Partnerschaft für Sicherheit im Cyber-Raum
Transcrição
Partnerschaft für Sicherheit im Cyber-Raum
Ausgabe 1 | 2013 Der IT-Sicherheitsreport von Partnerschaft für Sicherheit im Cyber-Raum Allianz für Cyber-Sicherheit als zentrale Informationsplattform Mehr Sicherheit für Passagiere, auch im Web Die Zukunft der Grenzkontrolle heißt Automatisierung Nicolas Hunloh, Teamleiter Internet, Flughafen Düsseldorf GmbH Mit secunet eGates steigende Passagierzahlen an der Grenze sicher managen Medienbruchfreie elektronische Verwaltung von Verschlusssachen Vorschriftenkonform und sicher mit SINA Workflow Der IT-Sicherheitsreport von Inhalt Liebe Leserinnen und Leser, wir alle, gleichgültig, ob öffentliche Bedarfsträger oder Unternehmen, sind heute Teil des Cyber-Raums und mehr denn je auf einen sicheren und störungsfreien Ablauf der digitalen Informations- und Kommunikationstechnologien National angewiesen. Eine nachhaltige Sicherheit der Informationen, Daten und Prozes- 03 Hochwertige IT-Produkte aus der Region für die Region se kann aber nur durch eine kontinuierliche Anpassung an die Gefährdungs- 04 Die Allianz für Cyber-Sicherheit – eine starke Partnerschaft gegen Bedrohungen aus dem Cyber-Raum und Experten wird nicht nur eine hohe Transparenz ermöglicht, sondern für 06 Deutsche Justiz geht auf Nummer sicher 08 Mehr Sicherheit für Passagiere, auch im Web Herausforderungen für PKI-Systeme im Fahrzeug 10 International Die Zukunft der Grenzkontrolle heißt Automatisierung 14 Technologien & Lösungen Medienbruchfreie elektronische Verwaltung von Verschlusssachen 16 lage sowie an die Methoden der Angreifer geschaffen werden. Mit einem engen Informations- und Erfahrungsaustausch zwischen Wirtschaft, Behörden alle Beteiligten auch die Prävention erleichtert. Eine Plattform dafür ist die von BSI und BITKOM gegründete Allianz für Cyber-Sicherheit. Wir sprachen mit Dr. Hartmut Isselhorst vom BSI über die Ziele und Pläne der Allianz. Auch wir möchten den Austausch mit unseren Kunden noch direkter gestalten und haben unsere interne Struktur differenzierter auf deren Bedarfe, Ziele und Herausforderungen sowie auf die Entwicklungen in der Cyber-Welt ausgerichtet. So können wir künftig noch besser und schneller auf aktuelle Veränderungen reagieren und unsere Kunden bestmöglich – proaktiv und innovativ – auf künftige Entwicklungen vorbereiten und umfassend bei der Umsetzung neuer Projekte begleiten. - Der Public Sector (ehemals Geschäftsbereiche Hochsicherheit und Government) berät nationale und internationale Kunden aus dem öffentlichen Bereich und der Verteidigung und greift dabei auf bedarfsgerecht kombinierbare aktuelle Produkte und Dienstleistungen sowie individuelle Sicherheitslösungen zurück. Diese werden den Ansprüchen einer modernen Verwaltung gerecht, ermöglichen die Erfüllung hoheitlicher Aufgaben und entsprechen den Hochsicherheitsanforderungen an den Schutz klassifizierter Informationen. - Der Business Sector (ehemals Geschäftsbereiche Business Security und Automotive Security) unterstützt Kunden aus der Privatwirtschaft dabei, 09 12 Hackerstory #2 das Potenzial der zunehmenden Digitalisierung und die damit verbundene Gefahrenherde Budget und Produktionsdruck elektronische Abbildung von Geschäftsprozessen voll auszuschöpfen und intelligente Netze, mobile Anwendungen, die IT-basierte Steuerung von Präventive Sicherheit #1 mitteln und Verkehrssystemen sicher abzubilden. Produktions- und Logistikabläufen sowie die Digitalisierung von Transport- WM schießt Löcher ins IT-System 17 Kurz notiert secunet bei Twitter, Xing und LinkedIn / Neuer Rahmenvertrag des Bundes über IT-Sicherheitsdienstleistungen / Personalveränderungen beim BSI 18 Veranstaltungen 19 Termine 02 » 1 | 2013 Unsere Themen und Leistungen bleiben – einige aktuelle stellen wir Ihnen in dieser neuen Ausgabe der secuview vor. Ich wünsche Ihnen viel Spaß bei der Lektüre! Dr. Rainer Baumgart National Hochwertige IT-Produkte aus der Region für die Region Deutsche IT-Sicherheitstechnik kommt auf direktem Weg in die deutsche Behördenlandschaft Nach dem erfolgreichen Pilotprojekt des IT-Investitionsprogramms der Bundesregierung in 2010 startete 2012 das Folgeprojekt „Sondertatbestand“: Das BSI unterstützt auf diesem Weg Behörden bei einer vereinfachten Beschaffung von IT-Sicherheitslösungen, unter anderem auch mit SINA verschlusssache Produkten. Damit wird sichergestellt, dass jegliche Daten bestens geschützt sind und NfD (Nur für den Dienstgebrauch) zugelassene Kryptosysteme großflächig etabliert werden. Im Rahmen des „Sondertatbestands“ erhielten die Behörden kostenneutral Produkte für - Schnittstellenkontrolle, - APC-Festplattenverschlüsselung, - Verschlüsselung mobiler Datenträger, - verschlüsselte USB-Sticks und - Produkte zur Absicherung mobiler Szenarien. NUR H C FÜR DE U A R N DIENSTGEB Der Einsatz der SINA Workstation macht es Behörden leicht, auch mobil jederzeit sicher auf offene und NfD-eingestufte Daten zuzugreifen, ob während einer Dienstreise oder vom Telearbeitsplatz zu Hause. Unterstützung auf kurzem Weg Über den „Sondertatbestand“ bringt das BSI dieses IT-Exper- Bei Implementierung, Installation und Schulung vor Ort unter- den. Die Bewerber bekommen auf diese Weise international stützen die SINA Experten der secunet die IT-Abteilungen der konkurrenzfähige Produkte aus der eigenen Region. Denn die Behörden. Der secunet Support steht dann 24/7 zur Verfü- deutsche Kryptoindustrie genießt international ein hohes An- gung. Ein großer Vorteil, wenn die Experten schnell und gut sehen. Dies unterstreichen viele nationale und internationale erreichbar sind! Projekte mit Kryptoprodukten aus deutschen Landen. Um im Falle eines IT-Ausfalls schnell und vor allem richtig Mehr Informationen: reagieren zu können, umfasst das Projekt „Sondertatbestand“ Dirk Mangelmann auch Sicherheitsberatung. secunet unterstützt die teilneh- [email protected] tenwissen schnell und budgetneutral in die einzelnen Behör- menden Behörden bei der Erfüllung der Aufgaben zum Umsetzungsplan Bund (UP-Bund). Dazu gehören insbesondere Maßnahmen zur Verbesserung der Informationssicherheit und die Konzeption eines Notfallmanagements. 