Technische Richtlinien des BSI Konformitätsprüfung und Zertifizierung
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Technische Richtlinien des BSI Konformitätsprüfung und Zertifizierung
Inhalt
1 Einleitung 1
2 Ablauf einer Zertifizierung 2
2.1 Evaluationsworkshop 3
2.2 Beauftragung der Prüfstelle 3
2.3 Einreichen des Antrags 3
2.4 Kick-Off 4
2.5 Prüfung 4
2.6 Zertifizierung 4
3 Konformitätsprüfung von elektronischen
Reisepässen (ePassport) und neuem
Personalausweis (nPA) 5
3.1 Einleitung 5
3.2 Komponenten 6
3.2.1 Maschinenlesbare Reisedokumente – ePassport 6
3.2.2 ePassport Lesegeräte – Inspection Systems 7
3.2.3 Neuer Personalausweis 7
3.2.4 Personalausweis Kartenleser 8
3.3 Technischen Richtlinie BSI TR-03105, BSI TR-03119 9
3.3.1 BSI TR-03105 9
3.3.2 BSI TR-03119 11
4 Produktionsdatenerfassung für hoheitliche
Dokumente (BSI TR-03104) 12
4.1 Einleitung 12
4.2 Aufbau der Technischen Richtlinie 13
4.2.1 TR Biometrie (TR 03121) 13
4.2.2 TR XhD (TR 03123) 14
4.2.3 TR SiSKo hD (TR 03132) 14
4.3 Komponenten 14
4.3.1 Fingerabdrucksensoren 14
4.3.2 Hersteller von hoheitlichen Dokumenten 14
4.3.3 Komponenten zur Qualitätsbewertung oder
Kommunikation 15
5 De-Mail 15 5.1 Einführung 15 5.2 Struktur der Technischen Richtlinie 16 6 Über TÜViT 19 7 Referenzen 22 8 Abkürzungen 23 9 Ansprechpartner 24 Technische Richtlinien des BSI Seite 2 | 24 © TÜV Informationstechnik GmbH
1 Einleitung Neben der Zertifizierung von IT-Produkten und IT-Systemen nach IT- Sicherheitskriterien bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Zertifizierung nach Technischen Richtlinien (TR) an. Diese wird notwendig, wenn - abgesehen von der Realisierung bestimmter Sicherheitseigenschaften - die Erfüllung funktionaler Anforderungen für den Betrieb eines IT-Produktes oder -Systems gefordert ist. In besonderem Maße gilt dies für IT -Produkte und -Systeme, die für den Einsatz in hoheitlichen und demnach sicherheitskritischen Bereichen der Bundesrepublik Deutschland vorgesehen sind. Anforderungen an die elektronische Fälschungssicherheit, Betriebs - zuverlässigkeit oder Interoperabilität stehen dabei im Vordergrund. Technische Richtlinien, die diese Anforderungen beschreiben, werden vom BSI entwickelt und publiziert. Dies erfolgt ausschließlich nach Feststellung eines Bedarfs der nationalen Sicherheit oder des öffentlichen Interesses. Die Konformität eines IT-Produktes oder -Systems zu einer Technischen Richtlinie kann durch das BSI mit einem Zertifikat best ätigt werden. Im Zuge dieses Verfahrens wird von einer durch das BSI anerkannten Prüfstelle eine Konformitätsprüfung auf Grundlage der in der Technischen Richtlinie definierten Prüfspezifikationen durchgeführt. Die Prüfung wird von der zuständigen Zertifizierungsstelle des BSI überwacht und nach erfolgreichem Abschluss mit einem Konformitätsbescheid und einem Zertifikat bestätigt. Die TÜV Informationstechnik GmbH (TÜViT) ist beim BSI zur Durchführung von Prüfungen auf Basis von Technischen Richtlinien in verschiedensten Bereichen anerkannt und hat ihre Kompetenz in diesem Bereich in zahlreichen Projekten unter Beweis gestellt. Technische Richtlinien des BSI Seite 1 | 24 © TÜV Informationstechnik GmbH
Dieses Dokument beschreibt die Dienstleistungen der TÜViT im
Zusammenhang mit Technischen Richtlinien des BSI. Es richtet sich
insbesondere an Hersteller oder Integratoren von Kompo nenten und
Systemen, die eine Konformität zu einer Technischen Richtlinie oder
mehrerer Technischen Richtlinien in Form eines Zertifikats nachweisen
möchten oder müssen.
