Inhaltsverzeichnis BSI Tagungsband 2015 Vorwort ....................................................................................................................................9 Programmbeirat ...................................................................................................................... 10 Autorenverzeichnis ............................................................................................................... 583 Stichwortregister ................................................................................................................... 585 Sichere mobile Kommunikation Sebastian Hönig, Hewlett-Packard Deutschland GmbH: NFCrypt – Wie Near Field Communication unsere mobile Sicherheit vereinfacht ................. 11 Frank Rieger, Dr. Björn Rupp, GSMK Gesellschaft für Sichere Mobile Kommunikation mbH: Erkennung, Lokalisierung und Bekämpfung von Mobilfunkangriffen - Wege hin zu einem nationalen Lagebild Mobilfunk ............................................................................................... 23 Thomas Maier:, Dr. Jörn-Marc Schmidt:, Lukasz Kubik:, Thomas Mohnhaupt:, Corinna Lingstädt, secunet Security Networks AG YOP-Datenschutzcockpit – Das YourOwnPrivacy Enforcement-Regelwerk für mobile Endgeräte ................................................................................................................... 35 Kristoffer Braun, Philipp Rack, Technische Universität Darmstadt /CASED/EC SPRIDE: Shoulder-Surfing resistente Authentisierung an mobilen Endgeräten ..................................... 45 IT Recht und Datenschutz Prof. Bernhard Esslinger, Universität Siegen, IT-Sicherheit und Kryptologie, Dr. Sibylle Hick, Lars Wittmaack, Deutsche Bank AG: Kryptographische Awareness als Fundament sicherer Lösungen -- Skalierbares Kryptographie-Verständnis mit CrypTool .............................................................................. 57 Marco Ghiglieri, Jan Müller, Technische Universität Darmstadt /CASED/EC SPRIDE: Datenschutzfreundliche Erfassung von Nutzungsdaten bei Smart Entertainment Geräten" ....71 Philipp Roos, Institut für Informations-, Telekommunikations- und Medienrecht Zivilrechtliche Abteilung: MonIKA: IT-Sicherheit durch kooperatives Monitoring – Die Rolle kooperativer Ansätze in den europäischen und nationalen Plänen zur Regulierung der IT-Sicherheit .......................... 83 Joerg Heidrich, Dr. Christoph Wegener, Ruhr-Universität Bochum: Aktuelle rechtliche und technische Anforderungen an die Protokollierung von Nutzerdaten in Unternehmen .................................................................................................. 99 Sicherheit von Plattformen und Netzen Thomas Veit: Secctl - Ein neues Sicherheitsmodul für den Linux-Kernel................................................... 113 Markus Maybaum, NATO Cooperative Cyber Defence Centre of Excellence, Fraunhofer FKIE: Trusted Control Flow Integrity - Integritätskontrolle auf Prozessebene in Trusted Computing Systemen" .......................................................................................................... 129 Jaspreet Kaur, Christian Herdin, Jernej Tonejc, Steffen Wendzel, Michael Meier, Sebastian Szlósarczyk, Cyber Security Department, Fraunhofer FKIE, Bonn / Rheinische FriedrichWilhelms-Universität Bonn / Hochschule für angewandte Wissenschaften Augsburg: Novel Approaches for Security in Building Automation Systems........................................ 145 Ulrich Kohn, Michael Ritter, ADVA Optical Networking SE: Risk Mitigation by Using Secure Connectivity in SDN-/NFV-Centric Networks ................ 159 Industrial Security Andreas Martin Floß, HiSolutions AG: Sicherheit von industriellen Steuerungssystemen - ICS Security mit BSI IT-Grundschutz...... 