![[Coverscan Tagungsband]](tagungsband.jpg)
Tagungsband TagungsbandMobile Technologien, wie mobile Geräte, drahtlose Kommunikationsverbindungen und mobile Dienste und Anwendungen erschließen für Unternehmen neue Geschäftsmöglichkeiten und können zur effizienteren und effektiveren Ressourcennutzung beitragen, wodurch sich erhebliche Kosten einsparen lassen. Eine offene und auch mobil nutzbare IT-Infrastruktur ermöglicht Kunden den direkten Zugriff auf die vom Unternehmen angebotenen Dienste. Auch Geschäftspartner, Zulieferer und natürlich die mobilen Mitarbeiter können jederzeit auf das Unternehmensnetz und seine Ressourcen zugreifen. Aber auch das Privatleben wird durch den Einsatz mobiler Technologien nachhaltig verändert. Mit den Schlagworten "anytime, anywhere, with anyone" wird verdeutlicht, dass ein Zugriff auf Informations-Ressourcen nahezu überall, zu jeder Zeit und ein Austausch digitaler Inhalte mit jedermann möglich wird. Neben den daraus resultierenden Vorteilen sowohl für Privatperson als auch für Unternehmen ergeben sich aber auch erhebliche neue Sicherheitsrisiken.
Der Beitrag erläutert einige Chancen, die sich aus der Nutzung und systematischen Integration mobiler Technologien ergeben können. Er erklärt aber insbesondere die möglichen Sicherheitsrisiken, die beim Einsatz mobiler Technologien zu beachten sind.
Im Anfang 2004 in Kraft getretenen Gesundheitsmodernisierungsgesetz ist vorgesehen, dass die elektronische Gesundheitskarte von Anfang 2006 an flächendeckend in der Bundesrepublik eingeführt wird. Inzwischen ist der Zeitplan nicht mehr ganz so ehrgeizig: Selbst die Bundesgesundheitsministerin hat eingesehen, dass 2006 allenfalls mit der schrittweisen Einführung begonnen werden kann. Bis alle Bürgerinnen und Bürger die Karte haben, soll es noch mehrere Jahre dauern. Der ehrgeizige Zeitplan hat zweifellos seinen Zweck gehabt. Nur so konnte der politische, technische und wirtschaftliche Druck auf alle Beteiligten ausgeübt werden, ihren Beitrag zur gemeinsamen Einführung zu leisten und sich bei den vielen nötigen Abstimmungsprozessen zu einigen. Dennoch begrüße ich es sehr, dass die flächendeckende Einführung nicht überstürzt wird. Die Einführung neuer Technologien lässt sich nicht politisch oder gesetzlich verordnen. Es muss vielmehr ein komplexes Verfahren stattfinden mit technischen, sozialen und kulturellen Komponenten. Dies gilt generell, erst recht aber für ein derart anspruchsvolles Projekt wie die elektronische Gesundheitskarte, bei dem höchst sensible Daten in einer großen Telematik-Infrastruktur verarbeitet werden sollen, an der Tausende äußerst heterogener Parteien beteiligt sein sollen.
Nach einer kurzen Einführung in die Themen, die sich um den Datenaustausch per E-Mail bewegen, wird auf die Probleme der Absenderauthentifizierung und die verschiedenen Lösungsvorschläge kurz eingegangen. Es werden kurz die Verfahren Sender Policy Framework, Sender-ID und Domain Key Verfahren vorgestellt. Anschließend wird auf das Secure Mail Gateway Profile eingegangen und der Hintergrund für die Entwicklung angesprochen. Es wird die Funktionsweise und der Einsatzbereich vorgestellt. Anschließend wird auf die bekannten Interoperabilitätsprobleme hingewiesen. Gemeinsam sind der Absenderauthentifizierung und dem Secure Mail Gateway Profile, dass über zusätzliche Einträge im DNS nachgedacht wird. Jedoch muss hinterfragt werden, ob dies der richtige Platz ist. Der Domain Name Service hat keinerlei technische Sicherheitsmechanismen derzeit implementiert und weshalb sollte ein User dem DNS Eintrag vertrauen?
