Sichere Nutzung von e-Vergabe

Bedienerhandbuch
Sichere Nutzung von e-Vergabe-Clients
Version 5.7
12.06.2015
[email protected]
Bedienerhandbuch Sichere Nutzung von e-Vergabe-Clients
Inhaltsverzeichnis
1
Einleitung .................................................................................................................. 1
2
Allgemeine Sicherheitsmaßnahmen ....................................................................... 1
3
4
5
2.1
Absicherung des Client-PC gegen Schadcode ...................................................... 2
2.2
Sichere Nutzung von Web-Applikationen ............................................................ 3
Nutzung der e-Vergabe-Clients .............................................................................. 5
3.1
Korrekte Zeiteinstellung ........................................................................................ 5
3.2
Java-Laufzeitumgebung ......................................................................................... 5
3.3
Download und Installation der e-Vergabe-Clients .............................................. 6
Umgang mit Signaturzertifikaten ........................................................................... 9
4.1
Schutz der Signaturzertifikate ............................................................................... 9
4.2
Verwendung des e-Vergabe-Signaturclients ........................................................ 9
Kontakt ................................................................................................................... 10
Version 5.7
12.06.2015
Seite I
Sichere Nutzung von e-Vergabe-Clients
1
Einleitung
Die über die e-Vergabe-Plattform durchgeführten Vergabeverfahren sind für alle Beteiligten von
großer Bedeutung. Aus diesem Grund wird auf die sichere Entwicklung der verschiedenen
Plattformkomponenten (Server und Clients) und deren sicherer Betrieb besonderer Wert gelegt.
Während der sichere Betrieb der zentralen Server-Komponenten durch eine Vielzahl von
Sicherheitsmaßnahmen auch im Rechenzentrum gewährleistet werden kann, muss der sichere
Betrieb der Clients im Wesentlichen durch die Anwender selbst bzw. deren IT-Abteilungen
sichergestellt werden. Das Beschaffungsamt des Bundesministeriums des Innern unterstützt die eVergabe-Anwender, indem es Clients für die Plattform bereitstellt, die nicht nur durch ihre
Entwicklung ein hohes Sicherheitsniveau aufweisen, sondern deren Authentizität und Integrität
vom Anwender überprüft werden kann. Der Anwender kann sich also immer sicher sein, dass er
die Original-Software der e-Vergabe verwendet.
Die Bereitstellung einer sicheren Client-Anwendung kann aber immer nur ein Teil eines sicheren
Nutzungsszenarios sein. Mindestens genauso wichtig ist es, die Anwendungen auf sicher
konfigurierten Computern zu betreiben. Dieses Dokument soll dabei helfen, diese Sicherheit für
Ihren Computer zu schaffen.
Im ersten Teil werden allgemeine Hinweise zur Sicherheit von Arbeitsplatz-Computern gegeben.
Dabei wird auch auf weiterführende Literatur verwiesen, wie sie zum Beispiel vom Bundesamt
für Sicherheit in der Informationstechnik (BSI) zur Verfügung gestellt wird. Im zweiten Teil
dieses Dokumentes werden konkrete Sicherheitsmaßnahmen im Kontext der e-Vergabe-Clients
vorgestellt.
2
Allgemeine Sicherheitsmaßnahmen
Auch wenn eine Software im Hinblick auf größtmögliche Sicherheit entwickelt wurde, kann sie
keine absolute Sicherheit garantieren. Wenn beispielsweise der Computer, auf dem sie ausgeführt
wird, von Schadcode befallen ist, können unter anderem Tastatureingaben wie Benutzernamen
und Passworte abgefangen und per Internet an einen Angreifer übermittelt werden. Auf diese
Weise können gegebenenfalls auch vertrauliche Dokumente an ihn fallen und von diesem
missbraucht werden. Auch eine Manipulation von Kartenlesern für den Signaturkarten-Einsatz
kann von einem Angreifer aus der Ferne durchgeführt werden.
Version 5.7
12.06.2015
Seite 1
Sichere Nutzung von e-Vergabe-Clients
Unabhängig von der Nutzung der e-Vergabe-Clients liegt es also auch im Interesse des
Anwenders, seinen Computer bestmöglich vor Angriffen zu schützen. Im Folgenden werden
Hinweise auf eine solche Absicherung gegeben. Sie stellen aber keine vollständige Auflistung
notwendiger Sicherheitsmaßnahmen dar, sondern stellen eher eine Grundlage für die Absicherung
des Computers dar.