Das Dokument bezieht sich dabei auf die Bereiche
ePassport
Neuer Personalausweis und Lesegeräte
Produktionsdatenerfassung für hoheitliche Dokumente
De-Mail
2 Ablauf einer Zertifizierung
Die folgende Abbildung verdeutlicht den grundsätzlichen Ablauf einer
Zertifizierung auf Basis von Technischen Richtlinien.
Abbildung 1: Grundsätzlicher Ablauf einer Zertifizierung
Die folgenden Kapitel beinhalten weitere Details zu den einzelnen Phasen
der Zertifizierung.
Technische Richtlinien des BSI Seite 2 | 24
© TÜV Informationstechnik GmbH2.1 Evaluationsworkshop Für Hersteller, die bisher noch nicht mit den Technischen Richtlinien des BSI in Berührung gekommen sind und die ihre erste Prüfung anstreben, empfiehlt sich die Durchführung eines (Vor-)Evaluationsworkshops. Dieser Workshop hat zum Ziel, dem Hersteller ein grundlegendes Verständnis für die relevanten Technischen Richtlinien zu ermöglichen und zwischen Hersteller und Prüfstelle ein gemeinsames Verständnis über das zu prüfende Produkt zu ermöglichen. Im Rahmen dieses Workshops erfolgt eine detaillierte Einführung in die Prüfkriterien und eine erste Sichtung des Produkts. Bei der Sichtung des Produkts geht es insbesondere um die Abgrenzung der Teile, die für die Prüfung gemäß der Technischen Richtlinien relevant sind. Oftmals können bereits während des Workshops potentielle Probleme für das spätere Verfahren identifiziert werden, die zu diesem Zeitpunkt in aller Regel noch recht einfach zu lösen sind. Nach Abschluss des Workshops erhält der Hersteller ein verbind liches Angebot zur Prüfung der entsprechenden Komponente. 2.2 Beauftragung der Prüfstelle Bevor ein Antrag auf Zertifizierung beim BSI eingereicht werden kann, muss der Hersteller eine zugelassene Prüfstelle mit der Prüfung des Produkts beauftragen. 2.3 Einreichen des Antrags Sobald ein Vertrag mit einer anerkannten Prüfstelle geschlosse n wurde, kann beim BSI ein Antrag auf Zertifizierung gestellt werden. Dem Antrag sind Informationen über das Produkt, die relevante Technische Richtlinie sowie weitere organisatorische Informationen – inklusive eines ersten Meilensteinplans und der Angabe der beauftragten Prüfstelle – beizulegen. Technische Richtlinien des BSI Seite 3 | 24 © TÜV Informationstechnik GmbH
2.4 Kick-Off Das Kick-Off-Meeting, das in aller Regel beim BSI stattfindet, bildet den Startpunkt für die Prüfung. Es dient dazu, bei allen Beteiligten ein einheitliches Verständnis über das Produkt und die anzuwen denden Kriterien zu schaffen. Ein Kick-Off kann – nach Absprache – auch telefonisch oder per E-Mail stattfinden, sofern keine größeren technischen Fragestel lungen zu diskutieren sind. Insbesondere bei Herstellern, die schon mehrere Prüfungen absolviert haben, kann auf diese Mittel zurückgegriffen werden. 2.5 Prüfung Im Anschluss an das Kick-Off erfolgt die eigentliche Prüfung des Produkts durch die Prüfstelle auf Basis der Technischen Richtlinien und im Rahmen des zuvor abgestimmten Zeitplans. Während der Prüfung verläuft die Kommunikation in aller Regel direkt zwischen Hersteller und Prüfstelle. Die Zertifizierungsstelle wird nur in Ausnahmefällen involviert. Das Ergebnis der Prüfung wird in Form eines Prüfberichts doku mentiert und von der Prüfstelle an das BSI übermittelt. 2.6 Zertifizierung Zum Abschluss wird die Zertifizierungsstelle des BSI den Prüf bericht der Prüfstelle einem Review unterziehen. Sofern die Prüfung und das Review mit positivem Ergebnis beendet worden sind, erfolgt anschließend die Vergabe des Zertifikats durch das BSI. Technische Richtlinien des BSI Seite 4 | 24 © TÜV Informationstechnik GmbH
3 Konformitätsprüfung von elektronischen Reise-
pässen (ePassport) und neuem Personalaus-
weis (nPA)
3.1 Einleitung
Die Sicherstellung der weltweiten Interoperabilität von elektro nischen
Reisepässen (ePassport) und den dazugehörigen Inspektionssytemen
(IS) ist wahrscheinlich die größte Herausforderung bei der Einführung
elektronischer Reisedokumente (MRTD 1) durch die internationale
Zivilluftfahrtorganisation (ICAO 2).