Stichworte: Sender Policy Framework, Sender-ID, Domain Key Verfahren, Secure Mail Gateway Profile, Absenderauthentifzierung, Domain Name Service
Die Web-Identität eines Benutzers ist zentraler Bestandteil eines Geschäftsprozesses und Ausgangspunkt vertraglich gebundener Transaktionen im eBusiness. Diese Identität wird in der Regel durch Preisgabe persönlicher Informationen (PIN, TAN) authentisiert. Eine neue Generation von Angriffen versucht über gefälschte Webseiten, die eine authentische und gesicherte Seite möglichst genau nachbilden, Benutzer zur Preisgabe ihrer Identität und der persönlichen Informationen zu verleiten. Sie werden meist unter dem Begriff "Phishing-Angriffe" zusammengefasst.
In diesem Beitrag werden die charakteristischen Eigenschaften von Phishing-Angriffen vorgestellt, mögliche Angriffsszenarien erläutert und effektive Maßnahmen vorgestellt, durch die sich der Benutzer vor dieser Angriffswelle schützen kann. Ziel dieses Beitrages ist es zu demonstrieren, dass sich Benutzer verhältnismäßig einfach vor diesen Angriffen schützen können.
Stichworte: Phishing, Visual Spoofing, Web-Identität, Identitätsdiebstahl
Web Application Security, die Sicherheit von Webanwendungen, ist eine noch sehr junge Disziplin innerhalb der IT-Security. Eine systematische Darstellung existiert bisher ebenso wenig wie eine methodische Aufbereitung für den praktischen Umgang. Im vorliegenden Papier nennen wir sechs Themenbereiche, aus denen sich die Web Application Security zusammen setzt, grenzen diese gegen verwandte Felder der IT-Security ab und machen einen Vorschlag für eine Darstellung in einem Ebenenmodell.
Stichworte: Web Application Security, Sicherheit von Webanwendungen, Anwendungssicherheit, Klassifizierung
Plastikkarten zur Authentisierung sind heute allgegenwärtig. Im Portemonnaie der meisten Bürger befinden sich eine Vielzahl davon, z.B. Kreditkarte, Bankkarte, Mitarbeiter- und Krankenkassenausweis. An eine Multifunktionskarte, die einen Großteil der Karten durch eine einzige ersetzen soll, werden folgende Anforderungen gestellt: Kontrollmöglichkeit der Zugriffsrechte, Sicherstellung der Privatsphäre, hohe Speicherkapazität, Fälschungssicherheit und akzeptable Kosten auch für die Schreib-/Lesegeräte.
Diese Anforderungen werden von einem Kartensystem auf Basis photoadressierbarer Polymer als Speichermedium und einer speziellen holographischen Speichertechnik erfüllt.
Stichworte: Holographische Datenspeicherung, Hardware-Verschlüsselung, Multifunktionskarte, photoadressierbare Polymere
Die deutsche Kreditwirtschaft wird künftig vermehrt Chipkarten auf der Grundlage des EMV-Standards ausgeben. Auf Protokollebene wird die Sicherheit dabei durch die in EMV definierten kryptographischen Abläufe gewährleistet. Die Veröffentlichung legt nach einer einführenden Betrachtung der Historie und einer kurzen Darlegung der Ziele der Kartengesellschaften die grundlegenden Sicherheitsmechanismen von EMV dar. Stichworte: EMV, Chipkarte, chipbasierte Zahlungssysteme
Wo steht die IT-Sicherheit in Deutschland heute?
Die Informationstechnik ist ständiger Begleiter der Menschen geworden. Sie hat unsere Lebens- und Arbeitswelt bereits grundlegend verändert und beeinflusst das Kommunikations- und Lernverhalten. E-Mails und das Internet sind heute die am stärksten genutzten Kommunikationsmedien.
