in Forschung, unld gA bi us und Industrie · digui engt r eV 36 Weltweit größte...

Das secunet Kundenmagazin 2 | 2018

Bei der LEAG steht Cybersicherheit mit an vorderster StelleWie einer der größten deutschen Energieversorger seine IT-Infrastruktur schützt

Recht, Gesetz und CybersicherheitInformationssicherheit im Ministerium der Justiz des Landes Nordrhein-Westfalen

PROFESSOR CHRISTOF PAAR ÜBER DAS NEUE EXZELLENZCLUSTER AN DER RUHR-UNIVERSITÄT BOCHUM

IT-Sicherheit in Forschung, Ausbildung und Industrie

SECUVIEW – 2 | 20182

Inhalt

National 4 Behördliche Online-Authentifizierung:

E-Government – so einfach wie Online-Shopping

6 Ministerium der Justiz des Landes Nordrhein-Westfalen: Recht, Gesetz und Cybersicherheit

8 Bayerisches Staatsministerium für Wirtschaft, Energie und Technologie: Wissen schützt

10 Energieversorger LEAG: „Cybersicherheit steht mit an vorderster Stelle“

International12 NAPMA erweitert SINA Lösung für den sicheren

Fernzugriff

Wissenschaft17 Neues Exzellenzcluster für IT-Sicherheit in Bochum:

Spitzenforschung mit Teamgeist

Technologien & Lösungen20 Surfen ohne Risiko: PFERD setzt auf secunet safe surfer

22 Die Evolution des elektronischen Führerscheins

24 PKI: Der Schlüssel für die Zukunft

26 Verschlüsselte Sprachkommunikation: GEHEIM-Telefonie: Was kommt nach ISDN?

28 Hochperformante Standortvernetzung und Daten-sicherung georedundanter Rechenzentren: Vernetzt bis GEHEIM – und zwar mit Gigabit- Geschwindigkeit

29 secunet protect4use: Digitaler Schlüsselbund für den Zugang zu Webportalen

Sicherer Internetzugang für Unternehmen: Der Werkzeughersteller PFERD setzt auf secunet safe surfer.

Enigma, Baujahr 2018

Titelbild: Prof. Dr. Christof Paar, Leiter des Lehrstuhls für Embedded Security an der Ruhr-Universität Bochum (RUB)

Vermischtes30 Modell Enigma, Baujahr 2018

Kurz notiert33 Elektronische Ausweisprüfung erstmals auch

auf dem iPhone

34 Everything Secret, Complete Insecurity?

35 finally safe zeigt KI-Lösung beim Digitalgipfel

35 Marcel Taubert verstärkt die secunet Division Verteidigung

36 Weltweit größte IT-Sicherheitsmesse: it-sa setzt neue Rekordmarken

37 Axel Deininger in den TeleTrusT-Vorstand gewählt

38 secunet Ilmenau: Überzeugende Nähe zur Forschung

Service39 Termine – Januar bis Juni

39 Impressum

20

30

3

EdItorIal

Liebe Leserinnen und Leser,Cybersicherheit ist heute einer der wichtigsten Faktoren für die Souveränität von Staaten und Gesellschaften und dazu eines der spannendsten Forschungsfelder. Da ist es absolut folgerichtig, dass das Thema mittlerweile auch im Fokus staatlicher Förderung steht: Die Ruhr-Universität Bochum wird ab 2019 zum Standort eines Exzellenzclusters, das sich mit IT-Sicherheit beschäftigt. Professor Paar, einer der Sprecher des Clusters, erklärt die Hinter gründe in der vorliegenden secuview.

Zudem erleben wir, dass Cybersicherheit neben ihrem traditionell hohen Stellenwert in Behörden und militärischen Organisationen zunehmend auch in der Industrie und in kritischen Infrastrukturen ernst genommen wird. Die LEAG, einer der größten deutschen Energieversorger, und der Werkzeughersteller PFERD legen in dieser Ausgabe dar, wie sie bereits seit geraumer Zeit auf ein hohes IT-Sicherheitsniveau setzen.

In den letzten Jahrzehnten haben wir diesbezüglich einen weiten Weg zurückgelegt. Seit den Neunzigerjahren, als das World Wide Web seinen Aufstieg begann, sickerte die gesell-schaftliche Relevanz der IT-Sicherheit anfangs nur langsam in das Bewusstsein der Öffent-lichkeit durch.

Die frühen IT-Sicherheitsspezialisten konnten unter anderem auf die Erfahrungen von Kryptologen zurückgreifen, die Verschlüsselung bereits betrieben hatten, als es noch gar keine IT gab: In diesem Heft umreißen wir in aller Kürze die Geschichte der berühmten Chiffriermaschine Enigma, die während des Zweiten Weltkriegs zum Einsatz kam und deren Codes schließlich von den Alliierten geknackt wurden.

Bereits wenige Jahrzehnte später legten Kryptologen mit damals neuartigen asymmetrischen Verschlüsselungsverfahren den Grund-stein für die heutige Welt der internetbasierten Prozesse, die wir alle täglich einsetzen – etwa Online-Payment oder auch die elek-tronische Steuererklärung ELSTER. Fortschrittliche Kryptographie steckt auch in anspruchsvoller Technologie für die innere Sicherheit, etwa in Lösungen für die automatisierte Grenzkontrolle. Daneben haben wir mit SINA eine Produktpalette entwickelt und etabliert, die mit angewandter Kryptographie auch den höchsten Sicherheits-ansprüchen gerecht wird.

Wie geht es in den nächsten Jahren weiter? Die Umrisse künftiger Herausforderungen werden bereits deutlich, ein wichtiges Stich-wort ist der Quantencomputer. Um uns auf solche und andere Ent-wicklungen einzustellen, brauchen wir interdisziplinäre Forschung und Ausbildung auf hohem Niveau, eine gute Zusammenarbeit zwischen Wissenschaft, Politik und Industrie sowie eine ordentliche Prise unternehmerischen Weitblick.

Nun wünsche ich Ihnen zunächst eine erholsame Weihnachtszeit und alles Gute für 2019!

Ihr Dr. Rainer Baumgart

Gefragt ist eine ordentliche Prise unternehmerischer Weitblick.


natIonal

BEHÖRDLICHE ONLINE-AUTHENTIFIZIERUNG

E-Government – so einfach wie Online-Shopping

Während manch anderes Land seinen Bürgern längst flächendeckend einfach zu nutzende staatliche Online-Dienste

anbietet, kommt der Aufbau eines attraktiven und ein-heitlichen E-Government- Angebots in Deutschland

bisher nur langsam voran. Ein Grund dafür ist, dass

Bund, Länder und Kommunen oftmals unabhängig von-

einander eigene Angebote erarbeiten. Diese Vielfalt

macht es den Nutzern jedoch schwer. Mit dem preis-

gekrönten Konzept EKONA ist dem Bayerischen Landesamt für Steuern (BayLfSt) nun ein

Durchbruch gelungen.

EKONA kann deutlich zur Vereinheitlichung der deutschen E-Government-Landschaft beitragen: Die Lösung stellt einen wichtigen Baustein bereit, mit dem es Bürgern und Unternehmen künftig ermöglicht werden kann, mit einem einzigen Account bundes-weit verschiedene E-Government-Dienste zu nutzen. Basis dafür ist der seit vielen Jahren bewährte Online-Authentifizierungsdienst der ELSTER-Plattform.

Seit Jahren gibt es Bestrebungen, Deutschland in Sachen E-Government fit für die Zukunft zu machen. So verabschiedete der Bundestag im Jahr 2017 das Online-zugangsgesetz (OZG), dessen Ziel es ist, die Entwicklung eines bundesweit einheitlichen Angebots behördlicher Online-Dienste zu be-schleunigen. Das Gesetz verpflichtet Bund und Länder, ihre Online-Portale zu einem Portalverbund zu verknüpfen, über den dann sämtliche Dienstleistungen für Bürger und Unternehmen erbracht werden.

Geschehen soll dies innerhalb von fünf Jahren – ein Zeitrahmen, den viele für ambitioniert halten. Denn für das neue E-Government-Modell müssen erst noch grundlegende Voraussetzungen geschaffen werden. Dazu gehören einheitliche Nutzer-konten: Um den Aufwand für Bürger und Unternehmen gering zu halten, sollten diese jeweils mittels eines einzigen Nutzerkonto-Accounts auf alle Dienste des Verbunds zugreifen können. Und dafür wiederum ist eine flächendeckend einsetzbare Online-Au-thentifizierung notwendig.

An diesem Punkt setzt das BayLfSt mit dem Projekt EKONA (Elster Konten Iden-tifizierungs- und Authentifizierungsdienst) an. Für eine Online-Authentifizierung im staatlichen Bereich gelten zwei wesentliche Anforderungen: Sie muss ein für Behörden und Kommunen ausreichend vertrauens-würdiges Sicherheitsniveau aufweisen, und sie muss für den Benutzer einfach zu hand-haben sein. Diese beiden Punkte erfüllt seit vielen Jahren der Authentifizierungsdienst der ELSTER-Plattform, deren Entwickler

und Betreiber das BayLfSt ist. ELSTER ist das größte und wohl erfolgreichste E-Go-vernment-Projekt Deutschlands und hat seit dem Start im Jahr 1999 immer wieder Rekorde gebrochen. Im Jahr 2016 wurden bereits 21 Mill ionen Einkommenssteu-ererklärungen authentif izier t über die elektronischen Schnittstellen bei der Finanz-verwaltung eingereicht.

Sicherer Datenaustausch für Bürger, Behörden und UnternehmenFür die sichere Authentifizierung der Nutzer mittels Zertifikaten sorgt bei ELSTER der im Jahr 2004 von secunet entwickelte ELSTER Authentifizierungsdienst mit angeschlos-senem Trust Center. Die entscheidende Idee für EKONA war es, diesen millionenfach bewährten Dienst als Basis für eine portal-übergreifende Authentifizierung zu nutzen. Dafür entwickeln das BayLfSt und secunet derzeit gemeinsam die Schnittstelle für Nutzerkonten KOLIBRI (Konten-Link für Bürger- und Unternehmens-Identitäten). Um die Identitätsdaten der Steuerverwaltungen im Rahmen des ELSTER-Zertif ikats für andere E-Government-Dienste – und dementsprechend auch für e ine Au-thent i f iz ie rung – nutzen zu können, ermöglicht KOLIBRI einen sicheren Daten-austausch zwischen der Steuerverwaltung und den bundesweit 17 Nutzerkonten der Bundesländer und des Bundes, die derzeit im Auftrag des IT-Planungsrates aufgebaut werden. Potenziell kann die Online-Au-thentifizierung per KOLIBRI allen Kommunen und Behörden in Deutschland zur Verfügung stehen – und das mit wenig Aufwand.

Als Authentifizierungsverfahren „made in Germany“ nutzt KOLIBRI das bewährte Sicherheitsniveau der ELSTER-Plattform und ist somit absolut vertrauenswürdig. Zudem lässt sich das Verfahren für die Bürger kom-fortabel handhaben: Diese können künftig in ihrem persönlichen ELSTER-Account auf einfache Weise ihr ELSTER-Zertifikat auch

5

natIonal

für nichtsteuerliche Zwecke freischalten. Im Anschluss nutzen sie für E-Government- Anwendungen Prozesse, die sie ganz ähnlich bereits vom Online-Shopping kennen.

Dafür ist lediglich eine Zertifikatsdatei er-forderlich, die gespeichert werden kann und somit überall und jederzeit einsetzbar ist. Weitere Hardware wie etwa Karten-lesegeräte wird dafür nicht benötigt. Nutzer, die für ELSTER bereits jetzt Signaturkarten oder Sicherheitssticks verwenden, werden diese auch im Rahmen von KOLIBRI ein-setzen können.

Gute Startbedingungen durch sechs Millionen ELSTER-IdentitätenGerade vor dem Hintergrund des knappen Zeitplans, den das OZG vorsieht, erscheint ein weiterer Aspekt als wesentlicher Vorteil: Etwa sechs Millionen ELSTER-Zertifikate von Bürgern und Unternehmen existieren bereits, die für die Online-Authentifizierung zur Verfügung stehen. Die Ausgangslage für eine schnelle bundesweite Verbreitung des Verfahrens ist also günstig, zumal KOLIBRI für die Behörden einfach zu adaptieren ist. Zudem kann jeder, der in Deutschland steuerpflichtig ist, an ELSTER und damit auch an der Authentifizierung per KOLIBRI teilnehmen.

Neue Services für UnternehmenDarüber hinaus hat KOLIBRI im interna-tionalen Vergleich ein Alleinstellungsmerkmal vorzuweisen: Das Verfahren ermöglicht es auch nicht-natürlichen Personen wie z. B. Unternehmen, Erbengemeinschaften oder Vereinen, sich zu authentifizieren. Damit wäre es künftig beispielsweise für Firmen möglich, die Zulassung von Dienstfahr-zeugen über Online-Dienste zu beantragen. Prinzipiell könnten sogar Vorgänge wie

Firmenübernahmen, Ausgründungen oder Rechtsformänderungen über Online-Portale abgewickelt werden. Für die Behörden würde dabei außer der Anbindung an ihr Nutzer-konto kein zusätzlicher Aufwand anfallen.

Die Entwicklung von KOLIBRI, die im Rahmen des Pilotprojekts EKONA statt-findet, wird voraussichtlich im Laufe des Jahres 2019 abgeschlossen sein. Wird die Schnittstelle anschließend schnell in die derzeit im Aufbau befindlichen 17 Nutzer-konten der Bundesländer und des Bundes

integriert, dann steht allen Kommunen und Behörden deutschlandweit in naher Zukunft ein sicheres und benutzerfreundliches Au-thentifizierungsverfahren zur Verfügung, mit dem sie ihre Dienstleistungen online anbieten können.

Martin Fechtelhoff [email protected]

Die Preisverleihung des 17. eGovern ment-Wettbewerbs fand am 20. Juni 2018 in Berlin auf großer Bühne statt. Das EKONA-Team, von links: Paul-Alexander König (Vize präsident Bayerisches Landesamt für Steuern), Markus Geiger (mgm), Dr. Susanne Seibert (Projektleiterin EKONA), Martin

Fechtelhoff (secunet), Roland Krebs (Referatsleiter beim BayLfSt)

EKONA BEIM ZUKUNFTSKONGRESS STAAT & VERWALTUNG AUSGEZEICHNET

Beim 6. Zukunftskongress Staat & Ver-waltung, der vom 18. bis zum 20. Juni 2018 in Berlin stattfand, erhielt das EKONA Projektteam eine besondere Aus-zeichnung: Die Unternehmensberatung BearingPoint prämierte gemeinsam mit dem Technologieanbieter Cisco die sechs Gewinner des diesjährigen eGo-vernment-Wettbewerbs. Die Kategorie

„Beste Konzeption zur Umsetzung des Onlinezugangsgesetzes (OZG)“ konn-te das Bayerische Landesamt für Steu-ern (BayLfSt) mit seiner Einreichung „EKONA mit der Schnittstelle für Nutzer-konten KOLIBRI“ für sich entscheiden. Die Jury lobte die Lösung als kosten-günstig, nutzerfreundlich und zukunfts-weisend.

Gemeinsam mit den Vertretern des BayLfSt nahm Martin Fechtelhoff an der Preisverleihung teil, der den Bereich Softwareentwicklung, Web & Application Security der Division Öffentliche Auftrag-geber von secunet leitet und an der Ent-wicklung von EKONA beteiligt ist.


natIonal

INFORMATIONSSICHERHEIT IN DER JUSTIZ

Recht, Gesetz und Cybersicherheit

Auch vor der Justiz macht die Digitalisierung nicht Halt. Die schrittweise Einführung elektronischer Prozesse bietet klare Effizienzvorteile, geht aber

auch mit Herausforderungen an die Informationssicherheit einher. secuview sprach mit Markus Ausetz, Chief Infor-

mation Security Officer (CISO) im Ministerium der Justiz des Landes Nordrhein-Westfalen.

Sehr geehrter Herr Ausetz, Sie sind als CISO der Justiz NRW benannt und mit der Steuerung der Informations-sicherheit in Ihrem Ressort, also dem Ministerium der Justiz und den nach-gelagerten Behörden betraut. Welchen Stellenwert hat die Informations-sicherheit für Sie und für die Tätigkeit in Ihrem Ressort?Als CISO betreue ich neben dem Ministerium der Justiz die Geschäftsbereiche der or-dentlichen Gerichtsbarkeit, der vier Fach-gerichtsbarkeiten, der Staatsanwaltschaften und des Justizvollzugs in allen Fragen der Informationssicherheit. Ich habe mir das Ziel gesetzt, im Sinne der Leitlinien des Landes und der Justiz NRW die Informations-sicherheit voranzutreiben, Maßnahmen zur Verbesserung zu koordinieren und bei den Mitarbeiterinnen und Mitarbeitern der Justiz des Landes das Bewusstsein für die Wichtigkeit der Informationssicherheit weiter zu schärfen.

