![[externer Link]](../../../../images/link.gif)
www.enacworld.com). Im Erdgeschoss des
Pavillions D (vor der Halle 11), Stand-Nr. D-EG 28-29,
informieren Sie unsere Mitarbeiter über die neuesten
Sicherheitsaspekte zu den Themen "Telearbeit" und
"Internet". Zusätzlich richtet das BSI seine
bewährte Vortragsreihe zu aktuellen Themen der IT-Sicherheit
aus. Der Eintritt zu diesen Veranstaltungen ist frei.Die "Common Criteria/Gemeinsame Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik (CC)" liegen nun in einer im Bundesanzeiger offiziell bekannt gemachten deutschen Version vor. Auch eine deutsche Fassung der mit den CC technisch identischen internationalen Norm ISO/IEC 15408 ist vom Deutschen Institut für Normung (DIN) veröffentlicht worden.
Die Zertifizierung nach den CC gewinnt in Deutschland immer mehr an Bedeutung. Die ersten CC Zertifikate sind bereits veröffentlicht oder ihre Veröffentlichung steht kurz bevor. Mit den CC können die Sicherheitseigenschaften praktisch aller informationstechnischen Produkte und Systeme geprüft werden. Da Deutschland im Mai 2000 das Abkommen über die gegenseitige Anerkennung zwischen insgesamt 13 nationalen Behörden unterzeichnet hat, ist das Ziel einer auf Basis einheitlicher Kriterien durchgeführten, international gültigen Zertifizierung von IT-Produkten und –Systemen erreicht.
Immer mehr Interesse findet die Entwicklung von Schutzprofilen (Protection Profiles) auf Basis der CC. Mit Schutzprofilen kann ein Anwender oder eine Anwenderorganisation Sicherheitsanforderungen an eine Kategorie von IT-Produkten und/oder -Systemen spezifizieren und so Herstellern Produktvorgaben als Entwicklungsgrundlage bereitstellen. Ebenso kann eine Herstellervereinigung das Modell der Schutzprofile nutzen, um damit die eigene Marktposition auch im internationalen Umfeld zu stärken.
In Deutschland ist bereits ein Schutzprofil für Bankanwendungen vom BSI zertifiziert und registriert worden (vgl. KES 2000/6, S. 28). Interessante Schutzprofilentwicklungen mit teilweise internationaler Bedeutung gibt es unter anderem auch in den Bereichen Smartcards, Betriebssysteme, Firewalls und Datenbanken. Diese Schutzprofile sind zumeist in englischer Sprache von den internationalen Partnerbehörden des BSI registriert worden.
Kaum einem anderen Wirtschaftsbereich werden solche Steigerungsraten vorausgesagt wie dem Handel im Internet, dem so genannten Electronic Commerce. Ob die weitere Entwicklung diese hochgesteckten Erwartungen erfüllen wird, hängt entscheidend davon ab, ob es gelingt, die Verbraucher von der Zuverlässigkeit und Sicherheit der neuen Dienstleistungen und Angebote zu überzeugen. Eines der Grundprobleme dabei ist die sichere Abwicklung von Bestellungen und Zahlungen über das Internet, einem Netzverbund, der nicht zur Über-tragung sicherheitskritischer Informationen entwickelt worden ist. Die Benutzer von Electronic-Commerce-Systemen erwarten, dass sie durch deren Benutzung keinen Sicherheitsrisiken ausgesetzt werden.
Beim Aufbau von Electronic-Commerce-Angeboten muss einer Vielzahl von Gefährdungen entgegengewirkt werden. Um ein ausreichendes Sicherheitsniveau für IT-Systeme zu erreichen, müssen neben technischen Maßnahmen auch etliche nichttechnische Maßnahmen umgesetzt werden. Dazu gehören die Bereiche Personal, Organisation, Datensicherung, Infrastruktur und nicht zuletzt Notfallvorsorge. Das im Bundesamt für Sicherheit in der Informationstechnik entwickelte IT-Grundschutzhandbuch stellt eine einfache Methode vor, die für ein Mindestmaß an IT-Sicherheit notwendigen Maßnahmen zu identifizieren und umzusetzen.
Nach erfolgreicher Umsetzung der im IT-Grundschutzhandbuch beschriebenen Standard-Sicherheitsmaßnahmen stellt sich für viele Institutionen die Frage, wie sie ihre Bemühungen um IT-Sicherheit nach außen transparent machen können. Um diesen Bedürfnissen nachzukommen, hat das BSI die Qualifizierung nach IT-Grundschutz definiert, die aufgrund der ständigen Aktualisierung und Erweiterung des Handbuchs praktisch auf der Höhe der Zeit bleibt. Nach einer erfolgreichen Qualifizierung wird dann ein IT-Grundschutz-Zertifikat vergeben, mit dem die erfolgreiche Umsetzung der Standard-Sicherheitsmaßnahmen verdeutlicht werden kann. Dabei gibt es drei unterschiedliche Ausprägungen der Qualifizierung nach IT-Grundschutz:
SPHINX soll die Randbedingungen für den Einsatz digitaler Signaturen und Verschlüsselung optimieren. Diese Verfahren sollen im Bereich der gesamten Bundesverwaltung eingesetzt werden, um auf diesem Wege zu einer Ende-zu-Ende-Sicherheit zu gelangen. Ähnliche Überlegungen existieren in den Bundesländern und im kommunalen Sektor. Die Interoperabilität der eingesetzten Produkte ist zwingend notwendig, um auch künftig elektronische Kommunikation zwischen allen Behörden, sei es auf Bundes-, Landes- oder kommunaler Ebene, zu ermöglichen. Zur Verbesserung der bestehenden Situation wurde ein Pilotversuch über drei Jahre mit folgenden Zielen durchgeführt:
Die Fortentwicklung der Produkte für den Anwender ist ein Meilenstein bei kryptographisch unterstützten Applikationen. Für einen dauerhaften Betrieb dieser Produkte werden Zertifizierungsstellen benötigt, die das benutzte Schlüsselmaterial beglaubigen. Diese gilt es möglichst in einer großen Public-Key-Infrastruktur zusammenzufassen, damit für den Anwender eine Einordnung der Sicherheitsstufe möglich wird. Das Bundesamt für Sicherheit betreibt auf der Grundlage einer abgestimmten Policy eine Wurzel-Zertifizierungsstelle, die behördliche und privatrechtlich betriebene Zertifizierungsstellen zertifiziert. Damit soll der nächste Schritt für eine flächendecke Ausbreitung einer gemeinsamen PKI gemacht werden, der eine Nutzung für E-Government und E-Commerce ermöglicht.
In den vergangenen zehn Jahren hat sich die Telekommunikationstechnik erheblich verändert. Parallel mit der Digitalisierung der Übertragungsverfahren zog die Informationstechnik in die Vermittlungstechnik ein und ermöglichte eine Vielzahl neuartiger Leistungsmerkmale. Wie bei jeder Technologie ist mit neuen Möglichkeiten stets auch ein neues Missbrauchspotenzial verbunden. Neben Problemen, die bereits aus anderen Bereichen der Informationstechnik bekannt waren, zum Beispiel Gefährdungen bei der Fernadministration, kamen bei der digital gesteuerten Vermittlungstechnik, im privaten Bereich als TK-Anlagen bezeichnet, neuartige systembezogene Probleme hinzu.
Der Vortrag analysiert die potenziellen Gefährdungen und zeigt mögliche Gegenmaßnahmen, die – orientiert am jeweiligen Schutzbedarf -– ein adäquates Maß an Sicherheit gewährleisten sollen. Um dieses zu erreichen, orientiert er sich am Schutzklassenmodell des Bundesamtes für Sicherheit in der Informationstechnik. Der Vorteil der Anwendung eines solchen Modells liegt darin, dass dem Anwender das Erstellen einer individuellen Risikoanalyse weitgehend abgenommen wird. Er braucht lediglich seine Systemumgebung mit denen des Modells zu vergleichen und die entsprechenden Maßnahmen umzusetzen.
Bundesinnenminister Otto Schily hat angesichts der Hacker-Angriffe auf das Internet Mitte Februar 2000 eine Task Force "Sicheres Internet" eingesetzt, die das Bedrohungspotenzial in Deutschland klären und Maßnahmen zur besseren Bekämpfung derartiger Angriffe vorschlagen und koordinieren soll.
In der Task Force arbeiten Mitarbeiter des Bundesministerium des Inneren (BMI), des Bundesministerium für Wirtschaft und Technologie (BMWi), des Bundesministerium der Justiz (BMJ), des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) und des Bundeskriminalamtes (BKA) zusammen. Je nach Anlass werden weitere Experten zu den Beratungen hinzugezogen. Den Kern der Task Force bilden 12 ständige Mitglieder.
Zentrale Aufgaben der Task Force sind die Auswertung von
Informationen sowie die Prüfung von Art und Umfang der
Bedrohung in Deutschland und erforderlicher Gegenmaßnahmen.
Bis zum Ende des Jahres 2000 wurden zwei
Maßnahmenkataloge in Abstimmung mit externen Experten
aus Wirtschaft, Wissenschaft und Behörden erarbeitet und im
Internet bereitgestellt.
Im Vortrag werden die aktuellen Aktivitäten der Task Force "Sicheres Internet" sowie der Stand der Realisierung der Maßnahmenkataloge durch die angesprochenen Zielgruppen geschildert.
Das an die EU-Richtlinie angepasste Signaturgesetz (SigG) wird voraussichtlich termingerecht im Frühjahr 2001 in Kraft treten. Die zugehörige Signaturverordnung steht infolgedessen ebenfalls auf dem Prüfstand und bedarf einer weitgehenden Anpassung; eine Verabschiedung sollte noch vor Sommer 2001 realisierbar sein. Aus diesen eher theoretischen Aufgaben ergeben sich eine Vielzahl praktischer Fragen sowohl für Hersteller, Zertifizierungsdiensteanbieter, aber auch insbesondere für Anwender. Praktische Probleme beispielsweise hinsichtlich der Migration bestehender Lösungen und getätigter Investitionen müssen gelöst werden, ohne den sich öffnenden E-Markt auszuschließen. Der Vortrag informiert sowohl inhaltlich als auch über die aktuelle Situation der Gesetzgebungsverfahren.
Im Herbst 1999 hat eine Arbeitsgruppe führender Zertifizierungsdiensteanbieter in Deutschland mit dem umfangreichen Werk ISIS einen ersten Teil zur Interoperabilitätsspezifikation vorgelegt, der im Wesentlichen die Interoperablititätsaspekte aus Sicht der Zertifizierungsdiensteanbieter für die beiden Aspekte "Zertifikatsstruktur- und Inhalt" und "Zertifikatsverzeichnis" abdeckt. Teilnehmer der Veranstaltung werden informiert über die aktuellen Ergebnisse dieser Arbeiten und ihrer weiteren Fortführung, insbesondere auch hinsichtlich ihrer nationalen und europäischen Umsetzung.
Dem Artikel 9-Ausschuss sind gemäß EU-Richtlinie zur elektronischen Unterschrift unter anderem die Aufgaben der Veröffentlichung anerkannter Normen und Standards für elektronische Unterschriften zugewiesen worden. Die technische Ausgestaltung eines beispielhaften Beitrags hat die European Electronic Signature Standardisation Initiative (EESSI) übernommen. Eine kurze Vorstellung sowohl der aktuellen Ergebnisse als auch der weiteren Behandlung dieser Arbeiten auf europäischer Ebene wird erwartet.
In verschiedenen Projekten in Deutschland werden die unterschiedlichsten Applikationen zur digitalen Signatur realisiert. Einerseits erfüllen nur wenige dieser Anwendungen zurzeit die Vorgaben des Signaturgesetzes, andererseits werden gesetzeskonforme digitale Signaturen immer stärker erwünscht (u. a. durch öffentliche Verwaltung, Bankwesen, E-Commerce). Erläutert wird der aktuelle Entwicklungsstand. Die praktischen Probleme werden an einem konkreten Beispiel erklärt.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 1/2001, Seite 69
