SkIDentity Vertrauenswürdige Identitäten für die Cloud



Ähnliche Dokumente
VERTRAUENSWÜRDIGE IDENTITÄTEN FÜR DIE CLOUD

SkIDentity Trustworthy Identities and Strong Authentication as a Service Dr. Detlef Hühnlein, ecsec GmbH 2014 SkIDentity Team

Fit für den neuen Personalausweis Wie Städte und Gemeinden die Online-Ausweisfunktion einsetzen

Verpasst der Mittelstand den Zug?

Der Schutz von Patientendaten

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Datenschutz. Vortrag am GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße Osnabrück

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

Cloud Computing mit IT-Grundschutz

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Aktuelle Herausforderungen im Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Bestandskauf und Datenschutz?

Bei der Tagung werden die Aspekte der DLRL aus verschiedenen Perspektiven dargestellt. Ich habe mich für die Betrachtung der Chancen entschieden,

Neuer Personalausweis und eid-service/server Effiziente Einbindung bei Behörden und Unternehmen

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

Der ohne sachlichen Grund befristete Arbeitsvertrag

Starke, kosteneffiziente und benutzerfreundliche Authentisierung in der Cloud ein Widerspruch in sich?

Die Zukunft des Melderegisters in Sozialen Medien oder als Open Data?

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Newsletter Immobilienrecht Nr. 10 September 2012

D i e n s t e D r i t t e r a u f We b s i t e s

Lösung Fall 8 Anspruch des L auf Lieferung von Panini á 2,-

Aktuelle rechtliche Herausforderungen beim Einsatz von Apps

Chancen und Potenziale von Cloud Computing Herausforderungen für Politik und Gesellschaft. Rede Hans-Joachim Otto Parlamentarischer Staatssekretär

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin

STORK. Secure IdenTity AcrOss BoRders LinKed. Bernd Zwattendorfer Wien,

Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

Rechtssicher in die Cloud so geht s!

eidas as a Service Gibt es die starke Authentisierung und die elektronische Signatur bald aus der Cloud?

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Vereinbarung zur Sicherstellung des Schutzauftrages bei Kindeswohlgefährdung gem. 8a SGB VIII

Facebook und Datenschutz Geht das überhaupt?

Wholesale und FTTH. Handbuch Abrechnung 1/5. Ausgabedatum Ersetzt Version 2-0. Swisscom (Schweiz) AG CH-3050 Bern

Das große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten

Datenschutz und Schule

Speicher in der Cloud

Content Management System mit INTREXX 2002.

Datenschutz und D

Verbrauchertipp! Gesetz zur Button-Lösung

1. bvh-datenschutztag 2013

Workshop. Die Wolken lichten sich. Cloud Computing"-Lösungen rechtssicher realisieren

Wissenschaftlicher Bericht

Sicherheitsanalyse von Private Clouds

Informationen zum Thema Datensicherheit

Der neue Personalausweis in der Praxis

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Informationssicherheit als Outsourcing Kandidat

Projektmanagement in der Spieleentwicklung

Im Folgenden werden einige typische Fallkonstellationen beschrieben, in denen das Gesetz den Betroffenen in der GKV hilft:

Homebanking-Abkommen

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

Infrastruktur: Vertrauen herstellen, Zertifikate finden

Agile Vorgehensmodelle in der Softwareentwicklung: Scrum

ANYWHERE Zugriff von externen Arbeitsplätzen

1 Geltungsbereich, Begriffsbestimmungen

Windows 8 Lizenzierung in Szenarien

Signaturgesetz und Ersetzendes Scannen

Prüftech GmbH auf der MAINTENANCE Dortmund 2013

Kursbeschreibung Ausbildung zum internen betrieblichen Datenschutzbeauftragten

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Informationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:

Erfolgreiche Webseiten: Zur Notwendigkeit die eigene(n) Zielgruppe(n) zu kennen und zu verstehen!

Nutzung dieser Internetseite

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

FAQ 04/2015. Auswirkung der ISO auf 3SE53/3SF13 Positionsschalter.

