Rund 830 000 Besucher hatte die CeBIT dieses Jahr an den sieben Messetagen; eine neue Höchstmarke – im Vorjahr waren es "nur" etwa 782 000. Rund 65 000 Menschen verfolgten überdies auf dem neuen www.cebit-channel.de das Messegeschehen live am PC-Bildschirm. Die CeBIT ist aber nicht nur die größte Messe der Welt, sondern auch der weltgrößte Kongress der ITK-Branche: Die Aussteller meldeten allein über 950 Firmenvorträge an. Insgesamt haben die Organisatoren im Convention Center (CC) und im Tagungsbereich der Halle 1 über 40 000 Teilnehmer gezählt.
Bei strahlend blauem Himmel oder Schneegestöber: Rund 830000 Besucher kamen dieses Jahr zur CeBIT und halfen mit, die Höchstmarke vom letzten Jahr nochmals um fast 50000 zu überbieten.
Erstmals hat sich laut Messe AG auch eine große Zahl von Aktionären, häufig unmittelbar bei den Geschäftsleitungen, über die Perspektiven der Unternehmen informiert. Insgesamt haben die 8 106 CeBIT-Aussteller überwiegend von erfolgreichen Geschäftsanbahnungen und Abschlüssen berichtet. Fazit der Veranstalter: "Die Branche boomt weiterhin wie keine andere. Die CeBIT 2001 hat grünes Licht für steigende Börsenkurse gegeben."
Dass die Sicherheit im Netz dabei ein treibender Faktor sein wird, legt auch die Besucherbefragung nahe: Die Sparte "Kartentechnik, IT-Sicherheit, Sicherheitstechnik" stieg im Interesse der Fachbesucher von 10,4 auf 14,5 Prozent. Deutlich gestiegen ist auch die Nachfrage nach "Software, Internetlösungen und Dienstleistungen" von 53,3 auf 58,1 Prozent.
Bei der CeBIT-Eröffnung betonte HP-CEO Carly Fiorina: "Wahre service-orientierte Informationstechnik erfordert Fähigkeiten und Technologien, die weit über unser heutiges IT-Modell hinausreichen. Wie zum Beispiel Sicherheitskonzepte, die eine sichere Interaktion zwischen anonymen Geräten und Systemen ermöglichen."
In den Eröffnungsreden von Bundeskanzler Gerhard Schröder und BITKOM-Präsident Dr. Volker Jung spielte Sicherheit hingegen keine nennenswerte Rolle – hier ging es um Regulierung, Markt und Arbeitsplätze. Lediglich Carly Fiorina, CEO und Vorsitzende des Aufsichtsrates der Hewlett-Packard Corporation, sprach bei der CeBIT-Eröffnung in ihrer Vision über mobile Kultur IT-Security und Datenschutz an: "Man muss richtig eintauchen, um die wahren Bedürfnisse und Wünsche der Menschen verstehen zu können... Wichtig sind auch Themen wie Privatsphäre und Sicherheit. Das Vertrauen der Verbraucher ist elementar, wenn wir lebenslange Beziehungen zu unseren Abnehmern pflegen wollen, besonders in einer Zeit, in der einem sehr leicht gemacht wird, sich nach anderen Angeboten umzusehen."
Dauernd in Kontakt mit der IT-Sicherheit war jedoch Bundesinnenminister Otto Schily. Er eröffnete gleich an zwei Tagen das "German Government goes Future" Forum des ENAC Europe (Anwender-Centrum für Kommune, Staat und Wirtschaft), wo es schwerpunktmäßig um E-Government ging ( www.enacworld.de): "Nur wenn die Bürger ihre Alltagsgeschäfte im Internet sicher erledigen können, kann E-Government sich gut entwickeln", erklärte Schily ( www.staat-modern.de). Zusammen mit den Chefs von Telekom, T-Online und T-Systems kündigte der Minister eine Fortsetzung der gemeinsamen Initiative zur E-Mail-Verschlüsselung an.
Unter diesem Aspekt hat Schily zudem die Schirmherrschaft über die Bridge-CA übernommen, eine Initiative, die im Oktober 2000 von der Deutschen Bank und der Telekom ins Leben gerufen wurde, um Vertrauen und Interoperabilität zwischen den Public Key Infrastrukturen (PKI) verschiedener Institutionen zu vermitteln ( www.bridge-ca.de, s. a. KES 2001/1, S. 23). Am 23.3. hat der Bundesinnenminister die Bridge-CA offiziell in Betrieb genommen. Sie arbeitet nicht profitorientiert und soll ihre Aufgabe neutral, branchenübergreifend und weltweit offen erfüllen. Betreiber ist die Hersteller- und Anwendervereinigung TeleTrusT e. V. ( www.teletrust.de).
Die multifunktionale Bürgerkarte der Bundesdruckerei (bCard) speichert unter anderem eine "digitale Meldebescheinigung" für E-Government-Dienste.
Bevorzugt für das E-Government ist die multifunktionale Bürgerkarte bCard der Bundesdruckerei gedacht. Der Inhaber kann sich durch einen Melderegisterauszug identifizieren, der im Chip gespeichert ist. Ab Herbst 2001 will die Stadtverwaltung Bremerhaven damit in einem Pilotprojekt virtuelle Behördengänge anbieten; weitere Anwendungen sind in Ulm und Passau geplant ( www.bundesdruckerei.de).
Die CashMouse von CpayS ist das zweite Klasse-3-Chipkartenterminal mit ZKA-Zulassung.
Auch mit der GeldKarte im Internet geht es endlich weiter voran. Zur CeBIT hat der Zentrale Kreditausschuss ( www.ZKA.de) mit der CpayS CashMouse den zweiten Klasse-3-Leser zugelassen und gleichzeitig auch dem ersten Händlersystem seinen Segen gegeben, dem extended Network Payment System (eNPS), das CpayS zusammen mit Brokat entwickelt hat ( www.brokat.com). Im Laufe des Jahres will die Giesecke&Devrient-Tochter CpayS zusätzliche Anwendungen für die GeldKarte angehen: zum Laden von Bonuspunkten oder elektronischen Fahrscheinen. Das Online-Aufladen der GeldKarte per CashMouse ist bereits in Vorbereitung ( www.cpays.de).
Nur zwei Wochen nach der CeBIT bekam auch das Hintergrundsystem SmartPay von fun communications seine ZKA-Zulassung ( www.fun.de). SmartPay arbeitet als erstes zugelassenes System mit einer physischen Händlerkarte, wie sie verbreitet im Einzelhandel eingesetzt wird (Typ 0 als DM- oder Typ 1 als Eurokarte); eNPS nutzt hingegen eine virtuelle Karte.
Die Version 4.1 der BasicCard von ZeitControl arbeitet mit einem RISC-Prozessor, der die neue Karte nach Herstellerangaben rund 4-mal schneller macht als die bisherigen 3.x-Karten. Als Programm- und Datenspeicher stehen 32 kByte zur Verfügung. Die Karte verschlüsselt direkt mit DES/3DES; für RSA (1024 Bit), MD5 und SHA sind Bibliotheken nachladbar (für 3.x: stattdessen ECC und IDEA). Die Entwicklungssoftware für die in einem BASIC-Dialekt programmierbaren Smartcards von ZeitControl steht im WWW kostenlos zur Verfügung; BasicCards sind auch in kleineren Stückzahlen lieferbar. Ebenfalls neu im Programm ist ein Taschenkartenleser, der ein ISO-Kommando absetzt, auf das eine programmierbare Karte mit einem oder mehreren Datensätzen zur Anzeige im zehnstelligen Display antworten kann ( www.basiccard.com).
Eine sichere smartcardbasierte Anmeldung am Notebook hat Siemens erstmals mit einem Mobiltelefon gezeigt: Die notwendigen Anmeldeinformationen für Windows 2000 waren bei dem Prototypen auf der SIM-Karte im Handy gespeichert. Beim Booten läuft die Authentifizierung des Benutzers über die Infrarotschnittstelle (IrDA) – ohne Handy ist kein Start möglich, da die zugrunde liegende Software Smarty 2.0 die Daten auf der Festplatte des Geräts verschlüsselt. Eine Abwicklung der Anmeldeprozedur über Bluetooth wäre ebenfalls denkbar, sobald Handys und Notebooks die entsprechenden Schnittstellen aufweisen ( www.siemens.de/security/).
Das TopSec GSM Handy verschlüsselt Telefonate Ende-zu-Ende mit 128 Bit; äußerlich handelt es sich um ein "ganz normales" Siemens S 35.
Mit StoneGate bringt Stonesoft eine eigene Firewall- und VPN-Lösung auf den Markt; zuvor hatte die finnische Firma ausschließlich die StoneBeat-Clustering-Familie zur Verfügbarkeitssteigerung von Fremdsystemen im Programm. StoneGate ist laut Anbieter die erste vollkommen integrierte Firewall, die Hochverfügbarkeit und dynamisches Load Balancing zwischen mehreren ISP-Verbindungen gewährleistet. Die patentierte Multi-Link-Technik wählt hierzu automatisch den jeweils schnellsten Pfad und optimiert so die Netzwerk-Leistung.
Wenn notwendig, überträgt StoneGate alle Sessions intern an andere Firewalls, VPN-Tunnels und VPN-Client-Verbindungen. Das System soll Hunderttausende von gleichzeitigen Verbindungen verwalten und bis zu einem Durchsatz in Gigabyte-Größe skalieren können. StoneGate verfügt auf der Basis des StoneBeat-Clustering über eingebautes Server Load Balancing für unterschiedliche Server-Typen. Zu den Firewall-Grundfunktionen zählen Zugangskontrolle, Anwender-Authentifizierung und Network Address Translation; die VPN-Komponente arbeitet nach IPsec-Standard. Als Basis für StoneGate dient ein minimiertes Linux-System. In Zusammenarbeit mit Zuma Networks soll die neue Firewall in die Layer 2/3/4 Switch Routing and IP Service Delivery Platform von Zuma integriert werden ( www.stonesoft.com).
Die StoneGate Firewall von Stonesoft soll durch Load Balancing
über verschiedene ISP für hochverfügbare
Internet-Verbindungen sorgen.
In der zweiten Jahreshälfte will Check Point seine Next Generation Produktfamilie mit neuen Versionen von Firewall-1 und VPN-1 einführen. Kurz vor der CeBIT hat das Unternehmen bereits die neue Bedienoberfläche und das neue Managementkonzept vorgestellt. Beim User-Interface setzt Check Point auf grafische Visualisierung komplexer Zusammenhänge im so genannten Security Dashboard. Der Administrator soll beispielsweise im Visual Policy Editor die Auswirkungen von Änderungen bereits im Vorfeld erkennen können, indem etwa alle aktuell zulässigen Verbindungen hervorgehoben werden. Beim Management will Check Point für Hochverfügbarkeit und eine gesicherte Versions-, Lizenz- und Updateverwaltung sorgen. Außerdem wolle man das zentrale Logging-System noch ausbauen ( www.checkpoint.com).
X.400-Übertragungen waren laut GeNUA bislang von einer wirksamen Überprüfung auf Anwendungsebene weitgehend ausgeschlossen. Der X.400-Proxy für GeNUGate isoliert auf generischer Ebene X.400 aus dem IP-Datenstrom und ermöglicht so einerseits eine Inhaltsprüfung (z. B. Virencheck) und zum anderen eine unterschiedliche Behandlung verschiedener OSI-Protokolle, die über den gleichen IP-Port laufen. Denkbar wäre beispielsweise auch, andere OSI-Protokolle komplett aus dem Datenstrom zu entfernen.
Im Übrigen hat GeNUA die Softwarepakete GeNUAdmin und GeNUBackup nach acht Jahren unter die GNU Public Licence gestellt. GeNUAdmin ist ein Tool für erfahrene Systemadministratoren, die große (heterogene) Netzwerke von UNIX-Maschinen zu verwalten haben. GeNUBackup sichert Datenbestände in großen Serverumgebungen über mehrere Netze hinweg. Beide Pakete sind nunmehr sowohl ausführbar als auch im Quelltext frei verfügbar ( www.genua.de).
Die secunet Security Networks AG hat mit SINAvpn eine neue Sicherheitslösung für hochschutzbedürftige Daten vorgestellt (SINA = sichere Netzanbindung). Üblicherweise bearbeiten Behörden und Firmen hoch vertrauliche Informationen in besonders gesicherten Räumen (Approved Circuits), die durch Leitungsverlegung in speziellen Stahlrohren und Kabelkanälen, Spezialtüren an den Büros, Tresoren zur Aufbewahrung von Ausdrucken und Festplatten sowie spezielle Überwachungsanlagen höchsten Schutz bieten. Mit SINAvpn können autorisierte Mitarbeiter in einer normalen Büroumgebung sicher remote auf solche hochschutzbedürftigen Daten zugreifen und sie auch verarbeiten. Kostspielige Approved Circuits sind nur noch als geschützte Bereiche für Applikations-Server notwendig.
SINA arbeitet als spezielle VPN-Realisierung in Verbindung mit einer Thin-Client/Server-Technik, durch die aufwändige Maßnahmen zur lokalen Festplattenverschlüsselung entfallen können. SINAvpn nutzt Standard-PC-Hardware und erhält dem Anwender das gewohnte "Look and Feel" aus der offenen Systemwelt. SINA-Boxen bilden die Schnittstelle zwischen dem geschützten und offenen Bereich. Diese Systeme basieren auf einem gehärteten, minimierten Linux, das von CD-ROM bootet und ohne lokale Datenhaltung arbeitet (keine Festplatte). SINAvpn wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) beauftragt. Eine spezielle Behördenversion erlaubt die Bearbeitung klassifizierter Dokumente auf unsicherer Hardware; erste operationelle Einsatzsysteme sind bereits in mehreren Bundesbehörden installiert ( www.secunet.de).
Die NCP engineering GmbH will mit dem Hybrid-Verfahren IPsec over L2TP alle Nachteile des IP-Security-Standards (IPSec) für den Remote Access wettmachen. Von seiner Konzeption her ist das Layer-3-Verfahren IPSec nur für LAN-to-LAN-Betrieb ausgelegt. Für Remote Access wichtige Eigenschaften wie die Unterstützung von Network Address Translation (NAT), dynamische Zuweisung der IP-Adressen sowie Multi-Protokoll-Unterstützung fehlen daher.
An diesem Punkt setzt NCP mit dem Schritt über einen Layer-2-Tunnel per Point-to-Point-Protokoll (PPP) an: Das VPN-Gateway weist den VPN- Clients dynamisch IP-Nummern aus dem Adressbereich des Firmennetzes zu. Der Remote-Teilnehmer ist damit unabhängig von seiner (externen) Einwahl-IP immer eindeutig anhand seiner (internen) IP-Adresse identifizierbar. Accounting und Verwaltung können somit für alle Teilnehmer an zentraler Stelle erfolgen. Die VPN-Software von NCP erlaubt nach Herstellerangaben den Zugang zum Internet über alle öffentlichen Wählnetze und unterstützt alle gängigen Betriebssysteme wie Windows 9x/ME, Windows NT/2000, OS/2 und Linux ( www.ncp.de).
Die neue Generation von nCiphers Hardware-Beschleuniger und -Sicherheitsmodulen (HSM) nForce und nShield soll bis zu 400 SSL-Transaktionen beziehungsweise Private-Key-Signaturen pro Sekunde ermöglichen (RSA 1024 Bit). Beide Geräte unterstützen zudem das Simple Network Management Protocol (SNMP) zur Fernüberwachung und vollständigen Einbindung in eine unternehmensweite Netzwerkmanagement-Umgebung. Die nForce-Geräte lassen sich mit verbreiteter Webserver-Software einsetzen (z. B. von Microsoft, iPlanet und Apache). Sie können laut nCipher eine praktisch unbegrenzte Anzahl kryptographischer Schlüssel speichern. Durch den parallelen Einsatz von bis zu 15 Geräten pro Server sollen sich bei Bedarf mehrere Tausend SSL-Transaktionen pro Sekunde erzielen lassen.
Neben der Beschleunigung kapseln die nCipher-Module die geheimen Schlüssel für SSL- oder PKI-Transaktionen in sicherer Hardware. nShield ist vollständig nach FIPS 140-1 Level 3 zertifiziert und mit Produkten von RSA, Baltimore, Entrust und Microsoft kompatibel. Im Lieferumfang befindet sich standardmäßig die GUI-basierte nCipher-Software KeySafe, die das Schlüsselmanagement vereinfachen und individuell konfigurierbare Zugangskontrollen im Rahmen der Systemadministration ermöglichen soll. Überdies unterstützt das neue nShield die auf der amerikanischen RSA-Conference vorgestellte Secure Execution Engine (S.E.E.) von nCipher: Speziell bearbeitete Java-Software von Drittanbietern kann damit manipulationssicher in die geschützte nCipher-Hardware geladen werden und dort ablaufen ( www.ncipher.com).
Der USB-Key crypToken von der MARX Software Security AG ist jetzt auch in Messing lieferbar; im Innern des abstrahlsicheren Gehäuses stecken eine AES-Implementierung, ein physikalischer Rauschgenerator und RSA-Support bis 2048Bit ( www.marx.com).
Baltimore Technologies haben mit SureWare Runner einen sicheren SSL-Beschleuniger vorgestellt, der auf dem Advanced Configuration Crypto Environment (ACCE) des Unternehmens basiert. Die Sicherheitskernfunktionen von ACCE sind nach FIPS 140-1 Level 4 sowie ITSEC E3 zertifiziert. SureWare Runner arbeitet über Ethernet-Schnittstelle mit einem oder mehreren Webservern zusammen (beispielsweise von iPlanet oder Microsoft). Zusammen mit AU-System ( www.ausystem.com), Gemplus ( www.gemplus/wireless/) und Ericsson ( www.ericsson.de) hat Baltimore zudem die nach eigenen Angaben erste Lösung für Ende-zu-Ende-Sicherheit und digitale Signatur für den neuen Mobilfunkstandard GPRS (General Packet Radio Service) vorgestellt ( www.baltimore.com).
OfficeScan für Small Business Server von Trend Micro soll gemeinsam verwalteten Virenschutz für Desktop, Dateiserver und Exchange 2000 bieten. Das Software-Paket ermöglicht nach Herstellerangaben zentrales Reporting von Virenvorfällen, automatische Software-Updates und webbasiertes Management aller Komponenten. Außerdem hat Trend Micro die Verfügbarkeit einer Sendmail Edition der InterScan VirusWall angekündigt. Die Software ist direkt in die Internet Messaging Lösung von Sendmail Inc. integriert und läuft auf Solaris SPARC Version 2.6 und höher. Falls das System eine infizierte Datei findet, gehen kundenspezifische Warnungen automatisch an Empfänger, Absender und/oder Administrator; überdies protokolliere die Software alle Verstöße gegen Sicherheitsmaßnahmen ( www.trendmicro.de).
Um die Besuchermassen zeitlich besser zu verteilen, wird die CeBIT ab nächstem Jahr wieder acht Tage dauern. Von der Verlängerung erhoffen sich die Aussteller laut MesseAG eine deutliche Entlastung auf ihren Messeständen und dadurch mehr Zeit und Raum für intensive und individuelle Gespräche.
Zugriffschutz für Java-Applikationen und Single-Sign-on im Internet verspricht Tivoli mit der erweiterten Version 3.7 des SecureWay Policy Director. Die Software ermögliche den sicheren Betrieb von Web-Applikationen durch eine umfassende Zugriffskontrolle für E-Business-Applikationen und Daten über Browser und mobile Endgeräte. Neu sind unter anderem ein Domain-übergreifender Single-Sign-on, mit dem Unternehmen ihre Sicherheitsmechanismen über verschiedene Internet-Domains hinweg implementieren können, und eine verteilte Administration. Außerdem unterstützt die aktuelle Version nun auch die Java 2 Enterprise Edition und die Benutzerregistrierung von Lotus Domino.
Erweitert hat Tivoli auch den Funktionsumfang von NetView für OS/390: Das neue Release 4 wartet laut Anbieter unter anderem mit einer verbesserten SNMP-Überwachung und neuen Möglichkeiten im TCP/IP-Management auf. Die grafische Darstellung sei insbesondere in den Bereichen Fehlerdiagnose, Verbindungsüberwachung und Kontrolle verteilter Geräte verbessert worden ( www.tivoli.com).
WebIT von Intercomp verwandelt die Präsentationsschicht von Legacy Systems, die normalerweise aus Schriftzeichen besteht (beispielsweise im 3270-Datenstrom) und kosmetisch und funktional überholt ist, in eine grafische Anwenderschnittstelle mit Java und HTML, die sich für Internet-, Intranet oder Extranet-Umgebungen eignet. Auf der Mainframe-Seite muss dazu keine Software installiert werden; zwischen dem Back-End-Legacy-System und dem Client ist allerdings ein Application-Server mit EJB-Support (Enterprise Java Beans) notwendig. Einen Zusatznutzen sieht die Firma im "Training on the Job" für Legacy-Experten, die sich anhand der Umsetzung alter COBOL-Software auch in Java einarbeiten möchten.
Außer WebIT hat Intercomp noch zwei weitere automatisierte Software-Tools zur Analyse und zum Re-Engineering älterer COBOL-Applikationen im Portfolio. AnalyzeIT untersucht und dokumentiert die zu renovierenden Programme sowohl grafisch als auch mit Reports, um eine vollständige Analyse der Struktur und des Workflow der Applikation zu erhalten. Der Analyse-Phase folgt der Einsatz von MineIT zum Erkennen und Herausziehen der Business-Regeln. Danach werden diese in Java-Objekte, XML, UML oder sogar zurück in einen zusammenhängenderen COBOL-Quellcode verwandelt ( www.legacy2web.com).
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2/2001, Seite 16