ICT Security Solutions Die digitale Identität im egovernment

Ähnliche Dokumente
Swisscom der erste Dienstanbieter für qualifizierte Signaturen in der Schweiz

Community Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate

Sicherheit im E-Business

Digital signierte Rechnungen mit ProSaldo.net

Entwicklung und Einsatz von Signaturserverdiensten

2. Konfiguration der Adobe Software für die Überprüfung von digitalen Unterschriften

Das BIT und die SuisseID : Sicherheit, Kontinuität und Innovation

Vorbemerkungen. Digitale Signatur? Digitale Signatur. - BG über Zertifizierungsdienste im Bereich der elektronischen Signatur. - Keine Unterschrift!

managed PGP Gateway Anwenderdokumentation

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk

Zertifizierung in der Schweiz

SSZ Policy und IAM Strategie BIT

10 W-Fragen im Umgang mit elektronischen Rechnungen (erechnung)

Sign oder nicht Sign das ist keine Frage Rechtliche Grundlagen der elektronischen Signatur

Information der Ärztekammer Hamburg zum earztausweis. Beantragung und Herausgabe des elektronischen Arztausweises

Elektronische Signaturen in der Schweiz. The Business Designers The Technology Designers

Anwendungsbeispiele Sign Live! Secure Mail Gateway

Das Experiment mit der Digitalen Signatur

Mail encryption Gateway

Richtlinien bezüglich des Verfahrens bei Einstellung der Geschäftstätigkeit einer anerkannten CSP

Überprüfung der digital signierten E-Rechnung

Anforderungen zur Nutzung von Secure

Erstellen einer digitalen Signatur für Adobe-Formulare

SuisseID Risiken und Haftungsfragen

All-in Signing Service

Rechtsfolgen der Digitalen Identität

Informationstag 'Elektronische Signatur'

ELBA-business Electronic banking fürs Büro. Digitale Signatur. ELBA-business 5.7.0

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

Wie wird nun aus einem Zertifikat eine Signatur?

A-Trust Gesellschaft für Sicherheitssysteme im elektronischen Datenverkehr GmbH Michael Butz 15. April 2008

Integration von Zertifikaten in Benutzerverwaltungssysteme

Ihre Bewerbung per . Verschlüsselt und sicher

(Text von Bedeutung für den EWR)

Anleitung zur Prüfung von qualifizierten elektronischen Signaturen nach schweizerischem Signaturgesetz

Infrastruktur: Vertrauen herstellen, Zertifikate finden

Fragen und Antworten zu Secure

Ist das so mit HTTPS wirklich eine gute Lösung?

edm und Wegleitung Formale Anforderungen Elektronisches Dokumentenmanagement Swissmedic

versenden - aber sicher! Secure

Einsatz der Digitalen Signatur in PDF-Dateien. GxP-Seminare 2002 von IDS Scheer

Sichere s. Kundeninformation zur Verschlüsselung von s in der L-Bank

Intelligente und organisationsübergreifende Authentifikations- und Signaturmethoden

-Verschlüsselung viel einfacher als Sie denken!

Whitepaper. EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Hier finden Sie häufig gestellte Fragen und die Antworten darauf.

sicherer Dokumentenaustausch - vertraulich, überprüfbar und gesetzeskonform

Programmiertechnik II

Kapsch Carrier Solutions GmbH Service & Support Helpdesk

Sind elektronische Unterschriften bindend? Was muss ich tun, um DocuSign anzuwenden: Wenn eine DocuSign ankommt: Q & A:

Allgemeine Erläuterungen zu

Einfach sicher authentisieren.

Sicherheit ist Vertrauenssache

STORK. Secure IdenTity AcrOss BoRders LinKed. Bernd Zwattendorfer Wien,

Anleitung für die Lohnmeldung via ELM-Standard mittels PartnerWeb

Kurzanleitung zur Registrierung mit einer zugelassenen fortgeschrittenen

Zugriff auf Unternehmensdaten über Mobilgeräte

ecure usführliche Kundeninformation

Hinweisblatt zur elektronischen Signatur des WP-Prüfungsvermerks. im Antragsjahr 2015

(PKI) Public-Key-Infrastruktur an der Fachhochschule Bochum. Fachhochschule Bochum: ca Studierende ca. 300 Beschäftigte

Anleitung mtan (SMS-Authentisierung) mit Cisco IPSec VPN

Das DAAD-PORTAL. Prozess der Antragstellung in dem SAPbasierten Bewerbungsportal des DAAD.