Tag des Datenschutzes

DFN-AAI Sicherheitsaspekte und rechtliche Fragen

Verjährungsfalle Gewährleistungsbürgschaft. -Unterschiedliche Verjährungsfristen für Mängelansprüche und Ansprüche aus der Gewährleistungsbürgschaft

Nicht über uns ohne uns

Was sagt der Anwalt: Rechtliche Aspekte im BEM

Prof. Dr. Norbert Pohlmann, Institut für Internet Sicherheit - if(is), Fachhochschule Gelsenkirchen. Lage der IT-Sicherheit im Mittelstand

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Leseauszug DGQ-Band 14-26

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

Professionelle Seminare im Bereich MS-Office

Dieter Brunner ISO in der betrieblichen Praxis

Die Gesellschaftsformen

Umsatzsteuer Wichtige Neuerungen: Wer schuldet die Steuer bei Bauleistungen?

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

«Eine Person ist funktional gesund, wenn sie möglichst kompetent mit einem möglichst gesunden Körper an möglichst normalisierten Lebensbereichen

Authentisierung für die Cloud mit dem neuen Personalausweis

T H E M E N S E R V I C E

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

Charakteristikum des Gutachtenstils: Es wird mit einer Frage begonnen, sodann werden die Voraussetzungen Schritt für Schritt aufgezeigt und erörtert.

Mindestanforderungen an. Inland ECDIS Geräte im Informationsmodus und vergleichbare Kartenanzeigegeräte. zur Nutzung von Inland AIS Daten

Der Datenschutzbeauftragte

Pressemitteilung der Universität Kassel

Informationen zum Begleiteten Fahren ab 17

Private oder public welche Cloud ist die richtige für mein Business? / Klaus Nowitzky, Thorsten Göbel

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

Kommission für Jugendmedienschutz - Stand vom (Kurzfassung vom ) -

WLAN Konfiguration. Michael Bukreus Seite 1

Stammtisch Recklinghausen. Datenschutz gestern heute - morgen. Mark Spangenberg mark.spangenberg@googl .com

Würfelt man dabei je genau 10 - mal eine 1, 2, 3, 4, 5 und 6, so beträgt die Anzahl. der verschiedenen Reihenfolgen, in denen man dies tun kann, 60!.

Thementag Cloud Computing Datenschutzaspekte

GRUNDLAGEN TECHNIK UND METHODEN. Prof. Dr. Norbert Pohlmann, Malte Hesse. Zertifizierungshierarchie und Vertrauensmodelle

Transkript:

SkIDentity Vertrauenswürdige Identitäten für die Cloud Detlef Hühnlein 1 Gerrit Hornung 2 Heiko Roßnagel 3 Johannes Schmölz 1 Tobias Wich 1 Jan Zibuschka 3 1 ecsec GmbH, Sudetenstraße 16, D-96247 Michelau vorname.nachname@ecsec.de 2 Universität Passau, Innstr. 39, D-94032 Passau gerrit.hornung@uni-passau.de 3 Fraunhofer Institut für Arbeitswirtschaft und Organisation, Nobelstr. 12, D-70569 Stuttgart vorname.nachname@iao.fraunhofer.de Zusammenfassung Durch die zunehmende Verlagerung von Geschäftsprozessen in die Cloud steigt der Bedarf an starken und flexibel nutzbaren Authentisierungsmechanismen. Vor diesem Hintergrund wird im SkIDentity- Projekt (siehe http://www.skidentity.de), das zu den Gewinnern des Trusted Cloud Technologiewettbewerbs des Bundesministerium für Wirtschaft und Technologie zählt, eine umfassende Vertrauensinfrastruktur für die sichere, wirtschaftlich sinnvolle und rechtlich zulässige Nutzung elektronischer Ausweise in Cloud-Anwendungen entwickelt. Der vorliegende Beitrag liefert einen Überblick über die wesentlichen in diesem Projekt adressierten Probleme und skizziert die geplante SkIDentity- Lösungsarchitektur. 1 Einleitung Vor dem Hintergrund der wirtschaftlichen Vorzüge der Industrialisierung von IT-Services und dem großen wirtschaftlichen Potenzial des Internet der Dienste [Ber+10] bilden sich zunehmend neue und verbesserte Angebote für Cloud-basierte Dienste [ShKa09]. Während eine zuverlässige Identitätsverwaltung als essentielle Voraussetzung für das vertrauenswürdige Cloud Computing gilt und das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Einsatz starker Authentifizierungsverfahren auch für Cloud-Nutzer empfiehlt [BSI-MSACC], erfolgt die Benutzerauthentifizierung für Cloud-Dienste und Anwendungen bislang noch fast immer mit Benutzername/Passwort. Auf der anderen Seite existiert mit der Ausgabe des neuen Personalausweises (npa) [npa- Portal] endlich auch in Deutschland, ähnlich wie in einigen anderen Mitgliedsstaaten der Europäischen Union, eine sichere Infrastruktur für elektronische Ausweise und Identitäten (eid) P. Schartner J. Taeger (Hrsg.) D A CH Security 2011, pp. xx