1 | 2013 « 03 National Die Allianz für Cyber-Sicherheit – eine starke Partnerschaft gegen Bedrohungen aus dem Cyber-Raum Interview mit Dr. Hartmut Isselhorst, BSI, zur Allianz für Cyber-Sicherheit secuview: Im März 2012 wurde auf der secuview: Der Allianz gehören Partner CeBIT von BSI und BITKOM die neue und Teilnehmer an. Wie viele Unterneh- Dr. Hartmut Isselhorst, Allianz für Cyber-Sicherheit für Deutsch- men haben bereits 2012 den Schritt in Leiter der Abteilung land ins Leben gerufen. Was waren die die Allianz gemacht und welche Motiva- Cyber-Sicherheit im BSI Gründe für die Einrichtung eines solchen tion haben die einzelnen Mitglieder bzw. Gremiums? Partner? Dr. Hartmut Isselhorst: Internettech- Dr. Hartmut Isselhorst: Die Resonanz nologien haben in den vergangenen auf die Allianz für Cyber-Sicherheit war Jahren zu Innovationsschüben in der bereits in der Pilotphase sehr groß. nenten. Das BSI stellt zudem aktuelle IT- und Telekommunikationsindustrie geführt. Annähernd jeder Lebens- und Wirtschaftsbereich ist heute mit Informationstechnologie durchzogen und damit Teil des Cyber-Raums. Somit sind auch die Wertschöpfungsprozesse der realen Welt mittlerweile intensiv über den virtuellen Raum verknüpft und ohne ihn kaum mehr denkbar. Das Streben „Zu den Angeboten der Allianz gehören Warnhinweise zu aktuellen Cyber-Bedrohungen, Best Practices, Standards, Lösungen zur Absicherung der verwendeten Systeme und vieles mehr.“ nach einem sicheren Cyber-Raum ist Lageinformationen zur Verfügung, damit Institutionen ihre Aktivitäten daran ausrichten können. Um die Vollständigkeit der Lageinformationen weiter zu erhöhen, besteht auch für Partner und Teilnehmer die Möglichkeit, eigene Erkenntnisse einzubringen oder Ereignisse im Zusammenhang mit CyberAngriffen an das BSI zu melden. eine Herausforderung, die nur durch Inzwischen engagieren sich viele wei- gemeinsame Anstrengungen von Wirt- tere namhafte Mitstreiter in der Allianz, Neben der zentralen Informationsver- schaft, Wissenschaft und Verwaltung so dass Anfang 2013 mehr als 200 Un- teilung setzt die Allianz auf den direk- möglich wird. Ausdruck dessen ist die ternehmen und Organisationen in die ten Austausch in kleineren Gruppen, Allianz für Cyber-Sicherheit, die als Aktivitäten der Allianz für Cyber-Sicher- beispielsweise in regionalen und bran- Plattform für den Informations- und Er- heit eingebunden sind, darunter mehr chenbezogenen fahrungsaustausch auf diesem Gebiet als 50 Partner. Stammtischen. nur durch eine kontinuierliche Anpas- Zu den Angeboten der Allianz gehören secuview: sung aller Maßnahmen zur Prävention, beispielsweise Warnhinweise zu aktu- wicklung erwarten Sie für die nächsten Erkennung und Reaktion an die Gefähr- ellen Cyber-Bedrohungen, Best Prac- Jahre und welche Gegenmaßnahmen dungslage und die Methoden der An- tices, Standards und Lösungen zur Ab- plant die Allianz? greifer erreichen. sicherung der verwendeten Systeme, Dr. Hartmut Isselhorst: Der anhalten- aber auch Empfehlungen zum gene- de Trend, Informationsangebote und rellen sicheren Einsatz von IT-Kompo- Dienste unterwegs zu nutzen, wird sich Arbeitskreisen oder dient. Nachhaltige Sicherheit lässt sich 04 » 1 | 2013 Welche Bedrohungsent- National weiter auf die Bedrohungslage aus- Die im März 2012 vom BSI und dem BITKOM ins Leben gerufene Allianz für Cyber-Sicherheit dient als Plattform für den Informationsund Erfahrungsaustausch in Sachen Cyber-Bedrohungen. Auf internationaler Ebene gibt es länderübergreifende Aktivitäten mit Partnern der Allianz. wirken. Smartphones und Tablets sind etablierte Endgeräte im Internet und halten – auch durch Bring Your Own Device – verstärkt in die UnternehmensIT Einzug. Dies steigert die Attraktivität Behörden dieser Geräte für Cyber-Angreifer und Entwickler von Schadsoftware. Das Mult ip Thema „mobile Malware“ wird deshalb Sorgen bereiten uns auch weiterhin BSI Sonstige Organisationen atoren lik auf der Tagesordnung bleiben. Angriffe und Angriffsversuche, die sich Unternehmen gezielt gegen bestimmte Unternehmen oder Institutionen richten. Der CyberRaum ist für Täter ein attraktiver Angriffsweg, da er vielfältige Tarnungsmöglichkeiten, eine gute Erreichbarkeit Sonstige Institutionen im besonderen staatlichen Interesse (INSI) Partner Betreiber Kritischer Infrastrukturen (KRITIS) potenzieller Ziele und unterschiedlichste Schwachstellen aufweist. Die Angrei- Sicherheit unverzichtbar. In Bezug auf Unternehmen wird die Allianz für Cyber- fer werden die Erfahrungen, die sie mit die Allianz für Cyber-Sicherheit wird dies Sicherheit die in 2012 aufgegriffenen den gezielten Angriffen in den letzten nicht nur durch die vielfältigen internati- Aktivitäten konsequent umsetzen und Jahren gesammelt haben, nutzen, um onalen Kooperationen des BSI, sondern ausbauen. Dabei ist es mir wichtig, die ihre Methoden weiter zu verbessern und auch durch die länderübergreifenden Ak- in Veranstaltungen und Einzelgesprä- die Angriffe insgesamt noch stärker zu tivitäten der Unternehmen, die sich als chen gegenüber dem BSI artikulierte professionalisieren. Partner in der Allianz für Cyber-Sicherheit Erwartungshaltung im Blick zu behalten. Deswegen werden wir auch im Jahr In diesem Zusammenhang gibt es jedoch auch positive Entwicklungen. Zwar sind die Unternehmen nach wie vor überwiegend sehr zurückhaltend mit Informationen über Cyber-Angriffe, die sie selbst erlitten haben, das BSI erhält jedoch zunehmend Signale von einzel- „Aufgrund des durchweg positiven Feedbacks von den Unternehmen wird die Allianz für Cyber-Sicherheit die in 2012 aufgegriffenen Aktivitäten konsequent umsetzen und ausbauen.