Für weitergehende Informationen sei hier auf das Internetangebot des BSI verwiesen: Unter
https://www.bsi-fuer-buerger.de/ werden viele Aspekte der IT-Sicherheit verständlich erklärt und
Hinweise auf geeignete Sicherheitsmaßnahmen gegeben.
2.1
Absicherung des Client-PC gegen Schadcode
Mit Schadcode werden Programme jeder Art bezeichnet, die versuchen, einem Fremden Zugriff
auf den Computer oder Teile davon erlauben. Dazu gehören beispielsweise Viren und Trojaner,
aber auch in Office-Dateien können schädliche aktive Elemente (z. B. Makros) enthalten sein. Um
sich bzw. den eigenen Computer gegen Schadcode zu schützen, sollten im Wesentlichen zwei
Maßnahmen durchgeführt werden:
1. Regelmäßige Installation von Aktualisierungen für das Betriebssystem und
Anwendungssoftware. Häufig ist es sinnvoll, diese Aktualisierungen automatisch
installieren zu lassen. So kann sichergestellt werden, dass Fehlerbehebungen zeitnah zum
Einsatz kommen und die Angriffsfläche des Computers deutlich reduziert wird.
2. Verwendung eines sogenannten Virenscanners, der zumindest täglich seine
Virensignaturen aktualisiert. Moderne Schutzsysteme leisten viel mehr als die reine
Untersuchung der Programmdateien auf Schadcode und bieten somit einen umfassenden
Schutz.
Wichtig ist jedoch, dass es bei allen technischen Sicherheitsmaßnahmen keinen Ersatz für einen
aufmerksamen Anwender gibt, der eingehende Mails und Interaktionen im Web-Browser mit der
nötigen Aufmerksamkeit bearbeitet. Auf diese Weise können Angriffsversuche wesentlich
effektiver aufgedeckt und das Einnisten von Schadcode vermieden werden.
Version 5.7
12.06.2015
Seite 2
Sichere Nutzung von e-Vergabe-Clients
2.2
Sichere Nutzung von Web-Applikationen
Das BSI bietet nicht nur unter der Adresse https://www.bsi-fuer-buerger.de/ Informationen zur
Sicherheit im Internet, sondern hält unter https://www.bsi.bund.de/DE/Themen/CyberSicherheit/ISi-Reihe/ISi-Reihe_node.html eine Reihe von Dokumenten bereit. Diese ist nicht nur
für Behörden, sondern auch für Unternehmen interessant, die ihre unterschiedlichen Kanäle der
Internet-Kommunikation absichern möchten. Im Kontext dieses Dokuments ist das Modul
„Sichere Nutzung von Web-Angeboten“ (https://www.bsi.bund.de/DE/Themen/CyberSicherheit/ISi-Reihe/ISi-Web-Client/web_client_node.html) besonders interessant. Bei der
Umsetzung von Sicherheitsmaßnahmen muss jedoch wie immer berücksichtigt werden, welche
Anforderungen die Web-Applikation hat: Deaktiviert man z. B. nach BSI-Vorgaben aktive Inhalte
jeglicher Art, so können die e-Vergabe-Clients nicht mehr gestartet werden, da sie per Java
WebStart heruntergeladen und ausgeführt werden.
Da der Einstieg in die e-Vergabe normalerweise über die Adresse https://www.evergabeonline.de/ erfolgt, muss der Zugriff über einen sicheren Browser erfolgen. Hinweise zur Auswahl
und Konfiguration eines sicheren Browsers finden sich z. B. unter https://www.bsi-fuerbuerger.de/ unter Wie bewege ich mich sicher im Netz?>Wie komme ich ins Internet>Der
Browser. Für den Browser sollte die jeweils aktuelle Version zeitnah nach Erscheinen installiert
werden. Hierzu sind in vielen Browsern Automatismen vorgesehen, die aktiviert werden sollten.
