The World of Smart ID Solutions
Kommen Sie entspannt im Palace Hotel an und begrüßen Sie Ihre Fachkolleg:innen. Nach einem Kaffee oder Tee steigen Sie ein in die ersten Agendapunkte der OMNISECURE 2023.
IKT-Lieferketten stehen seit mehreren Jahren zunehmend unter Druck. Grund dafür sind nicht nur gezielte Cyber-Angriffe, sondern auch äußere Einflüsse wie die Corona-Pandemie oder geopolitische Veränderungen. Dies stellt eine große Gefahr für die Produktsicherheit sowie die Produktverfügbarkeit dar. Auch die Politik reagiert auf diese Entwicklungen und macht Lieferkettensicherheit zum Regulierungsthema, wie etwa in der NIS2-Richtlinie. Um all diese Unwägbarkeiten in Zukunft managen zu können, bedarf es einem unternehmensweiten Risikomanagement-Prozess speziell angepasst auf die Besonderheiten von IKT-Lieferketten – dem Cyber-Supply Chain Risk Management (C-SCRM).
Wie kann die benötigte Transparenz geschaffen, erkannte Risiken mitigiert und gleichzeitig die regulatorischen Vorgaben eingehalten werden? IKT-Lieferketten sind ein komplexes Konstrukt, dementsprechend vielfältig sind die Cybergefahren, denen sie ausgesetzt sind. Kurzum, wie kann ein ganzheitliches Cyber-Supply Chain Risk Management aufgebaut bzw. in bestehende Risikomanagementprozesse integriert werden?
Diesen Fragen wollen wir uns im Teil 2 des Barcamps widmen.
Erster Teil des Workshops
Zweiter Teil des Workshops
Hinweis:
Leider ist keine Anmeldung mehr möglich.
Ein Blick in die Kamera oder ein Druck mit dem Finger auf eine Sensoroberfläche und schon wird der Nutzer verifiziert. So oder so ähnlich sieht heutzutage eine typische Routine an Smartphones, Tablet, Notebooks oder Türschlössern aus. Biometrie bietet Chancen für eine unkomplizierte und nutzerfreundlicheAuthentisierung, die aber auch ihre Schwachpunkte, wie auch andere Authentisierungsfaktoren, mit sich bringt.
Wie werden biometrische Verifikationssysteme von Benutzern angenommen und wie gut sind diese in ihrer biometrischen Performanz und Resistenz gegenüber Präsentationsangriffen? Nationale und internationale Richtlinien und Standards definieren hierfür wichtige Anforderungen und ermöglichen eine Vergleichbarkeit der Systeme. Entsprechende Systeme werden von Herstellern entwickelt und letztendlich auf Konformität durch Prüflabore getestet.
FIDO Themen (Fast IDentity Online) gab es bereits im Rahmen dieses Kongresses, als er noch OMNICARD hieß. Waren sogenannte FIDO Authenticators bis vor kurzem aber noch ein Thema für Experten, so haben sie sich inzwischen in den Mainstream vorgearbeitet. Und sie versprechen jetzt, die Authentisierung im Online-Einkauf zu revolutionieren.
This presentation by aims at providing an overview from the standpoint of ENISA, of the current degree of fulfillment concerning draft candidate cybersecurity certification schemes; it draws links to complementary and support actions concerning standardization and it provides the prospect of new policy areas that seek to benefit from the cybersecurity certification framework.
Heute müssen alle Security-Komponenten für IT-Anwendungen wie Information Exchange Gateways, VPN-Lösungen oder Firewalls separat zugelassen und als Hardware-Gerät integriert werden. Ein Mischbetrieb verschiedener Sicherheitsdomänen auf einer gemeinsamen Server-Infrastruktur ist bisher nicht möglich. Der Ansatz einer skalierbaren, GEHEIM-zulassungsfähigen Multi-Domänen-Cloudarchitektur kann jedoch typische Cloud-Vorteile – wie etwa Skalierbarkeit auf Knopfdruck – realisieren. Zur Diskussion steht die Vision, das separat zugelassene Security-Komponenten vom Anwender aus einer Art „App-Store“ auf einem Cloud-System zulassungserhaltend integriert werden können.
Erhalten Sie einen Überblick auf den geplanten neuen Vertrauensdienst „Qualified Electronic Attestation of Attributes (QEAA)“ der anstehenden Revision der eIDAS-Verordnung, insbesondere im Zusammenspiel mit der geplanten EU-ID-Wallet.
Wie lässt sich sicherstellen dass ihre Internet-Kunden auch die Personen sind, für die sie sich ausgeben? Ohne persönlichen Kontakt benötigen Unternehmen andere Möglichkeiten, um Benutzer online zu validieren und das Risiko von Online-Identitätsbetrug oder Identitätsdiebstahl zu minimieren. Gleichzeitig müssen sie sicherstellen, dass die Kundeninteraktion möglichst einfach und schnell vollzogen wird. Der Schlüssel dazu liegt im Sammeln von ausreichenden Beweisen, indem verschiedene dynamische und statische Identitätselemente clever miteinander verknüpft werden, um legitime Kunden von Betrügern zu unterscheiden. Das Tutorial zeigt, wie eine zuverlässige Risikobewertung gelingen kann.
Im Rahmen der laufenden eIDAS Revision ist vorgesehen ein europäisches Identitätenökosystem aufzubauen, das auf der Nutzung einer sogenannten EU-DI Wallet basiert. Dazu werden parallel zu den Verhandlungen rund um den Gesetzestext in der eIDAS Expert Group die technologischen Rahmenbedingungen festgelegt, in den eIDAS Large Scale Piloten Use cases vorbereitet und durch die Europäische Kommission eine Referenzimplementierung beauftragt. Ziel dieser Session ist es den aktuellen Stand in den verschiedenen Strängen darzustellen und einen Ausblick zu geben.
Weltraumgestützte Dienste sind ein unverzichtbarer Bestandteil unseres täglichen Lebens. In den Bereichen Navigation, Kommunikation und Erdbeobachtung leisten Satelliten einzigartige Beiträge. Mit zunehmender Bedeutung und Abhängigkeit von Weltraumsystemen geht eine kontinuierliche Verschärfung der Bedrohungslage einher.
In der Session Satellitensicherheit wollen wir uns diesem Thema mit drei Vorträgen aus den Bereichen Forschung, Verwaltung und Wirtschaft widmen und Ihnen die Möglichkeit eines Angriffs, behördliche Aktivitäten zur Entwicklung von Sicherheitsanforderungen und -empfehlungen und die Sicht eines Satellitenherstellers erläutern und mit Ihnen diskutieren.
Über den Verbund der Verwaltungsportale von Bund und Ländern sind Verwaltungsleistungen aller föderalen Ebenen übergreifend erreichbar. Das ambitionierte Ziel des Onlinezugangsgesetzes (OZG), bis zum 31.12.2022 alle 575 Bündel von Verwaltungsleistungen digital bereitzustellen, wurde jedoch in Zahl und Reifegrad verfehlt. In der sicheren und nutzungsfreundlichen Umsetzung dieses größten Modernisierungsprojekts der Verwaltung ergeben sich zahlreiche Herausforderungen bei allen Beteiligten. Diesen Erkenntnissen soll nun in einem „OZG 2.0“ Rechnung getragen werden, um Hindernisse auszuräumen und Bewährtes weiterzuentwickeln.
Digitales Zentralbankgeld (CBDC) ist ein heiß diskutiertes Thema im Bereich Payment. Damit eine Einführung erfolgreich gelingen kann, sind schon beim Design eine Reihe von IT-Sicherheitsanforderungen zu berücksichtigen. Um europäische Zentralbanken bei der Gestaltung und möglichen Einführung einer digitalen Zentralbankwährung für den Euro-Raum zu unterstützen, plant das BSI Leitplanken in Form einer Technischen Richtlinie für den Betrieb einer CBDC zu setzen. Dabei liegt der Fokus auf Technologieneutralität und darauf, dass die Anforderungen für Entwickler, Betreiber und Anwender realistisch, aber dennoch wirkungsvoll sind.
Die Session gibt eine aktuelle Einführung in CBDCs; anschließend werden die aus BSI-Sicht kritischsten Punkte für eine sichere Umsetzung einer CBDC beleuchtet sowie eine erste prototypische Implementierung einer digitalen Zentralbankwährung vorgestellt.
