Sichere mobile Kommunikation IT Recht und Datenschutz Sicherheit

Transcription

Sichere mobile Kommunikation IT Recht und Datenschutz Sicherheit
 Inhaltsverzeichnis BSI Tagungsband 2015
Vorwort ....................................................................................................................................9
Programmbeirat ...................................................................................................................... 10
Autorenverzeichnis ............................................................................................................... 583
Stichwortregister ................................................................................................................... 585
Sichere mobile Kommunikation
Sebastian Hönig, Hewlett-Packard Deutschland GmbH:
NFCrypt – Wie Near Field Communication unsere mobile Sicherheit vereinfacht ................. 11
Frank Rieger, Dr. Björn Rupp, GSMK Gesellschaft für Sichere Mobile Kommunikation mbH:
Erkennung, Lokalisierung und Bekämpfung von Mobilfunkangriffen - Wege hin zu einem
nationalen Lagebild Mobilfunk ............................................................................................... 23
Thomas Maier:, Dr. Jörn-Marc Schmidt:, Lukasz Kubik:, Thomas Mohnhaupt:, Corinna
Lingstädt, secunet Security Networks AG
YOP-Datenschutzcockpit – Das YourOwnPrivacy Enforcement-Regelwerk für
mobile Endgeräte ................................................................................................................... 35
Kristoffer Braun, Philipp Rack, Technische Universität Darmstadt /CASED/EC SPRIDE:
Shoulder-Surfing resistente Authentisierung an mobilen Endgeräten ..................................... 45
IT Recht und Datenschutz
Prof. Bernhard Esslinger, Universität Siegen, IT-Sicherheit und Kryptologie, Dr. Sibylle
Hick, Lars Wittmaack, Deutsche Bank AG:
Kryptographische Awareness als Fundament sicherer Lösungen -- Skalierbares
Kryptographie-Verständnis mit CrypTool .............................................................................. 57
Marco Ghiglieri, Jan Müller, Technische Universität Darmstadt /CASED/EC SPRIDE:
Datenschutzfreundliche Erfassung von Nutzungsdaten bei Smart Entertainment Geräten" ....71
Philipp Roos, Institut für Informations-, Telekommunikations- und Medienrecht Zivilrechtliche Abteilung:
MonIKA: IT-Sicherheit durch kooperatives Monitoring – Die Rolle kooperativer Ansätze in
den europäischen und nationalen Plänen zur Regulierung der IT-Sicherheit .......................... 83
Joerg Heidrich, Dr. Christoph Wegener, Ruhr-Universität Bochum:
Aktuelle rechtliche und technische Anforderungen an die Protokollierung von
Nutzerdaten in Unternehmen .................................................................................................. 99
Sicherheit von Plattformen und Netzen
Thomas Veit:
Secctl - Ein neues Sicherheitsmodul für den Linux-Kernel................................................... 113
Markus Maybaum, NATO Cooperative Cyber Defence Centre of Excellence, Fraunhofer
FKIE:
Trusted Control Flow Integrity - Integritätskontrolle auf Prozessebene in Trusted
Computing Systemen" .......................................................................................................... 129
Jaspreet Kaur, Christian Herdin, Jernej Tonejc, Steffen Wendzel, Michael Meier, Sebastian
Szlósarczyk, Cyber Security Department, Fraunhofer FKIE, Bonn / Rheinische FriedrichWilhelms-Universität Bonn / Hochschule für angewandte Wissenschaften Augsburg:
Novel Approaches for Security in Building Automation Systems........................................ 145
Ulrich Kohn, Michael Ritter, ADVA Optical Networking SE:
Risk Mitigation by Using Secure Connectivity in SDN-/NFV-Centric Networks ................ 159
Industrial Security
Andreas Martin Floß, HiSolutions AG:
Sicherheit von industriellen Steuerungssystemen - ICS Security mit BSI IT-Grundschutz...... 167
Michael Gröne, Andre Wichmann, Sirrix AG security technologies:
