LEGIC Positionspapier



Ähnliche Dokumente
Die Makler System Club FlowFact Edition

FAQ 04/2015. Auswirkung der ISO auf 3SE53/3SF13 Positionsschalter.

BSI Technische Richtlinie

EIDAMO Webshop-Lösung - White Paper

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Microsoft Update Windows Update

.. für Ihre Business-Lösung

Content Management System mit INTREXX 2002.

Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems

GPP Projekte gemeinsam zum Erfolg führen

Projektmanagement in Outlook integriert

COMPUTER MULTIMEDIA SERVICE

Wie erreiche ich was?

Ziel- und Qualitätsorientierung. Fortbildung für die Begutachtung in Verbindung mit dem Gesamtplanverfahren nach 58 SGB XII

Research Note zum Thema: Laufzeit von Support-Leistungen für Server OS

Mehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen.

Professionelle Seminare im Bereich MS-Office

Was meinen die Leute eigentlich mit: Grexit?

Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer

Die Online-Meetings bei den Anonymen Alkoholikern. zum Thema. Online - Meetings. Eine neue Form der Selbsthilfe?

Wann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt?

SMART Newsletter Education Solutions April 2015

Kontaktlos bezahlen mit Visa

Maintenance & Re-Zertifizierung

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Profilwechsel Sicherheitsdatei (alt) nach Sicherheitsdatei (neu)

Hinweise zur Inbetriebnahme der FMH-HPC auf Windows 7

ONLINE-AKADEMIE. "Diplomierter NLP Anwender für Schule und Unterricht" Ziele

Was macht Layer2 eigentlich? Erfahren Sie hier ein wenig mehr über uns.

Überprüfung der digital signierten E-Rechnung

Was ist clevere Altersvorsorge?

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

Verpasst der Mittelstand den Zug?

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL

Fax einrichten auf Windows XP-PC

Einfaches und rechtssicheres Kunden-WLAN

Lizenzen auschecken. Was ist zu tun?

Analyse zum Thema: Laufzeit von Support-Leistungen für ausgewählte Server OS

Informationssicherheitsmanagement

Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers

Mediumwechsel - VR-NetWorld Software

ANYWHERE Zugriff von externen Arbeitsplätzen

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Wir vermitteln sicherheit

ZIELE erreichen WERTSTROM. IDEEN entwickeln. KULTUR leben. optimieren. KVP und Lean Management:

Mail-Signierung und Verschlüsselung

Wireless LAN PCMCIA Adapter Installationsanleitung

PCC Outlook Integration Installationsleitfaden

WORKSHOP für das Programm XnView

Verwendung des IDS Backup Systems unter Windows 2000

Wir sind für Sie da. Unser Gesundheitsangebot: Unterstützung im Umgang mit Ihrer Depression

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Kurzbeschreibung GVB-Marktstudie. Top-Anbieter von Telematiksystemen in der Transportlogistik

Zimmertypen. Zimmertypen anlegen

DER SELBST-CHECK FÜR IHR PROJEKT

Wie richten Sie Ihr Web Paket bei Netpage24 ein

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Installation des Authorware Webplayers für den Internet Explorer unter Windows Vista

Entwicklung des Dentalmarktes in 2010 und Papier versus Plastik.

Terminabgleich mit Mobiltelefonen

Online bezahlen mit e-rechnung

Unser Service für Lieferanten und Nachunternehmer: Das zentrale Online-Portal für die Ausschreibungen der Köster GmbH.

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Updateanleitung für SFirm 3.1

Ablauf Vorstellungsgespräch

Stand vr bank Südthüringen eg 1 von 10. Smart TAN plus Umstellungsanleitung VR-NetWorld Software

Herzlich Willkommen bei der nfon GmbH

ELBA-business Electronic banking fürs Büro. Digitale Signatur. ELBA-business 5.7.0

Sicherheitseinstellungen... 2 Pop-up-Fenster erlauben... 3

Die neue Aufgabe von der Monitoring-Stelle. Das ist die Monitoring-Stelle:

Fernzugriff auf Kundensysteme. Bedienungsanleitung für Kunden

Ihre Interessentendatensätze bei inobroker. 1. Interessentendatensätze

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

MetaQuotes Empfehlungen zum Gebrauch von

Erste Vorlesung Kryptographie

SDD System Design Document

Kurzanleitung für das Bezahlen mit dem Kartenlesegerät von VASCO girocard im Internet

11. Das RSA Verfahren und andere Verfahren

SICHERN DER FAVORITEN

Internet Explorer Version 6

OEM Von der Idee zum Serienprodukt

icloud nicht neu, aber doch irgendwie anders

Formular»Fragenkatalog BIM-Server«

Informationen Metrotomografie-Genauigkeit Vorwort

SSI WHITE PAPER Design einer mobilen App in wenigen Stunden

360 - Der Weg zum gläsernen Unternehmen mit QlikView am Beispiel Einkauf

BSI Technische Richtlinie

Hilfen zum Twitter-Hashtag-Marketing!