Die Netzwerke rund um die digitale Identität bewegen und verändern sich kontinuierlich. Neue Impulse und lange Erfahrung brauchen sich gegenseitig – und müssen zueinander gebracht werden. Auch der Vorabend des Kongresses dient ganz dieser Aufgabe: In Kooperation mit dem Digital Society Institut DSI sind Sie eingeladen zum ersten Come Together der Referenten und Teilnehmenden.
Der Abend wird musikalisch begleitet von KellerJäzz + Guests.
Hotel Palace
Budapester Straße 45 – 10787 Berlin
Was treibt die digitale Verwaltung voran? Welche Maßnahmen haben sich als wirkungsvoll erwiesen, die Digitalisierung zu beschleunigen, und welche sind geplant? Markus Richter führt zu den neuen Entwicklungen und Vorhaben im Bereich OZG und Digitale Identitäten aus.
In der aktuellen geopolitischen Lage und unter den damit einhergehenden Bedrohungen für die nationale Sicherheit und staatliche und andere kritische Infrastrukturen ist Geheimschutz wichtiger denn je. Die ihm unterliegenden, sogenannten ‚sicherheitsempfindlichen Tätigkeiten‘, sind im Sicherheitsüberprüfungsgesetz definiert.
Staat und Wirtschaft erfüllen diese gemeinsam. Viele dieser Tätigkeiten werden durch Fachkräfte der Wirtschaft ausgeführt und finden sowohl in Liegenschaften der Länder und des Bundes als auch bei Firmen statt.
Geheimschutz in der Verwaltung ist durch die Verschlusssachenanweisung des Bundes (VSA) geregelt, in der Wirtschaft durch das Geheimschutzhandbuch für die Wirtschaft (GHB).
Beide Vorschriften regeln den Schutz der Verschlusssachen aus unterschiedlichen Perspektiven und lassen außer Acht, dass sich Wirtschaft und Verwaltung in wichtigen Punkten, beispielsweise dem Grad der Digitalisierung und Arbeitsteilung, mit unterschiedlichen Geschwindigkeiten weiterentwickelt und sich dabei auseinandergelebt haben. Stark verteilte Zuständigkeiten hindern Effizienz und Kontrolle.
Wir benötigen wieder einen ganzheitlichen Blick auf den Geheimschutz. Daher wollen wir in der Runde die Gründung einer Initiative Geheimschutz diskutieren, die hierzu einen wichtigen Betrag leisten kann
• Schaffung einer regelmäßigen Austauschplattform für Sicherheitsbeauftragte der Verwaltung und Sicherheitsbevollmächtigte für den Geheimschutz der Wirtschaft
• Verwaltung und Wirtschaft haben unterschiedliche Schnittstellen und Prozesse – Motivation und gegenseitiges Verständnis fördern
• Weiterentwicklung von Prozeduren [um Friktionen abzubauen]
• Digitalisierung der Governance der Geheimschutzverfahren
• Zuständigkeiten
• Gesamtheitlich: Gemeinsame Stärkung der nationalen Sicherheit durch Verbesserung des Geheimschutzes
Governments, organizations and individuals all want to achieve digital sovereignty, i.e control their own digital destiny and digital identity is the cornerstone of this digital sovereignty. There are many challenges ahead to ensure the successful rollout of a digital identity framework that will meet the high expectations on security, convenience, interoperability, etc… We will review these challenges and how they could be resolved based on Thales experience. We will also look in the future and see how digital identity framework could be leveraged in other valuable use cases, like IoT.
Nicht zuletzt durch die Coronapandemie hat das Thema Online-Wahlen und Online-Abstimmungen an Bedeutung gewonnen. Im Mai 2023 finden die Sozialwahlen, eine der größten Wahlen in Deutschland, erstmals auch online statt. Diese werden einen Meilenstein darstellen. Doch auch andere Verordnungsgeber erlauben zukünftig Online-Wahlen, so z. B. die Wahl zur Gleichstellungsbeauftragten in Behörden. Um eine sichere Online-Wahl durchzuführen, ist IT-Sicherheit essentiell, um das Vertrauen der Wähler in eine elektronische Wahl herzustellen und die Wahlrechtsgrundsätze einzuhalten. Eine Rolle spielt dabei die Ende-zu-Ende-Verifizierbarkeit, mit der Außenstehende nachvollziehen können, ob die Wahl korrekt abgelaufen ist. Es drängen immer mehr Anbieter auf den Markt. Mit einem Schutzprofil und einer Technischen Richtlinie möchte das BSI Wahlverantwortliche bei der Auswahl des Produktes und weiteren Fragestellungen unterstützen.
Lebendige App-Ökosysteme bilden den Brennpunkt in dem sich die Leistungsfähigkeit moderner Smartphones und Tablets zielgerichtet auf die Anforderungen der Nutzer fokussiert. Die Evaluierung und der Einsatz von Plattform-Sicherheitsmechanismen legen den entscheidenden Grundstein für eine skalierbare Entwicklung sicherer Apps, durch die ein weites Funktionsspektrum auch für den VS-NfD konformen Einsatz in der Bundesverwaltung erschlossen werden kann.
Im Jahre 2022 wurde die Technische Sicherheitseinrichtung (TSE) eingeführt. Hinter dem kühlen Begriff verbirgt sich ein heiß diskutiertes Thema: Die Kenntlichmachung von Umsatzsteuerhinterziehungen (so sagt es der Laie, der Profi nennt es Umsatzsteuerverkürzung):
Mit Hilfe der TSE werden Kassendaten kryptographisch sicher signiert und abgespeichert. Ab dem Zeitpunkt der Absicherung wird jede Manipulation an den Geschäftsdaten sichtbar. Das abendliche Frisieren der Umsätze ist nicht mehr möglich.
Nach der erfolgreichen Einführung der TSE bei den Kassen, jeder sieht heute beim Einkauf die Daten der TSE auf dem Kassenbon, wird ab 2024 ein weiteres Feld in Angriff genommen: Die Taxameter. Auch hier wird die TSE für eine Absicherung der Aufzeichnungen sorgen.
In der Session wird das Thema TSE kurz und knapp erklärend wiederholt und Vertreter der TSE-Hersteller und der Finanzverwaltung bringen interessante Einblicke in die den Markt der Absicherung und die Welt der Steuerhinterziehung.
Nach einem interaktiven Einstieg wird das Publikum Teil einer Fishbowl, in der die Erkenntnisse von IT-Sicherheitsuntersuchungen im Gesundheitswesen vorgestellt und auf derer Basis das aktuelle Cyber-Sicherheit Niveau erläutert wird.
Abgerundet wird der Workshop durch einem Impulsvortrag über die Technische Richtlinie für vernetzte Medizinprodukte.
Quantencomputer werden immer leistungsfähiger. Das BSI und andere IT Sicherheitsbehörden gehen inzwischen sicherheitshalber davon aus, dass der Q-Day (Zeitpunkt, ab dem aktuell eingesetzte Krypto-Verfahren geknackt werden können) bereits in einem Jahrzehnt Realität werden wird. Unternehmen und Behörden müssen sich daher Gedanken machen, wie sie auf Post-Quanten-Kryptografie migrieren. Dieses Tutorial zeigt die wichtigsten Punkte, die der Betreiber eines IT Systems bei einer solchen Migration beachten muss.
Der BSI IT-Grundschutz ist eine etablierte Methodik zur ganzheitlichen Umsetzung von Informationssicherheit. Der Einstieg wird von kleinen Institutionen häufig als Hürde angesehen. Das BSI entwickelt daher einen vereinfachten Einstieg in den IT-Grundschutz. Mittels Prüffragen sollen ohne tiefere Kenntnis der Methodik Sachstände zur Informationssicherheit erhoben und Maßnahmen identifiziert werden.
Große Digitalisierungsprojekte in Deutschland werden häufig sehr negativ von der Zivilgesellschaft begleitet. Dies liegt zum Teil auch daran, dass der öffentlichen Hand nur wenig Kompetenz im Bereich Digitalisierung zugeschrieben wird, gerade bei den Themen Datenschutz und Datensicherheit. Im Tutorial sollen die Gründe hierfür und deren Folgen beleuchtet und vor allem entsprechende Handlungsempfehlungen abgeleitet werden.
atsec und Kernkonzept berichten über Chancen und Herausforderungen aus der Evaluierung des Open-Source-Betriebssystems L4Re unter Verwendung des VS-Anforderungsprofils ‚Separation Kernel‘ mit dem Ziel einer CC-Zertifizierung. 1997 entstand L4Re an der TU Dresden und wird auch heute noch als Open-Source-Software von Kernkonzept als Maintainer weiterentwickelt.
Wie funktioniert INDIGO für den Nutzer und welche IT-Infrastruktur brauchen Unternehmen und Organisationen dafür? Mit „INDIGO – iOS Native Device In Government Operation“ bietet Apple Inc. seit kurzem ein IT-Sicherheitsprodukt, das die Verarbeitung und Übertragung von VSNfD-eingestuften Informationen mit iPhone und iPad erlaubt. Die Apple Geräte iPhone und iPad zeichnen sich aufgrund des geschlossenen Ökosystems „Hardware und Betriebssystem aus einem Haus“ schon seit Jahren durch hohe Datensicherheit aus. Dank dem Fokus auf den Konsumenten gelten iPhone und iPad außerdem auch als einfach bedienbar.
Vor einigen Jahren wurde viel über die Wallet gesprochen, auch auf diesem Kongress. Und klar, Beispiele wie das Apple Wallet haben in einem engen Rahmen erfolgreich vorgelebt, was ein Wallet sein könnte … und dann hat sich Payment anderen Themen zugewendet.
In 2023 spricht nun aber plötzlich wieder jeder von der Wallet. Und teilweise mit einem klareren Fokus, warum Banken das Thema für sich besetzten müssten.
Etliche Verwaltungsleistungen wurden in den vergangenen Jahren digitalisiert und für Bürgerinnen und Bürger online zur Verfügung gestellt. Dabei spielt die elektronische Identität eine große Rolle. Nutzerkonten und der Online-Ausweis sind hier probate Mittel, wenn auch noch nicht flächendeckend bei allen Bürgerinnen und Bürgern im Einsatz. Darüber hinaus nehmen die Anforderungen an interne Mit- und Freizeichnungsprozesse mit Workflows zu, um auch Verwaltungsintern optimal agieren zu können: mit und ohne Hardware. Das Tutorial erläutert wie das Portfolio des IT-Planungsratsprodukts „Anwendung Governikus“ diese Prozesse unterstützen kann.
In der heutigen digitalen Gesellschaft ist Vertrauen eine der komplexesten Herausforderungen. Da Vertrauen nicht mehr auf persönlichem Kontakt basiert, müssen Unternehmen digitale Prozesse implementieren, die sicherstellen, dass Nutzer, (intelligente) Geräte und Anwendungen das sind, was sie vorgeben zu sein. Das Tutorial bietet wertvolle Einblicke, wie vertrauenswürdige Umgebungen geschaffen werden können, um die gesamte digitale Infrastruktur vor Bedrohungen zu schützen. Im Sinne von „never trust, always verify“ soll aufgezeigt werden, wie automatisierte Authentifizierungsprozesse aufgebaut werden können – von der Enklavensicht, die intelligenten Komponenten wie Steuergeräte, Mikrochips oder RFID-Tags umfasst, bis hin zur ganzheitlichen Sicht, die das Vertrauen in ein ganzes Ökosystem wie Smart Cities oder Fertigungsanlagen sicherstellt. Darüber hinaus wird betrachtet, wie schon heute eine sichere Umgebung gegen Quantencomputer-Angriffe aufgebaut werden kann.
Das Tutorial richtet sich an Sicherheitsexperten und IT-Entscheidungsträger, die sich über die neuesten Trends und Best Practices beim Aufbau vertrauenswürdiger Umgebungen informieren möchten.
Die ETSI EN 303 645 definiert Anforderungen für ein Mindestmaß an Cyber-Sicherheit aller Consumer IoT Geräte. Die zugehörige Prüfspezifikation ETSI TS 103 701 legt fest, wie eine Konformitätsbewertung von IoT-Produkten für Verbraucherinnen und Verbraucher anhand der Anforderungen der EN 303 645 durchgeführt werden kann.
Die Vorträge geben einen Überblick über die Standards, stellen das nationale IT-Sicherheitskennzeichen vor und betrachten vergleichbare internationale Aktivitäten auf Basis der vorgestellten Standards. Die europäischen Regulierungsbestrebungen zur verpflichtenden Umsetzung von Cybersicherheitsanforderungen aus Sicht eines Herstellenden runden die Session ab.
Lebendige App-Ökosysteme bilden den Brennpunkt in dem sich die Leistungsfähigkeit moderner Smartphones und Tablets zielgerichtet auf die Anforderungen der Nutzer fokussiert. Die Evaluierung und der Einsatz von Plattform-Sicherheitsmechanismen legen den entscheidenden Grundstein für eine skalierbare Entwicklung sicherer Apps, durch die ein weites Funktionsspektrum auch für den VS-NfD konformen Einsatz in der Bundesverwaltung erschlossen werden kann.
Das vom Bundesministerium für Wirtschaft und Klimaschutz geförderte Schaufensterprogramm Sichere Digitale Identitäten misst Halbzeit. Vier interdisziplinäre Konsortien mit jeweils über 50 Partnern, vereinen Wirtschaft, Wissenschaft und Verwaltung. In Modellregionen in ganz Deutschland werden offene, interoperable und einfach nutzbare ID-Lösungen entwickelt und anwendungsnah erprobt. In dem einstündigen Panel erhalten Sie einen Einblick zu den bisher erzielten Erfolgen, insbesondere hinsichtlich der Governance von ID-Ökosystemen (Hausmeisterei), der technischen Interoperabilität, der Einwirkung auf europäischer Ebene und der Umsetzung verschiedenster Use Cases.
Mobile Endgeräte sind bei der Inanspruchnahme digitaler Dienstleistungsangebote nicht mehr wegzudenken. Gleichzeitig steigen damit die Ansprüche an die technische Sicherheit und Vertrauenswürdigkeit dieser Geräte, um die mit den digitalen Diensten und den persönlichen Daten der Nutzer verbundenen Werte angemessen zu schützen. Für die Sicherheit der Mobilfunknetze gibt es dafür seit über 30 Jahre die SIM-Technologie, welche in den nächsten Jahren zunehmend durch die eSIM ersetzt werden wird. Die eSIM-Technologie bietet sich gleichzeitig als HW-Sicherheitsplattform Plattform auch für andere Anwendungen wie eID- bzw. ID-Wallet-Funktionen an. SEs werden von Herstellern und z.B. von der Finanzwirtschaft seit einigen Jahren bereits in diesem Sinne verwendet. Meist stehen dafür aber keine offenen Standards zur Verfügung und Drittdienstleister können nicht ohne weiteres diese von den Endgeräteherstellern bereitgestellte Technologie Anspruch nehmen.
Mit dem in 2022 von der EU-Kommission bereitgestellten „Digital Markets Act“ wurde aber eine Möglichkeit geschaffen, dass die sog. „Gatekeeper“ ihre Sicherheitstechnologie – z.B. für eID-Dienstleistungen – unter bestimmten Randbedingungen zur Verfügung stellen.
Viele Hersteller setzen bereits Sicherheitselemente wie oder vergleichbar zur eSIM für die Sicherheit von Anwendungen ein. Im Rahmen der eIDAS-Novelle wird z.B. das Sicherheitsniveau „hoch“ gefordert, welches praktisch nur mit einer derartigen Sicherheitstechnologie zu erreichen ist. Hier stellt sich die Frage, wie weit die dafür erforderlichen offenen technischen Standards verfügbar sind, um derartige Sicherheitselemente für die eID-Funktion zu nutzen. Welche Anstrengungen werden unternommen, um das zu erreichen und wie schnell ist eine Verbreitung der eSIM-/SE-Technologie im Markt zu erwarten?
Das BMI hat für den Online-Ausweis bereits ein Smart eID Gesetz bereitgestellt und ein gleichnamiges Projekt zur Umsetzung gestartet. Technische Experten aus dem Standardisierungsgeschehen und Hersteller werden uns zum Stand technischen Lösungen berichten.
