Das secunet Kundenmagazin 2 | 2017

Post-Quanten-KryptographieWie Experten Verschlüsselungstechnologien für eine mögliche Ära des Quantencomputers entwickeln

Automatisierter IT-Grundschutz für alleDie neue Grundschutzmethodik verringert den Aufwand bei weiter erhöhter Sicherheit

AUSBAU DER ENISA

Auf dem Weg zu einer europäischen IT-Sicherheitskultur

SECUVIEW – 2 | 20172

Inhalt

International 4 Ausbau der ENISA:

Auf dem Weg zu einer europäischen IT-Sicherheitskultur

10 Luxemburg: Sichere IT für die staatliche Verwaltung

11 Estland: Beschleuniger für die Grenzkontrolle

National12 PersoSim simuliert den elektronischen

Personalausweis – und mehr

13 Identitätsfeststellung mit dem Smartphone

Wissenschaft14 Post-Quanten-Kryptographie:

Sicherheit in Zeiten des Quantencomputers

Technologien & Lösungen16 Elektronische Gesundheitskarte:

Vorhang auf für den Konnektor

19 Informationssicherheit aus der Vogelperspektive

19 SINA Workstation H erhält höchste EU-Zulassung

20 Automatisierter IT-Grundschutz für alle

22 Kooperative Arbeitsprozesse mit Verschlusssachen: Papier hat ausgedient

23 Manipulieren zwecklos

24 Pentest beendet – und dann?

Politik & Gesellschaft26 Parlamentarischer Abend: IT-Sicherheit als

gesamtstaatliche Aufgabe

Kurz notiert28 Stiftungsprofessur für IT-Sicherheit an der

Westfälischen Hochschule

28 it-sa weiterhin auf Wachstumskurs

29 secunet baut Fähigkeiten für Produktion und Logistik aus

29 authega nach ISO 27001 zertifiziert

30 Reorganisation bei secunet

30 secunet Security Networks AG: Axel Deininger in den Vorstand berufen

30 secunet nun mit Standort in Stuttgart

Service31 Termine – Januar bis Juni

31 Impressum

Luxemburg: Sichere IT für die staatliche Verwaltung

Elektronische Gesundheitskarte: Vorhang auf für den Konnektor

10

16

Titelbild: Prof. Dr. Udo Helmbrecht, Direktor der ENISA

3

EdItorIal

Liebe Leserinnen und Leser,in der IT-Sicherheit kann es keinen Stillstand geben. Das liegt in der Natur der Sache und ist insofern fast schon eine Binsenweisheit. Allerdings macht die Cybersicherheit derzeit eine Phase besonders raschen Wandels durch. Die Digitalisierung hält Einzug in Themenbereiche, die vor wenigen Jahren noch völlig frei von Informationstechnologie waren. Dabei fällt auf, dass bei der Realisierung digitalisierter Prozesse Cybersicherheit zum entscheidenden Erfolgsfaktor wird. Doch auch die Herausforderungen wachsen: Die beschleunigte Ver-netzung führt zu einer Vervielfachung der potenziellen Einfallstore für Cyberbedrohungen. Und diese sind von immer größerer gesellschaftlicher Bedeutung, wie die Debatte um die Möglichkeit der Manipulation von Wahlen oder auch der Aufbau des neuen Organisations-bereichs Cyber- und Informationsraum (CIR) der Bundeswehr zeigen.

Die Digitalisierung, die wir heute erleben, ist aber noch nicht das Ende der technischen Entwicklung. Neue Technologien erscheinen bereits am Horizont. Eine davon ist der Quantencomputer. Sollte er sich verwirklichen lassen, wird das erhebliche Auswirkungen auf heute bestehende Sicherheitssysteme haben und viele digitalisierte Prozesse und Infrastrukturen bedrohen. Wie der Überblicksartikel in der vorliegenden Ausgabe der secuview zeigt, tun wir gut daran, uns schon jetzt umfassend mit Post-Quanten-Kryptographie zu beschäftigen.

Doch nicht nur die Technologie, sondern auch die Wahrnehmung der IT-Sicherheit ändert sich gerade. Zum einen wurden die ver-schiedenen Angriffswellen mit Ransomware wie WannaCry, Petya oder NotPetya, die wir in diesem Jahr erlebt haben, vielerorts als Weckruf verstanden. Zum anderen setzt sich immer mehr die Erkenntnis durch, dass Investitionen in die Cybersicherheit kein Ressourcengrab sind, sondern eine Station auf dem Weg zu den Effizienzvorteilen, die die Digitalisierung verspricht. So gesehen ist Cybersicherheit „keine Innovationsbremse, sondern ein Innovations-garant“, wie das Bundesamt für Sicherheit in der Informationstech-nik (BSI) es in seinem neuesten Bericht zur Lage der IT-Sicherheit in Deutschland ausdrückt.

Auf europäischer Ebene ist die Cybersicherheit ebenfalls Anlass schneller Veränderungsprozesse. Gerade erst haben die Mitglieds-staaten mit der Umsetzung der „Network and Information Security“ (NIS)-Richtlinie der EU begonnen, da wird bereits ein umfangreicher Ausbau der Euro-päischen Agentur für Netz- und Informationssicherheit ENISA diskutiert. Über dieses Thema berichten wir ausführlich in dieser Ausgabe.

Um flexibler und agiler auf die Herausforderungen der Zukunft reagieren zu können, haben auch wir bei secunet uns für Veränderungen entschieden. Mittels einer neuen Organisations-struktur mit zwei neu gegründeten Gesellschaften stärken wir unser Auslandsgeschäft und stellen uns schlagkräftiger auf, wovon unsere Kunden profitieren werden.

Vielleicht haben Sie es als aufmerksamer Leser schon gemerkt: Vor der secuview hat der allgegenwärtige Wandel ebenfalls nicht haltgemacht. Wir haben das Erscheinungsbild der Zeitschrift modernisiert, hoffen Ihnen ansonsten aber weiterhin mit unserem Mix aus Branchenthemen, Technologie-Neuigkeiten und Anwendungsbeispielen eine spannende Lektüre zu bieten. Viel Spaß beim Lesen!

Bevor uns der IT-Sicherheits-Alltag wieder einholt, wünsche ich Ihnen zunächst einmal eine ruhige und erholsame Weihnachtszeit. Kommen Sie gut ins neue Jahr!

Ihr Dr. Rainer Baumgart

SECUVIEW – 2 | 20174

IntErnatIonal

AUSBAU DER ENISA

Auf dem Weg zu einer europäischen IT-SicherheitskulturDie Europäische Agentur für Netz- und Informationssicherheit (ENISA) setzt sich als Kompetenzzentrum, Informationsdrehscheibe und Beratungsinstitution für ein hohes IT-Sicherheitsniveau innerhalb der Europäischen Union ein. Nun stehen größere Veränderungen zur Diskussion: In ihrem Entwurf eines „Rechtsakts zur Cybersicherheit“ schlägt die EU-Kommission vor, die ENISA mit einem permanenten

Mandat und erweiterten Befugnissen auszustatten. Unter anderem soll sie eine wichtige Rolle bei einem neuen europäischen Zertifizierungs-verfahren für ITK-Produkte und -Dienste übernehmen. Im Rahmen eines Treffens zwischen der ENISA und secunet im Oktober in Griechenland fand ein intensiver Gedankenaustausch zu den aktuellen Entwicklungen statt.

5

IntErnatIonal

Schon am Anfang der europäischen Geschichte steht ein kryptographisches Rätsel: Der Diskos von Phaistos stammt aus dem zweiten Jahrtausend vor

Christus und enthält Schriftzeichen, die zwar keine Verschlüsselung im eigentlichen Sinn darstellen, aber bis heute nicht eindeutig entziffert wurden.

Der Fundort Phaistos liegt in Griechenland, unweit eines Standorts der ENISA.

SECUVIEW – 2 | 20176

IntErnatIonal

Wer an die Ursprünge Europas denkt, denkt unweigerlich an Griechenland: an hellenische Stadtstaaten und die minoische Kultur, die auf der griechischen Insel Kreta entstand und als früheste Hochkultur Europas gilt. Im heutigen Griechenland hat eine Institution ihren Sitz, die sich mit der Zukunft Europas beschäftigt. Die ENISA spielt mit ihren Reports, Analysen und Empfehlungen eine Schlüsselrolle für die europäische Cybersicherheit (siehe Kasten unten). Diese Rolle soll künftig weiter aus-gebaut werden (siehe Kasten auf dieser Seite).

Es gehört zum Selbstverständnis der ENISA, einen regen Austausch nicht nur mit EU-Institutionen und Mitgliedsstaaten zu pflegen, sondern auch mit Unternehmen der europäischen IT-Sicherheitsindustrie. Als Teil dieses kontinuierlichen Dialogs trafen am 20. Oktober 2017 in Griechenland Ex-perten der ENISA und der secunet Security Networks  AG zusammen. Unter den Teil-nehmern waren auch Prof. Dr. Udo Helm-brecht, Direktor der ENISA, sowie die secunet Vorstandsmitglieder Dr. Rainer Baumgart und Thomas Pleines.

Hauptthema des Gesprächs waren die Neuerungen, die der Vorschlag für den Rechtsakt zur Cybersicherheit (Cybersecurity Act) vorsieht, den die EU-Kommission am 13.  September  2017 veröffentlicht hatte. Dieser Entwurf 1 sieht eine deutlich gestärkte Rolle für die ENISA vor: Sie soll erstmals ein dauerhaftes Mandat erhalten, etwa um die Mit-gliedsstaaten bei der Umsetzung der „Network and Information Security Directive“ (NIS-Richt-linie) zu unterstützen, dem ersten EU-weiten Gesetzeswerk zur Cybersicherheit. Die im letzten Jahr verabschiedete Richtlinie zielt darauf ab, ein vergleichbares Cybersicherheits-niveau in den Mitgliedsstaaten herzustellen und EU-weit einen effektiven Informationsfluss und eine funktionierende Zusammenarbeit zu diesem Thema sicherzustellen.

Ein europäisches Zertifizierungs-verfahrenEin weiterer Kernpunkt des Entwurfs ist die Einführung eines EU-weiten Zertifizierungsrah-mens für ITK-Produkte und -Dienste. Aktuell existiert in der EU eine Vielzahl unterschiedlicher nationaler Zertifizierungsverfahren ohne

1 Der Gesetzesentwurf ist unter folgender Webadresse abrufbar: https://ec.europa.eu/info/law/better-regulation/initiatives/com-2017-477_de2 ENISA, August 2017: Considerations on ICT security certification in EU. https://www.enisa.europa.eu/publications/certification_survey

übergreifenden EU-weiten Rahmen, so dass nach Auffassung der Kommission und der ENISA eine zunehmende Fragmentierung zu befürchten ist, die zu verstärkten Barrieren im Binnenmarkt führen könnte.

Schon seit einigen Jahren berät die ENISA die Kommission und die Mitgliedsstaaten bei der Aufgabe, einen Zertifizierungsprozess auf EU-Ebene zu gestalten, der den Wettbewerb stärkt und gleichzeitig die gegenseitige An-erkennung und Harmonisierung nationaler Zertifizierungsverfahren fördert. In einer ak-tuellen Umfrage der ENISA 2, die überwiegend unter Behördenvertretern sowie Herstellern und Nutzern von IT-Produkten und -Diensten durchgeführt wurde, sprachen sich deutliche Mehrheiten für größere Bemühungen hinsicht-lich Zertifizierung und Kennzeichnung auf EU-Ebene aus. Die Idee, Zertifizierungen müssten länderübergreifend anwendbar sein, fand breite Zustimmung.

Freiwillig und flexibelBei dem nun vorgeschlagenen System handelt es sich um eine freiwillige Zertifizierung. „Eine länderübergreifende Zertifizierung wird den Herstellern von ITK-Produkten und -Diensten entgegenkommen, da sie sie in die Lage versetzen wird, ihren Absatzmarkt stark zu vergrößern, ohne sich mit einer Vielzahl na-tionaler Zertifizierungsprozesse beschäftigen zu müssen“, erläuterte Dr. Andreas Mitrakas, Leiter der Abteilung Data Security and Stan-dardisation bei der ENISA. Zertifiziert werden

sollen Produkte und Dienste, die besondere Bedeutung für die IT-Sicherheit haben, zum Beispiel Smartcards.

