Das BSI auf der CeBIT 2005

Ordnungsmerkmale

erschienen in: <kes> 2005^#1, Seite 35

Rubrik: BSI Forum

Schlagwort: CeBIT 2005

Zusammenfassung: Auch in diesem Jahr wird das Bundesamt für Sicherheit in der Informationstechnik auf der CeBIT (Hannover, 2005-03-10/16) mit einem Messestand und verschiedenen Vortragsveranstaltungen präsent sein.

Der Messe- und Ausstellungsstand des BSI befindet sich aufgrund der Umstrukturierung der Themenschwerpunkte durch die Deutsche Messe AG erstmals in Halle 7 (Security), Standnummer D 45. Die Themen-und Präsentationsschwerpunkte am BSI-Messestand sind:

Das "Golden Reader Tool" – die Basis für interoperable elektronische Reisepässe
SINA – Sichere Inter-Netzwerk Architektur – sichere VoIP-Anwendungen
IT-Grundschutz-Tool – Präsentation der Version GSTOOL 3.1
IT-Sicherheits-Zertifizierung – Common Criteria (CC, ISO/IEC 15408)

Wie bereits in den vergangenen Jahren, wird das BSI erneut Vorträge zu aktuellen Fragen der Sicherheit in der Informationstechnik ausrichten. Sowohl im Public Sector Parc (siehe Kasten) als auch an fünf Messetagen im Saal 12 des Convention Center (CC).

----------Anfang Textkasten----------

Kasten überspringen

BSI-Vorträge im Public Sector Parc

Am Dienstag, dem 15. März 2005 hält das BSI drei Vorträge auf der Bühne Forum eGovernment im Public Sector Parc (Halle 9):

12:30–13:00 Uhr
CERT-Bund
Aufgaben und Dienstleistungen Der Warn- und Informationsdienst (WID) Nationale und internationale Zusammenarbeit

13:00–13:30 Uhr
IT-Sicherheitszertifizierung
Technische Richtlinien und Beschaffungsleitfäden

16:30–17:00 Uhr
Sicheres E-Government
Basiskomponente Virtuelle Postestelle

----------Ende Textkasten----------

BSI-Vorträge im Convention Center

IT-Grundschutz: Leitfaden, Tool und Zertifizierung
Donnerstag, 10. März 2005, 12:00 Uhr

Eine funktionsfähige IT-Infrastruktur wird zunehmend zu einem entscheidenden Wettbewerbsfaktor für Unternehmen. Dabei muss ihre adäquate Absicherung heute mehr denn je oberste Priorität haben. Das IT-Grundschutzhandbuch stellt hierzu eine einfache Methode vor, wie die dem Stand der Technik entsprechenden IT-Sicherheitsmaßnahmen identifiziert und umgesetzt werden können. Es greift den Bedarf nach Sicherheit auf und stellt sowohl eine Sammlung von IT-Sicherheitsmaßnahmen als auch eine entsprechende Methodik zur Auswahl dieser Maßnahmen zur Verfügung. Um möglichst nah am Stand der Technik zu bleiben, wird das IT-Grundschutzhandbuch des BSI ständig fortgeschrieben und auf dem aktuellsten Stand gehalten, neue Bausteine stehen auf der Homepage des BSI unter [externer Link] www.bsi.bund.de/gshb/ zum Download bereit.

Nach erfolgreicher Umsetzung der im IT-Grundschutzhandbuch beschriebenen Standard-Sicherheitsmaßnahmen stellt sich für viele Institutionen die Frage, wie sie ihre Bemühungen um IT-Sicherheit nach außen transparent machen können. Um diesen Bedürfnissen nachzukommen, hat das BSI eine Qualifizierung nach IT-Grundschutz definiert, die aufgrund der ständigen Aktualisierung und Erweiterung des Handbuchs praktisch auf der Höhe der Zeit bleibt. Nach einer erfolgreichen Qualifizierung wird dann ein IT-Grundschutz-Zertifikat vergeben, mit dem die erfolgreiche Umsetzung der Standard-Sicherheitsmaßnahmen verdeutlicht werden kann.

Der Erteilung eines IT-Grundschutz-Zertifikates geht eine Überprüfung durch einen lizenzierten Auditor voraus. Kann die Umsetzung der geprüften Maßnahmen bestätigt werden oder kann die Nichtumsetzung durch äquivalente Maßnahmen ausgeglichen werden, so wird das IT-Grundschutz-Zertifikat erteilt. Das Interesse am Lizenzierungsverfahren als IT-Grundschutz-Auditor ist erfreulich groß. Ende 2004 waren ereits 140 Auditoren zugelassen, die ihre Fachkunde erfolgreich nachgewiesen haben. Weitere Informationen zum Lizenzierungsverfahren finden sich unter [externer Link] www.bsi.bund.de/gshb/. Außerdem wird die BSI-Software GSTOOL 3.1 als IT-technische Unterstützung der Erstellung eines IT-Sicherheitskonzeptes beziehungsweise einer Qualifizierung gemäß IT-Grundschutz vorgestellt.

