[datensicherheit.de, 09.10.2013] Bei Anwendung der „Sealed-Cloud“-Technologie habe nur der Eigentümer der Daten Zugriff auf diese, verspricht Dr. Ralf Rieken, CEO der Uniscon GmbH. Unter dem Titel „Datenschutz und Compliance bei der geschäftlichen Nutzung des Internets“ gab Dr. Rieken am 9. Oktober 2013 im „Forum Rot (Management)“ der „it-sa 2013“ einen Impulsvortrag.
Mit der richtigen Cloud sei es jedenfalls sicherer als ohne – und er wolle eine „public cloud“ vorstellen, die gar sicherer sei als eine „private cloud“.
Er nahm Bezug zum typischen Betriebsalltag, in dem selbst höchst sensible Informationen, z.B. Vertragsunterlagen oder Konstruktionsdaten, unverschlüsselt per E-Mail verschickt würden, denn eine reguläre Verschlüsselung würde zu einem firmenübergreifenden Schlüsselmanagement führen, das aber als zu kompliziert empfunden werde. Herkömmliche E-Mails aber seien so sicher wir offen verschickte Postkarten – ein Mitlesen und Analysieren sei für interessierte Kreise kein Problem, warnte Dr. Rieken.

Foto: Dirk Pinnow

Dr. Ralf Rieken: Sicherheitslösungen müssen bequem sein!

Komplizierte Sicherheitslösungen, so seine Warnung, führten zu einem Verlust an Bequemlichkeit und damit zur Unterlassung. Er empfehle daher die „Sealed Cloud“ – die Server seien ausschließlich in Deutschland lokalisiert und allein der Kunde habe Zugriff auf seine Daten; ein Fremdzugriff wie auch des Anbieters sei technisch ausgeschlossen. „Sealed Cloud“ biete eine bequeme zentrale Verschlüsselung in der Cloud; eine Extra-Software für den Client sei nicht erforderlich. Ferner biete man auch sichere Apps für den mobilen Zugriff an.

Weitere Informationen zum Thema:

Sealed Cloud
Wir schreiben PRIVACY ganz groß! / Sicheres Cloud Computing für unternehmenskritische Anwendungen!

[datensicherheit.de, 08.10.2013] Die Deutsche Telekom erweitert die Produktfamilie für hochsichere mobile Kommunikation. Nach dem Security-Smartphone SiMKo 3 hat die Deutsche Telekom heute auf der IT-Security Messe „it-sa“ in Nürnberg den Prototypen eines SiMKo 3-Tablets auf Basis des Samsung Galaxy Note 10.1 vorgestellt. Noch in diesem Jahr soll der Prototyp in Serie gehen. „Wir haben von Anfang an auf eine Mikrokern-Strategie gesetzt und können jetzt auf dieser Basis die Produktfamilie in schneller Folge erweitern“, sagt Stephan Maihoff, bei der Telekom für SiMKo verantwortlich. „Der Kern sorgt für die Sicherheit und ist immer gleich. Für die Nutzung in neuen Endgeräte-Typen muss die Betriebs-Software nur außerhalb des Kerns angepasst werden. Das Herzstück bleibt unberührt.“

Anfang September hatte das Security-Smartphone SiMKo 3 die Prüfung durch das Bundesamt für Sicherheit in der Informationstechnik erfolgreich abgeschlossen und offiziell die Zulassung für die Geheimhaltungsstufe VS-NfD (Verschlusssache – Nur für den Dienstgebrauch) erhalten. Mitgliedern der Bundesregierung sowie Mitar-beitern von Ministerien und Bundesbehörden steht künftig für besonders vertrauliche Nachrichten sowohl ein Smartphone als auch ein Tablet zur Verfügung, die den neu entwickelten L4-Hochsicherheits-Mikrokern als Betriebssystem in sich tragen.