Das neue System würde einen EU-weiten Rahmen schaffen. Innerhalb dieses Rahmens

soll eine Vielzahl von Zertifizierungsschemata bestehen, die sich jeweils auf bestimmte Technologien beziehen. Die Konstruktion mit mehreren Schemata wird als nötig angesehen, um flexibel auf die Anforderungen neuer Technologien reagieren zu können. Zudem soll das System anpassungsfähig genug sein, um auf die Bedingungen in den einzelnen Mit-gliedsstaaten eingehen zu können, die sich teilweise stark unterscheiden. Einfaches Bei-spiel: Klimatische Bedingungen können sich auf die Funktionsfähigkeit und Sicherheit von IT-Systemen auswirken – und sie sind in Finn-land und in Griechenland sehr unterschiedlich.

Neben Zertifizierungsverfahren auf der Ebene von Common Criteria Evaluation Assurance Level (EAL) 3, 4 oder höher soll auch eine „Light“-Zertifizierung auf einer ver-gleichsweise niedrigen Ebene verfügbar sein, die etwa für Kleingeräte im Kontext des Inter-net of Things (IoT) gelten würde. Angesichts der bevorstehenden massenhaften Ver-breitung von IoT-Geräten sieht die ENISA hier besonders dringenden Handlungsbedarf.

AUFGABEN UND ZIELE DER ENISA

Die ENISA (European Network and Information Security Agency) wurde im Jahr 2004 durch die Europäische Union gegründet. Seitdem wurde ihr Mandat mehrfach ver-längert. Die Aufgabe der Agentur besteht darin, in der EU die erforderliche hoch-gradige Netz- und Informationssicherheit zu gewährleisten. Dazu erteilt sie einzelstaatlichen Behörden und den EU-Institutionen fachkundige Ratschläge zur Netz- und Informationssicherheit, fungiert als Forum für den Austausch bewährter Verfahren und erleichtert Kontakte zwischen EU-Institutionen, staatlichen Behörden und Unternehmen. Gemeinsam mit den EU-Institutionen und den staatlichen Be-hörden strebt die ENISA danach, eine Sicherheitskultur für EU-weite Informations-netze zu entwickeln.

7

IntErnatIonal

Einfluss nationaler IT-Sicherheits-behördenGenerell sollen Standards nationaler IT-Sicherheitsbehörden  –  beispielsweise des Bundesamts für Sicherheit in der Informations-technik (BSI) oder etwa seines französischen Pendants Agence nationale de la sécurité des systèmes d’information (ANSSI) – in das europäische System einfließen. Das gesamte Zertifizierungssystem wird von einem Auf-sichtsgremium überwacht, das auf der Ebene der Mitgliedsstaaten angesiedelt ist. Ent-scheidungen werden, wie meist in der EU, im Konsensprinzip getroffen. Die resultierenden Zertifikate sollen dann in sämtlichen EU-Mit-gliedsstaaten anerkannt werden.

Die ENISA strebt eine sich gegenseitig er-gänzende Zusammenarbeit nationaler und europäischer Institutionen an: „So wie auch die Luftfahrt gleichermaßen von nationalen Behörden und von der Europäischen Agentur für Flugsicherheit EASA reguliert wird, so sollten auch für die IT-Sicherheit künftig weiterhin die nationalen Institutionen, aber eben auch die europäische Ebene relevant sein“, so Prof. Dr. Helmbrecht.

Am 20. Oktober 2017 trafen sich Experten der ENISA und der secunet Security Networks AG an einem

Standort der ENISA in Heraklion, Griechenland.

WIDERSPRUCH EINIGER EU-MITGLIEDSSTAATEN

Laut dem von der EU-Kommission vorgeschlagenen Gesetzestext soll der neue europäische Zertifizierungsrahmen nationale Verfahren letztlich ersetzen, was durch-aus Widerspruch seitens einiger nationaler Behörden hervorgerufen hat. Einige Mit-gliedsstaaten, darunter Deutschland, befürchten das auf nationaler Ebene bereits Erreichte wieder zu verlieren. Von deutscher Seite wurde zudem angeführt, dass ITK-Cybersicherheitszertifizierungen nationale Sicherheitsinteressen berührten und daher nicht vollständig auf die EU-Ebene abwandern dürften. Zudem sei es für die Industrie wichtig, dass europäische Zertifizierungen potenziell auch durch Nicht-EU-Staaten anerkannt werden können, was im aktuellen Entwurf nicht vorgesehen ist. Aus diesen und anderen Gründen plädieren Deutschland und andere Mitglieds-staaten dafür, das bestehende SOG-IS-Abkommen in eine neue Regelung auf EU-Ebene einzubeziehen. In diesem Abkommen haben bisher 14 EU-Mitgliedsstaaten vereinbart, ITK-Sicherheitszertifizierungen gegenseitig anzuerkennen – und halten dabei die Tür für Märkte außerhalb der EU offen.

Die ENISA hingegen führt an, dass europäische Verfahren nur auf der Ebene von Common Criteria EAL 3, 4 oder höher nationale Verfahren ersetzen würden, da auf einer niedrigeren Ebene, die etwa für IoT-Kleingeräte relevant sei, bisher kaum Ver-fahren existierten. Zudem sei es durchaus möglich, die Regelungen des SOG-IS- Abkommens zu übernehmen. Die Diskussion zu diesen Themen ist in vollem Gang, ein Ergebnis bleibt abzuwarten.

SECUVIEW – 2 | 20178

IntErnatIonal

Verschlüsselung: keine HintertürenUnabhängig vom geplanten Rechtsakt für Cybersicherheit ist die Frage nach einer Re-gulierung von Verschlüsselungstechnologie ein weiteres vieldiskutiertes Thema. Aktuell sind keine Einschränkungen für kryptographische Produkte, die innerhalb der EU genutzt werden dürfen, vorgesehen. Die Diskussion zu diesem Thema bewegt sich allgemein zwischen zwei Polen: Auf der einen Seite steht der Ansatz, Krypto-Produkte durch Back-doors zu schwächen, um dem Staat, etwa zu Zwecken der Strafverfolgung, die Möglich-keit einer Entschlüsselung zu bieten. Die andere Seite argumentiert, Backdoors seien abzulehnen, da sie ein allgemeines Sicher-heitsrisiko darstellten. Die EU-Kommission hat sich wiederholt für die letztere Position ausgesprochen, und die ENISA schließt sich dieser Meinung an. „Krypto-Algorithmen

3 Siehe ENISA Website: https://www.enisa.europa.eu/topics/data-protection/security-of-personal-data/cryptographic-protocols-and-tools

dürfen nicht kompromittiert werden“, so Prof. Dr. Helmbrecht, „denn beim Kampf gegen Cyberbedrohungen brauchen wir starke Kryptographie.“

Allerdings plant die EU-Kommission eine Entschlüsselungsstelle ähnlich der deutschen Zentralen Stelle für Informations-technik im Sicherheitsbereich (ZITiS), die die Kommunikation etwa von Kriminellen ent-schlüsseln  –  falls das im Einzelnen über-haupt möglich ist – oder aber mit alternativen Methoden Daten sammeln soll. Dr.  De-mosthenes Ikonomou, Leiter der Abteilung Operational Security der ENISA, sieht dies differenziert: „Ermittlungsmethoden wie etwa Malware in Smartphones können sinnvoll sein, um Behörden bei der Strafverfolgung zu helfen. Solche Methoden setzen aller-dings vor der Verschlüsselung an, die Krypto-graphie bleibt dabei intakt.“ Das staatliche Ausnutzen von Schwachstellen zu Hacking-Zwecken hingegen sieht man bei der ENISA durchaus kritisch, da dies zu Risiken für die Allgemeinheit führen kann. So basierte die Schadsoftware WannaCry auf einer Windows-Sicherheitslücke, die die US-amerikanische National Security Agency (NSA) bereits jahre-lang kannte, aber nicht an Microsoft meldete, um sie für eigene Zwecke nutzen zu können.

Wenn es um die Nutzung von Krypto-Algo-rithmen für staatliche Zwecke geht, sind europäische Empfehlungen und Standards gefragt, unter anderem um eine länderüber-greifende Zusammenarbeit innerhalb der EU zu fördern. Die ENISA hat dazu in den letzten Jahren eine Reihe von Reports vorgelegt 3 und wird das Thema auch weiterhin aktiv voran-treiben. Die Empfehlungen können gerade kleineren EU-Mitgliedsstaaten ohne eigene IT-Industrie bei der Implementierung sicherer IT-Infrastrukturen helfen.

Blick in die GlaskugelZudem beobachtet die ENISA fortlaufend aktuelle Entwicklungen im ITK-Markt und untersucht wahrscheinliche Szenarien im Hinblick auf ihre Implikationen für die Zukunft der Cybersicherheit. Aktuell bereitet Dr. Louis Marinos, Senior Expert Risk Management bei

DR. RAINER BAUMGART WURDE ERNEUT MITGLIED DER PERMANENT STAKEHOLDERS’ GROUP DER ENISA

Die Permanent Stakeholders’ Group der ENISA besteht aus Persönlichkeiten aus Wirtschaft, Verbraucherschutz und Forschung. Das Gremium hat eine beratende Funktion hinsicht-lich des Arbeitsprogramms der ENISA sowie deren Kom-munikation mit allen relevanten Interessenvertretern. Mitglieder der Gruppe werden nicht von Unternehmen oder anderen Organisationen entsendet, sondern „ad personam“ ernannt. Dr. Rainer Baumgart, CEO der secunet Security Networks AG, wurde nun erneut in die Permanent Stakeholders’ Group berufen. Die aktuelle Zusammensetzung des Gremiums wird von November 2017 bis Mai 2020 bestehen.

Prof. Dr. Udo Helmbrecht, Direktor der ENISA

9

IntErnatIonal

der ENISA, zu diesem Thema ein Paper mit dem Titel „Looking into the crystal ball“ vor. Es wird im nächsten Jahr veröffentlicht.

Wie geht es mit dem vorgeschlagenen Rechtsakt zur Cybersicherheit weiter? Ein Strang des EU-Gesetzgebungsprozesses führt über den Ministerrat, ein weiterer über das EU-Parlament. Zudem kann es zu so-genannten Trialog-Gesprächen kommen, in denen die drei Institutionen Kommission, Mi-nisterrat und Parlament informell eine Einigung erzielen können. Dauer und Ergebnis des Prozesses sind naturgemäß noch offen.

Gegen die FragmentierungDer „alte Kontinent“ hat in Sachen Cyber-sicherheit vieles zu bieten, das den weltweiten Vergleich keinesfalls zu scheuen braucht. Die Marktfragmentierung innerhalb Europas er-weist sich jedoch oft noch als Hindernis. Auf dem Weg zu einer gemeinsamen europäischen Sicherheitskultur wird die ENISA – insbesondere in ihrer neuen Rolle – nicht nur dafür arbeiten, dass Europa sicherer wird, sondern sich auch dafür einsetzen, dass manche Barrieren abge-baut und die nationalen IT-Sicherheitsindustrien europäischer werden.

Vordere Reihe, von links: Christine Skropke, Gerd Müller (beide secunet), Prof. Dr. Udo Helmbrecht (ENISA), Dr. Rainer Baumgart, Thomas Pleines, Kai Martius (alle secunet), Dr. Andreas Mitrakas,

Dr. Demosthenes Ikonomou (beide ENISA); hintere Reihe, von links: Daniel Müller, Sebastian Barchnicki (beide secunet), Dr. Louis Marinos (ENISA), Johan Hesse, Torsten Henn (beide secunet)

Krypto-Algorithmen dürfen nicht kompromittiert werden, denn beim Kampf

gegen Cyberbedrohungen brauchen wir starke Kryptographie.

Prof. Dr. Udo Helmbrecht, Direktor der ENISA

SECUVIEW – 2 | 201710

IntErnatIonal

LUXEMBURG

Sichere IT für die staatliche Verwaltung

Zwar ist das Großherzogtum Luxemburg einer der kleinsten Flächenstaaten der Welt, doch übersteigt seine politische und wirtschaftliche Bedeutung seine relative Größe bei weitem. Insbesondere spielt das Land eine gewichtige Rolle innerhalb der EU und ist Sitz mehrerer ihrer Institutionen.

Die staatliche IT-Infrastruktur Luxemburgs wird vom Centre des technologies de l’in-formation de l’Etat (CTIE) betrieben. Für die digitale Bearbeitung eingestufter Infor-mationen setzt die Behörde auf SINA.