Die Bürgerinnen und Bürger kaufen über das Internet ein oder betreiben Recherchen, die Wirtschaft erledigt Bestellungen und steuert Warenflüsse über das Internet und die Verwaltung tauscht Informationen mit anderen Behörden, mit Unternehmen und den Bürgerinnen und Bürgern über das Internet aus.
Die Einführung biometrischer Systeme ist mit einer Reihe von technischen und organisatorischen Herausforderungen verbunden. Es gibt verschiedene Realisierungsalternativen, die hinsichtlich des angestrebten Zielszenarios (Anwendung, Umgebung, Benutzergruppe) ausgewählt und geeignet umgesetzt werden müssen. Der vorliegende Beitrag beschreibt diese Alternativen. Daran anschließend wird dargestellt, welche Besonderheiten in den einzelnen Projektschritten Berücksichtigung finden müssen, um eine erfolgreiche Einführung eines biometrischen Systems zu gewährleisten.
Biometrische Anwendungen können auf unterschiedlichste Weise digitale Identitäten gewährleisten und die Authentizität und Identität elektronischer Prozesse sichern. Häufig konzentriert sich der Fokus bei der Betrachtung von Biometrie-Anwendungen auf die Zutrittskontrolle. Dort werden übliche passive Körpermerkmale zur Authentifizierung oder Identifizierung herangezogen. Bei der Verarbeitung von Dokumenten eignen sich verhaltenstypische Merkmale besser, da sie eine aktive Handlung erfordern. Im nachfolgenden Praxisbericht des Klinikums Ingolstadt wird vorgestellt, wie die eigenhändige Unterschrift elektronische Formulare absichert. Aufgezeigt werden die Erfahrungen mit der Akzeptanz technischer und organisatorischer Maßnahmen durch die Nutzer ebenso wie das Zusammenspiel mit Zertifikaten. Viele Aspekte lassen sich auch auf andere Branchen übertragen. Darüber hinaus diskutiert der Beitrag Informationen aus der Praxis im Kontext um die allgemeine Debatte zur Einführung der Patientenkarte und der Karte für Angehörige der Heilberufe ("Health Professional Card").
Das niederländische Justizministerium hat als Reaktion auf eine interne Risikoanalyse ein Projekt namens "ROBIN" umgesetzt, dessen Ziel die Verbesserung der Sicherheit beim Zugang zum Arbeitsplatz sowie bei der Bearbeitung und Übertragung von Dokumenten ist. Als Sicherheitstoken, welches jedem Mitarbeiter ausgestellt wird, fiel die Wahl auf eine biometrie-basierte Chipkarte, die mittels Fingerabdruck aktiviert wird. Der vorliegende Beitrag erläutert, wie dieses biometrie-basierte Sicherheitssystem konzipiert und aufgebaut wurde, beschreibt den aktuellen Stand der Lösung und gibt einen kurzen Ausblick auf die geplanten Erweiterungen.
Stichworte: Digitale Signatur, Biometrie, Chipkarte, Digitale Identität
Wir beschreiben ein faires DRM-Verfahren, mit dessen Hilfe es möglich ist, die nach gängigem Rechtsempfinden erlaubten sieben Privatkopien anzufertigen, bei dem aber ab der achten (nicht mehr erlaubten) Privatkopie eine hohe Wahrscheinlichkeit besteht, wegen Piraterie zur Rechenschaft gezogen zu werden. Zur Realisierung dieses Verfahrens werden Secret-Sharing-Schemata eingesetzt, die es ermöglichen, dass die Identität eines Nutzers erst dann von einer zentralen Instanz aufgedeckt werden kann, wenn ein Nutzungsrechts-Verstoß vorliegt. Solange ein Nutzer sich an die Lizenzbedingungen hält, bleibt seine Anonymität gewahrt. Die Anzahl der zulässigen Privatkopien (z. B. 7) ist parametrisierbar.
Dieser Beitrag differenziert und beschreibt technische DRM-Mechanismen und stellt Anwendungs-szenarien vor. In der Folge werden datenschutzrechtliche Aspekte und Problemfelder beleuchtet und das Spannungsverhältnis zwischen informationellem Selbstbestimmungsrecht der Nutzer und geistigen Eigentumsrechten der Urheber und Verwerter auf.
