Die Strategie des Landes Niedersachsen zur …...Die Strategie des Landes Niedersachsen zur elektronischen Signatur Holger Meyer Leiter Kompetenzzentrum IT-Sicherheit (KITS) Informatikzentrum

Die Strategie des Landes Die Strategie des Landes Niedersachsen zur elektronischen Niedersachsen zur elektronischen

SignaturSignatur

Holger MeyerLeiter Kompetenzzentrum IT-Sicherheit (KITS)

Informatikzentrum Niedersachsen (izn)

7. Kommunales 7. Kommunales IuKIuK--ForumForum Niedersachsen Niedersachsen

Soltau, den 20. September 2007

KITS

©© Informatikzentrum Niedersachsen 2007Informatikzentrum Niedersachsen 2007

3

Rechtsform: Landesbetrieb nach § 26 LHO

Gründungsdatum: 1. Mai 1997

Aufgaben: Unterstützung der Landesverwaltung beider Aufgabenwahrnehmung durch die Bereitstellung von IuK-Technik

Pflichtaufgaben: Hochsicherheits-Rechenzentrum, Betreiber des Landesdatennetzes

4 Geschäftsstellen: H - BS - OL - LGPersonalbestand: ca. 420 MitarbeiterUmsatz: ca. 90 Mio. EURO (2004)

Informatikzentrum Niedersachsen (izn)Informatikzentrum Niedersachsen (izn)

KITS


4

Kompetenzzentrum ITKompetenzzentrum IT--Sicherheit (KITS)Sicherheit (KITS)Bereitstellung und Weiterentwicklung von IT-Sicherheits- komponenten (z.B. SignaturCard Niedersachsen, Chipkartenlesegeräte, Virenscanner, Sichere E-Mail, Sicherer PDA, Sicherer VPN-Zugang)

SignaturCard Service und Landesregistrierungsstelle (SCS)

Betrieb der Niedersachsen-CA (TESTA-CA / Niedersachsen)

Betrieb von Sicherheitsgateways (Application Security Gateway [ASG])

Betrieb der Virtuellen Poststelle (VPS)

Beratung und Unterstützung zum Thema „IT- Sicherheitsmanagement“ außerhalb des izn (z.B. IT-Sicherheits- konzepte, IT-Audits, Schutzbedarfsfeststellungen, Basissicherheitschecks)

Beratung und Unterstützung der Fachverwaltungen bei der IT- Sicherheitsimplementierung (z.B. Kommunikations- und Transaktionssicherheit in Applikationen und Netzen, Authentisierung, Sichere E-Mail)

KITS


5

Vier SVier Sääulen fulen füür sicheres r sicheres eGovernmenteGovernment

Sicherheits - InfrastrukturSicherheits - Infrastruktur

Security PolicySecurity Policy

V e

r t r

a u

l i c

h k

e i

tV

e r t

r a

u l i

c h

k e

i t

A u

t h e

n t

i z i

t ät

A u

t h e

n t

i z i

t ät

I n t

e g

r i t

ät

I n t

e g

r i t

ät

V e

r b i

n d

l i c

h k

e i

tV

e r b

i n

d l i

c h

k e

i t

KITS


6

Die SignaturCard NiedersachsenDie SignaturCard Niedersachsen

KITS


7

SignaturCard Niedersachsen (PKS) SignaturCard Niedersachsen (PKS)

ZertifikatName des Trust Centers

Name des BenutzersÖffentlicher Schlüssel

AlgorithmusZertifikatsnummerGültigkeitszeitraum

qualifiziertes Zertifikat

Akkreditiertes Trustcenter

KITS


8

SicherheitsinfrastrukturSicherheitsinfrastruktur

PKS-Card 2.0 / 3.0 BS: TCOS 2.02 Schlüsselpaare2 Zertifikate3-jährige GültigkeitNull-PINFehlbedienungszählerChipkartenlesegeräte PC/SC, B1

SicherheitssoftwareSicherheitssoftware

SW zur Erstellung der SignaturSW zur Verifikation der SignaturSW zur Erneuerung der SignaturSW zum VerschlüsselnSW zum Entschlüsseln

PKIPKI--KomponentenKomponenten

KITS


9

Wo wurde die SignaturCard eingesetzt?Wo wurde die SignaturCard eingesetzt?

Sichere FachapplikationenHaushaltswirtschaftssystemBeihilfebearbeitungssystemGerichtliches Mahnverfahren

Sichere KommunikationVPN-Zugang in das LandesnetzE-Mail-Kommunikation DateiablageSignaturCard Nds. Kommunaler Bereich (SiNiKom)

KITS


10

WelcheWelche Features der SignaturCardFeatures der SignaturCard wurdenwurden genutztgenutzt??

Elektronische SignaturVerschlüsselungDokumentverschlüsselung

KommunikationsverschlüsselungTransportverschlüsselung

Sichere Authentifikation an Fachapplikationenin Remoteumgebungen

KITS


11

Die SignaturCard NiedersachsenDie SignaturCard Niedersachsen

KITS


12

Warum eine Migration?Warum eine Migration? Anforderungen SigG Anforderungen SigG -- Erweiterung der SchlErweiterung der Schlüüssellsselläängenngen

Sicherheitseignung der Kryptoalgorithmen

Veröffentlichung der BNetzA im Bundesanzeiger

Sicherheitseignung für 1024 Bit läuft aus zum 31.12.2007

PKS Card ist auf Schlüssellänge 2048 Bit nicht erweiterbar!

Kein interoperabler Standard mehr (ISIS-MTT)

HWS benötigt neue Karten!

Neue SignaturCard mit 2048 Bit

KITS


13

ZDA- Betrieb

Algo- rithmen

Sicher- heitsnach-

weis für technische

Kompo- nenten

Dauerhafte Überprüf-

barkeit

Gemein- sames Wurzel- zertifikat

Vergabe eines Güte-

siegels

Sichere Signatur-

erstellungs -einheit

Qualifi- ziertes

Zertifikat

Akkreditierte eSignaturen

30 Jahre

Qualifizierte eSignaturen

Anzeige Herst.Erkl. 5 Jahre-- --

FortgeschritteneeSignaturen -- -- -- -- -- -- -- --

FortgeschritteneeSignaturen

VPKI NDS-CA Policy der

Root (BSI)Policy der Root (BSI)

Freiwillig Freiwillig LHO-

konform

VPKI-Wurzel- zertifikat

(BSI)

Policy der Root(BSI)

Freiwillig Zertifikat

ÜÜbersichtbersicht -- SignaturqualitSignaturqualitäätenten

KITS


14

NDS-JustizNDS-LV

NDS-KommunenTIM

Root-CAPCA-Verwaltung

TESTA-CA CA

IVBBD-Trust

SUB- Domänen

ThüringenMASTER- DomänenNiedersachsen

VPKI VPKI –– TESTA TESTA –– NDSNDS--CACA

KITS


15

VPKI VPKI -- Vorteile fVorteile füür Niedersachsenr Niedersachsen

Interoperabilität mit anderen Verwaltungen

Gemeinsamer Verzeichnisdienst der Verwaltungen (EB-CA)

Sicherheitsniveau VPKI liegt auch im SigBü zugrunde

Sicherheitsniveau ist durch Policy des BSI vorgegeben

Synergieeffekte mit anderen Projekten

Keine geprüften und bestätigten Komponenten erforderlich

Kostengünstiger für das Land!

KITS


16

VPKIVPKI -- Vorteile fVorteile füür DST / r DST / AdminAdmin / User/ User

Leichte Zuordnung zur Person (mehr Zertifikatsinhalte - o, ou)

Differenzierte Gruppen/Rollen per ou3 - Eintrag

Schnelle Auslieferung durch RA-Mitarbeiter (webunterstützt)

Einfache Identifizierung („Siegel führende Stellen“)

Leichtes Kartenhandling durch PUK

Eintrag ins „verwaltungsinterne“ VDV (TESTA-Verzeichnis)