Einrichtung eines Zugangs mit einer HBCI-Chipkarte bei der Commerzbank

Projektmanagement in Outlook integriert

Erfolgreiche Webseiten: Zur Notwendigkeit die eigene(n) Zielgruppe(n) zu kennen und zu verstehen!

Task: Nmap Skripte ausführen

PIERAU PLANUNG GESELLSCHAFT FÜR UNTERNEHMENSBERATUNG

Transkript:

LEGIC Positionspapier Technische Richtlinie für den sicheren RFID Einsatz (TR RFID) TR 03126-5: Einsatzgebiet elektronischer Mitarbeiterausweis Version 1.1 Dez. 2010 Find details on website 1/5

1. Hintergrund Schaffung und Gewährleistung von Sicherheit ist ein dynamischer Prozess. Deshalb ist LEGIC im stetigen Kontakt mit dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI), welches im Juni 2010 die Technische Richtline TR 03126-5 1 zur Sicherheit von Electronic Employee ID Cards veröffentlicht hat, um die Sicherheit von Mitarbeiterausweisen zu verbessern. Da die Richtlinie sehr umfangreich ist, wollen wir als kompetente Schnittstelle dienen, und mit diesem kurzen Positionspapier interessierten Kreisen den Einstieg in die TR 03126-5 erleichtern und den aktuellen Stand erläutern. 2. Zusammenfassung der Richtlinie 2.1. Grundsätzliches Das BSI erstellt regelmässig Richtlinien zur Sicherheit von informationstechnischen Systemen. So umfasst die Reihe TR 03126 Technische Richtlinie für den sicheren RFID-Einsatz bereits vier veröffentlichte Teile zu den Anwendungsbereichen eticketing, NFC und Logistik. Der nun vorliegende Teil 5 beinhaltet Methodik und Empfehlungen wie bei Systemen für kontaktlose Mitarbeiterausweise eine angemessene Sicherheit gewährleistet werden kann. Die Richtlinien des BSI sind nicht bindend, sondern dienen als technische Empfehlungen. Sie gelten als Stand der Technik und staatliche Stellen berücksichtigen diese daher grundsätzlich. Es ist also damit zu rechnen, dass z.b. Behörden ihre Anwendungen wie Zutrittskontrolle, Zeiterfassung, Bezahlen in der Kantine oder an Automaten sowie IT-Login zukünftig an der TR 03126-5 ausrichten werden. Das Dokument liegt in Englisch vor und wird daher auch international Beachtung finden. 2.2. Methodik Die TR 03126-5 betrachtet das gesamte System elektronischer Mitarbeiterausweis, von der Karte bis zu den wichtigsten Applikationen einschliesslich der Hintergrundsysteme und Datenbanken. Aus diesem Grunde enthält das Dokument umfassende Definitionen und behandelt ausführlich die generelle Systemarchitektur sowie die dazugehörigen Geschäftsprozesse und Anwendungsfälle. Darauf aufbauend werden Sicherheitsziele, Gefährdungen und Massnahmen definiert. Umsetzungsvorschläge für das gesamte System und für ausgewählte Anwendungen wie Zutrittskontrolle, Zeiterfassung, Bezahllösungen und IT-Login bilden den wesentlichen Teil des Dokumentes. 1 Dokument TR 03126-5: Einsatzgebiet elektronischer Mitarbeiterausweis, V1.0, 2010 https://www.bsi-fuer-buerger.de/contentbsi/publikationen/technischerichtlinien/tr03126/index_htm.html Find details on website 2/5