“ nen Firmen, die bereit sind, ihre Erfah- 2013 weitere branchen- und zielgruppenspezifische Veranstaltungen organisieren, um einerseits die Sensibilisierung für Cyber-Sicherheit voranzutreiben und andererseits den direkten Dialog mit und zwischen den Unternehmen aufrechtzuerhalten. Den Anfang machte der erste Cyber-Sicherheitstag für Teilnehmer der rungen in einem kleinen Kreis zu teilen. engagieren, gewährleistet. Die dadurch Allianz im Januar. Im Februar folgten eine Wenn sich diese Entwicklung bestätigt, gewonnenen Erkenntnisse fließen in die große Tagung mit der Logistik-Branche wird dies sicherlich zur Sensibilisierung Arbeit der Allianz für Cyber-Sicherheit und Erfahrungsaustausche auf Bran- der Anwender sowie zu vollständigeren ein und werden so aufbereitet, dass ein chenebene. Lageinformationen beitragen und somit möglichst hoher Mehrwert für alle Mit- sind in Planung. Darüber hinaus freue ich letztendlich das „Immunsystem“ des glieder entsteht. Der Beitrag eines Part- mich auch sehr auf die zahlreichen an- Cyber-Raums verbessern. ners oder Multiplikators der Allianz für gekündigten Partnerbeiträge, die einen Weitere Veranstaltungen Cyber-Sicherheit kann auch ganz kon- deutlichen Mehrwert für die Teilnehmer secuview: Durch das Internet ist die ge- kret darin bestehen, den Informations- der Allianz für Cyber-Sicherheit liefern samte Welt miteinander verbunden und austausch werden. Angriffe erfolgen längst über Landes- Gruppe oder einer Initiative im Ausland grenzen hinweg. Werden Sie sich mit der zu gewährleisten. mit einer internationalen Allianz auch international mit anderen Gruppen austauschen oder verbinden? secuview: Abschließend: Was sind die Dr. Hartmut Isselhorst: Der interna- nächsten Schritte in 2013? tionale Informations- und Erfahrungs- Dr. Hartmut Isselhorst: Aufgrund des austausch durchweg positiven Feedbacks von den ist beim Thema Cyber- secunet ist der Allianz für Cyber-Sicherheit als Partnerunternehmen beigetreten und unterstützt mit Erfahrung und Know-how der eigenen Experten die Mitglieder der Allianz. 1 | 2013 « 05 National Deutsche Justiz geht auf Nummer sicher secunet bindet Bayern an das zentrale Registrierungsverzeichnis S.A.F.E. an Die verpflichtende elektronische Handelsregisteranmeldung im Jahr 2007 war gleichzeitig Startschuss für die Inbetriebnahme einer neuen Kommunikationsinfrastruktur in der deutschen Justiz: Von der Möglichkeit, über das EGVP einen direkten Zugang zu Gerichten und Behörden zu erhalten, wollten von Anfang an viele Nutzer Gebrauch machen – die Erwartungen an die Nutzerzahlen wurden schon drei Monate nach Einführung des EGVP bei weitem übertroffen. Weil jeder Nutzer für die Anmeldung zum EGVP in dem Identity Management-System mit einem eindeutig zugeordneten Postfach registriert und verwaltet wird und diese Daten permanent an alle empfangsbereiten EGVPs repliziert werden müssen, kommt dem Registrierungsdienst eine besondere Bedeutung zu. Loslösung der Registrierung vom EGVP: S.A.F.E. Um in puncto Performance und Schnittstellen auch in Zukunft optimal aufgestellt zu sein, hat die Bund-Länder-Kommission für Informationstechnik in der Justiz ein Konzept erstellt, das die Architektur eines föderierten Identitätsmanagementsystems für die deutsche Justiz festschreibt – der Name: Secure Access to Federated eJustice / E-Government, oder kurz S.A.F.E. Vereinfacht gesagt steckt folgende Idee dahinter: Die über verschiedene Domänen verteilten Identitätsspeicher sollen über eine Plattform zusammengebracht werden und über einheitliche Schnittstellen ansprechbar sein. Die sogenannte Vertrauensdomäne oder Trust Domain (TD) ist dabei das zentrale strukturierende Element. Sie besteht aus einer Menge von Diensten und Dienstnutzern, die in einer gegenseitigen Vertrauensbeziehung stehen. Eine länderübergreifende einheitliche Kommunikationsinfrastruktur in der Justiz ist auf diese Weise sichergestellt. 06 » 1 | 2013 Was ist EGVP? Über das elektronische Gerichts- und Verwaltungspostfach, kurz EGVP, können Gerichte und Behörden in bestimmten Verfahren sowohl untereinander als auch mit anderen Verfahrensbeteiligten wie z. B. Rechtsanwälten, Notaren, Unternehmen und Bürgern schnell, sicher und rechtswirksam Nachrichten, Dokumente und Schriftsätze im OSCI-Format (Online Services Computer Interface) austauschen. Hierbei wird der gesamte Datenaustausch automatisch verschlüsselt. Die Nachrichten können auch mit Anhängen versehen und bei Bedarf elektronisch signiert werden. Die gerichtlichen Verfahren werden beschleunigt und die Bearbeitung wird spürbar effizienter. Kein Wunder also, dass bereits mehr als 40.000 Verfahrensbeteiligte in allen Bundesländern und den meisten Bundesgerichten mit dem EGVP arbeiten und weiterhin mit stark steigenden Nutzerzahlen zu rechnen ist. National Loslösung vom zentralen Betrieb: Justiz Bayern die im ersten Schritt eingebunden werden sollen, sowie die Bislang gab es ein zentrales S.A.F.E.-Registrierungsverzeich- im Geschäftsprozess speichern. secunet übernahm auch nis, welches die Rollen und Identitäten der zusammen mit dem BayLfSt / RZ Nord die Integration der Verfahrensbeteiligten aller Bundesländer technischen Basis – die Oracle Identity Management Suite – Analyse und Bewertung der Datenquellen, die Informationen über die digitalen Identitäten der Benutzer und deren Rolle erfasst, mit Betrieb im Rechenzentrum des in die bestehende Infrastruktur. Landes Nordrhein-Westfalen. Nun hat Bayern als erstes Bundesland eine eigene Vertrauensdomäne aufgebaut und be- Flexibel und fi t für die Zukunft treibt diese beim BayLfSt / RZ* Nord. Die bayerische Justiz kann mit Fachverfahren wie dem zent- Damit wird der Pflegeaufwand erheb- ralen Testamentsregister oder dem zentralen Vollstreckungs- lich reduziert, weil die bayerischen portal bereits heute über S.A.F.E im Einvernehmen vertrau- Identitäten unmittelbar dort gepflegt ensvoll kommunizieren. Durch die offene und hochskalierbare werden, wo die Daten anfallen und Architektur werden in naher Zukunft viele weitere Fachverfah- ohnehin gepflegt werden müssen, ren, Bürgerportale und E-Government-Dienste folgen. nämlich im eigenen Bundesland; dadurch ist auch die Datenhoheit Mehr Informationen: Norbert Müller wieder hergestellt. [email protected] secunet hat die beim Präsidenten des Oberlandesgerichts München angesiedelte gemeinsame IT-Stelle der bayerischen Justiz bei der Planung, Erstellung und Implementierung einer S. A .F.E.-konformen Vertrauensdomain „Justiz Bayern“ organisatorisch technisch send wie umfas- unterstützt. Hierzu gehörten die Analysen der Fachverfahren und Benutzergruppen, * Bayerisches Landesamt für Steuern / Rechenzentrum Nord 1 | 2013 « 07 National Mehr Sicherheit für Passagiere, auch im Web Nicolas Hunloh, Teamleiter Internet, Flughafen Düsseldorf GmbH Das Luftverkehrsdrehkreuz Flughafen Düsseldorf ist Die mit über 20 Mio. Passagieren pro Jahr der größte Flughafen legten Nordrhein-Westfalens. 