Viele Bürgerinnen und Bürger unseres Landes haben bei dem Gedanken an Justiz und Gerichte wahrscheinlich überwiegend Papier und Aktenberge vor Augen und weniger das Thema Cyber-sicherheit.Die Justiz ist sich schon von jeher ihrer Ver-antwortung im Umgang mit den ihr anver-trauten sensiblen und personenbezogenen Informationen bewusst und behandelt diese entsprechend ihren Anforderungen an die Vertraulichkeit und Korrektheit. Die papiergebundene Aktenführung hat eine lange Tradition und hat sich als zuver-lässig bewiesen. Aber auch wir befinden uns im Wandel und wollen die Vorteile der Digitalisierung nutzen, als Beispiel seien hier die Einführung des elektronischen Rechtsverkehrs und der elektronischen Akte

genannt. Unser Anspruch ist es dabei, die Sicherheit und Zuverlässigkeit der bisherigen Prozesse in das digitale Zeitalter nicht nur zu übertragen, sondern den besonderen Herausforderungen der Digitalisierung gerecht zu werden. Daher ist es zwingend erforderlich, die Informationssicherheit zu einem zentralen Thema zu machen.

Sie arbeiten ja bereits seit weit über einem Jahr mit secunet zur Erreichung dieser Ziele zusammen. Welche Aktivi-täten wurden bisher durchgeführt und welche Erfolge haben Sie auf dem Weg zur Verbesserung der Informations-sicherheit bisher erzielt? Zunächst haben wir schon vor längerer Zeit damit begonnen, unser Informations-Sicher-heitsmanagement (ISM) zu implementieren, Informations-Sicherheitsbeauftragte in den Geschäftsbereichen einzusetzen und die organisatorischen Voraussetzungen für das ISM zu schaffen. Dabei sind wir ins-besondere darauf bedacht, auch in diesem Bereich unsere verfassungsgemäße Un-abhängigkeit zu wahren und eine eigen-ständig agierende Sicherheitsorganisation für die Justiz zu schaffen, um den daraus resultierenden besonderen Anforderungen gerecht zu werden.

Wie jedes Managementsystem unterliegt ja auch das ISM dem Prozess einer kontinuierlichen Verbesserung (KVP). In welcher Form setzen Sie diesen um?Auch wir begreifen die Informationssicherheit als fortlaufenden Prozess, daher haben wir mit Unterstützung von secunet flächen-deckend Kurzrevisionen im Minis terium sowie den Geschäftsbereichen bei repräsentativ ausgewählten Gerichten, Staatsanwalt-schaften und Strafvollzugseinrichtungen durchgeführt.

7

natIonal

Diese Kurzrevisionen haben uns wertvolle Erkenntnisse über den Umsetzungsstand der Informationssicherheit auf Grundlage der Anforderungen des IT-Grundschutzes des Bundesamts für Sicherheit in der Infor-mationstechnik (BSI) geliefert. Die Ergeb-nisse stellen eine wichtige Grundlage für die Planung und Umsetzung weiterer Sicher-heitsmaßnahmen dar und ermöglichen uns die zielgerichtete Verbesserung des Sicher-heitsniveaus sowohl lokal in den betrachteten Bereichen als auch aus meiner übergeord-neten Sicht als CISO.

Paral le l dazu haben wir begonnen, ebenfalls mit Unterstützung von secunet, Sicherheitskonzepte für zentrale elektro-nische Verfahren, wie etwa die elektronische Akte, zu entwickeln. Darüber hinaus wurde zur Unterstützung und Begleitung des Ver-besserungs- und Modernisierungsprozesses ein Kompetenzzentrum für Informations-sicherheit in der Justiz eingerichtet.

Neben einem funktionsfähigen Infor-mationssicherheitsmanagementsystem und der Umsetzung technischer und organisatorischer Maßnahmen spielen natürlich auch die Anwender, also in Ihrem Falle die Mitarbeiterinnen und Mitarbeiter der Justiz in Verwaltung und Rechtsprechung, eine wichtige Rolle für die Umsetzung der Informations-sicherheit. Welche Strategie verfolgen Sie für die Einbindung der nahezu 40.000 Justizangehörigen im Land Nordrhein-Westfalen?Neben der Stärkung unserer internen ISM-Organisationsstrukturen haben wir damit begonnen, auch die Justizangehörigen im Land NRW in die Informationssicherheit ein-zubinden. In Zusammenarbeit mit secunet planen wir unter anderem eine umfassende Sensibilisierungs- und Awarenesskampagne für unsere Führungs- und Leitungsebenen. So können wir die Multiplikatorfunktion

dieses Personenkreises nutzen und die Ziele der Informationssicherheit auch in die ver-schiedenen Justizzweige transportieren.

Hierfür nutzen wir die bereits bestehenden und bewährten Strukturen und Prozesse unseres internen Informations-, Schulungs- und Weiterbildungssystems. Darüber hinaus arbeiten wir an der Ergänzung und Er-weiterung unserer Ausbildungspläne um relevante Themen der Informationssicherheit und erreichen so auch Nachhaltigkeit durch die direkte Ansprache unserer neuen Mit-arbeiterinnen und Mitarbeiter.

Markus Ausetz war in vielen Bereichen der Justiz des Landes Nordrhein-Westfalen als Richter in der Rechtsprechung und in der Ver-waltung eingesetzt, zuletzt als Amtsgerichtsdirektor. Seit November 2016 ist er im Ministerium der Justiz des Landes Nordrhein-Westfalen als Chief Infor-mation Security Officer (CISO) tätig.

IM INTERVIEW

Markus Ausetz

Chief Information Security Officer (CISO) im Ministerium der Justiz des Landes Nordrhein-Westfalen


natIonal

BAYERISCHES STAATSMINISTERIUM FÜR WIRTSCHAFT, ENERGIE UND TECHNOLOGIE

Wissen schützt

Cyberangriffe, Störungen und IT-Ausfälle bergen Risiken für Bürger, Wirtschaft und Staat. Der Schutz von Informations- und Kommunikationstechnologien ist deshalb eine wesentliche Voraussetzung, um die Chancen der Digitalisierung erfolgreich nutzen zu können. Aus diesem Grund hat sich das Bayerisches Staatsministerium für Wirtschaft, Landesentwicklung und Energie (StMWi) entschieden, in IT-Sicherheit zu investieren. Ein State-of-the-art-Perimeter-schutz für die Systeme des Ministeriums war bereits gewährleistet. Dieser bietet jedoch keinen allumfassenden Schutz vor Cyberattacken. Um sich nachhaltig vor An-griffen auf bzw. über das eigene Netzwerk zu schützen, ist eine direkte, kontinuierliche Überwachung des Netzwerkverkehrs essenziell. Nur so können Regelverstöße (Compliance) und Abweichungen (Ano-malien) erkannt und analysiert werden. Ebenfalls werden durch die stetige Kontrolle

kommunizierende Geräte erkannt – ein An-zeichen für einen laufenden Angriff. Wer stets weiß, was in seinen Netzwerken vorgeht, ist auch in der Lage, angemessen zu reagieren und im Falle eines Falles Gegenmaßnahmen zu ergreifen.

Zu diesem Zweck hat sich das StWMi für eine Zusammenarbeit mit der finally safe GmbH aus Essen entschieden. Dabei konnte sich finally safe im Rahmen der Auftragsvergabe im Oktober 2017 gegen mehrere Wettbewerber durchsetzen. Im April 2018 wurde dann eine „Advanced Security Analytics Platform“ installiert, die das kom-plexe Netzwerk des Ministeriums über-wacht und den Netzverkehr analysiert. Die strenge Vertraulichkeit bezüglich der höchst-sensiblen Informationen des StMWi machte eine Sicherheitsüberprüfung der Experten, die die Implementierung durchführten, er-forderlich. Spezialisten von secunet unter-stützten vor Ort.

Aufgrund der Größe und Komplexität des Netzwerks war die Umsetzung der Lösung für den Abgriff und die Analyse der Infor-mationen kein einfaches Unterfangen. Die Experten realisierten dies über zwei leis-tungsstarke Test Access Points (TAPs), durch welche sowohl der eingehende als auch der ausgehende Netzwerkverkehr beobachtet werden. Nach der Implementierung lagen schnell die ersten Ergebnisse vor: Die Ana-lyseplattform deckte Regelverstöße sowie Abweichungen bzw. Unregelmäßigkeiten auf, denen die IT-Spezialisten des StMWi nach-gehen konnten. Die Lösung von finally safe trägt somit zum Schutz der IT-Systeme und sensiblen Daten bei und erzielt messbare Ergebnisse hinsichtlich der Informations-sicherheit.

Das Gebäude des Bayerischen Staats-ministeriums für Wirtschaft, Energie und Technologie (StMWi)

Nach Redaktionsschluss der vor-liegenden Ausgabe änderte sich der Ressortzuschnitt in der Bayerischen Staatsregierung. Das Ministerium trägt nun den Namen Bayerisches Staatsministerium für Wirtschaft, Landesentwicklung und Energie.

9

natIonal

The future of compute

diab.cloudandheat.com

Secure

Sustainable

Scalable

Simple

We deliver a security-hardened software stack based on OpenStack.

We offer energy effi cient infrastructure solutions, allowing up to 30% reduction of operational costs.

We deliver turnkey solutions that can be deployed in any locations and at any scale.

We provide services across the entire datacenter lifecycle, including planning, construction, operation and support with designed SLA.

Cloud&Heat Technologies is Secunet’s Cloud partner for SecuStack.



Secure

Sustainable

Scalable

Simple








Secure

Sustainable

Scalable

Simple






SECUVIEW – 2 | 201810

natIonal

SCHUTZ KRITISCHER INFRASTRUKTUREN

„Cybersicherheit steht mit an vorderster Stelle“

Als kritische Infrastrukturen haben Energieversorger eine be-sondere Bedeutung für die Gesellschaft. Ein wichtiger Baustein bei der Aufrechterhaltung der Versorgungssicherheit ist der

Schutz ihrer IT-Systeme – gerade vor dem Hinter-

grund der fortschreitenden Digitalisierung und Vernetzung.

Die LEAG, einer der größten deutschen Energieversorger, investiert schon seit Langem

in ihre Cybersicherheit. secuview sprach mit Hubertus Altmann, der im Vorstand der

LEAG das Ressort Kraftwerke verantwortet.

Herr Altmann, welche Bedeutung hat das Thema Cybersicherheit für Sie als Vorstand eines großen deutschen Energieversorgers – auch im Vergleich zu anderen geschäftlichen Heraus-forderungen?Das Thema Cybersicherheit steht bei LEAG mit an vorderster Stelle. Lange bevor die Bundesregierung das Thema Cybersicherheit für Deutschland identifizierte und mit dem IT-Sicherheitsgesetz vom 17. Juli 2015 mani-festierte, haben wir uns mit technischen und organisatorischen Maßnahmen zum Schutz unserer Prozess-IT befasst. Gemeinsam mit den Herstellern für Leittechniksysteme wurden Lösungen für eine sichere System-landschaft gesucht, die uns vor Angriffen aus dem Cyberraum, aber auch vor Fehlern in Geschäftsprozessen schützen. Das alles ist mit viel Aufwand verbunden. Dennoch stellen wir uns dieser Herausforderung genauso wie vielen weiteren, die unser Geschäft mit

sich bringt. Informationssicherheit und Ver-sorgungssicherheit haben für uns genauso Priorität wie Umweltschutz, sichere Arbeits-bedingungen und Effizienz.

Welche vorrangigen Cybersicherheits-Risiken sehen Sie, gerade im Kontext der voranschreitenden Digitalisierung?Digitalisierung ist ein wichtiges Stichwort mit Blick auf den beständigen Fortschritt unserer flexiblen und effizienten Energie-erzeugung. Themen wie „Industrie 4.0“ und „Internet of Things“ sind allgegenwärtig und auch in unserem Unternehmen präsent. Damit unsere Kraftwerks- und Leittechnik-Ingenieure in der Betriebsorganisation viele technische Möglichkeiten im Bereich des Monitorings oder der Erfassung und Aus-wertung von Messwerten nutzen können, müssen unterschiedliche Systeme mit-einander vernetzt werden. Daraus können Gefahren für die Informationssicherheit der LEAG resultieren. Deshalb ist es unsere Aufgabe, mit wachsamen Augen auf die Ein-haltung der dafür existierenden Regelungen und Prozesse zu achten und vorhandene Sicherheitssysteme zu nutzen.

LEAG ist die gemeinsame Marke der Lausitz Energie Bergbau AG und der Lausitz Energie Kraftwerke AG sowie ihrer Tochterunternehmen.

Die LEAG-Gruppe mit Sitz in Cottbus beschäftigt 8.000 Mitarbeiterinnen und Mit-arbeiter und ist der größte Energieversorger Ostdeutschlands.

Die Lausitz Energie Kraftwerke AG als einer der beiden Hauptbestandteile der LEAG-Gruppe betreibt vier Kraftwerke, deren jährliche Stromproduktion rein rech-nerisch ausreicht, um rund 15,6 Millionen Haushalte verlässlich zu versorgen. Neben Strom erzeugt das Unternehmen auch Fernwärme, mit der tausende Haushalte, Unternehmen und kommunale Einrichtungen wie Krankenhäuser, Schulen und Ämter beliefert werden, sowie Prozessdampf für Industriekunden.

ZUM UNTERNEHMEN

11

natIonal

Ist die LEAG gut dagegen gewappnet? Welche Schritte haben Sie in letzter Zeit in puncto Cybersicherheit unternommen?In Sachen Informationssicherheit ist unser Unternehmen gut aufgestellt. Es gibt regel-mäßige Überprüfungen, aus den Ergebnissen leiten wir die notwendigen Maßnahmen ab und setzen diese um. Aktuell sind wir dabei, ein Informationssicherheitsmanagement-system (ISMS) zu implementieren. Dabei werden wir auch von der secunet Security Networks AG tatkräftig unterstützt. Des Weiteren qualifizieren wir unser Personal im Bereich der Informationssicherheit stetig weiter. Damit tragen wir den hohen Anfor-derungen, die sich in der Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik ergeben, Rechnung.

Können Sie uns etwas über den Zusammenhang zwischen Cyber-sicherheitsstrategie und allgemeiner Sicherheitsstrategie der LEAG sagen?Zu unseren Unternehmensgrundsätzen ge-hört, dass Arbeits-, Gesundheits-, Umwelt-, Brand- und Unternehmensschutz oberste Priorität haben. Als wir im Mai 2016 mit dem Projekt zur Implementierung eines Infor-mationssicherheitsmanagementsystem bei der Lausitz Energie Kraftwerke AG gestartet

sind, war das ein weiterer Baustein. Wenn das Projekt erfolgreich zu Ende geführt und zertifiziert ist, ergänzt das Management-system für Informationssicherheit unsere bereits vorhandenen Managementsysteme für Arbeitsschutz, Umweltschutz und Quali-täts- und Energiemanagement.

Welche Unterstützung wünschen Sie sich beim Thema Cybersicherheit von anderen Akteuren, z. B. der Politik, der IT-Industrie, oder auch der Energie-branche?

Unser gemeinsames Ziel ist, eine sichere, bezahlbare und störungsfreie Energiever-sorgung für unsere Gesellschaft zu garan-tieren. Wir erwarten von der Politik, dass sie verlässliche Rahmenbedingungen schafft. Genauso wie wir brauchen natürlich auch die Entwickler und Hersteller von Leitsystemen Planungs- und Rechtssicherheit, um sichere und mit langen Lebenszyklen ausgestattete Systeme entwickeln und produzieren zu können.

Hubertus Altmann ist im Vorstand der Lausitz Energie Bergbau AG und Lausitz Energie Kraft-werke AG für das Ressort Kraftwerke verantwort-lich. Diese Aufgabe hatte er bereits seit 2010 im gemeinsamen Vorstand von Vattenfall Europe Mining AG und Vattenfall Europe Generation AG inne. Zu-vor war er sieben Jahre lang in der Vattenfall Europe Generation AG Leiter Technik im Vorstandsbereich Kraftwerke, anschließend Leiter Kraftwerks-management. Auf dem Weg dorthin war Hubertus Altmann in den Kraft-werken Hagenwerder / Hirschfelde, Schwarze Pumpe und Jänschwalde in verschiedenen verantwortungsvollen Positionen tätig.

Sein beruflicher Einstieg erfolgte 1980 im Kraftwerk Boxberg, wo er zuletzt als Abteilungsleiter Kessel, Apparate und Fördertechnik tätig war.

Seine berufliche Qualifizierung mit dem akademischen Grad „Diplom- Ingenieur“ erwarb Hubertus Altmann durch ein Studium der Energieanlagentechnik, Fachrichtung Energieumwandlung an der Technischen Universität Dresden.

Hubertus Altmann

Vorstand der Lausitz Energie Bergbau AG und Lausitz Energie Kraftwerke AG

IM INTERVIEW

SECUVIEW – 2 | 201812

IntErnatIonal

Die Aufklärungsflugzeuge des Typs NE-3A sind auch als NATO AWACS bekannt. Sie gehören zum NATO Airborne Early Warning & Control (NAEW&C) Programme. Die NATO-Agentur NAPMA übernimmt Ver-waltungsaufgaben des Programms – von der Beschaffung über die Bereitstellung bis hin zum Life-Cycle-Management der NE-3A.

13

IntErnatIonal

NAPMA erweitert SINA Lösung für den sicheren FernzugriffDie NATO-Agentur NAPMA setzt auf eine SINA Lösung, die es den Mitarbeitern der Organisation erlaubt, gleichzeitig mit eingestuften und nicht eingestuften Daten zu arbeiten. Im Dezember 2017 wurde der spezifischen NAPMA-Infrastruktur, die die SINA Lösung enthält, die Akkreditierung durch das

NATO Office of Security erteilt. Darüber hinaus hat die Agentur kürzlich beschlossen, die Lösung zu erweitern. Für secuview waren das zwei gute Gründe, mit Stephan Sauer zu sprechen, dem Dezernatsleiter für Informationsmanagement der NAPMA.