Stichworte: DRM, Digital Rights Management, informationelle Selbstbestimmung, Datenschutz
In diesem Artikel stellen wir den Einsatz von Digital Rights Management (DRM) im Rahmen des Ubiquitous Computing vor. Unser Ansatz basiert auf einem DRM Standard der Open Mobile Alliance (OMA). Wir erweitern diesen Standard um wichtige Funktionen für den praktischen Einsatz und stellen eine DRM-Systemarchitektur vor, die für den Einsatz in ubiquitären Umgebungen besonders geeignet ist. Zum einen werden die Interessen der Anbieter nach Schutz ihrer hochwertigen Multimedia-Inhalte vor unberechtigter Nutzung berücksichtigt. Zum anderen wird für eine höhere Akzeptanz seitens mobiler Nutzer auf weit verbreitete existierende Technologien wie SIM-Karten zurückgegriffen.
Stichworte: Digital Rights Management, DRM, Ubiquitous Computing
Bei der Entwicklung nahezu aller Rechnerplattformen war Sicherheit und Integrität nie ein vorrangiges Designkriterium. Genau dieses ist mittlerweile jedoch zu einer der wichtigsten Architekturanforderungen aufgestiegen und im Rahmen der Trusted Computing Group (TCG) wurde erstmals auf breiter Basis ein Standard entwickelt und spezifiziert, der diese Forderung umfassend adressiert. Das Ziel "Plattform-Integrität" erfordert zwar weit mehr als nur ein Trusted Platform Module (TPM) auf dem Motherboard und ist daher erst im Zeitraum der nächsten Jahre zu erreichen, wenn dann auch BIOS, Betriebssystem, Hardware und Applikationen an die Anforderungen und Möglichkeiten des TCG-Standards adaptiert sind – dennoch können bereits heute viele wichtige Anwendungen einen hohen Zusatznutzen aus der zur Verfügung stehenden Technik ziehen. Am weitesten fortgeschritten ist die Einführung des TCG Standards auf der Plattform "PC" unter dem Betriebssystem Microsoft Windows®. Die stark gestiegenen Anstrengungen auf anderen Betriebssystemen und Plattformen, z.B. LINUX, PDA, Mobiltelefone und Automobile lassen ein rasches Nachziehen erwarten.
Der Beitrag gibt einen Überblick über Konzept und Technik einer TPM-basierten Plattform und die relevanten Sicherheitsapplikationen aus heutiger Sicht. Durch die Kenntnisse des zugrunde liegenden Konzeptes eines TPM-unterstützten Systems soll eine Anregung gegeben werden, über weitere Anwendungsmöglichkeiten zu diskutieren.
Stichworte: Trusted Computing, Platform Security, TPM, TCG, Sicherheitsapplikationen
Die vorgestellte Lösung bietet eine multilateral-sichere Rechnerplattform durch eine effiziente Migration existierender Betriebssysteme, einer Mikrokern-basierten Security Software Layer und der von der Trusted Computing Group zur Verfügung gestellten Hardwarefunktionalität (TCG, LaGrande). Im Sinne multilateraler Sicherheit soll diese Plattform die Durchsetzung unterschiedlicher Sicherheitsregeln (policy enforcement) von unterschiedlichen Parteien (z.B. Endbenutzern und Inhalteanbietern) mit verschiedenen Interessen ermöglichen. Die vorgestellte Plattform bietet somit die Basis für die Realisierung zahlreicher innovativer Geschäftsmodelle, vor allem im Bereich Digital Rights Management (DRM), unter Abwendung der von der Öffentlichkeit und den Datenschützern befürchteten potentiellen Gefahren von Trusted Computing Plattformen.