70 Fluggesellschaften starten von hier es besonders zu aus zu über 190 Zielen weltweit. In einer der wirtschaftlich schützen. Deshalb stärksten Regionen Europas mit 18 Mio. Einwohnern in einem entschloss Umkreis von 100 Kilometern gelegen, hat Düsseldorf Inter- der Flughafen Düs- national eine herausragende Bedeutung für die Erfüllung der seldorf 2012 dazu, Mobilitätsbedürfnisse der Bürger und der Wirtschaft in NRW seine firmeneigene und den südöstlichen Niederlanden. Darüber hinaus gibt der Website sowie die Flughafen als größte Arbeitsstätte in Düsseldorf mit rund der Tochtergesell- 19.700 Arbeitsplätzen erhebliche Beschäftigungsimpulse für schaften einem um- das Land. fangreichen Sicher- dort hinter- Daten gilt sich heitscheck zu unAnalog zum steigenden Passagieraufkommen hat sich die terziehen. Für diese Unternehmenswebsite in den vergangenen Jahren für Flug- Aufgabe konnte mit gäste, Abholer und andere Zielgruppen zu einer zentralen In- secunet schnell ein formationsquelle entwickelt. kompetenter, flexi- Sie nutzen die Website unter bler und zuverlässiger Dienstleister aus- anderem, um Flugzeiten zu gemacht werden. prüfen, sich über die örtlichen Der Düsseldorfer Flughafen hält mit regelmäßigen Sicherheitschecks auch für seine Online-Plattformen die gewohnt hohen Sicherheitsstandards ein. 08 » 1 | 2013 Gegebenheiten zu Für den Flughafen ist es besonders informieren, Park- wichtig, dass Sicherheitsstandards, die plätze reser- im „Offline“-Sektor des Flughafens zur vieren, allgemeine alltäglichen Arbeit in einem Umfeld mit Informationen rund hohen Sicherheitsstandards gehören, um den Airport ab- auf die Internetseiten übertragen werden. Denn auch Daten zurufen und vieles von Passagieren und Partnern müssen durch eine hochsiche- mehr. So ist die re und effiziente Infrastruktur stets vor externen, unzulässi- Website zentrale gen Zugriffsversuchen durch Hacker geschützt sein. Für das Anlaufstelle für ca. Team von secunet galt es daher, mögliche Sicherheitslücken 11 Mio. Besucher mittels eines detaillierten Penetrationstests zu identifizieren. jährlich. secunet ging dabei nach anerkannten Standards mit beson- zu derer Berücksichtigung von OWASP Top 10 2012 vor. Um die Diverse Extranets Serverinfrastruktur während des Betriebs nicht an die Gren- bieten B2B-Part- zen der Leistungskapazität zu bringen, wurden die Tests in nern und Kunden den trafficarmen Zeiten zwischen 23 Uhr und 6 Uhr durch- hilfreiche geführt. Tools. Kurz notiert HACKERSTORY #2 Gefahrenherde Budget und Produktionsdruck In vielen Unternehmen ist Sicherheit mittlerweile integraler Bestandteil des Produktionsprozesses. Dennoch werden von secunet in den beauftragten Penetrationstests immer wieder kritische Schwachstellen in den Systemen aufgedeckt, die die Unternehmenssicherheit, wenn nicht sogar existentielle Bestandteile des Unternehmens bedrohen können. In den Gesprächen mit den jeweiligen Systemverantwortlichen stellt sich schnell heraus, dass oft ein Teil der identifizierten Schwachstellen bekannt ist – allerdings nicht unbedingt die möglichen Auswirkungen. Diese Schwachstellen werden jedoch bewusst in Kauf genommen, da das betroffene System direkt in unternehmenskritische Prozesse eingebunden ist und nicht jedes Unternehmen über einen ausgereiften Staging-Prozess verfügt, mit dem Änderungen auf mehreren Pre-Produktionsystemen getestet werden können. Die Entscheider stehen vor einem Dilemma: Zur Erhöhung der Systemsicherheit müsste eine temporäre Einschränkung der Funktionalität hingenommen werden. Eine nachträgliche Korrektur – sofern überhaupt möglich – verursacht einen entsprechend hohen Aufwand. Eine ausbleibende Korrektur jedoch könnte im Schadenfall noch deutlich höhere Kosten verursachen. Ein detaillierter Report fasste anschließend die Ergebnisse Werden aber bereits in der Planungsphase einer An- zusammen – die identifizierten Optimierungspotenziale wur- wendung IT-Security-Teams eingebunden, können diese den binnen kurzer Zeit durch die Fachabteilungen der Flug- Probleme zumindest eingegrenzt werden: Wenn zu einem hafen Düsseldorf GmbH und ihrer Dienstleister umgesetzt. frühen Zeitpunkt die IT-Sicherheit gleichrangig zur Funktio- Gleichzeitig nutzte das Unternehmen das Projekt, um auf nalität berücksichtigt wird, können aufwändige Re-Designs allen Ebenen neue, verpflichtende Sicherheitsstandards oder Bug-Fixes am fertigen Produkt vermieden werden. einzuführen. Auch in Zukunft wird die Flughafen Düsseldorf GmbH bei der Angriffsprävention auf secunet setzen. Mehr Informationen: Dirk Reimers Mehr Informationen: [email protected] Christian Reichardt [email protected] IN DER NÄCHSTEN AUSGABE: Die trojanische Maus 1 | 2013 « 09 National Herausforderungen für PKI-Systeme im Fahrzeug Herkömmliche Lösungen reichen nicht Durch die speziellen Clients (Fahrzeuge, Ladeinfrastruktur oder Verkehrszeichen), die nicht – wie die Rechner im Firmennetzwerk – ständig zu erreichen sind und die zum Teil wesentlich längere Lebenszyklen haben, entstehen spezifische Anforderungen an PKI-Systeme, die es in den meisten FirmenPKIs gar nicht gibt. Ebenso definieren Spezifikationen für Car2Car-Kommunikation oder Plug’n Charge bei Elektromobilität sehr genau, was eine PKI leisten muss. So müssen beispielsweise Verfahren und Prozesse eingeführt werden, die der Tatsache Rechnung tragen, dass Teile des PKISystems nur sporadisch für eine OnlineKommunikation zur Verfügung stehen. Die Verteilung von Sperrinformationen ist nur ein Beispiel für diese Problematik. In einer PKI Schon lange Zeit sind PKI-Systeme in firmeninternen Netzen für eine Car-2-Car bzw. Car-2-X-Kommunikation explodiert oder im Internet etabliert. Auf Basis asymmetrischer Krypto- die Anzahl der Teilnehmer geradezu. Es werden weltweit Hun- graphie wurden Authentisierungsmechanismen geschaffen, derte von CA-Systemen und Millionen von Fahrzeugen sein, mit denen mehr Menschen arbeiten, als ihnen selbst bewusst die mit Schlüsselmaterial und Zertifikaten versorgt werden ist. Egal, ob beim Online-Banking, beim Remote-Login ins müssen, wobei jedes Fahrzeug aus Gründen des Datenschut- Firmennetz vom Homeoffice oder auch beim neuen Perso- zes mit mehreren Hundert bis Tausend Zertifikaten ausgestat- nalausweis: Meist ist eine PKI im Hintergrund für die sichere tet sein kann. Kommunikation verantwortlich. Einige der Probleme sind Automobilherstellern möglicherInzwischen existieren auch zahlreiche Anwendungen in Fahr- weise