Eine verschlüsselte Kommunikation per HTTPS ist einer ungesicherten Kommunikation via
HTTP immer vorzuziehen. Bei allen Web-Angeboten sollte daher die Adresse mit der
Zeichenkette „https://“ beginnen, was vom Browser mit einem geschlossenen Schlosssymbol
angezeigt wird. Dies gilt insbesondere auch für Zugriffe auf die e-Vergabe, da nur so
sichergestellt werden kann, dass man tatsächlich mit den Servern der e-Vergabe kommuniziert
und nicht auf gefälschte Web-Angebote hereinfällt.
Die e-Vergabe-Plattform weist sich mit einem SSL-Zertifikat aus, welches für das
Beschaffungsamt des Bundesministeriums des Innern ausgestellt ist. Dieses Zertifikat wird von
allen Browsern als gültig erkannt. Sollte es dennoch zu einer Zertifikatswarnung des Browsers
kommen, sollte die Verbindung abgebrochen und der IT-Support der e-Vergabe benachrichtigt
werden.
Version 5.7
12.06.2015
Seite 3
Sichere Nutzung von e-Vergabe-Clients
Das Zertifikat im Browser angezeigt werden, indem man auf das Schlosssymbol klickt und dann

im Firefox Weitere Informationen>Zertifikat anzeigen wählt,

im Chrome Verbindung>Zertifikatsinformationen und im folgenden Dialog den Reiter
Details wählt,

im Internet Explorer Zertifikate anzeigen und im folgenden Dialog den Reiter Details
wählt.
In den dann angezeigten Informationen muss im Abschnitt Ausgestellt für bzw. Antragsteller die
Organisation (O) Beschaffungsamt des Bundesministeriums des Innern angezeigt werden, wie es
in der folgenden Abbildung dargestellt wird.
Version 5.7
12.06.2015
Seite 4
Sichere Nutzung von e-Vergabe-Clients
3
Nutzung der e-Vergabe-Clients
Für die Nutzung der e-Vergabe-Clients gibt es verschiedene Voraussetzungen, z. B. die
unterstützten Betriebssysteme, Java-Versionen oder Zertifikate. Alle notwendigen
Voraussetzungen können unter https://www.evergabe-online.info/ eingesehen werden. Auch
werden dort im Bereich Service unter Aktuelles aktuelle und wichtige Informationen zur eVergabe veröffentlicht.
3.1
Korrekte Zeiteinstellung
Um Probleme bei der Nutzung der e-Vergabe gerade im Zusammenhang mit Fristen der
Vergabeverfahren zu vermeiden, sollte sichergestellt werden, dass die Einstellung von Datum und
Uhrzeit auf dem eingesetzten Arbeitsplatz-Computer korrekt ist. Bei der Abgabe von
Teilnahmeanträgen und Angeboten zählt immer die Zeiteinstellung der Server der e-VergabePlattform, die ihre Uhrzeit mit einer vertrauenswürdigen Zeitquelle synchronisieren. Eine
automatische Zeitsynchronisation sollte auch für die Arbeitsplatz-Computer eingerichtet sein, auf
denen die e-Vergabe genutzt wird.
Unter Windows kann man die automatische Zeitsynchronisation einrichten, indem man unten
rechts auf die Uhr klickt und dort den Punkt Datum und Uhrzeiteinstellung ändern wählt. Dort
kann die Funktion auf dem Reiter Internetzeit aktiviert werden.
Unter MacOS gibt es dafür in den Systemeinstellungen den Punkt Datum & Uhrzeit und dort die
Option Datum & Uhrzeit automatisch einstellen.
3.2
Java-Laufzeitumgebung
Für die Ausführung der e-Vergabe-Clients wird eine Java-Laufzeitumgebung benötigt, die man z.
B. unter https://www.java.com/de/download herunterladen kann. Um von Sicherheitsupdates des
Herstellers zu profitieren, sollte regelmäßig überprüft werden, ob eine neue Java-Version zur
Verfügung steht. In der Regel sollte eine solche neue Version installiert und verwendet werden.
Unter MS Windows gibt es die Möglichkeit, diese Überprüfung automatisch durchführen zu
lassen. Diese Standardeinstellung ist auch im Kontext der e-Vergabe sinnvoll und sollte
beibehalten werden.
Version 5.7
12.06.2015
Seite 5
Sichere Nutzung von e-Vergabe-Clients
3.3
Download und Installation der e-Vergabe-Clients
Die Installation und Aktualisierung der e-Vergabe-Clients wird über den verwendeten Java
WebStart-Mechanismus sichergestellt: Gibt es eine neue Version des verwendeten Clients, wird
dies von WebStart erkannt und die neuen Programmkomponenten automatisch nachgeladen1.
Ebenso wird von Java WebStart automatisch überprüft, ob die Programmkomponenten tatsächlich
vom Beschaffungsamt des BMI stammen und unversehrt auf dem Computer des Anwenders
angekommen sind, indem die digitalen Signaturen aller Komponenten vor der Ausführung auf
dem Computer des Anwenders überprüft werden. Sollten beim Start eines e-Vergabe-Clients
Fehlermeldungen oder Warnungen bezüglich der Authentizität des Software-Herstellers oder der
Integrität der Programmkomponenten gemeldet werden, so sollte der Start auf jeden Fall
abgebrochen und Kontakt mit der e-Vergabe-Hotline aufgenommen werden.
Wird ein Client der e-Vergabe zum ersten Mal gestartet, so wird der folgende Dialog
eingeblendet:
In diesem Beispiel handelt es sich um den Angebotsassistenten. An dem Namen kann kontrolliert
werden, ob der richtige Client gestartet wurde. Wichtig ist hier, dass als Anbieter das
Beschaffungsamt des Bundesministeriums des Innern und als Speicherort https://www.evergabeonline.de bzw. https://download.evergabe-online.de angegeben ist. Bei abweichenden Angaben
kontaktieren Sie bitte den IT-Support der e-Vergabe.
Eine weitere Prüfung auf Echtheit der Software kann man durchführen, indem man in diesem
Dialog unten links auf „Weitere Informationen“ klickt. Es wird dann der folgende Dialog
angezeigt:
1
Hier ist es in der Vergangenheit zu Problemen bzgl. der Erkennung neuer Versionen gekommen.
Dies wurde aber inzwischen korrigiert, so dass der Mechanismus wie beschrieben funktioniert.
Version 5.7
12.06.2015
Seite 6
Sichere Nutzung von e-Vergabe-Clients
Der „uneingeschränkte Zugriff auf Ihre persönlichen Dateien und andere Ressourcen“ der eVergabe-Clients ist notwendig, um z. B. Dokumente von der Festplatte einlesen und an den eVergabe-Server übertragen zu können. Ohne diese Berechtigung würde z. B. auch der Zugriff auf
Signaturkarten bzw. Soft-Zertifikate nicht funktionieren.
Ein Klick auf „Zertifikatsdetails anzeigen“ bringt den Dialog „Details - Zertifikat“ zur Ansicht,
wo als Subjekt (also Besitzer) des Zertifikats wiederum das „Beschaffungsamt des
Bundesministeriums des Innern“ angegeben ist:
Stimmen alle vorgenannten Informationen mit den tatsächlich angezeigten überein, wurde der
gestartete e-Vergabe-Client ausreichend validiert, eine Manipulation ist damit praktisch
ausgeschlossen.
Version 5.7
12.06.2015
Seite 7
Sichere Nutzung von e-Vergabe-Clients
Die gleiche Prüfung wird von Java WebStart auch noch für die Smartcard-Komponente namens
SecSigner durchgeführt:
Diese Anwendungskomponente wird getrennt von den vom Beschaffungsamt des
Bundesministeriums des Innern erstellten Komponenten der e-Vergabe-Clients ausgeliefert, da sie
von einem anderen Anbieter, der SecCommerce Infomationssysteme GmbH, stammt. Dieser
Installation muss zugestimmt werden, da die e-Vergabe-Clients die SecSigner-Funktionalität
benötigen. Damit diese Abfrage nicht erneut erscheint, kann der Haken vor „Für Anwendungen
dieses Anbieters und aus diesem Speicherort nicht mehr anzeigen“ gesetzt werden. Analog zum eVergabe-Client selbst kann hier über „Mehr Informationen“ und dann „Zertifikatsdetails
anzeigen“ der Besitzer („Subjekt“) des Zertifikats angezeigt werden. Es muss hier wie auch als
Anbieter der Komponente SecSigner „SecCommerce Informationssysteme GmbH“ angezeigt
werden.
Auch wenn die gezeigten Dialoge bei anderen Java-Versionen etwas anders aussehen, müssen in
jedem Fall die Angaben zum Anbieter und Zertifikatsbesitzer unverändert sein. Werden hier
andere Daten angezeigt, besteht das Risiko, dass eine manipulierte Version des e-Vergabe-Clients
gestartet wird. Der Start sollte unverzüglich abgebrochen und der eigene IT-Support bzw. der ITSupport der e-Vergabe informiert werden.
Version 5.7
12.06.2015
Seite 8
Sichere Nutzung von e-Vergabe-Clients
4
Umgang mit Signaturzertifikaten
4.1
Schutz der Signaturzertifikate
Für die Anmeldung als Sachbearbeiter (im e-Vergabe-Client OBA) oder Hauptbenutzer (im eVergabe-Client AnA) wird ein Zertifikat in Form einer Signaturkarte (Qualifizierte Signatur) oder
in Dateiform als sogenanntes Soft-Zertifikat (Fortgeschrittene Signatur) benötigt. Bei
Signaturkarten ist der zum Zertifikat gehörende private Schlüssel sicher in die Karte eingebettet
und kann dementsprechend von einem Angreifer nicht entwendet werden. Dennoch empfiehlt es
sich, die Signaturkarte bei Nichtgebrauch aus dem Kartenleser zu entfernen, um jedes Restrisiko
eines Missbrauchs (s. Abschnitt 2) auszuschließen.
Bei der Verwendung von fortgeschrittenen Signaturen wird das Signaturzertifikat mitsamt dem
zugehörigen privaten Schlüssel in einer Datei bereitgestellt. Diese hat typischerweise die
Dateiendung .p12. Während bei Smartcards der Schlüssel nicht entwendet werden kann, besteht
bei den Soft-Zertifikaten die Gefahr, dass ein Angreifer mittels einer auf den Computer
eingeschleusten Schadsoftware die p12-Datei entwendet. Greift er dann noch Tastatureingaben
und damit das Passwort der p12-Datei ab, kann er beispielsweise beliebige Dokumente im Namen
des Bestohlenen digital unterschreiben. Um dieses Risiko zu reduzieren, empfiehlt es sich, das
Softzertifikat möglichst auf einem mobilen Datenträger (USB-Stick) zu speichern, der nur zur
Arbeit mit dem e-Vergabe-Client in den Computer gesteckt und ansonsten sicher aufbewahrt
wird.
4.2
Verwendung des e-Vergabe-Signaturclients
Auch wenn für die Erstellung und Prüfung digitaler Signaturen für die e-Vergabe auch andere
Signaturwerkzeuge eingesetzt werden können, empfiehlt es sich, die von der e-Vergabe
bereitgestellten Signaturclients zu verwenden. Dies hilft, Fehler bei der Abgabe von signierten
Dokumenten zu vermeiden. Vorteilhaft ist insbesondere die enge Integration mit den anderen eVergabe-Clients, die unter anderem dafür sorgt, dass Signaturen an der richtigen Stelle in einer
einheitlichen Form aufgebracht werden, die eine problemlose Weiterverarbeitung der signierten
Dokumente ermöglicht. Zudem wurde bei der Auswahl des zugrundeliegenden
Signaturwerkzeugs auf die Einhaltung der gesetzlichen Vorgaben geachtet.
Version 5.7
12.06.2015
Seite 9
Sichere Nutzung von e-Vergabe-Clients
Grundsätzlich gilt für die Verwendung von digitalen Signaturen, dass sie in geeigneter Weise
überprüft werden müssen. Eine rein optische Prüfung der visuellen Darstellung einer Signatur
innerhalb des PDF-Dokuments ist lediglich ein Indiz für die Auftragung einer Signatur und kann
die Prüfung mit dem Signaturclient keinesfalls ersetzen! Im Handbuch zum Signaturclient wird
die Prüfung im Detail beschrieben. Dieses und weitere Handbücher zu den verschiedenen Clients
finden Sie unter https://www.evergabe-online.de/.
5
Kontakt
e-Vergabe:
www.evergabe-online.de
Informationen zur e-Vergabe:
www.evergabe-online.info
IT-Support der e-Vergabe:
E-Mail
[email protected]
Web-Formular
www.evergabe-online.de/contact.html
Telefon
0228 99 610 1234
Version 5.7
12.06.2015
Seite 10

Download Report