2 SkIDentity Vertrauenswürdige Identitäten für die Cloud (siehe [HuHo09]), die auf dem umfassend neu geregelten Personalausweisgesetz beruht (näher [RoHo09]). Vor diesem Hintergrund zielt das SkIDentity-Projekt darauf ab, eine tragfähige Brücke zwischen den sicheren elektronischen Ausweisen und den heute existierenden bzw. sich entwickelnden Cloud-Computing-Infrastrukturen zu schlagen, um vertrauenswürdige Identitäten für die Cloud bereit zu stellen, so dass komplette Prozess- und Wertschöpfungsketten sicher gestaltet werden können. Die Verbindung der beiden Bereiche eröffnet erhebliche Chancen für innovative Produkte: Das deutsche Marktvolumen im Bereich Identifikation, Authentifizierung inklusive Biometrie und RFID wird sich von 920 Mio. im Jahr 2008 auf 1.720 Mio. im Jahr 2015 fast verdoppeln [VDI09]. Noch vielversprechender sind aber die Perspektiven im Bereich des Cloud Computings: Dort soll sich das deutsche Marktvolumen im Bereich von Public Clouds von derzeit 702 Mio. bis zum Jahr 2025 auf 21,99 Mrd. erhöhen und somit mehr als verdreißigfachen [Ber+10]. Somit adressiert das SkIDentity-Projekt strategisch äußerst attraktive Märkte. Der Rest des Beitrags ist folgendermaßen gegliedert: In Abschnitt 2 wird näher auf die im SkIDentity-Projekt adressierten Problemstellungen eingegangen. Abschnitt 3 skizziert die SkIDentity-Lösungsarchitektur, mittels der die aufgeworfenen Probleme gelöst werden sollen. Abschnitt 4 enthält schließlich einen Ausblick auf zukünftige Entwicklungen. 2 Problemstellung Bei der Bereitstellung sicherer Identitäten für die Cloud sind eine Reihe von technischen, organisatorischen, rechtlichen und wirtschaftlichen Problemen zu lösen: Fehlende Integration von eid- und Cloud-Infrastrukturen: Die Infrastrukturen für elektronische Ausweise und Cloud-basierte Dienste sind bislang nicht in zufriedenstellender Weise auf einander abgestimmt geschweige denn integriert. Beispielsweise sind die im eid- und Cloud-Umfeld eingesetzten Authentifizierungsprotokolle komplett unterschiedlich und können nicht ohne Weiteres in sicherer Art und Weise kombiniert und integriert werden. eid-services werden bislang nur für den npa angeboten: Bisher werden eid-services in Deutschland nur für den npa angeboten. Während für die elektronische Gesundheitskarte und den elektronischen Heilberufsausweis [EHP+10] sowie zur Akzeptanz internationaler Ausweise [STORK] zumindest entsprechende Konzepte und Prototypen existieren, steht die Integration anderer Public-Key Infrastrukturen (PKI) [EsKo08] in eine umfassende eid-services-cloud noch gänzlich aus. eid-services für den npa sind nicht handelbar und somit für KMU ungeeignet: Besonders problematisch ist die Tatsache, dass eid-services für den npa im Regelfall nicht in einem Internet der Dienste handelbar sind, da jeder Diensteanbieter ein eigenes Berechtigungszertifikat benötigt und die Übermittlung der Daten an Dritte aus Datenschutzerwägungen explizit ausgeschlossen ist (siehe [PAuswG] und [RHS08]). Ungeklärte Sicherheitsfragen für elektronische Identitäten in der Cloud: In [SHJ+10] wurde gezeigt, dass das Identitätsmanagement für die Sicherheit von Cloud-Computing

