Erneut kommt die Forderung nach einer grundsätzlichen Verschlüsselung von elektronischen Nachrichten per E-Mail auf. Einfache Lösungen existieren bereits am Markt und könnten das Problem sehr kostengünstig und einfach lösen. Industrie und Wirtschaft sehen jedoch Ausgaben für die IT-Sicherheit als unbeliebt an, weil sie keine direkten Nutzen bringen. Die Ausgaben für IT-Sicherheit sind in 2009 nur gering gestiegen.

(VLR-Infodienst,dr)

“Ein zentrales Rollenmodell regelt dabei nicht nur die IT-Zugriffe, sondern auch Zugänge zu Gebäuden und Anlagen – bei Bedarf mit biometrischen Systemen”, erklärt Reinhard Bertram, verantwortlich für den Bereich Security bei Siemens IT Solutions and Services.

An Identifikation und Anmeldung schließt sich die Frage an: Auf welche Daten und Systeme darf die Person zugreifen und auf welche nicht? Die entsprechenden Rechte erteilt, verweigert oder entzieht das Siemens-Produkt “DirX” automatisch. Entscheidungsbasis sind die vorher individuell festgelegten Befugnisse und definierten Rollen, etwa Vertriebsleitung, Einkauf oder Projektmanager. Übernimmt ein Mitarbeiter eine neue Aufgabe im Unternehmen, werden die Zugriffsrechte sofort an seine neue Rolle angepasst. Die automatische Vergabe der Rechte steigert die Produktivität und senkt Fehlerquoten sowie die Kosten für Administration.

Zentrales Benutzermodell für Compliance und Sicherheit

Da alle Identitäten und Rechte immer eindeutig und auf dem aktuellsten Stand sind, lassen sich die international steigenden Compliance-Anforderungen einfach erfüllen. Bei Bedarf können Firmen lückenlos nachvollziehen, wer wann was wo geändert hat.

“Gerade mit Blick auf rechtlich verbindliche Vorgaben kann dies dem Unternehmen erhebliche Schadensersatzzahlungen und den Geschäftsverantwortlichen gegebenenfalls noch härtere Folgen ersparen”, betont Bertram.

Ein Beispiel für ein zentrales Benutzermodell ist die Public Key Infrastructure (PKI), die heute bereits bei vielen Behörden im Einsatz ist. Das System ermöglicht es, digitale Zertifikate auszustellen und zu verteilen. Es kann über Smartcards auch mit den Zugangsrechten zu Anwendungen und Gebäuden kombiniert werden. So hat Siemens IT Solutions and Services etwa die Mitarbeiter der Deutschen Rentenversicherung Bund sowie der Deutschen Rentenversicherung Rheinland mit 60.000 Chipkarten ausgestattet. Damit können sich die Angestellten im elektronischen Schriftverkehr zweifelsfrei identifizieren, E-Mails verschlüsseln und Dokumente signieren. Doch die flexiblen Karten bieten noch mehr Funktionen: Neben der hochsicheren Zugangs- und Zugriffskontrolle lassen sich auch die Arbeitszeit automatisch erfassen, Parkschranken öffnen oder bargeldlos in der Kantine zahlen.

Auch die Bundesagentur für Arbeit hat sich für die Einführung einer PKI entschieden, um sichere elektronische Geschäftsprozesse zu gewährleisten. Der IT-Dienstleister hat dort ein Trust Center eingerichtet, das etwa mit einem Passamt vergleichbar, die Zertifikate und Schlüssel ausstellt, und versorgt die Mitarbeiter mit Chipkarten für qualifizierte Signaturen. Entscheidend für die sichere Verteilung der Schlüssel und damit der digitalen Identitäten ist die Public Key Infrastructure (PKI). So lassen sich zwingende verwaltungsrechtliche Vorgaben wie eine lückenlose Protokollierung bei Entscheidungs- und Aushandlungsprozessen einhalten.