Stichworte: DRM, Mikrokern, Open-Source, Trusted Computing, TCG, TPM
Da die IT-Sicherheit in einer Institution nicht nur von technischen Aspekten, sondern auch vom menschlichen Faktor abhängt, spielt das Sicherheitsbewusstsein der Mitarbeiter eine wesentliche Rolle für die Erreichung eines angemessenen IT-Sicherheitsniveaus.
Eine IT-Sicherheitskultur in einer Institution zu schaffen ist keine triviale Aufgabe. Ein langer und kontinuierlicher Prozess ist dazu notwendig, denn Menschen fällt es erfahrungsgemäß schwer, ihr Verhalten zu ändern und sie fallen leicht in ihre alten Gewohnheiten zurück. Zur Erhöhung des Sicherheitsbewusstseins wird die Kooperation aller benötigt; eine entscheidende Rolle spielt dabei, wie beim gesamten IT-Sicherheitsprozess, die Haltung der Geschäftsleitung.
Die Sensibilisierung und Schulung zur IT-Sicherheit stellen einen wesentlichen Teil in der Umsetzung und Aufrechterhaltung des IT-Sicherheitskonzeptes dar. Dieser Tatsache trägt der IT-Grundschutz mit dem neuen Baustein zur "Schulung" Rechnung. Die Grundlinien dieses Bausteins werden in diesem Artikel präsentiert.
Der Schutz kritischer Infrastrukturen ist in den vergangenen drei Jahren deutlich intensiver betrachtet worden als vor den Terroranschlägen vom 11. September 2001. Der Wunsch nach schnellen Fortschritten hat dabei naturgemäß zunächst die operative Perspektive bestehender Infrastrukturen in den Vordergrund gestellt. In der folgenden Betrachtung wird die Rolle der technologischen Perspektive zur Erzielung mittel- und langfristiger Fortschritte geschildert und die Notwendigkeit eines parallelen Ansatzes unter Berücksichtigung sowohl der operativen als auch der technologischen Möglichkeiten zum Schutz kritischer Infrastrukturen aufgewiesen.
Zukünftige Architekturen der Informationstechnik werden aufgrund ihrer steigenden Komplexität und breiten Anwendungsanforderungen insbesondere für den mobilen Einsatz die Aspekte der Sicherheit und Vertrauenswürdigkeit in einer mikrokernbasierten Plattform verankern. Diese Plattform, die den Kern der vertrauenswürdigen Codebasis darstellt und die zusätzlich mit Hardwareunterstützung gesichert werden kann, ist schon jetzt durchaus in der Lage mit verfügbarer Hardware Sicherungs-mechanismen für Speicherschutz und Zugriffskontrolle umzusetzen. Daneben muss die mikro-kern-basierte Plattform neben einer effizienten Kommunikationsinfrastruktur auch eine Virtualisierungs-schicht bereitstellen, damit sogenannte Legacy-Betriebssysteme dem Nutzer zur Verfügung stehen. Dieser Artikel gibt eine Übersicht über die wesentlichen Komponenten und Anforderungen an diese Sicherheitsarchitektur.
Stichworte: Mikrokern-Technologie, Virtualisierung, Zugriffskontrolle, Vertrauenswürdige Codebasis, Speicherschutz.
We present an operating system independent hypervisor security architecture and its application to control information flow between operating systems sharing a single hardware platform. New computing paradigms -such as Grid computing, On-demand services, or Web Services- increasingly depend on the security of the underlying computing infrastructure. A fundamental security problem today is that almost all available security controls for protecting the computing infrastructure rely on the security expected from the operating system. However, common off-the-shelf operating systems are too large and complex to provide the security guarantees required for critical applications. Hypervisors are becoming a ubiquitous virtualization layer on client and server systems. They are designed to isolate operating systems by running them in isolated run-time environments on a single hardware platform. Thus, a malicious or manipulated OS can be isolated and security breaches can be contained within it. However, since distributed services need resource sharing, operating systems must be allowed to co-operate. Our contribution in this paper is the extension of a full-isolation hypervisor with security mechanisms that enable controlled resource sharing between virtual machines to secure this co-operation. We have successfully implemented our hypervisor security architecture (sHype) into a fully functional multi-platform research hypervisor (vHype). sHype implements a security reference monitor interface in the hypervisor to enforce information flow constraints between virtual machines.