SkIDentity Vertrauenswürdige Identitäten für die Cloud 3 eine entscheidende Rolle spielt: Die sichere Integration von eid- und Cloud-Services ist jedoch ein noch nicht befriedigend gelöstes Problem. Ungeklärte Rechtsfragen elektronischer Identitäten in der Cloud: Derzeit bestehen im Bereich des Einsatzes von eid-service-brokern (also im Dreipersonenverhältnis) rechtliche Unsicherheiten über die Zulässigkeit einzelner Systemumsetzungen, weil die Diskussion sich bisher auf die Datenschutzfragen im Zweipersonenverhältnis [RHS08] [RoHo09] und haftungsrechtliche Probleme [Borg10] [RoHo09] konzentriert hat. In Bezug auf das Cloud-Computing kommen Fragen des Beweisrechts und der Compliance im Unternehmen hinzu, die bislang erst andiskutiert worden sind. Fehlende bzw. unklare Geschäftsmodelle für Identitätsdienste in der Cloud: eid- Services für den npa sind für KMUs und kommunale Behörden oft aufgrund wirtschaftlicher Faktoren nicht oder nur sehr eingeschränkt nutzbar. Abhilfe könnte hier von eid- Brokern geschaffen werden, die als Informationsintermediäre agieren und die eid- Services in gebündelter und aufbereiteter Form bereitstellen [ZFR+07]. Fehlende Standards für elektronische Identitäten in der Cloud: Obwohl das Cloud Computing seit geraumer Zeit zu den wichtigen IT-Trends zählt, steckt die diesbezüglich Standardisierung noch in den Kinderschuhen. Ein aktueller, aber leider nicht ganz vollständiger Überblick über die Cloud-spezifischen Aktivitäten der verschiedenen Standardisierungsgremien findet sich in [KhJa10]. 3 Die SkIDentity Lösungsarchitektur Um die aufgezeigten Probleme zu lösen, soll im SkIDentity-Projekt die in Abbildung 1 dargestellte Systemarchitektur umgesetzt und in breitenwirksamen Pilotanwendungen erprobt werden. Ähnlich wie bei anderen Systemen für das föderierte Identitätsmanagement (vgl. [HRZ10]) verfügt der Benutzer über ein Client-System (siehe Abschnitt 3.1) mit dem er auf die angebotenen Cloud Services (siehe Abschnitt 3.2) zugreifen möchte. Für das Identitätsmanagement ist in der SkIDentity-Lösungsarchitektur aber statt einem klassischen Identity Provider ein eid-broker (siehe Abschnitt 3.3) vorgesehen, der als Informationsintermediär agiert und die unterschiedlichen eid-services (siehe Abschnitt 3.4) in gebündelter und aufbereiteter Form bereitstellt.

4 SkIDentity Vertrauenswürdige Identitäten für die Cloud Abb. 1: SkIDentity-Systemarchitektur im Überblick 3.1 Client Die Client-Komponente in der SkIDentity-Systemarchitektur soll auf Basis der AusweisApp des Bundes [AusweisApp] realisiert werden, so dass die eid-services für den npa gemäß [BSI-TR-03130] genutzt und über den CardInfo-Mechanismus aus [HuBa07] bzw. [BSI-TR03112] leicht weitere Chipkarten integriert werden können. 3.2 Cloud Services Sofern die verschiedenen Cloud Services nicht bereits mit standardisierten Schnittstellen für das föderierte Identitätsmanagement ausgestattet sind, kann die Integration in die SkIDentityArchitektur über einen so genannten Cloud Connector erfolgen. Dieser Cloud Connector wird über eine Konfigurationsdatei parametrisiert und kann über die bewusst einfach gehaltene IConnector-Schnittstelle in beliebige Cloud- und Webapplikationen integriert werden. Wie in Abbildung 2 ersichtlich, umfasst diese Schnittstelle eine einzige Funktion: Mit dieser Authenticate-Funktion kann eine Authentisierung entsprechender Güte (Policy) und eine Folge von Identitätsattributen (Attribute) angefordert werden.