Zwei Geräte – eine Plattform aus Deutschland

Beide Geräte können sicher auf derselben Plattform betrieben werden, so dass für die Nutzer kein zusätzlicher Aufwand und keine Investitionen für eine zweite Infrastruktur anfallen. Bei Kern und Sicherheitstechnik des SiMKo 3 setzt die Telekom durchgängig auf Unternehmen aus Deutschland. So kommt die Kryptokarte von certgate, für verschlüsselte Verbindungen sorgt NCP – beides Unternehmen aus Nürnberg. Das L4-Mikrokern-System haben die TU Dresden, das Dresdener Startup Kernkonzept, die Telekom Innovation Laboratories sowie das Berliner Startup Trust2Core entwickelt. Möglich wurde die Implementierung des Kerns durch eine besonders enge Zusammenarbeit mit Weltmarktführer Samsung.

Verschlüsselte Telefonate, Löschen aus der Ferne

SiMKo 3 ist nicht nur für Datenanwendungen wie Mail, Kalender, Kontakte und Aufgaben da. Schon heute lässt es sich auch als abhörsicheres Krypto-Telefon verwenden, das verschlüsselte Telefonate auf Basis von Voice over IP mit hoch-sicheren Verschlüsselungsverfahren bietet. Zusätzlich wird für die Verwendung in Bundesbehörden der Behörden-Standard SNS (Sichere Netzübergreifende Sprachverschlüsselung) in den nächsten Monaten integriert. Geht ein Gerät verloren, kann niemand durchsehen, was darauf gespeichert ist. Die certgate-Kryptokarte sorgt für die Benutzer-Authentisierung und verschlüsselt alle Daten auf dem Gerät. Zudem lässt sich der Inhalt des Geräts aus der Ferne löschen.

[datensicherheit.de, 25.09.2013] Die secunet AG gewährt auf der IT-Sicherheitsmesse it-sa 2013 in Nürnberg einen Blick auf aktuelle und zukünftige Lösungen zum Schutz von Daten, Kommunikation und IT-Infrastrukturen in Unternehmen und Behörden. Besondere Themenschwerpunkte sind in diesem Jahr die sichere IKT in kritischen Versorgungsnetzen, komfortable Sicherheit für die Internetnutzung und Zukunftslösungen für internationale Hochsicherheitsanforderungen.

Cybersicherheit ist nicht nur ein Schlagwort aus den vielen Medienberichterstattungen der letzten Monate. Auch die ENISA (Europäische Agentur für Netz- und Informationssicherheit) hat zur besseren Information und Verstärkung der Wahrnehmung von Bedrohungen den Oktober zum ersten europäischen Cybersicherheitsmonat ausgerufen. Passend dazu fokussiert auch secunet auf der diesjährigen it-sa Themen mit besonderen Sicherheitsanforderungen. Kritische Infrastrukturen (KRITIS) werden heute zum Beispiel in hohem Maße durch Informations- und Kommunikationstechnologien gesteuert und kontrolliert. Weil sie eine besondere Bedeutung für die regionale bis hin zur nationalen Grundversorgung der Bevölkerung haben, müssen diese sensiblen IT-Netze zuverlässig vor Cyber-Angriffen geschützt werden. Für die Absicherung solcher Netze kann zum Beispiel die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zugelassene SINA Technologie zum Einsatz kommen. SINA ermöglicht die sichere und manipulationsgeschützte Verbindung zwischen Netzen und den geschützten Fernzugang zu sensiblen IT-Bereichen wie zum Beispiel Prozessleit- und Automatisierungssystemen. Die sichere Bearbeitung, Übertragung, Speicherung und Nachweisführung von Daten ist mit SINA jederzeit gewährleistet.

Schutz interner Netze vor Angriffen von außen

Für den zuverlässigen Schutz interner Netze vor Angriffen aus dem Internet wurde secunet safe surfer entwickelt. Auf dem Ansatz des Remote Controlled Browser Systems (ReCoBS) des BSI basierend, übernimmt ein zwischengeschaltetes Serversystem den Zugang zum Internet. Schadcodes bleiben außen vor, während Anwender das Internet uneingeschränkt am Arbeitsplatz nutzen können – sogar während sie parallel schützenswerte Anwendungen betreiben.