Stichworte: Virtualization, Hypervisor, Security, Mandatory Access Control, Reference Monitor, Security Policy
Das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik stellt einen de-facto-Standard für die Erstellung von IT-Sicherheitskonzepten dar, das genutzt wurde, um die Anforderungen an einen sicheren Betrieb der Virtuellen Poststelle des Bundes – der Basiskomponente "Datensicherheit" der Initiative BundOnline 2005 – zu formulieren. Eine besondere Herausforderung war dabei, die Vielzahl von Einsatzszenarien und möglichen Konfigurationen der Virtuellen Poststelle in einem generischen Sicherheitskonzept gleichermaßen zu berücksichtigen und Handlungsempfehlungen für den jeweiligen Betreiber für die erforderliche Konkretisierung zu geben.
Stichworte: IT-Grundschutz, Virtuelle Poststelle, e-Government, BundOnline 2005
Vorgaben zur IT-Sicherheit entstehen heutzutage in ziemlich unterschiedlichen Organisationen wie Parlamenten, öffentlichen und privaten Standardisierungsgremien oder Stabsabteilungen und treffen dann den umsetzenden Praktiker in jeweils neuer Variante mehrfach an inhaltlich gleichen Arbeitspunkten. So kann die Umsetzung neuer Gesetze wie Sarbanes-Oxley-Act oder die Einführung von Standards wie IT-Grundschutz [0] , BS 7799 [1], COBIT [2], ITIL [3], ISO 9001 [4] in komplexen Industriekonzernen eine Lawine von Arbeit und nachfolgender Pflege auslösen. Um diese Herausforderung wirtschaftlich zu lösen, hat Bayer Business Services GmbH unter dem Namen BYTsec bestehende und neue Konzepte, Vorgehen und Methoden sowie Werkzeuge aufeinander abgestimmt. BYTsec kann viel Zeit und Aufwand einsparen, weil eine einheitliche Systematik entwickelt worden ist, die Elemente aus den verschiedenen Ansätzen von IT-Grundschutz, BS 7799, ITIL und ISO 9001 harmonisch zusammenfügt. Dabei können die Vorgabewerke mit ihrer jeweiligen Stärke zur Lösung beitragen und werden gleichzeitig eingeführt.
Mithilfe eines allgemeinen Modells für die Verwaltung und Distribution von digitalen Rechten im Online-Handel sollen verschiedene DRM-Systeme erfasst und ihre funktionalen Komponenten beschrieben werden. Die DRM-Verfahren werden in einen allgemeinen Rahmen gestellt und so vergleichbar gemacht. Schwerpunkt der Betrachtung sind die Sicherheitsrisiken solcher Systeme. Es wird sodann diskutiert, wie diese Betrachtung die Grundlage für ein Schutzprofil (nach den "Common Criteria") für DRM-Systeme bildet und welche Vorteile eine Erstellung und Zertifizierung eines solchen Profils hat. Die Gültigkeit des Modells wird anhand einer Referenzimplementierung veranschaulicht.
Stichwörter: DRM, Online-Verkaufsplattform, Online-Handel, OMA, MMP, Microsoft WMS, CC – Common Criteria, Schutzprofil.
The Common Criteria are the information security evaluation criteria, covering the whole range: from operating systems to applications, from smart cards to copiers and even fighter jet components. This success is based on several factors, the two most important being: global mutual recognition of certificates and standardized methodology. This presentation will explain these aspects and why they work.
Stichworte: Common Criteria, CC, mutual recognition
Chipkarten als wichtige persönliche Sicherheitsgeräte gehören zu den am häufigsten Common Criteria zertifizierten Produkten. Der Beitrag beschreibt spezielle Aspekte und Erfahrungen der Chipkartenevaluierungen. Er stellt Aktivitäten der Chipindustrie, der Prüf- und Zertifizierungsstellen zur Verbesserung ihrer Effektivität und der Zuverlässigkeit ihrer Resultate vor.
