Die Strategie des Landes Niedersachsen zur elektronischen Signatur

Die Strategie des Landes 

Niedersachsen zur elektronischen 

Signatur 

Holger Meyer 

Leiter Kompetenzzentrum IT-Sicherheit (KITS) 

Informatikzentrum Niedersachsen (izn) 

7. Kommunales IuK-Forum 

IuK Forum Niedersachsen 

Soltau, den 20. September 2007

Informatikzentrum Niedersachsen (izn) 

Rechtsform: Landesbetrieb nach § 26 LHO 

Gründungsdatum: 1. Mai 1997 

Aufgaben: Unterstützung der Landesverwaltung bei 

der Aufgabenwahrnehmung durch die 

Bereitstellung von IuK-Technik 

Pflichtaufgaben: Hochsicherheits-Rechenzentrum, 

Betreiber des Landesdatennetzes 

4 Geschäftsstellen: H - BS - OL - LG 

Personalbestand: ca. 420 Mitarbeiter 

Umsatz: ca. 90 Mio. EURO (2004) 

KITS 

© Informatikzentrum Niedersachsen 2007 

3

Kompetenzzentrum IT-Sicherheit IT Sicherheit (KITS) 

Bereitstellung und Weiterentwicklung von IT-Sicherheits- 

komponenten (z.B. SignaturCard Niedersachsen, Chipkartenlesegeräte, 

Virenscanner, Sichere E-Mail, Sicherer PDA, Sicherer VPN-Zugang) 

SignaturCard Service und Landesregistrierungsstelle (SCS) 

Betrieb der Niedersachsen-CA (TESTA-CA / Niedersachsen) 

KITS 

Betrieb von Sicherheitsgateways (Application Security Gateway [ASG]) 

Betrieb der Virtuellen Poststelle (VPS) 

Beratung und Unterstützung zum Thema „IT- 

Sicherheitsmanagement“ außerhalb des izn (z.B. IT-Sicherheits- 

konzepte, IT-Audits, Schutzbedarfsfeststellungen, Basissicherheitschecks) 

Beratung und Unterstützung der Fachverwaltungen bei der IT- 

Sicherheitsimplementierung (z.B. Kommunikations- und 

Transaktionssicherheit in Applikationen und Netzen, Authentisierung, 

Sichere E-Mail) 


4

Vier Säulen S ulen für f r sicheres eGovernment 

V e r r t t r r a u l l i i c h k e i i tt 

A u t t h e n t t i i z i i t t ä ätt I I n t t e g r r i i t t ä ätt Sicherheits - - Infrastruktur 

Security Policy Policy 

V e r r b i i n d l l i i c h k e i i tt 

KITS 


5

Die SignaturCard Niedersachsen 

KITS 


6

SignaturCard Niedersachsen (PKS) 

qualifiziertes Zertifikat 

Akkreditiertes Trustcenter 

Zertifikat 

Name des Trust Centers 

Name des Benutzers 

Öffentlicher Schlüssel 

Algorithmus 

Zertifikatsnummer 

Gültigkeitszeitraum 

KITS 


7

Sicherheitsinfrastruktur 

PKI-Komponenten 

PKI Komponenten 

PKS-Card 2.0 / 3.0 

BS: TCOS 2.0 

2 Schlüsselpaare 

2 Zertifikate 

3-jährige Gültigkeit 

Null-PIN 

Fehlbedienungszähler 

Chipkartenlesegeräte PC/SC, B1 

Sicherheitssoftware 

SW zur Erstellung der Signatur 

SW zur Verifikation der Signatur 

SW zur Erneuerung der Signatur 

SW zum Verschlüsseln 

SW zum Entschlüsseln 

KITS 


8

Wo wurde die SignaturCard eingesetzt? 

