3ureohph - IT-Dienstleistungszentrum Berlin

Weitere Magazine

Empfehlungen

Info

ç von Bund, Ländern und Gemeinden durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) aufgebaut. Ihr können sich Institutionen der öffentlichen Verwaltung anschließen. Der Anschluss an die PKI-1-Verwaltung kann über den Aufbau einer eigenen CA, die von der Verwaltungs-PCA zertifiziert wird oder über den Bezug von E-Mail-Zertifikaten der TESTA-CA erfolgen. Die TESTA-CA ist eine autorisierte CA der PKI-1-Verwaltung und wird von der TeleSec betrieben. Das Konzept der PKI-1-Verwaltung betrifft ausschließlich Sicherheitsanforderungen der elektronischen Kommunikation durch den Einsatz von Verschlüsselung und fortgeschrittener elektronischer Signatur. Die folgenden Sicherheitsanforderungen werden bei der elektronischen Kommunikation gewährleistet: • Vertraulichkeit (Das elektronische Dokument kann von Unberechtigten nicht gelesen werden. Die Vertraulichkeit wird durch Verschlüsselung garantiert.) • Integrität (Unbefugte Manipulation durch Einfügen, Ändern oder Löschen des Dokumentes wird entdeckt. Dieser Sicherheitsaspekt wird durch eine elektronische Signatur erreicht.) • Authentizität (Das Dokument stammt wirklich vom angegebenen Ursprung, d.h. die Identität des Kommunikationspartners ist zweifelsfrei beweisbar. Dieser Sicherheitsaspekt wird durch eine elektronische Signatur erreicht.) Bei der PKI-1-Verwaltung besteht eine Verbindung zur Bridge-CA, die eine mit der PKI-1-Verwaltung und anderen PKI‘en assoziierte Instanz ist. Ihre Aufgabe besteht darin, durch eine Brücke des Vertrauens bestehende PKI‘en miteinander zu verbinden und die Voraussetzung für sichere Kommunikation zwischen der öffentlichen Verwaltung und der Wirtschaft zu schaffen. Dies erfolgt über die Kopplung verschiedener PKI‘en, denen gegenseitig eine unterschriebene Liste der PCA- Zertifikate der angeschlossenen PKI‘en zur Verfügung gestellt wird. Bei diesem Konzept wird die Eigenständigkeit bestehender PKI‘en nicht beeinträchtigt. Abbildung 3 2 2/01 2 6 Welches Vorgehen plant der LIT? Der LIT plant den Anschluss an die PKI-1-Verwaltung durch den Aufbau einer CA zur E-Mail-Zertifizierung, die von der Wurzelzertifizierungsstelle der PKI-1-Verwaltung (PCA) beglaubigt wird (vgl. Abbildung 3). Dadurch erhalten LIT-Kunden Zugang zu der PKI-1- Verwaltung mit den dazugehörigen Verzeichnisdiensten. Sie können elektronische Geschäftsvorgänge mit Kollegen von Bund und Ländern über verschlüsselte und signierte Kommunikation bearbeiten und austauschen, ohne zuvor die unbekannte Zertifizierungsinstanz akzeptieren zu müssen. Als Zertifizierungssoftware soll der Microsoft Windows 2000 Server eingesetzt werden. Vorteilhaft ist, dass das Land Bayern mit der gleichen Zertifizierungssoftware innerhalb der PKI-1-Verwaltung arbeitet und dadurch ein Synergieeffekt durch gegenseitigen Informationsaustausch und ggf. Zusammenarbeit gegeben ist. Darüber hinaus planen weitere Bundesländer ebenfalls den Anschluss an die PKI-1-Verwaltung. Der Aufbau und Betrieb einer CA im LIT, die von der PKI-1-Verwaltung beglaubigt ist, erfordert einige Vorarbeiten, die einen nicht unerheblichen Zeitaufwand bedeuten. Durch die Bereitstellung von E-Mail-Zertifikaten über das Pilot-Projekt sammelt der LIT dazu Erfahrungen und ermöglicht damit gleichzeitig interessierten Kunden den Einsatz von sicherer E-Mail. Der Zeitpunkt der Integration in die PKI-1-Verwaltung hängt vom Aufbau eines LDAPfähigen Verzeichnisdienstes (Active Directory, X.500) ab und ist deshalb noch in der Planung. MONIKA KOSLAKOWICZ LIT Berlin Email: Monika.Koslakowicz@lit.verwaltberlin.de u
Verschlüsselungskonzept VPN-Tunnel Ausgangssituation Beim Aufbau des MAN wurde davon ausgegangen, dassdie IT- Anwendungen auf dem MAN selbst für die Vertraulichkeit, Integrität und Authentizität ihrer Datenkommunikationen verantwortlich sind. Mit der Einführung des Projektes IPV wurde erstmals nach diesem Grundsatz verfahren, und dafür das Produkt SafeGuard VPN erfolgreich eingesetzt. Da dieses Produkt verfahrensunabhängig ist, entstand der Wunsch eines flächendeckenden Einsatzes. Nach einer von der Innenverwaltung veranlassten Bedarfsanalyse stellte sich heraus, dass die damit verbundenen Kosten vom Land Berlin nicht getragen werden können. Es musste deshalb ein anderes Vorgehen gewählt werden. Durch den IT KAB wurde der LIT mit Beschluß vom 28.3.01 beauftragt, ein neues Konzept für den weiteren Einsatz der Verschlüsselung auf Basis nachfolgender Prinzipien zu erstellen: • Der Einsatz der Verschlüsselung als eine Maßnahme zum Schutz der Vertraulichkeit der Daten bildet einen integralen Bestandteil der IT-Infrastruktur. • Entsprechend der in der IT- Sicherheitsrichtlinie festgelegten Verantwortung realisiert und finanziert * der zentrale InfrastrukturbetreiberVerschlüsselungsmaßnahmen zum Schutz der zentralen IT-Infrastruktur, * der jeweilige dezentrale Infrastrukturbetreiber entsprechende Sicherheitsmaßnahmen zum Schutz der Vertraulichkeit innerhalb der dezentralen IT- Infrastruktur. • Für die zentrale IT-Infrastruktur wird eine grundsätzliche Verschlüsselung aller übertragenen Daten in Form einer Leitungsverschlüsselung als sinnvoll und notwendig betrachtet. • Für die dezentrale Infrastruktur ist im Ergebnis einer durchgeführten Risikoanalyse durch den jeweiligen dezentralen Infrastrukturbetreiber zu entscheiden, mit welchen Maßnahmen ein angemessener Schutz der Vertraulichkeit übertragener Daten erreicht werden kann. Innerhalb eines Standortes kann dieser Schutz ggf. auch durch andere Maßnahmen (z. B. Schutz der Netzwerkkomponenten vor unbefugtem Zugriff) erreicht werden. Bei standortübergreifender Datenübertragung von sensiblen Daten sind grundsätzlich geeigneteVerschlüsselungsmechanismen vorzusehen (z. B. hardwarebasiert, Einsatz von SSL, IPSec usw.). Falls im Einzelfall bei IT-Verfahren mit besonders schutzbedürftigen Daten weitergehende Maßnahmen erforderlich sind, muss dies gesondert geprüft und umgesetzt werden. Mit dieser Vorgehensweise werden die vorhandenen örtlichen Sicherheitsbedingungen einbezogen, und im Bereich der zentralen IT-Infrastruktur können effektivere Lösungswege beschritten werden. Sachstand Die IT-Sicherheitsstandards des Landes Berlin verlangen die Verschlüsselung vertraulicher Daten mit Schlüssellängen ab 128 Bit (nach TripleDES und IDEA). Sie fordern die Anwendung international standardisierter Verschlüsselungsverfahren. Um die Verschlüsselung plattformunabhängig einzusetzen, wird sie nicht auf einem zu schützenden Anwendungsserver installiert, sondern in Form eines Krypto-Gateways vor dem An- 2/01 2 7 wendungsserver bzw. vor dem zu sichernden Netz. Sender bzw. Empfänger verschlüsselter Informationen kann ein weiteres Krypto-Gateway oder ein normaler PC mit installierter Verschlüsselungssoftware sein. Auf einem Gateway oder PC kann nur ein Verschlüsselungsverfahren installiert sein, da sonst Probleme im IP-Stack auftreten. Krypto-Gateway realisiert IPSec und VPN IPSec ist ein Sicherheitsprotokoll, das die sichere Übertragung vertraulicher Information über ungeschützte Netzwerke ermöglicht. IPSec arbeitet auf der Netzwerkschicht (Layer 3). Es gewährleistet sowohl Verschlüsselung als auch Integrität und Authentifizierung von Daten. VPN (Virtual Private Network) beschreibt ein IT-System, in dem die Teilnehmer über öffentliche Netzwerke voneinander getrennt kommunizieren. In Verbindung mit IPSec können nur die Teilnehmer, die die zur Ver-/ Entschlüsselung notwendigen Schlüssel besitzen, am Kommunikationsprozeß teilnehmen. Softwareverschlüsselung: Softwarerealisierungen werden in der Regel vom Betriebssystem des jeweiligen IT-Systems gesteuert. Hardwareverschlüsselung: Bei Hardwareverschlüsselung werden Programme und Daten permanent in der Hardware gespeichert. Die Speicherinhalte können nicht dynamisch verändert werden und sind während ihres Ablaufs nicht modifizierbar. Bei Hardwarelösungen wird das kryptographische Verfahren direkt in der Hardware realisiert, z. B. als separates Sicherheitsmodul oder als Einsteckkarte. Bei Hardwareverschlüsselung wird auch von Kryptoboxen gesprochen. è 7
Seite 1 und 2: Datensicherheit im Netz IT-Nachrich
Seite 3 und 4: In dieser Ausgabe: Editorial Eine s
Seite 5: ç Was bietet der LIT seinen Kunden
Seite 9 und 10: ç erhebliches Risiko für alle das
Seite 11 und 12: ç Die für die Kommunikation und d
Seite 13 und 14: Anlaufstelle zum Thema IT-Sicherhei
Seite 15 und 16: ç „Wir finden es ermutigend, das
Seite 17 und 18: ç Netz zu schützen. Die vom BMWi
Seite 19 und 20: ç mit Bundeswirtschaftsminister We
Seite 21 und 22: Inhalte filtern mit webwasher Das T
Seite 23 und 24: 2/01 2 23 7
Seite 25 und 26: silicon.de: IT-Sicherheit scheitert
Seite 27 und 28: ç Konzepte erste mechanische Versc
Seite 29 und 30: Berliner Datenschutzgesetz geänder
Seite 31 und 32: ç Zu 5.: Mit Beginn des Ausbildung
Seite 33 und 34: Unterzeichnung des Vertrages für e
Seite 35 und 36: ç Tab. 1: Welche Themen sollten ve
Seite 37 und 38: ç Als Plattform dienen Windows NT
Seite 39 und 40: ç Suchmaschinen und Content Manage
Seite 41 und 42: ç elektrischen und elektronischen
Seite 43 und 44: ç Kleindienst Solutions realisiert
Seite 45 und 46: ç Bulmahn dazu heute in Berlin. Na
Seite 47 und 48: ç Verwalten unter Einschluss der d
Seite 49 und 50: Online-Beschaffung Kommunen könnte
Seite 51 und 52: ç Die Themen für notwendige Verä
Seite 53 und 54: ç In der Regel wird davon ausgegan
Seite 55 und 56: Beispiele gegenwärtig aktueller In
Seite 57 und 58:
Studie zu den Internet-Auftritten d
Seite 59 und 60:
ç erste papierlose Kabinettssitzun
Seite 61 und 62:
ç moderne Informationsversorgung a
Seite 63 und 64:
ç auf der CeBIT und der Internatio
Seite 65 und 66:
Ungeahnte Risiken in der IT-Technol
Seite 67 und 68:
Projekt Zukunft setzt Workshop-Reih
Seite 69 und 70:
ç Dies zeigt, dass der LinuxTag si
Seite 71 und 72:
ç notwendig, alle Spielarten, Inst
Alle anzeigen

3ureohph - IT-Dienstleistungszentrum Berlin

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?