Stichworte: Chipkarten, Common Criteria Evaluierung, CC unterstützende Dokumente
Als eines der wichtigsten Glieder der Sicherheitskette rücken die Mitarbeiter zunehmend in den Blickpunkt der IT-Sicherheit in Unternehmen. Bisherige Konzepte zur Steigerung der Awareness und damit der Verbesserung der Sicherheit setzen allein auf klassische Lehrinstrumente wie Seminare und E-Learning. In diesem Beitrag schlagen wir ein neues Konzept vor. Diesem liegt die Annahme zugrunde, dass ein Anwender sein Verhalten am ehesten dann langfristig und nachhaltig ändert, wenn er einmal mögliche Gefahren selbst erlebt und erkannt hat. Wir nennen unseren Ansatz daher Awareness by Doing. Als zweiten Schritt schlagen wir eine Längsschnittstudie vor, die den Erfolg unseres Konzepts überprüfen soll.
Stichworte: Awareness, Demonstrationszentrum, IT-Sicherheit, Penetrationstest, Sensibilisierung
In wachsendem Maße rückt – aus gutem Grund – die Sensibilisierung der Nutzer in den Fokus der Informationssicherheit. Zahlreiche Unternehmen haben Maßnahmen ergriffen, um ihre Mitarbeiter zu einem angemessenen Umgang mit den ihnen anvertrauten Informationen und der Informationstechnik anzuleiten und zu motivieren. Da diese Maßnahmen auf Einstellungs- und Verhaltensänderungen der Mitarbeiter zielen, reichen isolierte Einzelaktionen in der Regel nicht – erst eine systematische Bündelung eines "bunten", thematisch fokussierten Maßnahmenmixes unter dem Dach einer "Security Awareness Kampagne" zur Ansprache der Mitarbeiter auf unterschiedlichen (Kommunikations-) Ebenen kann diesen Anspruch erfüllen. Der Beitrag gibt einen Überblick über die Erfahrungen aus zahlreichen Awareness-Kampagnen in mittelständischen und großen Unternehmen.
Stichworte: Sensibilisierung für IT-Sicherheit, Awareness
Lange Zeit wurde behauptet, dass Open Source Software nicht nach den Common Criteria evaluiert werden kann. Diese Behauptung wurde durch die Evaluationen von verschiedenen Linux-Distributionen widerlegt. Allerdings lag diesen Evaluationen bisher immer eine kommerzielle Distribution zu Grunde. Somit bleibt die generelle Frage offen, ob ein reines Open Source Produkt nach den Common Criteria evaluierbar ist.
In diesem Beitrag werden die Erfahrungen der bisher durchgeführten Evaluationen von SUSE und Red Hat Linux Distributionen herangezogen um die Möglichkeit der Evaluation eines reinen Open Source Produktes zu untersuchen.
Stichworte: Open Source, Common Criteria, Software Entwicklung
Ökonomische Gründe und ein bestmöglicher Wertschöpfungsprozess erfordern einen geregelten IT-Betrieb, der ohne frühzeitige Konzeption, angemessenen Sicherheitsmaßnahmen und einer regelmäßigen Überprüfung nicht gewährleistet werden kann. Wachsende Verletzbarkeit und das Risiko unkalkulierbarer monetärer Schäden durch IT-Gefahren erhöhen den Handlungsdruck, durch aktives IT-Sicherheitsmanagement potenzielle Schäden im Vorfeld zu unterbinden und parallel das verbleibende Restrisiko zu minimieren.
Als umfassendes Werkzeug zur Entwicklung eines Sicherheitsmanagementsystems kann das IT-Grundschutzhandbuch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) dienen, welches sich, besonders in Deutschland aber auch in anderen Ländern, mit seinen Definitionen von Sicherheitsrichtlinien als Standardwerk zur IT-Sicherheit durchgesetzt hat.