Sichere Fachapplikationen 

Haushaltswirtschaftssystem 

Beihilfebearbeitungssystem 

Gerichtliches Mahnverfahren 

Sichere Kommunikation 

VPN-Zugang in das Landesnetz 

E-Mail-Kommunikation 

Dateiablage 

SignaturCard Nds. Kommunaler Bereich (SiNiKom) 

KITS 


9

Welche Features der SignaturCard 

wurden genutzt? genutzt 

Elektronische Signatur 

Verschlüsselung 

Dokumentverschlüsselung 

Kommunikationsverschlüsselung 

Transportverschlüsselung 

Sichere Authentifikation 

an Fachapplikationen 

in Remoteumgebungen 

KITS 


10

Die SignaturCard Niedersachsen 

KITS 


11

Warum eine Migration? 

KITS 

Anforderungen SigG - Erweiterung der Schlüssell Schl ssellängen ngen 

Sicherheitseignung der Kryptoalgorithmen 

Veröffentlichung der BNetzA im Bundesanzeiger 

Sicherheitseignung für 1024 Bit läuft aus zum 31.12.2007 

PKS Card ist auf Schlüssellänge 2048 Bit nicht erweiterbar! 

Kein interoperabler Standard mehr (ISIS-MTT) 

HWS benötigt neue Karten! 

Neue SignaturCard mit 2048 Bit 


12

ZDA- 

Betrieb 

Algo- 

rithmen 

Sicher- 

heitsnach- 

weis für 

technische 

Kompo- 

nenten 

Dauerhafte 

Überprüf- 

barkeit 

Akkreditierte 

eSignaturen 

 

Qualifizierte 

eSignaturen 

Anzeige 

Herst.Erkl. 

30 Jahre 

 

5 Jahre - 

Gemein- 

sames 

Wurzel- 

zertifikat 

Vergabe 

eines 

Güte- 

siegels 

Sichere 

Signatur- 

erstellungs 

-einheit 

KITS 

Qualifi- 

ziertes 

Zertifikat 

 

- 

Fortgeschrittene 

eSignaturen - - - - - - - - 

Fortgeschrittene 

eSignaturen 

VPKI 

NDS-CA 

Übersicht bersicht - Signaturqualitäten 

Signaturqualit ten 

 

Policy der 

Root (BSI) 

 

Policy der 

Root (BSI) 

 

Freiwillig 

 

Freiwillig 

LHO- 

konform 

 

VPKI-Wurzel- 

zertifikat 

(BSI) 

 

Policy der 

Root 

(BSI) 

 

Freiwillig 

 

Zertifikat 


13

IVBB 

Thüringen 

TIM 

VPKI – TESTA – NDS-CA NDS CA 

NDS-Justiz 

PCA-Verwaltung 

TESTA-CA 

Niedersachsen 

NDS-LV 

D-Trust 

NDS-Kommunen 

KITS 

Root-CA 

CA 

MASTER- 

Domänen 

SUB- 

Domänen 


14

VPKI - Vorteile für f r Niedersachsen 

Interoperabilität mit anderen Verwaltungen 

KITS 

Gemeinsamer Verzeichnisdienst der Verwaltungen (EB-CA) 

Sicherheitsniveau VPKI liegt auch im SigBü zugrunde 

Sicherheitsniveau ist durch Policy des BSI vorgegeben 

Synergieeffekte mit anderen Projekten 

Keine geprüften und bestätigten Komponenten erforderlich 

Kostengünstiger für das Land! 


15

VPKI - Vorteile für f r DST / Admin / User 

KITS 

Leichte Zuordnung zur Person (mehr Zertifikatsinhalte - o, ou) 

Differenzierte Gruppen/Rollen per ou 3 -Eintrag 

Schnelle Auslieferung durch RA-Mitarbeiter (webunterstützt) 

Einfache Identifizierung („Siegel führende Stellen“) 

Leichtes Kartenhandling durch PUK 

Eintrag ins „verwaltungsinterne“ VDV (TESTA-Verzeichnis) 


16

PKS-Zertifikate 

NDS-CA-Zertifikate 

Qualifizierte Signatur 

1 Root 1: BNA (ehem. RegTP) 

Fortgeschrittene Signatur 

2 Root 2: PCA-1-Verw. (VPKI) 

• Signaturschlüssel 

• PKS-Signaturzertifikat* 

* optional nach Kundenanforderung 

SigG-Konformität 

ISIS-MTT-Konformität 

1 2 3 4 5 6 

Fehlbedienungszähler 

SignaturCard – NetKey 3.0 

Qualifiziert 

1 lokale PIN für f r Sig-Schl Sig Schlüssel ssel 

• Signaturschlüssel 

• Verschlüsselungsschlüssel 

• Authentifizierungsschlüssel 

• 2 NDS-CA-Zertifikate 

(1 Sig und 1 Auth/Enc)* 

• 1 weiteres Zertifikat optional 

* im Auslieferungszustand NDS-CA 

BSI-/VPKI-Konformität 

ISIS-MTT-Konformität 

Fortgeschr. 

1 globale PIN für f r alle Schlüssel Schl ssel 

1 2 3 4 5 6 

Produktion: vorauss. 01.01.2007 

3 

KITS 

External Key-Application 

Allgem. PKI-Anwendungen 

Root 3: beliebig 

• extern generierte Schlüssel* 

• extern generierte Zertifikate* 

Stand 01.01.07 

* optional nach Kundenanforderung 

für sonstige Anwendungen 

Fortgeschr. 

1 lokale PIN pro Anwendung 

1 2 3 4 5 6 

PUK („Master-PIN“) Fehlbedienungszähler (optional) 

© Informatikzentrum Niedersachsen 2007

Sicherheitsinfrastruktur 

PKI-Komponenten 

PKI Komponenten 

NetKey 3.0-Karte 

Dual-Chip 

BS: TCOS 3.0 

mind. 3 Schlüsselpaare 

mind. 3 Zertifikate 

3-jährige Gültigkeit 

PIN / PUK 

variabl. Fehlbedienungszähler 

Chipkartenlesegeräte PC/SC 

(USB, PCMCIA, PC-Card, seriell) 

Sicherheitssoftware 

SW zur Erstellung der Signatur 

SW zur Verifikation der Signatur 

SW zur Erneuerung der Signatur 

SW zum Verschlüsseln 

SW zum Entschlüsseln 

KITS 


19

SignaturCard Niedersachsen (NetKey 3.0) 

Signaturzertifikat 

qualifizierte Signatur 

fortgeschrittene Signatur 

Verschlüsselungszertifikat 

Authentisierungszertifikat 

Akkreditiertes Trustcenter 

Eigene CA (NDS-CA) 

KITS 

Zertifikat 

Name des Trust Centers 

Name des Benutzers 

Öffentlicher Schlüssel 

Algorithmus 

Zertifikatsnummer 

Gültigkeitszeitraum 


20

Wo wird die SignaturCard heute eingesetzt? 


Haushaltswirtschaftssystem (HWS) 

Beihilfebearbeitungssystem (Samba) 

Gerichtliches Mahnverfahren (AGMV) 

Elektronisches Insolvenzverfahren (WinSolvenz) > SW 


Sicherer VPN-Zugang in das Landesnetz 

Sichere E-Mail 

Elektronischer Rechtsverkehr in der Fachgerichtsbarkeit 

(elba.nds) 

Sichere Kommunikation mit Registergerichten (SLIM IV) 

Elektronisches Meldewesen (Architektur DVDV) > SW 

Virtuelle Poststelle (VPS) 

Mobile Festplattenverschlüsselung 

Sicherer PDA 

KITS 


21

KITS 

Welche Verbreitung hat die SignaturCard heute? 

Dienststellen 750 


Haushaltsvollzugssystem 12.250 TN 

Beihilfebearbeitungssystem 250 TN 

Gerichtliches Mahnverfahren u.a. 250 TN 


Sicherer VPN-Zugang 1.000 TN 

Sichere E-Mail u.a. 250 TN 

Softwarezertifikate 250 TN 

--------------------- 

ca. 14.250 TN 


22

Welche Features der SignaturCard können nnen 

heute genutzt werden? werden 

Zugangssicherung zu Rechnersystemen 

Single-Sign-On 

Dienstausweis 

Zutrittssicherung zu Gebäuden 

Arbeitszeiterfassung 

Kantinen- und Kioskfunktion 

One-Time-Password (OTP) 

Watermark 

Fachapplikationen / eGovernment-Anwendungen 

Ticketing (ÖPNV-Fahrgeldmanagement, Eventmanagement) 

Diebstahlschutz (Mobilitätssperre z.B. bei Kfz, Hardware) 

KITS 


23

Single Sign On und WinLogon 

Chipkarte ersetzt Login über Benutzername und Passwort 

Passwortqualität steigt (Länge und Zeichensatz) 

Hohe Passwortsicherheit 

Schutz vor Manipulation 

Authentisierung erfolgt nur einmal gegenüber dem System 

KITS 

Beim Zugriff auf eine bestimmte Ressource erfolgt die 

Überprüfung der Zugriffsrechte an einem zentralen Server 

Der Nutzer erhält dann die ihm zustehenden 

Berechtigungen, Anwendungsprogramme und Ressourcen, 

ohne dass er beim Aufruf der Programme erneut ein 

Passwort angeben muss 

Hohe Benutzfreundlichkeit 


24

Dienstausweis 

KITS 

Beantragung und Ausgabe von digitalen Dienstausweisen 

werden von bereits vorhandenen Dienstausweisstellen 

übernommen - hier erfolgen Aufnahme von Antragsdaten, 

Personenbild und Unterschrift 

Lässt sich mit Zeiterfassungs- und Zutrittskontrollsystemen 

kombinieren 

Die Personaldaten werden in einer gesicherten lokalen 

Datenbank gespeichert 

Der Kartenkörper sollte vorher definierte Sicherheitsmerkmale 

enthalten, um die Fälschungssicherheit zu gewährleisten 


25

Zutrittssicherung zu Gebäuden Geb uden 

Regelung des Zutritts zu einem Gelände oder zu einem 

Gebäude bzw. innerhalb des Gebäudes zu Diensträumen 

Definition von Sicherheitszonen mit unterschiedlichem 

Schutzbedarf 

Verwaltung der Zutrittsberechtigungen erfolgt mit 

spezieller Software zentral auf einem Rechner 

Für jede berechtigte Person kann eine räumliche und 

zeitlich eingeschränkte Zutrittsberechtigung je 

Sicherheitszone festgelegt werden 

Die Identifikation und der Zutritt zu den jeweiligen 

Sicherheitszonen wird über Chipkarte und Kartenleser/ 

Terminal ermöglicht 

KITS 


26

Arbeitszeiterfassung 

Ermittlung der Arbeitszeit der Mitarbeiter 

Lässt sich mit Zutrittskontrollsystemen kombinieren 

KITS 

Zusätzlich zur Prüfung der entsprechenden 

Zutrittsberechtigung wird eine Speicherung der Kommtbzw. 

Geht-Zeit des Mitarbeiters durchgeführt 

Effektive Verwaltung und Abrechnung von Arbeitszeit, 

Dienstreisen, Urlaub etc. 

Transparente Zeitkorrekturen können von den Mitarbeitern 

selbst vorgenommen werden 


27

Kantinen- Kantinen und Kioskfunktionen 

KITS 

Elektronische Geldbörse im Pay-Before-Verfahren für 

Mittagessen, Getränke, Süßwaren etc. 

Einfaches münzloses Handling für die Mitarbeiter 

Effektiv, ressourcenfreundlich, bedienerfreundlich 

Erweiterbar um viele Funktionen in der Beziehung Innerer 

Dienst >>> Mitarbeiter, z.B. Abrechnung privater Fotokopien, 

Abrechnung privater Telefongespräche 

Mit Electronic Cash erweiterbar für den Erwerb von 

Fahrkarten im ÖPNV oder andere Ticketing-Funktionen 


28

Digitales Wasserzeichen 

Schutz digitaler Dokumente 

Watermark 

Abruf von Daten durch Passwort schützbar 

Einbettung von Copyright-Informationen in ein Dokument 

Gestaltung kann sichtbar oder unsichtbar erfolgen 

KITS 


29

KITS 

Wo wird die SignaturCard in Zukunft eingesetzt? 

Multifunktionskarte (MFK) inkl. 

Single-Sign-On 

Elektronischer Dienstausweis 

Sichere Bereitstellung von Zentralabiturklausuren 

Fachapplikation „Schwarzarbeitsbekämpfung“ 

Zertifikatsbasierte Kommunikationssicherung von zentralen 

Hardwarekomponenten (Router, Switches, Server etc.) > SW 

Personalmanagementverfahren (PMV) 

Dokumentenmanagementsystem (DMS) 

Elektronisches Kabinettsinformationssystem (eKIS) 

Elektronische Aktenführung (eAkte Land) 

Elektr. Immissionsschutzrechtl. Genehmigung (eGenV) 

Elektronisches Beschaffungsmanagement (Comparo Plus) 


30

KITS 

Projekte mit landesstrategischer Bedeutung 

Sichere E-Mail E Mail 

Sicherer VPN-Zugang VPN Zugang in das Landesnetz 

Festplattenverschlüsselung 

Festplattenverschl sselung 

Sicherer PDA 

European Bridge CA (EB-CA) (EB CA) 


31

Sichere E-Mail E Mail - Produktziele 

KITS 

Vertraulichkeit durch Verschlüsselung mit bewährten und sicheren 

Kryptoalgorithmen 

Manipulationsschutz durch elektronische Signatur 

(Integritätsprüfung) 

Interoperabilität durch die Verwendung des Standards S/MIME 

oder ISIS-MTT 

Identität durch unabstreitbare und eindeutige Identifizierbarkeit des 

Absenders 

Benutzerakzeptanz durch 2 Buttons zum Signieren und / oder 

Verschlüsseln 

Intuitive Plug-In-Integration in MS Outlook oder besser MS Native- 

Lösung 

Kosteneinsparungen und Umsatzsteigerung durch Verschlankung 

von Geschäftsprozessen 

Behördenumspannender Zugriff auf sichere E-Mail 

Risikominderung und stärkere Konformität mit gesetzlichen 

Datenschutzvorschriften (BDSG, LDSG, Schutzstufen) 


32

Sichere E-Mail E Mail - Clientausstattung 

Sichere E-Mail-PlugIn 

oder MS Native 

Chipkartenlesegerät 

Chipkarte 

(SignaturCard 

Niedersachsen) 

KITS 


33

Sicherer VPN-Zugang 

VPN Zugang in das Landesnetz 

Unmittelbare Dienststellen der Landesverwaltung und Kommunen 

- 

Applikationen der Dienststellen 

IuK-Administrator 

Mobile Arbeitsplätze 

iznNet 

2000 

Zugriff remoteAP auf Landesnetz über VPN - IPSec 

Dritte / Externe 

Internet 

Fernwartung 

Telearbeiter PDA/Smartphone 

KITS 


34


VPN Zugang - Produktziele 

Sicherer, zuverlässiger und kostengünstiger Zugang 

in das Landesnetz 

Unabhängigkeit vom stationären Arbeitsplatz 

Starke Authentisierung 

Verschlüsselte Datenübertragung 

KITS 


35


VPN Zugang - Clientausstattung 

SecureVPN Client 


Chipkarte 

(SignaturCard Niedersachsen) 

KITS 


36


Festplattenverschl sselung - Produktziele 

Vorhandensein eines Pre-Boot-Verfahrens 

Nutzung der SignaturCard Niedersachsen zur 

Benutzer-Authentisierung 

Einfache transparente Usability 

Zentrale Möglichkeit zur Administration aller im 

Land Niedersachsen eingesetzten Clients 

(Managementkonsole) 

Vollständige Verschlüsselung 

Missbrauchschutz bei Diebstahl 

KITS 


37


Festplattenverschl sselung - Clientausstattung 

Verschlüsselungs-Software mit Boot-Schutz 


Chipkarte 


KITS 


38

Sicherer PDA - Produktziele 

Ausgangssituation 

KITS 

Steigende Nachfrage mobiler Pocket-Geräten (z.B. Smartphone, 

PDA): 

Empfangen und Versenden von E-Mails 

Zugriff und Synchronisation von Outlook-PIM (Kalender, 

Kontakte, Aufgaben) 

Produktziel 

Zugriff mit einem handlichen Pocket-Gerät - mobil und sicher 

Fernzugriff über das Internet auf Daten oder E-Mails im 

Landesnetz 

Keine unbefugte Nutzung des Geräts nach Verlust 


39

Sicherer PDA - Ausgewählte 

Ausgew hlte 

Sicherheitsmodule 

KITS 

Karten- und zertifikatsbasierte Authentisierung 

Sicherer VPN-Zugang (Internet und Intranet) 


Integrierter Virenschutz 

Sicherer Zugriff auf persönliches Exchange Postfach im 

Landesnetz 

E-Mails, Besprechungsanfragen u.a. können, wie am Arbeitsplatz, 

mit MS Outlook Mobil empfangen, versendet und bestätigt werden 

Sicherer Zugriff auf MS Outlook-Kalender-Funktionen und 

Kontaktdaten 

Automatische oder manuelle Synchronisation aller Exchange- 

Daten bei bestehender VPN-Verbindung 

Sicherer Zugriff auf MS Office-Dokumente im Landesnetz 


40

Sicherer PDA - Clientausstattung 



AVIR-Software mit Patch-Automatik 

SmartCard mit integriertem 

Flashspeicher im microSD- Format 


KITS 


41

European Bridge-CA Bridge CA - Ziele 

Verifikation von Zertifikaten ist unbedingt notwendig für die 

elektronische Kommunikation 

Vertrauliche und personengebundene elektronische 

Kommunikation ist durch Verifikation erst möglich 

Ein ständiger und einfacher Zugriff ist für die Verifikation 

unbedingt notwendig 

EB-CA ist Single Point of Contact bei der Verifikation von 

Zertifikaten für Signatur, Authentifikation und Verschlüsselung 

Voraussetzungen: 

KITS 

Aussteller von Zertifikaten oder CA schließen einen Vertrag mit 

der EB-CA 

Die Vertragsbindung gewährleistet eine einheitliche Schnittstelle 

(Interoperabilität) 


43

Ausgangssituation 

KITS 

Quelle: TeleTrust 


44

Lösung: sung: EB-CA EB CA 

KITS 

Quelle: TeleTrust 


45

Signaturbündnis Signaturb ndnis Niedersachsen 

Handlungsschwerpunkte 

Sicherheit und Interoperabilität 

Anwendungen und Prozesse an der Schnittstelle 

„Wirtschaft und Verwaltung“ 

Strategische Einzelmaßnahmen und Projekte 

Maßnahmen zur Akzeptanzverbesserung 

Kooperationen mit anderen Initiativen des Landes 

Kooperationen 

Interkommunale Zusammenarbeit 

Zusammenarbeit mit dem „Anwenderforum 

Elektronische Signatur“ des Bundes (Nachfolger 

Signaturbündnis Bund) 

KITS 


48

eGovernment 

Authentizität 

Niedersachsen-CA 

Verschlüsselung 

Signatur 

KITS 

Infrastruktur 

Vertraulichkeit 

Verbindlichkeit 

Integrität 

SignaturCard 

Telefon: (05 11) 1 20 - 38 42 

Fax: (05 11) 1 20 - 99 - 38 42 

E-Mail: holger.meyer@izn.niedersachsen.de 

Internet: www.izn.niedersachsen.de 


49

Die Strategie des Landes Niedersachsen zur elektronischen Signatur

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?