SECUVIEW – 2 | 201814

IntErnatIonal

Herr Sauer, vielen Dank, dass Sie sich die Zeit für dieses Interview nehmen. Nicht alle unsere Leser kennen die NAPMA. Könnten Sie Ihre Organisation daher kurz vorstellen? Wer und was steht hinter der NAPMA und welche Aufgabe hat die Organisation?Im Jahr 1978 wurde die NATO Airborne Early Warning & Control (NAEW&C) Programme Management Organization (NAPMO) als eine Produktions- und Logistikorganisation der NATO ins Leben gerufen, die mit der Implementierung des NAEW&C Programms betraut ist. Dieser Organisation gehören 17 NATO-Staaten an. Sie ist gegenüber dem Nordatlantikrat für das NAEW&C-Programm verantwortlich. Dabei handelt es sich kurz gesagt um das Flugzeugmuster NE-3A, das auch als NATO AWACS bekannt ist.

Die NAEW&C Programme Management Agency (NAPMA) ist das ausführende Organ der NAPMO. Ihre 116 Dienstposten werden von beigestellten militärischen Fach- und Führungskräften sowie zivilen Mitarbeitern

aus den am NAEW&C-Programm teilneh-menden Staaten besetzt. Im Rahmen der ihr zugewiesenen Aufgaben verwaltet die NAPMA alle Aspekte des Programms – von der Beschaffung über die Bereitstellung bis hin zum Life-Cycle-Management der NE-3A. Dabei ist die NAPMA für die Planung und Koordination der Beschaffungsstrategien sowie die Verwaltung von Verträgen in Ver-bindung mit der Modernisierung der NE-3A-Flotte verantwortlich.

Außerdem stellt die NAPMA die tech-nische Lufttüchtigkeit der Maschinen sicher und sorgt darüber hinaus dafür, dass die OSS&E-Anforderungen (Operational, Safety, Suitability, and Effectiveness) im Programm angemessen berücksichtigt werden.

Derzeit führt die NAPMA das Follow-on-Upgrade-Programm (FUP) für die NE-3A durch. Im Rahmen dieses Modernisierungs-projekts werden mandatierte Verbesserungen des Sekundärradars durch eine Erweiterung des Abfragegeräts (Interrogator) mit Mode-5- und Enhanced-Mode-S-Fähigkeiten

umgesetzt. Das analoge Cockpit der NE-3A wurde durch eine vollständig digitale „Glas-cockpit“-Umgebung ersetzt. Dadurch erfüllt die Plattform aktuelle und zukünftige Anfor-derungen im ICAO-Luftraum.

Parallel dazu bereitet die NAPMA ein po-tenzielles Programm zur letzten Nutzungs-dauerverlängerung (FLEP – Final Lifetime Extension Programme) für die NE-3A vor, über das die an der NAPMO beteiligten Staaten derzeit beraten.

Welche Aufgaben erfüllen Sie und Ihr Team innerhalb der NAPMA? Was sind Ihre operativen Hauptverantwortlich-keiten und Ziele?Das für Informationsmanagement verant-wortliche Dezernat („Information Manage-ment Branch“) ist interner Dienstleister der NAPMA in den Bereichen Informations-management (IM) und Informationstechnik (IT ). Seine Aufgabe besteht darin, der NAPMA IM- / IT-Services und entsprechende Fähigkeiten bereitzustel len, damit die

Führungs-, Verwaltungs- und Projektma-nagementfunktionen der NAPMA effektiv und effizient arbeiten können. Schwerpunkt aus technischer Sicht ist dabei die zeitgerechte Bereitstellung sowie die Qualität relevanter Geschäftsinformationen.

Die Ver fügbarkeit von Informationen und ihre Steuerung sind für den Erfolg der NAPMA von entscheidender Bedeutung: Die Hauptaufgabe der NAPMA besteht schließlich nicht darin, ein Produkt oder eine Fähigkeit herzustellen, sondern letztendlich im Umgang mit Wissen und Informationen, um dadurch Modernisierungsprojekte abschließen, die technische Lufttüchtigkeit gewährleisten oder die NAPMO Governance unterstützen zu können.

Derzeit betreibt die NAPMA im niederlän-dischen Brunssum eine kleine, gesicherte, dedizierte CIS-Umgebung, die auf Microsoft-Technologie basiert und die Büroauto-matis ierung sowie die Anbindung an NAPMA-externe IT-Systeme bietet. Die wichtigsten Dienste für die Nutzer sind E-Mail

(MS Exchange), Dokumentenmanagement (MS SharePoint) und ein Ressourcen-planungs- und Warenwirtschaftssystem (SAP). Durch die kürzlich umgesetzte Auf-stockung der SINA Laptops und gesicherten Smartphones sind nun etwa 70 Prozent der NAPMA-Mitarbeiter mit einem SINA Laptop ausgestattet.

Bei der Arbeit in einem solchen Umfeld sind Sie darauf angewiesen, sensible oder gar hochsensible Daten sicher empfangen, speichern, bearbeiten und senden zu können. Welche CIS-Richtlinien und -Verfahren müssen Sie einhalten, um Compliance zu gewähr-leisten?Wie andere NATO-Dienststellen muss auch die NAPMA die IT- und IT-Sicherheits-Richt-linien, Direktiven und Leitlinien der NATO befolgen. Diese wurden zusätzlich auf die individuellen Geschäf tsanforderungen der NAPMA zugeschnitten, während sie weiterhin eine Sicherheitsakkreditierung des NATO Office of Security aufrechterhält. Die NAPMA unterscheidet sich von anderen NATO-Dienststellen beispielsweise dadurch, dass sie auch Informationen verarbeiten muss, die wirtschaftlich sensibel sind, Aus-fuhrkontrollen oder Copyrights von Industrie-unternehmen unterliegen.

Bei der täglichen Arbeit müssen wir daher einerseits das Bewusstsein aller Mit-arbeiter für ihren persönlichen Beitrag zur IT-Sicherheit wachhalten und stärken. Andererseits spielen in diesem Zusammen-hang auch der Betrieb und die Aufrecht-erhaltung technischer Sicherheitsmaßnahmen (z. B. Perimeterschutz, Secure E-Mail Gate-way) eine wichtige Rolle. Im Dezember 2017 wurde diesbezüglich ein wichtiger Meilen-stein erreicht, als das NATO Office of Security das NAPMA NR Main CIS akkreditierte und es damit autorisierte, Daten bis einschließ-lich der Geheimhaltungsstufe NATO RES-TRICTED (NR) zu speichern, zu verarbeiten und zu übertragen. Diese Akkreditierung um-fasst auch die SINA Implementierung bei der NAPMA.

In Bezug auf die Fähigkeit zur sicheren Speicherung, Verarbeitung und Über-tragung sensibler Daten ist es für die NAPMA zwingend erforderlich, Kontrolle und Besitz der Informationen nicht aus der Hand zu geben. Auch die Aufsicht über alle externen IT-Services und den Support muss bei der NAPMA verbleiben. In dieser Hinsicht stellt SINA eine erstklassige Möglichkeit für die NAPMA dar, diese Anforderungen zu erfüllen.

Alle SINA Komponenten, die für die Nutzung innerhalb des eingestuften Umfelds der NATO (RESTRICTED und SECRET) zugelassen und akkreditiert sind, sind im Katalog NIAPC (NATO Information Assurance Product Catalogue) aufgeführt. Dieser Katalog wird von der NATO Communications and Information (NCI) Agency erstellt und gepflegt.

Mehr Informationen dazu erhalten Sie unter der folgenden URL: www.ia.nato.int/niapc

15

IntErnatIonal

Was waren Ihre wichtigsten Ziele und größten Herausforderungen, als Sie und Ihr Team die Anforderungen an eine Secure Remote Access (SRA)-Fähigkeit formuliert haben?Das Ziel der NAPMA lag in der Einrichtung, der Wartung und dem Betrieb einer SRA-Fähigkeit, die integraler Bestandteil der NAPMA-Infrastruktur sein sollte und die durch das NATO Office of Security ak-kreditiert werden konnte. Weiterhin ging es darum, dass die Mitarbeiter sowohl vor Ort als auch unterwegs und sowohl on- als auch offline mit denselben Funktionen wie an den internen NAPMA NR-Workstations arbeiten können, und zwar mit vergleichbarer Perfor-mance. Die Herausforderung bestand darin, einen Service zu implementieren, der nicht nur den Anforderungen der Nutzer gerecht wird, sondern auch hinsichtlich Kosten, Servicequalität und Zeitplan für die Im-plementierung die Erwartungen der NAPMA erfüllt. Darüber hinaus wollte die NAPMA ein System, das den Nutzern zwei streng von-einander getrennte Arbeitsplätze bietet:

1. Eine verwaltete Arbeitsumgebung, in der es sich genauso arbeiten lässt wie auf den anderen NAPMA-Workstations für Daten bis einschließl ich NATO RESTRICTED.

2. Ein kostengünstiges (beispielsweise l izenzfreies) System mit geringem Wartungsaufwand, das Internetnutzung sowie Office-Basisanwendungen auf Geschäftsreisen erlaubt (und zwar ohne

Inhaltsfilterung beim Internetzugang, um beispielsweise den Check-in am Flughafen zu ermöglichen).

Die bereits seit 2012 bei der NAPMA vor-handene SRA-Fähigkeit musste im Herbst 2015 ersetzt werden. Aus diesem Grund führte die NAPMA eine internationale Dienst-leistungsausschreibung durch, in deren Rahmen 15 potenzielle Anbieter um ein An-gebot gebeten wurden. Den Zuschlag erhielt letztlich die CONET Services GmbH, welche die SINA Lösung für die NAPMA betreibt und wartet.

Im Jahr 2015 wurde die SINA SRA-Fähig-keit implementiert. Drei Jahre später haben Sie und Ihr Team beschlossen, erneut in diesem Bereich zu investieren und die Infrastruktur zu verdreifachen. Wie kam es zu dieser Erweiterung und was waren die wesentlichen Triebkräfte und ausschlaggebenden Faktoren für diese Entscheidung?Für die Erweiterung unserer SRA- Imple-mentierung gab es hauptsächlich drei Gründe:

Erstens waren die NAPMA-Nutzer mit den SINA Geräten im Hinblick auf Leistungs-fähigkeit und Bedienung sehr zufrieden. Der Pool mit sechs Geräten, die den Mitarbeitern jeweils nur temporär zur Verfügung gestellt wurden, war nahezu ständig ausgebucht.

Zweitens ging die NAPMA bei der Ak-tualisierung ihrer IT-Strategie davon aus, dass sich Geschäf tsprozesse in den

nächsten zehn Jahren immer mobiler und agiler entwickeln werden, basierend auf mobilen Lösungen und Technologien für den Fernzugriff. Aus diesem Grund ermittelte die NAPMA Anfang 2018 den konkreten Bedarf an Mobiltelefonen und SRA-Geräten unter funktionalen Aspekten (z. B. erforderliche Verfügbarkeit des Personals, Arbeitseinsätze außerhalb der NAPMA-Räumlichkeiten, Zu-griff in dringenden Fällen oder Notfällen). Im Zuge dessen wurde ein Bedarf von nunmehr etwa 90 SINA Geräten ermittelt.

Drittens möchte die NAPMA die interne Zu-sammenarbeit aus technischer Sicht verbes-sern. Daher wird in Kürze ein WLAN-Service im NAPMA-Gebäude implementiert, durch den NAPMA-Nutzer unter anderem in kleinen Ad-hoc-Teams zusammenarbeiten oder bei internen Besprechungen online auf NAPMA-Daten zugreifen können. Da WLAN-Dienste auf NATO UNCLASSIFIED beschränkt sind, ermöglicht die SINA Technologie den NAPMA-Mitarbeitern, von jedem Ort im Ge-bäude aus sicher auf die klassifizierte NAPMA CIS-Domain zurückzugreifen.

Welche wesentlichen Vorteile haben Ihre Netzwerk- und Systemadministratoren bei der Verwaltung und dem Einsatz von SINA SRA festgestellt? Welches Feedback haben Sie von den Nutzern erhalten? Und haben Faktoren wie Servicequalität, Interoperabilität oder Handhabbarkeit bei ihrer Bewertung eine Rolle gespielt?

Sitz der NAPMA ist das NATO-Gelände des Allied Joint Force Command (JFC) Brunssum

in den Niederlanden.

Source & Copyright©Luchtopnames NATO HQ JFC BrunssumFlickr: Allied Joint Force Command Brunssum

SECUVIEW – 2 | 201816

IntErnatIonal

Kriterien hinsichtlich Performance, Service-qualität, Interoperabilität und Handhabbarkeit waren zentrale Anforderungen an die SRA-Fähigkeit der NAPMA. Aus diesem Grund wurden sie auch vor der Ausschreibung fest-geschrieben und in den Anforderungskatalog aufgenommen. Nach drei Betriebsjahren hat die SINA Lösung meiner Auffassung nach die Erwartungen der Nutzer und Administratoren im Hinblick auf diese Kriterien voll erfüllt. Die Tatsache, dass die NAPMA in drei Jahren bei 30 SINA Geräten nur zwölf Support- Tickets erstellen musste, spricht für sich. Mit „Support-Tickets“ sind in diesem Fall alle Service-Anfragen gemeint, die die NAPMA nicht intern lösen konnte. Dazu zählten bei-spielsweise eine Anfrage zur Bewertung der Auswirkungen von Meltdown und Spectre auf SINA, eine Bitte um Freischaltung von Treibern für USB-Geräte (z. B. SmartBoard) oder die Unterstützung bei der Migration des SINA Management Servers auf neue Hardware.

In Bezug auf die Erweiterung der SINA Geräte bei der NAPMA kann man sagen, dass die neuen SRA-Nutzer weniger Probleme im Umgang mit ihren bis dato unbekannten SINA Geräten haben als bei der parallel dazu vorgenommenen Software-Mi-gration von Win 7 auf Win 10 und der Hand-habung der neuen Version von MS Office.

Die Netzwerk- und Systemadminis-tratoren profitieren von der reibungslosen Integration von Backend und Endgeräten in die bestehende IT-Infrastruktur. Die Ver-waltung erfordert keinen großen Aufwand. Als vorteilhaft erweist es sich zudem, dass bei SINA und den verbleibenden Desktop-Computern dieselben Software-Images verwendet werden. Auch vom IT-Sicher-heitspersonal kommt positives Feedback – sie sind zufrieden mit der Trennung zwischen der Arbeitsumgebung für den Umgang mit Daten höherer Geheimhaltungsstufe und der weniger geschützten Arbeitsumgebung für den Internetzugang.

Kommen wir zu einem anderen Thema. Welche aktuellen IT-Trends nehmen Sie als Dezernatsleiter für Informations-management bei der NAPMA in Ihrem Arbeitsalltag wahr? Inwieweit wirken sich manche dieser Trends auf Ihre Ziele aus?Für eine kleine Organisation wie uns erscheint es recht optimistisch, sich mit aktuellen IT-Trends und Technologien zu beschäftigen. Allerdings müssen wir realistisch bleiben und die Bedürfnisse unserer Organisation immer im Blick behalten. Die IT-Strategie der NAPMA stellt ein solides Fundament dar, das darauf ausgerichtet ist, die NAPMA bei der Erfüllung ihres Auftrags zu unterstützen und ihre Geschäftsprozesse zu ermöglichen. Nach der technischen Erneuerung in diesem Jahr genügen IT-Infrastruktur und -Services modernsten Ansprüchen. Deshalb wird die NAPMA ihren Fokus in den kommenden Jahren verstärkt auf kulturelle und Ver-fahrensänderungen richten, um die interne Zusammenarbeit weiter zu verbessern. Wie bereits erwähnt, besteht Konsens darüber, dass Mobilität und Agilität bei der Arbeit in der nächsten Dekade immer mehr an Bedeutung gewinnen werden, wobei mobile Lösungen und Fernzugriff die Basis bilden. Daher muss sich die Informationsarchitektur der NAPMA weiterentwickeln, um zukünftigen Geschäfts-konzepten gerecht zu werden, die die soziale Interaktion in den Vordergrund stellen und die Konversation fördern – wobei es egal ist, ob die Mitarbeiter vom Büro aus, von zu Hause aus oder unterwegs daran teilnehmen.

Ziel der IT der NAPMA ist es darüber hinaus, eine Reihe von Funktionen zu verbes-sern bzw. zu implementieren. Dazu gehören die Echtzeit-Synchronisation von Infor-mationen, Chats, nutzerbasierte Video- bzw. Telekonferenzen (VTC), applikationsüber-greifende Workflows sowie ein optimierter Abruf von geschäftlichen Informationen. Außerdem sollen die Schlagworte Business Intelligence und Knowledge Management nicht unerwähnt bleiben.

