![[Foto: AlexSchelbert.de]](05-6-026-0.jpg)
SYSTEMS-Nachlese SYSTEMS-NachleseEine "von Optimismus geprägte Stimmung" in den Messehallen und große Zufriedenheit bilanzierte Klaus Dittrich, Geschäftsführer der Messe München, nach der SYSTEMS. Zu den Highlights zählte der Veranstalter unter anderem die Mittelstandsorientierung mit einem Informationsangebot, das "in diesem Jahr in Qualität und Umfang neue Maßstäbe gesetzt hat", eine Rekordbeteiligung der Aussteller im Themenbereich IT-Sicherheit und ein Wachstum bei Ausstellern aus Mittel-Ost-Europa.
Nach einer Kurzumfrage des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien (BITKOM) hat die SYSTEMS 2005 auch die Erwartungen der Aussteller voll erfüllt. "Bei Gesprächen an den Ständen zeigten die Besucher eine weiter steigende Investitionsbereitschaft für moderne Informations- und Kommunikationssysteme", kommentierte BITKOM-Hauptgeschäftsführer Bernhard Rohleder. Die hohe Qualität der Gespräche lasse ein gutes Nachmessegeschäft erwarten. Im Mittelpunkt des Interesses hätten unter anderem Angebote rund um das Thema IT-Sicherheit, die Optimierung interner Prozesse sowie mobile Lösungen für den geschäftlichen Einsatz gestanden.
![[Foto: AlexSchelbert.de]](05-6-026-1.jpg)
Gut besucht zeigte sich die IT-SecurityArea (it-sa) in Halle B2, wo über 300 Aussteller rund um die IT-Sicherheit informierten.
Mit 1260 Ausstellern aus 23 Ländern verzeichnete die Messe erstmals seit 2000 wieder ein leichtes Wachstum (2004: 1229). Ende Oktober kamen fast 61 000 Besucher zur SYSTEMS, die laut Ergebnissen einer repräsentativen Besucherbefragung durch TNS Infratest rund 33 300 Unternehmen auf der Nachfragerseite repräsentiert haben. Der Anteil der Besucher aus dem Top-Management stieg der Erhebung zufolge im Vergleich zum Vorjahr um zwei Prozentpunkte auf 31 %.
55 % aller SYSTEMS-Besucher haben übrigens gezielt die IT-SecurityArea besucht oder wollten dies zum Zeitpunkt der Befragung noch tun. Und ebenfalls mehr als die Hälfte aller Besucher hat mindestens einen Vortrag auf einer der zahlreichen Bühnen in Halle B2 verfolgt – und war begeistert: 91 % dieser Messegäste bezeichneten die Qualität der Vorträge als ausgezeichnet bis gut.
Im Mittelpunkt der IT-SecurityArea (it-sa) in Halle B2 standen somit neben Ausstellungsständen zu Produkten und Dienstleistungen rund um die Informations-Sicherheit ganz klar auch die beiden Area-Foren "Management" und "Technik" mit über 250 Live-Hacking-Sessions, Demos, Diskussionsrunden und Vorträgen. Falls Sie dort etwas verpasst haben oder nicht nach München kommen konnten, gibt es eine "zweite Chance": Bis auf wenige Ausnahmen stehen alle diese Beiträge nun im Internet auf ![[externer Link]](../../../../images/link.gif)
www.it-sa.de als Video-Stream zur Verfügung – für viele Programmpunkte sind darüber hinaus auch Vortragsfolien oder Handouts zum Download vorhanden (in den ersten Wochen nach der Messe waren diese Materialien it-sa-Besuchern vorbehalten, sind nunmehr aber frei verfügbar).
Auch wer noch keinen IT-SecurityGuide sein Eigen nennen kann, hat noch eine Chance: Der 170-seitige Messeführer mit Profilen, Kontaktinformationen und – erstmals in diesem Jahr – auch einer rubrizierten Auflistung der Anbieter darf angesichts der großen Zahl der it-sa-Teilnehmer wohl mittlerweile als "Who-is-who" der Informations-Sicherheits-Branche gelten. Da noch einige Exemplare des Messeführers vorliegen, können diese kostenlos bei der SecuMedia Verlags-GmbH, Postfach 12 34, 55205 Ingelheim angefordert werden.