PEI-C Rebuild Das neue Einreichungsportal des PEI für Chargenfreigabeanträge Z3, Z5, 7/3 Einführung 17/19/24/

Signaturgesetz mit Tücken Biometrie & Digitale Signatur

Identity management mit Hilfe der Bürgerkarte. Waltraut Kotschy Österr. Datenschutzkommission/ Stammzahlenregisterbehörde

Abschluss und Kündigung eines Vertrages über das Online-Portal der Netzgesellschaft Düsseldorf mbh

Freie Zertifikate für Schulen und Hochschulen

COSYNUS erechnung und elektronische Signatur

Inhalt 1. Einleitung 2. Kostenlose Einrichtung und Nutzung 3. Registrierungsmail 4. Registrierung 5. Variante PGP / SMIME und Funktionsweise

PKI und Digitale Signatur

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

Einrichten des Elektronischen Postfachs

Elektronische Signaturen

Sorgfalt im Umgang mit Identitätskennungen (fürs Zertifikat)

Informatik für Ökonomen II HS 09

Step by Step Webserver unter Windows Server von Christian Bartl

Die digitale Signatur. Einführung in die rechtlichen Grundlagen der elektronischen Signatur

Elektronische Signaturen. LANDRATSAMT BAUTZEN Innerer Service EDV

Registrierung im Portal (Personenförderung)

Mit Brief und Siegel: Ihre Unterschrift im Internet.

Digitale Signaturen. im Kontext der Biometrie. Thomas Kollbach

Digitales Rechnungsmanagement as a Service Lösungen für ALLE TEXTILER (Handel und Industrie)

Registrierung von Abschlussprüfern aus Drittländern Formular A (DE)

sign-me Unterschreiben mit dem npa: schnell und einfach

DFN-AAI Sicherheitsaspekte und rechtliche Fragen

Fachvorträge und Ausstellung

Informationssicherheit als Outsourcing Kandidat

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Inhalt... 1 Einleitung... 1 Systemanforderungen... 1 Software Download... 1 Prüfdokumentation... 4 Probleme... 5 Hintergrund... 5

Sichere Kommunikation mit Ihrer Sparkasse

Dokumentenmanagement als Dienst (DMS as a Service, DaaS)

Infinigate (Schweiz) AG. Secure Guest Access. - Handout -

Freigabemitteilung Nr. 39. Neue Funktionen adresse zurücksetzen / ändern Kennung ändern Anlegen von OCS (elektr. Postfach) Mailbenutzern

11. Das RSA Verfahren und andere Verfahren

Wholesale und FTTH. Handbuch Abrechnung 1/5. Ausgabedatum Ersetzt Version 2-0. Swisscom (Schweiz) AG CH-3050 Bern

Sichere Kommunikation mit Ihrer Sparkasse

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Transkript:

ICT Security Solutions Die digitale Identität im egovernment Wie viele digitale Identitäten braucht der Mensch? 22. April 2005 V1.1 The delicate balance between acceptable levels of risk and available levels of investment.

Agenda 1 Einleitung 2 Ist das Passwort zur Authentisierung noch zeitgemäss? 3 Ansatz für das richtige Mass an IT-Security 4 PKI, eine kurze Einführung 5 Das Schweizer Signaturgesetz 6 Einsatz von Zertifikaten als digitale Identität 7 Konkrete Beispiele 8 Zusammenfassung 2

Seamless Security Solutions by Swisscom Solutions Unsere Dienstleistungen: Business-Kommunikation, die Sie mit der Zukunft verbinden Consulting Integration Operation Risk Assessment Enterprise Security Architecture General Contractor Project Management Trust Center IT Audit Project Controlling & Assurance ICT Security Infrastructure Solutions (PKI, AAA, Directory, Secure Hosting) Security Technology Deployment Secure Collaboration Solutions (Secure Messaging, Secure edocument Perimeter Security Solutions (Firewall, IPS, SPAM, SSL VPN, IPsec VPN) Secure Mobile Computing (Client Security, ComSec) 3

Ist das Passwort zur Authentisierung noch zeitgemäss? Der durchschnittliche Bürger hat ca. 20 verschiedene Accounts mit Passwort..und alle sind unterschiedlich, alle sind schwierig zu erraten und sollten alle 90 Tage geändert werden 4

Ist das Passwort zur Authentisierung noch zeitgemäss? Das Passwort hat uns gute Dienste geleistet aber nun sind wir an die Leistungsgrenzen gestossen. Nutzen der digitalen Identität für die Authentisierung: Kosteneinsparung (Help-Desk für das zurücksetzen des Passworts). Benutzerfreundlichkeit Mehrfach einsetzbar (Single Sign On) Nachvollziehbarkeit gewährleistet Steigerung der IT- Security 5

Ansatz für das richtige Mass an IT-Security Welche Informationen müssen wie geschützt werden? vollkommene Sicherheit gibt es nicht ohne Sicherheit geht es aber auch nicht wenn schon, dann wirkungsvoll und nachhaltig Was ist dabei zu beachten? Welche Informationen sind schützenswert? wie legt man den Schutzbedarf fest? 6

Ansatz für das richtige Mass an IT-Security Klassifizierung des Assets: Anforderungen an die Vertraulichkeit Anforderungen an die Integrität Anforderungen an die Verfügbarkeit Anforderungen an die Verbindlichkeit (Nachvollziehbarkeit, gesetzliche / regulatorische Anforderungen) Falls bei dieser Gelegenheit der Schluss aufkommt, dass eine Information keinerlei Wert darstellt, dann sollte es konsequenterweise gelöscht werden. 7

PKI, eine kurze Einführung PKI ist eine technische Lösung für: Integrität Message Digest, Hash Vertraulichkeit Verschlüsselung Authentizität signieren Nicht-Abstreitbarkeit Message Digest, signieren 8

PKI, eine kurze Einführung Wo hilft PKI bei der Authentisierung? Einführung der digitalen Identität Mehrfache Verwendung der digitalen Identität Ausnutzung eines Vertrauensverhältnisses (Trust Relationship) 9

PKI, eine kurze Einführung Trust Center (PKI) Aufbau einer Trust Relationship Person Registrierung des Benutzers Abgabe der SmartCard Publzieren des Public Key Directory Die beiden Parteien haben einen rechtsgültigen Vertrag abgeschlossen Signieren eines Dokumentes unter zuhilfenahme des Private Key Prüfung der Gültigkeit der Signatur Busines oder egovernment 10

Das Schweizer Signaturgesetz Elektronischer, medienbruchfreier Handel (ecommerce) verlangt verbindliche elektronische Signatur am 13. Dezember 1999 erliess die EU eine Richtlinie (1999/93/EG), die alle Mitgliedsstaaten beauftragt, die elektronische Signatur der handschriftlichen gleichzustellen. das schweizerische Signaturgesetz ist seit dem 1.1.2005 in Kraft und definiert neu im OR Artikel 14. Abs. 2bis: Art. 14 Abs. 2bis 2bis Der eigenhändigen Unterschrift gleichgestellt ist die qualifizierte elektronische Signatur, die auf einem qualifizierten Zertifikat einer anerkannten Anbieterin von Zertifizierungsdiensten im Sinne des Bundesgesetzes vom 19. Dezember 2003 [1] über die elektronische Signatur beruht. Abweichende gesetzliche oder vertragliche Regelungen bleiben vorbehalten. [1] SR 943.03; AS 2004 5085 11

Das Schweizer Signaturgesetz Um qualifizierten elektronischen Signaturen einsetzen zu können, muss sich in der Schweiz ein Dienstanbieter finden, der gemäss Signatur Gesetzes (ZertES) die technischen und administrativen Vorschriften über Zertifizierungsdienste im Bereich der elektronischen Signatur vom 6. 12. 2004 (SR 943.032.1) erfüllt. Die Einhaltung dieser Vorgaben wird durch eine von der Schweizerischen Akkreditierungsstelle (SAS) akkreditierte Anerkennungsstelle geprüft. Swisscom hat ein Projekt gestartet, um als Dienstanbieter für qualifizierte elektronische Signaturen in der Schweiz aufzutreten. 12

Das Schweizer Signaturgesetz Wozu qualifizierte Signaturen? Die Schriftlichkeit ist nur selten von Gesetzes wegen gefordert. Trotzdem werden die meisten Formulare und Verträge heute schriftlich abgefasst und unterzeichnet PKI ist eine allgemein anerkannte Technologie für den sicheren elektronischen Datenaustausch Ein öffentliche Verzeichnis erlaubt online die Überprüfung der Gültigkeit einer Signatur Auch fortgeschrittene Zertifikate eines Dienstanbieters für qualifizierte Signaturen sind sehr vertrauenswürdig, wenn der selbe Prozess für die Registrierung verwendet wird. 13

Das Schweizer Signaturgesetz PKI Implementation gemäss technischen und administrativen Vorschriften für ein Dienstanbieter von qualifizierten Zertifikaten CP / CPS und Trust-Model erstellen Architektur festlegen Security Framework (ISMS) definieren Formales Information Security Management System nach ISO/IEC 17799 Prozesse für Registrierung und Zertifikatserstellung Key Life-Cycle Management Aufbau und Betrieb des Perimeter Aufbau und Betrieb der Plattform Einbindung der externen RA Top-Down Prüfung und Anerkennung durch KPMG 14

Einsatz von Zertifikaten als digitale Identität Herausforderungen bei der Verwendung von digitalen Identitäten im B2G und B2B ist die Zuordnung von natürlichen Personen zu juristischen Personen Handelsregister {A,a}? Unternehmen A Unternehmen A Person a Gegenpartei G alpha Befugnis: Vollmacht?? {B,beta}? Unternehmen B Applikation beta Gegenpartei G Applikation gamma 15

Konkrete Beispiele Folgende Anwendungen stehen für die Verwendung von qualifizierten digitalen Zertifikaten teilweise in Verbindung mit fortgeschrittenen Zertifikaten - im Fokus der Swisscom: Elektronische Lohnmeldung mit Ausgleichskassen, der SUVA und den Steuerbehörden über standardisierte elektronische Formate (ELM = Einheitliches Lohnmeldverfahren) Einbindung ins KMU-Portal des SECO für die vereinfachte Kommunikation von KMU s mit den Bundesstellen (z.b. Handelsregister, Anträge für Bewilligungen, etc). Dokumentenmanagement: versenden von signierten Rechnungen als Adobe PDF (z.b. mit Abacus Finanzsoftware) Elektronische MwSt. Abrechnung von Firmen mit dem Bund Time Stamping Services für Dokumentenmanagement und Archivierung (Unveränderbarkeit) Healthcare: Patientenkarte, Versicherungskarte, Patientendossier, Übertragungssicherheit SIMAP.ch: Portal beim Bund für WTO Ausschreibungen Weitere Anwendungen: Der neue elektronische Pässe mit biometrischen Merkmalen, muss vom Aussteller digital signiert werden bei der Erstellung. Für das Zinsbesteuerungsabkommen mit der EU müssen die Daten elektronisch signiert werden Identity Federation : z.b SSO Portal des EJPD bietet bei verschiedenen Portalen eindeutige Identifikation der Nutzer mittels universell nutzbaren Sign-on Zertifikaten 16

PKI, Anwendungsbeispiel: Das «eformular» Gemeinde Seldvila Gemeindehausplatz 1 9999 Seldvila Elektronisch erstellen Standardisiertes Formular Name Vorname Ort Mit digitaler Signatur verbindlich Elektronisch bearbeiten und ausfüllen Ausfüllbarer Teil Gemeinde Seldvila Gemeindehausplatz 1 9999 Seldvila Name Meier Vorname Martin Ort Zürich Ausfüllbarer Teil Elektronisch übermitteln Gemeinde Seldvila Gemeindehausplatz 1 9999 Seldvila Name Meier Vorname Martin Ort Zürich Workflow integriert Ge Ge mein 99 mein de S 99 Se deha eldv ldv us ila ila pla tz 1 Na me Or Vo rn a me t Me ier Ma rtin Zü ric Elektronisch abspeichern h Elektronisch archivieren 17

Zusammenfassung Für die elektronische Signatur muss eine Person eindeutig identifiziert werden. Der Gesetzgeber hat strenge Rahmenbedingungen festgelegt Die elektronischen Signatur darf nur für signieren gemäss ZertES eingesetzt werden Für die elektronische Signatur ist ein Secure Signature Creation Device (SmartCard, USB-Token) erforderlich, woraufplatz für mehrere digitale Schlüssel ist Im digitalen Zeitalter werden aufgrund der unterschiedlichen Anforderungen drei verschiedene Schlüssel (Identitäten) benötigt: 1. Einer für die elektronische Signatur 2. Einer für die Benutzer Authentisierung (RAS, Sign-on, SSL am Web-Portal) 3. Einer für die Verschlüsselung Qualifizierte und fortgeschrittene Zertifikate können an möglichst vielen Stellen in der digitalen Welt genutzt werde um Personen und Geschäftspartner eindeutig zu identifizieren! 18

Swisscom Solutions AG ICT Security Solutions Müllerstrasse 16 CH-8004 Zürich Phone +41 1 294 88 44 Fax +41 1 294 81 39 email solutions@swisscom.com Swisscom Solutions AG ICT Security Solutions Lorenz Neher Müllerstrasse 16 CH-8004 Zürich Phone +41 1 294 84 69 Fax +41 1 294 88 55 email Lorenz.Neher@swisscom.com www.swisscom.com/solutions

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback