemeinde Seldvila Gemeindehausplatz 1 9999 Seldvila Elektronisch erstellen Standardisiertes Formular Name Vorname Ort Mit digitaler Signatur verbindlich Elektronisch bearbeiten und ausfüllen Ausfüllbarer Teil Gemeinde Seldvila Gemeindehausplatz 1 9999 Seldvila Name Meier Vorname Martin Ort Zürich Ausfüllbarer Teil Elektronisch übermitteln Gemeinde Seldvila Gemeindehausplatz 1 9999 Seldvila Name Meier Vorname Martin Ort Zürich Workflow integriert Ge Ge mein 99 mein de S 99 Se deha eldv ldv us ila ila pla tz 1 Na me Or Vo rn a me t Me ier Ma rtin Zü ric Elektronisch abspeichern h Elektronisch archivieren 17
Zusammenfassung Für die elektronische Signatur muss eine Person eindeutig identifiziert werden. Der Gesetzgeber hat strenge Rahmenbedingungen festgelegt Die elektronischen Signatur darf nur für signieren gemäss ZertES eingesetzt werden Für die elektronische Signatur ist ein Secure Signature Creation Device (SmartCard, USB-Token) erforderlich, woraufplatz für mehrere digitale Schlüssel ist Im digitalen Zeitalter werden aufgrund der unterschiedlichen Anforderungen drei verschiedene Schlüssel (Identitäten) benötigt: 1. Einer für die elektronische Signatur 2. Einer für die Benutzer Authentisierung (RAS, Sign-on, SSL am Web-Portal) 3. Einer für die Verschlüsselung Qualifizierte und fortgeschrittene Zertifikate können an möglichst vielen Stellen in der digitalen Welt genutzt werde um Personen und Geschäftspartner eindeutig zu identifizieren! 18
Swisscom Solutions AG ICT Security Solutions Müllerstrasse 16 CH-8004 Zürich Phone +41 1 294 88 44 Fax +41 1 294 81 39 email solutions@swisscom.com Swisscom Solutions AG ICT Security Solutions Lorenz Neher Müllerstrasse 16 CH-8004 Zürich Phone +41 1 294 84 69 Fax +41 1 294 88 55 email Lorenz.Neher@swisscom.com www.swisscom.com/solutions