SkIDentity Vertrauenswürdige Identitäten für die Cloud 5 3.3 eid-broker Abb. 2: IConnector-Interface des SkIDentity Cloud Connectors Der eid-broker fungiert als Informationsintermediär und stellt die unterschiedlichen eid- Services in gebündelter und aufbereiteter Form bereit. Hierdurch können die unterschiedlichen eid-services (siehe Abschnitt 3.4) und Ausweistoken (npa, elektronische Gesundheitskarte, Heilberufsausweis, Bank- und Signaturkarten und andere Europäische Bürgerkarten) über einfache und einheitliche Schnittstellen zur sicheren Authentisierung in Cloud-basierten Anwendungen genutzt werden. Für die Umsetzung dieser Lösung sind insbesondere beim npa die strengen Vorgaben des Personalausweisrechts zu beachten. Aus Datenschutz- und Transparenzgründen bindet dieses die Verwendung der npa-daten an den Einsatz eines Berechtigungszertifikats, das kostenpflichtig beantragt werden muss und dessen Verwendung einen eid-server gem. BSI-TR 03130 erfordert. Das Berechtigungszertifikat wird dem Ausweisinhaber vor der Eingabe seiner PIN angezeigt, um ihm die Identität der verantwortlichen Stelle und den Zweck der Datenverarbeitung deutlich zu machen, bevor er seine Einwilligung erteilt. Dieses Ziel des Gesetzgebers würde nicht erreicht, wenn Adresshändler Berechtigungszertifikate erhalten und die Daten im Anschluss beliebig weiterverwenden könnten. Deshalb schließt 21 Abs. 2 Satz 1 Nr. 2 PAuswG die Erteilung eines Zertifikats aus, wenn der Zweck in der geschäftsmäßigen Übermittlung der Daten bestehen soll oder Anhaltspunkte für die geschäftsmäßige oder unberechtigte Übermittlung der Daten vorliegen (näher [HoMö11]). Während diese Einschränkung in der Praxis durch eine Beteiligung der Nutzer im Einzelfall lösbar sein sollte, verursacht eine weitere Einschränkung Probleme: Gemäß 29 Abs. 1 Nr. 2 PAuswV kann ein Berechtigungszertifikat nicht erteilt werden, wenn der Zweck der Datenerhebung ausschließlich in der Auslesung oder Bereitstellung personenbezogener Daten aus dem Personalausweis für den Ausweisinhaber oder Dritte besteht. Bei strikter Auslegung könnte diese Bestimmung so verstanden werden, dass jeder Einsatz eines Intermediärs, der sogar mit informierter und freiwilliger Einwilligung aller Beteiligten im Einzelfall die Daten ausliest, unzulässig ist. Angesichts der Funktion der Vorschrift, die die informationelle Selbstbestimmung des Ausweisinhabers waren, diesen aber nicht bevormunden soll, wäre eine solche Auslegung zwar sicherlich zu eng. Es besteht aber weithin Unsicherheit in der Praxis darüber, welche Umsetzungsmodelle rechtlich zulässig sind. Eine Herausforderung des SkIDentity-Projekts besteht deshalb darin, ein zulässiges Modell für den Einsatz des npa in der Cloud zu entwickeln, das gerade für KMUs und kleinere Behörden praktikabel und finanzierbar ist, ohne das datenschutzrechtlich begrüßenswerte System