Die Krypto-Clients der Produktlinie SINA Workstation S ermöglichen es, Daten zu bearbeiten, die mit der luxemburgischen Geheimhaltungsstufe RESTREINT LUX – ver-gleichbar mit der deutschen Stufe VS-NfD – sowie der europäischen Geheimhaltungsstufe RESTREINT UE / EU RESTRICTED eingestuft sind. Dabei sorgt die Multi-Session-Fähigkeit der SINA Workstation für Nutzerfreundlichkeit

und Effizienz: Unterschiedlich eingestufte Daten lassen sich, abgeschottet in Gast-systemen, parallel bearbeiten. So hat das CTIE auf jeder der insgesamt rund 250 SINA Workstations sowohl ein Gastsystem für das reguläre Verwaltungsnetz als auch ein weiteres für den Umgang mit als RESTREINT eingestuften Daten eingerichtet. Der Nutzer kann einfach und schnell zwischen beiden Sessions hin- und herwechseln, ohne dass die eingestuften Informationen gefährdet wären.

Früher waren für die Arbeit in Netzen mit unterschiedlichen Geheimhaltungsstufen zwei PC-Arbeitsplätze pro Mitarbeiter nötig. Die SINA Workstation ermöglicht dies auf nur einem Gerät, so dass die für eingestufte Systeme zuständige Abteilung beim CTIE so-wohl den Aufwand als auch die Menge an Hardware deutlich reduzieren konnte. Befindet sich der Nutzer außerhalb der gesicherten

Staatsnetze, erfolgt der Aufbau der IPsec-gesicherten VPN-Verbindungen für die einzelnen Gastsysteme bei der SINA Work-station automatisch, so dass der Nutzer sich nicht um die Technik kümmern muss – was zum Beispiel für den Diplomaten auf Dienst-reise einen großen praktischen Vorteil darstellt.

Die SINA Lösung wurde speziell an die Erfordernisse Luxemburgs angepasst. So kommt zusätzlich zu der SINA Token-basierten Autorisierung des Zugriffs auf die SINA Work-station eine separate nationale Smartcard für die Authentifizierung und die elektronische Sig-natur im regulären Verwaltungsnetz zum Ein-satz. Zudem wurden getrennte VoIP-Lösungen für die jeweiligen Gastsysteme realisiert – mit hoher Sprachqualität dank digitaler USB 3.0 Headsets.

Gerd Müller gerd.mueller@secunet.com

In Luxemburg treffen Tradition und

Moderne zusammen.

11

IntErnatIonal

ESTLAND

Beschleuniger für die Grenzkontrolle

Bei der Sicherung der Landgrenzen der EU und des Schengen-Raums stehen die Grenz-behörden vor neuen Herausforderungen, da ein signifikanter Anstieg des Grenzverkehrs zu verzeichnen ist. Im Frachttransport wurden an einigen dieser Grenzübergänge bereits Warte-zeiten von mehreren Tagen beobachtet. So-wohl Reisende als auch Spediteure erwarten eine schnelle und bequeme Grenzabfertigung und drängen die Behörden, mit innovativen Ansätzen die Abfertigungszeiten an den Grenzübergängen kurz zu halten oder gar weiter zu verkürzen.

Gemeinsam mit seinem Partner GoSwift hat secunet ein Projekt an der Land-grenze zwischen Estland und Russland ini-tiiert, das eine schnellere und bequemere Grenzüberquerung ermöglicht. Dabei bringt GoSwift seine Expertise im Warteschlangen-management und der Online-Planung ein, während secunet für die Authentisierung im Grenzkontrollprozess verantwortlich ist. Das Projekt unter der Bezeichnung ABG (Auto-mated Border Gate) zielt auf die Entwicklung eines Dienstes zum automatischen Grenzüber-gang an der Landgrenze ab, welcher die Arbeit der Beamten vereinfachen, den Grenzüber-tritt für die Reisenden erleichtern und die Ab-fertigungszahlen am Grenzübergang erhöhen soll, ohne dabei Sicherheitsaspekte außer Acht zu lassen.

Im Rahmen dieses gemeinsamen Projekts mit GoSwift kommt die Selbstbedienungs-Kiosklösung secunet easykiosk, die derzeit am Frankfurter Flughafen erprobt wird, nun auch an der Grenze zwischen Estland und Russland zum Einsatz. Diese Lösung ver-lagert die zeitaufwändigsten Schritte des Grenzkontrollprozesses nach vorn und er-spart den Grenzkontrollbeamten so zahlreiche Routineaufgaben: Sie prüft automatisiert Reisedokumente, erfasst biometrische Daten und bietet eine Benutzerschnittstelle, über die Reisende und Lkw-Fahrer erforderliche Infor-mationen selbstständig eingeben können, bevor sie sich zum Grenzkontrollschalter begeben. Design und Inhalte der Benutzer-schnittstelle wurden gemäß den projektspe-zifischen Bedürfnissen gestaltet.

Das ABG-Projekt bietet Vorteile sowohl für die Reisenden als auch für die Grenz-beamten: Für Vielreisende und Spediteure wird der Grenzübertritt deutlich einfacher, da sich die Wartezeit stark verkürzt. Aus Sicht

der Grenzbeamten steigert das ABG-Projekt die Effizienz des Kontrollprozesses, so dass sie sich verstärkt auf kritische Aufgaben kon-zentrieren können. Zudem steigen die Ab-fertigungszahlen am Grenzübergang.

Oliver Jahnke oliver.jahnke@secunet.com

GoSwift betreibt seit 2011 ein virtuelles Warteschlangen- und Online-Buchungssystem für Grenzen, Häfen und Touristenattraktionen. Die Lösungen von GoSwift konzentrieren sich darauf, die Sicherheit zu erhöhen und die Abfertigung an Verkehrs-engpässen wie Grenzen oder Häfen zu vereinfachen. Im Rahmen einer öffentlich-privaten Partnerschaft ist GoSwift an neun Grenzübergängen in vier Ländern aktiv – Finnland, Russ-land, Litauen und Estland.

Die gemeinsame Lösung von secunet

und GoSwift

Wartebereich für Lkw an der estnisch- russischen Grenze

SECUVIEW – 2 | 201712

natIonal

PersoSim simuliert den elektronischen Personalausweis – und mehr

Damit Entwickler, Unternehmen und Behörden Funktionalitäten des elektronischen Personal-ausweises mit geringem Aufwand testen können, wurde der Open-Source-Simulator PersoSim entwickelt. Nun ist die Software zusätzlich in der Lage, Funktionen eines eIDAS-Tokens zu simulieren.

Der elektronische Personalausweis bietet mit seinem integrierten Chip im Vergleich zu herkömmlichen Authentisierungsver-fahren – wie beispielsweise einer Kombination

aus Benutzername und Passwort  – ein höheres Authentisierungsniveau: Anwender können ihren Personalausweis nutzen, um sich für Dienste im Internet anzumelden, und Dienstanbieter können sicherstellen, dass es sich bei dem Anwender auch tatsächlich um genau diesen Anwender handelt. Dieses Prinzip der gegenseitigen Authentifizierung ist der zentrale Vorteil des elektronischen Per-sonalausweises.

Mit dem Open-Source-Projekt PersoSim hat secunet im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) einen Simulator für die Funktionen der Chipkarte auf dem neuen Personal-ausweis bereitgestellt. Gegenüber physika-lischen Testkarten hat der Simulator den Vorteil kostenfrei zur Verfügung zu stehen

und jederzeit schnell an neue Bedürfnisse angepasst werden zu können. PersoSim simuliert dabei sämtliche Mechanismen und kryptographischen Protokolle, die die Tech-nische Richtlinie BSI TR-03110 beschreibt. Der Simulator steht allen Interessierten mit-samt zusätzlichen Informationen auf der Website https://persosim.secunet.com zur Verfügung. Entwickler finden den Sourcecode auf der Website https://github.com/PersoSim.

Das BSI selbst verfolgt mit dem Simulator

zudem das Ziel, PersoSim sowohl zur Weiter-entwicklung als auch zur prototypischen Umsetzung neuer Sicherheitsprotokolle einzusetzen. Die Weiterentwicklung be-stehender sowie die Evaluierung neuer und stärkerer Sicherheitsprotokolle ist bei der Verwendung von physikalischen Chipkarten mit hohem zeitlichen und finanziellen Auf-wand verbunden. Der Grund: Hier müssen einige externe Parteien einbezogen werden, wie Hersteller von Chips oder deren Be-triebssystemen, Anwendungsentwickler und Kartenproduzenten. Mit dem Einsatz eines softwarebasierten Simulators entfallen diese Einschränkungen, da direkt auf das zu tes-tende Protokoll zugegriffen werden kann und dieses direkt nach der Änderung durch eine einfache Kompilierung lauffähig ist.

Vor diesem Hintergrund wurde PersoSim zu einem eIDAS-Token erweitert und die zu-sätzliche Funktionalität in Zusammenarbeit mit dem BSI implementiert. Mit dieser ersten Referenzimplementierung eines eIDAS-Tokens, das alle Funktionen der TR-03110 umsetzt, konnte die Funktionsweise dieser neuen Protokolle auch in der Praxis dargelegt werden. Zu den neuen Funktionen zählen beispielsweise pseudonyme Signaturen, mit denen Daten unter einem chip- und sektor-spezifischen Pseudonym signiert werden können. Eine weitere Neuerung ist Enhanced Role Authentication (ERA). Mit diesem Mecha-nismus können zusätzliche Attribute wie der Beruf über die initial personalisierten Daten hinaus auf dem Chip gespeichert werden.

Der Zugriff auf den Simulator erfolgt über virtuelle Kartenleser, die für die gängigen Be-triebssysteme bereitgestellt werden. Auf diese Weise kann der Simulator transparent in das jeweilige Betriebssystem eingebunden werden und verhält sich dort wie ein echter Personal-ausweis mit einem Basis- oder Standard-kartenleser. Zudem ist der Simulator auch für Android verfügbar: Hier wird die NFC-Schnitt-stelle des Smartphones genutzt, um mit einem Kartenleser zu kommunizieren.

PersoSim bietet somit Entwicklern und in-teressierten Anwendern eine einfache und un-bürokratische Möglichkeit, den elektronischen Personalausweis und andere elektronische Identitäten zu simulieren und damit eigene Implementierungen zu verifizieren. Darüber hinaus bietet der Simulator die Möglichkeit, die kryptographischen Protokolle, die auf dem integrierten Chip verwendet werden, zu ver-stehen und nachzuvollziehen.

Holger Funke holger.funke@secunet.com

Der Simulator kann transparent in das jeweilige Betriebssystem eingebunden

werden und verhält sich dort wie ein echter Personal ausweis mit einem Basis-

oder Standard kartenleser.

13

natIonal

Identitätsfeststellung mit dem Smartphone

Bei der Identitätsfeststellung sind Polizisten heutzutage vermehrt auf hochmobile Systeme angewiesen, die relevante Prüfergebnisse in Echtzeit liefern. Straftäter nutzen oftmals mehrere Identitäten. Wird dieser Identitäts-missbrauch nicht aufgedeckt, hat dies mit-unter schwerwiegende Auswirkungen auf die öffentliche Sicherheit.

Der Attentäter vom Berliner Weihnachts-markt nutzte beispielsweise 14 verschiedene Identitäten. Wie ist das möglich? Ein Grund dafür ist folgender: Während moderne Iden-titätsdokumente mit integriertem Chip grundsätzlich ein deutlich erhöhtes Sicher-heitsniveau bieten, wird das Potenzial aktueller Kontrolltechnologien, die die elektronischen Daten auslesen und überprüfen, noch nicht vollständig genutzt.

Bei der mobilen Personenprüfung auf Basis eines Ausweisdokuments (zum Beispiel Reisepass, Personalausweis, Aufenthaltstitel)

werden oftmals nur die darauf aufgedruckten Daten geprüft. In diesen Fällen wird der Chip im Personalausweis oder Aufenthaltstitel nicht ausgelesen, so dass keine vollumfängliche Prüfung der Echtheit des Dokuments oder der Identität der Person stattfindet. Darüber hinaus können die auf dem Chip eines elektro-nischen Aufenthaltstitels (eAT) gespeicherten Nebenbestimmungen, welche beispielsweise Auskunft über die Arbeitserlaubnis einer Per-son geben können, nicht ausgelesen werden. Die Abfrage der Fahndungssysteme erfolgt mobil über Sprechfunk (mittels Tetrafunk-geräten) mit der Einsatzleitstelle – ein fehler-anfälliger und zeitintensiver Prozess – oder auf der Dienststelle, was noch mehr Zeit kostet und die Präsenz der Beamten vor Ort schwächt.

Um den Prozess der Identitätsfeststellung nachhaltig zu verbessern, werden derzeit neueste Technologien und Produkte für die

Polizeiarbeit getestet. In einem Pilotprojekt in den Bundesländern Bayern, Hessen, Berlin und Sachsen ermöglicht die Bundespolizei unter Verwendung von eigenen Systemen und secunet Produkten den jeweiligen Länder-polizeien erstmalig das Auslesen des Chips im Personalausweis. Dabei wird die Desktop- Version der Softwareplattform secunet biomiddle über den zentralen Service TCC-Land der Bundespolizei mit der Public-Key- Infrastruktur (EAC-PKI) verbunden, die zum Auslesen der kryptographisch gesicherten Chipdaten erforderlich ist.

In einem weiteren Pilotprojekt mit der Bundespolizei hat secunet die Smart-phone-Version von secunet biomiddle zur Identitätsfeststellung (Abfrage notwendiger Hintergrundsysteme) sowie zum Aus-lesen und Prüfen des elektronischen Doku-ments per Smartphone umgesetzt. Die auf secunet biomiddle basierende App secunet bocoa stellt die Ergebnisse der Prüfung auf dem Smartphone dar. Somit ist auch mobil eine vollumfängliche und zuverlässige Personen identifi kation möglich. Darüber hinaus wurde die Anbindung von secunet biomiddle einschließlich der Mobil-App an das Fahndungssystem der Bundespolizei pilotiert. Im Vergleich zur bisherigen Praxis des Datenabgleichs über Sprechfunk bietet die Smartphone-App einen Zeit- und Sicher-heitsgewinn: Der Polizist hat die relevanten Informationen für die mobile Dokumenten-prüfung und Fahndungsabfrage schneller und sicherer als bisher zur Verfügung. Die App ist mit gängigen Android-basierten Smartphone-Modellen kompatibel.

Thomas P. Schäfer thomas.schaefer@secunet.com

Die Smartphone-App liefert die relevanten Informationen für die mobile Dokumentenprüfung.

SECUVIEW – 2 | 201714

WIssEnschaft

POST-QUANTEN-KRYPTOGRAPHIE

Sicherheit in Zeiten des Quantencomputers

Kryptographische Algorithmen und Protokolle sind heutzutage ein wesentlicher Baustein einer sicheren, funktionierenden digitalen Infrastruktur. Die Sicherheit asymmetrischer Kryptoalgorithmen basiert auf harten mathe-matischen Problemen, die aufgrund limitierter Rechenkapazitäten nicht lösbar sind. Beispiels-weise setzt der in vielen Internet-Protokollen wie TLS und IKE verwendete Diffie-Hellman-Schlüsselaustausch auf die Annahme, dass das Bestimmen des diskreten Logarithmus praktisch unmöglich ist. Digitale Signaturen mit RSA, die zum Beispiel zur Authentifizierung in Webbrowsern genutzt werden, gelten als sicher, solange kein effizienter Algorithmus zur Faktorisierung existiert.

Künftige Quantencomputer stellen eine ernstzunehmende Bedrohung für krypto-graphisch geschützte Daten dar, weil sie eine

effiziente Lösung dieser beiden Probleme er-möglichen (Shor-Algorithmus, 1994). Somit sind Netzwerkprotokolle sowie darauf auf-bauende Software- und Hardwaremodule, die RSA, Diffie-Hellman oder auf elliptischen Kurven basierende Kryptographie nutzen, durch Angreifer mit Zugang zu Quanten-computern gefährdet. Eine Erhöhung der Para meter von asymmetrischen Verfahren bietet keinen ausreichenden Schutz vor An-griffen durch Quantencomputer. Im Gegen-satz dazu sind die vermuteten Auswirkungen auf symmetrische Primitive weniger gra-vierend: Durch eine beschleunigte Suche (Grover, 1996) werden zwar effizientere An-griffe möglich, dieser Bedrohung kann jedoch relativ einfach mit einer Verdopplung der Schlüssellänge entgegnet werden.

Wissenschaftler rechnen damit, dass in der Zukunft Quantencomputer verfügbar sein werden, die neue Krypto-

verfahren erforderlich machen. Daran arbeiten

Experten schon jetzt.

WIE WERDEN SICH QUANTENCOMPUTER AUF DIE BLOCKCHAIN AUSWIRKEN?

Die Entwicklung eines Quantencom-puters, der für die Analyse von krypto-graphischen Primitiven genutzt werden kann, hätte direkte Auswirkungen auf viele IT-Technologien. Ein Beispiel, das derzeit viel Aufmerksamkeit erhält und als wegweisend gilt, ist die Blockchain-Technologie. Sie speichert beliebige Transaktionen in aneinandergehängten Datenblöcken und bildet beispiels-weise die Basis für die digitale Währung Bitcoin und die Smart-Contract-Platt-form Ethereum. Grundsätzlich kommt Kryptographie dabei an verschiedenen Stellen zum Einsatz, auf die die Entwick-lung entsprechender Quantencomputer unterschiedliche Auswirkungen hätte.

Die Verkettung der Blöcke, aber auch die Speicherung von Transkationen in einem Block, wird mit Hashfunktionen,

also mittels symmetrischer Kryptographie, realisiert. Will ein Angreifer einen Teil der bereits existierenden Kette manipulieren, muss der Hashwert der gefälschten Transaktion oder des manipulierten Blocks zum korrekten Hashwert passen. Entsprechende Werte zu konstruieren scheint bei aktuellen Parametern auch mit Quantencomputern auf absehbare Zeit nicht möglich.

Neue Transaktionen werden jedoch mit einer digitalen Signatur legitimiert. Da aktuelle Signaturalgorithmen mit Quantencomputern angegriffen werden können, muss auf ein entsprechendes Post-Quantum-Verfahren migriert werden, bevor diese Verfahren als gebrochen gelten.

Ein weiterer kryptographischer Bau-stein einer Blockchain ist der Konsensus-

Algorithmus, der die nächsten Blöcke der Kette bestimmt. Der prominenteste dieser Algorithmen ist der Proof-of-Work, bei dem der Hash eines Blocks definierte Vorgaben erfüllen muss. Die Bedingungen werden regelmäßig angepasst und könnten so auch für Quanten compu ter adaptiert werden. Dennoch ist die Transition kritisch, da Parteien, die Quantencomputer ein-setzen, einen signifikanten Vorteil gegen-über anderen hätten. Allerdings wird auch über weniger energiehungrige Alternativen zum Proof-of-Work nachgedacht, die wiederum genau analysiert werden müssten, wenn sich die Realisierung von Quanten compu tern abzeichnet.

Dr. Jörn-Marc Schmidt, Senior Berater bei secunet

15

WIssEnschaft

Daher fokussieren sich Wissenschaftler auf die Entwicklung von asymmetrischen Algorithmen, die insbesondere Quantenan-greifern standhalten. Dieses Forschungs-gebiet wird Post-Quanten-Kryptographie genannt. Vielversprechende Ansätze stützen sich auf Hashfunktionen oder mathematische Probleme zum Beispiel in Gittern, von denen man glaubt, dass sie selbst mit Quantencom-putern nicht effizient lösbar sind. Die im Ver-gleich zu konventionellen Kryptoalgorithmen sehr großen Schlüssel und Signaturen vieler Quantencomputer-resistenter Verfahren stellen jedoch eine Herausforderung für Protokolle und Anwendungen dar.

Das US-amerikanische National Institute of Standards and Technology (NIST) hat im Dezember 2016 einen Aufruf an die interna-tionale wissenschaftliche Gemeinschaft gerichtet, Quantencomputer-resistente Kryptoalgorithmen bis Ende November 2017 einzureichen. Nach mehrjähriger Evaluierung sollen geeignete Verfahren bis voraussichtlich 2025 standardisiert werden. Darüber hinaus stehen zwei Hash-basierte Signaturverfahren kurz vor der internationalen Standardisierung als Request for Comments (RFC) der Internet Engineering Task Force.

Wann werden praxistaugliche Quantencom-puter verfügbar sein? Wissenschaftler tun sich schwer, Prognosen darüber abzugeben. Michele Mosca, Mitbegründer des Instituts

für Quantum Computing an der Universität Waterloo, schätzte 2015 die Wahrscheinlich-keit, dass RSA-2048 bis 2026 gebrochen wird, auf 1/ 7 und auf 1/ 2 bis 2031. Zudem muss damit gerechnet werden, dass ver-schlüsselte Datenströme heute gespeichert und Jahrzehnte später ausgewertet werden können. Moderne Rechenzentren von Nach-richtendiensten führender Industrienationen mit Speicherkapazitäten von bis zu mehreren Exabyte (Milliarden Terabyte) bieten die ent-sprechenden Möglichkeiten.

Da die Migration zu Quantencomputer- resistenten Algorithmen mehrere Jahre be-anspruchen kann, ist vorausschauendes Handeln entscheidend. In enger Abstimmung mit dem Bundesamt für Sicherheit in der In-formationstechnik trifft secunet die nötigen Maßnahmen, um sich der Herausforderung Quantencomputer zu stellen. secunet befasst sich intensiv mit Quantencomputer-resistenten Verfahren und analysiert beispielsweise, welche Herausforderungen sich für deren Ein-satz in SINA relevanten Protokollen ergeben. Bis die Verfahren ausreichend evaluiert sind, erscheint es sinnvoll, diese in Kombination mit konventionellen Verfahren zu nutzen, um schon jetzt gegen zukünftige Angriffe gewappnet zu sein.

Leonie Bruckert leonie.bruckert@secunet.com

Eine Ionenfalle, in der einzelne elektrisch geladene Atome mithilfe von elektrischen oder magnetischen Feldern festgehalten

und manipuliert werden können: Dies ist ein möglicher Ansatz für die Verwirk-

lichung eines Quantencomputers.

secunet unterstützt schon seit Langem die Forschung im Be-reich der Quantenoptik, einem Teil-gebiet der Physik, das unter anderem bei der Erforschung möglicher Quantencomputer eine Rolle spielt. Dr.  Rainer Baumgart, Vorstands-vorsitzender von secunet, ist Mit-glied eines Beirats, der sich mit Forschungsmaßnahmen im Be-reich der Quantenkommunikation beschäftigt und in Verbindung mit dem Bundesministerium für Bildung und Forschung sowie mit dem In-stitut für Angewandte Physik der Universität Bonn steht. In einer der nächsten Ausgaben wird sich die secuview diesen Themen aus wissen-schaftlicher Perspektive nähern.

SECUVIEW – 2 | 201716

tEchnologIEn & lösungEn

Bereits im Herbst 2004 hatte die Bundes-regierung angekündigt, dass ab 2006 die elektronische Gesundheitskarte (eGK) zahl-reiche neue Möglichkeiten für einen Daten-austausch schaffen werde. Hierzu soll eine Telematikinfrastruktur (TI) alle Beteiligten im Gesundheitswesen  –  also Ärzte, Psycho-therapeuten, Krankenhäuser, Apotheken, Krankenkassen und weitere Instanzen  – miteinander verbinden, um medizinische Informationen über den Patienten, beispiels-weise einen Notfalldatensatz oder einen Medikationsplan, schnell, einfach und sicher austauschen zu können. Für den Aufbau, Be-trieb und die Weiterentwicklung der TI wurde 2005 von den Spitzenorganisationen des deutschen Gesundheitswesens die gematik (Gesellschaft für Telematikanwendungen der Gesundheitskarte) gegründet. Dann passierte lange Zeit wenig Sichtbares.

Am 3. Dezember 2015 wurde durch das E-Health-Gesetz unter anderem festgelegt, dass Leistungserbringer (LE) wie Ärzte, Zahn-ärzte und Psychotherapeuten, die nach dem 1. Juni 2018 noch nicht an die TI an-geschlossen sein werden, mit finanziellen Sanktionen rechnen müssen. Obwohl der Online-Roll-Out anstatt zum 1. Juni 2016 erst zum 1. Juli 2017 startete, und erst ab dem 10. November 2017 die ersten zertifizierten Komponenten zur Verfügung stehen, die nur von einem Anbieter stammen, wurde die Deadline nur geringfügig verschoben – auf den 31. Dezember 2018. Es bleibt also wenig Zeit für einen bundesweiten Roll-Out, und auch im Sinne des freien Marktes er-scheint dieses Vorgehen unglücklich, da ak-tuell ausschließlich ein Konnektor eines bereits marktbeherrschenden Anbieters von Praxis-verwaltungssoftware zertifiziert ist.

ELEKTRONISCHE GESUNDHEITSKARTE

Vorhang auf für den Konnektor

Die elektronische Gesundheitskarte steht in Verruf, ist Opfer von massiven Verzögerungen und wird auf allen Ebenen kritisch

diskutiert. Zwischenzeitlich geistern sogar immer wieder

Berichte über ein „ drohendes Aus“ der Telematikinfrastruk-

tur durch die Medien. Die gesamte Situation führt zu

Unsicherheiten bei Patienten, Ärzten und Krankenkassen. Und genau jetzt entwickelt

secunet eine zentrale Komponente, den secunet

konnektor. Wie passt das zusammen?

Die elektronische Gesundheitskarte ist seit vielen Jahren Gegenstand kritischer Diskussion.

17

tEchnologIEn & lösungEn

ÜBERSICHT DER KOMPONENTEN DER TELEMATIKINFRASTRUKTUR

Die Abbildung zeigt die Komponenten der TI im Detail. Grund-sätzlich sind die Spezifikationen der gematik so ausgelegt, dass alle Komponenten über definierte Schnittstellen verfügen.

Somit können Konnektor, VPN-Zugangsdienst und Kartenleser prinzipiell von unterschiedlichen Anbietern kombiniert werden.

Worum geht es bei der Anbindung an die TI eigentlich genau? Der Anschluss an die Telematikinfrastruktur lässt sich vereinfacht mit einem DSL-An-schluss vergleichen: Benötigt wird ein Router (Konnektor), eine Software (beispielsweise eine Praxisverwaltungssoftware) auf dem mit dem Router kommunizierenden Computer, sowie ein Infrastrukturanbieter (VPN-Zugangs-dienst), mit dem der Router kommuniziert. Zusätzlich wird noch ein Kartenleser zum Aus-lesen und Beschreiben der eGK angebunden.

Da sehr persönliche Daten auf der Karte gespeichert werden, haben Sicherheit und Datenschutz oberste Priorität. Sämtliche Kom-ponenten – die für die Kommunikation mit dem Konnektor angepasste Arztsoftware, spezielle Kartenleser mit der Fähigkeit zur PIN-Eingabe, der Konnektor und der VPN-Zugangsdienst – unterliegen strengen Sicherheitsanfor-derungen, die im Laufe der Entwicklung von der gematik mehrfach angepasst werden

mussten und die der Prüfung durch das BSI unterliegen. Genau diese permanenten An-passungen führten auch zu der starken Ver-zögerung bei der Einführung der eGK. Eine besondere Herausforderung in diesem Kon-strukt stellt der Konnektor als Tor zur TI dar.

Kernkomponente KonnektorDer Konnektor ist das Herzstück der sicheren Kommunikation. Er baut den sicheren Kanal zum VPN-Zugangsdienst beziehungsweise der TI auf. Auf der anderen Seite ist er die Kontaktstelle zur verwendeten Software und dem Kartenleser.

Für den aktuellen Roll-Out muss der Konnektor die Fachanwendung VSDM (Versichertenstammdatenmanagement) beherrschen. In Zukunft soll er aber nicht nur die sichere Kommunikation garantieren, sondern als Basis für mehrere Anwendungen dienen, beispielsweise:

■ Daten für die Notfallversorgung (Notfalldaten)

■ Elektronischer Arztbrief (eArztbrief) ■ Daten zur Prüfung der Arzneimittel-therapie sicherheit (AMTS) und E-Medikations plan

■ Elektronische Patientenakte (ePatientenakte)

■ Elektronisches Patientenfach (ePatienten fach).

In der ersten Stufe der Einführung der Kon-nektoren handelt es sich um den sogenannten Ein-Box-Konnektor, der ähnlich einem Router in der Praxis stehen kann. Für Krankenhäuser mit ihrer Vielzahl an Ärzten und vernetzten Strukturen sind einzelne Konnektoren schwer handhabbar. Hier sind andere Formfaktoren sinnvoll: performante, zentrale, serverbasierte Hochleistungs- Konnektoren.

HBA: HeilberufsausweisSMC-K: ID des KonnektorsSMC-KT: ID des KartenlesersSMC-B: PraxisausweiseGK: elektronische Gesundheitskarte

Gesundheitsdienstleister Bereich TI-Plattform zentral

Nutzerbereich Bereich TI-Plattform

dezentral

TI-Zugang Provider

Provider-Bereich Bereich bestehender

Anwendungen

TI – zentrale Dienste

Internet Bestehende Netze

Transport-netzwerk

Intermediate PKI

Anwendungs-spezi�scher

Dienst

Backend-System

Zentraler Dienst

Sicherheits-Gateway bestehende Netze

Sicherer Internet-Service

SSZPSSZPVPN-Zugangsdienst

HBA

Arztinformations-system

eGKSMC-B

SMC-KT

SMC-K

Konnektor

SECUVIEW – 2 | 201718

tEchnologIEn & lösungEn

Letzen Endes geht es beim Einsatz eines Konnektors – ob in der Praxis oder im Kranken-haus – um Absicherung und Kontrolle des ge-samten Datenflusses. Die dafür notwendigen und vorgeschriebenen Sicherheitsanfor-derungen sind umfassend und betreffen alle Bereiche von der Hardware über den Boot-vorgang und das Betriebssystem bis zu jeder einzelnen Funktion.

Anforderungen treffen Kern-kompetenzen von secunetVon der Hardware bis zur Software krypto-graphisch abgesicherte Systeme und Kom-munikationswege, der Einsatz von Smartcards und eine modulare performante Architektur: die Anforderungen an die TI passen genau zu den Kernkompetenzen von secunet. Eine Ar-chitektur zu entwerfen, die flexibel, leistungs-fähig und zertifizierbar ist – und das innerhalb

der durch das E-Health-Gesetz vorgegebenen Fristen zum Roll-Out der Geräte  – diese Herausforderung hat secunet angenommen und entwickelt in Rekordzeit einen Konnektor für das Gesundheitswesen.

Technologisch wirklich spannend wird es, wenn nach der ersten Phase des Online-Roll-Outs Anwendergruppen hinzukommen, die vielfach mobil unterwegs sind, beispielsweise Physiotherapeuten. Hier gibt es bereits die Idee einer mobilen Umsetzung, welche den Konnektor und das Clientgerät in einem Tablet verbindet.

Ein AusblickDie Einführung der Telematikinfrastruktur hat bisher keinen guten Ruf. Vergleichbar mit dem Berliner Flughafen wurde die Einführung bereits um Jahre verschoben und es herr-schen viele Vorurteile bezüglich der Effizienz

und Modernität des Konzeptes  – auch hinsichtlich des Datenschutzes innerhalb des Systems eGK. Die erste Anwendung, die der Konnektor zu Beginn des aktuellen Roll-Outs leisten muss – das VSDM – ist darüber hinaus nicht gerade ein Thema, das viele Menschen unmittelbar begeistert.

Aber wenn in der zweiten Phase des Roll-Outs weitere Funktionen hinzukommen und die Möglichkeiten des secunet konnektors voll ausgenutzt werden, wird der potenzielle Mehr-wert sichtbar: Dann können neben den de-finierten Fachanwendungen weitere „Apps“ auf dem Konnektor betrieben werden. Denn eines ist sicher: Die Digitalisierung wird das Gesund-heitssystem ebenso erfassen wie nahezu alle anderen kritischen Infrastrukturen.

Markus Linnemann markus.linnemann@secunet.com

Der secunet konnektor sorgt für Absicherung und Kontrolle des ge samten

Datenflusses und fungiert damit als Tor zur Telematikinfrastruktur.

19

tEchnologIEn & lösungEn

Informationssicherheit aus der Vogelperspektive

SINA Workstation H erhält höchste EU-Zulassung

Auch der weiteste Weg beginnt mit dem ersten Schritt. Diese nicht ganz neue und all-gemeingültige Erkenntnis lässt sich durchaus auch auf den Bereich der Cybersicherheit übertragen. Wer die Aufgabe hat, die Infor-mationssicherheit in der eigenen Institution voranzutreiben, steht oft vor der Heraus-forderung des ersten Schrittes. Das Ziel ist klar: Sicher(er) werden! Der Weg dorthin auch: Es geht um eine ständige Verbesserung im Rahmen des Informationssicherheits-managements. Doch wo befinde ich mich aktuell in Bezug auf die Informationssicherheit im eigenen Haus? Welcher Weg ist der vielver-sprechendste? In welche Richtung soll ich die Informationssicherheit vorantreiben? Welches sind die drängendsten Sicherheitsprobleme oder Schwachstellen?

Bei der Beantwortung dieser Fragen hilft eine Informationssicherheits-Kurzrevision auf Basis der Prüfthemen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Sie liefert mit geringem Aufwand einen breiten

Überblick über alle Bereiche des IT-Grund-schutzes des BSI und unterstützt bei der Wahl der nächsten Schritte. Unter Verwendung eines standardisierten Kataloges von Prüf-fragen ermittelt secunet gemeinsam mit dem Kunden in einer zweitägigen Vor-Ort-Prüfung den aktuellen Stand der Informationssicherheit in Bezug auf die vorgegebenen Prüfthemen. Dies geschieht in Form von Interviews sowie Begehungen der zu betrachtenden Liegen-schaften. Das Ergebnis ist ein ausführlicher Bericht mit identifizierten Umsetzungsdefiziten und den daraus abgeleiteten Handlungs-feldern. Diese dienen als Grundlage für eine individuelle Maßnahmenplanung zur Verbes-serung des Sicherheitsniveaus.

Für die Durchführung der Kurzrevision ist es nicht erforderlich, dass ein Sicherheitskonzept oder ein vollständig implementiertes Sicher-heitsmanagement vorhanden sind. Die Kurz-revision kann zu jedem Zeitpunkt während des Sicherheitsmanagementprozesses durch-geführt werden und erfordert keine internen

Vorbereitungen. Sie eignet sich daher ins-besondere als Einstieg in den stetigen Ver-besserungsprozess der Informationssicherheit oder in das Thema IT-Grundschutz. Durch die hohe Standardisierung der Inhalte und des Ablaufs ist eine Vergleichbarkeit der Er-gebnisse bei wiederholten Prüfungen oder Prüfungen an mehreren Standorten gegeben. Die Prüfthemen lassen sich mit Blick auf spezielle Erfordernisse des Kunden erweitern, anpassen oder vertiefen.

Bei großen Organisationen, Institutionen mit nachgelagerten Bereichen oder komplexen, hierarchischen ISM-Organisationsstrukturen bietet secunet Unterstützung bei der Eta blie-rung eines toolbasierten Self-Assessments zur Dokumentation der Interviewergebnisse der Revisionen und zur Steuerung des kon-tinuierlichen Verbesserungsprozesses.

Rudolf Schöngarth rudolf.schoengarth@secunet.com

In den vergangenen zehn Jahren hat der Rat der Europäischen Union mehrere Ver-schlüsselungsgeräte der SINA Produktfamilie für den Einsatz in der EU zur sicheren Ver-arbeitung und IP-basierten Übertragung von Informationen zugelassen. Im Oktober dieses Jahres erhielt die Produktlinie SINA Workstation H die Zulassung für den höchsten EU-Geheim-haltungsgrad EU SECRET / SECRET UE.

Diese Produktlinie beinhaltet:

■ die Desktop-basierte SINA Workstation H Client III,

■ das SINA Terminal H Client III sowie ■ die auf einer robusten Notebook-Plattform basierende SINA Workstation H R RW11.

secunet ist damit der einzige europäische Hersteller von Multi-Session-fähigen Krypto-Clients für alle EU-Geheimhaltungsgrade.

Dr. Michael Sobirey michael.sobirey@secunet.com

SECUVIEW – 2 | 201720

tEchnologIEn & lösungEn

Automatisierter IT-Grundschutz für alle

Mit dem IT-Grundschutz hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine strukturierte Vorgehensweise und um-fassende Maßnahmenkataloge entwickelt, um in Organisationen ein angemessenes Sicher-heitsniveau zu etablieren.