KITS


• Signaturschlüssel

• PKS-Signaturzertifikat*

* optional nach Kundenanforderung

• Signaturschlüssel• Verschlüsselungsschlüssel• Authentifizierungsschlüssel

• 2 NDS-CA-Zertifikate(1 Sig und 1 Auth/Enc)*

• 1 weiteres Zertifikat optional

* im Auslieferungszustand NDS-CA

Qualifizierte SignaturRoot 1: BNA (ehem. RegTP)

Fortgeschrittene Signatur Root 2: PCA-1-Verw. (VPKI)

SigG-KonformitätISIS-MTT-Konformität

Produktion: vorauss. 01.01.2007

1 globale PIN f1 globale PIN füür alle Schlr alle Schlüüsselssel

1 2 3 4 5 6

Fehlbedienungszähler

1 2PKS-Zertifikate

BSI-/VPKI-KonformitätISIS-MTT-Konformität

Allgem. PKI-Anwendungen Root 3: beliebig3

External Key-Application

für sonstige Anwendungen

1 lokale PIN pro Anwendung1 lokale PIN pro Anwendung

1 2 3 4 5 6

• extern generierte Schlüssel*

• extern generierte Zertifikate*

* optional nach Kundenanforderung

Stand 01.01.07SignaturCard SignaturCard –– NetKey 3.0NetKey 3.0

NDS-CA-Zertifikate

Fort-geschr.

1 lokale PIN f1 lokale PIN füür r SigSig--SchlSchlüüsselssel

1 2 3 4 5 6

PUK („Master-PIN“) Fehlbedienungszähler (optional)

Fort-geschr.

Quali-fiziert

KITS


19

SicherheitsinfrastrukturSicherheitsinfrastruktur

NetKey 3.0-KarteDual-ChipBS: TCOS 3.0mind. 3 Schlüsselpaaremind. 3 Zertifikate3-jährige GültigkeitPIN / PUKvariabl. FehlbedienungszählerChipkartenlesegeräte PC/SC (USB, PCMCIA, PC-Card, seriell)

SicherheitssoftwareSicherheitssoftware

SW zur Erstellung der SignaturSW zur Verifikation der SignaturSW zur Erneuerung der SignaturSW zum VerschlüsselnSW zum Entschlüsseln

PKIPKI--KomponentenKomponenten

http://www.ncp.de/deutsch/home/index.html

KITS


20

SignaturCard Niedersachsen (NetKey 3.0)SignaturCard Niedersachsen (NetKey 3.0)

Verschlüsselungszertifikat

Signaturzertifikat

Authentisierungszertifikat

qualifizierte Signatur

fortgeschrittene Signatur

Akkreditiertes Trustcenter

Eigene CA (NDS-CA)

ZertifikatName des Trust Centers

Name des BenutzersÖffentlicher Schlüssel

AlgorithmusZertifikatsnummerGültigkeitszeitraum

KITS


21

Wo wird die SignaturCard heute eingesetzt?Wo wird die SignaturCard heute eingesetzt?Sichere Fachapplikationen

Haushaltswirtschaftssystem (HWS)Beihilfebearbeitungssystem (Samba)Gerichtliches Mahnverfahren (AGMV)Elektronisches Insolvenzverfahren (WinSolvenz) > SW

Sichere KommunikationSicherer VPN-Zugang in das LandesnetzSichere E-Mail Elektronischer Rechtsverkehr in der Fachgerichtsbarkeit (elba.nds)Sichere Kommunikation mit Registergerichten (SLIM IV)Elektronisches Meldewesen (Architektur DVDV) > SWVirtuelle Poststelle (VPS)Mobile FestplattenverschlüsselungSicherer PDA

KITS


22

Welche Verbreitung hat die SignaturCard heute?Welche Verbreitung hat die SignaturCard heute?Dienststellen 750

Sichere FachapplikationenHaushaltsvollzugssystem 12.250 TNBeihilfebearbeitungssystem 250 TNGerichtliches Mahnverfahren u.a. 250 TN

Sichere KommunikationSicherer VPN-Zugang 1.000 TNSichere E-Mail u.a. 250 TNSoftwarezertifikate 250 TN

---------------------ca. 14.250 TN

KITS


23

WelcheWelche Features der SignaturCard Features der SignaturCard kköönnennnen heuteheute genutztgenutzt werdenwerden??

Zugangssicherung zu RechnersystemenSingle-Sign-OnDienstausweisZutrittssicherung zu GebäudenArbeitszeiterfassungKantinen- und Kioskfunktion

One-Time-Password (OTP)Watermark

Fachapplikationen / eGovernment-Anwendungen

Ticketing (ÖPNV-Fahrgeldmanagement, Eventmanagement)Diebstahlschutz (Mobilitätssperre z.B. bei Kfz, Hardware)

KITS


24

Single Sign On und Single Sign On und WinLogonWinLogon

Chipkarte ersetzt Login über Benutzername und PasswortPasswortqualität steigt (Länge und Zeichensatz)Hohe PasswortsicherheitSchutz vor ManipulationAuthentisierung erfolgt nur einmal gegenüber dem SystemBeim Zugriff auf eine bestimmte Ressource erfolgt die Überprüfung der Zugriffsrechte an einem zentralen ServerDer Nutzer erhält dann die ihm zustehenden Berechtigungen, Anwendungsprogramme und Ressourcen, ohne dass er beim Aufruf der Programme erneut ein Passwort angeben mussHohe Benutzfreundlichkeit

KITS


25

DienstausweisDienstausweis

Beantragung und Ausgabe von digitalen Dienstausweisen werden von bereits vorhandenen Dienstausweisstellen übernommen - hier erfolgen Aufnahme von Antragsdaten, Personenbild und UnterschriftLässt sich mit Zeiterfassungs- und Zutrittskontrollsystemen kombinierenDie Personaldaten werden in einer gesicherten lokalen Datenbank gespeichertDer Kartenkörper sollte vorher definierte Sicherheitsmerkmale enthalten, um die Fälschungssicherheit zu gewährleisten

KITS


26

ZutrittssicherungZutrittssicherung zuzu GebGebääudenudenRegelung des Zutritts zu einem Gelände oder zu einem Gebäude bzw. innerhalb des Gebäudes zu DiensträumenDefinition von Sicherheitszonen mit unterschiedlichem SchutzbedarfVerwaltung der Zutrittsberechtigungen erfolgt mit spezieller Software zentral auf einem RechnerFür jede berechtigte Person kann eine räumliche und zeitlich eingeschränkte Zutrittsberechtigung je Sicherheitszone festgelegt werdenDie Identifikation und der Zutritt zu den jeweiligen Sicherheitszonen wird über Chipkarte und Kartenleser/ Terminal ermöglicht

KITS


27

ArbeitszeiterfassungArbeitszeiterfassung

Ermittlung der Arbeitszeit der MitarbeiterLässt sich mit Zutrittskontrollsystemen kombinierenZusätzlich zur Prüfung der entsprechenden Zutrittsberechtigung wird eine Speicherung der Kommt-bzw. Geht-Zeit des Mitarbeiters durchgeführtEffektive Verwaltung und Abrechnung von Arbeitszeit, Dienstreisen, Urlaub etc.Transparente Zeitkorrekturen können von den Mitarbeitern selbst vorgenommen werden

KITS


28

KantinenKantinen-- und und KioskfunktionenKioskfunktionen

Elektronische Geldbörse im Pay-Before-Verfahren für Mittagessen, Getränke, Süßwaren etc.Einfaches münzloses Handling für die MitarbeiterEffektiv, ressourcenfreundlich, bedienerfreundlichErweiterbar um viele Funktionen in der Beziehung Innerer Dienst >>> Mitarbeiter, z.B. Abrechnung privater Fotokopien, Abrechnung privater TelefongesprächeMit Electronic Cash erweiterbar für den Erwerb von Fahrkarten im ÖPNV oder andere Ticketing-Funktionen

KITS


29

WatermarkWatermark

Digitales WasserzeichenSchutz digitaler DokumenteAbruf von Daten durch Passwort schützbarEinbettung von Copyright-Informationen in ein DokumentGestaltung kann sichtbar oder unsichtbar erfolgen

KITS


30

Wo wird die SignaturCard in Zukunft eingesetzt?Wo wird die SignaturCard in Zukunft eingesetzt?