Die DSV-Gruppe (Deutscher Sparkassenverlag) erhielt auf der Messe von BSI-Präsident Dr. Udo Helmbrecht die Common-Criteria-Zertifizierungsurkunde für S-TRUST Sign-it (siehe Foto). Diese Software zur elektronischen Signatur dient der technischen Steuerung der SparkassenCard und ihrer Signatur-Zertifikate sowie der sicheren Anzeige zu signierender Dokumente. Seit August 2004 stehen den Sparkassen für einen geringen Aufpreis Geld-/Bankkarten zur Verfügung, die auch für die elektronische Signatur vorbereitet sind; derzeit sollen hiervon rund 2 Mio. im Markt sein. Bietet ein Institut seinen Kunden die entsprechende Dienstleistung an (ab Dezember 2005 bundesweit möglich), so kann dieser in einem zusätzlichen Aktivierungsschritt nach Auftragserteilung und Legitimation vor Ort sein qualifiziertes Zertifikat online auf die Karte übertragen; die (ebenfalls zusätzliche) Jahresgebühr hierfür beträgt kanpp 20 €. ( www.s-trust.de)
![[Foto: AlexSchelbert.de]](05-6-026-2.jpg)
Zertifikatsverleihung bei S-Trust: In der Bildmitte präsentieren BSI-Präsident Dr. Udo Helmbrecht und Dr. Rüdiger Mock-Hecker, Leiter der Geschäftssparte Kartensysteme des Deutschen Sparkassenverlags die Urkunden für Common-Criteria-Zertifizierung (EAL4+) und Signaturgesetzkonformität für S-TRUST Sign-it (weiter im Bild links: Henry Dattler, Präsident Openlimit Holding AG, Jürgen Schwemmer, Referatsleiter elektronische Signatur, Bundesnetzagentur, rechts: Fritz Fleischmann, Geschäftsführer Adobe Systems GmbH).
Die Initiative Deutschland sicher im Netz hat anlässlich der SYSTEMS ihr sechstes Handlungsversprechen erfüllt: die Bereitstellung eines "Online-Anwendungszentrums" und eines Testpakets "PKI-Zertifikate" für kleine und mittelständische Unternehmen (KMU) und Behörden. Die zuständigen Projektpartner für dieses Handlungsversprechen sind der TeleTrusT e. V. und die DSV-Gruppe (Deutscher Sparkassenverlag). Das Ziel des Online-Anwendungszentrums ist die Vermittlung von Know-how, das "für eine effektive Anwendung von zertifikatsbasierenden Sicherheitsmechanismen zum Zweck der Authentifizierung, Verschlüsselung und Signatur notwendig ist." Damit soll KMU der Zugang zu zusätzlichen Schutzmaßnahmen erleichtert und das Vertrauen in E-Business- und E-Government-Anwendungen gefördert werden. Zusätzlich stellt die Initiative 10 000 kostenlose (softwarebasierte) Public-Key-Zertifikate zu Testzwecken aus, die 60 Tage lang gültig sind und auf der Managed-PKI-Technik von VeriSign beruhen. ( www.sicher-im-netz.de / www.teletrust.de)
PGP hat unter anderem eine Lösung zur Mail-Verschlüsselung mit BlackBerry vorgestellt, die in Zusammenarbeit mit Research in Motion (RIM) entstanden ist. Das PGP Support Package für BlackBerry integriert von RIM softwareseitig "vorgerüstete" Geräte in PGP Universal und ermöglicht so (Open-)PGP-Ver- und Entschlüsselung, digitale Signatur sowie Signaturprüfung von E-Mails, die über BlackBerry-Geräte verschickt oder empfangen werden. Anwender müssen sich dazu lediglich mit ihrem Passwort anmelden – abgehende Nachrichten werden gemäß den zentralen Richtlinien der "virtuellen Poststelle" PGP Universal behandelt und gegebenenfalls automatisch verschlüsselt. Das System für native BlackBerrys soll noch in diesem Jahr verfügbar sein; für Java-Versionen ist eine Umsetzung nach Firmenangaben in Planung. ( www.pgp.com / www.blackberry.com)
Ein Handy mit sicherer Sprach-Verschlüsselung für GSM-Netze bietet Beaucom mit dem Enigma an. Jedes Telefon besitzt ein individuelles, im Trustcenter der Deutschen Telekom generiertes und zertifiziertes Schlüsselpaar, das auf einer eingebauten T-TeleSec NetKey-Card gespeichert ist. Chiffrierte Telefonate sind zwischen Enigma-Handys oder mit Festnetzanschlüssen hinter einer TeleSec LineCrypt Box möglich. Hierzu wird über die Chipkarten-Zertifikate ein 128-Bit-Session-Key vereinbart, der anschließend die verschlüsselte Sprachkommunikation über den GSM-Datenkanal überträgt. Das Enigma besitzt laut Anbieter ansonsten alle typischen Merkmale üblicher Business-Handys, Dual-Band-GSM, bis 350 Std. Stand-by, bis 7 Std. Sprechzeit, 106 g Gewicht. ( www.beaucom.de)