167 Michael Gröne, Andre Wichmann, Sirrix AG security technologies: LARS - Leichtgewichtiges Werkzeug zum Einstieg in IT-Sicherheit für Betreiber von Industriesteuerungs-Anlagen ................................................................................................ 177 Heiko Rudolph, Aaron Brown, Michael Klassen, Dominik Goergen, admeritia GmbH: Technische Sicherheitstests für ICS Anlagen ...................................................................... 191 Andreas Philipp, Utimaco IS GmbH: Industrie 4.0: Sicherheitsmechanismen für die Produktion .................................................. 207 Sicheres Cloud Computing Dr. Ralf Rieken, Uniscon GmbH, Dr. Hubert Jäger, Arnold Monitzer, Edmund Ernst: Technische Versiegelung – effektiver Schutz für Inhalte und Metadaten in der Cloud ............... 211 Dr. Günther Hoffmann, Humboldt Universität zu Berlin und ContentPro AG: Sicherer Austausch und Speicherung von Dateien in cloudbasierten Speichern................... 223 Bernd Jäger, Colt Technology Services GmbH, Reiner Kraft und Ulrich Waldmann, FraunhoferInstitut für Sichere Informationstechnologie SIT, Sebastian Luhn, Westfälische WilhelmsUniversität Münster, Thomas Wilmer, avocado rechtsanwälte: Datenschutz in der Cloud - Kennzahlen für mehr Vertrauen ................................................ 231 David Fuhr, HiSolutions AG: OPC Is Dead – Let’s Hide It in a SOA: Risiken der Serviceorientierten Automatisierung... 243 Cyber-Sicherheit Andreas Fießler, Alexander von Gernler, genua Gesellschaft für Netzwerk- und UnixAdministration mbH, Sven Hager, Björn Scheuermann, Humboldt-Universität zu Berlin: HardFIRE - ein Firewall-Konzept auf FPGA-Basis ............................................................. 251 Marco Ghiglieri, Florian Oswald, Technische Universität Darmstadt /CASED/EC SPRIDE: SSP – Ansatz zur garantierten Durchsetzung von Web Sicherheitsmaßnahmen auf dem Client ...................................................................................................................... 263 Sergej Proskurin, Fatih Kilic, Prof. Dr. Claudia Eckert, Technische Universität München: Retrospective Protection utilizing Binary Rewriting ............................................................ 275 Ramon Mörl, Andreas Koke, itWatch GmbH: BadUSB, aktuelle USB Exploits und Schutzmechanismen .................................................. 289 Formatiert: Schriftart: 13 Pt. 6 14. Deutscher IT‐Sicherheitskongress des BSI Management von Informationssicherheit Steve Durbin, Information Security Forum (ISF): Threat Horizon 2015, 2016 & 2017 – on the edge of trust ................................................... 303 Thomas Günther, INFODAS GmbH, Ralf Dittmar, Rohde & Schwarz SIT GmbH: Der inverse Türsteher im Einsatz – Geheimschutzfähige Domänenübergänge heute ............ 309 Matthias Hofherr, atsec information security GmbH: Energie pur - Aufbau von Informationssicherheit-Managementsystemen in der Energiebranche ..................................................................................................................... 321 Jörn Störling, Dr. Sven Wenzel, Fraunhofer-Institut für Software- und Systemtechnik ISST: Systematische Risikobewertung von mobilen Endgeräten im Unternehmenseinsatz ............ 329 Sichere Identitäten Holger Funke, HJP Consulting GmbH, Tobias Senger, Bundesamt für Sicherheit in der Informationstechnik (BSI): PersoSim - ein Simulator für den elektronischen Personalausweis ....................................... 343 Klaus Schmeh, Marco Smeja, cv cryptovision GmbH: Der elektronische Personalausweis Nigerias – Eine Case Study ........................................... 355 Moritz Platt, Springer Science+Business Media Deutschland GmbH, Dr. Ivonne Scherfenberg, Martin Schröder, Bundesdruckerei GmbH: Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe .................... 365 Jörg Apitzsch, Marco von der Pütten, Governikus KG: Sicherheit in allen Netzen mit OSCI2 und AusweisApp2 .................................................... 387 Ulrich Dietz, eGovernment on Smartphones – What gain or lose citizens or public authorities? ............... 401 Sicherheit und Vertrauen Erwin Kruschitz, anapur AG: Security für Safety Systeme. Ein Einblick in die riskobehafteten Zonen der Industrial Control Systeme ................................................................................................................... 413 Matthias Wübbeling, Arnold Sykosch, Prof. Dr. Michael Meier, Fraunhofer FKIE, Abteilung Cyber Security: MonIKA: Cooperative IT Security Monitoring for Competing Participants ......................... 427 Dr. Rolf Lindemann, Nok Nok Labs, Inc.: FIDO - Modern Authentication............................................................................................. 439 Dr. Helge Kreutzmann, Bundesamt für Sicherheit in der Informationstechnik: Sektorspezifische Zertifikate im internationalen Kontext: Past, Present and Future ............ 449 Cyber-Sicherheit Dr. Ulf Höper, Industrieanlagen-Betriebsgesellschaft mbH, DDr. Manfred Stallinger , calpana business consulting gmbh: Dynamisches Risikomanagement ......................................................................................... 463 14. Deutscher IT‐Sicherheitskongress des BSI 7 Dr. Safuat Hamdy, Technische Universität München, Lehrstuhl für Sicherheit in der Informationstechnik: Analyse der Forderungen der Datenschutzbeauftragten zu IPv6 .......................................... 479 Mag. Dr. Edith Huber, Donau-Universität Krems, Univ.-Prof. Dipl.-Ing. DDr. Gerald Quirchmayr, Dr.Otto Hellwig, Universität Wien: Wissensmanagement bei CERTs – eine europäische Herausforderung ................................ 493 Standards und Prüfverfahren Dr. Sönke Maseberg, datenschutz cert GmbH, Bernhard Berger, Technologie-Zentrum Informatik und Informationstechnik der Universität Bremen (TZI), Paul Gerber, TU Darmstadt, CASED, EC SPRIDE: Zertifizierte Apps ................................................................................................................. 505 Dr. Thomas Hesselmann, Dr. Manfred Lochter, Prof. Dr. Werner Schindler, Bundesamt für Sicherheit in der Informationstechnik: Bewertung und Evaluierung kryptographischer Mechanismen in CC-Zertifizierungsverfahren im deutschen Schema ............................................................. 517 Gerald Krummeck, atsec information security GmbH: Trau, Schau, Wem................................................................................................................ 527 Boban Kršić, DENIC eG, Alexander Koderman, SerNet GmbH: IS-Management als Prävention von Cyber-Bedrohungen bei der DENIC eG ..................... 537 Gewährleistung von Hochsicherheit Matthias Adams, Rohde & Schwarz SIT GmbH: Moderne E2E-Verschlüsselung mit SCIP-DE ...................................................................... 549 Dr.-Ing. Michael Pehl, Dipl.-Ing. Florian Wilde, Technische Universität München, Prof. Dr.Ing. Georg Sigl, Fraunhofer Institut für Angewandte und Integrierte Sicherheit, AISEC, Dr. rer. nat. Berndt Gammel, Infineon Technologies AG: Qualitätsevaluierung von Physical Unclonable Functions als Schlüsselspeicher.................. 559 Jan Klemkow, genua mbh: Datendioden - Sicherheit und Praktikabilität von Einweg-Datenverbindungen .................... 