Das BSI hat darüber hinaus auch die Möglichkeiten für den Einsatz des neuen kontaktlosen Deutschen Personalausweises (eid) als Mitarbeiterausweis sicherheitstechnisch beurteilt. Anwender der Richtline haben verschiedene Möglichkeiten zur Umsetzung. Einerseits können die Empfehlungen für Schutzmassnahmen direkt übernommen werden. Diese schreiben allerdings oft den höchsten Schutzgrad vor, was zu einer oft aufwändigen Realisierung führt. Andererseits können Sicherheitsziele, Angriffsbedrohungen und Schutzmassnahmen auch anlagenspezifisch definiert werden, was zwar den Aufwand in der Planungsphase erhöht, aber von vielen Anbietern leichter zu realisieren sein dürfte.. 2.3. Exemplarische Auswahl empfohlener Schutzmassnahmen Die Technische Richtline empfiehlt verschiedene Schutzmassnahmen zu einer Vielzahl von Angriffsbedrohungen. Zu den empfohlenen Massnahmen gehört: Komponenten wie Terminals, Karten, Hintergrundsystem, Sicherheitsmodule etc. sollen evaluiert und von unabhängigen Instituten zertifiziert sein. Dies umfasst neben Sicherheitszertifikaten (z.b. CC EAL4+ 2 ) auch die Evaluierung und Zertifizierung der Schnittstellen, der Zuverlässigkeit und des spezifizierten Funktionsumfanges der Komponenten. Algorithmen und Schlüssellängen sollen immer dem neuesten Stand der gerade aktuellen BSI Empfehlung folgen (z.zt. BSI TR 02102 3 vom August 2008) und bei Bedarf angepasst werden. Schlüssel bzw. Sicherheitsmodule sind bei Kompromittierung unverzüglich zu tauschen. Der Einsatz von asymmetrischen Verschlüsselungsverfahren wird oft empfohlen. Datenübertragung und Datenspeicherung erfolgt im gesamten System generell authentifiziert (mindestens MAC; besser: Signaturverfahren) und verschlüsselt (3DES 4 oder höher). Dies betrifft Hintergrundsysteme einschliesslich Datenbanken, die Access System Komponenten, Terminals und Lesegeräte sowie die Karten. Die Verwendung von CC EAL5+ zertifizierten Sicherheitsmodulen (SAM) in allen wesentlichen Komponenten, d.h. auch in Terminals (online oder offline) sowie im Hintergrundsystem ist vorgeschrieben; ebenso der Einsatz eines zertifizierten Key Management Systems. 2 CC = Common Criteria for Information Technology Security Evaluation EAL = Evaluation Assurance Level http://www.commoncriteriaportal.org 3 Dokument BSI TR-02102 Kryptographische Verfahren: Empfehlungen und Schlüssellängen https://www.bsi-fuer-buerger.de/cln_183/contentbsi/publikationen/technischerichtlinien/tr02102/index_htm.html 4 3DES = Triple DES (Data Encryption Standard) Find details on website 3/5

3. Anwendung der Richtlinie 3.1. Vergleich mit heutigen Systemen Wenn man die oben exemplarisch aufgeführten Schutzmassnahmen mit heute als state of the art im Einsatz befindlichen Mitarbeiterausweis-Systemen vergleicht, ergibt sich folgendes Bild: Auswechselbare und zertifizierte Sicherheitsmodule (SAM) werden unseres Wissens heute bei Mitarbeiterausweis-Anwendungen noch nicht oder nur sehr selten verwendet, da es auch kaum Access Control Leser und Systeme gibt, die solche SAMs überhaupt nutzen könnten. Hier ist ein grosses Potential für Leser- und Systemhersteller für die Entwicklung neuer Geräte. Verschlüsselung und Authentifizierung der Systemdaten vom Terminal bis zum Hintergrundsystem ist heute technisch möglich, wird aber in der Praxis selten verwendet. Installations- bzw. System-Lebenszyklen von deutlich über 10 Jahren stehen oft viel kürzeren Lebenszyklen bei den Sicherheitsmethoden und Algorithmen gegenüber. Die dadurch notwendig werdenden Schlüsselwechsel bzw. Algorithmen-Upgrades sind bei älteren Systemen nicht oder nur durch Komponententausch möglich. Ein wirklich kosteneffizienter und sicherer Upgrade der Systemsoftware ist bei installierten Komponenten nur selten möglich, wobei heute immer mehr Hersteller die bei LEGIC advant schon immer mögliche Update-Fähigkeit unterstützen. Die in der IT-Sicherheit gebräuchlichen Methoden der Sicherheitsbeurteilung aber auch der Evaluierungen und Zertifizierungen sind heute im Bereich der Mitarbeiterausweis- Systeme nahezu unbekannt.. Es lässt sich daher folgern, dass die in der TR empfohlenen Schutzmassnahmen mit den heute am Markt verfügbaren Systemen und Komponenten nur zu einem geringen Teil realisierbar sind, jedoch zukünftige Entwicklungen stark beeinflussen werden. 3.2. Erwartete Marktakzeptanz Aufgrund des Entwicklungsstandes und der Komplexität von heutigen, elektronischen Mitarbeiterausweis-Systemen einerseits und der in der TR 03126-5 dargelegten erforderlichen Sicherheitsmethoden und Schutzmassnahmen für zukünftige Systeme kann mit folgenden Auswirkungen gerechnet werden: Anwender und Lieferanten solcher Systeme werden am Anfang hohen Beratungsbedarf haben, um die Sicherheitsmethodik der TR anwenden zu können. Heute in der Branche etablierte Standards wie z.b. die VdS 2358 müssen möglicherweise angepasst werden, damit es nicht zu Sicherheitslücken durch verschiedene Interpretationen der jeweiligen Vorschriften kommt. Dabei ist auch die Frage nach dem optimalen Technologieeinsatz generell zu klären, z.b. die Gewichtung der informationstechnischen Sicherheit von Ausweissystemen im Vergleich zu Alarmierung, Überwachung und physischem Anlagenschutz. Komponentenlieferanten werden weitere Produktentwicklungsarbeiten und Zertifizierungen leisten müssen, bevor sie die Anforderungen der TR erfüllen können. Es ist auch damit zu rechnen, dass viele Produkte die Anforderungen der TR nicht vollständig erfüllen werden. Anwender werden daher genau prüfen müssen, was sie tatsächlich erhalten, wenn ihnen TR 03126-5 konforme Systeme angeboten werden. Find details on website 4/5