6 SkIDentity Vertrauenswürdige Identitäten für die Cloud des npa auszuhebeln. Der Einsatz eines Dritten als Auftragsdatenverarbeiter nach 11 BDSG wäre insoweit möglich, löst aber gerade nicht das Problem, dass der Auftraggeber in diesem Fall ein eigenes Berechtigungszertifikat benötigt und nur das technische Handling an den Dienstleister abgibt. Soll ein eid-broker aber für mehrere Auftraggeber tätig werden, nähert er sich dem nach geltendem Recht für den npa unzulässigen Adresshändler an. Für eine zulässige Umsetzung müssen deshalb mehrere Anforderungen gewahrt werden, für die im Einzelfall technische Lösungen zu entwickeln sind. Um dem datenschutzrechtlichen Grundsatz der Transparenz Rechnung zu tragen, muss dem Ausweisinhaber deutlich werden, wer unter welchen Umständen zu welchen Zwecken seine npa-daten verarbeiten möchte, und er muss in diese Verarbeitung einwilligen. Überdies darf die im Gesetz vorgesehene Vorabprüfung im Rahmen der Zertifikatsvergabe (die sich insbesondere auf die Erforderlichkeit der Datenverwendung bezieht) nicht durch den Einsatz eines eid-brokers unterlaufen werden. Eine denkbare Variante wäre insoweit, durch vertragliche Regelungen hohe Anforderungen an die Tätigkeit des eid-brokers aufzustellen, die dann im Rahmen der Zertifikatsvergabe an diesen durch die zuständige Behörde berücksichtigt werden könnten. Hierbei könnte sich der eid-broker beispielsweise zur Erforderlichkeitsprüfung im Verhältnis zu den angeschlossenen Dienstleistern verpflichten, seine Tätigkeit auf bestimmte Dienstleister beschränken oder (so die Umsetzung im Identifikationsservice [Verify-U] der Cybits AG) die Daten aus dem npa zwar zu Bestätigungszwecken auslesen, jedoch gerade nicht an die Dienstleister weitergeben. Alternativ erscheint denkbar, dem Bürger nach Verwendung des npa Credentials bereitzustellen, die dann im Verhältnis zum Diensteanbieter zur späteren, eigentlichen Identitätsbestätigung verwendet werden. 3.4 eid-services Die eid-services im SkIDentity-System führen vermittelt über den eid-broker und das Client-System in Verbindung mit dem jeweiligen Ausweistoken die tatsächliche Authentisierung durch. Beispielsweise sollen für die Authentisierung mit dem npa die existierenden eid- Services (vgl. [eid-service]) über die entsprechenden Schnittstellen gemäß [BSI-TR-03130] integriert werden. Darüber hinaus sollen im SkIDentity-Projekt weitere Authentisierungsdienste für alternative Ausweistoken (siehe z.b. [EHP+10] und [STORK]) und Zertifikate (siehe z.b. [EsKo08]) angebunden werden. Hierfür soll im SkIDentity-Projekt zunächst aus den verschiedenen existierenden Schnittstellen (siehe z.b. [BSI-TR-03130], [STORK]) eine übergreifende Schnittstelle abgeleitet werden, über die die verschiedenen eid-services und Authentisierungsdienste integriert werden können. 4 Ausblick Durch die Schaffung von standardisierten und transparenten Sicherheitsfunktionen können zukünftig ganze Prozess- und Wertschöpfungsketten in der Cloud sicher gestaltet werden von der initialen Registrierung an einem Cloud-Service über die wiederkehrende sichere Authentisierung und Zugangskontrolle bis hin zu modernen Mechanismen zur sicheren Verwaltung des geistigen Eigentums mittels Enterprise Rights Management Systemen. Die hierfür notwendigen eid-services werden über einen eid-broker gebündelt, wodurch innovative Geschäfts- und Vertragsmodelle ermöglicht werden, durch die Infrastrukturen wirtschaftlich, rechtssicher und nutzerfreundlich angeboten [ZFR+07] und auf zukünftigen Dienstleistungsmarktplätzen gehandelt werden können.