Aufgrund dieser Tatsache hat das Bundesamt für Sicherheit in der
Informationstechnik (BSI) im Jahr 2005 die "Technische Richtlinie BSI
TR-03105 – ePassport Conformity Testing (TR-ePass)" veröffentlicht.
Nach einer erfolgreichen Prüfung, durch TÜViT, stellt das BSI ein
Zertifikat aus, das nicht nur die nationalen Anforderungen des BSI,
sondern ebenso die Anforderungen der ICAO erfüllt und somit
international gültig ist. Dieses Zertifikat garantiert die korrekte Umsetzung
der Anforderungen der Technischen Richtlinie an Funktionalität und
Sicherheit.
Auch der Erfolg und die Akzeptanz des neuen Personalausweises (nPA)
sind über die hohen Anforderungen an Interoperabilität, Funktion und
Sicherheit an eine korrekte und einheitliche Umsetzung des
Personalausweises selbst und dessen Lesegeräte gebunden.
Der nPA soll mit seiner neuen eID 3-Funktion vom Bürger insbesondere für
sichere Internetgeschäfte genutzt werden. Zudem sollen die zugehörigen
Chipkartenleser für weitere Anwendungen aus dem Bankenumfeld und im
Gesundheitswesen genutzt werden.
1
Machine Readable Travel Documents
2
International Civil Aviation Organization
3
electronic Identification
Technische Richtlinien des BSI Seite 5 | 24
© TÜV Informationstechnik GmbHDazu wird eine gesonderte Technische Richtlinie des BSI (BSI TR-03119) verwendet, welche weiterführende Anforderungen für die Interoperabilität, Funktion und Sicherheit beschreibt. Chiphersteller, Betriebssystemhersteller und Ausweisproduzenten sowie die Hersteller von Chipkartenlesern müssen hierzu Ihre Komponenten prüfen und zertifizieren lassen. 3.2 Komponenten In den folgenden Unterkapiteln werden verschiedene Komponenten aufgezeigt, für die ein spezielles Prüf- und Zertifizierungsschema beim BSI existiert. 3.2.1 Maschinenlesbare Reisedokumente – ePassport Im Jahr 2003 hat die International Civil Aviation Organization (ICAO) die Verwendung von biometrischen Daten und RFID-Chips in Reise- dokumente spezifiziert. Im elektronischen Reisepass (ePassport) sind seither Daten, wie beispielsweise der Fingerabdruck oder ein Bild der Iris, auf einem Chip gespeichert. Die Europäische Kommission hat sich für die verpflichtende Verwendung von Gesichts- und Fingermerkmalen ausgesprochen. Die Iris-Erkennung ist als Option vorgesehen. Das BSI hat zur Überprüfbarkeit der Korrektheit und Interoperabilität die Technische Richtlinie BSI TR-03105 herausgegeben. Wie im Kapitel 0 näher erläutert, werden in der Technischen Richtlinie, angefangen von den physikalischen Eigenschaften bis hin zu speziellen Anwendungs- merkmalen, die Prüfanforderungen beschrieben. Technische Richtlinien des BSI Seite 6 | 24 © TÜV Informationstechnik GmbH
3.2.2 ePassport Lesegeräte – Inspection Systems Die in den ePassport integrierten RFID-Chips kommunizieren per Funk entsprechend der ISO/IEC 14443 mit einem speziellen Lesegerät, welches als Inspection System (IS) bezeichnet wird. Auch das Auslesen der Chipdaten eines Reisepasses erfolgt über das IS. Ein IS kann zunächst nur die aufgedruckte maschinenlesbare Zeile (Machine Readable Zone, MRZ) erkennen. Aus den Daten der MRZ wird ein Zugriffschlüssel generiert. Erst damit ist ein genereller Zugriff auf den Reisepass möglich. Dieser Basisschutz (Basic Access Control, BAC) gilt in allen EU-Mitgliedstaaten, seit es die erste Generation elektronischer Reisepässe gibt. Er ist weltweit als Sicherheitsstandard anerkannt, um personenbezogene Daten und Gesichtsbilder vor unberechtigtem Zugriff zu schützen. Das Lesen eines Fingerabdrucks erfordert erweiterte Zugriffsrechte (Extended Access Control, EAC). Mit Hilfe von individuellen Berechtigungszertifikaten ist es möglich, dass nicht jeder Staat Zugriff auf diese sensitiven Daten hat. Die Technische Richtlinie BSI TR-03105 beschreibt die Prüfung technischer Eigenschaften („Layer 2-4“) und enthält ebenfalls Prüfvorschriften zur Funktionalität und zur sicheren Anwendung („Layer 6 - 7“). 3.2.3 Neuer Personalausweis Am 18. Dezember 2008 hat der Deutsche Bundestag die Einfüh rung des neuen Personalausweises (nPA) beschlossen. Der nPA hat seit dem 1. November 2010 den bisherigen Personalausweis abgelöst. Neu sind das Scheckkartenformat und ein elektronischer Chip. Im Gegensatz zu den bereits im ePassport gespeicherten Daten, können Meldebehörden beim nPA diese Daten ändern. Dies ist beispielsweise bei einem Wohnortwechsel notwendig, damit kein neuer Personalausweis beantragt werden muss. Auch hier bietet das BSI mit einem weiteren Teil der BSI TR-03105 eine Prüfgrundlage zum Nachweis der korrekten Implementierung an. Technische Richtlinien des BSI Seite 7 | 24 © TÜV Informationstechnik GmbH
Das speziell für den neuen Personalausweis vom BSI entwickelte
Protokoll PACE 4 verschlüsselt die kontaktlose Kommunikation und
verhindert das Mitlesen von Personendaten und PIN über die
Luftschnittstelle.
Auch die fehlerfreie Funktion dieses Protokolls ist Teil einer Prüfung nach
BSI TR-03105. Zusätzlich kann eine qualifizierte elektronische Signatur
auf den Chip des Ausweises nachgeladen werden.
Eine besondere Eigenschaft des neuen Personalaus weises, die auch mit
Hilfe der BSI TR-03105 überprüft werden kann, ist der elektronische
Identitätsnachweis (eID). Dieser ermöglicht es, sich mit dem Ausweis,
einer speziellen Software (AusweisApp) und einem besonderen
Kartenleser über das Internet elektronisch auszuweisen.
3.2.4 Personalausweis Kartenleser
Mit Einführung des neuen Personalausweises wird auch eine neue
Kartenleserfamilie vorgestellt.
Basisleser
Standardleser mit eigener PIN-Tastatur
Komfortkartenleser, der auch weitere Karten wie z. B: aus dem
Bankenumfeld oder die neue elektronische Gesundheitskarte
(eGK) unterstützt.
Zusätzlich zu den elektrischen Eigenschaften, der hoheitlichen
Anwendung und dem speziellen Sicherheitsprotokoll PACE, die nach den
Vorgaben der BSI TR-0305 getestet werden, gibt es weitere
Anforderungen an die oben genannten Personalaus weisleser, welche in
der BSI TR-03119 beschrieben sind.
4
Password-Authentication-Connection-Establishment
Technische Richtlinien des BSI Seite 8 | 24
© TÜV Informationstechnik GmbH3.3 Technischen Richtlinie BSI TR-03105, BSI TR-03119 Die nachfolgende Abbildung zeigt die für Ausweise und Ausweis systeme verwendeten Technischen Richtlinien des BSI. Abbildung 2: Technischen Richtlinien für Ausweise und Ausweissysteme 3.3.1 BSI TR-03105 Die BSI TR-03105 untergliedert sich in mehrere Teile. Es wird für den ePassport und für den neuen Personalausweis jeweils in Chip - und in Lesegerät-Prüfung unterschieden. Zusätzlich wird in technische und praktische Prüfung unterteilt (Layer 1-4 und Layer 6-7). Die technische Prüfung (Layer 1-4) betrifft hauptsächlich die Konformität der physikalischen Eigenschaften der Komponenten und die Korrektheit der Übertragungsprotokolle. Technische Richtlinien des BSI Seite 9 | 24 © TÜV Informationstechnik GmbH
Die praktische Prüfung (Layer 6-7) prüft nicht nur die Konformität und
Interoperabilität in Bezug auf Ansteuerung und Antwort verhalten, sondern
prüft auch anwendungsbezogene Funktionen, wie z.B. die korrekte
Verwendung der Berechtigungszertifikate zum Auslesen der im Ausweis
gespeicherten Fingerabdrücke.
Folgende Teile der BSI TR-03105 sind erhältlich:
Chip Prüfungen für Layer 1-4
Part 2: „Test Plan for Official Electronic ID Documents with Secure
Contactless Integrated Circuit“
Chip Prüfungen für Layer 6-7
Part 3.1: „Test plan for Application Protocol and Logical Data
Structure“
Part 3.2: „Test plan for eMRTDs with Advanced Security Mechanisms
– EAC 1.11“
Part 3.3: „Test plan for eID-Cards with Advanced Security Mechanisms
– EAC 2.0“
Part 3.4: „Test plan for eID-cards with eSign-application acc. to BSI
TR-03117“
Lesegerät Prüfungen für Layers 2-4
Part 4: „Test plan for ICAO compliant Proximity Coupling Device
(PCD) on Layer 2-4
Lesegerät Prüfungen für Layer 6-7
Part 5.1: „Test plan for ICAO compliant Inspection Systems with EAC
1.11“
Part 5.2: „Test plan for eID-Card compliant Reader Systems with EAC
2“
Technische Richtlinien des BSI Seite 10 | 24
© TÜV Informationstechnik GmbH3.3.2 BSI TR-03119
Die Basisdokumentation für Lesegeräte des neuen Personalaus weises ist
die BSI TR-03119.