Dieses Tutorial liefert einen Einblick in die Nutzung von Architectural Thinking bei Herausforderungen im Design und schrittweisen Ausrollen des „Einer für Alle“ Dienstes „elektronische Wohnsitzanmeldung“ (eWA). Die Projektleitung aus der Senatskanzlei Hamburg sowie Forschende der Universität Hamburg stellen eine zentrale Visualisierung zur fachlichen, technischen und juristischen Abstimmung im eWA-Ökosystem vor und werben für die Nachnutzung des Ansatzes.
Durch die Einbindung von Cloud-Service-Anbietern für die Deutsche Verwaltung ändern sich die Verbindungsanforderungen und die Umsetzung der Sicherheitsanforderungen innerhalb eines Informationsverbundes. Beide Ziele, die Nutzer Orientierung durch performanten Zugang zu Fachanwendungen aus den Cloud-Services und die sichere Verbindung mit der kontinuierlichen Durchsetzung der Sicherheitsvorgaben, werden durch moderne Netzwerk Architekturen ermöglicht. Gleichzeitig wird die Dynamik der Lagenfähigkeit durch Software Definierte Netzwerke ermöglicht. Wir besprechen die notwendigen Plattform Fähigkeiten zum Betrieb des Netzwerkes und der Sicherheitskontrollpunkte, die einen sicheren und automatisierten Betrieb ermöglichen.
Willkommen zu unserer Open End Kontaktbörse mit großem Buffet. Musikalisch wird der Abend begleitet vom Bad Boys Club 46.
Auf Basis der eIDAS Verordnung aus dem Jahre 2014 ist es gelungen, in Europa einen weitgehend harmonisierten Binnenmarkt für qualifizierte Vertrauensdienste zu schaffen. Allerdings sind die Einsatzpotenziale von elektronischen Siegeln, Zustell- und Bewahrungsdiensten in vielen Bereichen der (deutschen) Wirtschaft und Verwaltung noch gering entwickelt.
In diesem Panel wird erörtert, welche Rolle die Europäische und nationale Regulatorik dabei spielt und welche neuen Chancen und Herausforderungen durch die Novellierung der eIDAS Verordnung entstehen können. Zuvor wird über den Stand der Implementierung von Vertrauensdiensten in Deutschland aus regulatorischer Sicht sowie über Erfahrungen aus der Auditpraxis berichtet.
Quantencomputer haben erhebliche Auswirkungen auf heute eingesetzte kryptographische Verfahren. In der Session wird der aktuelle Stand der Forschung zu diesem Thema dargestellt und entsprechende Handlungsempfehlungen abgeleitet.
Der Druck auf die Digitalisierung in der öffentlichen Verwaltung steigt fortlaufend. Neben der Bereitstellung der digitalen Dienste müssen vielfältige Gesetze und Sicherheitsvorgaben umgesetzt werden. Traditionelle Sicherheitskonzepte halten mit der benötigten Innovationsgeschwindigkeit der Digitalsieriung aktuell nicht Schritt. Im Vortrag wird ein Lösungsweg skizziert wie traditionelle Sicherheitskonzept durch ZeroTrust Architekturen die Verwaltungsdigitialsierung nicht verhindern, sondern fördern können!
Zusammen mit der Hochschule Bonn-Rhein-Sieg (H-BRS) betreibt das BSI das Biometrie-Evaluations-Zentrum (BEZ) auf dem Campus der Hochschule in St. Augustin. Das BEZ vereint unter einem Dach die praktische Evaluierung biometrischer Systeme als auch anwendungsbezogene Forschung und Entwicklung, um biometrische Verfahren nachhaltig sicherer und zuverlässiger zu gestalten. Das BEZ ist mit umfangreichem technischem Equipment ausgestattet um biometrische Systeme hinsichtlich ihrer Performanz, ihrer Schwachstellen und ihrer Usability eingehend zu untersuchen. Dieser Workshop gibt einen Einblick in die Arbeit des BSI mittels virtuellem Rundgang.
Expertendialog über eine viel diskutierte Frage: Haben etablierte zentrale PKI bzw. neue dezentrale PKI (wie z.B. Blockchain basierte Ansätze) die gleiche Berechtigung bei der Umsetzung wallet- basierter Lösungen zur Umsetzung digitaler Identitäten in Europa? Wie flexibel müssen technische Architekturen gestaltet werden, um auch hybride Konzepte bei der Integration von Issuer und Verifier zu unterstützen? Welche Anforderungen stellt das Architecture Reference Framework der EU und wie passt das alles zum EU Digital Wallet?
Die sichere und interoperable Ausgestaltung von Kommunikationsverbindungen ist essentiell für eine erfolgreiche Digitalisierung. So sind Kommunikationskanäle häufig Ziel von Cyberangriffen und müssen geeignet geschützt werden. Demgegenüber ist die Entwicklung von anwendungspezifischen Prüfumgebungen kosten-, zeit- und pflegeintensiv.
In dem Workshop wird anhand des TLS-Protokolls und den Sicherheits- und Interoperabilitätsvorgaben der Technischen Richtlinie TR-03116 für Digitalisierungsprojekte der Bundesregierung ein zweistufiger, modularer Testansatz für Kommunikationsprotokolle vorgestellt. Er lässt sich nach dem Baukastenprinzip leicht und effektiv in Anwendungen integrieren. Dieser besteht mit der generischen Testspezifikation TR-03116-TS und mit dem im Auftrag des BSI durch achelos entwickelten Testtool „TaSK“ aus einem flexibel integrierbaren und konfigurierbaren Prüfwerkzeug. Es wird demonstriert, wie sich der generische Testansatz effizient in konkreten Digitalisierungsprojekten verwenden lässt und wie die Prüfung mit TaSK durchgeführt wird.
Im Rahmen des Zulassungsprozesses prüft das BSI unterschiedliche IT-Produkte hinsichtlich ihrer Eignung zur Verarbeitung von Verschlusssachen. Die Session betrachtet insbesondere zwei Aspekte:
Motiviert von den Herausforderungen bei der Prüfung moderner Softwarelösungen, soll das BSI-Vorhaben DUST vorgestellt werden, im Rahmen dessen die Automatisierung der Nachweiserbringung beleuchtet werden soll. Anschließend wirs die TR-02102 vorgestellt, die Empfehlungen zu ausgewählten kryptografischen Verfahren enthält.
In vielen Use-Cases ist eine Identitätsprüfung natürlicher Personen erforderlich, z.B. im Zuge einer Kontoeröffnung bei einem Kreditinstitut. In der Vergangenheit waren Identitätsprüfungen ausschließlich vor Ort möglich. Durch Vorlage eines ID-Dokumentes hat eine autorisierte Person anhand gespeicherter biometrischer Charakteristika (u.a. Gesicht) geprüft, ob es sich wirklich um die entsprechende natürliche Person handelt und das vorgelegte ID-Dokument authentisch ist. Seit einigen Jahren ist in diversen Anwendungsdomainen auch eine Fernidentifikation möglich. In diesem Fall nutzt eine natürliche Person für eine Identitätsprüfung eine Webcam oder die Kamera in einem Smartphone und ein entfernter Operator nimmt eine Identitätsprüfung auf Basis der übertragenen Videoinhalten vor. Allerdings: Eine Fernidentifikation eröffnet sowohl neue Möglichkeiten sich als eine andere natürliche Person auszugeben und schränkt die Prüfbarkeit der Authentizität eines ID-Dokumentes durch einen Operator erheblich ein.
Public-Key-Infrastrukturen (PKIen) leisten einen wichtigen Beitrag für ein vertrauenswürdiges Identitätsmanagement. Somit ist die Migration zu quantensicheren PKIen ein wesentlicher Schritt in das Post-Quanten-Zeitalter. In der Session wird die vom BSI geplante Migration zu einer quantensicheren Verwaltungs-PKI vorgestellt, am Beispiel von VPN aktuelle Entwicklungen bei der Integration von Post-Quanten-Algorithmen aufgezeigt, und Möglichkeiten zur Umsetzung agiler PKIen beschrieben.
Definitiv die nun letzte Gelegenheit für einen kurzen Austausch mit Fachkolleg:innen bei einem Kaffee. Das war’s. Wir sehen uns schon bald wieder:
OMNISECURE 2024 vom 22. bis 24. Januar
The World of Smart ID Solutions