SkIDentity Vertrauenswürdige Identitäten für die Cloud 7 Die entwickelten Infrastrukturdienste und Anwenderkomponenten werden im Rahmen des SkIDentity-Projektes in breitenwirksamen Pilotprojekten erprobt und zusammen mit den assoziierten Projektpartnern auf eine nachhaltige Nutzung vorbereitet. Hierbei dient die Abwicklung eines komplexen Industrieprojektes in der Cloud als Referenzszenario, das z.b. in der Automobilindustrie auftreten könnte. Hierbei sollen Infrastrukturen und Plattformen, z.b. für den sicheren Geschäftsdatenaustausch aus der Cloud bezogen werden. Schon in der gegenwärtigen Phase zeigt das Projekt ein außergewöhnliches Potenzial und erhielt eine große Anzahl von Kooperationsanfragen aus Wirtschaft und anderen Forschungsprojekten, die die bisher nur als grober Entwurf vorliegende Sicherheitsinfrastruktur gerne nutzen würden. Anbieter von eid-services und Cloud-basierten Anwendungen sowie Herausgeber von elektronischen Ausweisen, die an einer Mitwirkung im SkIDentity-Projekt interessiert sind, sind herzlich eingeladen, mit den Autoren dieses Papiers Kontakt aufzunehmen. Weitere Informationen über den Projektverlauf werden über http://www.skidentity.de/ bereitgestellt. Literatur [AusweisApp] BMI/BSI: Informationen zur AusweisApp, http://www.ausweisapp.bund.de [Ber+10] [Borg10] [BSI-MSACC] Berlecon Research & al.: Das wirtschaftliche Potenzial des Internet der Dienste, Studie im Auftrag des Bundesministeriums für Wirtschaft und Technologie (BMWi), 2010, http://www.berlecon.de/idd G. Borges: Rechtsfragen der Haftung im Zusammenhang mit dem elektronischen Identitätsnachweis. Ein Gutachten für das Bundesministerium des Innern, abrufbar unter http://www.personalausweisportal.de/cln_102/shareddocs/downloads/de/ Studie_Recht_Volltext.html?nn=830468, 2010. BSI: BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter, Entwurf vom 27.09.2010, https://www.bsi.bund.de/shareddocs/downloads/de/bsi/publikationen/so nstige/cloud_computing_mindestsicherheitsanforderungen.pdf? blob=public ationfile [BSI-TR-03112] BSI: ecard-api-framework, Technical Directive (BSI-TR-03112), Version 1.1, Part 1-7, 2009, https://www.bsi.bund.de/contentbsi/publikationen/technischerichtlinien/t r03112/index_htm.html [BSI-TR-03130] BSI: Technische Richtlinie eid-server, Technische Richtlinie (BSI-TR- 03130), Version 1.4.1, 2010, https://www.bsi.bund.de/shareddocs/downloads/de/bsi/publikationen/te chnischerichtlinien/tr03130/tr-03130_tr-eid- Server_V1_4_pdf.pdf? blob=publicationfile [EHP+10] D. Eske, D. Hühnlein, S. Paulus, J. Schmölz, T. Wich, T. Wieland: O- penegk Benutzerfreundliche und sichere Authentisierung für Mehrwert-

