TeleTrusT-Informationen
TeleTrusT-Information: Mitglieder und Aktivitäten
Verbandsnachrichten 2014/14
) TeleTrusT begrüßt neue Verbandsmitglieder
2) Neu: TeleTrusT-Anbieterverzeichnis IT-Sicherheit
3) TeleTrusT-Stellungnahme zum aktuellen Entwurf des IT-Sicherheitsgesetzes
4) TeleTrusT-Empfehlung an das Bundesministerium des Innern zur eID-Funktion des nPA
5) T.I.S.P. Community Meeting 2014 (Rückschau)
6) TeleTrusT-Informationstag "IT-Sicherheit im Smart Home und in der Gebäudeautomation" (Rückschau)
7) TeleTrusT-Vorsitzender Prof. Pohlmann zu BND-Ankauf von Softwareschwachstellen
8) System Security Engineering gewinnt an Bedeutung/TeleTrusT-Positionen
9) "Cyber Security Challenge Germany": IT-Sicherheitstalente im Wettbewerb
10) ENISA veröffentlicht das erste Rahmenwerk zur Bewertung nationaler Cyber-Sicherheitsstrategien
11) ENISA-Leitlinien zu kryptografischen Lösungen
12) ETSI-Dokumente zum Themenkreis "eSignature"
13) Neu gewähltes ETSI-Board; Neuer ETSI-Chair Dirk Weiler, Nokia Networks
14) BSI veröffentlicht Hinweise für Penetrationstests
15) TeleTrusT-Mitgliederversammlung 2014 mit Vorstandswahl
16) "Umgang mit digitalen Identitäten von Verstorbenen" - TeleTrusT-Informationstag
17) TeleTrusT im Programmbeirat des Deutschen IT-Sicherheitskongresses (BSI)
18) Rechtslage Schweiz: Vergabeausschluss ausländischer Unternehmen
19) "Nordic IT Security 2014", Stockholm (Rückschau)
20) Call for speakers: FIRST Conference "Unified Security: Improving the Future", Berlin 2015
21) TeleTrusT ist Partner der OMNICARD 2015 / Frühbucheranmeldung bis 10.12.2014
22) BMWi: Informationen zu anstehenden Aktivitäten mit möglichem Themenbezug "IT-Sicherheit"
23) Medienberichte mit TeleTrusT-Bezugnahme
24) Nächste TeleTrusT-Eigenveranstaltungen
25) Nächste TeleTrusT-Gremiensitzungen
26) Nächste TeleTrusT-Partnerveranstaltungen
► 1) TeleTrusT begrüßt neue Verbandsmitglieder
■ ionas OHG, Mainz
Kerngeschäft von ionas ist die Computer-Soforthilfe per Telefon und Fernwartung für private und gewerbliche Kunden. Neben der kurativen Soforthilfe unterstützt ionas seine Kunden mit präventiven Maßnahmen, um Systemprobleme sowie Schäden durch Cyberkriminalität und Datenverlust zu vermeiden. Der 'ionas-Server' ist eine persönliche, sichere, offene und plattformübergreifende Jedermann-Datensicherungs- und Synchronisationslösung für Dateien, Termine, Kontakte und andere Daten. www.ionas.com
■ mediaTest digital GmbH, Hannover
mediaTest digital ist Lösungsanbieter für sicheres und automatisiertes Mobile Application Management. Mit dem ganzheitlichen Service APPVISORY fokussiert das Unternehmen auf Sicherheit (App Risk Management), Integration (automatisierte Interaktion mit MDM-Systemen wie zum Beispiel AirWatch und Mobilelron) und Enforcement (automatisiertes Durchsetzen auf die Mobile Devices basierend auf dem Risikoverhalten der Applikationen und der Unternehmenssicherheitspolitik). mediaTest stellt eine Lösung zur Verfügung, um in Unternehmen erfolgreich Mobile Application Management zu integrieren, zu automatisieren und anwenderfreundlich im Produktivbetrieb einzusetzen. www.mediatest-digital.com
■ ZeuSWarE, Berlin
ZeuSWarE erstellt Softwarelösungen für den individuellen Bedarf. Beispiele sind das anonyme Hinweisgebersystem für das LKA Berlin, eine "embedded"-Lösung für ein POS-System und Anwendungen für die Finanzbranche sowie Aufgaben aus dem Forschungsbereich. www.zeusware.de
■ Chiffry GmbH, Teutschenthal
Chiffry entwickelt Soft- und Hardwarelösungen für verschlüsselte Kommunikation und bietet entsprechende Webservices an. Im Besonderen widmet sich das Unternehmen der Entwicklung, Bereitstellung und dem Betrieb der Kommunikationsplattform CHIFFRY für verschlüsselten Versand von Nachrichten, Bildern, Videos u.ä. sowie für abhörsichere Telefonie über mobile Endgeräte. www.get.chiffry.de
■ virtual solution AG, München
virtual solution ist ein international tätiges Softwarehaus. Im Geschäftsbereich IT-Systemberatung ist virtual solution auf die Entwicklung anspruchsvoller Enterprise-Lösungen zur Abwicklung von Kerngeschäftsprozessen spezialisiert und unterstützt Kunden individuell von der Planung komplexer IT-Projekte bis zum Rollout und darüber hinaus. Im Geschäftsbereich Enterprise Mobility Management für mobile Endgeräte ist virtual solution Anbieter von hochsicheren Lösungen für Unternehmen, die mobile Anwendungen ihrer Mitarbeiter sicher in die Unternehmens-IT integrieren wollen. Das Produkt SecurePIM by virtual solution ist eine Containerlösung für iOS und Android. Die Lösung legt alle geschäftlichen Informationen innerhalb des geschützten Bereichs einer App auf dem mobilen Gerät ab. www.securepim.com
► 2) Neu: TeleTrusT-Anbieterverzeichnis IT-Sicherheit
TeleTrusT hat das Produkt- und Dienstleistungsspektrum der im Verband organisierten IT-Sicherheitsunternehmen kategorisiert. Das "TeleTrusT-Anbieterverzeichnis IT-Sicherheit" bildet die Bandbreite der in Deutschland ansässigen IT-Sicherheitsindustrie ab, die in ihrer KMU-geprägten Struktur zahlreiche "Hidden Champions" umfasst, die insbesondere in Auslandsmärkten das positive Markenbild von "made in Germany" prägen. Die Häufigkeit der Attribute in den Produkt- und Leistungsportfolios lässt Rückschlüsse auf die Angebotsschwerpunkte bei IT-Sicherheitslösungen zu (Prioritätenliste siehe https://www.teletrust.de/startseite/pressemeldung/?tx_ttnews%5Btt_news%5D=761&cHash=d060c629aa51a24bade5b256f3aa406e.
Das TeleTrusT-Anbieterverzeichnis IT-Sicherheit ist unter www.teletrust.de/anbieterverzeichnis/ öffentlich und kostenfrei nutzbar.
► 3) TeleTrusT-Stellungnahme zum aktuellen Entwurf des IT-Sicherheitsgesetzes
TeleTrusT-Stellungnahme gegenüber dem Bundesministerium des Innern zum Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme - IT-Sicherheitsgesetz - (Referentenentwurf des Bundesministeriums des Innern) vom 04.11.2014 im Rahmen der Beteiligung von Verbänden und Fachkreisen
1) Zu § 8a Absatz 2 des Entwurfes regen wir folgende Änderungen an:
(…)
"Betreiber Kritischer Infrastrukturen und (Streichung: ihre) Branchenverbände können branchenspezifische (Ergänzung: oder branchenübergreifende) Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sowie im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten."
Als Begründung verweisen wir auf mögliche Synergieeffekte mit anderweitigen Standardisierungsaktivitäten auch außerhalb kritischer Infrastrukturen.
2) Komplementär verweisen wir im Besonderen auf die von TeleTrusT vorgeschlagenen "Wirkungsklassen" (siehe TeleTrusT-Strategiedokument vom 01.09.2014, das dem BMI und BMWi vorliegt):
www.teletrust.de/it-sicherheitsstrategie/ bzw.www.teletrust.de/uploads/media/IT-Sicherheitsstrategie_f%C3%BCr_Deutschland_TeleTrusT-Konzept.pdf
Zur Ausgestaltung einer IT-Sicherheitsstrategie für Deutschland werden darin pragmatische Wirkungsklassen von IT-Sicherheitsmaßnahmen für unterschiedliche Schutzbedarfe definiert und in Bezug zu den Nutzerkreisen gesetzt. Die Wirkungsklassen erlauben eine strukturierte Analyse und zweckorientierte Umsetzung der erforderlichen Maßnahmen.
► 4) TeleTrusT-Empfehlung an das Bundesministerium des Innern zur eID-Funktion des 'Neuen Personalausweises'
In einem Schreiben vom 18.11.2014 an das Bundesministerium des Innern hat TeleTrusT die Empfehlung gegeben, die eID-Funktion des 'Neuen Personalausweises' als nicht abschaltbar auszugestalten: "Vor dem Hintergrund der fortdauernden Bemühungen, die Anwendungsmöglichkeiten des neuen Personalausweises bei gleichzeitiger höchstmöglicher Sicherheit zu verbessern, unterstützt TeleTrusT den Ansatz, die eID-Funktion des nPA - die ein wichtiges IT-Sicherheitsfeature darstellt - als nicht-abschaltbar auszugestalten. Der nPA verkörpert in bester Weise eine IT-Sicherheitstechnologie, die weltweit ihresgleichen sucht, mit ausgereiften und pragmatischen IT-Sicherheitsmerkmalen, die im modernen Internet für eine höhere Sicherheit der Anbieter und Bürger sorgen. Das Problem der Passwörter, die als Authentifikationsverfahren genutzt werden, ist bekannt und die daraus resultierenden Schäden sind deutlich zu hoch. Mit zunehmender Wichtigkeit des Nutzungskontextes steigt das Risiko. Würde die eID-Funktion des nPA nicht-abschaltbar konfiguriert, würde das "Henne-Ei-Problem" reduziert und eine breitere Nutzung wahrscheinlicher. Aktuelle Forschungen, z.B. in Zusammenhang mit Onlinebanking und eMobility, betrachten den nPA bereits als in zukünftige IT-Sicherheitskonzepte eingebunden. Ebenso haben internationale Bestrebungen in diesem Bereich, wie z.B. die FIDO Alliance, die Vorteile der Nutzung für die verlässliche Identitätsverifikation erkannt und bemühen sich um deren Integration. TeleTrusT hat auf diesem Gebiet mit einigen Unternehmensmitgliedern einschlägige Aktivitäten erfolgreich umgesetzt und wird dies auch in Zukunft verfolgen. Aus Sicht von TeleTrusT könnte die nicht-abschaltbare eID-Funktion des nPA, verbunden mit einer Motivationskampagne für die nPA-Nutzung, das IT-Sicherheitsschadensrisiko für die Gesellschaft, für Unternehmen und Bürger, bedeutend reduzieren."
► 5) T.I.S.P. Community Meeting 2014 (Rückschau)
Das T.I.S.P. Community Meeting 2014 fand vom 03. - 04.11.2014 in Berlin statt. Hintergrund: Einmal pro Jahr lädt TeleTrusT zum "T.I.S.P. Community Meeting" ein. Hier treffen sich T.I.S.P.-Absolventen, um aktuelle Entwicklungen in der Informationssicherheit zu diskutieren und sich über ihre persönlichen Praxiserfahrungen auszutauschen. Die Teilnahme ist allen erfolgreichen Absolventen der T.I.S.P.-Prüfung möglich und wird im Rahmen der Rezertifizierung des T.I.S.P.-Zertifikats als Weiterbildungsveranstaltung anerkannt. Das Community Meeting 2014 verzeichnete neuen Teilnehmerhöchststand. Die Präsentationen der Referenten sind abrufbar unter: www.teletrust.de/tisp/tisp-community-meeting/2014/
► 6) TeleTrusT-Informationstag "IT-Sicherheit im Smart Home und in der Gebäudeautomation" (Rückschau)
Wie gut ist das Smart Home gegen IT-Angriffe gerüstet? Wie steht es um Sicherheitslücken bei der Smart Home-Steuerung? Sind das vernetzte Haus oder das vernetzte Bürogebäude ein Sicherheitsrisiko? Experten aus den Bereichen Industrie, Forschung, IT-Sicherheit und Datenschutz zogen am 12.11.2014 auf dem TeleTrusT-Informationstag " IT-Sicherheit im Smart Home und in der Gebäudeautomation" Bilanz und präsentierten aktuelle Lösungsansätze. Die Veranstaltung war interdisziplinär angelegt. Die Präsentationen sind verfügbar unter www.teletrust.de/veranstaltungen/smart-home/.
► 7) TeleTrusT-Vorsitzender Prof. Pohlmann zu BND-Ankauf von Softwareschwachstellen
In einem Interview mit dem Sender Deutschlandradio beleuchtete TeleTrusT-Vorsitzender Prof. Norbert Pohlmann kritisch die Hintergründe der Aussagen des Bundesnachrichtendienstes zum Ankauf von Softwareschwachstellen bzw. "Hackersoftware": www.internet-sicherheit.de/aktuelles/mitteilungen/nachricht/nachricht-detail/prof-pohlmann-bei-deutschlandradio-kauf-von-h/
► 8) System Security Engineering gewinnt an Bedeutung/TeleTrusT-Positionen
Künftig wird System Security Engineering notwendig sein, um komplexe Systeme mit angemessenen Sicherheitseigenschaften ausstatten zu können. Darauf weist TeleTrusT in einer aktuellen Veröffentlichung hin. Einerseits werden IT-Systeme komplexer - dies zeigen viele Beispiele, wie vollautomatische Produktionsanlagen, elektronische Systeme in Fahrzeugen oder die Kommunikationsstrukturen, die dem Internet zugrunde liegen. Andererseits werden klassische Systeme zunehmend mit IT-Komponenten erweitert. Beispiel dafür sind Bauwerke, die mit einer Vielzahl von Sensoren ausgestattet werden, die permanent den Bauzustand dokumentieren. Damit wird das Bauwerk zu einem System, in dem auch IT-Sicherheit eine wichtige Rolle spielt. Die frühzeitige Betrachtung von IT-Sicherheitsbelangen ist bei der Systementwicklung eine rechtliche und wirtschaftliche Notwendigkeit und nicht zuletzt immer häufiger eine Anforderung der Kunden. Von Bedeutung ist dabei die Erkenntnis, dass es nicht ausreicht, die Sicherheitseigenschaften einzelner Komponenten zu überprüfen und sicherzustellen. Die Sicherheit eines Systems ist stets das Resultat des Zusammenwirkens vieler Komponenten an vielen Schnittstellen. Dieses Ergebnis ist oft überraschend anders als die Erwartung. Das gilt insbesondere für das Thema Systemsicherheit. System Security Engineering liefert Konzepte, deren Anwendung es ermöglicht, Sicherheit zuverlässig in technische und technisch-organisatorische Systeme zu integrieren. Klassische Vorgehensweisen der Informationssicherheit wie die systematische Betrachtung von Bedrohungen, Schwachstellen und Anforderungen bis hin zur Risikoanalyse und der Ableitung von Maßnahmen werden gebündelt und gezielt auf den Lebenszyklus eines Systems sowie auf alle Komponenten und Schnittstellen angewendet. Dabei entstehen nicht unbedingt höhere Kosten, sondern es werden im Gegenteil zuverlässig Kosten eingespart, insbesondere was die Betriebsphase eines Systems angeht.
Mit einer jetzt vorgelegten Veröffentlichung leistet TeleTrusT einen Beitrag zur aktuellen Diskussion über System Security Engineering. Das Dokument vermittelt die wichtigsten Inhalte sowie Anregungen für Systementwickler. Mit dem Personenzertifikat T.E.S.S. (TeleTrusT Engineer for System Security) gibt TeleTrusT Fachleuten die Möglichkeit, sich im Bereich System Security Engineering zu qualifizieren und sich diese Qualifikation von neutraler Stelle durch die prüfungsabnehmende Stelle PersCert TÜV bestätigen zu lassen.
www.teletrust.de/publikationen/broschueren/system-security-engineering/
► 9) "Cyber Security Challenge Germany": IT-Sicherheitstalente im Wettbewerb
Erschließung und Förderung inländischer Fachkräfteressourcen
Junge Talente fördern und die Fachkräfte der Zukunft finden: In der "Cyber Security Challenge Germany" werden Schüler und Studenten mit realen Cyber-Angriffen konfrontiert und vor Rätsel und Herausforderungen gestellt. Wir suchen aktuell Teilnehmer zwischen 14 und 30 Jahren und freuen uns über eine Verbreitung dieses Aufrufes: Ab sofort beginnt die neue Qualifikationsrunde für das Finale, die Cyber Security Konferenz am 02. und 03.02.2015 in Berlin. Schüler und Studenten können jederzeit einsteigen, müssen aber alle zwölf Challenges bis zum Stichtag, den 15.01.2015, gelöst haben. Mehr zum Projekt und den Teilnahmebedingungen ist hier zu finden: www.cscg.de
TeleTrusT organisiert die begleitende Fachkonferenz, gewidmet den Herausforderungen, die Unternehmen bewältigen müssen, um ein angemessenes IT-Sicherheitsniveau zu erreichen. Ziel ist die Erschließung und Förderung inländischer IT-Fachkräfteressourcen. Unternehmen können begleitend den Talenten präsentieren, um schon jetzt auf eine spätere Expertenlaufbahn hinzuweisen.