auch schon durch ähnliche Fragestellungen im Umfeld zeugen, die eine PKI erfordern: eigener Firmen-PKIs für Mitarbeiterausweise oder SSL-Zerti- - Digitaler Tachograph fikate für Webdienste bekannt. Dennoch stehen sie bei die- - Absicherung von Diagnosezugängen und -informationen sen neuen Spezialfällen vor ganz neuen Herausforderungen im Rahmen Euro 5 / Euro 6 im Bereich Key Management für kryptographische Schlüssel Absicherung von Flashware im Fahrzeug für die und Zertifikate, die mit den bereits etablierten Prozessen ein- Fahrzeugprogrammierung geführter PKI-Systeme nicht erfüllt werden können und neue Absicherung von TeleX-Diensten wie Telediagnose, Ansatzpunkte im Thema PKI erfordern. - Teleprogrammierung - Internet im Fahrzeug - Car-2-Car-Kommunikation Andreas Ziska - Plug’n Charge für eMobility [email protected] 10 » 1 | 2013 Mehr Informationen: National Die Aufgaben einer PKI Dabei bedeutet PKI nicht nur Technologie, sondern vor allem Infrastruktur und Prozesse. Ein elementarer Bereich ist das Key Management mit dem kompletten Lifecycle von kryptographischen Schlüsseln bzw. Zertifikaten. Die wichtigsten Aufgaben sind: Schlüsselerzeugung – Festlegung der Algorithmen, der Art der Schlüsselerzeugung (zentral vs. dezentral) und der Prozesse zur Zertifizierung des Public Keys sowie der Identifizierungsdaten des Zertifikatsinhabers. Schlüsselverteilung / Directory – die Verteilung der öffentlichen Schlüssel bzw. Zertifikate erfolgt über Verzeichnisdienste wie z. B. LDAP. Für die Ausgabe der privaten Schlüssel werden sichere Verteilwege bzw. Medien genutzt. Schlüsselerzeugung Sperrmanagement / Revokation (CRL / OCSP) Sperrmanagement / Revokation – zur Sperrung eines Zertifikats (bei Schlüssel- oder Vertrauensverlust) werden technische Mechanismen wie Sperrlisten (CRL) oder Online-Dienste (OCSP) eingesetzt. Der Betreiber von CAs nimmt die Sperranträge entgegen, prüft und autorisiert sie, führt eine Sperrung durch und publiziert die Sperrinformationen. Schlüsselverteilung / Directory Key Recovery / Vernichtung Key Recovery / Vernichtung – durch die Schlüsselwiederherstellung (Key Recovery) können Daten selbst dann noch lesbar und verifizierbar gemacht werden, wenn Schlüsselmaterial verloren gegangen ist. Zudem wird altes oder ungültiges Schlüsselmaterial sicher gelöscht. Schlüsseltausch (Root, CA, Client) Schlüsseltausch (Root, CA, Client) – entsprechende Prozesse (z. B. Online Provisioning, der Tausch eines Secure Elements oder mobil mit der NFCTechnologie) gewährleisten insbesondere den sicheren Tausch der öffentlichen Root- und CA-Schlüssel. Es ist sicherzustellen, dass kein Angreifer seine eigenen Root-Schlüssel einschleusen kann. Beispiel für eine eMob PKI nach ISO 15118 eMob-Root-CA Bereits etabliert wegen der entsprechenden eichrechtlichen Vorschriften für Smart Metering in Deutschland Optional Optional EV-OEM Root-CA Daimler BMW Fahrzeug-Zertifikate Energierversorger Root-CA AUDI RWE EnBW Ladeversorger Root-CA e.on A Vertrags-Zertifikate B Ladestation-Zertifikate Meter Root-CA C A B C SmartMeter-Zertifikate Die genannten Unternehmen sind eine beispielhafte Darstellung und geben keine Auskunft darüber, welche zukünftig unter eMob-Root-CA zu finden sind. 1 | 2013 « 11 National PRÄVENTIVE SICHERHEIT #1 Präventive Sicherheit ist ein großes Stichwort: Spezifische, auf das jeweilige Umfeld angepasste organisatorische, infrastrukturelle, technische oder personelle Maßnahmen helfen, einen Schutz aufzubauen, der wirkt, bevor etwas passieren kann. In den folgenden Ausgaben der secuview können Sie interessante und auch schon mal amüsante anonymisierte Fallbeispiele aus dem Alltag der secunet Experten lesen. WM schießt Löcher ins IT-System Hierarchische Anweisungen durchbrechen die beste technische Abwehr Es gibt viele technisch gut abgesicherte IT-Systeme. Doch leider fallen auch diese immer wieder einfachen Angriffen zum Opfer, weil selbst individuell passende organisatorische Prozesse nicht implementiert oder gelebt werden. „Wie konnten sie an den hochaktuellen technischen Sperren vorbeikommen? Die Sicherheitslücke lässt uns wie Anfänger aussehen!“ Leider ist dieses Zitat echt und die Zusammenhänge, die zu diesem erfolgreichen IT-Angriff geführt haben, sind keine Ausnahme. Technik und Administratoren waren tat- Sicherheitsmaßnahmen müssen gelebt werden sächlich auf einem hohen Niveau. Das Problem lag an ganz Erfahrungen zeigen, dass in vielen Behörden oder Unterneh- anderer Stelle. Die Sicherheitslücke wurde durch die Weisung men technische Sicherheitsmaßnahmen zwar gut umgesetzt einer hochrangigen Führungskraft verursacht, bestimmte IT- sind, diese aber durch organisatorische Aspekte der Informa- Dienste während der Fußball-WM zuzulassen, um Spiele live tionssicherheit in der Regel ungenügend gelebt werden. Da- am PC verfolgen zu können. Zwar haben die Administratoren bei gibt es genügend Standards oder Best Practices, die hier ausdrücklich auf die damit einhergehenden Sicherheitsproble- Unterstützung bieten. Seien es die typischen IT-Sicherheits- me hingewiesen, der Wunsch der Führungsperson, den Ball managementstandards der ISO 27000-Familie bzw. ihre Um- auch am Arbeitsplatz live rollen zu sehen, war aber offensicht- setzung auf Basis des BSI Grundschutzes oder die Empfeh- lich stärker als die Bedenken der „Techniker“. Der Fachmann, lungen aus ITIL (IT Infrastructure Library) oder Cobit (Control sprich der Administrator, hatte keine Handhabe gegen die Ent- Objectives for Information and Related Technology). Bei der scheidung. notwendigen Individualisierung oder der maßgeschneiderten Umsetzung unterstützen secunet Experten mit ihrer langjähri- Dieses reale Szenario besitzt durchaus keinen Seltenheits- gen Erfahrung. wert. Oft genug wird secunet zu Notfalleinsätzen gerufen, deren Ursachen fehlende organisatorische Sicherheitsmaß- Mehr Informationen: nahmen sind. Im vorliegenden Fall hätte ein klar definierter, René Seydel revisionssicher dokumentierter Prozess, der dem Administra- [email protected] tor entsprechende Vetorechte einräumt, geholfen, den hohen Sicherheitsstand der Technik zu wahren. Ein sicheres und verantwortungsvolles Handeln trotz der persönlichen Wünsche des Chefs wäre dadurch möglich gewesen. IN DER NÄCHSTEN AUSGABE: Gut konfiguriert – ein Klick für mehr