Schlüssel für elektronische Signatur

Um elektronische Unterschriften zu erzeugen, benötigt der Benutzer ein Schlüsselpaar mit einem Public Key und einem Private Key. Diese bilden die Basis eines asymmetrischen Codierungsverfahrens: Der Besitzer signiert Dokumente mit seinem Private Key und der Eingabe einer PIN, die nur ihm bekannt ist. Der Empfänger kann mit dem Public Key, der allgemein bekannt gemacht wird, die Signatur prüfen. Derzeit ist die Speicherung auf einer Smart Card der einzig gesetzlich gangbare Weg, den privaten Schlüssel aufzubewahren.
Die Zuordnung der öffentlichen Schlüssel zu einer Person erfolgt durch Zertifikate – eine Art elektronisch beglaubigter Ausweis. Das Zertifikat ordnet der digitalen Identität bestimmte Eigenschaften wie E-Mail-Adresse, Name oder Anschrift zu und beglaubigt den öffentlichen Schlüssel. In einem Corporate Directory werden die Zertifikate verteilt. Je nach Ausführung lässt sich die Gültigkeit online via OCSP (Online Certificate Service Protocol) oder mittels aktueller Sperrlisten (Certificate Revocation Lists – CRL) steuern – etwa bei Verlust.
Weitere Informationen zum Thema Identity- & Access-Management bietet das IT-Security-Portal dem interessierten Leser in seinem Thema des Monats unter:

http://www.all-about-security.de/

Eine Govello-Nachricht ist immer verschlüsselt, vom Absender bis zum Empfänger. Das ist fester Bestandteil der Software, zusätzliche Hardware ist nicht nötig. Weder auf dem Weg über das Internet, noch auf dem Server können die Nachrichten entschlüsselt werden. Das kann nur der Empfänger, da ein asymmetrisches Verschlüsselungsverfahren mit öffentlichem und privatem Schlüssel zum Einsatz kommt. Die mit dem öffentlichen Schlüssel verschlüsselten Nachrichten können nur mit dem privaten Schlüssel dechiffriert werden, der nur beim Empfänger vorliegt. Die Sicherheitsmechanismen sind bei Govello Teil der Software und Kommunikations-Infrastruktur, was den Umgang mit den Software- beziehungsweise den Verschlüsselungs-Zertifikaten – kinderleicht macht, anders als bei vielen Verschlüsselungsverfahren für E-Mails.

Alle Adressaten, die mit einem Govello-Postfach erreicht werden können, werden in einem zentralen Adressbuch verwaltet. Dort sind auch bereits die Zertifikate hinterlegt. Die Nutzer müssen sich also um die Zertifikats-Verwaltung keine Gedanken machen. Govello-Nachrichten haben ein Sende- und ein Prüfprotokoll, in denen leicht verständlich festgehalten wird, wann die Nachricht versendet wurde beziehungsweise auf dem Server eingegangen ist, welche Zertifikate für die Verschlüsselung und ggf. für die elektronische Signatur verwendet wurden und ob sie gültig waren.

Für die Datensicherheit ist eine qualifizierte elektronische Signatur nicht nötig. Nachrichten mit qualifizierter elektronischer Signatur sind jedoch genauso rechtsverbindlich wie Verträge mit Unterschrift. So lassen sich auch die Schriftform erfordernde Workflows mit Govello elektronisch abbilden. Mit Govello lassen sich alle auf dem deutschen Markt gängigen qualifizierten Signaturkarten und die meisten Lesegeräte für Smartcards verwenden.

Hinter vielen elektronischen Verfahren, die unsere Kunden mit Lösungen aus unserem Hause verwirklicht haben, steckt die Govello-Technik. So setzt die Justiz in ganz Deutschland mit dem EGVP genau wie die Verwaltung im Saarland mit eGo Mail Saar auf Govello, wenn es darum geht, durch starke Verschlüsselung und den Einsatz von Signaturen Internetkommunikation vertraulich und sicher zu machen.

Kontakt

bremen online services
Entwicklungs- und Betriebsgesellschaft mbH & Co. KG
Am Fallturm 9
D-28359 Bremen
Tel. +49 421 20495-0
Fax +49 421 20495-11

Die Deutsche Post bietet ihren Geschäftskunden Systemlösungen zu Prozessen der Geschäfts- und Marketingkommunikation, die dem Daten- und Dokumententransport vor- und nachgelagert sind. Für den sicheren elektronischen Geschäftsverkehr bietet der Bonner Konzern das Produkt SIGNTRUST CERT an. Dies sind Software–Zertifikate, die leicht in die E-Mail-Kommunikation eingebunden werden können. Die Verwendung einer elektronischen Signatur stellt sicher, dass eine E-Mail einer bestimmten Person zugeordnet ist und nicht unbemerkt geändert wird. Zudem kann der Austausch von Daten zwischen Sender und Empfänger mit SIGNTRUST CERT über einen Mail-Gateway wie TrustMail verschlüsselt und somit vor unerlaubtem Mitlesen geschützt werden.

„Die Auswahl von Totemo als Partner ist aus intensiven Gesprächen mit unseren Kunden hervorgegangen“, sagt Andreas Vollmert, Projektleiter Signtrust bei der Deutschen Post Com GmbH. „TrustMail wurde immer für seine Effizienz, Sicherheit und einfache Handhabung gelobt“. Dario Perfettibile, CEO von Totemo, meint dazu: „Wir freuen uns über das Vertrauen der Deutschen Post, es bestätigt unsere technologische Kompetenz und Festigung im deutschen Markt“.

Steigerung der Effizienz
Dank der Zusammenarbeit mit Totemo, können die elektronischen Signaturen vom Administrator des Unternehmens direkt über die Schnittstellen des Mail-Gateways vollautomatisch beantragt und vom Trustcenter der Deutschen Post ausgestellt werden. Diese sichere Schnittstelle zwischen dem Mail-Gateway TrustMail und SIGNTRUST erleichtert den administrativen Arbeitsaufwand erheblich und ermöglicht somit eine Kosteneinsparung für das Unternehmen.

Vertrauenswürdigkeit der Zertifikate
Für die Akzeptanz von Zertifikaten im praktischen Einsatz ist die Vertrauenswürdigkeit der Zertifikate für die Empfänger eine Grundvoraussetzung. Die Zertifikate der Deutschen Post werden von nahezu allen Browser/E-Mail-Programmen automatisch erkannt und verursachen keine Warnhinweise oder Aufforderungen zur manuellen Freischaltung oder Anerkennung. Die Deutsche Post geniesst als weltweit bekanntes Unternehmen ein hohes Mass an Vertrauenswürdigkeit.

Totemo AG
Die Totemo AG, ein Schweizer Softwareunternehmen, entwickelt und vertreibt das Produkt Totemo TrustMail, eine Standardsoftware für die Verschlüsselung von vertraulichen E-Mails (Secure Messaging). Zu den Kunden von Totemo zählen namhafte Organisationen und Unternehmen aus den Branchen Financial Services, Government, Application ServiceProvider (ASP), Health Care, Industrie und Professional Services.
Das Unternehmen wurde im September 2001 gegründet und ist in Küsnacht (ZH) domiziliert.

Deutsche Post
Deutsche Post World Net ist die weltweit führende Logistik-Gruppe.
Mit der gebündelten Logistik-Kompetenz ihrer Marken Deutsche Post, DHL und Postbank bietet die Gruppe integrierte Dienstleistungen und maßgeschneiderte, kundenbezogene Lösungen für das Management und den Transport von Waren, Informationen und Zahlungsströmen durch ihr multinationales und multi-lokales Know-how und Netzwerk. Deutsche Post World Net ist zugleich führender Anbieter für Dialog Marketing sowie effiziente Outsourcing- und Systemlösungen für das Briefgeschäft. In 2006 wurde ein Konzernumsatz von mehr als 60 Milliarden Euro erwirtschaftet. Deutsche Post World Net beschäftigt rund 500.000 Mitarbeiter in über 220 Ländern und Territorien und ist damit einer der größten Arbeitgeber weltweit.