Die "Cyber Security Challenge Germany" ist ein gemeinsames Projekt des TeleTrusT - Bundesverband IT-Sicherheit e.V., der Compass Security Deutschland GmbH, des Institutes für Internet-Sicherheit if(is) an der Westfälischen Hochschule und des Heise-Verlages. Das Projekt wird durch das Bundesministerium für Wirtschaft und Energie im Rahmen der Initiative "IT-Sicherheit in der Wirtschaft" unterstützt und gefördert.
Siehe auch: www.teletrust.de/cyber-security-challenge/
Hintergrund:
Vom 04.11. bis 06.11.2014 nahm erstmals eine deutsche Delegation an der "European Cyber Security Challenge" in Österreich teil. Der Wettbewerb war das Finale von Länderausscheiden in der Schweiz, Deutschland und Österreich, bei denen junge Talente in einem Wettbewerb ihr "Hacker-Talent" unter Beweis stellten. Gelöst wurden jeweils 12 sogenannte "Challenges", für die die Teams je nach Erfolg Punkte erhielten. Abschließend erfolgte eine Präsentation der Ergebnisse vor einer internationalen Jury, mit der das Gesamtergebnis noch beeinflusst werden konnte. Für Deutschland traten 7 junge Talente, 5 Studenten und 2 Schüler, an. Sie wurden durch das Institut für Internet-Sicherheit und das Projektteam der "Cyber Security Challenge Germany" betreut und begleitet. Zu Beginn des Wettbewerbes setzte sich Deutschland an die Spitze, wurde jedoch durch Österreich überholt. Im weiteren Verlauf lieferte sich Deutschland mit der Schweiz ein Kopf-an-Kopf-Rennen, das Deutschland in der Jury-Endauswahl für sich entschied. Österreich konnte mit einem eindeutigen Vorsprung den Tag für sich erfolgreich beenden. Am 06.11.2014 fand im Heeresgeschichtlichen Museum Wien ein Festakt statt, bei dem die Teilnehmer geehrt wurden.
Die European Cyber Security Challenge 2015 findet in Luzern und Bern in der Schweiz statt. Bisher haben sich bereits Großbritannien, Deutschland, Schweiz, Österreich, Spanien und Rumänien angemeldet, darüber hinaus gibt es Anfragen aus Italien und Norwegen. Die European Cyber Security Challenge 2015 wird von der Swiss Cyber Storm in Kooperation mit dem Eidgenössischen Departement für Äußere Angelegenheiten und dem Eidgenössischen Finanzdepartement veranstaltet.
► 10) ENISA veröffentlicht das erste Rahmenwerk zur Bewertung nationaler Cyber-Sicherheitsstrategien
Die European Union Agency for Network and Information Security hat am 28.11.2014 ein Bewertungsrahmenwerk zur nationalen Cyber-Sicherheitsstrategie (NCSS) herausgegeben, das sich an Regelwerksexperten und Regierungsbeamte richtet, die eine NCSS entwerfen, implementieren und evaluieren müssen. Das Rahmenwerk entspricht der von der Europäischen Union vorgeschriebenen EU CSS, der EU Cyber Security Strategy und soll den Mitgliedstaaten dabei helfen, im Bereich der NCSS Fähigkeiten und Möglichkeiten zu entwickeln. Das hierzu entwickelte Rahmenwerk ist ein flexibler und pragmatischer Ansatz, der auf den bewährten Praktiken führender NCSS-Experten aus 18 EU NCSS und 8 außereuropäischen NCSS beruht. Es lässt sich je nach dem bereits erreichten Reifegrad im Lebenszyklus einer NCSS leicht an die Erfordernisse und Bedürfnisse eines einzelnen Mitgliedsstaates anpassen. Das Rahmenwerk empfiehlt eine schrittweise Herangehensweise und präsentiert ein Set an praktischen Schlüsselleistungsindikatoren. Darüber hinaus unterbreitet es Vorschläge zur korrekten Implementierung des Rahmenwerkes.
(Quelle: ENISA)
► 11) ENISA-Leitlinien zu kryptografischen Lösungen
Ein am 21.11.2014 veröffentlichter ENISA-Bericht "Algorithms, key size and Parameters" ist ein Referenzdokument mit Leitlinien für Entscheidungsträger. Er richtet sich insbesondere an Experten, die kryptografische Lösungen zum Schutz persönlicher Daten in Unternehmen oder Behörden entwerfen und implementieren. Der am gleichen Tag publizierte ENISA-Bericht "Study on cryptographic protocols" bietet eine Umsetzungsperspektive und beinhaltet Leitlinien zu den Protokollen, die für den Schutz der Online-Kommunikation von Unternehmen und der darin enthaltenen persönlichen Daten benötigt werden.
► 12) ETSI-Dokumente zum Themenkreis "eSignature"
ETSI hat folgende Unterlagen bereitgestellt:
■ 04.11.2014: TS 119 312 v1.1.1 on Cryptographic Suites
■ 07.11.2014: TS 119 403 v2.1.1 on Requirements for Conformity Assessment Bodies (CAB) assessing Trust Service Providers
Die Dokumente sind bei Interesse über TeleTrusT verfügbar.