LARS - Leichtgewichtiges Werkzeug zum Einstieg in IT-Sicherheit für Betreiber von
Industriesteuerungs-Anlagen ................................................................................................ 177
Heiko Rudolph, Aaron Brown, Michael Klassen, Dominik Goergen, admeritia GmbH:
Technische Sicherheitstests für ICS Anlagen ...................................................................... 191
Andreas Philipp, Utimaco IS GmbH:
Industrie 4.0: Sicherheitsmechanismen für die Produktion .................................................. 207
Sicheres Cloud Computing
Dr. Ralf Rieken, Uniscon GmbH, Dr. Hubert Jäger, Arnold Monitzer, Edmund Ernst:
Technische Versiegelung – effektiver Schutz für Inhalte und Metadaten in der Cloud ............... 211
Dr. Günther Hoffmann, Humboldt Universität zu Berlin und ContentPro AG:
Sicherer Austausch und Speicherung von Dateien in cloudbasierten Speichern................... 223
Bernd Jäger, Colt Technology Services GmbH, Reiner Kraft und Ulrich Waldmann, FraunhoferInstitut für Sichere Informationstechnologie SIT, Sebastian Luhn, Westfälische WilhelmsUniversität Münster, Thomas Wilmer, avocado rechtsanwälte:
Datenschutz in der Cloud - Kennzahlen für mehr Vertrauen ................................................ 231
David Fuhr, HiSolutions AG:
OPC Is Dead – Let’s Hide It in a SOA: Risiken der Serviceorientierten Automatisierung... 243
Cyber-Sicherheit
Andreas Fießler, Alexander von Gernler, genua Gesellschaft für Netzwerk- und UnixAdministration mbH, Sven Hager, Björn Scheuermann, Humboldt-Universität zu Berlin:
HardFIRE - ein Firewall-Konzept auf FPGA-Basis ............................................................. 251
Marco Ghiglieri, Florian Oswald, Technische Universität Darmstadt /CASED/EC SPRIDE:
SSP – Ansatz zur garantierten Durchsetzung von Web Sicherheitsmaßnahmen
auf dem Client ...................................................................................................................... 263
Sergej Proskurin, Fatih Kilic, Prof. Dr. Claudia Eckert, Technische Universität München:
Retrospective Protection utilizing Binary Rewriting ............................................................ 275
Ramon Mörl, Andreas Koke, itWatch GmbH:
BadUSB, aktuelle USB Exploits und Schutzmechanismen .................................................. 289
Formatiert: Schriftart: 13 Pt.
6 14. Deutscher IT‐Sicherheitskongress des BSI Management von Informationssicherheit
Steve Durbin, Information Security Forum (ISF):
Threat Horizon 2015, 2016 & 2017 – on the edge of trust ................................................... 303
Thomas Günther, INFODAS GmbH, Ralf Dittmar, Rohde & Schwarz SIT GmbH:
Der inverse Türsteher im Einsatz – Geheimschutzfähige Domänenübergänge heute ............ 309
Matthias Hofherr, atsec information security GmbH:
Energie pur - Aufbau von Informationssicherheit-Managementsystemen in der
Energiebranche ..................................................................................................................... 321
Jörn Störling, Dr. Sven Wenzel, Fraunhofer-Institut für Software- und Systemtechnik ISST:
Systematische Risikobewertung von mobilen Endgeräten im Unternehmenseinsatz ............ 329
Sichere Identitäten
Holger Funke, HJP Consulting GmbH, Tobias Senger, Bundesamt für Sicherheit in der
Informationstechnik (BSI):
PersoSim - ein Simulator für den elektronischen Personalausweis ....................................... 343
Klaus Schmeh, Marco Smeja, cv cryptovision GmbH:
Der elektronische Personalausweis Nigerias – Eine Case Study ........................................... 355
Moritz Platt, Springer Science+Business Media Deutschland GmbH,
Dr. Ivonne Scherfenberg, Martin Schröder, Bundesdruckerei GmbH:
Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe .................... 365
Jörg Apitzsch, Marco von der Pütten, Governikus KG:
Sicherheit in allen Netzen mit OSCI2 und AusweisApp2 .................................................... 387