Strikte Informationstrennung sorgt für erhöhtes Schutzniveau   

Damit sensible Informationen aus unterschiedlichen Quellen sicher auf einem Computersystem verarbeitet werden können, ist die Isolierung eine wesentliche Voraussetzung. Die zuverlässige Separation kann durch Sicherheitsarchitekturen realisiert werden, die auf einem Separation Kernel basieren. Dieser minimalisierte, überprüfbare Betriebssystem-Kernel erzwingt eine starke Isolierung zwischen Komponenten und ermöglicht Kommunikation und Hardwarezugriff, die sich streng über eine Sicherheitsrichtlinie definieren. Gemeinsam mit dem Partner LynuxWorks, der bereits Lösungen für Luftfahrt und Medizintechnologie auf Basis von Separation Kernel anbietet, zeigt secunet erste Demoversionen für Hochsicherheitslösungen und wie der internationale Markt künftig davon profitieren kann.

[datensicherheit.de, 24.09.2013] Die „Secure VPN GovNet Box“ der Firma NCP hat die Sicherheitsfreigabe des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten. Die Hardware-Lösung, die NCP zusammen mit dem Fraunhofer SIT entwickelt hat, verschlüsselt die Internet-Kommunikation zwischen Standorten. Fraunhofer SIT war beteiligt an Design und Implementierung des Produkts und unterstützte NCP auch bei der Zertifizierung durch das BSI. Leitgedanke des Projekts war es, Unternehmen und Behörden einen vertraulichen Kommunikationskanal zur Verfügung zu stellen und so wirksam vor Wirtschaftsspionage zu schützen.

„Die GovNetBox verwendet modernste Techniken der IT Sicherheit, wie etwa ein hardware-basiertes Schutzkonzept auf Basis von Trusted Computing. Dies ermöglicht höchste Sicherheit und gute Benutzbarkeit“, sagt Dr. Carsten Rudolph, Abteilungsleiter am Fraunhofer SIT. „Die NCP Secure VPN GovNet-Box basiert auf NCPs Next Generation Network Access Technology. Dahinter stehen ausschließlich Eigenentwicklungen – ohne jegliche Hintertüren zu den Spähprogrammen in- und ausländischer Geheimdienste“, sagt Peter Söll, Geschäftsführer der NCP engineering GmbH. Die Projektpartner zeigen die Box vom 8. bis 10. Oktober 2013 auf der it-sa in Nürnberg.

Die „NCP Secure VPN-GovNet Box“ ist vom BSI zugelassen für Verschlusssachen für den Dienstgebrauch (VS-NfD). Hierfür waren zahlreiche Vorarbeiten notwendig: Die Mitarbeiter des Instituts haben die Architektur entworfen, die Implementierung mit einem Prototypen unterstützt und NCP auch im weiteren Verlauf sowie bei der Zertifizierung beraten. Um geheime Hintertüren und fehlerhafte Programmierung weitgehend auszuschließen, wurde im Rahmen von Entwicklung und Zulassungsverfahren alle wichtigen Elemente der VPN-Box überprüft, darunter Zufallsgeneratoren, Algorithmen und Software-Libraries.

VPN GovNet Box, Bild: © NCP

Die Handhabung ist nach Angaben des Herstellers einfach: Die Box wird per USB an den Computer angeschlossen und per Ethernet, WLAN oder UMTS mit dem Internet verbunden. Zur Authentisierung steckt der Benutzer seine Smartcard in die Box und gibt auf dem PIN-Pad der Box seine PIN ein. Bei korrekter Eingabe stellt die Box eine verschlüsselte Verbindung zur Gegenstelle auf dem Unternehmensserver her. Solange die Internetverbindung allein über die Box hergestellt wird, sorgt dies für Abhörsicherheit der gesamten Kommunikation. Das Risiko des Missbrauchs oder Diebstahls von Zugangsdaten und PIN über Viren und Trojaner auf dem PC des Benutzers wird minimiert.

Teil der Implementierung ist ein Trusted-Platform-Modul (TPM). Dabei handelt es sich um einen Chip, der im Rahmen von Trusted Computing-Konzepten verwendet wird. Mittels kryptographischer Verfahren prüft der TPM den Zustand von Software und Hardware. Er gewährt den Zugriff auf geheime Schlüssel nur, wenn die Software auf der VPN-Box nicht manipuliert wurde. Andernfalls verweigert er die Schlüssel. Der TPM wird in der Box zum Schutz von Konfigurationsdaten verwendet und hat als passives Element keinen weiteren Einfluss auf das Verhalten der Box. Schnittstellen und Standards für den TPM definiert die von verschiedenen Industrievertretern getriebene Trusted Computing Group.