Rohde & Schwarz SIT hat das auf einer T-TeleSec-Hardware basierende R&S LineCrypt L mit einem kundeneigenen Trustcenter ergänzt, das es Anwendern ermöglicht, sämtliche Sicherheitsparameter eigenständig zu verwalten. Das Trustcenter-Management übernimmt auch die Erzeugung und Verwaltung von Zertifikaten und Chipkarten, die zur Nutzeridentifizierung dienen und alle sicherheitsrelevanten Daten wie Gerätezugehörigkeit und den Public Key des Anwenders enthalten. Das System ist bis zum Geheimhaltungsgrad VS-NfD (Verschluss-Sache, Nur für den Dienstgebrauch) zugelassen und arbeitet mit einer Hybrid-Verschlüsselung: Per RSA wird hierzu ein 128-Bit-IDEA-Session-Key ausgehandelt, der auf den Ausgaben eines Hardware-Zufallsgenerators beruht. LineCrypt L dient der geschützten Datenübertragung von IP-Paketen über Ethernet und liefert nach Herstellerangaben einen VPN-Durchsatz bis 10 MBit/s. ( www.rohde-schwarz.com/it-security/)
BalaBit IT Security haben ihr Application Level Gateway (ALG) Zorp Professional um neue Module für Voice over IP (VoIP) via Session Initiation Protocol (SIP) und für Secure-Shell-(SSH-)Verbindungen erweitert; damit stehen mittlerweile insgesamt 21 Proxies zur Verfügung. Ein Modul zur Kontrolle von verschlüsseltem Datenverkehr via SSL war schon bislang Teil von Zorp, nun lässt sich auch SSH auf der Firewall prüfen und bei Bedarf über die so genannten SSH-Forensics protokollieren. So will BalaBit neben der Protokollanalyse von SSH selbst auch für die transportierten Inhalte, zumeist Administrationsverbindungen, einen sicheren Audit Trail bereitstellen. Ergänzt wird das Modul noch um eine "4 Eyes Only"-Funktion, mit der das Proxy – laut Anbieter ohne Änderungsbedarf bei den Applikationen oder Diensten – für bestimmte Verbindungen die gleichzeitige Anmeldung zweier Administratoren erzwingen kann, die sich gegenseitig kontrollieren. Die neuen Module sind in die aktuelle Zorp-Version 3.1 integriert und stehen Kunden mit Wartungsvertrag über die Updates ohne weitere Kosten zur Verfügung. Als Einstiegspreis für Zorp Professional nennt BalaBit rund 2.000 € (Lizenz für 25 geschützte Systeme), die Version für Großunternehmen (inkl. Hochverfügbarkeitsoption und Virenschutz) koste circa 25.000 €. ( www.balabit.com)
![[Foto: AlexSchelbert.de]](05-6-026-3.jpg)
Nach Zählungen des Organisators fanden allein die Vorträge der beiden Hauptbühnen "Management" und "Technik" auf der IT-SecurityArea (it-sa) an den fünf Messetagen rund 15 000 Zuhörer.
Die Authentifizierungslösung PINsafe von Swivel ermöglicht die Verwendung von Pseudo-Einmalpasswörtern ohne Token – streng genommen handelt es sich um ein Challenge/Response-Schema. Das System sendet hierzu dem Anwender einen zufälligen, so genannten Security-String aus 10 Zeichen, aus denen dieser als Passcode diejenigen Stellen auswählt, die seiner PIN entsprechen: Mit der PIN 1234 wären das also beispielsweise immer die ersten vier Zeichen. Um keine Rückschlüsse auf die PIN zuzulassen, wird der Security-String entweder über einen unabhängigen Kanal (SMS oder Java-Applikation im Handy oder PDA) oder in Form einer speziell gestalteten Grafik übertragen (z. B. per SSL-Verbindung im Browser), die eine Texterkennung unmöglich machen soll. PINsafe in Version 3.1 umfasst ein Gina-Replacement zum Windows-Login und nutzt zur Benutzerverwaltung Active Directory, LDAP oder ein eigenes XML-Repository; laut Hersteller wurde zudem die RADIUS-Unterstützung erweitert. Das Produkt ist entweder als Linux-Appliance oder als reine Softwarelösung für Windows, Linux und Solaris verfügbar – als US-Preis nennt der Hersteller eine Mengenstaffel von 1–80 US-$ pro User für eine "Lizenz auf Lebenszeit". ( www.swivelsecure.com)
Elcomsoft hat seine Software-Tools zur Prüfung und Wiederherstellung von Passwörtern in verbreiteten Systemen präsentiert. Die Tools heben dabei entweder (unsichere) Schutzmechanismen auf oder arbeiten mithilfe von Brute-Force- und Wörterbuch-Attacken. Recovery-Software ist von Elcomsoft für über 80 verschiedene Datei- und Dokumenttypen verfügbar, unter anderem für die verbreiteten Office-Anwendungen, Archiv-/Kompressions- und Mail-Programme sowie Windows-Anmeldepasswörter und betriebssystemnahe Funktionen (Bildschirmschoner usw.). Der Proactive Password Auditor dient hingegen zur vorsorglichen Prüfung von Systemen auf unsichere Passwörter, Advanced EFS Data Recovery soll – auch bei defektem Betriebssystem – die Entschlüsselung von Windows EFS ermöglichen. Die Software des russischen Unternehmens ist online zu bestellen, Kontakttelefonnummern sind auch in Deutschland, UK und den USA verfügbar. ( www.elcomsoft.com)
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#6, Seite 26
| 