8 SkIDentity Vertrauenswürdige Identitäten für die Cloud dienste im Gesundheitswesen, in A. Brömme & al. (Hrsg.), Tagungsband perspegktive 2010 Workshop Innovative und sichere Informationstechnologie für das Gesundheitswesen von morgen, GI-Edition Lecture Notes in Informatics (LNI) 174, 2010, Seiten 83-103, http://www.ecsec.de/pub/openegk.pdf [eid-service] Kompetenzzentrum neuer Personalausweis: eid-service-anbieter, 2011, http://www.ccepa.de/eid-service-anbieter [EsKo08] [HoMö11] [HRZ10] [HuBa07] [HuBa08] [HuHo09] [KhJa10] [npa-portal] [PAuswG] [RoHo09] B. Esslinger, H. Koy: TeleTrust European Bridge CA - Die European Bridge CA als Enabler für sichere E-Mail mit S/MIME zwischen Unternehmen und Behörden, DuD, 1/2008, SS. 1-5, http://www.teletrust.de/uploads/media/esslinger-koy_dud_teletrust- EBCA.pdf G. Hornung, J. Möller: Passgesetz Personalausweisgesetz. Kommentar, Verlag C.H.Beck, München 2011 D. Hühnlein, H. Roßnagel, J. Zibuschka: Diffusion of Federated Identity Management, in F. Freiling (Hrsg.), Tagungsband Sicherheit 2010, GI- Edition Lecture Notes in Informatics (LNI) 170, 2010, SS. 25-37 D. Hühnlein, M. Bach: How to use ISO/IEC 24727 with arbitrary smart cards, in C. Lambrinoudakis, G. Pernul, A.M. Tjoa (Eds.): TrustBus 2007, LNCS 4657, Springer, 2007, SS. 280-289, http://www.ecsec.de/pub/2007_trustbus.pdf D. Hühnlein, M. Bach: Die Standards des ecard-api-frameworks - Eine deutsche Richtlinie im Konzert internationaler Normen, Datenschutz und Datensicherheit (DuD), 06/2008, SS. 379-382, http://www.ecsec.de/pub/2008_dud_ecard.pdf D. Hühnlein, D. Houdeau: Ein Überblick über Authentisierungs- und Identifizierungsverfahren für egovernment-dienste in Europa, in Horster P. (Hrsg.): Tagungsband D A CH Security, IT-Verlag, 2009 B. Khasnabish, C. JunSheng: Cloud SDO Activities Survey and Analysis, IETF Internet Draft 00, 31.12.2010, http://tools.ietf.org/html/draftkhasnabish-cloud-sdo-survey-00 BMI: Der neue Personalausweis, http://www.personalausweisportal.de, 2011 Gesetz über Personalausweise und den elektronischen Identitätsnachweis (Personalausweisgesetz PAuswG), Artikel 1 des Gesetzes vom 18. Juni 2009, http://www.bmi.bund.de/cae/servlet/contentblob/607490/publicationfile/34 857/eperso.pdf A. Roßnagel, G. Hornung: Ein Ausweis für das Internet. Der neue Personalausweis erhält einen elektronischen Identitätsnachweis, Die Öffentliche Verwaltung 2009, SS. 301-306.

SkIDentity Vertrauenswürdige Identitäten für die Cloud 9 [RHS08] [SHJ+10] [ShKa09] A. Roßnagel, G. Hornung, C. Schnabel: Die Authentisierungsfunktion des elektronischen Personalausweises aus datenschutzrechtlicher Sicht, Datenschutz und Datensicherheit 2008, SS. 168-172. J. Somorovsky, M. Heiderich, M. Jensen, J. Schwenk, N. Gruschka, L. Lo Iacono: All Your Cloud Are Belong To Us - Security Analysis of the Amazon Cloud, in Begutachtung S. Shankland, J. Kaden: Gartner: Cloud Computing wird wichtigster IT- Trend 2010, ZDNet-Beitrag, 21.10.2009, http://www.zdnet.de/news/wirtschaft_unternehmen_business_gartner_cloud _computing_wird_wichtigster_it_trend_2010_story-39001020-41516155- 1.htm [STORK] STORK (Secure identity across borders linked), EU-Projekt, http://www.eid-stork.eu [VDI09] [Verify-U] [ZFR+07] VDI/VDE: Marktpotenzial von Sicherheitstechnologien und Sicherheitsdienstleistungen (Studie im Auftrag des BMWi), http://www.aswonline.de/downloads/studie_sicherheitstechnologien_09.pdf, 2009 Cybits AG: Vollelektronische Personenidentifikation [verify-u] nun auch mit neuem Personalausweis möglich, Pressemitteilung, 9.3.2011 J. Zibuschka, L. Fritsch, M. Radmacher, T. Scherner, K. Rannenberg: Enabling Privacy of Real-Life LBS, in New Approaches for Security, Privacy and Trust in Complex Environments, SS. 325 336, 2007

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback