The World of Smart ID Solutions
Kommen Sie entspannt im Palace Hotel an und begrüßen Sie Ihre Fachkolleg:innen. Nach einem Kaffee oder Tee steigen Sie ein in die ersten Agendapunkte der OMNISECURE 2023.
IKT-Lieferketten stehen seit mehreren Jahren zunehmend unter Druck. Grund dafür sind nicht nur gezielte Cyber-Angriffe, sondern auch äußere Einflüsse wie die Corona-Pandemie oder geopolitische Veränderungen. Dies stellt eine große Gefahr für die Produktsicherheit sowie die Produktverfügbarkeit dar. Auch die Politik reagiert auf diese Entwicklungen und macht Lieferkettensicherheit zum Regulierungsthema, wie etwa in der NIS2-Richtlinie. Um all diese Unwägbarkeiten in Zukunft managen zu können, bedarf es einem unternehmensweiten Risikomanagement-Prozess speziell angepasst auf die Besonderheiten von IKT-Lieferketten – dem Cyber-Supply Chain Risk Management (C-SCRM).
Wie kann die benötigte Transparenz geschaffen, erkannte Risiken mitigiert und gleichzeitig die regulatorischen Vorgaben eingehalten werden? IKT-Lieferketten sind ein komplexes Konstrukt, dementsprechend vielfältig sind die Cybergefahren, denen sie ausgesetzt sind. Kurzum, wie kann ein ganzheitliches Cyber-Supply Chain Risk Management aufgebaut bzw. in bestehende Risikomanagementprozesse integriert werden?
Diesen Fragen wollen wir uns im Teil 2 des Barcamps widmen.
Ein Blick in die Kamera oder ein Druck mit dem Finger auf eine Sensoroberfläche und schon wird der Nutzer verifiziert. So oder so ähnlich sieht heutzutage eine typische Routine an Smartphones, Tablet, Notebooks oder Türschlössern aus. Biometrie bietet Chancen für eine unkomplizierte und nutzerfreundlicheAuthentisierung, die aber auch ihre Schwachpunkte, wie auch andere Authentisierungsfaktoren, mit sich bringt.
Wie werden biometrische Verifikationssysteme von Benutzern angenommen und wie gut sind diese in ihrer biometrischen Performanz und Resistenz gegenüber Präsentationsangriffen? Nationale und internationale Richtlinien und Standards definieren hierfür wichtige Anforderungen und ermöglichen eine Vergleichbarkeit der Systeme. Entsprechende Systeme werden von Herstellern entwickelt und letztendlich auf Konformität durch Prüflabore getestet.
FIDO Themen (Fast IDentity Online) gab es bereits im Rahmen dieses Kongresses, als er noch OMNICARD hieß. Waren sogenannte FIDO Authenticators bis vor kurzem aber noch ein Thema für Experten, so haben sie sich inzwischen in den Mainstream vorgearbeitet. Und sie versprechen jetzt, die Authentisierung im Online-Einkauf zu revolutionieren.
Erhalten Sie einen Überblick auf den geplanten neuen Vertrauensdienst „Qualified Electronic Attestation of Attributes (QEAA)“ der anstehenden Revision der eIDAS-Verordnung, insbesondere im Zusammenspiel mit der geplanten EU-ID-Wallet.
Im Rahmen der gerade laufenden turnusgemäßen Revision der eIDAS Verordnung ist vorgesehen ein europäisches Identitätenökosystem aufzubauen, das auf der Nutzung der sogenannten EU-DI Wallet basiert. Parallel zu den diesbezüglichen Verhandlungen im Rat wird in der eIDAS Expert Group an den technologischen Grundlagen gearbeitet. Darauf aufbauend wird es voraussichtlich in 2023 Use-case Piloten und auch eine Referenzimplementierung der Wallet geben. In 2023 werden in diesem Kontext viele Fragen beantwortet sein, manche aber noch intensiv diskutiert werden. Ziel dieser Session/dieses Vortrages wäre es den aktuellen Stand darzustellen und die verschiedenen Positionen der Vortragenden gegenüberzustellen und idealerweise eine Diskussion zu ermöglichen.
Über den Verbund der Verwaltungsportale von Bund und Ländern sind Verwaltungsleistungen aller föderalen Ebenen übergreifend erreichbar. Das ambitionierte Ziel des Onlinezugangsgesetzes (OZG), bis zum 31.12.2022 alle 575 Bündel von Verwaltungsleistungen digital bereitzustellen, wurde jedoch in Zahl und Reifegrad verfehlt. In der sicheren und nutzungsfreundlichen Umsetzung dieses größten Modernisierungsprojekts der Verwaltung ergeben sich zahlreiche Herausforderungen bei allen Beteiligten. Diesen Erkenntnissen soll nun in einem „OZG 2.0“ Rechnung getragen werden, um Hindernisse auszuräumen und Bewährtes weiterzuentwickeln.
Digitales Zentralbankgeld (CBDC) ist ein heiß diskutiertes Thema im Bereich Payment. Damit eine Einführung erfolgreich gelingen kann, sind schon beim Design eine Reihe von IT-Sicherheitsanforderungen zu berücksichtigen. Um europäische Zentralbanken bei der Gestaltung und möglichen Einführung einer digitalen Zentralbankwährung für den Euro-Raum zu unterstützen, plant das BSI Leitplanken in Form einer Technischen Richtlinie für den Betrieb einer CBDC zu setzen. Dabei liegt der Fokus auf Technologieneutralität und darauf, dass die Anforderungen für Entwickler, Betreiber und Anwender realistisch, aber dennoch wirkungsvoll sind.
Die Session gibt eine aktuelle Einführung in CBDCs; anschließend werden die aus BSI-Sicht kritischsten Punkte für eine sichere Umsetzung einer CBDC beleuchtet sowie eine erste prototypische Implementierung einer digitalen Zentralbankwährung vorgestellt.
Die Netzwerke rund um die digitale Identität bewegen und verändern sich kontinuierlich. Neue Impulse und lange Erfahrung brauchen sich gegenseitig – und müssen zueinander gebracht werden. Auch der Vorabend des Kongresses dient ganz dieser Aufgabe: In Kooperation mit dem Digital Society Institut DSI sind Sie eingeladen zum ersten Come Together der Referenten und Teilnehmenden.
Der Abend wird musikalisch begleitet von KellerJäzz + Guests.
Hotel Palace
Budapester Straße 45 – 10787 Berlin
Nicht zuletzt durch die Coronapandemie hat das Thema Online-Wahlen und Online-Abstimmungen an Bedeutung gewonnen. Im Mai 2023 finden die Sozialwahlen, eine der größten Wahlen in Deutschland, erstmals auch online statt. Diese werden einen Meilenstein darstellen. Doch auch andere Verordnungsgeber erlauben zukünftig Online-Wahlen, so z. B. die Wahl zur Gleichstellungsbeauftragten in Behörden. Um eine sichere Online-Wahl durchzuführen, ist IT-Sicherheit essentiell, um das Vertrauen der Wähler in eine elektronische Wahl herzustellen und die Wahlrechtsgrundsätze einzuhalten. Eine Rolle spielt dabei die Ende-zu-Ende-Verifizierbarkeit, mit der Außenstehende nachvollziehen können, ob die Wahl korrekt abgelaufen ist. Es drängen immer mehr Anbieter auf den Markt. Mit einem Schutzprofil und einer Technischen Richtlinie möchte das BSI Wahlverantwortliche bei der Auswahl des Produktes und weiteren Fragestellungen unterstützen.
Lebendige App-Ökosysteme bilden den Brennpunkt in dem sich die Leistungsfähigkeit moderner Smartphones und Tablets zielgerichtet auf die Anforderungen der Nutzer fokussiert. Die Evaluierung und der Einsatz von Plattform-Sicherheitsmechanismen legen den entscheidenden Grundstein für eine skalierbare Entwicklung sicherer Apps, durch die ein weites Funktionsspektrum auch für den VS-NfD konformen Einsatz in der Bundesverwaltung erschlossen werden kann.
Im Jahre 2022 wurde die Technische Sicherheitseinrichtung (TSE) eingeführt. Hinter dem kühlen Begriff verbirgt sich ein heiß diskutiertes Thema: Die Kenntlichmachung von Umsatzsteuerhinterziehungen (so sagt es der Laie, der Profi nennt es Umsatzsteuerverkürzung):
Mit Hilfe der TSE werden Kassendaten kryptographisch sicher signiert und abgespeichert. Ab dem Zeitpunkt der Absicherung wird jede Manipulation an den Geschäftsdaten sichtbar. Das abendliche Frisieren der Umsätze ist nicht mehr möglich.
Nach der erfolgreichen Einführung der TSE bei den Kassen, jeder sieht heute beim Einkauf die Daten der TSE auf dem Kassenbon, wird ab 2024 ein weiteres Feld in Angriff genommen: Die Taxameter. Auch hier wird die TSE für eine Absicherung der Aufzeichnungen sorgen.
In der Session wird das Thema TSE kurz und knapp erklärend wiederholt und Vertreter der TSE-Hersteller und der Finanzverwaltung bringen interessante Einblicke in die den Markt der Absicherung und die Welt der Steuerhinterziehung.
Nach einem interaktiven Einstieg wird das Publikum Teil einer Fishbowl, in der die Erkenntnisse von IT-Sicherheitsuntersuchungen im Gesundheitswesen vorgestellt und auf derer Basis das aktuelle Cyber-Sicherheit Niveau erläutert wird.
Abgerundet wird der Workshop durch einem Impulsvortrag über die Technische Richtlinie für vernetzte Medizinprodukte.
Der BSI IT-Grundschutz ist eine etablierte Methodik zur ganzheitlichen Umsetzung von Informationssicherheit. Der Einstieg wird von kleinen Institutionen häufig als Hürde angesehen. Das BSI entwickelt daher einen vereinfachten Einstieg in den IT-Grundschutz. Mittels Prüffragen sollen ohne tiefere Kenntnis der Methodik Sachstände zur Informationssicherheit erhoben und Maßnahmen identifiziert werden.
Große Digitalisierungsprojekte in Deutschland werden häufig sehr negativ von der Zivilgesellschaft begleitet. Dies liegt zum Teil auch daran, dass der öffentlichen Hand nur wenig Kompetenz im Bereich Digitalisierung zugeschrieben wird, gerade bei den Themen Datenschutz und Datensicherheit. Im Tutorial sollen die Gründe hierfür und deren Folgen beleuchtet und vor allem entsprechende Handlungsempfehlungen abgeleitet werden.
Vor einigen Jahren wurde viel über die Wallet gesprochen, auch auf diesem Kongress. Und klar, Beispiele wie das Apple Wallet haben in einem engen Rahmen erfolgreich vorgelebt, was ein Wallet sein könnte … und dann hat sich Payment anderen Themen zugewendet.
In 2023 spricht nun aber plötzlich wieder jeder von der Wallet. Und teilweise mit einem klareren Fokus, warum Banken das Thema für sich besetzten müssten.
Die ETSI EN 303 645 definiert Anforderungen für ein Mindestmaß an Cyber-Sicherheit aller Consumer IoT Geräte. Die zugehörige Prüfspezifikation ETSI TS 103 701 legt fest, wie eine Konformitätsbewertung von IoT-Produkten für Verbraucherinnen und Verbraucher anhand der Anforderungen der EN 303 645 durchgeführt werden kann.
Die Vorträge geben einen Überblick über die Standards, stellen das nationale IT-Sicherheitskennzeichen vor und betrachten vergleichbare internationale Aktivitäten auf Basis der vorgestellten Standards. Die europäischen Regulierungsbestrebungen zur verpflichtenden Umsetzung von Cybersicherheitsanforderungen aus Sicht eines Herstellenden runden die Session ab.
Lebendige App-Ökosysteme bilden den Brennpunkt in dem sich die Leistungsfähigkeit moderner Smartphones und Tablets zielgerichtet auf die Anforderungen der Nutzer fokussiert. Die Evaluierung und der Einsatz von Plattform-Sicherheitsmechanismen legen den entscheidenden Grundstein für eine skalierbare Entwicklung sicherer Apps, durch die ein weites Funktionsspektrum auch für den VS-NfD konformen Einsatz in der Bundesverwaltung erschlossen werden kann.
Digitale Identitäten sind das Schlüsselelement einer sicheren und nachhaltigen Digitalisierung. Mit dem Schaufensterprogramm „Sichere Digitale Identitäten“ fördert das BBundesministerium für Wirtschaft und Klimaschutz (BMWK) Projekte, die herausragende Ansätze für offene, interoperable und einfach nutzbare ID-Ökosysteme in Modellregionen in ganz Deutschland entwickeln und anwendungsnah erproben. In der 60-minütigen Vortragssession werden die Referent:innen eine erste Zwischenbilanz ziehen und einen Ausblick geben.
Willkommen zu unserer Open End Kontaktbörse mit großem Buffet. Musikalisch wird der Abend begleitet vom Bad Boys Club 46.
Auf Basis der eIDAS Verordnung aus dem Jahre 2014 ist es gelungen, in Europa einen weitgehend harmonisierten Binnenmarkt für qualifizierte Vertrauensdienste zu schaffen. Allerdings sind die Einsatzpotenziale von elektronischen Siegeln, Zustell- und Bewahrungsdiensten in vielen Bereichen der (deutschen) Wirtschaft und Verwaltung noch gering entwickelt.
In diesem Panel wird erörtert, welche Rolle die Europäische und nationale Regulatorik dabei spielt und welche neuen Chancen und Herausforderungen durch die Novellierung der eIDAS Verordnung entstehen können. Zuvor wird über den Stand der Implementierung von Vertrauensdiensten in Deutschland aus regulatorischer Sicht sowie über Erfahrungen aus der Auditpraxis berichtet.
Quantencomputer haben erhebliche Auswirkungen auf heute eingesetzte kryptographische Verfahren. In der Session wird der aktuelle Stand der Forschung zu diesem Thema dargestellt und entsprechende Handlungsempfehlungen abgeleitet.
Der Druck auf die Digitalisierung in der öffentlichen Verwaltung steigt fortlaufend. Neben der Bereitstellung der digitalen Dienste müssen vielfältige Gesetze und Sicherheitsvorgaben umgesetzt werden. Traditionelle Sicherheitskonzepte halten mit der benötigten Innovationsgeschwindigkeit der Digitalsieriung aktuell nicht Schritt. Im Vortrag wird ein Lösungsweg skizziert wie traditionelle Sicherheitskonzept durch ZeroTrust Architekturen die Verwaltungsdigitialsierung nicht verhindern, sondern fördern können!
Zusammen mit der Hochschule Bonn-Rhein-Sieg (H-BRS) betreibt das BSI das Biometrie-Evaluations-Zentrum (BEZ) auf dem Campus der Hochschule in St. Augustin. Das BEZ vereint unter einem Dach die praktische Evaluierung biometrischer Systeme als auch anwendungsbezogene Forschung und Entwicklung, um biometrische Verfahren nachhaltig sicherer und zuverlässiger zu gestalten. Das BEZ ist mit umfangreichem technischem Equipment ausgestattet um biometrische Systeme hinsichtlich ihrer Performanz, ihrer Schwachstellen und ihrer Usability eingehend zu untersuchen. Dieser Workshop gibt einen Einblick in die Arbeit des BSI mittels virtuellem Rundgang.
Die sichere und interoperable Ausgestaltung von Kommunikationsverbindungen ist essentiell für eine erfolgreiche Digitalisierung. So sind Kommunikationskanäle häufig Ziel von Cyberangriffen und müssen geeignet geschützt werden. Demgegenüber ist die Entwicklung von anwendungspezifischen Prüfumgebungen kosten-, zeit- und pflegeintensiv.
In dem Workshop wird anhand des TLS-Protokolls und den Sicherheits- und Interoperabilitätsvorgaben der Technischen Richtlinie TR-03116 für Digitalisierungsprojekte der Bundesregierung ein zweistufiger, modularer Testansatz für Kommunikationsprotokolle vorgestellt. Er lässt sich nach dem Baukastenprinzip leicht und effektiv in Anwendungen integrieren. Dieser besteht mit der generischen Testspezifikation TR-03116-TS und mit dem im Auftrag des BSI durch achelos entwickelten Testtool „TaSK“ aus einem flexibel integrierbaren und konfigurierbaren Prüfwerkzeug. Es wird demonstriert, wie sich der generische Testansatz effizient in konkreten Digitalisierungsprojekten verwenden lässt und wie die Prüfung mit TaSK durchgeführt wird.
Mobile Endgeräte sind bei der Inanspruchnahme digitaler Dienstleistungsangebote nicht mehr wegzudenken. Gleichzeitig steigen damit die Ansprüche an die technische Sicherheit und Vertrauenswürdigkeit dieser Geräte, um die mit den digitalen Diensten und den persönlichen Daten der Nutzer verbundenen Werte angemessen zu schützen. Für die Sicherheit der Mobilfunknetze gibt es dafür seit über 30 Jahre die SIM-Technologie, welche in den nächsten Jahren zunehmend durch die eSIM ersetzt werden wird. Die eSIM-Technologie bietet sich gleichzeitig als HW-Sicherheitsplattform Plattform auch für andere Anwendungen wie eID- bzw. ID-Wallet-Funktionen an. SEs werden von Herstellern und z.B. von der Finanzwirtschaft seit einigen Jahren bereits in diesem Sinne verwendet. Meist stehen dafür aber keine offenen Standards zur Verfügung und Drittdienstleister können nicht ohne weiteres diese von den Endgeräteherstellern bereitgestellte Technologie Anspruch nehmen.
Mit dem in 2022 von der EU-Kommission bereitgestellten „Digital Markets Act“ wurde aber eine Möglichkeit geschaffen, dass die sog. „Gatekeeper“ ihre Sicherheitstechnologie – z.B. für eID-Dienstleistungen – unter bestimmten Randbedingungen zur Verfügung stellen.
Viele Hersteller setzen bereits Sicherheitselemente wie oder vergleichbar zur eSIM für die Sicherheit von Anwendungen ein. Im Rahmen der eIDAS-Novelle wird z.B. das Sicherheitsniveau „hoch“ gefordert, welches praktisch nur mit einer derartigen Sicherheitstechnologie zu erreichen ist. Hier stellt sich die Frage, wie weit die dafür erforderlichen offenen technischen Standards verfügbar sind, um derartige Sicherheitselemente für die eID-Funktion zu nutzen. Welche Anstrengungen werden unternommen, um das zu erreichen und wie schnell ist eine Verbreitung der eSIM-/SE-Technologie im Markt zu erwarten?
Das BMI hat für den Online-Ausweis bereits ein Smart eID Gesetz bereitgestellt und ein gleichnamiges Projekt zur Umsetzung gestartet. Technische Experten aus dem Standardisierungsgeschehen und Hersteller werden uns zum Stand technischen Lösungen berichten.
Im Rahmen des Zulassungsprozesses prüft das BSI unterschiedliche IT-Produkte hinsichtlich ihrer Eignung zur Verarbeitung von Verschlusssachen. Die Session betrachtet insbesondere zwei Aspekte:
Motiviert von den Herausforderungen bei der Prüfung moderner Softwarelösungen, soll das BSI-Vorhaben DUST vorgestellt werden, im Rahmen dessen die Automatisierung der Nachweiserbringung beleuchtet werden soll. Anschließend wirs die TR-02102 vorgestellt, die Empfehlungen zu ausgewählten kryptografischen Verfahren enthält.
In vielen Use-Cases ist eine Identitätsprüfung natürlicher Personen erforderlich, z.B. im Zuge einer Kontoeröffnung bei einem Kreditinstitut. In der Vergangenheit waren Identitätsprüfungen ausschließlich vor Ort möglich. Durch Vorlage eines ID-Dokumentes hat eine autorisierte Person anhand gespeicherter biometrischer Charakteristika (u.a. Gesicht) geprüft, ob es sich wirklich um die entsprechende natürliche Person handelt und das vorgelegte ID-Dokument authentisch ist. Seit einigen Jahren ist in diversen Anwendungsdomainen auch eine Fernidentifikation möglich. In diesem Fall nutzt eine natürliche Person für eine Identitätsprüfung eine Webcam oder die Kamera in einem Smartphone und ein entfernter Operator nimmt eine Identitätsprüfung auf Basis der übertragenen Videoinhalten vor. Allerdings: Eine Fernidentifikation eröffnet sowohl neue Möglichkeiten sich als eine andere natürliche Person auszugeben und schränkt die Prüfbarkeit der Authentizität eines ID-Dokumentes durch einen Operator erheblich ein.
Public-Key-Infrastrukturen (PKIen) leisten einen wichtigen Beitrag für ein vertrauenswürdiges Identitätsmanagement. Somit ist die Migration zu quantensicheren PKIen ein wesentlicher Schritt in das Post-Quanten-Zeitalter. In der Session wird die vom BSI geplante Migration zu einer quantensicheren Verwaltungs-PKI vorgestellt, am Beispiel von VPN aktuelle Entwicklungen bei der Integration von Post-Quanten-Algorithmen aufgezeigt, und Möglichkeiten zur Umsetzung agiler PKIen beschrieben.
The World of Smart ID Solutions