Multifunktionskarte (MFK) inkl.Single-Sign-OnElektronischer Dienstausweis

Sichere Bereitstellung von ZentralabiturklausurenFachapplikation „Schwarzarbeitsbekämpfung“Zertifikatsbasierte Kommunikationssicherung von zentralen Hardwarekomponenten (Router, Switches, Server etc.) > SWPersonalmanagementverfahren (PMV)Dokumentenmanagementsystem (DMS)Elektronisches Kabinettsinformationssystem (eKIS)Elektronische Aktenführung (eAkte Land)Elektr. Immissionsschutzrechtl. Genehmigung (eGenV)Elektronisches Beschaffungsmanagement (Comparo Plus)

KITS


31

Sichere ESichere E--MailMail

Sicherer VPNSicherer VPN--Zugang in das LandesnetzZugang in das Landesnetz

FestplattenverschlFestplattenverschlüüsselungsselung

Sicherer PDASicherer PDA

European Bridge CA (EBEuropean Bridge CA (EB--CA)CA)

Projekte mit landesstrategischer BedeutungProjekte mit landesstrategischer Bedeutung

KITS


32

Sichere ESichere E--Mail Mail -- ProduktzieleProduktziele

Vertraulichkeit durch Verschlüsselung mit bewährten und sicheren KryptoalgorithmenManipulationsschutz durch elektronische Signatur (Integritätsprüfung)Interoperabilität durch die Verwendung des Standards S/MIME oder ISIS-MTTIdentität durch unabstreitbare und eindeutige Identifizierbarkeit des AbsendersBenutzerakzeptanz durch 2 Buttons zum Signieren und / oder VerschlüsselnIntuitive Plug-In-Integration in MS Outlook oder besser MS Native-LösungKosteneinsparungen und Umsatzsteigerung durch Verschlankungvon GeschäftsprozessenBehördenumspannender Zugriff auf sichere E-MailRisikominderung und stärkere Konformität mit gesetzlichen Datenschutzvorschriften (BDSG, LDSG, Schutzstufen)

KITS


33

Sichere ESichere E--Mail Mail -- ClientausstattungClientausstattung

Sichere E-Mail-PlugInoder MS Native

Chipkartenlesegerät

Chipkarte (SignaturCard Niedersachsen)

http://www.amazon.de/gp/product/images/B000KF0OJM/ref=dp_image_0/302-1582157-8048835?ie=UTF8&n=301928&s=software

KITS


34

Unmittelbare Dienststellen der Landesverwaltung und Kommunen-

Applikationen der Dienststellen

Telearbeiter PDA/Smartphone

Fernwartung

Mobile Arbeitsplätze

IuK-Administrator

iznNet2000

Internet

SichererSicherer VPNVPN--ZugangZugang in das in das LandesnetzLandesnetz

Zugriff remoteAP auf Landesnetz über VPN - IPSec

Dritte / Externe

KITS


35

Sicherer VPNSicherer VPN--Zugang Zugang -- ProduktzieleProduktziele

Sicherer, zuverlässiger und kostengünstiger Zugang in das Landesnetz

Unabhängigkeit vom stationären Arbeitsplatz

Starke Authentisierung

Verschlüsselte Datenübertragung

KITS


36

Sicherer VPNSicherer VPN--Zugang Zugang -- ClientausstattungClientausstattung

SecureVPN Client



KITS


37

Vorhandensein eines Pre-Boot-Verfahrens

Nutzung der SignaturCard Niedersachsen zur Benutzer-Authentisierung

Einfache transparente Usability

Zentrale Möglichkeit zur Administration aller im Land Niedersachsen eingesetzten Clients (Managementkonsole)

Vollständige Verschlüsselung

Missbrauchschutz bei Diebstahl

FestplattenverschlFestplattenverschlüüsselung sselung -- ProduktzieleProduktziele