Die Angebote dienen der wirtschaftlichen, schnellen und vertrauenswürdigen Durchführung von Geschäftsprozessen in Computernetzwerken. Dazu gehören die sogenannten I-A-S Funktionalitäten, welche die Identifikation, die Authentifizierung und die Signatur im elektronischen Datenaustausch sicherstellen, sowie diverse Dienste zum Aufbau von Public Key Infrastrukturen (PKI).

Die von allen EB-CA Mitgliedern anerkannten Richtlinien und die öffentlichen Services (Verzeichnisdienst,
Validierungsdienst) stellen Unternehmen und der öffentlichen Verwaltung einen Mechanismus zur Verfügung, durch dessen Hilfe sie mit allen anderen Mitgliedern sicher kommunizieren können. „Unseren Kunden und Kooperationspartnern, erschließen sich mit unserem EB-CA-Beitritt neue Möglichkeiten von Geschäftsprozessen, die organisationsübergreifend sicher und vollelektronisch abbildbar sind” sagt Eduward van der Zee, Leiter des Geschäftsfeldes Signtrust der Deutschen Post AG.

Die aktive Mitarbeit der Deutschen Post Signtrust in der European Bridge-CA liefert neue Impulse für ihre flächendeckende Verbreitung und die Erhöhung ihrer Akzeptanz in der Gesellschaft. “Mit dem Beitritt der Deutschen Post Signtrust sind nun alle führenden deutschen Zertifizierungsdiensteanbieter in der European Bridge-CA vertreten”, konstatiert Professor Helmut Reimer, Geschäftsführer von TeleTrusT Deutschland e.V. Die Mitgliedschaft der Deutschen Post Signtrust verdeutliche, dass die European Bridge-CA zu einer anerkannten Basis für vertrauenswürdige Kommunikation in Geschäftsprozessen geworden sei.
Contact person:

Frau M.A. Sabine Faltmann
Geschäftsleitung
e-mail: teletrust@faltmann-pr.de
Phone: +49 (241) 89468-22
Fax: +49 (241) 89468-44
field of activity: f@ltmann PR

About TeleTrusT Deutschland e.V.:
TeleTrusT Deutschland e. V. wurde 1989 gegründet, um die Vertrauenswürdigkeit von Informations- und Kommunikationstechnik in einer offenen Systemumgebung durch angewandte Kryptographie zu fördern. Um dieses Ziel zu erreichen, setzt sich der gemeinnützige Verein für die Interoperabilität von IT-Sicherheitsprodukten sowie die internationale Standardisierung und angemessene Sicherheit der verschiedenen Anwendungsbereiche ein. Vor diesem Hintergrund unterstützt TeleTrusT die Berücksichtigung der Vertrauenswürdigkeit in bestehenden oder geplanten IT-Anwendungen in öffentlichen Einrichtungen und Verbänden. Besondere Aufmerksamkeit finden dabei Sicherheitsdienste und ihr Management für eine vertrauenswürdige IT in Medizin und Gesundheitsverwaltung, im elektronischen Rechtsverkehr und in der Telekooperation mittels EDI.

Der Verein hat über 90 institutionelle Mitglieder: Vertreten sind wesentliche Anwenderbereiche und Forschungseinrichtungen, Entwickler und Hersteller von einschlägigen Sicherheitsprodukten, Behörden und Prüfstellen. In interdisziplinären Arbeitsgruppen werden Vorschläge und Erfahrungen von Experten zusammengeführt und in Berichte, Ergebnisdokumente und Empfehlungen umgesetzt.
www.teletrust.de