Heutige IT-Infrastrukturen sind meist groß und heterogen und enthalten oft eine Vielzahl sehr unterschiedlicher Systeme. Die Lebens-zyklen von IT-Produkten verkürzen sich, der Komplexitätsgrad steigt. Die Auswahl der Sicherheitsmaßnahmen und Überprüfung der erfolgreichen Umsetzung ist für Sicher-heitsverantwortliche eine immer größere Herausforderung, und die Umsetzung des IT-Grundschutzes ist mit den vorhandenen Ressourcen kaum noch zu bewältigen. Hinzu kommt der Aufwand für die Umstellung auf den modernisierten Grundschutz, der ab Februar 2018 wirksam wird. Dieser setzt zudem deutlich mehr technologiespezifisches Know-how voraus, um Anforderungen durch passende Konfigurationseinstellungen richtig umzusetzen. Wie lässt sich dennoch ein an-gemessenes IT-Sicherheitsniveau zuverlässig und dauerhaft umsetzen?

Die Bundespolizei hat sich mit dieser Frage im Projekt „automatisierter IT-Grundschutz (aGS)“ auseinandergesetzt und gemeinsam mit secunet eine neue Methodik entwickelt, die eine weitgehend toolgestützte Umsetzungs-prüfung der Maßnahmen und der Erstellung der IT-Sicherheitskonzepte ermöglicht. Der

IT-Grundschutz lässt sich damit deutlich effizienter und ressourcenschonender umsetzen. Die im Projekt geschaffene Lösung wird von secunet nun als Produkt vertrieben und steht damit allen Unternehmen, Behörden und Betreibern kritischer Infrastrukturen zur Verfügung.

Schneller ans Ziel durch Sicher-heitsmoduleKernstück der neuen Methodik ist die Modellierung des IT-Verbundes durch vordefi-nierte Sicherheitsmodule (SiM), die für jede Klasse von Zielobjekten, wie etwa Systeme, Anwendungen, Netze oder Infrastruktur-komponenten, einheitliche Sicherheitsanfor-derungen definieren. Ein SiM deckt dabei die (technisch) spezifische und konkrete Umsetzung aller Anforderungen der für das Zielobjekt relevanten IT-Grundschutz-Bau-steine ab. Darüber hinaus werden die für den normalen oder auch erhöhten Schutzbedarf umzusetzenden Maßnahmen sowie die kon-kreten Methoden für deren Prüfung festgelegt. Neben den Anforderungen der BSI-Bausteine wurden Best-Practice-Empfehlungen für die jeweilige Technologie und Produktversion präzisiert und die technischen Maßnahmen auf konkrete, spezifische Einstellungen heruntergebrochen, so dass sie automatisiert geprüft werden können. Dies ist ein wichtiger Meilenstein für ein dauerhaft hohes Sicher-heitsniveau.

BESTÄTIGT DURCH DAS BSI: EIGNUNG FÜR DIE UMSETZUNG DES MODERNISIERTEN GRUNDSCHUTZES

Bei der Entwicklung des automatisierten IT-Grundschutzes wurde größter Wert auf die Einhaltung der BSI-Standards zum IT-Grundschutz – inklusive der aktuellen Modernisierung – gelegt. Diese Konfor-mität wurde nun vom BSI am Beispiel eines konkreten SiM bestätigt:

„Das „SiM-08202 Client unter Windows  10“ aus dem automatisierten Grundschutz der Bundespolizei ist zur Umsetzung der

Anforderungen der entsprechenden Bau-steine des IT-Grundschutz-Kompendiums des BSI geeignet. […] Ein Anwender, der seine Windows-10-Systeme basierend auf dem SiM-08202 absichert, erfüllt nach Einschätzung des BSI alle Anforderungen, die gemäß IT-Grundschutz an die Ab-sicherung eines Windows-10-Systems gestellt werden.“

Im Prüfbericht eines nach der auto-matisierten Methodik erstellten IT-Sicher-heitskonzepts für das Fachverfahren Erkennungsdienst Digital (ED-Di) stellte das BSI fest:

„Das IT-Sicherheitskonzept „ED-Di“ erfüllt in seiner Struktur und seinem Inhalt alle Anforderungen an die Dokumentation eines Sicherheitsniveaus nach dem BSI-Standard 200-2.“

Aus den Ergebnissen des Bundespolizei-Projektes „auto-matisierter Grundschutz (aGS)“, in dem der mit dem IT-

Grundschutz verbundene Aufwand drastisch verringert

und die Sicherheit weiter erhöht werden konnte, formt

secunet derzeit ein Stan-dardprodukt. Unternehmen,

Behörden und Betreiber kritischer Infrastrukturen

können ab Anfang 2018 mit in die neue Grundschutz-

methodik einsteigen, von den bereits vorhandenen Sicher-heitsmodulen profitieren und die weitere Roadmap dauer-

haft aktiv mitgestalten.

21

tEchnologIEn & lösungEn

Interessenten können sich für einen der nächsten Planungsworkshops am 17. Januar 2018 in Berlin oder am 6. Februar 2018 in Bonn anmelden. Senden Sie dazu einfach eine E-Mail an den Kontakt am Ende des Artikels.

Die Überprüfung der technischen Maß-nahmen erfolgt mit Hilfe einer Compliance-Anwendung, die die Konfigurationen der Systeme erfasst und anhand von Regeln des SiM auswertet. Eine Web-Anwendung nimmt diese Prüfergebnisse auf, verwaltet sie und übernimmt sie in die IT-Sicherheitskonzepte. Das jeweilige Sicherheitskonzept stellt somit den tatsächlichen Ist-Zustand dar und kann jederzeit auf Knopfdruck generiert werden.

Für nicht-technische Maßnahmen legen die SiM detaillierte und leicht verständliche Multiple-Choice-Fragen fest, die von den zuständigen Mitarbeitern schnell und un-kompliziert in Form von Web-Fragebögen eigenständig beantwortet werden können. Weiterhin enthalten die SiM bereits generische Risikoanalysen, insbesondere für erhöhten Schutzbedarf.

Einstieg in den automatisierten Grundschutz ab sofort möglichAllen Bundesbehörden, Betreibern kritischer Infrastrukturen oder Unternehmen, die sich nun für den Einstieg in den automatisierten IT-Grundschutz entscheiden, stehen die bereits im Projekt der Bundespolizei umge-setzten SiM zur Verfügung. Dies sind aktuell 75, davon allein 40 für Systeme, Netze und Anwendungen. Für eine Vielzahl von Techno-logien können Grundschutz-Verantwortliche also innerhalb kürzester Zeit sichere Soll-Konfigurationen gezielt umsetzen, deren Umsetzung belastbar und automatisiert erheben sowie die Ergebnisse BSI-konform dokumentieren.

Die unterschiedlichen Kundenanforderungen und -bedarfe sind sowohl bei der Produkt-konfiguration als auch durch eine gemein-same Entwicklungs-Roadmap berücksichtigt: Das Produkt ist skalierbar und damit für IT-Infrastrukturen jeder Größe einsatzbereit. Je nach Anforderungsprofil und Budget stehen

Produktvarianten mit oder ohne technische Prüfung durch die optional enthaltene Com-pliance-Lösung zur Auswahl. Der Einstieg in den automatisierten Grundschutz kann einfach und in kurzer Zeit über ein Pilotierungspaket erfolgen. Neue Software-Funktionen und die Priorisierung weiterer SiM werden gemeinsam in Workshops abgestimmt – beides wird dann durch Software-Releases kostenfrei zur Ver-fügung gestellt.

Dennis Olischläger dennis.olischlaeger@secunet.com

DIE METHODIK IM ÜBERBLICK

selbstgesteuertes Web-Assessment

Betrachtungsgegenstand

Ergebnisse

IT-SicherheitskonzeptRisikoanalyse, …

Sicherheitsmanagement-Datenbank (SMDB)

SiM-Katalogautomatisierte technische Prüfung via Compliance-Software

SECUVIEW – 2 | 201722

tEchnologIEn & lösungEn

KOOPERATIVE ARBEITSPROZESSE MIT VERSCHLUSSSACHEN

Papier hat ausgedient

Kooperation und reibungslose Zusammen-arbeit innerhalb und zwischen Behörden auf Bundes-, Landes- und kommunaler Ebene sind eine tagtägliche Notwendigkeit in der Verwaltung. Doch die gemeinsame Be-arbeitung elektronischer Verschlusssachen (VS) war bisher nicht medienbruchfrei möglich. IT-gestützte VS-Registraturen adressierten lediglich die klassische papierbasierte VS-Dokumentenwelt. VS-Dokumente konnten damit zwar elektronisch erstellt, mangels zugelassener elektronischer VS-Registraturen aber nur in gedruckter Form „vereinnahmt“, das heißt in den Bestand der Registratur übernommen werden. Der behördliche Alltag zeigt, dass durch das Fehlen durchgängig

digitaler Lösungen bei der VS-Bearbeitung weiterhin der klassische, also papierbezogene Weg erforderlich ist – trotz fortgeschrittener Digitalisierung.

An dieser Stelle setzt SINA Workflow an. Als hochsichere kryptographische Architek-tur mit Zulassung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) steht Behörden nun eine flexibel einsetz-bare Kooperationsplattform zur Verfügung. Für den Austausch von Dokumenten mit der Einstufung VS-NfD oder GEHEIM lassen sich mit SINA Workflow passgenaue digitale ver-trauliche Räume zur Verfügung stellen. Damit können Behörden auf angemessen hohem und nachweisbarem Sicherheitsniveau

medienbruchfrei eine Informationsverteilung realisieren, die der Verschlusssachen-anweisung (VSA) genügt.

Die Lösung beruht auf einer Reihe grund-legender Prinzipien: Die Nutzer erhalten bei-spielsweise unterschiedliche Rollen, die an bestimmte Rechte geknüpft sind. Die einzelnen Dokumente werden mittels einer in-tegrierten Labelling-Funktion kryptographisch mit Zusatzinformationen wie dem VS-Ein-stufungsgrad und dem Ersteller versehen. Jede Information im System enthält Nach-weise darüber, welche Verarbeitungs- und Verwaltungsschritte damit ausgeführt wurden.

SINA Workflow bietet zudem eine durch-gängig kryptographisch unterstützte Durch-

SO FUNKTIONIERT SINA WORKFLOW

Basisfunktionen

Einstufen zugriffsrechte need-to-know-Prinzip

Importieren

Erstellen Bearbeiten genehmigen

Exportieren Editieren drucken scannennicht ermächtigt

verteilen

VS-Arbeitsplätze(SINA Work�ow Clients)

Registraturdienste(SINA Work�ow Server)

Speichersysteme

23

tEchnologIEn & lösungEn

Manipulieren zwecklos

Die SINA Workstation S wird künftig noch sicherer: Mit dem Release SINA Work-station S 3.3.7 erhält der für VS-NUR FÜR DEN DIENSTGEBRAUCH und VS- VERTRAULICH (Offline) zugelassene Krypto-Client eine Funk-tionalität, die man bisher nur von den Varianten SINA Workstation E und H kannte, die für höhere Geheimhaltungsstufen zugelassenen sind: einen anspruchsvollen Boot-Integritäts-schutz.

Ermöglicht wird dies durch ein speziell für secunet angepasstes UEFI (Unified Extensible Firmware Interface) auf den Bundlegeräten der Kaby-Lake-Generation von Lenovo. In diesem UEFI ist die Secure-Boot-Funktion, anders als bei Geräten von der Stange, nicht mehr ab-schaltbar. Zudem beinhaltet das angepasste UEFI nur Schlüsselmaterial von secunet und nicht wie üblich noch weitere Schlüssel, zum Beispiel von Microsoft.

Diese Änderungen bewirken, dass ab den Lenovo Bundlegeräten der Kaby-Lake-Generation (zum Beispiel X270) nur noch von secunet signierte Software gebootet werden kann. Manipulationen an der SINA Installation können nun selbst bei physischem Zugriff auf die Festplatte verhindert werden.

Zur Visualisierung wurde der Bootloader angepasst; er zeigt im Normalfall einen Bootscreen mit Informationen zum aktivierten UEFI Secure Boot und SINA Secure Boot an. Liegt ein Problem vor, weist ein roter Bootscreen den Anwender darauf hin. In diesem Fall sollte der Rechner nicht ohne Rücksprache mit dem Administrator weiter-verwendet werden.

Auch auf den Bundlegeräten, die nicht von Lenovo stammen, wird ab der Kaby-Lake-Generation Secure Boot unterstützt. Bei diesen Geräten wird allerdings das

Standard-UEFI des Herstellers verwendet und die secunet Schlüssel werden während der In-stallation aufgebracht.

Es ist jedoch geplant, auch mit den anderen Herstellern von Bundlehardware ähnliche Prozesse umzusetzen wie die, die mit Lenovo gemeinsam erarbeitet wurden, so dass mit späteren Gerätegenerationen angepasste secunet Custom UEFIs flächendeckend ver-fügbar sein werden.

Generell prüft secunet kontinuierlich, welche Produktmerkmale aus den höher zu-gelassenen Systemen sich für den Einsatz in den VS-NfD-Produkten eignen. Wichtig ist dabei, dass ein Höchstmaß an Sicherheit mit der gewohnt hohen Benutzerfreundlichkeit in einem angemessenen Verhältnis steht.

Gordon Freiburg gordon.freiburg@secunet.com

setzung des Prinzips „Kenntnis nur, wenn nötig“ („Need to know“): In einem ersten Schritt entscheidet der Nutzer, ob er sich mit dem eingestuften Inhalt belasten möchte. Erst im zweiten Schritt erhält er Zugang zu diesem Inhalt. Seine Willensbekundung und seine bewusste Kenntnisnahme des ein-gestuften Inhalts werden dabei nachweisbar dokumentiert.

Technisch realisiert wird SINA Workflow als Systemverbund sicherer Krypto-Clients (SINA Workstations) und skalierbarer SINA Workflow Server mit integrierter elektro-nischer VS- Registratur sowie einem zentralen Netzwerk speicher.

Vor der Implementierung eines SINA Workflow Systems erfolgt zunächst eine Bestandsaufnahme der vorhandenen An-wendungsumgebung einschließlich der Analyse der relevanten Nutzerrollen und vor-handenen VS-Prozesse. Aus diesem Soll-Prozess werden die Anforderungen an die Integration in die vorhandenen IT-Systeme abgeleitet. Dazu werden die relevanten Schnittstellen und Datenaustauschprozeduren identifiziert und vorbereitet.

Im nächsten Schritt erfolgen die In-stallation und Integration, die Einrichtung der erforderlichen SINA Workflow Nutzer und die Bereitstellung der zugehörigen

kryptographischen Schlüssel und Zertifikate auf speziellen SINA Workflow Smartcards. Nach Abschluss der Integration erfolgt der be-darfsgerechte Import der bereits im System vorhandenen VS-Daten in das SINA Work-flow System. Die übernommenen Daten werden gekennzeichnet und als VS-Daten-bestand verfügbar gemacht. Das SINA Work-flow System unterstützt auch die Einbindung bereits bestehender eingestufter oder offener Datenbestände.

Stefan Reuter stefan.reuter@secunet.com

SECUVIEW – 2 | 201724

tEchnologIEn & lösungEn

Pentest beendet – und dann?

Bei einer Fußball-WM stehen immer die spannenden Aspekte im Vordergrund: Spiel-verläufe und Ergebnisse. Die Frage nach dem Danach bleibt häufig unbeantwortet. Ganz ähnlich verhält es sich üblicherweise bei Ar-tikeln über das Thema Pentest. Allerdings ist hier der (ebenfalls aus dem Fußball) entliehene Aphorismus „Nach dem Pentest ist vor dem Pentest“ zwar korrekt, aber nicht hilfreich.

Präziser wäre es zu sagen: „Nach dem Pentest ist vor der Schwachstellenbehebung.“ Diese Phase dauert – aufgrund notwendiger interner Abstimmungen, funktionaler Tests und den üblicherweise begrenzten internen Mitteln des IT-Bereichs – häufig mehrere Monate. In dieser Zeit einen weiteren Pentest durch-zuführen ist nicht zielführend. Doch wie kann sichergestellt werden, dass die Behebung der alten Sicherheitslücken nicht auch neue Probleme erzeugt?

Eine Lösung der finally safe GmbH, einer Beteiligung der secunet Security Networks AG, schafft hier Abhilfe. Die Lösung analysiert auf Kundenwunsch bereits während und vor allem nach einem Pentest den internen und externen Datenverkehr und hilft nicht nur Anomalien zu erkennen, wie sie bei gezielten Angriffen – so-genannten Advanced Persistent Threats (APTs)  – erzeugt werden. Auch die Ergeb-nisse von Schwachstellenscans, die zumeist vorbereitend für einen Pentest durchgeführt werden, können so besser bewertet werden.

Ein Beispiel: Beim Schwachstellenscan im Rahmen des Pentests wird ein ungeschützter Telnet-Server identifiziert, über den ein An-greifer an Passwörter gelangen könnte. finally safe ermöglicht es darüber hinaus, zu dokumentieren, wie häufig dieser Telnet-Server wirklich genutzt wird. Somit ergibt sich auch ein Eindruck darüber, wie groß das Risiko ist, dass ein Passwort übertragen wird, das ein

Angreifer abhören kann (oder bereits abge-hört hat). Das von der kritischen Schwachstelle ausgehende Risiko wird durch die permanente Auswertung des Datenverkehrs konkretisiert und kann bei der Behebung priorisiert werden.

Zusätzlich zu dieser Konkretisierung der An-griffsrisiken kann finally safe bereits während der Behebung der identifizierten Schwach-stellen unmittelbar den Erfolg der umgesetzten Maßnahmen darstellen und dokumentieren: Die Anzahl der während des Pentests als un-sicher identifizierten Verbindungen wird in den permanenten Auswertungen sinken.

Insgesamt kann eine Kombination von re-gelmäßigen Pentests und kontinuierlicher Analyse des internen und externen Daten-verkehrs die Sicherheit von IT-Systemen lang-fristig erhöhen.

Dirk Reimers dirk.reimers@secunet.com

finally safe liefert eine permanente Auswertung des Datenverkehrs,

die sich auch visualisieren lässt –

so wie in diesem Beispiel-Screenshot.

25

tEchnologIEn & lösungEn

Kontakt Information:

www.mellanox.com

Michael Frings - Senior Regional Manager

Mellanox Technologies, Ltd.michaelfr@mellanox.com+49 175 243 0000

Ethernet Switch-Systeme mit höchsten Bandbreiten und niedrigsten Latenzen ermöglichen optimale Leistung in kritischen Umgebungen.

C-programmierbarer Netzwerkadapter mit integrierten ARM Prozessoren zur Beschleunigung von sicheren Cloudumgebungen und Realisierung von vertrauenswürdigen virtuellen Systemen.

Spectrum™

Ethernet Switch

BlueField™ SmartNIC

Programmierbarer FPGA-Netzwerkadapter zur Beschleunigung von SINA® VPN.

Fortschrittlicher “Offloading” Netzwerkadapter zur Anbindung von SINA® an Rechenzentren.

Innova™ IPsec Adapter

ConnectX®

Adapters

Enabling Secure Data Centers

Mellanox Technologies ist Technologieführer für Kommunikationssysteme mit höchster Bandbreite und niedrigster Latenz. Zusammen mit secunet entwickeln wir

vertrauenswürdige Lösungen zum Schutz von Regierungsnetzwerken.

A4-HandbuchderBundeswehr-and-SECUVIEW.indd 2 11/30/2017 4:55:43 PM

SECUVIEW – 2 | 201726

PolItIk & gEsEllschaft

PARLAMENTARISCHER ABEND

IT-Sicherheit als gesamtstaatliche Aufgabe

Cyberangriffe auf Staaten und deren kritische Infrastrukturen sind längst keine Fiktion mehr, sondern Realität. Diesem Themen-kreis widmete sich ein Parlamentarischer Abend der Fachpublikation Behörden Spiegel im Sommer in Berlin unter dem Titel „Na-tionale Sicherheitsstrategie – Cyber-Abwehr als nationale Herausforderung“. Rund 50 hochrangige Gäste aus Politik, Verwaltung, Wissenschaft sowie Vertreterinnen und Ver-treter von Verbänden, Think-Tanks und NGOs folgten der Einladung.

Welchen Beitrag die Bundeswehr zur nationalen Cyber-Sicherheitsarchitektur leisten will, erläuterte Generalleutnant Ludwig Leinhos, Inspekteur des neuen mi-litärischen Organisationsbereichs Cyber- und

Informationsraum (CIR). Ähnlich wie Heer, Luftwaffe und Marine für Land, Luft und See zuständig sind, ist der neue Organisations-bereich ganzheitlich für den Cyber- und In-formationsraum verantwortlich. Zusätzlich zur Cybersicherheit und IT werden auch Teile des militärischen Nachrichtenwesens, das Geo-informationswesen und die operative Kom-munikation im neuen Bereich gebündelt.

Zwar sind Abschreckung und Verteidigung noch immer strukturbildende Elemente der Streitkräfte. Wahrscheinlicher als rein kon-ventionelle physische Angriffe sind heut-zutage jedoch hybride Szenarien, die es erforderlich machen, sich für den digitalen Verteidigungsfall zu wappnen. Wichtigste Auf-gabe bei einem Cyberangriff sei laut Leinhos das Schadensmanagement. Erst danach folge die schwierige Frage der Attribution, schließlich sei es mitunter „extrem schwierig bis unmöglich, einen Angreifer zweifelsfrei zu identifizieren“. Die Frage nach „Hack-Back“-Szenarien stellt sich für den Generalleutnant erst ganz zum Schluss.

Personell verfügt das CIR über rund 13.500 geplante Dienstposten – langfristig sollen es 15.000 werden. Der „operationelle Schwer-punkt“ liegt im Raum Bonn, Forschung und

Dr. Rainer Baumgart Andreas Könen

15.000 DIENSTPOSTEN sind

langfristig für den neuen militärischen Organisationsbereich

Cyber- und Informationsraum (CIR) geplant.

27

PolItIk & gEsEllschaft

Lehre sind im Cyber Cluster der Universität der Bundeswehr in München gebündelt. In Berlin ist mit dem Cyber Innovation Hub ein Pilotprojekt gestartet, das eine Schnittstelle zwischen Start-up-Szene und Bundeswehr bildet.

„Wenn ein junger Mensch von der Bundes-wehr hört und dann automatisch auch an IT denkt, dann ist ein wichtiges Ziel erreicht“, be-tonte Dr. Reinhard Brandl, CSU-Bundestags-abgeordneter. Allerdings wies Brandl auch auf die Herausforderung hin, die darin bestehe, die Rolle der Bundeswehr in einer nationalen IT-Sicherheitsarchitektur neu zu verankern – im Rahmen eines gesamtstaatlichen Ansatzes.

Dem stimmte Andreas Könen, Leiter der Stabsstelle „IT- und Cyber-Sicherheit“ im Bundesinnenministerium, zu. Vor allem müssten alle Bundesländer politische Weichenstellungen für eine gemeinsame Cybersicherheitsarchitektur mittragen. Das müsse auch bis zu den Kommunen reichen, denn gerade kritische Infrastrukturen seien häufig auf kommunaler Ebene zu finden.

Als Vertreter der IT-Sicherheitsindustrie stellte Dr. Rainer Baumgart, Vorstandsvor-sitzender der secunet Security Networks AG, das Thema „IT-Sicherheit als Schlüssel-

technologie einer modernen digitalen Gesell-schaft“ dar. „Wir in Europa befinden uns digital in großer Abhängigkeit und kommen an US-amerikanischen und chinesischen Platt-formen nicht mehr vorbei“, sagte Baumgart. Digitale Souveränität benötige aber eine ent-sprechende technische Strategie. Vor diesem Hintergrund bilde die Nische Kryptographie als nationale Schlüsseltechnologie hierzulande eine rühmliche Ausnahme. Diese Techno-logie leiste einen aktiven Beitrag für digitale Selbstbestimmung und damit zur digitalen Souveränität.

Christine Skropke christine.skropke@secunet.com

Generalleutnant Ludwig Leinhos Dr. Reinhard Brandl

Wenn ein junger Mensch von der Bundes-wehr hört und dann automatisch auch an IT

denkt, dann ist ein wichtiges Ziel erreicht.

Dr. Reinhard Brandl, Bundestagsabgeordneter

SECUVIEW – 2 | 201728

kurz notIErt

Stiftungsprofessur für IT-Sicherheit an der Westfälischen Hochschule

Die Westfälische Hochschule in Gelsenkirchen hat Dr. Christian Dietrich als Professor auf das Lehrgebiet „Angewandte Informatik, ins-besondere Internet-Sicherheit“ berufen. Zuvor analysierte er für ein bekanntes US-Start-up-Unternehmen Schadsoftware im Kontext von gezielten Angriffen, sogenannten Advanced Persistent Threats.

Vereinzelte Analyseergebnisse von Prof. Dietrich fanden nach Absprache mit den Auf-traggebern auch ihren Weg in die Öffentlich-keit – wie etwa die Aufklärung eines Angriffs auf die Demokratische Partei der Vereinigten Staaten während des US-Präsidentschafts-wahlkampfs im Frühjahr 2016. Auch in Zukunft

ist Threat Intelligence ein Forschungsthema für Prof. Dietrich, neben Reverse Engineering, Binärcode-Analyse sowie IoT-Schadsoftware.

