Als PDF downloaden - Secunet

www.secunet.com
Der IT-Sicherheitsreport
von
Ausgabe 2 | 2009
Business Security Automotive Government Hochsicherheit
WestLB:
Kerberos Single Sign-On
verbindet Sicherheit mit
Benutzerkomfort
Zukunftssichere Lösung integriert
Identity Management
unter UNIX und Windows
Kerberos ist der Höllenhund in
der griechischen Mythologie, der
den Eingang zur Unterwelt
bewacht. Er hat die Aufgabe, nur
die Personen einzulassen, die
eine Erlaubnis haben. Diese
Eigenschaft hat zwei Entwickler
am Massachusetts Institute of
Technology in den 80er Jahren
veranlasst, ihr Authentifizierungsprotokoll
nach dieser Kreatur zu
benennen.
Mehr zu diesem
Thema auf Seite 3
Operation
am offenen Hirn
Dank der Advanced Backend
Security-Lösung verläuft alles
ohne Risiken
Was das Hirn des Menschen ist,
sind des Autos Steuergeräte.
Während Autos der 90er, ausgestattet
mit ESP, ABS und Navigationssystemen,
mit ca. 20-35
Steuergeräten auskamen, beherbergen
moderne Luxusfahrzeuge
heute an die 100 – Tendenz stark
steigend. Anders als beim Menschen
kann das Gehirn des
Fahrzeugs jedoch physikalische
Verbindungen zur Außenwelt aufbauen.
Mehr zu diesem
Thema auf Seite 10
Österreich entscheidet
sich für secunet
secunet biomiddle wird Kernstück
der biometrischen Erfassungssysteme
in allen österreichischen
Botschaften
secunet liefert an das österreichische
Bundesministerium für
europäische und internationale
Angelegenheiten biometrische
Erfassungssysteme zur Beantragung
eines Schengen-Visums.
Dieser Auftrag umfasst neben
der Ausstattung der 130 Auslandsvertretungen
mit Hard- und
Software auch die komplette
Implementierung.
Mehr zu diesem
Thema auf Seite 12
Dem Himmel so nah
mit der SINA Virtual
Workstation
Exakte Luftraumlage wird in
Echtzeit bereitgestellt
Erinnern Sie sich noch an die
Besuche von Barack Obama,
Papst Benedikt XVI. oder anderen
Persönlichkeiten in Deutschland?
Vielleicht erinnern Sie sich auch
nicht. Das könnte auch daran liegen,
dass es keine sicherheitsrelevanten
Zwischenfälle gab. Eine
zentrale Schutzvorkehrung ist die
Überwachung des Luftraums.
Und diese Daten der aktuellen
Luftlage sind nun dank der SINA
Virtual Workstation zu jeder Zeit
und an jedem Ort für alle Einsatzbeteiligten
verfügbar.
Mehr zu diesem
Thema auf Seite 17

EDITORIAL
2
Liebe Leserinnen
und Leser,
vor 40 Jahren betraten die ersten Menschen
den Mond – das war eine Revolution.
„Dies ist ein kleiner Schritt für
einen Menschen, aber ein Riesenschritt
für die Menschheit.“, ist wohl eines der
bekanntesten Zitate der Welt. Doch
was ist heute, vier Jahrzehnte nach
diesem historischen Ereignis? Gibt es
ein Leben auf dem Mond, wie damals
prophezeit? Machen wir Urlaub auf diesem
Himmelskörper? Der Hype, der
Dr. Rainer Baumgart
1969 ausgelöst wurde, ist schnell „verglüht“.
Übrig geblieben sind Science
Fiction-Fantasien und Verschwörungstheorien, die behaupten, das Ganze sei eine
Inszenierung in einem Hollywood-Studio gewesen.
Auch in der IT gibt es Hype-Themen, die nie den großen Durchbruch geschafft
haben. Es lassen sich aber auch andere Beispiele finden: Über die Aussage des
DEC-Gründers Ken Olson von 1977, es gäbe keinen erdenklichen Grund, weshalb
jemand einen Computer für zu Hause haben sollte, schmunzeln wir noch heute.
Auch der Gründer von IBM, Thomas J. Watson, sah nur einen Weltmarkt für etwa
fünf Computer – wie gut für sein Unternehmen, dass er damit völlig falsch lag.
Und wer erinnert sich nicht an Bill Gates Einschätzung, das Internet sei nur eine
vorübergehende Erscheinung? Mehr als eine Milliarde Internetanschlüsse weltweit
beweisen heute das Gegenteil.
In der IT-Sicherheit können Fehleinschätzungen gravierende Folgen haben: Die
Ansicht, Schlüssellängen von 512 Bit seien im Bereich digitaler Signaturen ausreichend,
teilt inzwischen niemand mehr ernsthaft. Und seitdem die Qualität des
Standards für sichere Hash-Funktionen SHA-1 durch Attacken bezweifelt wird,
muss nach Alternativen gesucht werden.
Daher ist es für ein IT-Sicherheitsunternehmen wie secunet enorm wichtig, nicht
nur über aktuelle Entwicklungen und Innovationen informiert zu sein, sondern sie
auch mit zu gestalten. So ist RFID ein Thema, bei dem sich der Markt nicht sicher
ist, ob es nun flächendeckend eingesetzt werden sollte, oder doch nur für Nischenbereiche
wirtschaftlich ist. Dazu haben wir ein Gespräch mit Prof. Dr. Frank Gillert,
Experte für RFID geführt. Welche Zukunftsperspektiven er sieht und wie man
diese Technologie absichert, lesen Sie auf Seite 4.
Informationstechnik und ihre Sicherheit wird in vielen weiteren Bereichen immer
mehr zu einem entscheidenden Wettbewerbsfaktor. Wie zum Beispiel in unserem
Geschäftsfeld Automotive: Eine herausragende Rolle spielt die Entwicklung von
sicheren Lösungen, die unseren Kunden ganz neue Geschäftsmodelle eröffnen.
Ab Seite 10 lesen Sie, wie und warum.
Viel Spaß
Ihr Rainer Baumgart
INHALT
03
04
07
08
09
10
11
12
13
14
15
16
17
18
19
20
WestLB: Kerberos Single-Sign-On
verbindet Sicherheit mit Benutzerkomfort
Kommunizierende Gegenstände
sollen Prozesse optimieren
Mit gutem Beispiel vorangehen
Was ist eigentlich…
Der Täter kommt durch die Kamera
GPKE-Verordnung der Bundesnetzagentur
ganz einfach umgesetzt
Operation am offenen Hirn
EURO5-Norm fordert neue IT-Sicherheitsstrukturen
in der Automobilbranche
Neue Veranstaltungsreihe „IT Security on Board“
Österreich entscheidet sich für secunet
De-Mail – so einfach wie E-Mail, so sicher wie
Papierpost
EasyPASS – Pilotprojekt zur Automatisierung
der Grenzkontrolle
Ist das „e“ im ePass echt?
Sag mir, wo die Daten sind…
Dem Himmel so nah mit der SINA Virtual
Workstation
Satellitengestützte Kommunikation mit SINA
SINA Anwendertag 2009
Exklusiv für SINA Anwender:
das neue SINA Kundenportal
Neue Veranstaltungsreihe „Frühschicht“
Termine