Werfen wir einen Blick in die Zukunft. Wie lauten die nächsten Schritte der NAPMA und des NAEW&C-Programms? In Bezug auf die NATO E-3A-Fähigkeiten – dazu gehören die Flugzeuge und die damit verbundenen Bodensysteme – wurden Studien und Analysen hinsichtlich eines po-tenziellen Programms zur letzten Nutzungs-dauerverlängerung (Final Lifetime Extension Programme, FLEP) durchgeführ t, um mögliche technische Lösungen für noch nicht erfüllte operative Anforderungen zu finden, die operative Bedeutung der Plattform zu erhalten und die Verfügbarkeit der NE-3A-Flotte für NATO-Operationen bis 2035 sicher-zustellen. Sofern das Programm von den an der NAPMO beteiligten Staaten genehmigt wird, soll es ab 2019 umgesetzt und bis 2026 abgeschlossen werden. Bei FLEP geht es um mandatierte Updates an den Daten-link- und Sprachverbindungsmöglichkeiten, eine Verbesserung der Breitband-Beyond-Line-of-Sight-Vernetzungsfähigkeit in der Luft sowie die Aktualisierung der Missions-Hardware- und Software-Infrastruktur der NE-3A. Gleichzeitig sollen bekannte und neu auftretende Herausforderungen in Bezug auf Obsoleszenzmanagement (das Schlagwort lautet „Diminishing Manufacturing Source“, DMS) in Angriff genommen werden.

Das Interview wurde in Englisch geführt und für die deutsche Ausgabe der secuview über-setzt. Der Originaltext ist in der englischen Ausgabe veröffentlicht.

Stephan Sauer ist Generalstabsoffizier der deutschen Luftwaffe und derzeit der NAPMA beigestellt. Von 2014 bis 2017 war er Büroleiter des NAPMA General Manager, Brigadegeneral Michael Hain. In diesem Zeitraum baute Stephan Sauer auch den Be-reich für IT-Sicherheit (Information Assurance Section) bei der NAPMA auf, der erste IT-Sicherheitsanforderungen für die letzte Nutzungsdauerverlängerung der NE-3A herleitete. Nachdem er die Funktion seit 2015 bereits interimsweise bekleidete, wurde er 2017 offiziell Dezernatsleiter für Informationsmanagement, dessen Hauptaufgabe die Bereitstellung von IT-Services für die NAPMA ist. Zu den aktuellen Projekten zählen die technische Erneuerung von IT-Infrastruktur und -Services sowie die Anpassung und Optimierung des SAP-basierten ERP-Systems. In seiner letzten nationalen Ver-wendung war Stephan Sauer im Bundesministerium der Verteidigung als Referent für NATO-Verteidigungsplanung tätig.

Stephan Sauer

Generalstabsoffizier der deutschen Luftwaffe, Dezernatsleiter für Infor-mationsmanagement der NAPMA

17

IntErnatIonal

NEUES EXZELLENZCLUSTER FÜR IT-SICHERHEIT IN BOCHUM

Spitzenforschung mit Teamgeist

Die Ruhr-Universität Bochum (RUB) hat in der bundesweiten Exzellenzstrategie erfolgreich abgeschnitten und wird ab

2019 zum Standort zweier Exzellenzcluster, von denen sich eines mit IT-Sicherheit

beschäftigen wird. Damit kann die RUB ihre bestehende Spitzenstellung für dieses

Forschungsgebiet weiter aus-bauen. secuview sprach mit

Prof. Dr. Christof Paar, einem der Sprecher des Exzellenz-

clusters.

Die Exzellenzstrategie des Bundes und der Länder soll den Wissenschaftsstandort Deutschland nachhaltig stärken und seine internationale Wettbewerbsfähigkeit weiter verbessern. Dabei zielt die Förderlinie Ex-zellenzcluster darauf ab, herausragende Wissenschaftler verschiedener Disziplinen an einem Standort zusammenzubringen, um gemeinsam an einem gesellschaftlich oder wirtschaftlich hochrelevanten Forschungs-gebiet zu arbeiten. Aus 195 Vorschlägen für Exzellenzcluster-Themen aus allen Wissen-schaftsbereichen wurden 57 in einem kom-petitiven Auswahlprozess zur Förderung

bestimmt. „Casa – Cyber-Sicherheit im Zeit-alter großskaliger Angreifer“ gehört dazu und ist das einzige Exzellenzcluster auf dem Ge-biet der IT-Sicherheit. Es bietet einen Rahmen, innerhalb dessen 21 Forschergruppen am Horst Görtz Institut für IT-Sicherheit (HGI) der Ruhr-Universität Bochum (RUB) im Zeitraum von 2019 bis 2026 tätig sein werden. Unter-stützt werden die Forschungen mit För-dergeldern in zweistelliger Millionenhöhe. Sprecher des Exzellenzclusters sind die RUB-Professoren Thorsten Holz, Eike Kiltz und Christof Paar.

Studierende auf dem Campus der Ruhr-Universität Bochum

SECUVIEW – 2 | 201818

WIssEnschaft

Herr Professor Paar, worum geht es inhaltlich beim Exzellenzcluster Casa?Die Cybersicherheit ist zu einer zentralen gesellschaftlichen Fragestellung geworden, wobei sich die Art der Bedrohung während der letzten Jahre drastisch verändert hat. Viele der heutigen IT-Angriffe werden von großskaligen Angreifern, insbesondere von staatlichen Organisationen, ausgeführt. Staatliche Widersacher sind besonders be-sorgniserregend, da sie langfristig agieren und über erhebliche technische Fähigkeiten und Ressourcen verfügen. Wie aus den nahezu wöchentlich bekannt werdenden Vor-fällen ersichtlich wird, sind gängige Sicher-heitslösungen gegen solche Angreifer heute in hohem Maße unzureichend. Gegenmaß-nahmen gegen diese mächtigsten Angreifer liegen im Fokus des Casa-Projekts.

Hat die Förderung Ihrer Meinung nach langfristig Folgen für die IT-Sicher-heitsindustrie der Region? Wie kann sie profitieren?In Bochum und Umgebung haben wir schon jetzt das am besten ausgebaute Ökosystem für Cybersicherheit in Deutschland. Das Öko-system basiert auf den drei Säulen Spitzen-forschung, Ausbildung und Praxistransfer. Durch Casa werden insbesondere die Spitzenforschung und der Transfer verstärkt, zudem wird eine thematische Erweiterung auf aktuelle Entwicklungen – wie dem Zusammenspiel von Menschen und Cyber-sicherheit oder Sicherheit und maschinellem Lernen – möglich. Der zweite entscheidende Aspekt für die Region wird das TransferLab von Casa sein. Hier werden vielversprechende Forschungsergebnisse in einer sehr frühen Phase mit Praxispartnern in Real-World-An-wendungen erprobt. Wir konzentrieren uns hierbei auf Branchen, die für Nordrhein-West-falen eine große Bedeutung haben, unter anderem. Industrie 4.0, Logistik und E-Health.

Welche nächsten Schritte haben Sie konkret geplant?Die zentrale Komponente von Casa ist, dass die diversen Forschungsansätze auf dem Gebiet der Cybersicherheit zu-sammengeführt werden, um gezielt an einer der wichtigsten – vielleicht sogar der wichtigsten – Sicherheitsfragestellung zu arbeiten: Wie können wir langfristigen Schutz gegen sehr mächtige staatliche Angreifer bieten? Hierfür haben wir elf grundlegende Forschungsfragestellungen identifiziert. Schon ab Anfang Januar werden wir in ausgewählten Pilotprojekten unsere wissen-schaftliche Arbeit aufnehmen.

Hat das Ruhrgebiet Ihrer Meinung nach die deutsche Spitzenstellung auf dem Gebiet der IT-Sicherheit inne?Es gibt bestimmt noch eine Reihe anderer hervorragender Standor te für Cyber-sicherheit in Deutschland. Was Bochum und Umgebung jedoch auszeichnet, ist der zuvor beschriebene Dreiklang aus Spitzenforschung, Ausbildung und Transfer, verbunden mit dem für das Ruhrgebiet so typischen kooperativen Teamgeist. Neben der Spitzenforschung ist für den langfristigen Erfolg ebenso wichtig, dass das Horst Görtz Institut für IT-Sicherheit an der RUB mit rund 1.200 Studierenden in vier Spezialstudien-gängen der IT-Sicherheit die – mit Abstand – größte Ausbildungsstätte für IT-Sicherheit in Europa ist. Auch weltweit gehört das Institut mit seinen über 20 Forschergruppen und 200 Wissenschaftlern auf verschiedensten Gebieten der modernen Cybersicherheit schon heute zu den Top 5. Wir sind ebenso führend im Bereich Transfer: Mit bisher 20 Start-ups im Bereich Cybersicherheit, die unter anderem zu Übernahmen durch Unternehmen wie Bosch, Google und den TÜV geführt haben, sind wir auch hier deutschlandweit spitze. Im letzten Jahr hat Cube 5 seine Arbeit aufgenommen, ein Inkubator, der auf Start-ups im Bereich IT-Sicherheit spezialisiert ist. Noch dazu wurde im November bekannt, dass in Bochum ein neues Max-Planck-Institut für Cyber-sicherheit und Schutz der Privatsphäre ent-stehen wird. Das wird den Standort natürlich weiter stärken.

Wie sollte aus Ihrer Sicht eine gute Zusammenarbeit von Wissenschaft und Wirtschaft aussehen?Unsere Erfahrung der letzten 20 Jahre hat gezeigt, dass Wissenstransfer im Bereich Cybersicherheit sehr divers sein kann. Wir haben hierfür verschiedene Formen der Zu-sammenarbeit entwickelt. Zum einen führen wir die „klassische“ Industrieforschung durch, bei der konkrete Fragestellungen im Indus-trieauftrag bearbeitet werden. Als zweite Form führen wir F&E-Projekte in Konsortien mit einem oder mehreren Unternehmen durch, die oft vom BMBF oder dem BMWi gefördert werden. Als dritte Form des Trans-fers bilden ausgewählte Forschungsergeb-nisse die Grundlage von Start-ups. Solche Spin-offs haben sich inzwischen zu einer besonderen Stärke des Standorts Bochum entwickelt.

Prof. Dr. Christof Paar

Sprecher des Exzellenzclusters

Prof. Dr.- Ing . Chr is tof Paar ist Experte auf dem Gebiet der angewandten Kryptographie und leitet seit 2001 den Lehrstuhl für Em-bed ded Se cu ri ty am Horst Görtz In-stitut für IT-Sicherheit (HGI) an der Ruhr-Universität Bochum (RUB). Von 2004 bis 2007, von 2010 bis 2012 sowie von 2016 bis 2017 war er zudem als geschäftsführender Direktor am HGI tätig.

Prof. Paar ist u. a. Mit be grün der der Kon fe renz „CHES – Cryp to gra-phic Hard ware and Em bed ded Sys-tems“ und Grün der der ESCRYPT GmbH – Em bed ded Se cu ri ty, die jetzt Teil von Bosch ist. Seit 2009 ar-beitet er auch als Af fi lia ted Pro fes sor an der Uni ver si ty of Mas sachu setts, USA. Zu seinen Forschungsschwer-punkten gehören beispielsweise Hard ware-Sicherheit , schnel le Hardware- und Software-Tech-niken für die Kryp to gra phie sowie Sicherheit in praktischen Systemen wie z. B. Fahrzeugen oder Zugangs-systeme. Für seine wissenschaftliche Forschungsarbeit wurde Prof. Paar bereits mehrfach ausgezeichnet, u. a. 2011 mit dem IEEE Fel low, 2016 mit dem ERC Ad van ced Grant auf dem Ge biet der Hard ware-Si cher-heit sowie 2017 mit dem IACR Fel low.

19

WIssEnschaft

Erzählen Sie uns bitte etwas mehr über Ihren Cybersecurity-Forschungsansatz!Das Besondere des Casa-Clusters ist sein holistischer Ansatz. Obwohl allgemein bekannt ist, dass starke Cybersicherheit alle Systemkomponenten absichern muss, verfolgt die Wissenschaft (und oft auch die Industrie) zumeist nur partielle Lösungen. In Casa hingegen entwickeln wir Sicherheits-konzepte auf allen Systemebenen. Hierfür führen wir Spitzenforschung in den vier Ge-bieten Kryptographie, Software-Sicherheit, Hardware-Sicherheit und menschliche Aspekte der Cybersicherheit in einem hoch innovativen Konzept durch. Speziell an Casa ist auch das weltweit einzigartige interdis-ziplinäre Team, bei dem Professoren aus den Gebieten der Informatik, Mathematik, den Ingenieurwissenschaften und der ex-perimentellen Psychologie eng zusammen-arbeiten.

Die Verfügbarkeit gut ausgebildeter Fach-kräfte ist nach wie vor ein vorrangiges Thema für die Industrie. Wie können Bildungseinrichtungen und Unternehmen dazu beitragen, um unter jungen Menschen noch mehr Begeisterung für die IT-Sicherheit zu wecken?An der Ruhr-Universität bilden wir schon seit dem Jahr 2000 Spezialisten für IT-Sicherheit aus. Im Laufe der Zeit haben wir gelernt, dass Cybersicherheit als eigenes Fach-gebiet vermittelt werden sollte. Das heißt es ist nicht ausreichend, im Master-Studium einige Spezialvorlesungen zur Computer-sicherheit oder Kryptographie anzubieten. Stattdessen muss Cybersicherheit in speziell abgestimmten Studiengängen vermittelt werden. Es ist wichtig, den Studierenden so früh wie möglich die „Security-Denke“ zu vermitteln. Ebenso wichtig ist es natürlich, die technischen Sicherheitskonzepte auf allen Systemebenen zu vermitteln.

Was erwarten Absolventen heute von einem potenziellen Arbeitgeber?Um es auf den Punkt zu bringen: ein spannendes Arbeitsumfeld. Absolventen der IT-Sicherhei t können s ich heute praktisch jeden Arbeitgeber aussuchen. Meiner Erfahrung nach geben die Inhalte der Arbeit bei den meisten Absolventen den Ausschlag. Gerade Kandidaten mit einem fünfjährigen Bachelor-Master-Abschluss in IT-Sicherheit erwarten eine Tätigkeit, bei der sich nicht schon nach wenigen Monaten eine Routine einstellt – und bei der sie ihr umfangreiches Fachwissen einbringen und erweitern können. Daneben sind natürlich die weicheren Aspekte von Bedeutung, wie der Ruf des Unternehmens und die Arbeits-atmosphäre, genauso wie das Gehalt.

Rund 1.200 Studierende machen das Horst Görtz Institut zur größten Ausbildungsstätte

für IT-Sicherheit in Europa.

SECUVIEW – 2 | 201820

tEchnologIEn & lösungEn

SICHERER INTERNETZUGANG FÜR UNTERNEHMEN

Surfen ohne Risiko

Ein ungesicherter Internetzugang stellt immer noch das größte Einfallstor für Schadsoftware dar. Die Lösung secunet

safe surfer schließt diese Lücke, indem sie einen Browser in einer abge-sicherten Quarantäne-

Umgebung arbeiten lässt und gewissermaßen fernsteuert.

Die August Rüggeberg GmbH & Co. KG, das Unternehmen hinter der bekannten Werk-

zeugmarke PFERD, setzt die Lösung erfolgreich ein. secu-view sprach mit Tim Meurer, System- / Netzwerkadminis-

trator bei PFERD.

In e iner v iermonatigen Testphase ab Januar 2017 wurde der secunet safe surfer innerhalb der August Rüggeberg GmbH & Co. KG auf Herz und Nieren getestet. Die Hauptfragestellung: Wird die Lösung den Anforderungen an ein internationales Unternehmen gerecht?

Nach der Testphase war man sich sicher, auf das richtige Pferd zu setzen und ent-schied sich für eine unternehmensweite Aus-stattung mit dem secunet safe surfer. Das gemeinsame Einführungsprojekt, in dem die Internetzugriffsarchitektur für alle Mitarbeiter auf den safe surfer umgestellt wurde, war über einen Zeitraum mehrerer Monate aus-gelegt, innerhalb derer für drei internationale Standorte safe surfer Terminalserver-Cluster-installationen aufgebaut wurden: Marienheide (Deutschland), Johannesburg (Südafrika) und Melbourne (Australien).

Alle Server werden zentral aus Marienheide von einem übergreifenden Management-system gesteuert. Zudem sind über die drei genannten Standorte weitere internationale Standorte des Unternehmens an das safe surfer System angebunden.

Herr Meurer, was war die Initial zündung – aufgrund welcher Problemstellung haben Sie angefangen, nach einer IT-Sicher-heitslösung für einen sicheren Internet-zugang zu suchen?

Wir haben nicht erst vor zwei Jahren an-gefangen zu suchen. Schon zu Beginn, als wir die IT für PFERD aufgebaut haben, als das Internet noch gar nicht so wichtig war wie heute, haben wir uns Gedanken über die Sicherheit gemacht. Für uns stand fest, dass wir mögliche Bedrohungsszenarien aus dem Internet von Anfang an umgehen wollten. Schon der erste Internetzugang der Firma war ein Remotezugang. Mit einer Bild- und Tastatur- / Maus-Übertragung, die wir mit selbstentwickelten Infrastrukturen in einer Citrix-ICA-Terminalserverumgebung realisierten, schufen wir uns eine eigene Lösung. Für diese brauchten wir nun einen Ersatz – sie war mittlerweile stark veraltet und sehr pflegeintensiv und konnte nicht mehr allen Anforderungen gerecht werden.

Wie sind Sie auf secunet safe surfer gekommen? Wir haben auf dem Markt nach einer ad-äquaten Lösung gesucht. Der secunet safe surfer ist einzigartig. Außerdem ist das Featureset äußerst attraktiv für uns, ganz be-sonders die zentrale Verwaltbarkeit über den Managementserver. Vorher hatten wir drei Insellösungen in Deutschland, Australien und Südafrika, die einzeln zu managen waren. Das war aufwändig.