Der Markt wird daher eine längere Lernkurve durchlaufen müssen, bevor die Anforderungen der TR 03126-5 vollständig Umsetzbar sein werden. Zudem ist, wie eingangs gesagt, die Schaffung von Sicherheit ein dynamischer Prozess, so dass stetige Anpassungen erforderlich sind. Wir erwarten, dass in Ausschreibungen verstärkt auf die TR 03126-5 Bezug genommen wird und daher die Hersteller von Systemen und Komponenten in den nächsten Jahren die Empfehlungen des BSI umsetzten werden. 4. Position LEGIC Wir begrüssen und unterstützen die TR 03126-5 als einen wichtigen Schritt in Richtung systemund prozessorientierte Sicherheitsbetrachtungen. Die ständige Verbesserung der Sicherheitsmechanismen von kontaktlosen Chipkartensystemen ist von je her ein Bestandteil unserer Tätigkeit als Technologielieferant. Auch unsere Technologie-Plattformen entwickeln sich stets weiter und werden regelmässig mit neuen Sicherheitsmerkmalen ausgestattet. Damit dieser Schritt bestmöglich gelingt, sollten folgende Aspekte nicht vergessen werden: 1. Erprobte Sicherheitstechnik aus anderen Hochsicherheits- bzw. hoheitlichen Anwendungen z.b. ebanking oder eticketing oder dem neuen deutschen Personalausweis (npa) sind nur teilweise übertragbar auf Mitarbeiterausweis-Systeme. Schon alleine aufgrund von Kosten-Nutzen Überlegungen, aber auch oft aus ganz praktischen Performancegründen sind einer direkten Verwendung Grenzen gesetzt. So wird z.b. die bei Nicht-Hoheitlichen Anwendungen immer erforderliche PIN-Eingabe und Online Verbindung die Verwendung des npa als Identifikationsmittel für Zutrittskontrolle in der Praxis sehr stark einschränken. 2. Neue, praxistaugliche Sicherheitsmethoden und Technologien für Anwendungen um den Mitarbeiterausweis werden nun entwickelt. Die Zusammenarbeit von Experten aus der IT-Sicherheit mit Experten aus Anwendungen wie z.b. Zutrittskontrolle, Zeiterfassung und Mitarbeiterverpflegung ist dabei unbedingt erforderlich, um die technisch detaillierten und oft nur Experten verständlichen Anforderungen der TR 03126-5 praxisgerecht umzusetzen. 3. Das erforderliche Eco-System der Lieferanten ist gross und fragmentiert. Alle müssen mitgenommen werden. (Produkthersteller, Planer, Systemlieferanten, Installationshäuser, Ausweislieferanten, Wartungstechniker, usw.). Dies erfordert Zeit; d.h. Übergangszeiten sind vorzusehen. LEGIC kennt einerseits die Sicherheitsmethoden der Smart Card Welt, wie sie der TR 03126 zugrunde liegen, und andererseits die Anforderungen beim praktischen Einsatz von Mitarbeiterausweisen in den vielfältigsten Anwendungen. Wir unterstützen aktiv die Weiterentwicklungen der Sicherheitstechnologien und begrüssen entsprechende Standards. Unseren Kunden stehen wir als Realisierungspartner für diese Themen gerne zur Verfügung. Unter info@legic.com stehen wir Ihnen für weitere Auskünfte jederzeit zur Verfügung. Find details on website 5/5

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback