kurz notiert

BSI-Forum

Das IT-Grundschutz-Handbuch

Im Juli 2001 ist die neueste Version des IT-Grundschutzhandbuchs erschienen. Aufgrund der jährlichen Bedarfsabfrage bei registrierten Anwendern wurde das Handbuch bedarfsorientiert weiterentwickelt. Die Neuerungen umfassen sowohl zahlreiche Aktualisierungen und Ergänzungen der bestehenden Kapitel als auch vollständig neue Bausteine. Insgesamt wurden für die Version Juli 2001 folgende Bausteine neu entwickelt:

Hard- und Software-Management,
Rechenzentrum,
Lotus Notes.

Den aktuellen Sachstand zum IT-Grundschutz können Sie über die Seite [externer Link] www.bsi.bund.de/gshb abrufen. Auf diesen Seiten ist ein Forum eingerichtet, um aktuelle Informationen zum IT-Grundschutzhandbuch zeitnah zu präsentieren. Hinweis: Das IT-Grundschutzhandbuch erscheint als Beilagenfassung zum Bundesanzeiger. Abonnenten der Zeitung "Bundesanzeiger" können innerhalb von zwei Monaten nach Erscheinen unter Angabe der Kunden-Nummer ein kostenloses Exemplar der Ergänzungslieferung anfordern.

Das E-Government-Handbuch ist online

Auf der diesjährigen CeBIT wurde das E-Government-Handbuch als eine zentrale Informationsplattform der Initiative BundOnline 2005 auf den Web-Seiten des Bundesamts für Sicherheit in der Informationstechnik freigeschaltet (vgl. BSI-Forum 2/2001, S. 35). Das Handbuch, das seitdem inhaltlich weiterentwickelt wurde, umfasst derzeit unter anderem folgende Module: Modellprojekte BundOnline 2005, Sicherer Internetauftritt im E-Government, Kryptographie im E-Government. In der Erstellung ist derzeit ein Phasenplan für die E-Government-Einführung und ein Modul "E-Government für Behördenleiter". Weitere Module werden folgen. Auf reges Interesse – auch im Bereich der interessierten Privatwirtschaft – stößt das Angebot, sich über eine freiwillige Nutzerregistrierung aktuell über Erweiterungen des Handbuchs informieren zu lassen. Registrierung unter [externer Link] www.bsi.bund.de/fachthem/egov/ .

Der BSI-Kryptoprozessor PLUTO kommt

Die Entwicklung des Hochleistungs-Kryptoprozessors PLUTO ist abgeschlossen, das Silizium "steht". Letzte Korrekturen an seinem Betriebssystem verzögern nicht die Auslieferung der Nullserie. Das kryptologische Herz aller zukünftiger Hardware-gestützter Projekte hat strategische Bedeutung für das Bundesamt für Sicherheit in der Informationstechnik und seine Bemühungen, zuverlässige, überprüfte Sicherheit made by BSI überall da mit Hilfe dieses Chips zur Verfügung zu stellen, wo sie unabdingbar ist, im Hochsicherheitsbereich genauso wie in industriellen Produkten, sollte es für eine Firma interessant sein, mit diesem Qualitätsmerkmal für seine Produkte zu werben.

PLUTO ist nicht nur ein hochschneller symmetrischer Massendatenkryptierer, er unterstützt ebenfalls die asymmetrische Kryptographie für Schlüsseleinigungsprotokolle, die Generierung und Verifizierung von Signaturen und Ähnliches. Dazu wird seine hochwertige interne Rauschquelle verwendet, deren Qualität ständig überprüft wird. Spezifische Makros werden vom BSI beigestellt, wenn Gruppen von Funktionsaufrufen PLUTO-intern abgearbeitet werden sollen, womit Vorteile bei der Sicherheit der Anwendung sowie beim Datendurchsatz verbunden sind. Seine Funktion als sicherer Schlüssel-Safe ist weiterhin zu betonen, wobei intern generierte Schlüssel nur in überschlüsselter Form ausgegeben werden, zum Beispiel aus Gründen begrenzter interner Speicherkapazität oder als Backups. PLUTO kann so konfiguriert werden, dass "rote" (offene) Schlüssel niemals außerhalb des Chips in Erscheinung treten.

Anfragen zu PLUTO unter Tel. 02 28/95 82-559 oder -522 oder per E-Mail: dietrich.siedentop@bsi.bund.de

Studie "Common Criteria konforme Evaluierung biometrischer Systeme – BioKrit"

Momentan ist es nicht möglich, die Sicherheitseigenschaften biometrischer Systeme zu klassifizieren, da keine allgemein akzeptierte Vorgehensweise (Methodologie) existiert. Diesem Umstand soll durch die Studie BioKrit, Durchführung 01.02.2001 bis 01.02.2002, abgeholfen werden. Die Studie ist als Fortsetzung der Studie BioIS zu sehen (nähere Informationen unter [externer Link] www.bsi.bund.de/aufgaben/projekte/biometr/biomet.htm). Im Rahmen der Studie BioKrit sollen die folgenden Punkte untersucht werden:

Der vorliegende Entwurf "Technischer Evaluationskriterien für biometrische Systeme" soll mit zwei biometrischen Systemen auf seine Brauchbarkeit für die Evaluation biometrischer Systeme untersucht werden. Der Entwurf der technischen Evaluationskriterien soll im Anschluss auf Grund der gemachten Erfahrungen überarbeitet werden.
Auf Basis des Britischen Schutzprofils "Biometric Device Protection Profile" ( www.cesg.gov.uk/biometrics/) sollen für mindestens eines der biometrischen Systeme konkrete Sicherheitsvorgaben erstellt werden. Diese Sicherheitsvorgaben bilden die Grundlage für eine formale Evaluierung und Zertifizierung auf Basis der Common Criteria, Näheres unter www.bsi.bund.de/cc/ .
Es soll geprüft werden, ob sich die technischen Evaluationskriterien eignen, die in den Sicherheitsvorgaben formulierten Sicherheitsfunktionalitäten technisch zu überprüfen. Bei einer möglichen Nutzbarkeit der technischen Evaluationskriterien könnten diese die Basis für eine international anerkannte Methodologie bilden.

Diese Studie wird vom TÜV IT und der Firma Secunet im Auftrag des BSI durchgeführt. Die Betreuung auf Auftraggeberseite findet durch mehrere Behörden statt.

Weitere Informationen können bei Herrn Munde (axel.munde@bsi.bund.de) erfragt werden.

CC-Schulungen des BSI

Das BSI bietet für Evaluatoren, Hersteller und interessierte Anwender von IT-Produkten und -Systemen verschiedene Schulungen im Bereich der Sicherheitskriterien Common Criteria (CC) an. Ziel der Veranstaltungen ist die Vermittlung des notwendigen Wissens zur Arbeit mit dem Kriterienwerk insbesondere im Rahmen eines Evaluierungs- und Zertifizierungsverfahrens oder der Erstellung von Schutzprofilen. Nähere Informationen zu den Schulungen erhalten Sie unter Tel. 02 28/95 82-152 oder per E-Mail an weinand@bsi.de.