Nun wird mit dem safe surfer alles zen-tral und automatisiert aus Deutschland gesteuert: Wir haben mit Marienheide, Jo-hannesburg und Melbourne drei Standorte mit safe surfer Terminalserver-Clusterinstalla-tionen in Deutschland, Südafrika und Aus-tralien. An letztere sind jeweils verschiedene Verkaufsbüros angeschlossen. Die in Deutschland versorgt nicht nur verschiedene Verkaufsbüros und Werke, sondern auch andere europäische Länder wie Italien, Spanien, Belgien, Schweden, Polen, Frank-reich sowie die Türkei und Großbritannien. Und das ohne Performanceeinbußen! Die Mitarbeiter haben dort die gleiche Latenzzeit wie ich an meinem Rechner in der Zentrale.

PFERD bietet eine Kombination von Qualitätswerkzeugen, Antrieben und individueller Beratung.

21


Wie wird das technisch umgesetzt?Die Verkaufsbüros in Deutschland und Südafrika greifen dabei über Citrix-Terminal-services jeweils auf die interne IT-Infrastruktur zu und starten innerhalb dieser Citrix-Session den safe surfer. In Australien greifen die Clients aus den Verkaufsbüros direkt auf den safe surfer zu.

Gab es besondere Herausforderungen oder Schwierigkeiten bei der Im-plementierung über die Landesgrenzen hinweg?Naja, richtige Schwierigkeiten nicht. Aber es hatte beispielsweise niemand bedacht, dass der automatische Neustart des Systems um drei Uhr nachts deutscher Zeit in Australien für eine Lahmlegung des Internetzugangs mitten am Tag sorgt. Das fanden die austra-lischen Mitarbeiter natürlich nicht so lustig.

Dass die Standardsprache der Webpages im Browser automatisch auf Deutsch gestellt war, ließ sich schnell auf Englisch ändern. Auch die unterschiedlichen Tastaturlayouts

in der Türkei, in Frankreich, Schweden und auch in Belgien, wo es sogar binnenlän-disch noch mal Unterschiede gibt, mussten angepasst werden.

Wo wird bei Ihnen der secunet safe surfer eingesetzt?Tatsächlich in allen Unternehmensbereichen, bis hin zur Geschäftsführung. Wir machen keine Ausnahmen. Ist ein direkter Internet-zugang aufgrund der Arbeitsanforderung zwingend erforderlich, wie beispielsweise bei Creative-Arbeitsplätzen mit Adobe-Produkten, nutzt der Mitarbeiter einen PC innerhalb der Demilitarized Zone (DMZ). Zudem können Mitarbeiter mit Laptops über WLAN direkt ins Internet gehen, haben dann aber keinen direkten Zugriff auf Ressourcen aus dem in-ternen Netzwerk und somit auf die schützens-werten Systeme. Auch Handys und Tablets können bei uns auf diese Weise eingesetzt werden. Aber insgesamt wird der safe surfer in 98 Prozent des Unternehmens genutzt.

Wie sind Ihre Erfahrungen mit dem secunet safe surfer im Alltag? Wie ist die Rückmeldung der Mitarbeiter?Wir haben viel Feedback bekommen, dass der safe surfer besser sei als die alte In-frastruktur, und auch für uns als IT-Abteilung erfüllt die Lösung die Erwartungen. Be-sonders die URL-Weiche (Anm. der Redak-tion: URL-Handler) ist ein Riesenschritt nach vorn. Und auch die Datenschleuse wird sehr intensiv genutzt.

Natürlich gibt es auch verschiedene kleine Komforteinschränkungen in der all-täglichen Arbeit, die einige Mitarbeiter ärgern – je nachdem, wie ihre individuelle In-ternetnutzung aussieht. Wir arbeiten noch an Lösungen. Solche Kleinigkeiten, wenn auch andere, gab es auch vorher. Die muss man vermutlich hinnehmen, wenn man dieses Maß an Sicherheit anstrebt und daher einen nativen Internetzugriff vermeiden muss.

Tim Meurer ist Dipl. Inf. der allgemeinen Informatik und als System- / Netz-werk administrator in der IT-Abteilung der Firma August Rüggeberg GmbH & Co. KG an-gestellt. Zunächst mit der Administration der von Microsoft stammenden Produkte und Systeme beschäftigt, betreut er seit ca. 2008 haupt-sächlich Projekte und Infrastrukturen in den Themenbereichen Firewalling, VPN Anbindungen, Netzwerk, Segmentierung und sichere Internet-Kommunikation im Team IT – Infrastructure and Service Management des Unternehmens.

IM INTERVIEW

PFERD ist die führende Marke für die Entwick-lung, Fe r t igung und

Beratung sowie den Vertrieb von Werkzeuglösungen für die Oberflächenbearbeitung und das Trennen von Werk-stoffen. In seiner über 200 Jahre alten Tradition gefestigt, agiert PFERD als unabhängiges, international aus-gerichtetes Familienunternehmen langfristig. Mit derzeit 25 Tochtergesellschaften weltweit, sechs Fertigungsstand-orten und mehr als 1.870 Mitarbeitern ist die PFERD-Gruppe breit aufgestellt.

Die Kombination individueller Beratung und innovativer Hochleistungswerkzeuge mit dem Können der Anwender vor Ort garantiert stets das optimale Ergebnis für jede

Aufgabe. Als Hersteller von handgeführten Werkzeugen fühlt sich PFERD verpflichtet, zu mehr Sicherheit, Gesund-erhaltung, Arbeitskomfort und Effizienz beizutragen. Das PFERDVALUE®-Programm zielt darauf ab, Arbeits-prozesse ergonomisch zu optimieren und bestmögliche Wirtschaftlichkeit für die Kunden zu erreichen.

Der Arbeitgeber PFERD zeichnet sich seinen Mitarbeitern gegenüber durch Verlässlichkeit, Fairness und soziale Ver-antwortung aus. Einrichtungen wie das PFERDBISTRO, das täglich mehrere gesunde und frisch zubereitete Speisen anbietet, die betriebseigene KITA „Die Springenden Pferd-chen“ oder die Initiative PFERDVITAL, das Gesundheits- und Fitness-Programm des Unternehmens, tragen dazu bei, dass Arbeiten bei PFERD attraktiv ist.

ZUM UNTERNEHMEN

PFERD pflegt eine über 200 Jahre alte Tradition als Werkzeughersteller.

SECUVIEW – 2 | 201822


Die Evolution des elektronischen Führerscheins

Wie bei anderen Identitätsdokumenten lässt sich auch beim Führerschein eine Evolution vom Papier über die Chipkarte hin zur Smartphone-Anwendung beobachten. Aufgrund seiner

großen Verbreitung hat der Führerschein das Potenzial,

zum meistgenutzten Mittel der elektronischen Identifizierung

von Personen aufzusteigen. Können Kunden an der Super-

marktkasse zum Altersnach-weis künftig ihren digitalen

Führerschein nutzen? Mit der „mobile Driving License“ (mDL) auf dem Smartphone

werden diese und andere Anwendungsszenarien

möglich. Was ist der aktuelle Stand der Dinge, und wo führt

die Reise hin?

Immer mehr Aufgaben unseres täglichen Lebens bewältigen wir digital und mobil. Schon jetzt verfügt ein handelsübliches Smartphone über zahlreiche Funktionen, die uns den Alltag erleichtern: Wir nutzen es, um Fahrkarten oder Eintrittskarten darauf zu speichern, mobile Zahlungen durchzuführen, Flug-Check-ins abzuwickeln, an Treue-programmen teilzunehmen und vieles mehr. All dies ist dank vieler Applikationen möglich, die sich in Kombination mit der Smartphone-Hardware immer mehr zu unserem mobilen „ID-Wallet“ entwickeln, mit dem wir Trans-aktionen umsetzen, die einen Identitätsnach-weis erforderlich machen.

Entscheidende Wegweiser be i der weiteren technologischen Entwicklung ent-lang dieses Trends sind die Faktoren Be-nutzerfreundlichkeit und Bedienkomfort. In diesem Zusammenhang steht der gute alte Führerschein – eines der meistverbreiteten Dokumente für den Identitätsnachweis – auf einmal wieder im Zentrum der Diskussion, insbesondere da er für die mobile Nutzung bestens geeignet erscheint.

Noch vor wenigen Jahren war der Führer-schein in zahlreichen Ländern lediglich ein Papierdokument. Ein Foto des Inhabers diente dabei als biometrische Verbindung zwischen Dokument und Inhaber. Auf euro-päischer Ebene wurde dann Anfang 2013 ein scheckkartengroßer einheitlicher Führer-schein eingeführt. Jedem Mitgliedsstaat ob-liegt es selbst, ob er diesen Führerschein zusätzlich mit einem Chip, wie man ihn von anderen hoheitlichen Dokumenten wie dem Personalausweis oder dem Reisepass kennt, absichert oder nicht. In Deutschland wird eine reine Kartenlösung ohne integrierten Chip verwendet. Viele andere europäische Länder dagegen, z. B. die Niederlande, ver-wenden einen zusätzlichen RFID-Chip, um den Führerschein stärker abzusichern und auch um ihn mit zusätzlichen Funktionen auszustatten.

Internationale NormenBeim elektronischen Führerschein handelt es sich um ein offenes System mit zahl-re ichen Stakeholdern. Dazu gehören Chip-Produzenten, Systemintegratoren, die Herausgeber sowie die Institutionen, die den Führerschein zum Zweck der Identitätsfest-stellung auslesen, z. B. die Polizei. Damit das gesamte Ökosystem „elektronischer Führerschein“ reibungslos funktioniert, müssen die einzelnen Schnittstellen – an-gefangen vom Format des Führerscheins bis hin zur Datenstruktur auf dem Chip – stan-dardisiert werden. Dazu erstellt die Interna-tional Organization for Standardization (ISO) verbindliche Normen, die die länder- und anwendungsübergreifende Verwendung des (elektronischen) Führerscheins erst ermöglichen. Die entsprechende Normen-reihe, an deren Erstellung und Pflege zahl-reiche Unternehmen beteiligt sind, ist die ISO / IEC 18013. Neben den physischen Eigenschaften des Führerscheins werden in dieser Normenreihe auch die Sicherheits-protokolle beschrieben, die auf dem Chip verwendet werden. Diese orientieren sich mittlerweile an den Protokollen, die in der Technischen Richtlinie des Bundesamts für Sicherheit in der Informationstechnik (BSI) TR-03110 definiert werden und auch im Kon-text hoheitlicher Dokumente im Einsatz sind.

Der jüngste Teil dieses Standards geht noch einen Schritt weiter und beschreibt einen mobilen, digitalen Führerschein, der vom eigentlichen Kartenkörper losgelöst auf einem Smartphone gespeichert ist. Auf diese Weise kann das Smartphone in Kombination mit einer App, die die Daten und Sicher-heitsprotokolle enthält, als Ersatz für das eigentliche physische Dokument verwendet werden. In der Praxis ist dies über zwei Wege möglich: Entweder werden die Daten direkt von einer staatlichen Instanz auf das Smart-phone gespeichert, oder sie werden aus dem Chip eines physischen Dokuments auf das Smartphone geladen. Im letzteren Fall,

23


der sogenannten abgeleiteten Identität, be-sitzt der Führerscheininhaber immer noch ein physisches Dokument, das er parallel nutzen kann, z. B. wenn das Smartphone oder eine entsprechende Lesemöglichkeit dafür nicht zur Verfügung steht.

Digitale, mobile Führerscheine in der PraxisIn der Republik Kosovo wird der mobile Führerschein schon bald in der Praxis ein-gesetzt. Bei einer Führerscheinkontrolle können Autofahrer dort künftig einfach ihr Smartphone vorzeigen. Zu diesem Zweck öffnen sie eine App, und die Verkehrspolizei kann die Daten anschließend elektronisch auslesen und überprüfen.

Auch in einigen Bundesstaaten der USA wurden bereits erste Pilotprojekte initiiert, um die technische Realisierbarkeit eines digitalen Führerscheins zu analysieren. Dabei ging man davon aus, dass die virtuellen Exem-plare einige Eigenschaften eines physischen Führerscheins beibehalten sollten, z. B. die Anzeige der persönlichen Daten des Inhabers wie Name, Anschrif t und Ge-burtsdatum sowie sein Foto. Dazu werden unterschiedliche Technologien in Betracht gezogen, Sicherheit und Usability sind auch hier die Schlüsselfaktoren. Anders als in den meisten europäischen Staaten wird in den USA der Führerschein auch oft als primäres ID-Dokument genutzt, da es dort keine Per-sonalausweise gibt. Somit ist die digitale Version des Führerscheins dort besonders interessant für die Bürger.

Aber benötigen wir in der nahen Zukunft überhaupt noch Führerscheine? Werden wir nicht alle nur noch in autonom fahrenden Autos chauffiert? Dies wird nach Meinung vieler Experten noch ein langer Weg sein, und bis dahin werden wir Menschen immer noch als letzte Instanz eingreifen können bzw. müssen, um das Auto zu steuern. Führerscheine werden somit auch in den nächsten Jahren immer noch benötigt.

Ganz neue AnwendungsfälleNun erreicht also auch der Führerschein das digitale Zeitalter, was seinem Inhaber nicht nur mehr Komfort und Sicherheit bringt, sondern auch neue Funktionen. Gerade der Einsatz des Smartphones bietet neue Möglichkeiten über die Personenkontrolle im Straßenverkehr hinaus: So wird der Führerschein auch für die Privatwirtschaft interessant, wie etwa für die datensparsame Altersverifikation beim Kauf von Alkohol im Supermarkt. Darüber hinaus ist der mobile Führerschein bereits so konzipiert, dass potenziell auch weitere Daten darauf gespei-chert werden können – für ganz neue An-wendungsfälle, an die heute noch niemand denkt.

Holger Funke [email protected]

Noch vor wenigen Jahren war der Führerschein in zahlreichen Ländern

lediglich ein Papierdokument.

DER FÜHRERSCHEIN

hat das digitale Zeitalter erreicht, was seinem Inhaber nicht nur mehr Komfort und Sicherheit bringt, sondern auch neue Funktionen.

SECUVIEW – 2 | 201824


PKI: Der Schlüssel für die Zukunft

Geschäftsprozesse werden zunehmend elektronisch abge-bildet, vertrauliche Informationen über offene, internetbasierte

Plattformen ausgetauscht. Damit Vertrauensbeziehungen

im modernen Alltag funk-tionieren, müssen Vertraulich-

keit und Integrität von Daten jederzeit gesichert sein. Eine Public-Key-Infrastruktur (PKI)

ist hierfür die optimale Lösung. Mittlerweile hat sich die PKI

in sehr unterschiedlichen Einsatzbereichen etabliert –

weitere werden folgen.

Zur Authentisierung von Nutzern und tech-nischen Komponenten sowie zum Signieren und Verschlüsseln von Daten und Nach-richten werden digitale Zertifikate eingesetzt: Sie sorgen z. B. bei der Grenzkontrolle für Vertraulichkeit und Integrität bei der Daten-übertragung. Doch auch bei der Interaktion von Maschinen im Umfeld des Internet of Things (IoT) kommen digitale Zertifikate zum Einsatz, etwa für die Authentisierung, Integri-tätsprüfung und sichere Kommunikation von elektronischen Geräten und in vernetzten Automobilen. Um diese digitalen Zertifikate zu erzeugen, anzuwenden und zu verwalten, ist eine Public-Key-Infrastruktur (PKI) er-forderlich.

Eine typische PKI besteht aus einer Reihe von Elementen, die digitale Zertifikate auto-matisiert ausstellen, verteilen und prüfen. Dazu gehören z. B. eine sogenannte Certifi-cation Authority (CA), die die Zertifikate sig-niert, eine Registration Authority (RA), die die Benutzer in der CA registriert und ein Verzeichnisdienst (Directory oder DIR), der unter anderem eine Liste ungültiger öffent-licher Schlüssel enthält. In der Summe stellen diese und andere Elemente sicher, dass die im Umlauf befindlichen Zertifikate jederzeit vertrauenswürdig sind.

Da eine PKI in der Regel einen hohen Komplexitätsgrad aufweist, haben sich vor allem Anwendungsfälle durchgesetzt, bei denen der Endnutzer nicht direkt mit der PKI in Berührung kommt und die Lösung auto-matisiert im Hintergrund abläuft. Ein gutes Beispiel dafür ist das Verschlüsselungs-protokoll TLS (Transport Layer Security), das in HTTPS-basierten Webservern eingesetzt wird. Vom Nutzer weitgehend unbemerkt verwendet der Browser die PKI beispiels-weise für sicheres Online-Banking und Online-Shopping.

Dieser Trend setzt sich auch bei neuen Einsatzgebieten von PKI fort. Dazu gehören beispielsweise Update-Prozesse oder das Einspielen von Konfigurationen sowie auch (Fern-)Wartungszugriffe, die Absicherung von Mehrwertdiensten (z. B. Kartenupdates im Fahrzeug) oder die Sicherstellung der Konformität zwischen Schnittstellen. All dies sind PKI-gestützte Prozesse, bei denen der Nutzer jedoch nicht direkt in Kontakt mit der PKI im Hintergrund tritt.

Andreas Hellrung [email protected]

DIE SECUNET eID PKI SUITE – EINE LÖSUNG FÜR ALLE

secunet hat sein umfangreiches Know-how aus über 350 Projekten und seine Erfahrung aus mehr als 20 Jahren im Be-reich PKI-Design und -Implementierung in einer eigenen PKI-Lösung gebündelt: Die secunet eID PKI Suite ist sowohl für den Einsatz im Bereich der hoheitlichen Dokumente („eID“ steht für elektronische Identitätsdokumente) als auch in allen anderen, beispielsweise kommerziellen

Anwendungen eine bewährte, vollständig modulare Public- Key- Infrastruktur. Einzelne Software-Bausteine können leicht in bestehende Infrastrukturen integriert werden oder ergeben zu-sammengenommen ein leistungsstarkes Gesamtsystem.