[datensicherheit.de, 20.09.2013] Die it-sa 2013 öffnet vom 8. bis 10. Oktober 2013 im Messezentrum Nürnberg die Tore. Dort trifft sich die IT-Sicherheitsbranche zum fünften Mal und präsentiert aktuelle Lösungen zum Schutz vor Datenklau und -manipulation, Spionage und zahlreichen weiteren Gefahren für vertrauliche Informationen. Zur diesjährigen Ausgabe der Spezialmesse für den Wachstumsmarkt IT-Sicherheit rechnet der Veranstalter mit über 350 Ausstellern (2012: 334). Der Anteil der ausländischen Messebeteiligungen wird dabei noch einmal um rund ein Viertel höher liegen als 2012. Größer wird auch das Informationsangebot des begleitenden Kongresses: Congress@it-sa beginnt bereits am 7. Oktober 2013. Das umfangreiche Programm steht für Fachwissen zu zentralen Messethemen genauso wie für branchenspezifisches Know-how, beispielsweise zur IT-Sicherheit im Online- und Versandhandel.

Als eine der weltweit bedeutendsten Veranstaltungen ihrer Art hat sich die it-sa als jährlicher Treffpunkt der IT-Sicherheitsbranche und Anlaufstelle für diejenigen etabliert, die beruflich Verantwortung für die Sicherheit von IT-Infrastrukturen tragen: Geschäftsführer, CIOs und Administratoren verschaffen sich auf der it-sa einen Überblick über den gesamten Markt für IT-Sicherheitsprodukte und Dienstleistungen. Mit in- und ausländischen Anbietern aus allen Segmenten der IT-Security bietet ihnen die die einzige Spezialmesse zur IT-Security im deutschsprachigen Raum dafür beste Bedingungen.

Live-Hacking in den offenen Foren

„Wie können Unternehmen sensible Daten vor dem Zugriff durch PRISM schützen?“ – Nur eine von vielen Fragen, auf die Experten in den offenen Foren der it-sa Antworten geben. Die drei offenen Foren sind ein charakteristisches Highlight im Messekonzept: In den Foren Rot und Blau sowie im Auditorium sprechen Fachleute über Trends und präsentieren neue Lösungen und Produkte. Mehr als 200 Vorträge beleuchten die Themen Management (rot) und Technik (blau) sowie zentrale Fragen der IT-Sicherheit (Auditorium, grün). Redner sind Spezialisten für IT-Sicherheit, IT-Sicherheitsforscher sowie Verbandsvertreter von BITKOM, eco und TeleTrusT.

Besonders große Besuchertrauben dürften sich wieder bei den Live-Hacking-Vorführungen bilden, die an allen drei Messetagen stattfinden. IT-Sicherheitsprofis zeigen hier auf, welchen Gefahren ungeschützte Geräte ausgesetzt sind und wie einfach es ist, mit den entsprechenden Kenntnissen Zugriff auf fremde Daten zu erlangen. Cyber-Spionage, Netzwerk- und Rechenzentrumssicherheit sowie Datenschutz und rechtliche Rahmenbedingungen sind weitere Themen, die im Forenprogramm ausführlich diskutiert werden.

Kompakte Sonderschauen

Auf der it-sa 2013 sorgen Sonderschauen für Orientierung im Messeangebot. Die Sonderfläche „Das perfekte Rechenzentrum – Planung, Bau und Technik“ richtet sich an Rechenzentrumsplaner und -betreiber, die sich für hochsichere Serverschränke, Brandschutz- oder Verkabelungslösungen interessieren. In der IAM Area finden die Messebesucher Lösungen aus dem Bereich des Identity- und Access Management. Die Sonderfläche Startups@it-sa bündelt den Auftritt von 16 jungen Unternehmen, die auf der it-sa mit innovativen Produkten vertreten sind. Für Universitäten und Fachhochschulen bietet die it-sa mit der Sonderfläche Campus@it-sa eine besondere Bühne.