Ulrich Dietz,
eGovernment on Smartphones – What gain or lose citizens or public authorities? ............... 401
Sicherheit und Vertrauen
Erwin Kruschitz, anapur AG:
Security für Safety Systeme. Ein Einblick in die riskobehafteten Zonen der Industrial
Control Systeme ................................................................................................................... 413
Matthias Wübbeling, Arnold Sykosch, Prof. Dr. Michael Meier, Fraunhofer FKIE,
Abteilung Cyber Security:
MonIKA: Cooperative IT Security Monitoring for Competing Participants ......................... 427
Dr. Rolf Lindemann, Nok Nok Labs, Inc.:
FIDO - Modern Authentication............................................................................................. 439
Dr. Helge Kreutzmann, Bundesamt für Sicherheit in der Informationstechnik:
Sektorspezifische Zertifikate im internationalen Kontext: Past, Present and Future ............ 449 Cyber-Sicherheit
Dr. Ulf Höper, Industrieanlagen-Betriebsgesellschaft mbH, DDr. Manfred Stallinger ,
calpana business consulting gmbh:
Dynamisches Risikomanagement ......................................................................................... 463
14. Deutscher IT‐Sicherheitskongress des BSI 7 Dr. Safuat Hamdy, Technische Universität München, Lehrstuhl für Sicherheit in der
Informationstechnik:
Analyse der Forderungen der Datenschutzbeauftragten zu IPv6 .......................................... 479
Mag. Dr. Edith Huber, Donau-Universität Krems, Univ.-Prof. Dipl.-Ing. DDr. Gerald
Quirchmayr, Dr.Otto Hellwig, Universität Wien:
Wissensmanagement bei CERTs – eine europäische Herausforderung ................................ 493
Standards und Prüfverfahren
Dr. Sönke Maseberg, datenschutz cert GmbH, Bernhard Berger, Technologie-Zentrum
Informatik und Informationstechnik der Universität Bremen (TZI), Paul Gerber, TU
Darmstadt, CASED, EC SPRIDE:
Zertifizierte Apps ................................................................................................................. 505
Dr. Thomas Hesselmann, Dr. Manfred Lochter, Prof. Dr. Werner Schindler,
Bundesamt für Sicherheit in der Informationstechnik:
Bewertung und Evaluierung kryptographischer Mechanismen in
CC-Zertifizierungsverfahren im deutschen Schema ............................................................. 517
Gerald Krummeck, atsec information security GmbH:
Trau, Schau, Wem................................................................................................................ 527
Boban Kršić, DENIC eG, Alexander Koderman, SerNet GmbH:
IS-Management als Prävention von Cyber-Bedrohungen bei der DENIC eG ..................... 537
Gewährleistung von Hochsicherheit
Matthias Adams, Rohde & Schwarz SIT GmbH:
Moderne E2E-Verschlüsselung mit SCIP-DE ...................................................................... 549
Dr.-Ing. Michael Pehl, Dipl.-Ing. Florian Wilde, Technische Universität München, Prof. Dr.Ing. Georg Sigl, Fraunhofer Institut für Angewandte und Integrierte Sicherheit, AISEC, Dr.
rer. nat. Berndt Gammel, Infineon Technologies AG:
Qualitätsevaluierung von Physical Unclonable Functions als Schlüsselspeicher.................. 559
Jan Klemkow, genua mbh:
Datendioden - Sicherheit und Praktikabilität von Einweg-Datenverbindungen .................... 571
Formatiert: Schriftart: 13 Pt.
8 14. Deutscher IT‐Sicherheitskongress des BSI Vorwort
Die Digitalisierung bietet ökonomische sowie gesellschaftliche Potenziale, auf die ein hochentwickeltes und industrialisiertes Land wie Deutschland nicht verzichten kann. Im Zuge der
Industrie 4.0 beispielsweise können Produktions- und Geschäftsprozesse optimiert werden,
indem Maschinen, Produktionsanlagen, Sensoren und Aktoren miteinander vernetzt sind und
unmittelbar Daten austauschen können. Dieser technische Fortschritt ermöglicht es, eine ortsund zeitunabhängige Geschäftsabwicklung zu realisieren, für die z. B. fast jedes mobile ITProdukt genutzt werden kann.