KITS


38

FestplattenverschlFestplattenverschlüüsselung sselung -- ClientausstattungClientausstattung

Verschlüsselungs-Software mit Boot-Schutz



KITS


39

Sicherer PDA Sicherer PDA -- ProduktzieleProduktziele

Ausgangssituation

Steigende Nachfrage mobiler Pocket-Geräten (z.B. Smartphone, PDA):

Empfangen und Versenden von E-Mails Zugriff und Synchronisation von Outlook-PIM (Kalender, Kontakte, Aufgaben)

ProduktzielZugriff mit einem handlichen Pocket-Gerät - mobil und sicher

Fernzugriff über das Internet auf Daten oder E-Mails im Landesnetz

Keine unbefugte Nutzung des Geräts nach Verlust

KITS


40

Sicherer PDA Sicherer PDA -- AusgewAusgewäählte hlte SicherheitsmoduleSicherheitsmodule

Karten- und zertifikatsbasierte AuthentisierungSicherer VPN-Zugang (Internet und Intranet)FestplattenverschlüsselungIntegrierter VirenschutzSicherer Zugriff auf persönliches Exchange Postfach im LandesnetzE-Mails, Besprechungsanfragen u.a. können, wie am Arbeitsplatz, mit MS Outlook Mobil empfangen, versendet und bestätigt werdenSicherer Zugriff auf MS Outlook-Kalender-Funktionen und KontaktdatenAutomatische oder manuelle Synchronisation aller Exchange-Daten bei bestehender VPN-VerbindungSicherer Zugriff auf MS Office-Dokumente im Landesnetz

KITS


41

Sicherer PDA Sicherer PDA -- ClientausstattungClientausstattung

Sicherer VPN-Zugang

Festplattenverschlüsselung

AVIR-Software mit Patch-Automatik

SmartCard mit integriertem Flashspeicher im microSD- Format (SignaturCard Niedersachsen)

KITS


43

European BridgeEuropean Bridge--CA CA -- ZieleZieleVerifikation von Zertifikaten ist unbedingt notwendig für die elektronische KommunikationVertrauliche und personengebundene elektronische Kommunikation ist durch Verifikation erst möglichEin ständiger und einfacher Zugriff ist für die Verifikation unbedingt notwendigEB-CA ist Single Point of Contact bei der Verifikation von Zertifikaten für Signatur, Authentifikation und Verschlüsselung

Voraussetzungen:

Aussteller von Zertifikaten oder CA schließen einen Vertrag mit der EB-CADie Vertragsbindung gewährleistet eine einheitliche Schnittstelle (Interoperabilität)

KITS


44

AusgangssituationAusgangssituation

Quelle: TeleTrust

KITS


45

LLöösung: EBsung: EB--CACA

Quelle: TeleTrust

KITS


48

SignaturbSignaturbüündnis Niedersachsenndnis Niedersachsen

HandlungsschwerpunkteHandlungsschwerpunkte

Sicherheit und Interoperabilität Anwendungen und Prozesse an der Schnittstelle „Wirtschaft und Verwaltung“Strategische Einzelmaßnahmen und Projekte Maßnahmen zur AkzeptanzverbesserungKooperationen mit anderen Initiativen des Landes

KooperationenKooperationen

Interkommunale ZusammenarbeitZusammenarbeit mit dem „Anwenderforum Elektronische Signatur“ des Bundes (Nachfolger Signaturbündnis Bund)

KITS


49

Vertraulichkeit

Verbindlichkeit

SignaturCard

Integrität

InfrastruktureGovernment

Signatur

Verschlüsselung

Authentizität

Niedersachsen-CA

Telefon: (05 11) 1 20 - 38 42Fax: (05 11) 1 20 - 99 - 38 42

E-Mail: [email protected]: www.izn.niedersachsen.de

Documents

Die Strategie des Landes Niedersachsen zur …...Die Strategie des Landes Niedersachsen zur elektronischen Signatur Holger Meyer Leiter Kompetenzzentrum IT-Sicherheit (KITS) Informatikzentrum