► 13) Neu gewähltes ETSI-Board; Neuer ETSI-Chair Dirk Weiler, Nokia Networks
Auf der ETSI-Generalversammlung am 18.11.2014 wurde das neue ETSI Board gewählt:
ANDERSEN Niels, Anemone Technology
ARQUEVAUX Remi, Ministère du Redressement Productif
BENN Howard, Samsung R&D Institute, UK
BERTHOUMIEUX Didier, Alcatel-Lucent
BONIFACIO Jorge, PT Portugal SGPS SA
BOVEDA Angel, Wireless partners S.L.
DA SILVA Francisco, Huawei Technologies Sweden AB
DARMOIS Emmanuel, Commledge
DICKERSON Keith, Climate Associates Ltd.
FERRAZZINI Axel, Blackberry UK Ltd.
FRIEDRICH Jochen, IBM Europe
GRANT Marc, AT&T GNS Belgium SPRL
HOLLEY Kevin, Telefónica SA
KENYOSHI Kaoru, NEC Europe Ltd.
KHUN-JUSH Jamshid, Qualcomm CDMA Technologies GmbH
LICCIARDI Luigi, Telecom Italia
MADFORS Magnus, Telefon AB LM Ericsson
MUECK Markus, Intel Corporation (UK) Ltd.
NIKOLOSKI Neviana, Phonac Communications AG
NORD Christian, Sony Europe Ltd
PEREZ-DIEZ Juan, Liberty Global B.V.
POLSTERER Heinz, Deutsche Telekom AG
SAMPSON Nick, Orange
TOFFALETTI Sebastiano, SBS aisbl
VALET-HARPER Isabelle, Microsoft Europe SARL
WALKER Michael, Vodafone Group plc.
WEILER Dirk, Nokia Networks
WORKMAN Helene, Apple (UK) Ltd
WÖSTE Christoph, BMWi
Als neuen ETSI Chairman für die Mandatsperiode 2014-2017 wählte die ETSI-Generalversammlung Dirk Weiler, Nokia Networks (DE).
► 14) BSI veröffentlicht Hinweise für Penetrationstests
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nähere Hinweise zu seinen Penetrationstests veröffentlicht. Das BSI bietet die IS-Penetrationstests und IS-Webchecks vorrangig für Bundesbehörden an. Für diese sind die Tests grundsätzlich kostenfrei. In Einzelfällen bietet das BSI die Tests auch für andere Zielgruppen an, beispielsweise wenn IT-Systeme angegriffen wurden, die im Besonderen öffentlichen Interesse stehen. In diesen Fällen werden Kosten erhoben. IS-Penetrationstests und IS-Webchecks können auch durch externe Penetrationstester durchgeführt werden. Eine Übersicht ist ebenfalls auf den BSI-Seiten einsehbar.
www.bsi.bund.de/DE/Themen/Sicherheitsberatung/ISPentest_ISWebcheck/ispentest_iswebcheck_node.html
► 15) TeleTrusT-Mitgliederversammlung 2014 mit Vorstandswahl
Am 28.11.2014 fand in Berlin die TeleTrusT-Jahresmitgliederversammlung statt. Die Veranstaltung verzeichnete im Vergleich zu den Vorjahren einen Teilnehmerhöchststand. Neben der Berichterstattung zu den umfangreichen Aktivitäten des Verbandes und den formellen Beschlussfassungen zur Jahresplanung 2015 wurde der TeleTrusT-Vorstand neu gewählt:
Vorsitzender: Prof. Dr. Norbert Pohlmann, if(is)
Stellvertretender Vorsitzender: Dr. Rainer Baumgart, secunet
Beisitzer: Ammar Alkassar, Sirrix
Beisitzer: RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte
► 16) "Umgang mit digitalen Identitäten von Verstorbenen" - TeleTrusT-Informationstag
Was geschieht mit den Online-Daten Verstorbener? Diese technisch und rechtlich derzeit nicht abschließend geklärte Frage gewinnt an Bedeutung, weil Identitäten, aber auch umfangreiche persönliche bzw. personenbezogene Daten zunehmend digital hinterlegt sind. TeleTrusT in Kooperation mit dem Bundesverband Deutscher Bestatter e.V. widmet sich im Rahmen eines Informationstages am 19.02.2015 in Berlin den wichtigsten Aspekten.
Für den Todesfall müssen klare Verfahrensregeln in Bezug auf den digitalen Nachlass bestehen. Der Umgang mit diesen Daten und der Zugriff der Hinterbliebenen zum Beispiel auf Accounts in E-Mailsystemen oder sozialen Netzwerken sind regelungsbedürftig. Wenn in absehbarer Zeit die erste digitale Generation dem Lebensende näher rückt, wird es sich um ein Massenproblem handeln, für das bereits jetzt juristische, organisatorische und technische Vorkehrungen getroffen werden müssen. Spezialisierte Juristen und Techniker sowie Verbraucherschützer geben Einblick in aktuelle Regelungsansätze:
■ Matthias Frohn, Notarassessor, Bundesnotarkammer
"Rechtliche Aspekte der digitalen Identität Verstorbener"
■ RA'in Annegret König, Google Germany GmbH
"Umgang mit dem digitalen Nachlass Verstorbener - Rechtliche Betrachtung"
■ Oliver Eiler, Columba Online Identity Management GmbH
"Umgang mit dem digitalen Nachlass Verstorbener - Technische Betrachtung"
■ Dennis Romberg, Verbraucherzentrale Bundesverband e.V.
"Umgang mit digitalen Identitäten von Verstorbenen aus Verbraucherschutzsicht"
Es wird Gelegenheit für Fragen und Diskussionen gegeben.
Durch das Programm führt RA Karsten U. Bartels, HK2 Rechtsanwälte, Leiter der TeleTrusT-AG "Recht"/TeleTrusT-Vorstand, im Zusammenwirken mit Dr. Rolf Lichtner, Geschäftsführer des Bundesverbandes Deutscher Bestatter e.V.
