Den ganzen Artikel lesen Sie unter http://www.heise.de/security/meldung/Hacker-liest-Kryptoschluessel-aus-TPM-Chip-aus-926883.html

Weitere Informationen zu TPM: http://de.wikipedia.org/wiki/Trusted_Platform_Module

Durch den Einsatz gefälschter Debitkarten, auf die die erlangten deutschen Kartendaten aufgebracht werden, entstand nach Schätzungen des Bundeskriminalamts (BKA) ein Schaden in Höhe von über 40 Millionen Euro. Schwerpunkte der Geldautomaten-Manipulationen liegen in Nordrhein-Westfalen, Baden-Württemberg und Bayern.

Um dem Missbrauch von gefälschten Debitkarten vorzubeugen, wurden im Jahr 2008 im Auftrag der Firma EURO-Kartensysteme (EKS) von den deutschen Banken und Sparkassen über 160.000 Kartendaten (2007: ca. 80.000) gesperrt. Der dadurch verhinderte potenzielle Schaden bewegt sich laut Angaben der EKS im dreistelligen Millionenbereich.
Im Ausland wurden im Jahr 2008 insgesamt 514 (2007: 332) Geldautomaten und/oder POS-Terminals (Zahlungskarten-Lesegeräte) festgestellt, an denen deutsche Kartendaten abgegriffen worden waren.
Europäische Schwerpunktländer für den Einsatz gefälschter Debitkarten mit deutschen Kartendaten waren Italien, Rumänien, die Niederlande, Frankreich und die Türkei. In diesen fünf Ländern wurden ca. 75% aller gefälschten Debitkarten eingesetzt.
Außerhalb Europas kamen die Karten vorwiegend in Südafrika, Brasilien, Marokko, den USA sowie Namibia zur Anwendung – ca. 9% aller Einsätze.

Tipps des BKA, um sich effektiv vor Schäden zu schützen:

* Sofern Sie im Besitz von mehreren Zahlungskarten sind, sollten Sie den Türöffner eines Kreditinstituts nicht mit der Karte betätigen, mit der Sie anschließend die Transaktion am Geldautomaten durchführen möchten.
* Verdecken Sie die Eingabe der PIN/Geheimzahl, indem Sie die Hand oder Geldbörse als Sichtschutz dicht über die Tastatur halten. Dies erschwert ein Ausspähen der Geheimzahl erheblich.

Darüber hinaus gilt grundsätzlich:

* Notieren Sie niemals die PIN/Geheimzahl – speziell nicht auf der Zahlungskarte.
* Geben Sie niemals an einem Geldautomaten mehrfach die PIN/Geheimzahl ein, wenn Sie von einer Ihnen unbekannten Person dazu aufgefordert werden.
* Geben Sie die Zahlungskarte nicht aus der Hand und überlassen Sie diese keinem Dritten.
* Melden Sie verdächtige Vorgänge der Polizei oder dem Kreditinstitut vor Ort. Lassen Sie im Zweifelsfall bereits frühzeitig die Zahlungskarte sperren.
* Bewahren Sie die Belege auf. Dies erleichtert im Schadensfall die Arbeit der Polizei.

Die komplett überarbeitete Version 2.0 der Common-PKI ist jetzt vom T7 e.V., dem Berufsverband der Trustcenterbetreiber und dem TeleTrusT Deutschland e.V. unter www. common-pki.org veröffentlicht worden. Eine Überarbeitung wurde notwendig, weil “Common-PKI” auf einer Reihe von internationalen Standards und Request for Comment (sogenannten. RFCs) basiert, die in den vergangenen Jahren weiter entwickelt oder abgelöst wurden. Auch der Stand der Technik bei den Kryptoverfahren hat sich weiterentwickelt und wurde in der neuen Version 2.0 berücksichtigt. Eingeflossen in die nun veröffentlichte neue Version sind neben den Erkenntnissen der Zertifizierungsdienstanbieter auch die Ergebnisse aus der Kommentierungsphase mit den zahlreichen Common PKI Experten. Common PKI ist eine Spezifikation, die von den Erfahrungen der anerkannten Experten und Anwender profitiert. Begleitet vom Common PKI Board, das die Weiterentwicklung der Spezifikation überwacht, wurden alle notwendigen Änderungsanforderungen gesammelt und nun in die jetzt veröffentlichte Version 2.0 eingearbeitet.

Eine wesentliche Erweiterung erfährt die nun veröffentlichte Spezifikation mit der Common PKI Signatur API. Die Common PKI Signatur API basiert auf der eCardAPI Spezifikation des Bundes, ist aber weniger komplex, da sie sich auf die Anwendung der Qualifizierten Elektronischen Signatur (QES) beschränkt, sie ist performanter und bedient die Besonderheiten der QES. Insbesondere bereits bestehende Anwendungen (z.B. Warenwirtschaft, Dokumentenmanagement) können nun leicht und in einheitlicher Form von den Anbietern um die Funktionen der QES ergänzt werden. Die API wurde zusammen mit Firmen entworfen, die diese als Anwendungsentwickler umsetzen und sich derzeit bereits in einem fortgeschrittenen Stadium der Implementation befinden: Die ersten Implementierungen der Common PKI Signatur API werden noch diesen Monat erwartet.

Common PKI ist eine allgemeine Interoperabilitäts-Spezifikation rund um die Nutzung von elektronischen Signaturen und die Kopplung an starke Verschlüsselungs- und Authentisierungsverfahren. Als Interoperabilitäts-Spezifikation ist Common PKI noch unter altem Namen z.B. in SAGA als verbindliche Norm für Bundesprojekte und eGovernment festgeschrieben (www.kbst.bund.de/saga). Die Anforderungen von Common PKI werden beispielsweise bei der elektronischen Gesundheitskarte umgesetzt. Aber auch die stetig zunehmende Zahl von qualifiziert signierten elektronischen Rechnungen in Deutschland folgt dieser Vorgabe. Mit der neuen Version 2.0 schreibt Common PKI als wichtige Sammlung und Profilierung der relevanten internationalen Standards diese Entwicklung fort.
Insgesamt spiegelt Common PKI den aktuellen Stand auf dem Gebiet der Public Key Infrastructures wider und ist damit bestens gerüstet für eine deutliche Zunahme von elektronischen Geschäftsvorfällen, wie sie durch Projekte wie die elektronische Gesundheitskarte und den Heilberufsausweis, den elektronischen Personalausweis oder das ELENA -Verfahren zu erwarten ist.

Common PKI Spezifikation
Die Common PKI Spezifikation beschreibt ein Profil über international verbreitete und anerkannte Standards bei elektronischen Signaturen, Verschlüsselung und Public Key Infrastrukturen. Im Oktober 2001 ist die Spezifikation (letzte veröffentlichte Version 2.0 vom 20 .01.2009) gemeinsam von T7 und TeleTrusT erstmalig verabschiedet worden. Da sowohl Signatur-Anwendungsanbieter als auch Trustcenter-Betreiber an der Erarbeitung der Spezifikation beteiligt waren, wird diese von den führenden deutschen Produktentwicklern und Lösungsanbietern im eBusiness und eGovernment unterstützt.

www.common-pki.org

Geschäftsstelle:
T7 e.V. – Geschäftsstelle
Wilhelmstraße 40-42
53111 BONN
+49.228.926165170
T7 e.V.

Der T7 e.V. ist die Arbeitsgemeinschaft von Trustcenterbetreibern und Zertifizierungsdiensteanbietern. Seine Mitglieder sind Herausgeber von Chipkarten und Zertifikaten, die eine Voraussetzung für qualifizierte elektronische Signaturen nach dem deutschen Signaturgesetz sind. T7-Mitglieder sind D-Trust GmbH, DATEV eG, Deutsche Post Com GmbH, Deutscher Sparkassen Verlag GmbH, Deutsche Telekom AG und TC TrustCenter GmbH. Die seit 1999 bestehende Arbeitsgemeinschaft ist seit Januar 2005 ein eingetragener Verein und Berufsverband. Dieser vertritt die Interessen der deutschen Trustcenterbetreiber und fördert die Anwendungsmöglichkeiten und die Anwendungsfreundlichkeit der qualifizierten elektronischen Signatur.
In diesem Zusammenhang stellt der T7 e.V. unter der Adresse www.t7ev.org u.a. eine Informationsplattform zur Verfügung, die sämtliche öffentlichen Spezifikationen zugänglich macht. Anwendungsentwickler und Anbieter können dort Informationen zur Einbindung von Signaturkarten abrufen. Unter www.signaturauskunft.de stellt T7 e.V. eine öffentliche Datenbank mit den aktuellen Akzeptanzstellen für die qualifizierte elektronische Signatur bereit.

www.t7ev.org

Vorstände:
Dr. Rüdiger Mock-Hecker, Michael Leistenschneider

Vereinssitz:
T7 e.V.
Kommandantenstraße 15
10969 Berlin

Geschäftsführer:
Marcus Belke
TeleTrusT Deutschland e.V. – Verein zur Förderung der Vertrauenswürdigkeit von Informations- und Kommunikationstechnik

TeleTrusT hat das Ziel, vertrauenswürdige und verlässliche Rahmenbedingungen für den Einsatz von Informations- und Kommunikationstechnik zu schaffen. Seit der Gründung im Jahr 1999 entwickelte der gemeinnützige Verein sich zu einem weithin bekannten und geachteten Kompetenznetzwerk in Fragen der IT-Sicherheit in Deutschland und Europa. Heute vertritt TeleTrusT mehr als 85 Mitglieder aus Industrie, Wissenschaft und Forschung sowie Behörden.
Die Mitglieder engagieren sich in Projektgruppen zu aktuellen Fragestellungen der IT-Sicherheit und des Sicherheitsmanagements und profitieren vom gegenseitigen Know-how-Austausch und gemeinsamen Projekten. Die von TeleTrusT als Projekt betriebene European Bridge CA stellt mittlerweile über 700.000 Public-Key-Zertifikate der angeschlossenen Teilnehmer für sichere eMail Kommunikation im Internet zur Verfügung. Mit dem von TeleTrusT eingeführten T.I.S.P.-Zertifikat können Experten sich ihre profunden Kenntnisse in der IT-Sicherheit attestieren lassen. www.teletrust.de

Vorstand:
Prof. Dr. Norbert Pohlmann (Vors.)
Michael Leistenschneider (Stv. Vors.)
Dr. Rainer Baumgart
Ammar Alkassar

Geschäftsführer:
Dr. Günther Welsch

Geschäftsstelle:
TeleTrusT Deutschland e.V.
Chausseestraße 17
10115 Berlin
+49.30.40054310

http://www.openPR.de/news/274373/Version-2-0-der-Common-PKI-Spezifikation-veroeffentlicht.html

Der Markt
Vor bald 30 Jahren war die vorausbezahlte Telefonkarte das Werkzeug der Zeit, die damaligen Münzfernsprecher gegen räuberischen Vandalismus zu schützen. Damit begann das erfolgreiche Vordringen der Chipkarte als tragbarer, sicherer und persönlicher Datenträger. Heute – in Milliarden Stück pro Jahr verkauft und auf allen Kontinenten im Rahmen vieler Anwendungen im Einsatz – genießen die Karten weltweites Vertrauen.

Die Kartenhersteller, die einem Bonmot zufolge „intelligentes Plastik nach Gewicht“ verkauften, sind inzwischen Teil einer weit verzweigten Industrie, die intelligente und sichere Datenträger sowie deren Lesegeräte in unterschiedlichen Formen und Leistungsstufen anbietet.