Mit der Digitalisierung gehen umfangreiche neue Herausforderungen für die Cyber-Sicherheit
einher: die zunehmende Durchdringung aller Arbeits- und Lebensbereiche mit Informationstechnologie eröffnet insbesondere eine Vielzahl neuer Angriffsmöglichkeiten. Hiervon sind
alle Nutzergruppen – Staat, Wirtschaft, Wissenschaft und Bürger - betroffen. Von den
aktuellen konkreten Gefährdungen sind vor allem Identitätsdiebstahl, APT-Angriffe und
nachrichtendienstliche Angriffe hervorzuheben. Die millionenfachen Identitätsdiebstähle
2014 oder Schadprogramme wie Regin oder Dragonfly belegen, dass die IT-Gefährdungslage
kritisch ist und Angreifer sich weiter professionalisieren.
Im Rahmen der Digitalisierung stoßen so altbekannte konventionelle IT-Sicherheitsmechanismen schnell an ihre Grenzen und vermögen es nicht, Zuverlässigkeit und Beherrschbarkeit
in gewohntem Maße zu gewährleisten. Der traditionelle Perimeterschutz in der IT-Sicherheit
wird überholt oder gar unwirksam. Hierauf müssen wir uns in Zukunftsbereichen wie etwa
Industrie 4.0, Smart Home oder Smartphone-Nutzung einstellen.
Für erfolgreiche Lösungsansätze bedarf es einer engen Zusammenarbeit zwischen Staat,
Wirtschaft und Wissenschaft. Zielsetzung gemeinsamer Anstrengungen muss sein: Kompetenz, Lösungsorientierung, Kooperation und Transparenz im Handeln zu erreichen bzw. zu
schaffen. Dies gilt insbesondere in den Bereichen Kryptosicherheit, Cyber-Sicherheit und ITSicherheitsmanagement.
Mit dem diesjährigen IT-Sicherheitskongress mit dem Motto "Risiken kennen, Herausforderungen annehmen, Lösungen gestalten", wollen wir insbesondere das Leitthema vernetzte ITSicherheit aufgreifen – sowohl in der thematischen Dimension wie auch aus kooperativer
Perspektive.
Michael Hange
Präsident des Bundesamtes für Sicherheit in der Informationstechnik
14. Deutscher IT‐Sicherheitskongress des BSI 9 Zu den vom BSI berufenen Mitgliedern des Programmbeirates gehören:
Dr. Rainer Baumgart; secunet Security Networks AG
Prof. Dr. Christoph Busch; Competence Center for Applied Security Technology
CAST e.V.
Dr. Walter Fumy; Bundesdruckerei GmbH
Prof. Dieter Kempf; BITKOM – Bundesverband Informationswirtschaft,
Telekommunikation und neue Medien e.V.
Prof. Dr. Klaus-Peter Kossakowski; HAW Hamburg / DFN-CERT Services GmbH
Dr. Stefan Mair; Bundesverband der Deutschen Industrie e.V.
Prof. Dr. Peter Martini; Fraunhofer-Institut für Kommunikation,
Informationsverarbeitung und Ergonomie FKIE
Prof. Dr. Alexander May; Lehrstuhl für Kryptologie und IT-Sicherheit, RuhrUniversität Bochum
Dr. Gisela Meister; Giesecke & Devrient GmbH
Dr. Klaus Mittelbach; ZVEI – Zentralverband Elektrotechnik- und
Elektronikindustrie e.V.
Dr. Holger Mühlbauer; TeleTrusT – Bundesverband IT-Sicherheit e.V.
Prof. Dr. Reinhard Posch; Technische Universität Graz Chief Information Officer
(CIO) der österreichischen Bundesregierung
Prof. Michael Rotert; eco - Verband der deutschen Internetwirtschaft e.V.
Jürgen Schmidt; heise Security
François Thill; Direction du commerce électronique et de la sécurité informatique
Andrea Voßhoff; Die Bundesbeauftragte für den Datenschutz und die
Informationsfreiheit
Dr. Gerhard Weck; INFODAS - Gesellschaft für Systementwicklung und
Informationsverarbeitung mbH
Winfried Wirth; Rohde & Schwarz SIT GmbH
Klaus-Dieter Wolfenstetter; Deutsche Telekom AG
Steffen Zimmermann; Verband Deutscher Maschinen- und Anlagenbau e.V.
10 14. Deutscher IT‐Sicherheitskongress des BSI Formatiert: Schriftart: 13 Pt.