Programm und Anmeldung unter: www.teletrust.de/veranstaltungen/netz-und-tod/
► 17) TeleTrusT im Programmbeirat des Deutschen IT-Sicherheitskongresses (BSI)
TeleTrusT ist neben Unternehmen und anderen Verbänden der IT- und Technologiebranche Teilnehmer im Beirat des 14. Deutschen IT-Sicherheitskongresses, der alle zwei Jahre vom BSI ausgerichtet wird. Der nächste IT-Sicherheitskongress findet vom 19. - 21.05.2015 in Bonn/Bad-Godesberg statt. Unter der Schirmherrschaft des BSI wurden im Vorfeld aus 150 Einsendungen die qualitativ hochwertigsten Programmbeiträge ausgewählt. Zusätzlich ist ein "Best Student Award" geplant. Die Themen (Sessions) des Kongresses lauten: "Standards und Prüfverfahren", "Sichere Identitäten", "Cyber-Sicherheit", "Sicherheit von Plattformen und Netzen", "Management von Informationssicherheit", "Industrial Security", "Sichere mobile Kommunikation", "Gewährleistung von Hochsicherheit", "Sicherheitskultur in der digitalen Gesellschaft", "IT-Sicherheit, Recht und Datenschutz" und "Sicheres Cloud Computing". Zusätzlich werden in einer Extra-Session weitere ausgewählte, noch zu bestimmende Themen präsentiert.
► 18) Rechtslage Schweiz: Vergabeausschluss ausländischer Unternehmen bei IT-Beschaffungen des Bundes
(Gekürzt übernommen aus: Newsletter ICT Law, 2014-11, Dr. Widmer & Partner, CH; Dr. Widmer ist Präsidentin des Schweizer TeleTrusT-Partnerverbandes ISSS)
Der Schweizer Bundesrat hat Anfang 2014 einen Beschluss gefasst, wonach Leistungen in Zusammenhang mit besonders kritischen IKT-Infrastrukturen für die Bundesverwaltung aus Gründen der Staatssicherheit künftig von ihr selbst oder im Falle der Externalisierung nur von Unternehmen erbracht werden sollen, die ausschließlich unter Schweizer Recht handeln, sich zur Mehrheit in Schweizer Eigentum befinden und ihre Leistung gesamtheitlich innerhalb der Schweizer Landesgrenzen erzeugen. Mit gleichem Beschluss beauftragte der Bundesrat das Eidgenössische Finanzdepartement, Firmen, die diese Anforderungen nicht erfüllen, von laufenden Beschaffungsverfahren für Datentransportleistungen auszuschließen. Betroffen von diesem Beschluss war bisher insbesondere die upc cablecom, die aus einem laufenden Beschaffungsverfahren für Datentransporte und Netzwerkanschlüsse ausgeschlossen wurde. upc cablecom ist zwar eine schweizerische Gesellschaft, jedoch eine Tochter der britischen Liberty Global und befindet sich damit mehrheitlich in ausländischem Besitz. In einer kürzlich veröffentlichten neuen Ausschreibung für die Wartung und den Support für die Netzwerkinfrastruktur des Bundes wurde der Beschluss erneut angewendet. Unternehmen, die den vom Bundesrat definierten Anforderungen nicht entsprechen, sind von der Teilnahme am betreffenden Beschaffungsverfahren ausgeschlossen. upc cablecom hat gegen ihren Ausschluss aus dem Verfahren beim Bundesverwaltungsgericht Beschwerde erhoben. Das Verfahren ist nach wie vor anhängig. In einem Zwischenentscheid hat jedoch das Bundesverwaltungsgericht der Beschwerde aufschiebende Wirkung erteilt und damit zum Ausdruck gebracht, dass Erfolgschancen für die Beschwerde bestehen. Der Bundesrat hat seinen Beschluss direkt auf die ihm durch die Verfassung eingeräumten Befugnisse in den Bereichen Außen- und Sicherheitspolitik gestützt. In seinem Entscheid hat das Bundesverwaltungsgericht nun explizit festgehalten, dass es kompetent ist, die Entscheide der Bundesbehörden, wie des Eidgenössischen Finanzdepartements, welche sich auf den Bundesratsbeschluss stützen, auf ihre Rechtmäßigkeit zu überprüfen und damit indirekt auch die Rechtmäßigkeit des Bundesratsbeschlusses. Im Einzelnen ist für direkt auf die verfassungsmäßigen Kompetenzen abgestützte Beschlüsse des Bunderates umstritten, ob sich diese nur innerhalb des Rahmens der bestehenden Gesetze bewegen dürfen oder ob der Bundesrat auch vom geltenden Recht abweichen kann und falls ja, unter welchen Voraussetzungen. Das Bundesverwaltungsgericht wird daher zu prüfen haben, ob der Bundesrat in seinem Beschluss von den Grundsätzen des WTO/GATT-Abkommens, welches gerade zum Ziel hat, dass ausländischen Unternehmen die Teilnahme an Ausschreibungsverfahren möglich sein soll, sowie vom Diskriminierungsverbot, wie es nach dem Bundesgesetz über das öffentliche Beschaffungswesen gilt, abweichen durfte und ob er dabei alle relevanten Rahmenbedingungen und Einschränkungen beachtet hat. Für ausländische Unternehmen sowie für schweizerische Unternehmen, die mehrheitlich im Besitz von Ausländern sind, insbesondere Tochterunternehmen ausländischer Konzerne, ist der Entscheid im Cablecom Fall von großer Bedeutung. Je nach Ausgang dieses Verfahrens könnten für sie potentielle Aufträge aus dem Bereich der Bundesverwaltung verloren gehen. Vor allem wird es auch interessant sein zu sehen, ob das Bundesverwaltungsgericht sich dazu äußert, was genau unter den im Bundesratsbeschluss erwähnten 'besonders kritischen Informations- und Kommunikationstechnik (IKT)-Infrastrukturen' zu verstehen ist. Dieser Begriff ist entscheidend für die Festlegung des Anwendungsbereichs des Bundesratsbeschlusses, sollte sich dieser als rechtmäßig erweisen. Je weiter diese Kategorie von IKT-Infrastrukturen gefasst wird, um so größer ist das Marktsegment, für welches ausländische Unternehmen von Bundesaufträgen ausgeschlossen werden. Für betroffene Unternehmen ist wichtig, dass sie bereits die Ausschreibung mit Beschwerde anfechten können und müssen, wenn sie sich die Möglichkeit offen halten wollen, zu einem bestimmten Beschaffungsverfahren zugelassen zu werden. Denn unterbleibt eine solche Anfechtung, werden die Ausschreibungsbedingungen rechtsgültig und können nicht mehr nachträglich angefochten werden. Auch wenn sich im Cablecom-Fall herausstellen sollte, dass der Bundesratsbeschluss im Grundsatz gültig ist, lohnt es sich jeweils genau zu prüfen, ob er in den einzelnen Ausschreibungen, die auf ihn abgestützt werden, auch korrekt umgesetzt wird. So wäre eine Ausschreibung etwa dann anfechtbar, wenn es sich bei den nachgefragten Leistungen effektiv gar nicht um solche handeln sollte, die besonders kritische IKT-Infrastrukturen betreffen.