Sicherheit 12 » 1 | 2013 Neben dem Beruf zum Bachelor & Master Bachelor-Abschlüsse: Europäische BWL (B.A.) Wirtschaftspsychologie (B.A.) Finance & Mangement (B.Sc.) Logistikmanagement (B.Sc.) Wirtschaftsrecht (LL.B.) Master-Abschlüsse: Wirtschaftspsychologie (M.Sc.) Business Coaching & Change Management (M.A.) MBA Hochschulkurse mit Zertifikat Jetzt 4 Wochen kostenlos testen! Jederzeit starten Freie Zeiteinteilung Ortsunabhängig per Fernstudium www.Euro-FH.de 0800 / 33 44 377 (gebührenfrei) 600 AA Infos anfordern: Jetzt informieren: International Die Zukunft der Grenzkontrolle heißt Automatisierung Mit secunet eGates steigende Passagierzahlen an der Grenze sicher managen Im Zuge der Globalisierung nimmt die private wie berufliche Mobilität stetig zu. Das Flugzeug wird dabei selbst auf Kurzstrecken mehr und mehr eine attraktive Alternative zu Bahn oder Auto. Für Flughäfen bedeutet dies, dass immer mehr Passagiere abgefertigt werden müssen. So geht die International Air Transport Association (IATA) davon aus, dass bereits 2013 die Marke von weltweit 3 Mrd. Passagieren überschritten wird.1 Diese Entwicklung stellt Flughäfen gleich vor mehrere Herausforderungen: Die Passagiere sollen weder beim Sicherheitscheck noch bei der Passkontrolle lange warten. Gleichzeitig darf der Sicherheitsaspekt in Zeiten anhaltender Terrorgefahr auf keinen Fall vernachlässigt werden. Die Lösung liegt in biometrischen Daten Eine Möglichkeit, das wachsende Passagiervolumen bei der Grenzkontrolle zu bewältigen, bieten elektronische Grenzkontrollschleusen – sogenannte Automated Border Control-Systeme oder kurz: eGates. Durch Nutzung der in elektronischen Reisedokumenten gespeicherten biometrischen Daten – wie dem digitalen Gesichtsbild des Reisenden – ermöglichen eGates eine Teilautomatisierung der Grenzkontrollprozesse auf gleich hohem Sicherheitsniveau: Durch Auflegen des Passes auf das Dokumentenlesegerät werden die elektronischen und optischen Sicherheitsmerkmale des Passes geprüft und die biometrischen Daten ausgelesen. Zur Nutzung des Systems berechtigte Passagiere können anschließend die Schleuse betreten. Parallel hierzu erfasst eine in die Ausgangstür integrierte Kamera vollautomatisch das Gesicht des Reisenden. Diese Daten werden anschließend mit den im Pass gespeicherten Daten verglichen. Stimmen die Daten überein, darf der Passagier die Grenze Zeitgleich mit dem Auslesen des ePasses und der Aufnahme des Gesichts werden die Daten auf dem Kontrollmonitor des Grenzbeamten angezeigt. passieren. Das Verfahren bietet allen Beteiligten nennenswerte Vorteile: Einerseits verkürzen sich für Passagiere die Wartezeiten und Flughafenbetreiber profitieren von optimierten Passagierflüssen. Andererseits werden 1 14 » 1 | 2013 Vgl.: http://www.iata.org/pressroom/facts_figures/Documents/ economic-outlook-media-day-dec2012.pdf International Bei der Gesichtsbilderfassung setzt secunet auf eine intelligente Kameralösung, die in der Ausgangstür integriert ist. Adaptive LED-Leuchten sorgen für die optimale Ausleuchtung. Die eGates von secunet sind in den Projekten EasyPASS und EasyGO bereits im operativen Einsatz. Grenzpolizisten entlastet, ohne dass sie dabei die Kontrolle tung der Passagiere angepasst; diese werden Schritt für Schritt über den Prozess verlieren. selbsterklärend durch das System geleitet. So sind eine hohe Akzeptanz und eine schnelle und unkomplizierte Abfertigung Durch Pioniergeist zu nachhaltigen Lösungen garantiert. Als Pionier auf diesem Fachgebiet hat secunet bereits Ende sierten Grenzkontrolle überzeugen Flughäfen wie Grenzpolizei 2007 im Auftrag des Bundesamtes für Sicherheit in der Infor- gleichermaßen. Experten sind sich nicht zuletzt deshalb darin mationstechnik (BSI) die Konzeption und Implementierung der einig, dass der Trend der nächsten Jahre an nationalen und eGate-Lösung EasyPASS am Flughafen Frankfurt vorgenom- internationalen Flughäfen deutlich in Richtung automatisier- men und, nach erfolgreicher Überführung in den Wirkbetrieb, ter Grenzkontrollen geht. Dank jahrelanger Erfahrung, gepaart inzwischen für die Nutzung mit dem neuen deutschen Per- mit höchster Qualität „Made in Germany“, werden die secunet sonalausweis erweitert. Dies hat nicht nur Maßstäbe für die eGates dabei eine entscheidende Rolle spielen. Die Vorteile und praktischen Erfahrungswerte der automati- zukünftige Ausgestaltung der Grenzkontrollsysteme an deutschen Flughäfen gesetzt, die Lösung hat auch die tschechische Mehr Informationen: Grenzpolizei überzeugt: Unter dem Namen EasyGO wurde Georg Hasse das automatisierte Grenzkontrollsystem am Flughafen Václav [email protected] Havel in Prag Ende 2012 nach nur einjähriger Pilotzeit in den Wirkbetrieb überführt und umfassend erweitert. Was macht die Lösung von secunet so einzigartig? Entscheidendes Alleinstellungsmerkmal der eGate-Lösungen von secunet ist der modulare Ansatz. Die einzigartige Flexibilität des komplexen Gesamtsystems wird möglich durch secunet biomiddle, eine Software, die als Mittler zwischen Client-Anwendungen und sämtlichen biometrischen Technologien fungiert. Dadurch können vorhandene Komponenten jederzeit gegen modernere ausgetauscht und um zusätzliche Geräte ergänzt werden. Das Automated Border Control-System setzt auch in anderer Hinsicht Standards: So hat das BSI, als unabhängige Stelle, die Sicherheit und Zuverlässigkeit überprüft. Obendrein zeichnet sich das System durch eine besondere Benutzerfreundlichkeit aus. Der gesamte Prozess ist an die natürliche Bewegungsrich- Die Vorteile des secunet eGates auf einen Blick Sicher - BSI-geprüfte Sicherheit und Zuverlässigkeit des Systems durch - Überprüfung der optischen und elektronischen Sicherheitseigenschaften - Biometrischen Vergleich auf hohem Sicherheitsniveau - Monitoring durch Grenzbeamte Wirtschaftlich - Flughäfen können eine höhere Anzahl von Passagieren auf gleicher Fläche abfertigen - Investitionssicherheit durch modulare und standardkonforme Architektur des Gesamtsystems Schnell - Konventionelle Grenzkontrolle wird durch Teilautomatisierung entlastet und daher beschleunigt - Reisende werden intuitiv durch das Gate geführt und können so ohne lange Wartezeit die Grenze passieren 1 | 2013 « 15 Technologien & Lösungen Medienbruchfreie elektronische Verwaltung von Verschlusssachen