Rund um das IT-Grundschutzhandbuch gibt es viele interessante Entwicklungen, die zum einen den Umgang mit der Vorgehensweise gemäß IT-Grundschutzhandbuch unterstützen (Web-Kurs, GSTOOL und Zertifizierung), zum anderen für Anwender einen kurzen, prägnanten Einstieg in die IT-Sicherheit bieten (Leitfaden IT-Sicherheit, Grundschutz-Profile).

CERT-Bund / Kritische Infrastrukturen
Freitag, 11. März 2005, 12:00 Uhr

Die wiederholten Angriffe auf IT-Netze und Endsysteme des Bundes und der Wirtschaft – insbesondere auch in "kritischen Infrastrukturen", also Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen wie zum Beispiel Energieversorger, Banken oder das Notfall- und Rettungswesen – haben die Notwendigkeit zur Einrichtung zentraler Anlaufstellen zur Lösung von Problemen der Rechner- und Netzwerksicherheit verdeutlicht. Computer-Notfallteams, neusprachlich auch CERTs (Computer Emergency Response Teams) genannt, übernehmen diese Aufgabe.

Im ersten Teil des Vortrages werden Aufgaben und Dienstleistungen eines CERT am Beispiel von CERT-Bund dargestellt:

Aufgaben und Dienstleistungen eines Computer Notfallteams
Prävention: Der Warn- und Informationsdienst CERT-Bund mit Informationsangeboten auf Webseiten und über Mailing-Listen
Reaktion: Bearbeitung von Vorfällen – Vernetzung lokaler Kompetenz mit globalen Informationen
Best-Practice-Beispiele einer Arbeitsorganisation zur Steigerung der lokalen IT-Sicherheit durch Nutzen globaler Kommunikationsstrukturen
Nationale und internationale Zusammenarbeit in CERT-Strukturen

Im zweiten Teil des Vortrages werden Organisationen und Einrichtungen der "kritischen Infrastrukturen" (KRITIS) mit ihren Aufgaben vorgestellt. Es werden Abhängigkeiten von der Informationstechnik dargestellt und Konsequenzen beim Ausfall von IT skizziert:

Was sind kritische Infrastrukturen und inwiefern sind diese von der IT abhängig?
Definition und Gliederung der verschiedenen Infrastruktursektoren in Deutschland
Welche Folgen haben Störungen oder Ausfälle von IT in kritischen Infrastrukturen?
Maßnahmen in Deutschland zum Schutz der Informationstechnik in kritischen Infrastrukturen
Staatliche Initiativen und Kooperationen mit der Wirtschaft und dem Ausland

Die CERT-Dienstleistungen des BSI werden neben Behörden auch Unternehmen der kritischen Infrastruktur angeboten. Die Zusammenarbeit zwischen CERTs und KRITIS wird an aktuellen Projekten und Initiativen skizziert. Weitere Informationen zu den Themen CERT-Bund und KRITIS finden Sie auf [externer Link] www.bsi.bund.de

Elektronische Reisepässe und Biometrie Montag, 14. März 2005, 12:00 Uhr

Reisepässe sollen in Zukunft mit elektronischen Merkmalen ausgestattet weltweit einsetzbar sein. Hierfür müssen standardisierte Lösungen erarbeitet werden, die hohe Sicherheitsanforderungen erfüllen und dennoch praxisgerecht sind. Das BSI befasst sich in Kooperation mit dem BKA im Rahmen von mehreren Projekten mit diesem Thema. Die neuesten Erkenntnisse aus diesen Projekten werden in den Vorträgen behandelt:

Der klassische Reisepass und seine physischen Sicherheitsmerkmale: Die Sicherheitsarchitektur und ausgewählte Sicherheitsmerkmale des aktuellen Reisepasses werden in ihrem Zusammenspiel dargestellt.
Das Sicherheitskonzept des elektronischen Reisepasses: Datenschutz und kryptographische Sicherheitsmechanismen werden anhand des zukünftigen EU-Reisepasses erläutert.
"Golden Reader Tool" – Die Basis für Interoperabilität elektronischer Reisepässe: Eine im Auftrag des BSI entwickelte Software-Applikation zum Lesen von ICAO-konformen elektronischen Reisedokumenten.
Die Leistungsfähigkeit von biometrischen Verfahren im Zusammenhang mit elektronischen Reisedokumenten: Der Vortrag befasst sich mit den neuesten Erkenntnissen aus einem vergleichenden Feldtest in dem die Erkennungsleistung von unterschiedlichen biometrischen Systemen (Gesichts-, Fingerabdruck- und Iriserkennung) untersucht wurde.