► 19) "Nordic IT Security 2014", Stockholm (Rückschau)
Bericht von Christine Ziske, TeleTrusT-Mitglied KikuSema; zum 2.Mal auf der Nordic IT Security Conference
Am 05.11.2014 fand in Stockholm ein kompakter Konferenz- und Messetag, die "Nordic IT Security Conference" (www.nordicitsecurity.com/ ) unter der jährlich erneuerten Aufforderung "Secure Your IT Infrastructure against 'NEX-GEN' Threats" statt. Rund 250 Teilnehmer nahmen das Angebot der breitgefächerten Fachvorträge an und besuchten die Expo der inländischen und internationalen Aussteller. Vierzig Aussteller fanden sich zusammen, darunter IT-Security-Solution-Anbieter mit globaler Verbreitung, die zumeist ihre Präsenz im EMEA-Gebiet und speziell im skandinavischen Raum etablieren oder ausbauen wollen. Der gesamte Tag war sehr gut organisiert und strukturiert. Im Zentrum befanden sich die Messestände und die Hauptbühne, die u.a. für Kurzpräsentationen der Aussteller genutzt wurde. Highlights waren die Live Hacking Demo von David Jacoby des Team Kaspersky Lab "Hacking my own home - Hacking of Things: a concrete look at IoT and how secure it is" und der Auftritt von James Snow (Google) zum Thema " Securing and protecting user information online". Verglichen mit dem doch relativen kleinen Markt von ca. 25 Millionen Einwohner in Skandinavien, hatte diese Konferenz eine attraktive Größe. Mit großen Umsätzen aufgrund der geringen Bevölkerung ist nicht zu rechnen, aber der Kontakt mit Behörden und dem kommunalen Sektor sollte nicht unterschätzt werden. Schweden war und ist Deutschland in der flächendeckende Anwendung von qualitativen Internetapplikationen weit voraus. Die Nutzung von e-legitimationen vor allem im elektronischen Datenverkehr mit öffentlichen Einrichtungen und Behörden ist seit ca. 10 Jahren normaler Alltag für den schwedischen Bürger. Das Multifaktor-Onlinebanking wurde von der Nordea Bank bereits 2002 eingeführt. Abseits des Hauptgeschehens hörte man neben den skandinavischen Sprachen und Englisch in diesem Jahr auch Niederländisch und Französisch, aber noch kein Deutsch. Das sollten wir ändern! Wir möchten einen Partnerstand der TeleTrusT "IT Security made in Germany" initiieren. Ein Video, welches den Tag gut zusammenfasst und einen Eindruck der Konferenzräumlichkeiten vermittelt, findet sich unter folgendem Link: www.youtube.com/watch?v=U1crLUV1ft0
► 20) Call for speakers: FIRST Conference "Unified Security: Improving the Future", Berlin 2015
TeleTrusT ist Partner der "27th Annual FIRST Conference, 'Unified Security: Improving the Future'" vom 14.06. - 19.06.2015 in Berlin. Der "call for speakers" ist eröffnet:
"The Call for speakers for the 27th Annual FIRST Conference, 'Unified Security: Improving the Future' is open. Please see the announcement from the 2015 Program Chair and submission form at cfp.first.org/event/5/overview. Submissions are due January 5th. If you have any questions regarding the conference, please do not hesitate to reach FIRST at first-2015(at)first.org."
► 21) TeleTrusT ist Partner der OMNICARD 2015 / Frühbucheranmeldung bis 10.12.2014
Das Programm für die nächste OMNICARD steht fest und ist online:
www.omnicard.de/index.php/de/omnicard/programm
Der Branchenkongress OMNICARD bietet vom 20.01. - 22.01.2015 in Berlin erneut ein aktuelles und breites Themenspektrum rund um "Smart ID solutions". Ein Schwerpunkt wird die Sicherheit von Bezahlsystemen und mobiles Bezahlen sein. Neu ist der Blick auf gesellschaftspolitische Fragestellungen. Unter den Titeln "Kritische Infrastrukturen" und "Demokratie 0.5" befasst sich der Kongress mit Fragen zu den Zusammenhängen von Technologie und Gesellschaft und den daraus resultierenden Problemen und Gefahren. Zwei Podiumsdiskussionen lassen zudem kontroverse Diskussionen erwarten. Die Schirmherrschaft hat erneut das Bundesministerium des Innern.