Stifter der Professur ist secunet: Ziel ist eine langfristige Nachwuchsförderung in diesem Bereich und eine Stärkung der IT-Sicherheit in der Region Nordrhein-Westfalen.

Prof. Dr. Christian Dietrich, Lehrgebiet „Angewandte Informatik,

insbesondere Internet-Sicherheit“Foto: Fotostudio „Zur Alten Metzgerei“

it-sa weiterhin auf Wachstumskurs

it-sa 2017: Dr. Hans-Georg Maaßen, Präsident des Bundesamtes für Ver-fassungsschutz, im Gespräch mit secunet Vorstandsmitglied Thomas Pleines (rechts) und Michael Jokisch von der Bundespolizei (Mitte)

Messestand von secunet auf der

it-sa 2017

Auch in diesem Jahr verzeichnete die it-sa, Europas größte IT-Security-Messe, neue Best-marken: 630 Aussteller und 12.780 Besucher fanden sich im Oktober 2017 in Nürnberg ein, was Zuwächsen von 28 bzw. 25 Prozent gegenüber dem Vorjahr entspricht. Das kon-tinuierliche Wachstum der Messe wirft ein Schlaglicht darauf, wie stark das Interesse und der Bedarf an IT-Sicherheit weiterhin zunehmen.

secunet war diesmal gemeinsam mit den Mitausstellern Bundespolizei, finally safe und Mellanox Technologies vor Ort und zeigte Cybersicherheitslösungen für E-Government, Behörden, kritische Infra strukturen und Industrie 4.0.

29

kurz notIErt

secunet baut Fähigkeiten für Produktion und Logistik aus

authega nach ISO 27001 zertifiziert

Der Authentifizierungsdienst für E-Govern-ment-Anwendungen authega wurde nach der Norm ISO  27001 auf Basis der IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) zertifiziert. authega wird im Auftrag des Bayerischen Staatsministeriums der Finanzen, für Landesentwicklung und Heimat im RZ Nord, einer Abteilung des Bayerischen Landesamts für Steuern (BayLfSt), bereit-gestellt und betrieben.

Der Dienst wurde im Rahmen eines gemein-samen Projekts der Unternehmen mgm technology partners GmbH und secunet ent-wickelt und basiert auf der Technologie von ELSTER, dem größten E-Government-Projekt Deutschlands: authega wird in einer Vielzahl von Fachverfahren – zum Beispiel Mitarbeiter- oder sonstigen Portalen  – des Freistaats Bayern und anderer Bundesländer genutzt.

Seine Leistungen erbringt authega mit einer eigenen IT-Infrastruktur. secunet wurde vom

BayLfSt beauftragt, diese Infrastruktur nach der Norm ISO 27001 zertifizierungsfähig zu gestalten. Der gesamte Zertifizierungsprozess nahm weniger als elf Monate in Anspruch. Die ISO 27001 Zertifizierung dokumentiert, dass der IT-Grundschutz vollständig implementiert wurde und dass die Auseinandersetzung mit IT-Sicherheitsthemen ein essenzieller Bestandteil der Behördenphilosophie des BayLfSt ist.

Am 21. September 2017 besuchte der Sächsische Staatsminister des Innern und Vorsitzende der Innenministerkonferenz, Markus Ulbig (rechts),

den secunet Standort in Dresden. Der secunet Vorstandsvorsitzende Dr. Rainer Baumgart (Mitte) sowie CTO Kai Martius (links) führten den

Staatsminister durch die Räumlichkeiten.

An seinem Standort in Dresden betreibt secunet nicht nur das Entwicklungszentrum für die SINA Verschlüsselungstechnologie, sondern auch eine Fertigungsstraße für Komponenten sowie Räumlichkeiten für die Logistik. In den letzten Monaten hat secunet die Kapazitäten für Produktion und Logistik erweitert und neue Prozesse etabliert.

Dadurch erlangt das Unternehmen mehr Kontrolle über die Fertigung und mehr Un-abhängigkeit von Lieferanten. Gerade sicher-

heitskritische Produktionsschritte kann secunet nun verstärkt selbst durchführen. Der Kunde profitiert in Form von schnelleren Lieferzeiten und einer weiteren Qualitäts-steigerung, denn auch die Endkontrolle von auszuliefernden Komponenten findet jetzt direkt vor Ort in Dresden statt.

Neue Logistik-Räumlichkeiten bei secunet in Dresden

SECUVIEW – 2 | 201730

kurz notIErt

secunet nun mit Standort in Stuttgart

Seit dem 1. Juli 2017 ist secunet auch im Südwesten Deutschlands präsent: Das Unternehmen übernahm dort die Mit-arbeiter und Vermögenswerte der bintec elmeg Security GmbH, mit der bereits seit Langem eine erfolgreiche Kooperation bestand. Die Stuttgarter Spezialisten für Netzwerkmonitoring und -sicherheit lieferten

die packetalarm Produktfamilie, auf der die Lösung secunet snort basiert, die der Angriffs-erkennung und -abwehr speziell in großen Netzwerken dient. Auch packetalarm wurde ins secunet Portfolio übernommen.

secunet hat sich bewusst dafür ent-schieden, den bisherigen Standort der bintec elmeg Security in Stuttgart weiterzuführen.

Damit unterstreicht das Unternehmen seinen Anspruch der größtmöglichen Kundennähe und ist nun bundesweit an elf Standorten ver-treten. Zudem kann secunet die Suche nach neuen Talenten nun auch in Stuttgart und Umgebung aktiver betreiben als bisher – und profitiert dabei von der Nähe zu der äußerst vielfältigen Hochschullandschaft vor Ort.

Die secunet Security Networks  AG stellt sich zum 1.  Januar  2018 organisatorisch neu auf. Dazu wird das Unternehmen zwei neue Gesellschaften gründen, die den inter-nationalen Vertrieb und die zentralen Ver-waltungsbereiche übernehmen werden.

Die internationalen SINA Vertriebsaktivitäten werden zukünftig in der secunet International GmbH & Co. KG gebündelt. Damit soll das Auslandsgeschäft weiter gestärkt werden

und gleichzeitig soll die neue Gesellschaft agiler und flexibler auf die Anforderungen einzelner Zielmärkte eingehen sowie neue Märkte erschließen können. Geschäftsführer der secunet International GmbH & Co.  KG wird Johan Hesse, der auch bisher das inter-nationale Geschäft verantwortet.

Zudem wird secunet das operative Ge-schäft von den Verwaltungsbereichen trennen. Alle Funktionen, die die operativen Einheiten

der secunet Security Networks  AG unter-stützen, sind künftig zentral in der secunet Service GmbH angesiedelt. Diese Gesellschaft kümmert sich als interner Dienstleister um Verwaltung sowie um Serviceleistungen, wie zum Beispiel Support. Die Geschäftsführung übernimmt der bisherige kaufmännische Leiter der secunet Security Networks AG, Thomas Hollei.

SECUNET SECURITY NETWORKS AG

Axel Deininger in den Vorstand berufen

Der Aufsichtsrat der secunet Security Networks  AG hat in seiner Sitzung am 16.  November  2017 entschieden, Axel Deininger in den Vorstand der Gesellschaft zu bestellen. Deininger war bisher Group Senior Vice President und Head of Division Connectivity & Devices der G+D  Mobile Security GmbH.

Damit besteht der Vorstand der secunet Security Networks AG ab dem 1. Januar 2018 aus Dr.  Rainer Baumgart (Vorstandsvor-sitzender), Axel Deininger und Thomas Pleines. Axel Deininger bringt dabei seine langjährige Erfahrung aus unterschiedlichen Führungspositionen im IT- und Techno-logiesektor ein. Er wird insbesondere die Themen Produktion und internationaler Ver-trieb bei der secunet Security Networks AG verantworten.

Stationen in der Karriere des Wirtschafts-ingenieurs Axel Deininger waren unter anderem Siemens  AG, Infineon Techno-logies AG sowie Samsung Semiconductor Europe GmbH. Zuletzt war Deininger mehr als zehn Jahre in unterschiedlichen Positionen für die Münchener Unternehmensgruppe Giesecke+Devrient tätig.

Axel Deininger wird am 1. Januar 2018 drittes

Vorstandsmitglied.

Reorganisation bei secunet

31

sErvIcE

Termine – Januar bis Juni

Impressum

Herausgebersecunet Security Networks AGKurfürstenstraße 58, 45138 Essenwww.secunet.com

Leitung Redaktion, Konzeption, Gestaltung und Anzeigen (V. i. S. d. P.)Marc Pedack, marc.pedack@secunet.com

Design und Satzsam waikiki GbR, www.samwaikiki.de

Der Inhalt gibt nicht in jedem Fall die Meinung des Herausgebers wieder.

Urheberrecht© secunet Security Networks AG. Alle Rechte vorbehalten. Alle Inhalte sind urheberrechtlich geschützt. Jede Ver-wendung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen schriftlichen Erlaubnis.

BildnachweisTitel / S. 8: ENISAS. 2 / 10: Luxemburg: iStockS. 2 / 16: Gesundheitskarte: FotoliaS. 3 / 7 / 9 / 11 / 13 / 18 / 28 (it-sa) / 29 / 30: secunetS. 4: shutterstockS. 15: Thomas PleinesS. 24: finally safeS. 26 / 27: Behörden SpiegelS. 28: Prof. Dr. Dietrich: Fotostudio „Zur Alten Metzgerei“S. 30: Axel Deininger

SECUVIEW ABONNIEREN

Sie möchten die secuview regel-mäßig und kostenlos zugesendet bekommen? Wählen Sie zwischen der Print- und der E-Mail-Version.

Anmeldung: www.secunet.com/secuview

Dort haben Sie auch die Möglichkeit, Ihr Abonnement zu ändern oder zu kündigen.

22. Januar 2018ELSTER Dialog | Starnberger See

6. – 7. Februar 2018Europäischer Polizeikongress | Berlin

6. – 8. Februar 2018E-world energy & water | Essen

21. – 22. Februar 2018Business factors: StrategieTage IT Security | Bergisch Gladbach

6. März 2018SINA Anwendertag | Berlin

13. März 2018SINA Anwendertag | Bonn

20. – 21. März 2018Fachkongress Digitaler Staat | Berlin

20. – 22. März 2018Passenger Terminal Expo | Stockholm, Schweden

11. – 12. April 2018AFCEA Fachausstellung | Bonn

13. April 2018Automotive-Workshop „IT Security on Board“ | München

16. – 20. April 2018RSA Conference | San Francisco, USA

17. – 19. April 2018conhIT | Berlin

18. – 19. April 2018ID at the Borders Conference | Brüssel, Belgien

24. – 26. April 2018ID4Africa | Abuja, Nigeria

25. – 27. April 2018Rethink! IT Security 2018 | Hamburg

9. Mai 2018Hauptversammlung secunet | Essen

22. – 24. Mai 2018NITEC | Berlin

11. – 15. Juni 2018CEBIT | Hannover

13. – 14. Juni 2018BDEW Kongress | Berlin

18. – 20. Juni 2018Zukunftskongress Staat & Verwaltung | Berlin

25. – 27. Juni 2018Security Document World (SDW) | London, Großbritannien

Haben Sie hierzu Fragen oder möchten Sie sich anmelden? Schicken Sie uns gern eine E-Mail an events@secunet.com

Print kompensiertId-Nr. 1768946

www.bvdm-online.de

IT-Sicherheitspartner der Bundesrepublik Deutschland

Wer täglich mit vertraulichen Daten arbeiten muss, braucht eine ganzheitliche

Lösung für eine sichere Netzwerk-Architektur: SINA von secunet. Anders als bei

einem Flickwerk aus schlecht harmonisierenden Einzelkomponenten administrieren

Sie mit SINA alle Bausteine über ein zentrales Management. Mit SINA werden

Sicherheit und Komfort zu einer Einheit. Dazu besitzt SINA mit die höchsten

Zulassungen durch BSI, EU und NATO und ist ohne Grenzen skalierbar für

Arbeitsumgebungen bis hin zu mehreren Tausend Arbeitsplätzen.

IT security „Made in Germany“.

www.secunet.com/sina

Stabilität kommt von Architektur: Netzwerksicherheit mit SINA.

SSN_SINA_Netzwerkarchitektur_MASTER_210x297_D.indd 1 16.09.16 11:17