Erweitertes Kongressprogramm

Congress@it-sa, das begleitende Kongressprogramm zur it-sa, findet 2013 zum zweiten Mal statt. Im Mittelpunkt des Kongresses stehen in diesem Jahr die Themen Information Security Management, Compliance as a Service, Access Management und industrielle IT-Sicherheit.

Anwender- und branchenspezifische Kongress-Tracks erweitern das Angebot, darunter die von Franz Josef Pschierer, dem IT-Beauftragten der Bayerischen Staatsregierung, eröffnete Jahrestagung der IT Sicherheitsbeauftragten der Länder und Kommunen und ein Kongress-Track zur IT-Sicherheit im interaktiven Handel, zu dem der Fraunhofer-Verbund IUK-Technologie einlädt. Auch Messebesucher, die sich zusätzliches Fachwissen zur Rechenzentrumssicherheit aneignen möchten, dürfen sich auf einen eigenen Kongress-Track freuen: Zusätzlich zur Sonderfläche auf der Messe bietet das BITKOM Anwenderforum „Rechenzentren und IT-Systeme – Sicherheit, Betrieb und Prozesse“ Know-how aus erster Hand.

Weitere Informationen zum Thema:

it-sa.de
it-sa – Messe und Kongress für IT-Security

[datensicherheit.de, 18.09.2013] Wie (fast) jede Software enthält auch sogenannte „Sicherheitssoftware“ Sicherheitslücken, warnt im Vorfeld der Branchenmesse „it-sa 2013“ Prof. Dr. Hartmut Pohl von der softScheck GmbH aus Köln. Anhand der Web-Application-Firewall (WAF) „ModSecurity“ könne softScheck eben dies aufzeigen.
Eine WAF funktioniere mit Black- und Whitelists und filtere den http-Transfer zwischen Server und Client. Der Vorteil gegenüber herkömmlichen Firewalls sei, dass eine WAF nicht auf den unteren Netzwerkebenen filtere, sondern auf der Anwendungsschicht – „Schicht 7“ nach dem OSI-Modell. Herkömmliche Firewalls arbeiteten indes in der Regel auf „Schicht 3“ (Vermittlungsschicht) oder „Schicht 4“ (Transportschicht), wodurch sie ankommende Anfragen nach IP-Adressen oder Ports filtern könnten. Eine WAF hingegen untersuche auch die Inhalte der ankommenden Pakete und sei damit in der Lage, Angriffe wie SQL-Injections und Cross-Site-Scripting abzuwehren, die von herkömmlichen Firewalls nicht erkannt würden.
Eine WAF untersuche ausschließlich http-Pakete und diene daher dazu, die Ausnutzung von Sicherheitslücken speziell in Webanwendungen zu verhindern. Hierzu bediene sie sich definierter Regeln, die mit regulären Ausdrücken arbeiteten, um nach Black- und Whitelisting-Ansatz bösartige http-Anfragen zu blockieren. Da die WAF „ModSecurity“ selbst eine Sicherheitslücke enthalte, sei es zum Beispiel möglich, den Webserver durch einfache http-Anfragen mit XML-Inhalt wegen einer Denial-of-Service-Sicherheitslücke außer Betrieb zu setzen, erläutert Professor Pohl.
Daran zeige softScheck, dass eine Sicherheitssoftware – in diesem Beispiel eben eine „Web Application Firewall“ – ein zweischneidiges Schwert sein könne; Firewalls erhöhten zwar einerseits das Sicherheitsniveau, in dem sie Server, Computer oder Webanwendungen vor Angriffen schützten, andererseits jedoch sollten sie selbst frei von Sicherheitslücken sein, um keine neuen Angriffe zu ermöglichen. Hinzu komme, dass Sicherheitssoftware zeitnah gepatcht und generell korrekt konfiguriert werden müsse, um das Sicherheitsniveau maßgeblich erhöhen zu können. Damit Sicherheitssoftware nicht zum Einfallstor wird, rät Professor Pohl, sie im Rahmen des „Security Testing“ regelmäßig und gezielt mit den bekannten Verfahren „Threat Modeling“, „Static Source Code Analyse“, „Penetration Testing“ und „Dynamic Analysis (Fuzzing)“ auf Sicherheitslücken hin zu untersuchen. Nur so könne gewährleistet werden, dass Sicherheitssoftware wirklich sicher ist.