IT-Sicherheitszertifizierung Di., 15. März 2005, 12:00 Uhr

Ziel einer Zertifizierung ist es, IT-Produkte hinsichtlich ihrer Sicherheitseigenschaften transparent und vergleichbar zu bewerten. Die Zertifizierung kann vom Hersteller oder Vertreiber eines Produkts oder von einer Bundesbehörde als Anwender bei der Zertifizierungsstelle des BSI beantragt werden. Die Evaluierung und Zertifizierung von Produkten erfolgt auf der Grundlage von internationalen IT-Sicherheitskriterien, wobei die Evaluierung von akkreditierten und lizenzierten Prüfstellen durchgeführt wird. In Deutschland derzeit angewandte Kriterienwerke sind die europäischen ITSEC und maßgeblich die weltweit abgestimmten Common Criteria (CC, ISO/IEC 15408).

Um die Mehrfach-Zertifizierung des gleichen Produktes in verschiedenen Staaten zu vermeiden, wurde ein europäisches Abkommen über die gegenseitige Anerkennung von IT-Sicherheitszertifikaten auf Grundlage der ITSEC und CC vereinbart und eine Vereinbarung über die Anerkennung von IT-Sicherheitszertifikaten auf Basis der CC bis einschließlich der Vertrauenswürdigkeitsstufe EAL 4 von den nationalen Stellen der folgenden Staaten unterzeichnet: Australien, Frankreich, Deutschland, Großbritannien, Finnland, Griechenland, Israel, Italien, Japan, Kanada, Neuseeland, Niederlande, Norwegen, Österreich, Schweden, Spanien, Türkei, Ungarn, USA, Tschechische Republik. Über Zertifizierungsstellen verfügen hierbei Australien/Neuseeland, Frankreich, Deutschland, Großbritannien, Japan, Kanada und USA.

Im Rahmen der Vortragsveranstaltung ist vorgesehen, dass auch Hersteller über ihre Erfahrungen mit der Zertifizierung berichten.

Mobile Security – Technische Richtlinien für Komponenten mobiler Technologien
Mi., 16. März 2005, 12:00 Uhr

Das BSI möchte als unabhängige Instanz auch bei mobilen Lösungen zur Verbesserung der IT-Sicherheit, das heißt der "Mobile Security", beitragen. Konkret werden dazu zurzeit zwei technische Richtlinien (TR) im Bereich der Mobile Security erstellt. Eine TR stellt den Beschaffungsverantwortlichen ein Kriterienwerk zur Auswahl geeigneter Produkte zur Verfügung. Die BSI-TR haben Empfehlungscharakter. Verbindlichkeit entsteht erst durch individuelle Vorgabe des Bedarfsträgers (z. B. TR als Bestandteil der Ausschreibungsunterlagen). Für Hersteller wird es die Möglichkeit geben, ihr Produkt gegen eine entsprechende Technische Richtlinie prüfen zu lassen. Letztendlich soll durch verstärkte Nachfrage von richtlinienkonformen Produkten der Markt hin zu höheren Sicherheitsniveaus beeinflusst werden.

In den Vorträgen werden die technischen Richtlinien für sichere Wireless LANs und für Smartcards vorgestellt:

Technische Richtlinie für sichere Wireless LAN: Diese TR ist in drei Teile unterteilt. Zunächst werden im ersten Teil die aktuellen Sicherheitsstandards und -mechanismen dargestellt und bewertet. Im zweiten Teil werden Vorgaben für die Erstellung von WLAN-Sicherheitskonzepten aufgeführt, die dem Nutzer konkrete Handlungsempfehlungen für die Planung, Installation, Konfiguration, Abnahme, Administration und Außerbetriebnahme von sicheren WLANs liefern. Der dritte Teil, die so genannte Technische Richtlinie zur Auswahl und Prüfung von WLAN-Systemen, soll dem Beschaffer Produkt-Auswahlkriterien sowie den akkreditierten Prüfstellen und Herstellern die Prüfkriterien liefern.
Technische Richtlinie für Smartcard-Lösungen: Bestrebungen, Chipkarten nicht nur als Identifikationsmittel in der Zutrittskontrolle und Zeiterfassung, sondern auch als Berechtigungsmedium für IT-Sicherheitsfunktionen zu verwenden, möchte das BSI durch diese TR mit Teilen für Chipkarten, Chipkartenleser und chipkartenspezifische Anforderungen an Anwendungen unterstützen. Einer breiten und kostengünstigen Verwendung von multifunktionalen Kartensystemen steht häufig die fehlende Interoperabilität verschiedener Kartentypen und Hardwarekomponenten entgegen. Die Anwendung dieser Richtlinie soll daher neben der Erhöhung der IT-Sicherheit auch eine standardkonforme, multifunktionale, interoperable und zukunftssichere Nutzung von bestehenden Karteninfrastrukturen sicherstellen. Die Richtlinie ist in einem ersten Entwurf fertig gestellt und befindet sich zurzeit in Zusammenarbeit mit Herstellern und Anwendern in der Kommentierungsphase.