Vorschriftenkonform und sicher mit SINA Workflow Jeder, der bereits mit klassifizierten, elektronischen Daten und Vorgängen gearbeitet hat, kennt das Dilemma: Die Vorschriftenlage (Verschlusssachenanweisung, VSA) auf der einen Seite, die zu erledigende Arbeit auf der anderen Seite. Dieser Konflikt hat sich in den letzten Jahren stetig vergrößert, denn die aktuellen Vorschriften wurden ursprünglich für die „alte“ Papierwelt konzipiert. Doch mittlerweile erfordert die stark wachsende Informationsflut eine elektronische Verarbeitung; und es existieren noch keine zugelassenen und für den produktiven Einsatz geeigneten Softwaresysteme für die VSA-konforme Bearbeitung. Mit SINA Workflow ist ein ganzheitlicher, VSA-konformer Weg aus dem Dilemma entwickelt worden: VS-Bearbeiter mit SINA Workstation SINA Workflow kann den gesamten Lebenszyklus von klassifizierten Dokumenten und Vorgängen abbilden. So ist jetzt auch eine elektronische, VSA-konforme Bearbeitung von Verschlusssachen möglich. - Die Erstellung, Bearbeitung und Verteilung von klassifizierten Daten erfolgt ohne Medienbrüche. - Im Gegensatz zu anderen Lösungen werden nicht nur einzelne Aspekte der VSA abgebildet. an kann auch weiteren Bearbeitern der Zugriff auf diesen VS-Entwurf erlaubt werden. Dadurch gewährleistet SINA Workflow die vorschriftenkonforme Bearbeitung von klas- - Es erfolgt eine konsequente, kryptographisch gesicherte sifizierten Dokumenten innerhalb einer Gruppe und bietet Durchsetzung des Prinzips „Kenntnis nur wenn nötig“ zusätzlich Unterstützung für Zuarbeiten und Mitzeichnungs- („need to know“). prozesse. Nach der Fertigstellung und Registrierung der fi- - Der unkontrollierte Abfluss von klassifizierten Daten wird verhindert. nalen Verschlusssache kann die Verteilung des eigentlichen VS-Dokuments erfolgen. Natürlich können VS-Dokumente - Jede laut VSA nachweispflichtige Aktivität wird gerichts- auch ausgedruckt oder exportiert werden. verwertbar und sicher protokolliert. Neben den Anwendern werden auch die VS-Verwalter bei SINA Workflow besteht aus zentralen Registratur-, Steuerungs- ihren Tätigkeiten unterstützt, indem SINA Workflow beispiels- und Speichersystemen sowie dezentralen Clients auf Basis weise ein VS-Tagebuch oder VS-Bestandslisten an VS-Doku- der SINA Workstation. menten automatisiert erzeugt. Der komplette Lebenszyklus von klassifizierten Dokumenten Derzeit erfolgt in Zusammenarbeit mit einer deutschen Bun- und Vorgängen wird abgebildet, so dass ein Anwender von desbehörde die prototypische Installation und Integration von Anfang an von dem System unterstützt und begleitet wird. SINA Workflow in die bestehende Netzwerkinfrastruktur. Bereits die Erstellung von VS-Entwürfen erfolgt innerhalb einer SINA Workflow-spezifischen Sitzung auf einer SINA Mehr Informationen: Workstation. Durch eine Registrierung dieses VS-Entwurfs Peter Janitz erfolgt die zentrale, verschlüsselte Speicherung. Von nun [email protected] secuview abonnieren Sie möchten die secuview regelmäßig und kostenlos zugesendet bekommen? Wählen Sie zwischen der Print- und der E-Mail-Version. Anmeldung: www.secunet.com/de/das-unternehmen/Kundenzeitung-secuview. Hier haben Sie auch die Möglichkeit, Ihr Abonnement zu ändern oder zu kündigen. Bildnachweis: Titelbild People: plainpicture/OJO; S. 3 (Ordner), 6, 7, 12: shutterstock.com; Flughafen Düsseldorf S. 8 - 9: Andreas Wiese; S. 10: iStockphoto.com; S. 19 oben: EUROFORUM Deutschland SE. Alle anderen: secunet. 16 » 1 | 2013 Kurz notiert secunet bei Twitter, Xing und LinkedIn und Partner interessante IT-Sicherheits- Neuigkeiten aus der Welt der IT-Sicher- themen bereitzustellen und erreichbar heit! Dabei beschränken wir uns nicht zu sein. nur auf Nachrichten aus dem eigenen Unternehmen, sondern greifen alle The- Mit unseren Unternehmensprofilen auf men zu IT-Sicherheit aus Wirtschaft und den Business-Plattformen Xing und öffentlichem Sektor auf, geben Informa- LinkedIn bieten wir bestehenden und tionen zu aktuellen Sicherheitslücken potenziellen Kunden sowie interessier- weiter und treten auch gern in den di- ten und möglicherweise neuen Mitarbei- rekten Dialog mit der Community. tern die Möglichkeit, auf unkomplizierSoziale Medien verändern unser ge- te Weise mit uns in Kontakt zu treten. Besuchen Sie uns auf www.secunet.com Folgen Sie uns auf Twitter: @secunet_AG sellschaftliches Leben, sind aber mittlerweile auch aus der Arbeitswelt kaum Industrieverbände sind schon länger mehr wegzudenken. secunet hat 2012 dabei, ebenso das Bundeskanzleramt. seine Online-Präsenz auf die Plattformen Nun informieren auch wir über unse- Twitter, Xing und LinkedIn ausgeweitet, ren Twitterkanal @secunet_AG unsere um auch über diese Medien für Kunden Kunden und interessierte Nutzer über Neuer Rahmenvertrag des Bundes über IT-Sicherheitsdienstleistungen Dieser QR-Code führt Sie direkt auf unsere Twitterseite: http://www.twitter.com/ secunet_AG Personalveränderungen beim BSI Seit August 2012 können Bundesbe- Darüber hinaus unterstützt secunet hörden IT-Sicherheitsdienstleistungen den Bund auch bei der Durchführung von secunet über zwei neue Rah- von Sicherheitsanalysen, durch die menvereinbarungen des Bundesam- Schwachstellen in IT-Systemen und tes für Sicherheit in der Informations- IT-Prozessen aufgedeckt und behoben Andreas Könen hat seit dem 1. Januar technik abrufen. Gemeinsam mit der werden können. Weitere Informationen 2013 die Position des Vizepräsidenten HiSolutions AG hat secunet das Bieter- sind im „Kaufhaus des Bundes“ unter des BSI inne und übernimmt damit das verfahren für IT-Sicherheitsberatungs- https://www.kd-bund.de (Zugang nur Amt seines Vorgängers Horst Flätgen, dienstleistungen des Bundes erneut mit Zertifikat) und über das Intranet des der ins Bundesfinanzministerium wech- für sich entschieden. Die neuen Rah- Bundes zu finden (http://kdb.intranet. selte. Zuletzt agierte Könen als Leiter menvereinbarungen beinhalten sowohl bund.de). der Abteilung „Beratung und Koordination“ und übernahm in den Jahren allgemeine Beratungsdienstleistungen zur IT-Sicherheit in Bundesbehörden, Mehr Informationen: zuvor die Leitungen der Fachbereiche Beratung im Umfeld von eGovern- Dirk Ossenbrüggen „Koordination und Steuerung“ sowie ment-Maßnahmen und Projekten als [email protected] „Sicherheit in Anwendungen und Kriti- auch die Durchführung von Audits schen Infrastrukturen“. Die Leitung der und Revisionen sowie die Erstellung Abteilung „Beratung und Koordination“ von Sicherheits- und Notfallkonzepten. übernimmt in Zukunft Horst Samsel. Impressum Herausgeber: secunet Security Networks AG Kronprinzenstraße 30 45128 Essen www.secunet.com V. i. S. d. P.: Christine Skropke, [email protected] Redaktionsleitung: Claudia Roers, [email protected] Leitung Konzeption & Gestaltung: Dominik Maoro, [email protected] Gestaltung: www.knoerrich-marketing.de Urheberrecht: © secunet Security Networks AG. Alle Rechte vorbehalten. Alle Inhalte und Strukturen sind urheberrechtlich geschützt. Jede Verwendung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen schriftlichen Erlaubnis. 