Elektronische Vertrauensdienste in der praktischen Umsetzung Man soll die Dinge so einfach wie möglich machen, aber nicht einfacher." - Chancen und Handlungsempfehlungen Thorsten Höhnke, Fujitsu Peter Falk, Fujitsu 0
Agenda Biometrie, Elektronische Identitäten, Digitale Souveränität (TH) Vertrauensdienste (PF) 1
Wir leben in einer beschleunigten Zeit und offenen Welt Glokalisierung Urbanisierung Kürzere Entwicklungszyklen Stark steigende Volatilität Globalisierung Beschleunigung Smart Zero Big Data Benutzerzentrierte Mobilität Cloud 2
Der Schaden ist beträchtlich 51 Milliarden Schäden durch Wirtschaftsspionage pro Jahr 61% der Spionage- und Sabotageakte betreffen mittelständische Unternehmen Dramatische Imageschäden Wie stellt sich eine Firma dazu auf - In ihrer IT - In ihren Produkten Quelle: BITKOM Presseinformation 16. April 2015 (http://www.bitkom.org/de/presse/8477_82074.aspx) 3
IKT-Sicherheit durchgängig gestalten Technische Maßnahmen unterstützen und ergänzen organisatorische Maßnahmen Vertraulichkeit Klassifizierung von Information. Diese muss gegen unerlaubte Nutzung und Verteilung geschützt werden. Endgerät Übertragung Rechenzentrum Verfügbarkeit Autorisierte Nutzer müssen zu jeder Zeit verlässlichen Zugriff haben auf IT Services, Daten und andere IT Fkt. Menschen Technologien Prozesse Integrität Alle Daten müssen vollständig / verlässlich sein und dürfen nur definiert verändert werden (können). Generierung Veränderung Entsorgung 4
Das umfassende Lösungskonzept: Geheimdienste, Organisierte Kriminalität Industriespionage Internet Rechenzentrum HTTPS/SSL Endgerät Digitale Souveränität Basis für die Digitale Souveränität Rechenzentrum 5
Qualifizierte Elektronische Siegel 6
Qualifizierte elektronische Siegel SGB4 das 5. SGB IV-ÄndG vom 15.4.2015, BGBl I 2015, 583 (BT-Drs. 18/3699) bringt zum 1.1.2016 Neuerungen: Außerdem wird das Erfordernis der qualifizierten elektronischen Signatur aus den Vorschriften zur elektronischen Aufbewahrung entfernt. Begründet wird dies mit dem E-Government-Gesetz. Danach ist ab 1.1.2016 der 110 d ersatzlos aufgehoben. In 110a Abs. 2 Satz 2 Nr. 1a werden die Wörter und über diese Übereinstimmung ein Nachweis geführt wird, gestrichen. 7
Qualifizierte elektronische Siegel Unternehmenssignatur Ist der Nachweis dass ein Dokument von einer juristischen Person ausgestellt wurde und mit dessen Namen verknüpft ist. der Unversehrtheit und Ursprünglichkeit eines Dokumentes E. Ausgangspost kann durch den Einsatz von elektronischen Siegeln vereinfacht und endpersonalisiert werden Herkunft und Unversehrtheit werden durch das Zertifikat (Organisationszertifikat) einer juristischen Person bestätigt. 8
Qualifizierte elektronische Siegel Lösungen zum ersetzenden Scannen Aktuelle Massensignatur-Lösungen können durch den Einsatz von elektronischen Siegeln deutlich vereinfacht werden Der Vorgang wird endpersonalisiert, es bestätigt eine juristische Person Die Rechtswirksamkeit ist mit der QES vergleichbar durch die eidas-vo gegeben (Art. 35, Abs. 2) Es gilt die Vermutung, der Unversehrtheit und der Richtigkeit der Herkunftsangabe Langzeitspeicher nach TR ESOR sind eidas vorbereitet 9
Qualifizierte Fernsignaturen Aktuelle Signaturlösungen in der Vorgangsbearbeitung können durch den Einsatz von Fernsignaturen deutlich vereinfacht werden Lokale, manipulationssichere Signaturerstellungseinheiten entfallen Die Rechtswirksamkeit entspricht einer handschriftlichen Unterschrift (Anscheinsbeweis) Langzeitspeicher nach TR ESOR sind eidas kompatibel 10
Qualifizierte Fernsignaturen Natürliche Person Dokument Signieren Dokument Geschäftsprozess 2-Faktor-Authentisierung Vertrauensdiensteanbieter Dokument Signaturerzeugung Technische Umsetzung Signaturauslösemechanismus befindet sich unter alleiniger Kontrolle des Schlüsselinhabers (natürliche Person) Schlüsselmaterial und Zertifikat werden in einer manipulationssicheren Infrastruktur (HSM) eines qualifizierten Vertrauensdiensteanbieters gespeichert 11
Fujitsu Quick Check eidas Der Quick-Check eidas basiert auf einem Reifegradmodell in dem die Bereiche Organisation,Technik, Geschäftsprozesse, Planung/Umsetzung, externe Anforderungen, hinsichtlich der eidas Fähigkeit betrachtet werden. Er ermöglicht eine ganzheitliche Betrachtung eines ordnungsmäßigen Einsatzes von Vertrauensdiensten in den o.g. Dimensionen und kann organisationsweit oder für einzelne Abteilungen angewendet werden. eidas REGULATION No 910/2014 12
13