Im Mittelpunkt der Aufmerksamkeit aber stehen seit einigen Jahren anspruchsvolle Systemlösungen, die „smart secure solutions“, die sich nicht mehr auf den Formfaktor „Karte“ beschränken: Aufgrund der komplexen Nutzer- und Sicherheitsanforderungen, der Anwendungsarchitekturen, der Vernetzung vieler Lieferanten und Systempartner sind aufwendige Projekte zu steuern. Und dieses unabhängig davon, ob die Anwendung z. B. im Gesundheitsbereich, im Handel und Zahlungsverkehr, in der Logistik oder der öffentlichen Verwaltung Verbesserungen erzielen soll.

Der Kongress
Im Januar jedes Jahres empfängt das Berliner Grand Hotel Esplanade die “Smart Card / Smart Object Community” zu ihrem Jahreskongress. OMNICARD bietet die überzeugende jährliche Plattform für einen regelmäßigen Wissens- und Erfahrungsaustausch, den Hunderte Fach- und Führungskräfte der Kunden, Chipproduzenten, Kartenhersteller, Maschinenlieferanten, Terminalanbieter, Regulierungsbehörden, Standardisierungsgremien, Systemintegratoren, Wissenschaftler, Verbandsvertreter, Berater, Politiker und Journalisten seit 14 Jahren schätzen.

OMNICARD ist die mit Abstand bedeutendste Veranstaltung ihrer Art in Mitteleuropa. Sie besetzt dank des weltweiten Ansehens und der erstklassigen Referenten aus dem In- und Ausland eine Spitzenposition unter den IT-Veranstaltungen in Europa.

Das Angebot
Einheit von Zeit, Ort und Handeln: Das Hotel genießt einen untadeligen Ruf. Unter seinem Dach vereinen wir die Fachausstellung, alle Vorträge und Workshops; nahezu alle Begegnungen finden hier statt oder werden angebahnt. Zugleich nutzen die meisten Teilnehmer das Vorzugsangebot der komfortablen Hotelunterbringung zu angemessenen Preisen.

OMNICARD ist Kontaktbörse: Drei volle Tage und zwei Abende bis spät in die Nacht knüpfen die Teilnehmer neue Kontakte und pflegen frühere Bekanntschaften. Diese drei Tage schaffen einen umfassenden Überblick über neue Anwendungen, Gefahren und Lösungen, Technologietrends, Fortschritte oder Verzögerungen in bekannten, richtungsweisenden Projekten. Fehlschläge, Ideen oder relevante Gesetzgebungsvorhaben werden diskutiert. OMNICARD bietet eine Fülle von Denkanstößen sowie die Begegnung mit national und international bekannten Experten, deren Kontaktdaten eine Bereicherung Ihrer Adressdatei bilden und Chancen für neue Kooperationen eröffnen.

Die Sicherheitsmaßnahmen beziehen sich auf den Heilberufsausweis als sichere Signaturerstellungseinheit und den Konnektor und die eHealth-Kartenterminals als Signaturanwendungskomponente in der gesicherten Einsatzumgebung dezentraler Komponenten der Telematikinfrastruktur.

Das Einsatzszenario der Stapelsignatur soll seine konkrete Anwendung beim Signieren (Arzt) und Dispensieren (Apotheker) von elektronischen Verordnungen (eVerordnung) und ggf. anderen Dokumenten durch Leistungserbringer im elektronischen Gesundheitswesen finden. Die technische Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik gibt den Bedarfsträgern Orientierung und Handlungssicherheit für spätere Sicherheitsbestätigungen der Signaturkomponenten.

Die vorliegende Version der Technischen Richtlinie TR-03114 berücksichtigt die Einsatzszenarien für qualifizierte Einfachsignatur, Stapelsignatur mit lokaler Eingabe der Signatur-PIN und Stapelsignatur mit entfernter Eingabe der Signatur-PIN.

Mehr zur TR-03114 (PDF)