1 | 2013 « 17 Veranstaltungen Angeregte Gespräche auf der it-sa Cornelia Rogall-Grothe, Beauftragte der Bundesregierung für Informationstechnik und Staatssekretärin im Bundesminis- Cornelia RogallGrothe im Gespräch mit dem secunet Vorstandsvorsitzenden Dr. Rainer Baumgart (2. v. l.) terium des Innern, sowie der IT-Beauftragte der Bayerischen Staatsregierung, Finanzstaatssekretär Franz Josef Pschierer, besuchten secunet im Oktober 2012 auf der it-sa. IT-Gipfel: Arbeitsgruppe 4 zu Gast bei secunet Im Rahmen des IT-Gipfels in Essen war Bundesinnenminister Dr. Hans-Peter Friedrich am 12. November 2012 zu Gast bei secunet. Gemeinsam mit Dr. Karsten Ottenberg (G&D) leitete er das Treffen der Arbeitsgruppe 4 „Vertrauen, Datenschutz und Sicherheit im Internet“. Über 100 Teilnehmer und Pressevertreter kamen in die Kronprinzenstraße, um unter dem Titel „Cyber-Sicherheit in Deutschland gestalten“ mit dem Innenminister, BSI-Präsident Hange, Prof. Dr. Claudia Dr. Karsten Ottenberg, Innenminister Dr. Hans-Peter Friedrich, Dr. Rainer Baumgart und Prof. Dr. Claudia Eckert (v. l.) Eckert (TU München und Fraunhofer AISEC), Reinhard Clemens (Deutsche Telekom), Dr. Rainer Baumgart und Dr. Karsten Ottenberg zu diskutieren. Always online – always secure? Auf dem Workshop „IT Security on Board“ trafen sich Exper- festgestellt werden kann, waren Themen in den Vorträgen und ten im Oktober in München, um sich über die Entwicklungen den angeregten Gesprächen und Diskussionen. Auf besonde- und die daraus entstehenden neuen Anforderungen aus den res Interesse stieß die Live-Hacking-Demo der secunet, bei Bereichen Elektromobilität und Car-2-Car auszutauschen. der aktuelle Angriffe auf iPhones und Android-Telefone gezeigt Auch Standards und Methoden, anhand derer die IT-Sicherheit wurden: Einige Gäste reagierten unmittelbar mit einem kriti- im Fahrzeug angemessen bewertet und ein Schutzbedarf schen Blick auf das eigene Telefon. Expertenaustausch auf der biometrics Vom 29. bis 31. Oktober trafen sich Biometrieexperten aus der ganzen Welt auf der biometrics in London. Auf der Konferenz und in der Ausstellung fand ein reger Austausch über aktuelle Themen, neue Trends und Biometrie in der prakti- secunet in London: Die biometrics war geprägt von interessanten Gesprächen, Impulsen und neuen Ideen. schen Anwendung statt. In einer ganzen Reihe von interessanten Gesprächen konnten die Experten von secunet sowohl Impulse setzen als auch neue Ideen und Fragestellungen mit nach Hause bringen. secunet ACU in Tokio Auf der Freescale Konferenz FTF im Oktober 2012 in Tokio entspricht, wird von der ACU vor Erreichen des Bordnetzes zeigte secunet am Stand des Partners OpenSynergy einen unterbunden. Auf diese Weise sind mit der ACU offene ver- seriennahen Demonstrator der secunet ACU (Application netzte Anwendungsfälle möglich. Hohe Schutzwerte wie die Control Unit). Die Kommunikation von externen Netzen in Betriebssicherheit sind gleichzeitig abgesichert. das Fahrzeuginnere, welche nicht den gewünschten Regeln 18 » 1 | 2013 Termine SINA trifft den Verteidigungsminister Februar bis Juni 2013 Zusammen mit Verteidigungsminister de Maizière diskutierten die Teilnehmer der Handelsblatt-Konferenz „Sicherheitspolitik und Verteidigungsindustrie“ über den Dialog zwischen Gesellschaft, Politik, Militär und Wirtschaft. secunet war einer der Sponsoren der Konferenz und präsentierte den Besuchern unter anderem das SINA Produktportfolio. SINA präsentiert auf NATO-Symposium Erstmals präsentierten wir SINA im September 2012 auf dem NIAS-Symposium mit Ausstellung in Mons, Belgien, am eigenen Messestand. 12. - 14. Febr. 2013 » Security Document World / Prag, Tschechien 17. - 21. Febr. 2013 » IDEX / Abu Dhabi, Vereinigte Arabische Emirate 25. Febr. - » RSA Conference / 1. März 2013 San Francisco, USA 5. - 9. März 2013 » CeBIT / Hannover 12. April 2013 » Workshop „IT Security on Board“ / München 23. - 25. April 2013 » Infosecurity Europe / London, UK SINA in Rom 24. - 25. April 2013 » AFCEA Fachausstellung / Bonn-Bad Godesberg 7. Mai 2013 » SINA Anwendertag / Berlin Johan Hesse von secunet präsentiert dem internationalen Publikum im Forum SINA Lösungen. Unter der Schirmherrschaft des italienischen Verteidigungsministers Giampaolo Di Paola fand im Oktober die AFCEA TechNet International in Rom statt. Viele Besucher, insbesondere Vertreter verschiedener NATO-Staaten und der NCIA (NATO Communications and Information Agency), ließen sich die SINA Lösungen am secunet Stand demonstrieren. 14. - 16. Mai 2013 » 13. Deutscher IT-Sicherheitskongress / Bonn-Bad Godesberg 21. - 23. Mai 2013 » Security Document World / London, UK 15. Mai 2013 » Hauptversammlung secunet / Essen, Schloss Borbeck 15. - 16. Mai 2013 » Datenschutzkongress / Berlin 5. und » SINA Anwendertag / 6. Juni 2013 Bonn SINA zu Besuch in Warschau Im Oktober 2012 trafen sich alle internationalen SINA Reseller Partner zu Informations- und Erfahrungsaustausch, Haben Sie hierzu Fragen oder möchten Sie sich anmelden? Vorträgen und Networking in Warschau. Schicken Sie uns gern eine E-Mail an [email protected]. 1 | 2013 « 19 Einsturzgefahr! Passgenaue IT-Sicherheit macht Ihren Erfolg stabil. Schützen Sie Ihre wichtigsten Werte. IT-Sicherheit ist der Wegbereiter für eine intakte IT-Infrastruktur und alle Prozesse. Setzen Sie mit secunet auf die richtige Karte: Wir unterstützen Sie mit Expertise und Weitblick bei der Realisierung anspruchsvoller IT-Sicherheitslösungen. www.secunet.com IT-Sicherheitspartner der Bundesrepublik Deutschland