Ob Sicherheitsorganisationen, Be-treiber kritischer Infrastrukturen, die Streitkräfte oder Kunden aus dem Auto-

mobilumfeld – für sie alle ist die eID PKI Suite ein zuverlässiges und hoch verfüg-bares Sicherheitsgerüst und Identitäts-nachweis in der digitalen Welt.

Die secunet eID PKI Suite ist eine be-währte Standardlösung, die trotzdem exakt auf sehr unterschiedliche Kunden-bedürfnisse zugeschnitten werden kann.

25


In Spielautomaten sichert die PKI die

Abrechnungsdaten ab und stellt geräte-

spezifische Zertifikate aus. Darüber hinaus

existiert eine enge Koppelung mit dem

Warenwirtschaftssystem des Herstellers

über eine spezifische Schnittstelle.

Bekannte Anwendungen der Absicherung von Elektronik im Bereich

Automotive wie beispielsweise sicheres Flashen von Steuergeräten,

Software-Over-the-Air, Diagnose-Absicherung, sichere Bordnetz-

kommunikation (SecOC) und sichere Smart-Charging-Kommunikation

(ISO 15118) lassen sich damit genauso umsetzen wie neue und

zukünftige Aufgaben im Bereich Datendienste, Mobilitätsdienste oder

Car-2-Car-Kommunikation.

In der Agrarindustrie ermöglicht die PKI

die Kommunikation zwischen Systemen

unterschiedlicher Hersteller und ist somit

Ausgangspunkt für die Absicherung der

Interoperabilität von Landmaschinen.

Bei Fahrzeugherstellern wird ein Set an Zertifikaten für jedes

Steuergerät in der Produktion beim Einbau in das Fahrzeug

erstellt. Dafür stehen weltweit Systeme in den Produktions-

stätten bereit, die rund um die Uhr Zertifikate ausstellen.

Außerdem werden zentral Zertifikate ausgegeben, die bei

der Verbindung zu Mehrwertdiensten (z. B. Wetterdaten,

Pannenhilfe, Verkehrs- und Navigationsdaten) zur gegenseitigen

Authentisierung (Mutual Authentication) genutzt werden.

Für Hersteller von Steuer- und

Messkomponenten im Maschinenbau

übernimmt die PKI die Absicherung von

Kommunikationsschnittstellen zwischen

Infrastruktur und Maschine zur

Übertragung von Prozessparametern,

Maschinen- und Diagnosedaten.

Bei Industrial Control Systems, beispielsweise

in der Prozessleittechnik für Windkraftanlagen,

steuert die PKI Fernwartungszugriffe und übernimmt

die gesicherte Übertragung von Prozess- und

Konfigurationsparametern sowie die Absicherung

von Updates für die verschiedensten Systeme in

kritischen Infrastrukturen.

Bei der Grenzkontrolle sorgt die PKI als Sicher-

heitsgerüst im Hintergrund dafür, dass die Echtheit

von Identitätsdokumenten effizient, zuverlässig

und hochsicher festgestellt sowie Fingerabdrücke

ausgelesen und geprüft werden können.

Zulieferer der Automobil- und Agrar-

industrie nutzen PKI unter anderem für

die Erzeugung von gerätespezifischen

Schlüsseln in Steuergeräten zu Diagnose-

zwecken sowie für die Signatur von Firm-

ware-Updates und Konfigurationsdaten.

SECUVIEW – 2 | 201826


VERSCHLÜSSELTE SPRACHKOMMUNIKATION

GEHEIM-Telefonie: Was kommt nach ISDN?

Die Tage der ISDN-Technik sind gezählt. Kryptotelefone, die gegenwärtig von Behörden eingesetzt werden, basieren jedoch

noch immer auf ISDN als Kommunikations- und Vermitt-

lungsnetz. Alternativen sind bereits in Sicht, werden aber

erst nach einer Übergangszeit verfügbar sein. Daher sind Interimslösungen gefragt.

Für die sichere Sprachkommunikation nutzen die öf fentliche Verwaltung, das Bundesministerium der Verteidigung und die Bundeswehr ( im nicht-tak tischen Bereich) gegenwärtig verschiedene ISDN-Verschlüsselungssysteme, die mittlerweile veraltet sind: Die deutschen Netzbetreiber schalten das 1989 eingeführte „Integrierte Sprach- und Datennetz“ (ISDN) in abseh-barer Zeit ab. Im internationalen Umfeld steht ISDN teilweise seit mehreren Jahren nicht mehr zur Verfügung. Die ISDN-Technik wird derzeit sukzessive durch IP-Netze abgelöst.

Es ist zu erwarten, dass die Migration von öffentlichen ISDN-Netzen zu ausschließlichen IP-Netzen schneller abgeschlossen sein wird, als Ersatzgeräte für die bis dato genutzten Kryptosysteme zur Verfügung stehen. Daher wird heute vielfach versucht, mit ISDN-IP-Gateways die Lebensdauer der eingesetzten Systeme zu verlängern. Hier besteht jedoch u. a. ein Problem in der Kompatibilität, da das ISDN-Netz leitungsorientiert und die IP-Netze paketorientiert arbeiten. Bei ISDN-Netzen wird der Takt der Informationen immer ein-gehalten, was bei der Nutzung eines Gate-ways zu einem IP-Netz nicht gegeben ist. Durch Jitter, d. h. Paketverlust oder Inkon-sistenzen in der Datenübertragung durch

unterschiedliche Paketlaufzeiten, kann es in der in IP-Daten umgewandelten ISDN-Ver-bindung zu einem Bitschlupf, dem Verlust von Bits, kommen. Dieser führt dazu, dass die verschlüsselte Verbindung zusammenbricht.

Darüber hinaus ist bekannt, dass ISDN-Videokonferenzanlagen nur eingeschränkt an ISDN-IP-Gateways betrieben werden können, was auch auf deren Empfindlich-keit gegenüber Jitter zurückzuführen ist. In Kombination mit einem Kryptosystem, das einen einwandfreien Bit-Takt erfordert und sich nach einem Bitschlupf nicht re-synchro-nisieren kann, sind häufige Verbindungs-abbrüche zu erwarten.

Marktverfügbare Interimslösungen mit SINA HBereits heute bietet die SINA Techno-logie die Möglichkeit IP-basierter Sprach-kommunikation bis zum Einstufungsgrad GEHEIM. Mit der SINA Workstation H unter Nutzung des integrierten, dedizierten VoIP-Arbeitsplatzes (eine “Session”) oder mit An-schluss von Standard-VoIP-Telefonen an die SINA L3 Box H besteht die Möglichkeit, über eine abgesicherte IPsec-Verbindung mittels VoIP zu kommunizieren.

Abbildung 1Funktionsskizze für GEHEIM-Sprachkom-munikation mit SINA Workstation H innerhalb einer Behörde – Ende-zu-Infrastruktur

SIP-Server Geheim, unverschlüsseltGeheim, verschlüsselt

21

Behörde

27


Im Folgenden beleuchten wir die erste Variante. Mit dem VoIP-Arbeitsplatz der SINA Workstation H kann eine Voice-over-secure-IP(VoSIP)-Verbindung in ein „rotes“, d. h. für eingestufte Informationen vor-gesehenes, Netzwerk realisiert werden. Dabei werden die Mechanismen der u. a. für GEHEIM zugelassenen SINA Workstation H und SINA L3 Box H verwendet. Die SINA Workstation H baut dazu über ein Netzwerk einen VPN-Tunnel zur SINA L3 Box H auf. Somit hat die SINA Workstation H Zugriff auf den geschützten Netzbereich und die SIP-Telefonanlage kann zwischen zwei SINA Workstations H über den SIP-Server eine Sprach-Session etablieren. Die Nutz- bzw. Sprachdaten werden über das Real-Time Transport Protocol (RTP) zwischen den SINA Workstations H und dem SIP-Server aus-getauscht. Innerhalb des geschützten Netz-bereichs werden die Daten unverschlüsselt übertragen. Außerhalb der vertrauens-würdigen Infrastruktur sind diese hochsicher verschlüsselt. Dieser Anwendungsfall ist in Abbildung 1 dargestellt.

In dem Anwendungsfall in Abbildung 1 wird sowohl auf der SINA Workstation H „1“ als auch auf der SINA Workstation H „2“ der integrierte VoIP-Arbeitsplatz ver-wendet. Zur Verschlüsselung werden die vorhandenen IPsec-Mechanismen der SINA Workstation H genutzt, d. h. die Sig-nalisierungs- und Sprachdaten werden über ein sicheres Netz transportiert. In dieser Kon-stellation ist keine Ende-zu-Ende-Sicherheit

der Sprachkommunikation gegeben, da die SINA Workstations H nicht direkt unter-einander, sondern zur zentralen Infrastruktur Sicherheitsbeziehungen aufbauen können. Dieser infrastrukturellen Besonderheit wird entsprochen, indem der VoIP-Server, wie in Abbildung 1 dargestellt, in einem durch eine SINA L3 Box H abgesicherten Netz-segment platziert wird. Innerhalb dieses Netzsegments bleiben die Signalisierungs- und Sprachdaten unverschlüsselt. Zudem müssen in der heutigen Implementierung des dedizierten VoIP-Arbeitsplatzes der SINA Workstation H sowohl die Signalisierungs- als auch die Nutzdaten über den SIP-Server einer Behörde geroutet werden.

Die Daten und Benutzereinstellungen des VoIP-Arbeitsplatzes werden auf der SINA Workstation H in einem verschlüsselten Dateisystem gespeichert. Darin werden z. B. die Anrufliste, das lokale Telefonbuch, die Konfiguration und die Benutzereinstellungen sicher abgelegt. Zusätzlich kann ein globales Telefonbuch auf Basis des Lightweight Directory Access Protocol (LDAP) zentral eingerichtet und in dem Arbeitsplatz bzw. Softphone genutzt werden.

Mit den verfügbaren, GEHEIM-fähigen VoSIP-Mechanismen können auch Tele-fonate zwischen zwei unterschiedlichen Be-hörden geführt werden, wie in Abbildung 2 dargestellt.

Dabei ist zu beachten, dass alternativ zu einem direkten Routing zwischen den SIP-Servern durch den Einsatz von sogenannten

Session Border Controllern (SBC, sehr grob vereinfacht: VoIP-Firewalls) eine weitgehende Trennung der unterschiedlichen Behörden-netze erreicht werden kann. Dazu empfiehlt sich der im Common-Criteria-Zertifizierungs-prozess befindliche secunet SBC.

Die zweite der beiden oben erwähnten Möglichkeiten einer Interimslösung mit SINA Technologie funktioniert äquivalent zur be-schriebenen Lösung. Dabei müsste lediglich die SINA Workstation H durch Standard-VoIP-Telefone in Kombination mit der SINA L3 Box H ersetzt werden.

AusblickDie oben beschriebenen Interimslösungen mit marktverfügbaren SINA H Komponenten können zukünftig durch den funktionsäqui-valenten SINA Communicator H ersetzt werden, der aktuell entwickelt wird. Dem SINA Communicator H liegt ein innovatives Endgerätekonzept für den GEHEIM-Bereich zugrunde, das moderne Kommunikations-möglichkeiten in einem kompakten System für höchste Sicherheitsanforderungen ver-eint und flexibel an künftige Anforderungen angepasst werden kann.

Jan Leduc [email protected]

Abbildung 2Funktionsskizze für GEHEIM-Sprach-

kommunikation zwischen zwei Behörden mit SINA Workstation H –

Ende-zu-Infrastruktur

Geheim, verschlüsselt (Schutz vor Verkehrsanalyse, Bündelverschlüsselung)

Geheim, unverschlüsselt

Geheim, verschlüsselt

SIP-Server 1

Behörde 1 Behörde 2

SIP-Server 2

1 2

SECUVIEW – 2 | 201828


HOCHPERFORMANTE STANDORTVERNETZUNG UND DATENSICHERUNG GEOREDUNDANTER RECHENZENTREN

Vernetzt bis GEHEIM – und zwar mit Gigabit-Geschwindigkeit

Nach mehr als zwei Jahren reibungslosem operativen Pilot-betrieb des Ethernet-Verschlüsselers SINA L2 Box H 1G bei

einer nationalen Sicherheits-behörde wird die VS-Typ-

zulassung bis einschließlich GEHEIM im Januar 2019

erwartet. Damit ist der Start-schuss für einen breiteren

Einsatz dieser leistungsfähigen SINA Komponente, die Hoch-

sicherheit mit hohem Daten-durchsatz verbindet, gefallen.

Das leistungsfähige Verschlüsselungs-gerät ist für den sicheren Informationsaus-tausch in Netzwerken auf OSI-Schicht 2 (Ethernet) bestimmt und unterstützt Punkt-zu-Punkt-Verbindungen. Aufgrund der geringen Latenz – darunter versteht man die geräteinterne Datendurchlaufzeit – ist die SINA L2 Box H 1G für Einsatzszenarien mit hohen Quality-of-Service- bzw. Echt-zeitanforderungen besonders geeignet. Mit einem Datendurchsatz von 1 Gbit/s vollduplex ist das Gerät zudem der derzeit performanteste Verschlüsseler für GEHEIM.

Diese Leistungsmerkmale prädestinieren die SINA L2 Box H 1G für Einsatzfälle, in denen es um die hochsichere und zugleich schnelle Übertragung großer Datenmengen geht. Dazu zählen etwa die breitbandige Ver-netzung von Standorten, die Absicherung von Backbone-Netzen und die Spiegelung von Daten in Hochverfügbarkeitsarchitek-turen. Weitere Anwendungsbereiche sind die Datensicherung von Rechenzentren – beispielsweise im Rahmen des Programms HaFIS zur Harmonisierung und Moder-nisierung der Führungsinformationssysteme der Bundeswehr sowie im Military Message

Handling System NuKomBw. Die Leitungsverschlüsselung mit der

SINA L2 Box H 1G verursacht kaum Over-head. Dies bedeutet, dass neben den Nutz-daten, die übermittelt werden sollen, nur wenige Zusatzinformationen generiert und versendet werden müssen, die ausschließ-lich für den Übertragungsvorgang benötigt werden. Somit bietet die Lösung eine hohe Datenrateneffizienz und eignet sich daher beispielsweise für satellitengestützte Kom-munikation besonders gut.

Die Abbildung auf dieser Seite ver-anschaulicht den Anwendungsfall einer Datensicherung georedundanter Rechen-zentren. Dabei werden die Datenströme via Switches auf eine bedarfsgerechte Anzahl von SINA L2 Box H 1G-Kanälen (Paaren) ver-teilt und wieder zusammengeführt.

Dieser Ansatz ermöglicht Datensiche-rungsarchitekturen mit einer wesentlich moderateren Anzahl an Verschlüsselungs-geräten, als das beispielsweise bei der Ver-wendung von SINA L3 Boxen H 200M der Fall ist.

Rechenzentrum RechenzentrumSwitch SwitchSINA L2 Box H

Die Abbildung veranschaulicht den Anwendungsfall einer Datensicherung georedundanter Rechenzentren.

29


Die Konfiguration aller SINA L2 Boxen H im Netzwerk er folgt zentral durch das SINA Management. Dieses Setup hat sich bereits seit Jahren in vielen Netz-infrastrukturen bewährt. Eine integrierte Public-Key-Infrastruktur (PKI) mit zu-gehörigem Benutzermanagement unterstützt dabei wesentliche administrative Prozesse rund um die SINA Smartcards. Dazu zählen insbesondere deren Personalisierung, die Generierung bzw. Aktualisierung von Schlüsseln und kryptographischen Parame-tern sowie die Verwaltung der zugehörigen PINs und PUKs.

I m B e t r i e b p r o t o k o l l i e r e n d i e SINA L2 Boxen H Daten, die für die Betriebs-überwachung relevant sind. Diese können in Netzwerkmanagementsysteme importiert und dort bedarfsgerecht aufbereitet und visualisiert werden.

Alle initialen Konfigurationsdaten und Sicher-heitsbeziehungen der SINA L2 Box H 1G werden in einem geschützten Bereich der SINA Smartcard gespeichert. Beim System-start wird die Software der SINA L2 Box H 1G integritätsgesichert von einem internen Spei-cher geladen. Danach werden die Sicherheits-beziehungen gemäß Punkt-zu-Punkt-Modus aufgebaut und das Gerät ist betriebsbereit. Diese einfache Inbetriebnahme und Netz-integration stellt unter Einsatzbedingungen einen Vorteil dar und erhöht damit den Nutz-wert des Geräts.

Jörg Rösch [email protected]

secunet protect4use: Digitaler Schlüsselbund für den Zugang zu Webportalen

Mit secunet protect4use können Betreiber von Webportalen und Online-Diensten ihren Nutzern eine sichere und bequeme Authentisierung bieten. Die neue App für Android und iOS macht das Smartphone zum digitalen Schlüsselbund, mit dem Portal-nutzer ihre Identität und damit ihre Zugangs-berechtigung ausweisen. Alternativ können sich die Nutzer auch über weitere Sicher-heitsmechanismen wie Soft-Token, USB-Token oder Smartcards authentisieren. Die Authentisierungslösung lässt sich mit allen Browsern und Betriebssystemen einsetzen.

secunet protect4use realisiert beispiels-weise einen sicheren Zugang zu Mit-arbeiter- und Kundenportalen von Behörden oder von Strom-, Telekommunikations- oder Versicherungsanbietern. In Home-Banking-Szenarien lassen sich sowohl der Login-Prozess als auch die Zwei-Faktor- Authentisierung von secunet protect4use für

sichere Transaktionen nutzen, die bisher von TAN-Verfahren bedient wurden. Im Gegen-satz zu den herkömmlichen Verfahren ent-stehen dabei keine Kosten für zusätzliche Token oder Authentisierungsmittel. Das hohe Sicherheitsniveau der Lösung erlaubt eine Vielzahl von Einsatzmöglichkeiten, etwa die schriftformwahrende Authentisierung in Bürgerportalen, das Auslösen von Fern-signaturen oder die Verschlüsselung und Signatur von Daten. Die flexible Client-Server-Lösung ermöglicht sowohl dem Anwender als auch dem Portalbetreiber vielfältige und komfortable Möglichkeiten der Anmeldung bis hin zur sicheren Multi-Faktor- und Multi-Kanal-Authentisierung.

Die App für secunet protect4use ist nun im Apple App Store und im Google Play Store zum Download vorhanden. Clients für Windows, Linux und MacOS sind ebenfalls verfügbar.

Gregor Boeckeler [email protected]

SECUVIEW – 2 | 201830

VErmIschtEs

Modell Enigma, Baujahr 2018

Klaus Kopacz baut originalgetreue, funktionstüchtige Replikate der berühmten historischen Verschlüsselungs-

maschine Enigma. Eines davon lässt sich nun im Show-room des secunet Hauptsitzes

in Essen bewundern.

Langsam öffnet Klaus Kopacz das Holz-gehäuse. Darin kommt ein Gerät zum Vorschein, das auf den ersten Blick einer Schreibmaschine gleicht. Es handelt sich um eine brandneue Verschlüsselungsmaschine, die Kopacz gerade fertiggestellt hat und nun seinem Kunden präsentiert. Auf einer Klappe vorn an dem Gerät prangt ein Logo, das jeder Kryptographie-Interessierte kennt: Innerhalb einer ovalen Linie ist der Schrift-zug „ENIGMA“ zu lesen. Diese Szene spielt nicht etwa in den Zwanziger- oder Dreißiger-jahren des vorigen Jahrhunderts, sondern im Jahr 2018, und bei der Maschine handelt es sich um ein Replikat, eine originalgetreue Nachbildung. Der Kunde ist dennoch beein-druckt – vielleicht nicht ganz so sehr von den kryptographischen Fähigkeiten des Apparats, dessen beste Zeiten etwa 80 Jahre zurück liegen. Aber die historische Korrektheit der Nachbildung ist bestechend, noch dazu ist sie voll funktionsfähig.

Nicht erst seit dem gle ichnamigen Roman von Robert Harris und dem darauf aufbauenden Kinothril ler von 2001 gilt die Enigma als die bekannteste Ver-schlüsselungsmaschine überhaupt. Das um 1920 von dem Berliner Elektroingenieur Arthur Scherbius entwickelte Chiffriergerät erlaubte für den damaligen Stand der Krypto-graphie äußerst starke Verschlüsselungen. Es wurde während des Zweiten Welt-kriegs von der deutschen Wehrmacht, aber auch von anderen Organisationen des NS-Regimes zur geheimen Kom-munikation eingesetzt. Jedoch gelang es den Alliierten unter hohem Aufwand, die

Codes zu knacken und die Funksprüche der Deutschen zu entschlüsseln. Dazu bauten die Briten – ursprünglich basierend auf den Erkenntnissen polnischer Mathe-matiker – einen ganzen Industriebetrieb rund um den Landsitz Bletchley Park in der Nähe Londons auf, der sich mithilfe speziell kon-struierter Maschinen („Turing-Bomben“) der Entschlüsselung von Enigma-Nachrichten widmete. Dieser „Organisation Ultra“ ge-hörten zeitweise bis zu 12.000 Menschen an, die zu strengster Geheimhaltung ver-pflichtet waren.

Auch wenn einzelne deutsche Militärs in den späteren Kriegsjahren möglicherweise ahnten, dass die Enigma-Verschlüsselungen gebrochen worden sein könnten, ging man im Deutschen Reich allgemein von deren Vertrauenswürdigkeit aus. Daher wurde das Gerät in großen Stückzahlen gefertigt und bis zum Ende des Zweiten Weltkriegs eingesetzt. Die Vorteile, die sich für die Alliierten durch die Entschlüsselung der Enigma-Codes ergaben, ließen sich militärisch nutzen und verkürzten letztendlich den Krieg. Dies blieb jedoch noch lange geheim: Der Bundesnach-richtendienst erfuhr erst in den Siebziger-jahren davon, dass die Enigma geknackt worden war.

Die Nachricht verblüffte damals viele Ex-perten, denn auch in den Siebzigerjahren galten Enigma-Verschlüsselungen noch als „harte Nuss“. Bei einem der späteren Modelle, das die Marine während des Zweiten Weltkriegs eingesetzt hatte, um-fasste der Schlüsselraum, also die Menge aller möglichen Schlüssel, 10²³ Möglichkeiten.

Der Showroom des secunet Hauptsitzes in Essen, Kurfürstenstraße 58, beher-bergt seit diesem Sommer eine Enigma-Kopie von Klaus Kopacz. Angemeldete Besucher des Unternehmens können sich dort also nicht nur über die Gegenwart, sondern auch über die Vergangenheit der Kryptographie informieren.

31

VErmIschtEs

Diese Enigma-Kopie gleicht ihrem Vorbild bis ins letzte Detail.

Selbst mit heutiger Computertechnik sind solche Schlüssel allein durch die „Brute Force“-Methode, also das automatisierte Durchprobieren sämtlicher Möglichkeiten, praktisch nicht zu knacken. Was den Briten und Polen bei der Entschlüsselung half, waren klug eingesetzte statistische Verfahren sowie Fehler der Deutschen beim Einsatz des Geräts. Zudem gelang es den Alliierten, Enigma-Exemplare zu erbeuten.

Komplexes InnenlebenDer Kern der im Grunde starken Ver-schlüsselungsleistung der Enigma waren ihre Walzen oder Rotoren. Je nach Modell besaß eine Enigma drei oder vier Walzen. Bei jedem Tastendruck floss ein Strom durch die Walzen und brachte je nach ihrer aktuellen Stellung eine von 26 Buchstaben-lampen zum Leuchten. So wurde ein „A“ beispielsweise zu einem „G“. Beim nächsten

Tastendruck drehten sich die Walzen, so dass diesmal der eingegebene Buch-stabe „A“ nicht wieder zu einem „G“ wurde, sondern, abhängig von einer Reihe von Einstellungen, beispielsweise zu einem „C“. Das Drehen der Walzen und die vielfältigen Einstellmöglichkeiten hoben die Enigma von einfacheren Verschlüsselungsmethoden ab. Zu den Einstellmöglichkeiten gehörte es, dass sich die Walzen austauschen und ihre Rotationsmuster unterschiedlich justieren ließen, zusätzlich konnte der Stromfluss durch Steckkabel-Verbindungen modifiziert werden. Die letztere Variationsmöglich-keit, das sogenannte Steckbrett, war die kryptographisch stärkste. Die Anwender entnahmen einer geheimen Tabelle, welche Einstellungen der Enigma am jeweiligen Tag vorzunehmen waren.

Wie bedeutsam die Walzen waren, zeigt das Modell Enigma M4, bei dem eine vierte Walze hinzugefügt wurde, die die Variations-möglichkeiten deutlich erweiterte. Als dieses Modell im Jahr 1942 in der Marine eingeführt wurde, bedeutete dies einen Rückschlag für die Alliierten. Zehn Monate lang konnten sie die mit der M4 verschlüsselten Funksprüche nicht mitlesen, bevor es den Kryptologen in Bletchley Park mithilfe erbeuteter Schlüssel-unterlagen gelang, auch dieses Verfahren zu brechen.

Ein Kryptogerät als SammlerstückMan schätzt, dass insgesamt etwa 46.000 Exemplare der Enigma gebaut wurden. Heute existieren davon gerade noch etwa 300. Dies lässt sich vor allem darauf zurück-führen, dass die deutschen Soldaten die Weisung hatten, Enigma-Geräte eher zu zerstören als sie in Feindeshand gelangen zu lassen – was allerdings hin und wieder doch geschah. Als sich die Enigma lange nach dem Krieg zum Sammlerobjekt entwickelte, trieb die begrenzte Verfügbarkeit die Preise in die Höhe.

SECUVIEW – 2 | 201832

VErmIschtEs

So kam es, dass Klaus Kopacz, der sich beruflich mit modernen Verschlüsselungs-geräten beschäftigt hatte, auf die Idee kam, Enigma-Maschinen als Replikate neu ent-stehen zu lassen. „In den Achtzigerjahren habe ich das Thema Enigma als Hobby ent-deckt“, erinnert sich Kopacz. „Ich hatte dann die Gelegenheit, Museumsstücke instand zu setzen und zu restaurieren, wodurch ich mir nach und nach ein großes Detailwissen aneignen konnte. Als die Enigma als Samm-lerstück beliebter wurde, gerieten auch

Fälschungen in Umlauf, und ich wurde zu Rate gezogen, um sie zu erkennen.

Dann rief mich ein Freund aus der Auto-mobilindustrie an und erzählte mir von Com-putermodellen, die auf der Abtastung eines realen Gegenstands per Laserstrahl beruhen. Wir entwickelten gemeinsam die Idee, auf diese Weise eine Enigma nachzubauen. Das Projekt haben wir dann tatsächlich umge-setzt: Nach fünf Jahren stellten wir das erste Replikat fertig. Das war im Jahr 2013.“

Die Enigma geht wieder in SerieDie Kopie glich bis auf das letzte Schräub-chen dem Original und war voll funktions-tüchtig. Kopacz erkannte allerdings schnell, dass sich der enorme Aufwand nur dann wirklich lohnt, wenn Enigma-Replikate als Kleinserie hergestellt werden. „Eine Enigma besteht aus 3.200 Teilen und 378 unterschiedlichen Teiletypen. Für die meisten Teiletypen müssen eigene Werkzeuge und beispielsweise Gussformen hergestellt werden. Für ein oder zwei Enigma-Replikate ist das kaum zu rechtfertigen. Daher lag es von Anfang an nahe, unserer Nummer eins einige weitere Exemplare folgen zu lassen.“ Nachfrage nach originalgetreuen Enigma-Kopien besteht durchaus: Museen, Univer-sitäten, Firmen, Sammler – sie alle gehören zu Kopacz’ Kunden.

Bisher sind zehn Kopien entstanden, eine weitere Kleinserie ist in Vorbereitung. Viel mehr ist nicht zu schaffen, denn die akribische Kleinarbeit verschlingt viele Arbeitsstunden. Herausfordernd ist auch die Beschaffung originalgetreuer Kleinteile in vergleichsweise kleinen Stückzahlen. „Mein Partner aus der Automobilindustrie hat einen guten Kontakt zu Zulieferern, was sehr hilfreich ist. Allerdings ist es nicht immer einfach, einen Hersteller zu überzeugen, uns beispielsweise mit 5.000 Schrauben nach historischen Spezifikationen zu versorgen, und das zu halbwegs annehm-baren Preisen. Normalerweise produziert eine solche Firma erst ab einer Stückzahl von 100.000“, erklärt Kopacz.

Klaus Kopacz in seiner Werkstatt

Rotoren einer Enigma-Kopie

33

Kurz notIErt

Klaus Kopacz

Ersteller der Enigma-Replikate

Die iOS-basierte secunet bocoa App zeigt die aus dem RFID Chip gelesenen Daten des elektronischen Identitätsdokuments an.

Elektronische Ausweisprüfung erstmals auch auf dem iPhone

secunet stellt seine App für die mobile Iden-titätsfeststellung, secunet bocoa, nun auch für die iOS-Plattform zur Verfügung. Somit können Polizeibehörden künftig erstmals auch mit dem iPhone mobile Personenkon-trollen durchführen, indem sie die bewährte Lösung zur umfangreichen Prüfung elektro-nischer Identitätsdokumente (eID) nutzen. Zusammen mit der Version für Android deckt secunet bocoa nun die beiden gängigsten Betriebssysteme für Smartphones ab.

Die Softwareapplikation secunet bocoa liest die Daten aus dem RFID-Chip des elek-tronischen Identitätsdokuments und stellt die Ergebnisse der Dokumentenprüfung in Sekundenschnelle übersichtlich auf dem Smartphone dar. Die App basiert auf der bewährten Plattform secunet biomiddle, welche flexibel die Prüfverfahren sowie Software- und Hardwarekomponenten über Standardschnittstellen integriert.

Die Hardware für die neue iOS-basierte Lösung liefert der secunet Partner Data-phone, ein international tätiges Unternehmen mit Hauptsitz in der Schweiz. Dataphone ent-wickelt innovative, mobile und zuverlässige Soft- und Hardwarelösungen für die Bereiche Lagerlogistik, Transport und Handel.

Für die iOS-basierte Lösung zur Identitäts-feststellung liefert Dataphone die notwendige innovative Hardwarehülle mit NFC-Modul und Zusatzakku. Die Smartphone-Hülle der Linea Pro Serie ermöglicht mit den entsprechenden Zertifikaten das produktive Auslesen und damit auch Prüfen des in eID-Dokumenten (z. B. Personalausweis, Reisepass, Aufent-haltstitel) enthaltenen RFID-Chips.

Datenbank für Enigma-BauteileDie Teile, die Kopacz nicht selbst baut, stammen von insgesamt 123 verschie-denen Zulieferern. Dies zeigt den hohen Organisationsaufwand, der neben der eigentlichen Konstruktionsarbeit anfällt und ebenfalls sehr zeitintensiv ist. Für die verschiedenen Teiletypen und Hersteller unterhält Kopacz mittlerweile eine eigene Datenbank. Auch die Festlegung der Spe-zifikationen für die Teile ist eine Wissenschaft für sich. Da die echten Enigma-Exemplare im Laufe der Jahre leicht variierten, gibt es keine universell korrekten Enigma-Spezifikationen. Kopacz hat daher Mittelwerte errechnet, die er seinen Replikaten zugrunde legt. Zudem musste sich Kopacz für eines der vielen his-torischen Enigma-Modelle entscheiden. Seine Kopien basieren auf einem Modell von 1935 mit drei Walzen, das in Heer und Luftwaffe eingesetzt wurde und weit verbreitet war.

Kopacz ist überzeugt, dass sich der Auf-wand lohnt, wenn man das Ergebnis der Arbeit betrachtet. „Meine Kopien sind ori-ginalgetreuer als so manches Original“, sagt er. „Denn in einigen Museen stehen schlecht restaurierte Enigma-Exemplare, die noch nicht einmal funktionstüchtig sind. Ich habe es schon erlebt, dass Sammler, die Originale besitzen, trotzdem eine Kopie bei mir in Auf-trag gegeben haben, weil sie eine Enigma haben möchten, die tatsächlich funktioniert.“

Das letzte Exemplar seiner ersten Klein-serie liefert Kopacz an einen Sponsor, der das Gerät dem britischen National Museum of Computing zur Verfügung stellt. Es geht damit an einen ganz besonderen Ort: Das Museum befindet sich in Bletchley Park.

SECUVIEW – 2 | 201834

Kurz notIErt

Everything Secret, Complete Insecurity?

Ein Kommentar zum Cryptography Workshop der AFCEA Europe von

Dr. Kai Martius

Zu einem Workshop der etwas anderen Art lud AFCEA Europe im September nach Brüssel ein. Nicht die Anwendungen standen im Mittelpunkt, sondern vielmehr eine Grund-satzdiskussion über Regulierungen und Prozesse für zukünftige kryptographische Verfahren in Sicherheit und Verteidigung. Rund 90 Experten und Interessierte aus Industrie, Verwaltung, Verteidigung und Wissenschaft aus ganz Europa und den USA trafen sich zum Austausch.

Interoperabilität – das Schlagwort schlecht-hin! Aber wie geht das? Hohe Erwartungen liegen z. B. auf den NATO-Standards. Viele Beteiligte sorgen aber nicht immer für das beste (und damit sicherste) Ergebnis und mitunter auch nicht für das schnellste. Ist der Standard dann einmal definiert und fest-geschrieben, beginnen die Produktentwick-lungszyklen der Industrie, im Idealfall bereits begleitet und flankiert vom Zertifizierungs-prozess. Und gleichzeitig verkürzen sich die Produktlebenszyklen von Standard-Hard- und Software (Commercial-off-the-shelf). Wie passt dann die hohe Sicherheit noch in die moderne Produktwelt? Die Heraus-forderungen sind groß, bei einer international hohen Entwicklungsdynamik – bald 5G, Quantencomputer etc. – auch die Krypto-graphie neuen Policies zu unterwerfen, um mit dieser Dynamik standzuhalten. Der kritische Faktor heißt immer wieder „Zeit“.

Oder sollten wir die Sicherheit nicht gleich weitestgehend in die Standardprodukte in-tegrieren? Auf jeden Fall bedarf es einer sicheren Zuliefererkette: Sicherheitsrelevante Komponenten sollten auch aus einer ver-trauenswürdigen Herstellung stammen.

Die Dynamik der Technologieentwick-lungen könnte aber auch dazu führen, dass die guten und erprobten Industriestan-dards zu den Standards in hochsicheren Anwendungsbereichen werden, wie bei-spielsweise die Protokoll-Interoperabilität mit IETF (Internet Engineering Task Force). Sie funktionieren, weil aufgrund des Markt-volumens viele auf diese gleichen Standards setzen und darüber eine Interoperabilität erzeugen. Gleichzeitig entsteht so eine schnellere Verfügbarkeit durch verkürzte Standardisierungsprozesse.

Am Ende des Workshoptages gab es viele Erkenntnisse und Anregungen, keine fertigen Lösungen, und dennoch – ein gemeinsames Verständnis und Problembewusstsein. Ein guter Anfang, gemeinsam weiter diesen Ver-änderungsprozess anzustoßen, der nicht das Sicherheitsniveau schwächt, sondern Maß-nahmen einleitet, um Krypto-Policies flexibler zu machen und damit schnellere Produktion für die Industrie und schnellere Beschaffung auf Anwenderseite zu ermöglichen.

Bei dem AFCEA Europe Cryptography Workshop am 13. September 2018 in Brüssel moderierte Dr. Kai Martius das Panel

„Technological Challenges Today: Benefits and Disadvantages of Classical Crypto Technologies“.

Dr. Kai Martius

CTO der secunet Security Networks AG

35

Kurz notIErt

Auf der Webiste KInsights.de können Interessierte herausfinden, wo schon heute künstliche Intelligenz

im Alltag eingesetzt wird.

Marcel Taubert verstärkt die secunet Division Verteidigung

Die Division Verteidigung der secunet Security Networks AG konnte in den letzten Jahren ein starkes Wachstum erzielen, wie u. a. die jüngsten Großaufträge der Bundeswehr und der BWI gezeigt haben. Gleichzeitig hat das Bundesministerium für Verteidigung (BMVg) beschlossen, dass sowohl für das Ministerium als auch für die Bundeswehr gesamt die aus dem Hause secunet stammende SINA Technologie die zukünftige IT-Sicherheitsarchitektur dar-stellen soll.

Aus diesem Grund hat secunet ent-schieden, die Divisionsleitung auszubauen: Neben Dr. Michael Sobirey, unter dessen Führung die Division ihren maßgeblichen Wachstumskurs eingeschlagen hat, gehört seit dem 1. Oktober 2018 Marcel Taubert der Divisionsleitung an.

Taubert hat sowohl ein Diplom in Wirt-schaftsinformatik als auch einen MBA und kann auf über 13 Jahre aktiven Dienst

als Marineoffizier, zuletzt im Dienstgrad Kapitänleutnant, in verschiedenen Ver-wendungen bei der Bundeswehr zurück-blicken. In den letzten Jahren war Taubert bei Rohde & Schwarz Cybersecurity tätig, zuletzt als Director IoT und Strategy Exe-cutive Officer. Zudem engagiert er sich in nationalen Verbänden rund um das Thema IT-Sicherheit. Marcel Taubert wird als Mitglied der Divisionsleitung nicht nur die vertrieb-lichen Aktivitäten verantworten und seine langjährige Erfahrung in der Bundeswehr einbringen, sondern mit seiner Erfahrung im IT-Sicherheitsmarkt auch gute Impulse für die Weiterentwicklung der Division liefern.

Unverändert bleibt als Stellvertreter der Divisionsleitung Matthias Neef, der seit über zehn Jahren den Beratungsbereich leitet.

Marcel Taubert

Leiter Division Verteidigung, secunet Security Networks AG

finally safe zeigt KI-Lösung beim DigitalgipfelMit der Advanced Security Analytics Platform der finally safe GmbH werden intelligente Lösungen für höchste Anforderungen an die IT-Sicherheit realisiert. Auf dem Digitalgipfel in Nürnberg zeigte finally safe die Erkennung von unerwünschtem Netzwerkverkehr mit künstlicher Intelligenz (KI), wobei durch Deep Learning effizienter auf ungewöhnlichen Ver-kehr geschlossen und somit schneller Ver-haltensauffälligkeiten erkannt werden.

Weitere Informationen finden Sie unter: www.kinsights.de oder www.finally-safe.com

SECUVIEW – 2 | 201836

Kurz notIErt

WELTWEIT GRÖSSTE IT-SICHERHEITSMESSE

it-sa setzt neue Rekordmarken

Die it-sa glänzte in ihrer Ausgabe 2018 mit einigen Rekorden. Mit 696 Ausstellern ist sie nun die weltweit größte Fachmesse für IT-Sicherheit und konnte mit über 14.000 Besuchern auch ein sattes Plus bei den Besuchern verzeichnen. „Unsere Aussteller sind begeistert. Im Gleichschritt mit der dynamischen Entwicklung in ihrer Branche haben sie die it-sa am Messeplatz Nürnberg zur zentralen IT-Security-Plattform weiter-entwickelt“, erklärt Petra Wolf, Mitglied der Geschäftsleitung beim Veranstalter Nürn-bergMesse.

secunet gehört zu den Ausstellern der ersten Stunde und nahm dieses Jahr zum zehnten Mal teil. Mit einem neuen Messe-stand und spannenden Cybersicherheits-lösungen für E-Government, Behörden, kritische Infrastrukturen und Industrie war die Messe wieder ein voller Erfolg. Neben vielen interessanten Kundengesprächen freute sich das secunet Team am Eröffnungs-tag über hohen Besuch – der VIP-Rund-gang machte bei secunet Station: Andreas Könen, Leiter der Abteilung Cyber- und Infor-mationssicherheit im Bundesministerium des Innern, für Bau und Heimat informierte sich gemeinsam mit dem BSI-Präsidenten Arne Schönbohm und Bitkom Geschäftsführerin

Susanne Dehmel unter anderem über die neuesten secunet Entwicklungen beim Thema mobile Ausweiskontrolle.

Die Bedeutung der it-sa als „Home of IT-Security“ in Nürnberg Parallel zur it-sa fand der 4. IT-Grundschutz-tag 2018 in der Nürnberg Messe statt – secunet durfte die Veranstaltung für das BSI ausrichten. Mehr als 250 Besucher informierten sich einen Tag lang intensiv zum Thema modernisierter IT-Grundschutz.

Auch das it-sa-Vortragsprogramm war wieder ein Besuchermagnet. Insgesamt fünf Foren mit rund 350 Beiträgen deckten die gesamte Palette der IT-Sicherheit ab. Für die internationalen Gäste gab es zum ersten Mal auch ein Forum in ausschließ-lich englischer Sprache. Damit der dringend benötigte Nachwuchs in der IT-Sicherheit nicht zu kurz kommt, hatten Studierende aus IT-sicherheitsre levanten und an-grenzenden Studiengängen die Möglichkeit, beim MesseCampus@it-sa mit Unternehmen und potenziellen zukünftigen Arbeitgebern in Kontakt zu treten.

SIEBTER DEUTSCHER IT-SICHERHEITSPREIS AUF DER it-sa VERLIEHEN

Fünf Teams standen mit ihren Vor-haben im Finale um den siebten Deutschen IT-Sicherheitspreis, der am 9. Oktober 2018 erstmals auf der it-sa in Nürnberg verliehen wurde. Mit insgesamt 200.000 Euro Preis-geldern gilt der Preis der Horst Görtz Stiftung als einer der höchstdotierten privat gestifteten Wirtschaftspreise in Deutschland. Bewertet wurden die Beiträge in einem zweistufigen Verfahren durch eine Experten-jury anhand der drei Kriterien „In-novationsgrad“, „Nutzbarkeit“ und „reale Marktchancen“. Dr. Rainer Baumgart, Vorstandsvorsitzender der secunet Security Networks AG, war Mitglied der Jury.

G ewinne r de s d ie s jäh r igen Deutschen IT-Sicherheitspreises ist das Bochumer Start-up Physec, eine Ausgründung der Ruhr-Universität Bochum (RUB). Die Expertenjury kürte das einzigartige Sicherheits-konzept für das Internet der Dinge zur besten eingereichten Innovation.

Die it-sa meldete im Jahr 2018 mehr als 14.000 Besucher.

37

Kurz notIErt

Axel Deininger in den TeleTrusT-Vorstand gewählt

Bei der Mitgliederversammlung des Tele TrusT am 30. November 2018 ist Axel Deininger, Vorstandsmitglied der secunet Security Networks AG, mit großer Mehrheit in den TeleTrusT-Vorstand gewählt worden. Weitere gewählte Vorstandsmitglieder sind Karsten U. Bartels (HK2 Rechtsanwälte), Dr. Kim Nguyen (Bundesdruckerei GmbH) sowie Prof. Dr. Norbert Pohlmann (Westfälische Hochschule / if(is)).

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) ist ein Kompetenznetzwerk, das in- und ausländische Mitglieder aus Indus-trie, Verwaltung, Beratung und Wissen-schaf t sowie themat isch verwandte Partnerorganisationen umfasst. Durch die breit gefächerte Mitgliederschaft und die Partnerorganisationen verkörpert TeleTrusT den größten Kompetenzverbund für IT-Sicherheit in Deutschland und Europa.

Auf der it-sa 2018 präsentierte secunet unter anderem Lösungen für die mobile Prüfung von Identitätsdokumenten. Von links: Torsten Henn und Thomas P. Schäfer (beide secunet), Arne Schönbohm (Bundesamt für Sicherheit in der Informationstechnik), Dr. Rainer Baumgart (secunet), Andreas Könen (Bundesministerium des Innern, für Bau und Heimat) sowie Dr. Holger Mühlbauer (TeleTrusT)

Von links: Karsten U. Bartels, Dr. Kim Nguyen, Axel Deininger,

Prof. Dr. Norbert Pohlmann

SECUVIEW – 2 | 201838

Kurz notIErt

SECUNET ILMENAU

Überzeugende Nähe zur Forschung

Einer von elf secunet Standorten

Nachdem wir in der letzten Ausgabe den secunet Standort im ostwestfälischen Paderborn vorgestellt haben, geht es diesmal an den Nordrand des Thüringer Waldes, genauer nach Ilmenau. Die Goethe- und Universitätsstadt, circa 33 Kilometer von der Landeshauptstadt Erfurt entfernt, zählt etwa 26.000 Einwohner – darunter aktuell 6.000 Studierende an der Technischen Uni-versität (TU).

Die bereits seit einigen Jahren be-stehende Kooperation mit der TU war es auch, die secunet vor gut eineinhalb Jahren zur Gründung des Standortes in Ilmenau motivier te. In gemeinsamen Projekten von secunet und der Fakultät für Infor-matik und Automatisierung im Fachgebiet Telematik / Rechnernetze rund um den Dekan Prof. Dr. Schäfer werden innovative

Funktionalitäten für die SINA Technologie entwickelt, wie z. B. SINA SOLID. Damit lassen sich komplexe IPsec-Netze flexibel und automatisiert konfigurieren. Die hoch qualifizierten Absolventen bereichern die Projektarbeit rund um den zukunftsori-entierten Ausbau der SINA Produktfamilie.

Neben der renommierten Forschung hat der Kreis Ilm jedoch noch einiges mehr zu bieten. Vor allem für die Landschaft mit zahlreichen Wanderwegen und Burgen, dem höchsten Berg Thüringens und einem UNESCO-Biosphärenreservat wird die Re-gion geschätzt. Der Rennsteig etwa ist nicht nur einer der bekanntesten, sondern auch einer der beliebtesten Höhenwanderwege Deutschlands. Wer einmal auf den Höhen des Thüringer Waldes gewandert ist, ver-steht dann auch, weshalb der Slogan der

Stadt „Ilmenau himmelblau“ lautet.Die hellen und freundlichen Räumlich-

keiten von secunet liegen in unmittelbarer Nähe zur Universität und inmitten zahl-reicher kleiner Hightechfirmen, die sich aus dem Umfeld der TU heraus gegründet haben – ein kleines „Silicon Valley“ quasi. Der Standort mit günstiger Verkehrsanbindung insbesondere Richtung Dresden, Berlin und München setzt weiterhin auf ein nach-haltiges Wachstum. Zu dem Gelände gehört übrigens ein eigenes Beachvolleyballfeld – damit kann kein weiterer secunet Standort aufwarten. Studierende, die in die Praxis ein-steigen wollen, sind ebenso willkommen wie Branchenprofis. Aktuelle Stellenangebote finden Interessierte im Internet unter https://jobs.secunet.com.

Zum einjährigen Bestehen besuchte Prof. Dr. Udo Helmbrecht (rechts), Direktor der Europäischen Agentur für Netz- und Infor-mationssicherheit (ENISA), den Standort Ilmenau. Der secunet Vorstandsvorsitzende Dr. Rainer Baumgart (links) betonte in seinem Vortrag die erfolgreiche wissenschaftliche Kooperation mit der TU.

39

Kurz notIErt

Termine – Januar bis Juni

Impressum

Herausgebersecunet Security Networks AGKurfürstenstraße 58, 45138 Essenwww.secunet.com

Leitung Redaktion, Konzeption, Gestaltung und Anzeigen (V. i. S. d. P.)Marc Pedack, [email protected]

Design und Satzsam waikiki, www.samwaikiki.de

Der Inhalt gibt nicht in jedem Fall die Meinung des Herausgebers wieder.

Urheberrecht© secunet Security Networks AG. Alle Rechte vorbehalten. Alle Inhalte sind urheberrechtlich geschützt. Jede Ver-wendung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen schriftlichen Erlaubnis.

BildnachweisTitel: © Simon Bierwald / INDEED PhotographyS. 2 oben links / S. 20 / 21: August Rügge-berg GmbH & Co. KGS. 2 unten rechts / S. 31 / 32 / 33 oben: Klaus KopaczS. 3 / 7 / 33 unten / 34 unten / 37 / 38: secunetS. 5: Roland KrebsS. 8: imageBROKER / Alamy Stock Foto. Fotograf: hwoS. 10 / 11 rechts: LEAG / Andreas FrankeS. 11 links: Rainer WeisflogS. 12 / 13 / 16: NAPMAS. 15: Source & Copyright©, Luchtopnames NATO HQ JFC Brunssum, Flickr: Allied Joint Force Command BrunssumS. 17: © RUB, MarquardS. 18 / 19: © Simon Bierwald / INDEED PhotographyS. 23: shutterstockS. 34 oben: AFCEA EuropeS. 35 oben: Screenshot KInsights.de / Deutschland sicher im Netz e.V.S. 35 unten: Marcel TaubertS. 36: NuernbergMesse – Thomas Geiger

Haben Sie hierzu Fragen oder möchten Sie sich anmelden? Schicken Sie uns gern eine E-Mail an [email protected].

21. bis 23. Januar 2019Omnisecure | Berlin

7. bis 8. Februar 2019ManuSec Europe Summit | München

12. bis 13. Februar 2019StrategieTage IT Security | Bergisch Gladbach

17. bis 21. Februar 2019IDEX | Abu Dhabi, Vereinigte Arabische Emirate

19. bis 20. Februar 201922. Europäischer Polizeikongress | Berlin

26. bis 27. Februar 20193rd European GeoInformation Symposium | Berlin

4. bis 8. März 2019RSA Conference | San Francisco, USA

12. März 2019SINA Anwendertag | Bonn

16. bis 17. März 2019Chemnitzer Linux-Tage | Chemnitz

26. bis 28. März 2019Passenger Terminal Expo | London, UK

26. März 2019SINA Anwendertag | Berlin

2. bis 3. April 2019Digitaler Staat | Berlin

8. bis 9. April 2019Rethink! IT Security | Hamburg

9. bis 11. April 2019DMEA | Berlin

10. bis 11. April 2019AFCEA Fachausstellung | Bonn

11. bis 12. April 2019ID @ Borders & Future of Travel Conference | Wien, Österreich

15. Mai 2019secunet Hauptversammlung | Essen

21. bis 23. Mai 201916. Deutscher IT-Sicherheitskongress | Bonn-Bad Godesberg

27. bis 29. Mai 2019Zukunftskongress Staat & Verwaltung | Berlin

11. bis 13. Juni 2019Security Document World (SDW) | London, UK

18. bis 20. Juni 2019ID4Africa | Johannesburg, Südafrika

25. bis 27. Juni 2019ICAO Trip Symposium | Montreal, Kanada

SECUVIEW ABONNIEREN

Sie möchten secuview regelmäßig und kostenlos zugesendet be-kommen? Wählen Sie zwischen der Print- und der E-Mail-Version.

Anmeldung: www.secunet.com/secuview

Dort haben Sie auch die Möglich-keit, Ihr Abonnement zu ändern oder zu kündigen.

IT-Sicherheitspartner der Bundesrepublik Deutschland

Vertrauenswürdige IT-Sicherheitmade in GermanyWir sind immer da aktiv, wo viel auf dem Spiel steht. Wo sensible Daten und

Identitäten elementare Werte von Behörden und Unternehmen sind. Wo

Kunden in Sicherheitsfragen vor komplexen Herausforderungen stehen.

Unsere Spezialisten schützen Staat, Gesellschaft und Wirtschaft zuver -

lässig vor Cyberbedrohungen. Wir haben die IT-Sicherheits lösungen

für digitale und vernetzte Infrastrukturen – und das bis zu

höchsten Anforderungen an die Vertraulichkeit.

www.secunet.com

in Forschung, unld gA bi us und Industrie · digui engt r eV 36 Weltweit größte...

Documents

Transcript of in Forschung, unld gA bi us und Industrie · digui engt r eV 36 Weltweit größte...