571 Formatiert: Schriftart: 13 Pt. 8 14. Deutscher IT‐Sicherheitskongress des BSI Vorwort Die Digitalisierung bietet ökonomische sowie gesellschaftliche Potenziale, auf die ein hochentwickeltes und industrialisiertes Land wie Deutschland nicht verzichten kann. Im Zuge der Industrie 4.0 beispielsweise können Produktions- und Geschäftsprozesse optimiert werden, indem Maschinen, Produktionsanlagen, Sensoren und Aktoren miteinander vernetzt sind und unmittelbar Daten austauschen können. Dieser technische Fortschritt ermöglicht es, eine ortsund zeitunabhängige Geschäftsabwicklung zu realisieren, für die z. B. fast jedes mobile ITProdukt genutzt werden kann. Mit der Digitalisierung gehen umfangreiche neue Herausforderungen für die Cyber-Sicherheit einher: die zunehmende Durchdringung aller Arbeits- und Lebensbereiche mit Informationstechnologie eröffnet insbesondere eine Vielzahl neuer Angriffsmöglichkeiten. Hiervon sind alle Nutzergruppen – Staat, Wirtschaft, Wissenschaft und Bürger - betroffen. Von den aktuellen konkreten Gefährdungen sind vor allem Identitätsdiebstahl, APT-Angriffe und nachrichtendienstliche Angriffe hervorzuheben. Die millionenfachen Identitätsdiebstähle 2014 oder Schadprogramme wie Regin oder Dragonfly belegen, dass die IT-Gefährdungslage kritisch ist und Angreifer sich weiter professionalisieren. Im Rahmen der Digitalisierung stoßen so altbekannte konventionelle IT-Sicherheitsmechanismen schnell an ihre Grenzen und vermögen es nicht, Zuverlässigkeit und Beherrschbarkeit in gewohntem Maße zu gewährleisten. Der traditionelle Perimeterschutz in der IT-Sicherheit wird überholt oder gar unwirksam. Hierauf müssen wir uns in Zukunftsbereichen wie etwa Industrie 4.0, Smart Home oder Smartphone-Nutzung einstellen. Für erfolgreiche Lösungsansätze bedarf es einer engen Zusammenarbeit zwischen Staat, Wirtschaft und Wissenschaft. Zielsetzung gemeinsamer Anstrengungen muss sein: Kompetenz, Lösungsorientierung, Kooperation und Transparenz im Handeln zu erreichen bzw. zu schaffen. Dies gilt insbesondere in den Bereichen Kryptosicherheit, Cyber-Sicherheit und ITSicherheitsmanagement. Mit dem diesjährigen IT-Sicherheitskongress mit dem Motto "Risiken kennen, Herausforderungen annehmen, Lösungen gestalten", wollen wir insbesondere das Leitthema vernetzte ITSicherheit aufgreifen – sowohl in der thematischen Dimension wie auch aus kooperativer Perspektive. Michael Hange Präsident des Bundesamtes für Sicherheit in der Informationstechnik 14. Deutscher IT‐Sicherheitskongress des BSI 9 Zu den vom BSI berufenen Mitgliedern des Programmbeirates gehören: Dr. Rainer Baumgart; secunet Security Networks AG Prof. Dr. Christoph Busch; Competence Center for Applied Security Technology CAST e.V. Dr. Walter Fumy; Bundesdruckerei GmbH Prof. Dieter Kempf; BITKOM – Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. Prof. Dr. Klaus-Peter Kossakowski; HAW Hamburg / DFN-CERT Services GmbH Dr. Stefan Mair; Bundesverband der Deutschen Industrie e.V. Prof. Dr. Peter Martini; Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE Prof. Dr. Alexander May; Lehrstuhl für Kryptologie und IT-Sicherheit, RuhrUniversität Bochum Dr. Gisela Meister; Giesecke & Devrient GmbH Dr. Klaus Mittelbach; ZVEI – Zentralverband Elektrotechnik- und Elektronikindustrie e.V. Dr. Holger Mühlbauer; TeleTrusT – Bundesverband IT-Sicherheit e.V. Prof. Dr. Reinhard Posch; Technische Universität Graz Chief Information Officer (CIO) der österreichischen Bundesregierung Prof. Michael Rotert; eco - Verband der deutschen Internetwirtschaft e.V. Jürgen Schmidt; heise Security François Thill; Direction du commerce électronique et de la sécurité informatique Andrea Voßhoff; Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Gerhard Weck; INFODAS - Gesellschaft für Systementwicklung und Informationsverarbeitung mbH Winfried Wirth; Rohde & Schwarz SIT GmbH Klaus-Dieter Wolfenstetter; Deutsche Telekom AG Steffen Zimmermann; Verband Deutscher Maschinen- und Anlagenbau e.V. 10 14. Deutscher IT‐Sicherheitskongress des BSI Formatiert: Schriftart: 13 Pt.