Anmeldung unter www.omnicard.de/index.php/de/omnicard/kongressanmeldung (bis 10.12.2014 Frühbucherrabatt).
► 22) BMWi: Informationen zu anstehenden Aktivitäten mit möglichem Themenbezug "IT-Sicherheit"
Aktuell bekannter Terminstand:
■ 09.02. - 13.02.2015: Geschäftsanbahnungsreise nach Südkorea (Terminänderung)
Der OAV - German Asia-Pacific Business Association (TeleTrusT-Partnerorganisation) lädt im Rahmen des BMWi-Markterschließungsprogramms für KMU zu einer Geschäftsanbahnungsreise nach Südkorea für deutsche KMU aus den Bereichen IT und Telekommunikationstechnik ein, die der OAV und die Deutsch-Koreanische Industrie- und Handelskammer (AHK) vom 09. - 13.02.2015 im Auftrag des BMWi organisieren. Im Rahmen der Reise erhalten deutsche kleine und mittelständische Unternehmen aus dem IKT-Bereich die Möglichkeit, an einer fachbezogenen Präsentationsveranstaltung zum Thema IT und Telekommunikation teilzunehmen und ihre Produkte und Dienstleistungen interessierten lokalen Vertretern aus Wirtschaft, Behörden und Multiplikatoren zu präsentieren.
Nähere Informationen unter www.oav.de/uploads/tx_ttnews/kr_1502_Flyer_final.pdf und www.oav.de/uploads/tx_ttnews/kr_1502_GAB_Anmeldung.pdf
Kontakt:
Norman Langbecker
OAV - German Asia-Pacific Business Association
Bleichenbrücke 9
20354 Hamburg
Tel.: +49 40 35 75 59-15
langbecker(at)oav.de
► 23) Medienberichte mit TeleTrusT-Bezugnahme
(Auswahl)
■ TeleTrusT: "European Cyber Security Challenge: Deutschland Zweiter", in: datensicherheit.de, 07.11.2014
■ TeleTrusT: "'Anbieterverzeichnis IT-Sicherheit' bildet Leistungsspektrum der IT-Sicherheitsindustrie in Deutschland ab", in: http://www.all-about-security.de, 20.11.2014
■ Prof. Dr. Norbert Pohlmann (TeleTrusT-Mitglied if(is); TeleTrusT-Vorsitzender): "Die IT-Sicherheitsprobleme werden immer größer und größer", in markt & wirtschaft westfalen, 21.11.2014
■ Ammar Alkassar (TeleTrusT-Mitglied Sirrix; TeleTrusT-Vorstand): "Industrie 4.0 braucht umfassende Sicherheitskonzepte", in: http://blog.qsc.de, 24.11.2014
■ Christian Methe (TeleTrusT-Mitglied exceet; TeleTrusT-Regionalstelle Düsseldorf): "Sichere Industrie 4.0-Prozesse", in: itseccity.de, 24.11.2014
■ TeleTrusT: "Das Netz und der Tod - Umgang mit digitalen Identitäten von Verstorbenen", in IT-Security-Magazin.de, 27.11.2014
■ Dr. Willi Kafitz (TeleTrusT-Mitglied Unify; EBCA Board): "Cyber security for critical national infrastructures - a case for homeland security", in: Cyber Security Review, Winter 2014/2015
■ TeleTrusT: "Was geschieht mit digitalen Daten Verstorbener?", in: postmaster-magazin.de, 01.12.2024
■ TeleTrusT: "System Security Engineering gewinnt an Bedeutung", in: GIT Sicherheit, 01.12.2014
► 24) Nächste TeleTrusT-Eigenveranstaltungen
Aktueller Terminstand:
■ 19.02.2015, Berlin: TeleTrusT/BDB-Informationstag "Das Netz und der Tod: Umgang mit digitalen Identitäten von Verstorbenen"; www.teletrust.de/veranstaltungen/netz-und-tod/
Weiterführende Informationen auf www.teletrust.de
► 25) Nächste TeleTrusT-Gremiensitzungen
Aktueller Terminstand:
■ 16.12.2014, Berlin: TeleTrusT-AG "Biometrie"
■ 14.01.2015, Berlin: TeleTrusT-AG "Informationssicherheitsmanagement"
■ 15.01.2015, Frankfurt/M.: TeleTrusT-EBCA-AG "Technik"
■ 23.01.2015, Berlin: TeleTrusT-AG "SICCT"
■ 23.01.2015, Berlin: TeleTrusT-AG "Recht"
■ 26.01.2015, Berlin: TeleTrusT-AG "Smart Grids / Industrial Security"
■ 27.01.2015, Berlin: TeleTrusT-EBCA Board
■ 17.02.2015, Berlin: TeleTrusT-AG "IT-Sicherheit in der Marktforschung"
► 26) Nächste TeleTrusT-Partnerveranstaltungen
Aktueller Terminstand:
■ 03.12. - 04.12.2014, Berlin, DE: Board Meeting und Generalversammlung von Digital Trust and Compliance Europe (DTCE), Gastgeber TeleTrusT
■ 20.01. - 22.01.2015, Berlin, DE: OMNICARD
www.omnicard.de
■ 14.06. - 19.06.2015, Berlin, DE: 27th Annual FIRST Conference 'Unified Security: Improving the Future'
cfp.first.org/event/5/overview
Siehe auch www.teletrust.de ("TeleTrusT ist Partner"). Bitte bei Buchungen ggf. beachten: Partnerveranstaltungen beinhalten in der Regel Sonderkonditionen für TeleTrusT-Mitglieder.