| |||
| | | |
| |
Rückblick: 5. TelekomForum SecuritySymposium in Köln
Sicherheit ist weiterhin ein Topthema für deutsche Unternehmen. Auch die diesjährige Befragung der Mitgliedsunternehmen im TelekomForum, dem Geschäftskundenbeirat der Deutsche Telekom AG, hat das erst vor kurzem wieder unterstrichen. Einen weiteren Beleg für die unveränderte Brisanz des Themas Sicherheit lieferte jetzt das 5. TelekomForum SecuritySymposium am 4. November 2008 in Köln: Mehr als 100 Teilnehmer nutzten die Gelegenheit, sich umfassend über aktuelle Sicherheitsthemen zu informieren und Erfahrungen auszutauschen. Mitveranstalter war das Security Management der Deutschen Telekom. Schwerpunktthema des SecuritySymposium mit seinen sieben hochkarätigen Referenten waren in diesem Jahr Sicherheitsfeatures rund um die Smart Card. Für viel Diskussionsstoff sorgte auch der elektronische Personalausweis – die Möglichkeit des elektronischen Identitätsnachweises könnte die Sicherheit im Online-Geschäft für Kunden und für Anbieter deutlich erhöhen. Eine Forderung wurde in beinahe allen Referaten laut: dass beim Thema Sicherheit der Faktor Mensch auf keinen Fall vergessen werden darf. Damit Sicherheitsmaßnahmen greifen, müssen Menschen sie wollen und akzeptieren.
Überfällige Modernisierung des DatenschutzrechtsDen Eröffnungsvortrag hielt Heinz-Paul Bonn, Vize-Präsident des BITKOM e.V., zum Thema "Datenschutz in Deutschland – Krise oder Renaissance?". Bonn machte gleich zu Beginn deutlich, dass man sich nicht darauf beschränken dürfe, Informations- und Kommunikationstechnik einfach nur weiterzuentwickeln. "Die Voraussetzung für die Nutzung dieser Technologien ist die Akzeptanz der Bürger", erklärte Bonn. Und Akzeptanz setze vor allem Vertrauen voraus. Nach Bonn wird das Vertrauen der Nutzer von drei Säulen getragen: von Sicherheit im Netz, effizientem Datenschutz und Nutzerkompetenz. Für die Sicherheit im Netz werde der Einsatz des elektronischen Personalausweises ein riesiger Schritt nach vorne sein.Durch die Verwendung der elektronischen ID-Funktion des Ausweises könne der Nutzer selbst unmittelbaren Einfluss auf die Sicherheit seiner Transaktionen nehmen. Da nur überprüfte Unternehmen sogenannte Berechtigungszertifikate erhielten, könne sich der Nutzer zukünftig auch sicher sein, dass kein Unberechtigter auf die Daten des Ausweises zugreifen könne. Was den Datenschutz angehe, sei das Vertrauen der Bürger in den letzten Monaten arg strapaziert worden. Bonn sieht den Datenschutz aber keineswegs am Ende: "Der Datenschutz könnte sogar eine Renaissance erleben. Dafür brauchen wir allerdings ein neues Datenschutzrecht." Bonn führte aus: "Ist Ihnen bewusst, dass nach heutiger Rechtslage Ihre Kontoverbindung nicht mehr und nicht weniger geschützt ist als Ihre Schuhgröße?" Das Datenschutzrecht mache hier keinen Unterschied. In wichtigen Bereichen sei der Bürger weniger als notwendig geschützt, in unwichtigen schieße der Schutz dagegen oft über das Ziel hinaus. Das liege auch daran, dass das Bundesdatenschutzgesetz schon seit 1978 bestehe. "Und nichts hat sich in den letzten 30 Jahren so verändert, wie unsere Möglichkeit, miteinander zu kommunizieren und virtuell in Kontakt zu treten", so Bonn. Bei der überfälligen Modernisierung des Datenschutzrechts dürfe der Datenaustausch nicht länger als notwendiges Übel begriffen werden. "Der BITKOM wird daher im nächsten Jahr Vorschläge für die Grundlage eines neues Datenschutzrechts veröffentlichen", kündigte Bonn an. eID-Funktion als GemeinschaftsprojektAuf dem elektronischen Personalausweis lag der Schwerpunkt der Präsentation von Klaus-Dieter Wolfenstetter, Projektfeldmanager "Inherent Security" bei den Deutsche Telekom Laboratories und Vorsitzender des Fachausschusses Identitäts- und Rollenmanagement des BITKOM.In seinem Vortrag "Anwendungen des elektronischen Identitätsnachweises im E-Business" stellte er zunächst die neuen Funktionen des elektronischen Personalausweises (ePA) vor, der ab November 2010 im Scheckkartenformat verfügbar sein soll. Die elektronische Identitätsfunktion (eID-Funktion) sei serienmäßig auf jedem Personalausweis vorbereitet, auf Wunsch lasse sie sich aber auch deaktivieren. "Optional können Bürger auch eine qualifizierte elektronische Signatur nachladen, um auf elektronischem Weg Rechtsgeschäfte abzuwickeln", erläuterte Wolfenstetter. Im Hauptinteresse von Anwendern und Wirtschaft liege natürlich die eID-Funktion, aus der sich für das E-Business eine breite Palette an Anwendungsmöglichkeiten ergebe. "Wird der ePA allerdings nur vom Staat gestaltet, ist die Akzeptanz in der Gesellschaft und vor allem auch in der Wirtschaft fraglich", so Wolfenstetter. "Anwendungen zur eID-Funktion müssen ja erst mal in die Geschäftsmodelle eingebaut werden." Neben zahlreichen anderen Maßnahmen hat der BITKOM im Jahr 2007 deswegen zwei Workshops mit Vertretern unter anderem von Handel, Banken, Versicherungen und Logistik durchgeführt, um mögliche Einsatzfelder und Anforderungen zu erörtern. Wolfenstetter riss einige Workshop-Ergebnisse kurz an: "Der Handel erhofft sich, dass durch die gegenseitige Authentifizierung von Anbieter und Kunde mit der eID-Funktion Betrugsversuchen vorgebeugt wird", so Wolfenstetter. "Auch bei der Altersverifikation könnten fehleranfällige Prozesse ersetzt werden." Ein skizziertes Szenario der Banken sei eine Online-Kontoeröffnung von zu Hause aus, die allerdings Anpassungen der Rechtsvorschriften bedinge. "Auch bei den Versicherungen ist eine Anpassung des Versicherungsvertragsrechts notwendig, um den Abschluss von Policen mit dem ePA zu ermöglichen." Neben politischen und rechtlichen Rahmenbedingungen und Aufbau und Verbreitung der Infrastruktur sei für den breiten Erfolg der eID-Funktion vor allem Überzeugungsarbeit notwendig – Vertrauen und Akzeptanz in der Bevölkerung seien entscheidend. "Alle Arbeit des Staats nutzt nichts, wenn Wirtschaft und Bürger nicht mitziehen", resümierte Wolfenstetter. Authentisierungsprozess in der PraxisJan Hill, Senior Product Architect bei der Bundesdruckerei GmbH, ging in seinem Vortrag "eID Services und Authentisierungsinfrastruktur" nach eigenem Bekunden wieder einen halben Schritt zurück: eID Services, also Dienstleistungen zum elektronischen Identitätsnachweis für eGovernment- und eBusiness-Angebote, benötigten spezifische Authentisierungsstrukturen – in Abhängigkeit vom Authentisierungsmedium."Bei Authentisierungsverfahren speziell im elektronischen Bereich verfolgen Bürger, Wirtschaft und Behörden zum Teil differierende Interessen"<, erklärte Hill. Um diese bestmöglich unter einen Hut zu bringen, müssten verschiedene Anforderungen erfüllt werden: "Es braucht eine sichere Authentisierung bzw. Identifizierung mittels eID-Dokument – und die wird hoffentlich ab 2010 mit der eID-Funktion des ePA verfügbar sein", so Hill. Wichtig sei zudem eine einfach bedienbare Benutzeroberfläche. Einen Bürgerclient, eine Software zur Kommunikation zwischen PC und Kartenlesegerät, müsse es möglichst auf allen Rechnern geben. "Ein Knackpunkt ist zudem die Verfügbarkeit von Dienstleistungen und Authentisierungsmöglichkeiten", so Hill. Wie ein möglicher Authentisierungsprozess aussehen könnte, skizzierte Hill an einem Beispiel: Eine Autovermietung bietet einen Webservice an. Sie benötigt vom Nutzer Name, Vorname, Adresse sowie eine Identitätsbestätigung durch einen ID-Provider und macht eine entsprechende Datenanfrage. Auf dem Bildschirm des Nutzers, der ein Authentisierungsmedium wie den ePA auf ein Lesegerät am PC legt, öffnet sich eine Dateneingabemaske eines von ihm ausgewählten ID-Providers. "Mit Eingabe der Ausweis-Pin stimmt der User dann der Übermittlung seiner Daten zu", beschrieb Hill. "Dabei entscheidet er selbst, welche Daten er an den Autovermieter weitergeben will." Der ID-Provider, der zunächst eine sichere Verbindung zur ID-Card aufgebaut hat, um dem Benutzer darüber das Berechtigungszertifikat des Dienstleisters vorzulegen, überprüft im Hintergrund Sperrlisten und liest nach der Pin-Eingabe durch den Nutzer die geforderten Attribute aus. Diese verpackt er in einem signierten Token, das dann an den Webservice des Autovermieters geht und die Authentisierung bestätigt. "Damit ist der Bestellvorgang für beide Parteien sicher abgeschlossen", erklärt Hill. Technischer Standard für e-TicketingDie Grundlage einer weiteren Anwendungsmöglichkeit für Smart Cards stellte Dr. Joseph Lutgen, Leiter Sicherheitsmanagement und Technologie der VDV-Kernapplikations GmbH & CO. KG, in seinem Vortrag "Die Sicherheitsinfrastruktur der VDV-Kernapplikation" vor.Der VDV ist der Verband Deutscher Verkehrsunternehmen und die VDV-Kernapplikation ist der technische Standard für alle Formen des E-Ticketing im öffentlichen deutschen Nahverkehr. Hauptziel des Sicherheitssystems der VDV-Kernapplikation, so Lutgen, sei der systematische Schutz aller Produktions- und Geschäftsprozesse des elektronischen Fahrgeldmanagements. Als Bedrohungsbeispiele nannte Lutgen unter anderem die Fälschung von Nutzermedien wie Smart Cards oder die Manipulation von Daten auf diesen Nutzermedien. Wie relevant solche Bedrohungen sind, zeigte Lutgen am Beispiel der Mifare Classic Karte, deren proprietäre Kryptographie innerhalb eines halben Jahres vollständig gebrochen worden sei. Die Entwicklung der Kernapplikation habe man deswegen auf einem sehr hohen Sicherheitsniveau gestartet. "So haben wir auch Ruhe zur ständigen Weiterentwicklung und zur Planung der Migrationen." Da das Sicherheitsniveau durch das schwächste Kettenglied bedingt sei, habe man Design, Hardware, Implementierung und Betriebsumgebung integrativ betrachtet. "Die drei Hauptbestandteile der Sicherheitsinfrastruktur – die Public Key Infrastruktur, das Schlüsselmanagement und die Lieferung von Secure Application Modules – sind sowohl technisch als auch vertraglich modular", beschrieb Lutgen. Betrieben werde die Kernapplikation unter hohen baulichen, technischen und organisatorischen Sicherheitsvorkehrungen im TrustCenter der Deutschen Telekom. "Im Jahr 2007 waren rund 2,5 Millionen Karten zum elektronischen Fahrgeldmanagement im Einsatz, die auf unserer Kernapplikation basieren"<, so Lutgen. "So haben beispielsweise die Verkehrsunternehmen der Verkehrsverbünde Rhein-Ruhr (VRR) und Rhein-Sieg (VRS) das e-Ticket für alle Abonnenten eingeführt." Für 2010 rechnet Lutgen mit bis zu zehn Millionen Karten. Darauf wiesen entsprechende Projekte des RMV sowie in Berlin und Hamburg hin. Passwortmüde AnwenderTom Köhler, Direktor Strategie, Informationssicherheit und Kommunikation bei der Microsoft Deutschland GmbH, stellte in seinem Vortrag "Mein guter Ruf im Netz! – Schutz vor Identitätsmissbrauch" das Thema digitale Identitäten in den Mittelpunkt."Die eine Online-Identität wird es nie geben", bemerkte Köhler gleich zu Beginn. "Jeder Online-User verfügt vielmehr über unterschiedliche Benutzernamen und Passwörter." Anwender müssten sich immer mehr Passwörter für unterschiedliche Webservices merken. Das Resultat: "Anwender werden zunehmend passwortmüde." Schnell verwende man für unterschiedliche Webdienste dasselbe Passwort, sodass gravierende Sicherheitslücken entständen. "Deshalb muss bei allen Überlegungen nicht die Technologie, sondern der Mensch im Vordergrund stehen", konstatierte Köhler. "Die beste technische Absicherung nutzt nichts, wenn Awareness und Kompetenz beim Menschen nicht stimmen." Auf Unternehmensseite sei Identity Management nichts Neues. "Jedes Unternehmen hat für seine Applikationen Authentisierungs-Token entwickelt", so Köhler. "Was allerdings fehlt, ist eine einheitliche Plattform für Authentisierung und Autorisierung. Auch bei Smart Card-Systemen gibt es keine einheitlichen Standards." Unterschiedliche Nutzerbedienungen würden die User aber oft überfordern. Auf Basis verschiedener Grundregeln des Identitätsmanagements habe Microsoft deswegen das benutzerzentrierte und interoperable Identity Meta System CardSpace entwickelt, das ein dezentrales Single-Sign-On bei verschiedenen Webdienste-Anbietern erlaube. CardSpace funktioniere wie eine Art digitales Portemonnaie, in das der User persönliche oder verwaltete Information Cards einlegen könne. "Dabei entscheidet der User selbst, welche Karte mit welcher Identität er für welchen Dienst nutzen will", erläuterte Köhler. CardSpace helfe Benutzernamen und Passwörter zu eliminieren und schütze gleichzeitig vor vielen Formen des Phishings und Betrugs. Da CardSpace offene Standards benutze, sei auch die Interoperabilität gewährleistet. Social Engineering AssessmentMichael Lardschneider, CSO bei der Münchener Rück, stellte in seinem Vortrag "Social Engineering in der Praxis – aus Sicht eines Auftraggebers" ein Social Engineering Assessment vor, das er am Münchener Standort des Rückversicherers durchgeführt hat. Genauso wie Köhler betonte Lardschneider, dass in der Sicherheitskette der Mensch die Schwachstelle bilde."Im Assessment ging es uns aber keinesfalls darum, Mitarbeiter abzumahnen", so Lardschneider. "Wir wollten vielmehr Schwachstellen identifizieren und zum Schutz der Arbeitsplätze und des Unternehmens Awareness schaffen." Ausgewählt habe man das Assessment unter anderem, da hier die Mitarbeiter aktiv eingebunden und die Ergebnisse objektiv seien. "Wir wollten überprüfen, ob sich unser Security Awareness Programm rentiert hat", begründete Lardschneider. Dazu habe man einen Angreifer geschaffen, der ein Vertrauensverhältnis zu den Mitarbeitern aufbauen sollte, um durch gezielte Manipulationen an vertrauliche Informationen zu gelangen – und zwar ohne Nutzung von Technik. "Mit dem Assessment haben wir allerdings keine Veränderungen am Sicherheitsbewusstsein gemessen, sondern Verhaltensmuster identifiziert", resümiert Lardschneider. Das Assessment habe man gemeinsam mit einer externen Firma durchgeführt, intern waren vier Personen eingeweiht. "Um es vorwegzunehmen – die Ergebnisse waren erschreckend." Mit einfachsten Mitteln habe sich die externe Firma Zutritt zum Unternehmen verschafft und mehrfach sowohl über Telefon, im persönlichen Gespräch als auch per E-Mail geheime Informationen erlangt. "Von 300 Mitarbeitern, die angeschrieben wurden, haben beispielsweise 150 eine Phishing-Mail geöffnet und 127 davon eine Ziffernfolge bei der Abfrage ihres Passwortes eingegeben", beschrieb Lardschneider. Im Anschluss an das Social Engineering Assessment seien die Mitarbeiter in vier Veranstaltungen über die Ergebnisse informiert worden. "Wir haben beispielsweise typische Szenen nachgedreht", so Lardschneider. Durch die Praxisnähe und die unmittelbare Betroffenheit seien die Mitarbeiter besser für Gefahren sensibilisiert worden. Für Lardschneider war und ist das Assessment die beste Awareness-Maßnahme – auch wenn er heute anders vorgehen und unter anderem den Betriebsrat einbinden würde. Sein Fazit: "Je ausgereifter die technische Sicherheit, desto einfacher ist Social Engineering." Vielfalt europäischer eID-KonzepteDr. Peter Parycek, Leiter des Zentrums für E-Government der Donau-Universität Krems, stellte in seinem Vortrag "E-Identität und E-Signatur in der Praxis – ein Überblick über den aktuellen Stand in den europäischen Staaten" die Begriffe E-Identität (eID) und E-Signatur (eSig) zunächst gegenüber."Zweck der eSig ist es, die Authentizität von Urheber und Daten sicherzustellen", so Parycek. "Zweck der elektronischen Identität dagegen ist die eindeutige Identifizierung." Zur eSig existiere seit 1998 die Signatur-Richtlinie der Europäischen Kommission. "National wird allerdings der hohe Interpretationsspielraum der EU-Richtlinie ausgenutzt." Eine eID-Richtlinie gebe es nicht, teilweise aber nationale Bestimmungen. "Auf europäischer Ebene existiert die komplette Bandbreite an eID-Konzepten – von Username und Passwort über Software-Zertifikate bis hin zu virtuellen Smart Card-Lösungen", so Parycek. Im Anschluss stellte Parycek beispielhaft einige nationale eID- und eSig-Ansätze vor, etwa das Konzept der österreichischen Bürgerkarte. "Die Bürgerkarte dient dem Nachweis der eindeutigen Identität einer Person und gleichzeitig der Authentizität elektronisch eingebrachter Eingaben", so Parycek. Dabei erfolge die eindeutige Identifikation einer Person mittels Stammzahl. "Die Stammzahl wird durch Verschlüsselung von der eindeutigen Zahl des zentralen Melderegisters abgeleitet", erklärte Parycek. "Nur die Stammzahl steht auf der Karte und ist damit unter Kontrolle des Bürgers." Die Funktionen des Bürgerkartenkonzepts seien bislang unter anderem auf der Sozialversicherungskarte eCard und der Maestro Bankomatkarte aufgebracht worden. Das Konzept in Deutschland sei mit dem elektronischen Personalausweis viel stärker als in Österreich auf eine Karte und auf den eID-Aspekt fokussiert. Wiederum anders sehe es in den Niederlanden aus. Hier existiere mit dem DigiD ein System, das derzeit auf Username und Passwort bzw. Login via SMS beruhe. "Der Output ist eine eindeutige ID-Nummer, die in Wirtschaft und Verwaltung verwendet wird", erläuterte Parycek. "Weitere Daten werden nicht übermittelt." Angesichts des extrem heterogenen Umfelds mit einer Vielzahl an länderspezifischen Lösungen warf Parycek abschließend die Frage auf, ob Interoperabilität überhaupt möglich sei. Hoffnung gebe das europaweite eSig- und eID-Projekt STORK, das unterschiedliche nationale Konzepte über eine Middleware zusammenbringen wolle. Eines zeigten die interessanten und informativen Vorträge des SecuritySymposium deutlich: Technologische Perfektion alleine reicht nicht aus – der Mensch bleibt der limitierende Faktor in puncto Sicherheit. Deswegen muss weiterhin und verstärkt Sensibilisierungsarbeit geleistet werden. Sensibilisierung ist auch hinsichtlich neuer technologischer Entwicklungen notwendig, die die Sicherheit vergrößern können – wie etwa die eID-Funktion des ePA. Denn alle Neuerungen nutzen nichts, wenn der Mensch sie nicht akzeptiert und anwendet. Ob sich die eID-Funktion letztlich durchsetzen wird, lässt sich wohl erst langsam, von 2011 an beantworten. Aber Peter Parycek gab den deutschen Zuhörern auf Grund seiner Erfahrungen in Österreich zum Schluss noch zwei wichtige Erfolgsrezepte mit auf den Weg: Zum einen müssten entsprechende Anwendungen sehr benutzerfreundlich sein, zum anderen brauche man Anwendungen mit hoher Frequenz. Chancen dafür sieht Parycek vor allem dann, wenn es gelingt, Banken einzubinden. Die zukünftigen SecuritySymposien des TelekomForum werden Gelegenheit bieten, die in der diesjährigen Veranstaltung aufgezeigten Entwicklungen zu überprüfen. 05/2009, Jutta Freisen
| | | | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| © 1999-2010 FEiG & PARTNER | Nutzungsbedingungen | | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 |  |  | |  | |  | |  | |  | |  | |  | |  | |   |
|
| ||
| know how news veranstaltungen sicherheitswarnungen | |
| ||
| ||
| ||
| ||
| ||
| ||
|