Die Firma buw Holding GmbH buw führt als erstes und bisher einziges Unternehmen der Customer Care Branche mit dem IT-Grundschutz-Zertifikat einen vertrauenswürdigen Nachweis, dass alle Maßnahmebündel nach dem IT-Grundschutzhandbuch berücksichtigt und in der erforderlichen Tiefe umgesetzt wurden.
Stichworte: IT-Grundschutz, IT-Grundschutz-Handbuch, IT-Grundschutz-Zertifizierung, IT-Grundschutz-Zertifikat, BSI, Bundesamt für Sicherheit in der Informationstechnik, Mittelstand, Dienstleistungsunternehmen, Customer Care Branche
The Secure Communications Interoperability Protocol (SCIP), also known widely by its original name, Future NarrowBand Digital Terminal (FNBDT), was initially conceived in the 1990's by the United States National Security Agency (NSA) as the mechanism to achieve global secure interoperability between all of its future high grade (Type 1) secure voice communications products. The FNBDT signaling plan was designed and developed to be independent of the underlying network to enable secure voice products to interoperate with each other regardless of the infrastructure or network on which the products are operating. It relies on the Secure End Terminals and the commercial telecommunications network to establish an end-to-end digital data connection and then uses that connection to negotiate the best common mode of operation. This scheme can be applied over any network or concatenation of networks over which an end-to-end digital connection can be achieved. Over the last several years, NSA has shared FNBDT with many of its closest partners to enable them to build their own secure communications products and achieve secure interoperability not only with the U.S., but with other nations building FNBDT products. This goal of international interoperability has lead to the introduction of FNBDT to NATO and the NATO Nations and the formation of the International Interoperability Control Working Group (I-ICWG).
Stichworte: Secure Communications Interoperability Protocol (SCIP), Future NarrowBand Digital Terminal (FNBDT), National Security Agency (NSA), NATO, International Interoperability Control Working Group (I-ICWG)
Der Wunsch nach der Interoperabilität verschlüsselter Sprach-/Datenverbindung losgelöst von der zugrundeliegenden Netzwerktechnologie und mit zusätzlicher Ende-zu-Ende Authentikation war sicher ein wesentlicher Motivationsgrund für das ursprüngliche FNBDT (Future Narrow Band Digital Terminal) Programm der amerikanischen Sicherheitsbehörde NSA. Bedingt durch die heterogene Netztopologie öffentlicher, behördlicher und militärischer Netze wird die Netzwerk-Unabhängigkeit eines solchen Sicherheitsprotokolls zu einer Schlüsselforderung. Zusätzlich führt die Zunahme weltweiter multinationaler Einsätze zur Notwendigkeit der Interoperabilität unterschiedlicher Kommunikationssysteme der beteiligten Partnernationen. Dies sind wesentliche Argumente für die NATO, auf das Angebot der amerikanischen Sicherheitsbehörde einzugehen, die FNBDT Technologie für die eigenen Belange zu prüfen und nutzbar zu machen.
Stichworte: Interoperabilität, Netzwerk-Unabhängigkeit, NATO, Future Narrowband Digital Terminal (FNBDT), ElcroDat 6-2, ElcroDat 5.4, SINA, Sprachvocoder
An ambient world is a world that offers seamless access to information and services. In addition, in the ambient world devices and services are supposed to recognize individuals, in order to demonstrate personalized and anticipatory behaviour.
Scenarios that describe an ambient world envisage lots of devices of all kinds of sizes that interact via networks of all kinds of sizes varying from the Internet, local area networks, short range sensor networks, or even body area networks. These devices will exchange all kinds of information in order to provide the ambient behaviour.
The inherently distributed nature of devices and information in an ambient world puts new challenges to security and privacy technologies. Security issues play an important role where it comes to authenticating and authorizing devices and services, as well as providing access to information. Especially the ad-hoc nature of the networks in an ambient world requires new security approaches.
The talk will address the above mentioned issues in more detail, by giving specific examples and possible solutions to the security and privacy issues that arise in an ambient world.
| 