WestLB: Kerberos Single Sign-On verbindet
Sicherheit mit Benutzerkomfort
On-System bietet hier die richtige
Lösung. Mit der Entscheidung
für Kerberos als zukunftssicheres
System führt die WestLB AG eine
Lösung ein, die über ein standardisiertes
Protokoll verfügt und
die von vielen Betriebssystemen
(u. a. Windows sowie zahlreichen
UNIX-Derivaten) und Applikationen
unterstützt wird.
Die Lösung arbeitet über ein
Ticket-System, das quasi wie
eine Eintrittskarte funktioniert.
Diese erhält man, wenn man sich
an seinem PC anmeldet. Mit dem
Ticket geht man nun zu einem
zentralen Verzeichnisdienst und
lässt sich eine Service-Karte aushändigen,
mit der man sich an
der gewünschten Applikation
ausweist – ohne erneut Passwort
oder PIN eingeben zu müssen.
Die Sicherheit wird dabei über
starke kryptographische Verfahren
gewährleistet. Natürlich läuft
dieser Prozess für den Nutzer
unbemerkt im Hintergrund ab.
Business Security
Zukunftssichere Lösung integriert Identity Management unter UNIX und
Windows
Fortsetzung von Seite 1
Die in den USA entwickelte Technologie
Kerberos wurde mit
Unterstützung von secunet bei
der WestLB AG im UNIX-Umfeld
implementiert.
Das gesamte Projekt umfasste
verschiedene Teilbereiche. Wichtige
Aspekte waren die Zentralisierung
des User Managements
der UNIX-Systeme und der
Aufbau der Single Sign-On-
Infrastruktur. Das Ziel: die zentral
gesteuerte, standardisierte
Implementierung der Identity
Management Policy auf den
Systemen. Dabei haben die Verantwortlichen
der WestLB AG
großen Wert auf den Einsatz
einer zukunftssicheren Technologie
gelegt.
Durch ein verteiltes User
Management ergibt sich stets ein
erhöhtes Risiko für das Auftreten
von verwaisten Accounts. Nun
erfolgt die Administration der
Benutzeridentitäten zentral über
das etablierte Active Directory, in
dem bereits die Windows-
Accounts der Anwender verwaltet
werden. So können Nutzer
schneller und flexibler eingerichtet,
mit Rechten ausgestattet,
gesperrt oder gelöscht werden.
Des Weiteren kann mit der neuen
Lösung eine Trennung von User
Management und UNIX-System-
Administration realisiert werden.
Single Sign-On mit Kerberos
Hauptbestandteil des Projekts
war die Einrichtung eines
geschützten und unkomplizierten
Zugriffs für weit über 1.000 Bankmitarbeiter
aus Fach- und IT-
Bereichen auf UNIX-basierte
Applikationen. Ein Single Sign-
Ein weiterer Vorteil der Lösung:
Die Authentisierung im Netzwerk
erfolgt verschlüsselt. Damit gehört
die Übertragung von Passwörtern
im Klartext der Vergangenheit
an. Und glücklicherweise
ist die technische Variante von
Kerberos nicht mit Honigkuchen
bestechlich wie das Original.
Der Aufbau einer Single Sign-On-Infrastruktur unterstützt die Sicherheitsrichtlinien der WestLB AG.
www.secunet.com 3

Dr. Frank Gillert
4
Business Security
Kommunizierende Gegenstände sollen Prozesse
optimieren
Expertengespräch zum Thema RFID und das Internet der Dinge
Dr. Frank Gillert hat Maschinenbau
an der Technischen Universität
Dortmund studiert. Nach
seiner Zeit als wissenschaftlicher
Mitarbeiter am Institut
für Distributions- und Handelslogistik
(IDH) war er in unterschiedlichenManagementfunktionen
in der Industrie tätig. Seit
2005 ist er Inhaber der Unternehmensberatung
UbiConsult in
Berlin. Im Dezember 2008 nahm
er einen Ruf an die Technische
Fachhochschule Wildau im Fach-
Große Handelskonzerne wie Walmart
und Metro haben bereits vor
einigen Jahren angekündigt, die
Logistik-Kette und den Bezahlprozess
durch den Einsatz von
RFID revolutionieren zu wollen.
Doch was verbirgt sich hinter dieser
Technologie und dem Begriff
„Internet der Dinge“? Welche
Chancen und Risiken bietet es
für die Optimierung von Geschäftsprozessen?
secuview hat
nachgefragt bei Dr. Frank Gillert,
Inhaber von UbiConsult, und
Thomas Koelzer, Vorstand von
secunet.
secuview: Was bedeuten die
Begriffe „RFID“ und das „Internet
der Dinge“?
Gillert: RFID ist die Abkürzung
für Radio Frequenz Identifikation.
Dahinter verbirgt sich eine Wireless-Technologie
zur Übertragung
von Daten, ähnlich wie
Bluetooth oder WLAN. Der
Unterschied ist nur die geringere
Reichweite.
Das Internet der Dinge bezeichnet
die intelligente Kommunika-
gebiet Logistikmanagement/
Logistikcontrolling an.
Dr. Frank Gillert ist Autor
und Ko-Autor von Veröffentlichungen
zum Thema RFID
und Sicherheit wie z. B. RFID
für die Optimierung von
Geschäftsprozessen (Hanser
2007) und ist Mitglied in
diversen Gremien und Fachbeiräten
wie BITKOM, Omnicard,
Cebit AutoID Forum
und EuroID.
tion zwischen Objekten durch
Übertragungstechnologien wie
RFID – ohne eine explizite Veranlassung
durch den Menschen.
Das bekannteste Beispiel ist der
automatische Supermarkt: Beim
Passieren einer Barriere kommunizieren
die RFID-Tags an der
Lebensmittelverpackung mit der
Kasse, ohne dass der Kunde die
Ware auf ein Band legen oder
über einen Scanner ziehen muss.
Das Internet der Dinge bezeichnet
also eine hoch automatisierte,
medienbruchfreie Kommunikation
zwischen Gegenständen.
Koelzer: RFID kennen wir in der
Praxis vom elektronischen Reisepass:
Der Abgleich der biometrischen
Daten im Dokument mit
denen des Reisenden erfolgt an
der Grenze über genau diese
Technologie. Solche sicheren
Workflows werden künftig auch
bei Objekten und Gebrauchsgegenstände
etabliert werden.
secuview: Wie weit ist die
Technik denn heute schon mit
dem Einsatz von RFID bei
Objekten?
Thomas Koelzer
Vorstand secunet
Gillert: Zum Teil entwickelt sich
das Internet der Dinge bereits um
uns herum, ohne dass es uns
bewusst ist. Handys synchronisieren
sich automatisch mit dem
PC auch ohne explizite menschliche
Veranlassung. Die Geräte
besitzen eine gewisse Intelligenz
und können bestimmte Prozesse
antizipieren. Das genannte Supermarkt-Szenario
ist allerdings tatsächlich
noch weit entfernt.
secuview: Welche Geschäftsmodelle
sind denn realistischer?
Gillert: Es gibt konkrete Szenarien,
die nichts mit einem Volumenmarkt
wie dem Handel zu
tun haben. Ein Beispiel ist die
Luftfahrt. Hier entsteht jährlich
ein Schaden von etwa zwei
Milliarden Euro, weil falsche
Ersatzteile geliefert werden.
Wenn man hier durch den Einsatz
von RFID Fälschungen und Fehler
vermeiden kann, wäre das ein
großer Schritt nach vorne.
Koelzer: Das gleiche gilt für
Bereiche wie Lifecycle-Manage-

ment, Anlagenbau oder die Logistik
von hochwertigen Gütern. Die
Einsparpotenziale sind hier enorm.
secuview: Die Idee von RFID ist
ja nicht neu. Seit über zehn
Jahren diskutieren Experten
über Einsatzmöglichkeiten.
Warum ist in dieser langen Zeit
so wenig passiert? Wie es
scheint, gibt es ja offensichtlich
interessante Geschäftsmodelle?
Gillert: Es wird nach einer
großen, globalen Lösung
gesucht, nach der berühmten
„eierlegenden Wollmilchsau“,
wenn Sie so
wollen. Der RFID-Tag
muss einen großen Speicher
für die Dokumentation
haben, eine große
Reichweite abdecken
können und über ein
Sicherheitssystem für die
Authentifizierung verfügen.
Dazu kommen spezielle physikalische
Anforderungen. Dieser
Anspruch steht der Realisierung
häufig im Weg: Anstatt zunächst
dorthin zu schauen, wo es
bereits funktionierende Lösungen
gibt, wird der globale Ansatz
gewählt.
Koelzer: Ein Lifecycle-Management,
zum Beispiel von hochwertigen
medizinischen Verbrauchsmaterialien,
bedarf keiner
globalen Standardisierung, wie
es im Luftverkehr der Fall ist. Hier
sollte die Industrie anfangen und
im Kleinen eine Lösung erarbeiten.
Funktioniert sie dort, kann
sie später auf globale Prozesse
ausgeweitet werden.
secuview: Kommen wir auf das
Thema Sicherheit zu sprechen:
Welche Sicherheit ist für RFID
notwendig?
Gillert: Das hängt ganz vom Einsatzgebiet
und dem Wert der
Waren ab. Wir sind uns sicher
einig: ein Joghurtbecher hat keinen
Sicherheitsbedarf. In der
Luftfahrt sieht das natürlich
schon ganz anders aus. Hier geht
es um Menschenleben und Millionenbeträge,
so dass Sicherheit
als Thema deutlich relevanter
wird. Konkret bedeutet das: wir
Business Security
müssen sicherstellen, dass nur
Originalteile verwendet werden.
Koelzer: Wichtig ist, dass das
Thema Sicherheit von Anfang an
berücksichtigt werden muss.
Man kann nicht zuerst den
Geschäftsprozess festlegen, eine
RFID-Lösung konzipieren und
sich dann fragen, ob man noch
zusätzliche Sicherheit benötigt.
Fortsetzung nächste Seite
www.secunet.com 5

6
Business Security
Fortsetzung von Seite 5
Allgemein gesagt gilt bei RFIDgestützten
Prozessen zwischen
Objekten der gleiche Grundsatz
wie bei elektronischen Geschäftsprozessen
zwischen Menschen:
Haben sie eine gewisse
Werthaltigkeit, weil zum Beispiel
eine geldwerte Transaktion stattfindet,
besteht auch ein Angriffspotenzial
und somit die Notwendigkeit,
für die Sicherheit Sorge
zu tragen.
secuview: Gibt es hier bereits
Ansätze, wie eine Sicherheitslösung
für RFID technisch aussehen
kann?
Gillert: Es gibt einen RFID-Chip,
der ein asymmetrisches Verfahren
verwendet, ähnlich einer
Public-Key-Infrastruktur. So können
sich Objekte gegenseitig
sicher authentifizieren. Ganz
wichtig bei einer Lösung ist die
Praktikabilität: die Authentifizierung
muss auf einfachstem Wege
erfolgen, ohne zusätzliche Geräte.
Wir brauchen also einfache,
standardisierte Infrastrukturen,
damit die Geschäftsmodelle realisierbar
werden.
secuview: Standards ist ein
gutes Stichwort. Wie weit sind
entsprechende Gremien hier?
Gillert: Das Bundesamt für
Sicherheit in der Informationstechnik
(BSI) hat bereits technische
Richtlinien verfasst. Bisher
zielten diese auf den Einsatz von
«
Den Joghurtbecher, der mit dem
Kühlschrank kommuniziert, werden wir in
den nächsten zehn erleben.«
Jahren nicht
RFID in elektronischen Pässen
ab, also auf die Personenidentifikation.
Zurzeit wird aber an
einer Richtlinie für RFID in der
Logistik gearbeitet. Es ist klar,
dass man nicht alle Anwendungen
sofort mit einer technischen
Richtlinie erschlagen kann. So
etwas muss praxisnah entstehen
und das BSI ist auf einem guten
Weg. Insbesondere für Nicht-
Sicherheitsexperten sind Richtlinien
und Checklisten eine große
Hilfe bei der Entwicklung von
sicheren RFID-Lösungen.
secuview: Last but not least:
Was ist Ihre Einschätzung zur
Perspektive von RFID? Mit welchen
RFID-Technologien müssen
wir rechnen und was ist
eher doch noch Vision?
Gillert: Ich persönlich denke, den
Joghurtbecher, der mit dem
Kühlschrank kommuniziert, werden
wir in den nächsten zehn
Jahren nicht erleben. Aber bei
hochwertigen Textilien wird der
Einsatz von RFID schon früher
Realität. Und dann nicht nur auf
der Verpackung für die Logistik,
sondern am Objekt selbst. In den
nächsten ein bis zwei Jahren
sehe ich eher die Nischenbereiche,
wie die angesprochenen
Beispiele Anlagenbau und Luftfahrt.
In der Pharma-Industrie
wird das Thema auch schon jetzt
stark verfolgt, um die Supply-
Chain zuverlässig überprüfen zu
können. Wichtig ist, dass es ein
ganzheitliches Sicherheitssystem
gibt, eine funktionierende Infrastruktur
und eine einfache
Auswertbarkeit der Daten. Im
Moment ist die Schwelle noch
sehr hoch, RFID in der Praxis einzusetzen,
weil das Verständnis
fehlt und die Wirtschaftlichkeit
noch nicht nachgewiesen ist.
Aber wir sind dabei, das zu
ändern.

Mit gutem Beispiel vorangehen
heit eine besondere Beachtung
geschenkt werden“, betont
Carsten Borkus, Bereichsleiter
Interne EDV bei secunet. „Und als
IT-Sicherheitsunternehmen gehen
wir mit gutem Beispiel voran. Insbesondere,
da wir noch öfter als
andere Firmen das Ziel von
Angriffsversuchen sind. Deshalb
haben wir uns für den Einsatz
einer Web Application Firewall
entschieden, um so die persönlichen
Daten unserer Bewerber
entsprechend zu schützen.“
Die mitgelieferten Sicherheitsfunktionen
von Portal-Software
sind für professionelle Angreifer
leicht zu umgehen. Auch eine
übliche Firewall kann keinen
umfassenden Schutz bieten, da
sie nur den Verkehrsfluss,
nicht aber die Inhalte
überwacht. Daher
war die Entscheidung
für eine
spezielle Firewall,
ausgerichtet auf
die Absicherung
von Web-Applikationen
für secunet selbstverständlich.
Die Integration
des Schutzsystems war dank
Business Security
secunet sichert eigenes Karriere-Portal mit Web Application Firewall (WAF)
“Der Schuster hat immer die
schlechtesten Schuhe!” Dieses
Sprichwort hatte schon Gültigkeit,
als die Begriffe IT, Computer
und Internet noch gar nicht existierten.
In der heutigen Zeit
müsste man sich demnach fragen:
Braucht die Unternehmensberatung
selbst unternehmerische
Beratung? Hat der Anbieter
für Archivierungssoftware seine
Dokumente ordentlich archiviert?
Und sind die vertraulichen Daten
eines IT-Sicherheitsunternehmens
wirklich sicher?
secunet ist sich der Verantwortung
bewusst und setzt daher
auf das eigene, bewährte
Know-how: Die Standorte des
Unternehmens sind über die
Hochsicherheitslösung SINA vernetzt.
Und auch bei neuen Kommunikationswegen
wird Sicherheit
ganz groß geschrieben: Das
neue secunet Karriere-Portal
wird mit einer Web Application
Firewall zuverlässig vor unbefugten
Zugriffen geschützt.
„Überall da, wo Personen ihre vertraulichen
Daten in einem Portal
hochladen, muss der Sicher-
Was ist eigentlich...
flexibler Schnittstellen unproblematisch.
Innerhalb eines Tages
wurde die Web Application Firewall
installiert, die nun einen
umfassenden Schutz für die sensiblen
Daten der Bewerber bietet.
…eine Web Application Firewall?
www.secunet.com 7
Mehr
Information
von
Uwe Demsky
Telefon: +49-201-54 54-20 42
uwe.demsky@secunet.com
Eine Web Application Firewall ist der Türwächter für Ihr Web-Portal.
Er bestimmt, wer das Portal betreten darf. Entscheidungsgrundlage
ist dabei ein Buch voller Vorschriften, das er sich vorher durch die
Beobachtung von erlaubtem und unerlaubtem Verhalten zusammenstellt.
Wer sich nicht an diese Vorschriften hält, darf nicht hinein. Der
Türwächter steht vor dem Portal, so dass die eigentliche Anwendung
nicht an seine Bedürfnisse angepasst werden muss. Im Gegenteil:
Er ist so pflegeleicht und flexibel, dass er jedes beliebige Portal ohne
großen Lernaufwand bewachen kann.

Schwachstelle Kamera-LAN
Mehr
Information
von
Dirk Reimers
Telefon: +49-201-54 54-20 23
dirk.reimers@secunet.com
8
Business Security
Der Täter kommt durch die Kamera
Penetrationstests decken unbekannte Schwachstellen in Unternehmensnetzwerken
auf
„Wir überwachen derzeit unsere
Außentüren mittels IP-Kameras.
Ein Mitarbeiter kann diese Bilder
über unser Netzwerk ansehen
und auswerten. Wie könnte ein
externer Angreifer dies nutzen, um
an interne Daten zu gelangen?“
In etwa so wurde secunet von
einem langjährigen Kunden beauftragt,
die Anbindung seiner
Kameras an das interne LAN auf
Schwachstellen zu überprüfen.
Als einzige Information stellte das
Unternehmen, das nicht genannt
werden möchte, ein Ethernet-
Kabel mit dem Zugang zum
Kamera-LAN bereit – eine realistische
Ausgangslage für Angreifer
von innen und außen.
Bereits zu Beginn der Analyse
entpuppte sich die angeblich
„aufwändige Trennung“ des Ka-
mera-LANs vom internen Netzwerk
als simpel: ein Switch und
die Nutzung unterschiedlicher IP-
Adressbereiche sollten den nötigen
Schutz bieten. Dass dies
eine Fehleinschätzung war, zeigte
sich schnell: Der secunet-
Experte schloss einen Laptop an
das Ethernet-Kabel des Kamera-
LANs und erhielt sofort eine IP-
Adresse mit direktem Zugang
zum internen Unternehmensnetzwerk
– und somit auf alle vertraulichen
Daten.
Doch auch die Kameras selbst
wurden durch das Eindringen des
Spezialisten angreifbar: Mit
gefälschten IP-Paketen konnte er
sie problemlos deaktivieren. Die
Überwachung wurde ohne weitere
Warnmeldungen beendet, so dass
Einbrecher das Gebäude unbemerkt
hätten betreten können.
Kleine Schwachstellen
mit großen Folgen
Dieses reale Beispiel zeigt, dass
vermeintlich kleine Schwachstellen
das gesamte Unternehmensnetzwerk
bis hin zum Unternehmen
selbst gefährden können.
Erfahrungswerten nach erlauben
elf von 100 internen Systemen
einem Angreifer direkten oder
indirekten Zugriff. „Häufig wird
dabei nicht bedacht, dass nach
einem erfolgreichen Angriff auf
ein System auch bisher sichere
Systeme verwundbar werden, da
administrative Benutzer und
deren Passwörter ausgelesen
werden können”, gibt Dirk Reimers,
Sicherheitsspezialist von
secunet, zu bedenken.
Schutz vor unerlaubten Zugriffen
auf das Unternehmensnetzwerk
bietet eine umfassende Sicherheitsanalyse,
mit der alle
Schwachstellen identifiziert und
anschließend beseitigt werden.
Die Zugänge können dabei ganz
unterschiedlich aussehen: Das
Kamera-System ist ein außergewöhnliches
Beispiel; oft erhalten
die secunet-Experten nur die
Visitenkarte eines Mitarbeiters
oder einen Log-In-Namen. Mit
verschiedenen Tools und Tricks
verschaffen sie sich so Zugang
zu vertraulichen Unternehmensdaten.
Auf dem gleichen Weg
gelangen auch reelle Angreifer in
das Netzwerk. Dieses Risiko ist
vielen Geschäftsführern gar nicht
bewusst.
Übrigens: Der Auftraggeber hat
die Kopplung des Kamera-LANs
mit dem internen Netzwerk direkt
nach dem Test unterbrochen.

Business Security
GPKE-Verordnung der Bundesnetzagentur ganz
einfach umgesetzt
Die Stadtwerke Bonn setzen auf Komplettlösung von secunet
Jörg Thomas, IT Administrator
bei den Stadtwerken Bonn:
„Die Bundesnetzagentur verpflichtete
2008 alle Energieversorger
bundesweit dazu, den
elektronischen Rechnungsversand
mit digitaler Signatur einzuführen.
Zusätzlich haben wir mit
einigen Geschäftspartnern
vereinbart,
die elektronischen
Rechnungen verschlüsselt
zu übertragen. Wir
brauchten also eine Komplettlösung
von einem Anbieter, der
gemeinsam mit uns die Umstellung
reibungslos durchführen
konnte.
Als einziges Unternehmen bot
secunet uns diese Gesamtlösung
an: Qualifizierte Signatur, Verschlüsselung
und Projektleitung
aus einer Hand und mit einem
Ansprechpartner, der sich um
alles gekümmert hat. Wir signieren
unsere Rechungen nun durch
die Lösung secunet multisign
und verschlüsseln sie direkt im
Anschluss mit einem System
von Zertificon, einem Partner
von secunet. Die IT-Experten
des Unternehmens
haben uns viele
Aufgaben abgenommen:
von der
Installation, über die Schnittstellen
zur Verschlüsselungslösung
bis hin zur Inbetriebnahme. Und
das Beste daran ist, dass die
Lösung bereits nach zwei Tagen
vollständig installiert war und wir
sofort unsere Rechnungen elektronisch
signieren und versenden
konnten. Signieren können wir
jetzt bereits hochverfügbar; in
Zukunft folgt auch die Verifizie-
GPKE und GeLi: Stichtag 1. Oktober 2010
Die Bundesnetzagentur hat im
Zuge der Liberalisierung des Energiehandels
die IT der Energieversorger
vor neue Aufgaben gestellt.
Insbesondere die Festlegung
verbindlicher Geschäftsprozesse
(GPKE, GeLi) zur Geschäftpartneranbindung
stellt neue Anforderungen
an die Integrität und Vertraulichkeit
bei der Marktkommunikation.
Die Bundesnetzagentur
hat die Frist zur Umsetzung auf
den 1.10. 2010 verlängert. Neben
der verschlüsselten Nachrichten-
übermittlung inklusive Transportsignatur
sind beim Austausch der
Netzentgelte (Invoic) die Anforderungen
des Umsatzsteuergesetzes
(UStG) zu beachten. Qualifizierte
Signaturen ermöglichen dem
Rechnungsempfänger die gesetzlich
geforderten Nachweise für die
Rechnungsdaten – die „Echtheit
der Herkunft“ und „Unversehrtheit
des Inhalts“ – zu erbringen und
sichern so die Vorsteuerabzugsfähigkeit
auch beim elektronischen
Datenaustausch.
rung mit Hochverfügbarkeit. So
ist garantiert, dass unsere Tagesgeschäfte
auch elektronisch
ungestört weiterlaufen, also alle
Rechnungen, die wir digital versenden
und erhalten, bearbeitet
werden können – selbst, wenn
mal ein Proxy ausfällt.“
www.secunet.com 9
Mehr
Information
von
Roland Krüger
Telefon: +49-201-54 54-20 52
roland.krueger@secunet.com

Zukünftig benötigt der Chirurg
dank der Remote-Wartung nicht
einmal mehr den Patienten vor
Ort im OP-Saal.
Mehr
Information
von
Dr. Marc Lindlbauer
Telefon: +49-201-54 54-25 01
marc.lindlbauer@secunet.com
10
Automotive
Operation am offenen Hirn
Dank der Advanced Backend Security-Lösung verläuft alles ohne Risiken
Fortsetzung von Seite 1
Um Fahrzeugfunktionen freizuschalten,
Fehlermeldungen nachzugehen
oder Steuergeräte mit
neuer Software zu versehen, führen
Werkstätten und Hersteller
gewissermaßen Operationen am
offenen Gehirn durch. Der Kfz-
Meister wird zum Chirurgen.
Zukünftig benötigt er dank der
Remote-Wartung nicht einmal
mehr den Patienten vor Ort im
OP-Saal. Die Advanced Backend
Security-Lösung von secunet
sorgt dafür, dass dieser Fernzugriff
ohne Komplikationen verläuft.
Es existieren also Kommunikationswege
in das Fahrzeug, um im
Rahmen einer Online-Diagnose
Steuergeräteinformationen abzufragen
oder sogar zu verändern.
Je mehr Marktteilnehmer wie
zum Beispiel Werkstätten diese
Wege nutzen können, desto
angreifbarer und empfindlicher
werden sie für Manipulationen.
Motortuning ist nur ein Beispiel.
Damit es durch unbefugte Angriffe
nicht zu einer Gehirnwäsche
oder gar zum Gehirntod des
Fahrzeugs kommt, muss neben
den Steuergeräten das komplette
Kommunikationsnetz, an dem
die Chirurgen angebunden sind,
abgesichert werden.
secunet bietet mit der Advanced
Backend Security (ABSec) eine
Lösung für die Absicherung dieser
Kommunikationswege. Das
Herzstück von ABSec ist der so
genannte KeyCore. Er bietet Herstellern
kryptographische Dienste
an und übernimmt gleichzeitig
das Management des hierfür eingesetzten
Schlüsselmaterials.
ABSec ermöglicht dem Automobilhersteller,Sicherheitsmethoden
wie Authentisierung, Signierung
und Verschlüsselung – also
„all-in-one“ – vorzunehmen. Damit
wird sichergestellt, dass nur
der Gehirnspezialist persönlich
die OP vornehmen darf und nicht
der selbsternannte Schönheitschirurg.
ABSec wird auch den Ansprüchen
an eine kosteneffiziente
Lösung gerecht. Fahrzeughersteller,
die so genannten OEMs,
müssen nicht länger in eigene
Entwicklungen investieren. Durch
das lizenzbasierte System
ABSec können sie ihre Kosten
erheblich reduzieren. Das System
ist modular aufgebaut und
kann problemlos jeder Struktur
mit beliebig vielen Kommunikationspartnern
angepasst werden.
ABSec ist ein erprobtes Produkt,
das bereits erfolgreich bei OEMs
eingesetzt wird. Kinderkrankheiten
sind schon längst kuriert.

Automotive
EURO5-Norm fordert neue IT-Sicherheitsstrukturen
in der Automobilbranche
Die EURO5-Norm legt neben
Emissionswerten von Fahrzeugen
auch Zugriffsrechte für Werkstätten
fest. Somit soll freien
Werkstätten der Zugang zu Steuergeräteinformationen
der Automobilhersteller
ermöglicht werden.
Um sicher zu stellen, dass
nur autorisierte Werkstätten auf
diese Informationen zugreifen
können, plant die Europäische
Kommission eine zertifikatsbasierte
Authentisierung zu etablieren.
„Der Tachosmart, der digitale
Fahrtenschreiber, könnte als Vorbild
für eine technische Infra-
struktur dienen: Die Kommunikation
zwischen Werkstätten und
Fahrzeugherstellern würde demnach
mit einer europaweiten
Public-Key-Infrastruktur abgesichert
werden, in der Zertifikate
hinterlegt sind“, so Dr. Marc
Lindlbauer, Leiter Online Security
Automotive bei secunet. „Die
zertifikatsbasierten Abläufe könnten
ähnlich aussehen wie bei
ELSTER, der Elektronischen
Steuerklärung, an deren Umsetzung
secunet maßgeblich mitgewirkt
hat. Eine freie Werkstatt
müsste sich nach diesem Modell
registrieren, um ein Zertifikat zu
erhalten. Dieses sendet sie dann
an den Hersteller, um die relevanten
Informationen über das Fahrzeug
zu erhalten. Das ist nur eine
mögliche Absicherung, die wir
als Sicherheitsexperten sehen.
Wie die Lösung letztendlich
genau aussehen wird, ist noch in
der Diskussion.“
Hersteller- und Werkstättenverbände
diskutieren derzeit über
die Umsetzung der IT-Sicherheitsanforderungen
aus der
EURO5-Norm in Brüssel. Zum
Thema Sicherheit tagt in diesem
Rahmen eine eigenständige
Arbeitsgruppe.
Neue Veranstaltungsreihe „IT Security on Board“
Stellvertreter deutscher Automobilhersteller trafen sich in München, um
gemeinsam mit secunet über das sicher vernetzte Fahrzeug zu diskutieren
„Car2Car-Kommunikation“, „das
vernetzte Auto“, „Fernwartung“
– gewaltige Schlagwörter, mit
denen sich Automobilhersteller
momentan intensiv auseinandersetzen.
Bei diesen Themen
darf die IT-Sicherheit nicht fehlen.
Doch wie viel Sicherheit
wird tatsächlich benötigt? Und
was genau muss geschützt werden?
Um diese Fragen zu diskutieren,
hat secunet die neue Veranstaltungsreihe
„IT Security on
Board“ ins Leben gerufen. Herstellerübergreifend
werden hier
nicht nur aktuelle, sondern insbesondere
zukünftige IT-Sicherheitsthemen
der Automobilbranche
diskutiert.
Der Workshop richtet sich an
Abteilungsleiter der Automobilbranche,
die sich mit der
IT-Sicherheit im Fahrzeug befassen.
Wenn Sie sich angesprochen
fühlen und Interesse
an dem Workshop haben,
senden Sie uns eine E-Mail
an automotive@secunet.com.
Der nächste Termin findet
am 20. November in München
statt.
www.secunet.com 11
Mehr
Information
unter
Bei Interesse am Workshop
senden Sie uns eine E-Mail an:
automotive@secunet.com

Mehr
Information
unter
Die technische Richtlinie
finden sie unter:
http://www.bsi.bund.de/literat
/tr/tr03121/index.htm.
12
Government
Österreich entscheidet sich für secunet
secunet biomiddle wird Kernstück der biometrischen Erfassungssysteme in
allen österreichischen Botschaften
Neben dem elektronischen
Reisepass werden in Zukunft
auch Personalausweis, Aufenthaltstitel
und Visum biometrische
Merkmale enthalten.
Diese Neuerung hat
nicht nur Auswirkungen auf
die Dokumente selbst. Auch
für die hoheitlichen Anwendungen
zum Beispiel im Kontext
der Erfassung und Verarbeitung
biometrischer Daten
ergeben sich neue Anforderungen
und Empfehlungen.
Um in dieser heterogenen
Struktur interoperable und
leistungsfähige Systeme zu
gewährleisten, müssen einheitliche
Standards geschaffen
werden. Diese erstrecken
sich von der Qualität der
Fortsetzung von Seite 1
Hintergrund ist die neue
Verordnung der Europäischen
Union: Hiernach
sind alle Mitgliedsstaaten
aufgefordert, ihre Auslandsvertretungen
auf eine
zentrale Datenbank technisch
auszurichten. Das bedeutet:
Sie müssen biometrische
Merkmale aufzeichnen und
mit der zentralen EU-Datenbank
abgleichen können.
secunet hatte sich zuvor in dem
Ausschrei bungsverfahren gegen
internationalen Wettbewerb durchgesetzt.
Kernstück der Gesamtlösung
ist secunet biomiddle. Die
BSI veröffentlicht neue technische Richtlinie
„Biometrie in hoheitlichen Anwendungen (BSI TR-03121)“
erfassten Merkmale – hierunter
fallen zum Beispiel Erfassungshardware
und verarbeitende
Software – über die Software-
Architektur bis hin zu Schnittstellendefinitionen.
Somit wäre
auch die Kompatibilität und
Austauschbarkeit von Komponenten
sichergestellt, ein wichtiger
Aspekt im hochdynamischen
Markt biometrischer
Technologien.
Das BSI hat mit Unterstützung
von secunet die neue technische
Richtlinie „Biometrie in
hoheitlichen Anwendungen (BSI
TR-03121)“ erarbeitet. Diese
enthält Vorgaben und Empfehlungen
für verschiedene Anwendungsszenarien
unter Berück-
standardorientierte Middleware
ermöglicht den flexiblen Einsatz
von biometrischen Systemkomponenten
und Ausweislesegeräten.
secunet liefert für alle Auslandsvertretungen
sowohl Applikationen
zum Aufnehmen der
Antragsdaten und biometrischen
Merkmale als auch Hardware,
wie beispielsweise Fingerabdruckscanner.
Die Lösung befindet sich seit
Anfang Juni in ausgewählten
Botschaften in der Pilotphase.
Der produktive Start der Systeme
beginnt für alle Mitgliedsstaaten
Anfang 2010 in der Region Nordafrika.
sichtigung aller wichtigen
nationalen, internationalen
und europäischen Richtlinien.
Dies ist eine Hilfestellung
für Behörden, die mit der
Ausgabe hoheitlicher Dokumente
bzw. später mit der
Grenzkontrolle betraut werden.
Andererseits definiert
die technische Richtlinie
auch konkrete Anforderungen
an die Hard- und Software
nach Interoperabilität,
Erweiterbarkeit und Wiederverwendbarkeit.
Die Konformität
von einzelnen Komponenten
mit der Richtlinie
können sich Hersteller durch
BSI-Zertifizierung bestätigen
lassen.

De-Mail – so einfach wie E-Mail, so sicher wie
Papierpost
Interview mit Dr. Heike Stach, Projektleiterin De-Mail,
Bundesministerium des Innern
Dr. Heike Stach
In wenigen Wochen startet ein
neues rechtsverbindliches E-
Mail-Systems namens De-Mail
in einem Pilotbetrieb. Wir haben
mit der Projektleiterin Dr. Heike
Stach über den aktuellen Stand
der Dinge gesprochen.
Für alle, die die Diskussion bisher
nicht so intensiv verfolgt
haben: Können Sie bitte
zunächst kurz zusammenfassen,
was das Ziel von De-Mail
ist und wie der Dienst funktioniert?
Ein wesentliches Ziel von De-Mail
ist die Schaffung eines geschützten
Kommunikationsraumes im
Internet. Das Versenden und
Empfangen von Nachrichten und
Dokumenten soll so schnell und
einfach möglich sein wie per E-
Mail und so sicher, vertraulich und
verbindlich wie per Papierpost.
Die Kommunikation erfolgt über
verbindliche elektronische Adressen;
hinter allen De-Mail-Adres-
sen stehen sicher identifizierte
Kommunikationspartner. Die
Adressen und damit verbundenen
Dienste werden von verschiedenen
privatwirtschaftlichen Anbietern
zur Verfügung gestellt.
Was sind die besondere
Herausforderungen in diesem
Projekt?
Die wesentlichen Herausforderungen
und Meilensteine im Projekt
sind die Sicherstellung eines
hohen Niveaus an Sicherheit und
Datenschutz bei gleichzeitig einfacher
Nutzung und leichter Verständlichkeit
für Bürgerinnen und
Bürger, die Einführung eines einheitlichenAkkreditierungsverfahrens
für Provider und die rechtliche
Rahmengebung, das Bürgerportalgesetz.
Die zentrale Frage lautete: Wie
können wir ein angemessenes
Sicherheitsniveau für die verschiedenen
Anwendungsfälle
und Bedürfnisse auf Dauer
garantieren und das System
zugleich einfach nutzbar gestalten?
De-Mail bietet aus diesem
Grund Standardsicherheit und
ermöglicht, eine Nachricht in
secunet und De-Mail
Seit Beginn des BMI-Projektes
„Bürgerportale“ – heute
bekannt unter De-Mail – sind
secunet-Experten feste Mitglieder
des Projektteams. In
enger Zusammenarbeit mit
dem Bundesamt für Sicherheit
in der Informationstechnik
(BSI) hat secunet die
Government
Bezug auf Authentizität, Vertraulichkeit
und Verbindlichkeit zu
skalieren – der Nutzer kann also
einfach wählen, welches Sicherheitsniveau
er in seiner speziellen
Situation jeweils benötigt.
Bei der Anmeldung beispielsweise
werden neben Benutzername/Passwort-Verfahren
auch
Token-basierte Systeme eine
besonders verbindliche Kommunikation
sicherstellen. Abgesicherte
Verbindungen sowie
verschlüsselte Transportwege
sorgen hingegen standardmäßig
für einen sicheren De-Mail-
Versand und -Empfang.
Alle Unternehmen, die De-Mail-
Anbieter werden wollen, müssen
zuvor im Rahmen eines staatlichen
Akkreditierungsverfahrens
gegenüber dem BSI nachweisen,
dass sie die hohen Anforderungen
an Sicherheit und Datenschutz
erfüllen. In regelmäßigen
Abständen soll dies von unabhängigen
Prüfstellen verifiziert
werden. Die Sicherheits- und
Datenschutzmaßnahmen werden
dann zudem regelmäßig der aktuellen
Entwicklung angepasst.
Fortsetzung nächste Seite
grundlegende Konzeption von
De-Mail und den einzelnen
Diensten entworfen und bis zur
Technischen Richtlinie weiterentwickelt.
Auf deren Grundlage
wird die Zertifizierung und Akkreditierung
von Diensteanbietern
(Providern) erfolgen. Durch intensiven
Austausch mit potenziellen
www.secunet.com 13
Providern und Nutzern hat
secunet eine bedarfsorientierte
Lösung sichergestellt.
secunet bringt sein umfassendes
Projekt-Know-How
auch in den Projektpiloten
mit ein, der für Herbst 2009
geplant ist.

14
Government
Fortsetzung von Seite 13
Was sind die Vorteile für den
Nutzer? Oder anders gefragt:
Warum sollte man an De-Mail
teilnehmen?
Aus Sicht der Bürger ist zum Beispiel
erstmals eine Online-Korrespondenz
mit der öffentlichen
Verwaltung oder privatwirtschaftlichen
Unternehmen möglich –
dies spart Zeit, Wege und Geld
und ist rund um die Uhr möglich.
Einfacher und effektiver Schutz
von vertraulichen Nachrichten
und Dokumenten und ein hohes
Datenschutzniveau, die Vermeidung
von Spam, sowie die Möglichkeit
der einfachen Einbindung
in vorhandene E-Mail-Systeme
sind weitere Vorteile.
Für Unternehmen und die öffentliche
Verwaltung eröffnen sich
neue Möglichkeiten und Einspar-
potenziale. Medienbruchkosten
bei Ausdruck und Kuvertieren der
Briefpost entfallen, interne Prozesse
können künftig besser
durchgängig digital aufgesetzt
werden, eingehende Post kann –
in elektronischer Form – schneller
verteilt werden. Sicherlich: Erst
einmal muss eine IT-Infrastruktur
aufgebaut und die Organisation
angepasst werden. Da De-Mail in
die existierende E-Mail-Infrastruktur
integriert werden kann,
ist dieser Aufwand jedoch relativ
Die Bundespolizei testet eine
neue, biometriegestützte Grenzkontrolltechnologie:
Erstmalig in
Deutschland wird ein automatisierter
Abgleich des Gesichtsbildes
im elektronischen
Reisepass mit einer Live-Aufnahme
von dessen Inhaber erprobt.
Ziel ist die Beschleunigung und
Vereinfachung des Grenzkontrollprozesses.
EasyPASS wird
Erkenntnisse hinsichtlich der
Optimierung von Kontrollzeiten,
der Überwindungssicherheit,
Benutzerfreundlichkeit und Wirt-
gering und wird sich voraussichtlich
für die Unternehmen und
Verwaltung schnell rechnen.
Wie beurteilen Sie die Perspektive
für De-Mail?
Im Herbst wird die Pilotphase in
Friedrichshafen starten. Potenzielle
Anbieter sowie Banken und
Versicherungen, Unternehmen
vor Ort, die Stadt Friedrichshafen
sowie deren Bürgerinnen und
Bürger testen dabei die neue
Technik in realen Anwendungen.
Dabei können alle Beteiligten
erste Erfahrungen sammeln, die
zur Optimierung der Dienste
führen. Parallel dazu findet das
Gesetzgebungsverfahren statt.
Mit De-Mail kann Deutschland
international eine Vorreiterrolle in
der vertrauenswürdigen Internetkommunikation
einnehmen.
EasyPASS – Pilotprojekt zur Automatisierung der Grenzkontrolle
schaftlichkeit im Hinblick auf
die spätere Ausdehnung auf
weitere Flughäfen liefern. Projektpartner
sind das Bundesamt
für Sicherheit in der Informationstechnik,
L-1 Identity
Solutions und secunet. Der
Start ist für die zweite Jahreshälfte
am Flughafen Frankfurt/Main
geplant.
Mehr Informationen zu Easy-
PASS erhalten Sie in der
nächsten secuview-Ausgabe.

Ist das „e“ im ePass echt?
Government
Deutschland bei der Anbindung zum weltweiten Verzeichnisdienst ganz vorn
dabei
Bereits heute kann verhindert
werden, dass jemand mit einem
„Demopass“ aus dem Land Utopia
die Grenze passiert. Mit elektronischen
Zertifikaten, die jedes
Land individuell ausstellt, wird
bei der Grenzkontrolle die Echtheit
von elektronischen Reisepässen
überprüft. Das Bundesministerium
des Innern (BMI) hat
sich für die Teilnahme an dem
zentralen Datenregister der InternationalenZivilluftfahrtorganisation
ICAO entschieden. Dieses
Register stellt die Zertifikate aller
teilnehmenden Nationen weltweit
zur Verfügung. Infolgedessen hat
das Bundesamt für Sicherheit in
der Informationstechnik (BSI) mit
Unterstützung von secunet einen
nationalen Verzeichnisdienst als
Kommunikationsschnittstelle aufgebaut
und sorgt so dafür, dass
Deutschland beim Einsatz moderner
Technologien erneut die
Nase ganz weit vorn hat.
Was leistet der nationale
Verzeichnisdienst?
Biometrische Daten in Reisepässen
werden zum Schutz vor
Manipulation und Fälschung
elektronisch signiert. Dies erfolgt
durch die Pass ausgebende Stelle
des jeweiligen Staates, in
Deutschland ist dies die Bundesdruckerei.
Soll die Echtheit des
hoheitlichen Dokuments überprüft
werden, so muss man im
Besitz entsprechender Zertifikate
sein, die jeder Staat regelmäßig
ausstellt.
Grundsätzlich kann man bereits
heute die Echtheit der Daten mit
Hilfe der Zertifikate überprüfen.
Dazu muss sich jede Nation von
allen anderen Staaten die Zertifikatsinformationen
beschaffen.
Dies geschieht bisher auf diplomatischem
Wege, mit hohem
zeitlichen Aufwand und dem Risiko
in der Aktualität der Daten.
ICAO-PKD ist
die zentrale Lösung
Mit dem Public Key Directory
(PKD) stellt die ICAO eine Plattform
für den Austausch von Zertifikaten
zur Verfügung. Alle teilnehmenden
Staaten übermitteln
ihre eigenen Zertifikatsdaten und
Sperrlisten an diesen weltweiten
zentralen Verzeichnisdienst und
können gleichzeitig die Daten
anderer Staaten abrufen. Um an
diesem übergeordneten Verzeichnis,
dem ICAO-PKD, optimal
teilnehmen zu können, bietet
es sich für einen Staat an, einen
eigenen nationalen Verzeichnisdienst
aufzubauen. Und genau
das ist geschehen:
Das BSI wird für Deutschland
einen nationalen Verzeichnisdienst
bereitstellen. Dieser ist
das Bindeglied zwischen dem
zentralen Register der ICAO und
den nationalen Grenzkontrollen.
Die technischen Arbeiten zur
Anbindung an das ICAO-PKD
wurden nunmehr abgeschlossen,
so dass mit dem Laden der Echtdaten
in das PKD begonnen werden
konnte.
Unterstützt wird das BSI in diesem
Projekt von den secunet-
Experten, die mit der Konzeption
und Entwicklung der erforderlichen
Schnittstellensoftware betraut
sind.
Der nationale Verzeichnisdienst ist
ein weiterer Schritt in Richtung
„erhöhte Sicherheit bei der Reisepass-Prüfung“,
da insbesondere
die Bundespolizei die erforderlichen
Zertifikate und Sperrlisten
stets aktuell und in Kurzzeit zur
Verfügung gestellt bekommt. Mit
diesem neuen Verfahren wird vor
allem ein wesentlicher Grundstein
für eine spätere Automatisierung
der Grenzkontrolle gelegt.
www.secunet.com 15
Das zentrale Register der
ICAO stellt die Zertifikate für
elektronische Ausweisdokumente
aller teilnehmenden Nationen
weltweit zur Verfügung.
Mehr
Information
von
Marco Breitenstein
Telefon: +49-201-54 54-30 19
marco.breitenstein@secunet.com

Mehr
Information
von
Heinz-Günter Nähring
Telefon: +49-201-54 54-30 24
guenter.naehring@secunet.com
Rudolf Schöngarth
Telefon: +49-201-54 54-30 23
rudolf.schoengarth@secunet.com
Mehr
Information
unter
Das Hochverfügbarkeitskompendium
können Sie hier
kostenfrei herunterladen:
http://www.bsi.de/fachthem/
hochverfuegbarkeit/
hvkompendium.htm
16
Government
Sag mir wo die Daten sind…
BSI veröffentlicht Hochverfügbarkeitskompendium für Unternehmen und
Behörden
Welche Konsequenzen hätte es,
wenn Online-Plattformen wie
Amazon oder Ebay nur eine
Stunde nicht erreichbar wären?
Wenn der Kundenberater die
Wertpapierorder für seine Kunden
wegen eines Systemausfalls
nicht taggleich vornehmen kann?
Wenn der Börsenhändler seine
Wertpapiere wegen einer Verzögerung
im System nicht in Realtime
handeln kann?
In einer kürzlich durchgeführten
Befragung bezifferten Mitarbeiter
die Abhängigkeit von der IT für
die Verrichtung ihrer Aufgaben
mit annähernd 100%. Wo ein
System zusammenbricht, ist
heute also schnell die Geschäftsfähigkeit
grundsätzlich in Frage
gestellt. Hier ist Hochverfügbarkeit
gefragt, also eine weitgehende
Ausfallsicherheit.
Das Bundesamt für Sicherheit in
der Informationstechnik (BSI) hat
sich intensiv mit dem Thema
auseinandergesetzt und mit dem
Hochverfügbarkeitskompendium
ein ausführliches und praxisbezogenes
Handbuch herausgegeben.
Dies richtet sich an Behör-
Die Verfügbarkeit A(t), engl. availability, einer
Betrachtungseinheit ist die Wahrscheinlichkeit,
dass die Betrachtungseinheit alle zugesicherten
Eigenschaften bei den beschriebenen Umgebungsbedingungen
zum beliebigen Zeitpunkt t
einhält oder fehlerfrei funktioniert.
den und Unternehmen gleichermaßen.
Entstanden ist ein übersichtlicher
Leitfaden, wie man
hoch verfügbare Informationsverbunde
auf technischer und
organisatorischer Ebene schaffen
kann. secunet hat das BSI
hierbei unterstützt.
Was hat Verfügbarkeit
mit IT-Sicherheit zu tun?
Die IT-Sicherheit umfasst grundsätzlich
drei Schutzziele: Vertraulichkeit,
Integrität und Verfügbarkeit
von Informationen. Bei
Informationssicherheitsfragen
standen bislang Vertraulichkeit
und Integrität der zu verarbeitenden
Daten häufig vor dem
Schutzziel Systemverfügbarkeit.
Was aber nützen geschützte
Informationen, wenn sie nicht
übermittelt werden können oder
verfügbar sind?
In der industriellen Produktion
beispielsweise ist das Schutzziel
Verfügbarkeit seit jeher hoch
priorisiert: Die Maschinen müssen
möglichst rund um die Uhr
laufen, jeder Produktionsstillstand
oder -ausfall verursacht
Kosten.
Was aber passiert, wenn IT-Systeme,
die das öffentliche Leben
unsichtbar steuern, plötzlich
nicht mehr verfügbar sind?
Chaos im Straßenverkehr, lahmgelegte
Flughäfen, stehende
Züge, Börsen an denen nicht
mehr gehandelt werden kann. IT-
Aus dem Hochverfügbarkeitskompendium
des BSI
Systemausfälle bedeuten heute
eine signifikante Beeinträchtigung
des gesellschaftlichen
Lebens und der Sicherheit der
Bevölkerung.
Hochverfügbarkeit
geht jeden an
Das BSI hat seine Erfahrungen
aus vielen Jahren und Projekten
in einem dreiteiligen Hochverfügbarkeitskompendiumzusammengefasst.
Es richtet sich an
alle Institutionen, Behörden und
Unternehmen, die Teile oder
auch ihre Geschäftsprozesse insgesamt
IT-gestützt gestalten und
daher deren Verfügbarkeit sicherstellen
müssen.
Mit dem Handbuch stellt das
BSI ein Instrument bereit, das
bei der Identifikation kritischer
Geschäftsprozesse und der
Ermittlung ihrer Qualitätsanforderungen
ansetzt und daraus
anforderungsspezifische Hochverfügbarkeitsarchitekturenableitet.
Es bietet ebenso Kriterien,
die es ermöglichen, bestehende
oder geplante technische und
organisatorische Strukturen hinsichtlich
der Hochverfügbarkeit
zu bewerten. Das Kompendium
liefert neben Grundlagen, Best-
Practices und konkreten Methoden
beispielsweise für Cluster-
Architekturen oder Speichertechnologien
immer auch praktische
Werkzeuge und Hilfsmittel in
Form von Checklisten oder Maßnahmenkatalogen.
««

Hochsicherheit
Dem Himmel so nah mit der SINA Virtual Workstation
Exakte Luftraumlage wird in Echtzeit bereitgestellt
Fortsetzung von Seite 1
Die Führungszentrale Nationale
Luftverteidigung (FüZNatLv) als
Zusammenschluss von Luftwaffe,
Bundespolizei und der Deutschen
Flugsicherung, überwacht
rund um die Uhr den Luftraum
über Deutschland und reagiert
sofort auf jeden nicht planmäßigen
Vorfall. Dabei werden
wesentliche Informationen für die
nationalen Entscheidungsträger
aufbereitet, um schnell und
gezielt handeln zu können. In der
Vergangenheit konnten wichtige
Informationen über Vorfälle nur
telefonisch übermittelt werden.
Bis 2006 waren Zeitverzögerung
durch notwendiges Wiederholen
von Informationen bzw. Sprachmonologe
zur Beschreibung der
Situation an der Tagesordnung.
Doch kann sich die Lage in kritischen
Situationen blitzschnell
verändern.
Heute kann mit Hilfe der SINA
Virtual Workstation die exakte
Darstellung der aktuellen Lage in
Echtzeit an alle Einsatzbeteiligte
sicher übermittelt werden. Entscheidungsträger
und bei Großveranstaltungen
eingesetztes
Verbindungspersonal erhalten
sofort grafisch aufbereitete Informationen.
Mehrere Personen
können so die Lage sofort erfassen.
„Der Einsatz der SINA Virtual
Workstation ermöglicht uns eine
weitere, wichtige Optimierung
der Entscheidungsprozesse“,
erläutert Oberstleutnant i. G.
Andreas Klein vom Führungsstab
der Luftwaffe, „vor allem der
Entscheidungsträger wird hier
erheblich entlastet, da viele relevante
Informationen nun grafisch
zur Verfügung stehen.“
Die SINA Virtual Workstation ist
ein wesentlicher Bestandteil der
Architektur der FüZNatLv. Sie
wurde in vielen Übungen auf
„Herz und Nieren“ getestet und
wird nun in den regulären Betrieb
überstellt. So unterstützen wir
auch weiterhin die Luftverteidigung
dabei, Großveranstaltungen
zu sichern.
Die SINA Virtual Workstation bei der FüZNatLv
Die Entscheidungsprozesse wurden optimiert,
da schneller entscheidungsrelevante
Informationen verteilt werden können.
Keine Zeitverzögerung bei der Informationsbereitstellung
(telefonische Lageerklärung
entfällt), da aktuelles Lagebild grafisch übertragen
wird.
Verbindungen können per UMTS, GPRS,
LAN und WLAN hergestellt werden.
Mit Hilfe der SINA Virtual Workstation kann die exakte Darstellung
der Lage im deutschen Luftraum in Echtzeit übermittelt werden.
Das Sicherheitskonzept der SINA Virtual
Workstation ermöglicht den Aufbau unterschiedlich
eingestufter paralleler Sessions,
zum Beispiel eine Verbindung ins Internet
und eine in Netze der Bundeswehr.
Die Daten sind lokal und während des Transports
hochsicher verschlüsselt. Die Festplattenverschlüsselung
ermöglicht die sichere
Speicherung von Zusatzinformationen, zum
Beispiel Kartenmaterial.
www.secunet.com 17
Quelle: FS Deutsche Flugsicherung GmbH

Auch bei der Satellitenübertragung
sorgt SINA für den
Schutz Ihrer Daten.
Mehr
Information
von
Mark Hönisch
Telefon: +49-201-54 54-35 39
mark.hoenisch@secunet.com
18
Hochsicherheit
Satellitengestützte Kommunikation mit SINA
Optimierung des TCP Protokolls erhöht die Senderate
Die Datenübertragung per Satellit
ist für viele Einsatzszenarien
unumgänglich. Für international
tätige Behörden wie das Auswärtige
Amt oder die Bundeswehr
ist Sat-Kommunikation bereits
Standard. Auch bei Satellitenübertragungen
sorgt SINA für
den Schutz Ihrer Daten. Zwei-
Komponenten-Lösungen, bestehend
aus SINA Box und Sat-
Optimierer, sind bereits erfolgreich
im Einsatz. Ansätze für eine
Ein-Komponenten-Lösung mit
integriertem Sat-Proxy werden
derzeit von secunet getestet.
Die Besonderheit bei der Satellitenkommunikation
sind hohe
Signallaufzeiten und hohe Übertragungsfehlerraten.
Die Daten
müssen große Strecken zurücklegen;
dabei können Pakete verfälscht
werden oder verloren
gehen. Erfolgt der Transport über
TCP, eines der zentralen Internetprotokolle,
werden anfangs nur
kleine Datenmengen auf die
Reise geschickt. Da es sehr
lange dauert, bis eine Antwort
eintrifft, erhöht TCP die Senderate
nur sehr langsam. Oder es verringert
die Senderate, wenn
Übertragungsfehler entstehen,
obwohl eigentlich eine wesentlich
größere Bandbreite zur Verfügung
steht. Da TCP für die leitungsgebundene
Übertragung
mit geringen Fehlerraten und Signallaufzeiten
entwickelt wurde,
ist das Kommunikationsverhalten
im diesem Kontext nachvollziehbar.
Durch den Einsatz von Sat-Optimierern
kann die Bandbreite
deutlich besser ausgenutzt werden:
Zum Beispiel durch Optimieren
oder Ersetzen des TCP-
Protokolls sowie durch Datenkomprimierung.
Anschließend
verschlüsselt die SINA Box die
Informationen. Durch die Verschlüsselung
erhöhen sich Paket-
größe und Latenz nur gering.
Die Kryptierung verursacht eine
moderate Verringerung des Datendurchsatzes.
Derzeit ist die Lösung mit zwei
Komponenten, einer SINA Box
und einem separaten Sat-Proxy,
erfolgreich im Einsatz. Dabei
steht der Sat-Proxy auf der
unverschlüsselten Seite der SINA
Box und greift auf den unverschlüsselten
Datenverkehr zu,
um die Datenrate effektiv zu
erhöhen. Zur Vereinfachung der
aktuellen Anwendung testet
secunet derzeit Ansätze für eine
Ein-Komponenten-Lösung. Bei
dieser Variante ist der Sat-Proxy
bereits in die SINA Box integriert.
Dies minimiert den Konfigurationsaufwand
sowie Hardwarekosten.

SINA Anwendertag 2009
15. und 16. Juni in der Beethovenhalle Bonn
„Eine nahezu perfekte Veranstaltung“
schrieb ein Besucher
über unseren SINA Anwendertag
im Juni dieses Jahres. Solche
und ähnliche Bewertungen
durften wir häufiger lesen. Wir
freuen uns, dass der SINA
Anwendertag so große Akzeptanz
genießt. Über 150 Gäste
konnten wir in der Beethoven-
Exklusiv für SINA Anwender: das neue SINA Kundenportal
Sie sind SINA Anwender?
Dann haben wir etwas Neues
für Sie: Ab sofort erhalten Sie
aktuelle Informationen, exklusive
Downloads und Produktabbildungen
im neuen SINA
Kundenportal. Übersichtlich
halle in Bonn begrüßen. Auch
im nächsten Jahr möchten wir
diese Plattform anbieten zum
Austausch zwischen SINA
Anwendern und den Experten
von secunet. Wann und wo
der SINA Anwendertag 2010
stattfinden wird, lesen Sie
in der nächsten Ausgabe der
secuview.
Auf dem SINA Anwendertag wurde die SINA Box IP 54 einem
Dauer-Härtetest unterzogen. Das Ergebnis: sie ist staub- und
spritzwassergeschützt.
und informativ aufbereitet finden
Sie alles Wissenswerte über die
Hochsicherheitsarchitektur nun
an zentraler Stelle.
Registrieren Sie sich gleich auf
sinaportal.secunet.com.
Vortragsthemen:
Hochsicherheit
SINA Update:
Zulassungen, Software
und Hardware (secunet)
Realisierung einer multinationalen
SINA Infrastruktur
gemäß dem KISS-Prinzip
(Enrichment Technology
Company Ltd.)
Aufbau eines VS-V-Netzes
Bund/Länder
(BDBOS)
SINA Virtual Workstation
(secunet)
SINA Management
≥ Version 3.7 (secunet)
SINA One Way Gateway 2
(secunet)
Ethernet Layer 2
Verschlüsselung
(ATMedia GmbH)
SINA 2nd Generation
(BSI, secunet)
Funktionsdemonstration
SINA Workflow
(BSI, secunet)
VS-Zulassungskategorien
im Vergleich (BSI)
Übrigens: Im SINA Kundenportal
finden Sie auch die
Präsentationen vom SINA
Anwendertag 2009.
www.secunet.com 19
Mehr
Information
unter
Möchten Sie die Einladung zum
nächsten SINA Anwendertag
direkt erhalten?
Senden Sie bitte eine E-Mail
mit Ihren Kontaktdaten an
events@secunet.com
Betreff: SINA Anwendertag

20
PINNWAND
Neue Veranstaltungsreihe „Frühschicht“
Kohlebrötchen und IT-Sicherheit auf Zeche Zollverein
Data Loss Prevention, Network
Access Control und Endpoint
Security waren die Themen der
ersten secunet Frühschicht am
18. Juni im Weltkulturerbe Zollverein.
Bei einem Frühstück in
geselliger Runde stellte secunet
gemeinsam mit Symantec
Lösungsansätze vor, wie
Unternehmensdaten vor Verlust
und Angriffen geschützt
werden können. Das Feedback
der Teilnehmer war sehr positiv:
„Ein kurzweiliger und guter
Überblick über aktuelle Themen.
Der halbe Tag hat sich
wirklich gelohnt.“
Die nächste Frühschicht findet
am 27. Oktober 2009 zum
Thema E-Mail-Archivierung auf
Zeche Zollverein statt. Neben
+++ Messe-Termine +++ wichtige Termine +++ Aktuelles +++
SINA International Partner Workshop – Berlin – 14. September 2009
IAA PKW 2009 – Frankfurt am Main – 15.-18. September 2009 (nur für Presse und Fachbesucher)
10. CxO Dialog Information Risk Management – Berlin – 16.-17. September 2009
it-sa – die neue IT Security-Messe – Nürnberg – 13.-15. Oktober 2009
BMW IT-Hausmesse – München – 14.-15. Oktober 2009
25. VDI/VW-Tagung „Automotive Security“ – Ingolstadt – 19.-20. Oktober 2009
Biometrics 2009 – London – 20.-22. Oktober 2009
Frühschicht „E-Mail-Archivierung“ – Essen – 27. Oktober 2009
PITS 2009: Mit Sicherheit zum e-Government 2.0 – Berlin – 27. Oktober 2009
DWT Forum „Informationstechnik“ – Bonn-Bad Godesberg – 17.-18. November 2009
IT Security on Board – München – 20. November 2009
IMPRESSUM
Herausgeber:
secunet Security Networks AG
Kronprinzenstraße 30
45128 Essen
Telefon: +49-201-5454-0
Lösungsansätzen und
Praxisbeispielen erhalten
die Teilnehmer auch
Informationen zu den
rechtlichen Rahmenbedingungen.
Gerne können Sie
sich schon jetzt per E-Mail
an events@secunet.com anmelden.
Verantwortlich für den Inhalt:
Marketing
marketing@secunet.com
Redaktionsleitung:
ines.kruse@secunet.com
Gestaltung:
Chromedia West GmbH
www.chromedia.de
Urheberrecht:
© secunet Security Networks AG. Alle Rechte vorbehalten. Alle Inhalte und Strukturen sind urheberrechtlich geschützt.
Jede Verwendung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen schriftlichen Erlaubnis.