Je nach verwendeter Leserkategorie (Basis-, Standard- und Komfortleser)
sind, zusätzlich zu den BSI TR-03105 Prüfungen, weitere Konfor-
mitätsprüfungen durchzuführen.
Die BSI TR-03119 beinhaltet eine Auflistung von Modulen die, je nach
Leserkategorie, optional oder obligatorisch zu verwenden sind.
Aus Gründen der Interoperabilität sind die Vorgaben aus den Modulen bei
der Entwicklung zu beachten. Eine Konformitätsprüfung bestätigt die
Korrektheit der Implementierung. Die Module sind beispielsweise:
Anforderungen für die elektromagnetische Verträglichkeit
Technische und funktionelle Kompatibilität gemäß BSI TR-03105
Kompatible Treiber für WINDOWS/LINUX/MAC
PIN-Eingabe Tastatur
sichere Benutzeranzeige
gesicherter Firmwareupdate
Die derzeit gültige BSI TR-03119 ist nicht, wie die BSI TR-03105, in
mehrere Teile aufgegliedert, beinhaltet jedoch Angaben zum BSI-
Zertifizierungsprozess und detaillierte Prüfvorschriften:
nPA Lesegeräte
“Anforderungen an Chipkartenleser mit nPA Unterstützung”
Technische Richtlinien des BSI Seite 11 | 24
© TÜV Informationstechnik GmbH4 Produktionsdatenerfassung für hoheitliche
Dokumente (BSI TR-03104)
4.1 Einleitung
Die Technische Richtlinie zur Produktionsdatenerfassung, -quali-
tätsprüfung und -übermittlung für hoheitliche Dokumente (TR PDÜ hD)
dokumentiert die technischen und fachlichen Vorgaben, die im Rahmen
des gesamten elektronischen Beantragungsprozesses von hoheitlichen
Dokumenten umzusetzen sind.
Das Dokument richtet sich dabei an
Behörden, die verpflichtet sind, zertifizierte Komponenten einzusetzen
Organisationen, die die Technischen Richtlinien als Referenz (z.B. bei
der Beschaffung von Komponenten) verwenden können)
Fachverfahrensentwickler und Entwickler von Komponenten, die eine
Zertifizierung ihrer Verfahren, Systeme oder Komponenten erreichen
müssen.
Die folgenden Kapitel führen näher in den Inhalt der Technischen
Richtlinie und der von ihr referenzierten Dokumente ein.
Technische Richtlinien des BSI Seite 12 | 24
© TÜV Informationstechnik GmbH4.2 Aufbau der Technischen Richtlinie
Die folgende Abbildung zeigt eine Übersicht über die Struktur der
Technischen Richtlinie 3104:
Abbildung 3: Struktur der Techischen Richtline 3104
In der übergeordneten Technischen Richtline 3104 (auch TR PDÜ hD)
finden sich eine Einführung in die Materie sowie eine Darstellung der
relevanten Prozesse bei der Beantragung von hoheitlichen Dokumenten.
Um die spätere Integration von weiteren Anforderungen zu ermöglichen,
wurden die eigentlichen Anforderungen in separate Richtlinien
ausgelagert, die im Folgenden näher erläutert werden.
4.2.1 TR Biometrie (TR 03121)
In der TR Biometrie (TR 03121) finden sich Anforderungen an die
biometrischen Komponenten, die bei der Beantragung von hoheitliche n
Dokumenten zum Einsatz kommen sollen. Diese reichen von
Datenformaten über Aspekte der Sicherheit bis hin zu Kriterien für die
Leistungsfähigkeit der Komponenten, die im Bereich der Qualitäts -
sicherung eingesetzt werden. Die gesammelten Anforderungen werden
mit Hilfe von Profilen auf die einzelnen Anwendungsfälle im hoheitlichen
Bereich bezogen.
Technische Richtlinien des BSI Seite 13 | 24
© TÜV Informationstechnik GmbH4.2.2 TR XhD (TR 03123) In der TR XhD (TR 03123) findet sich die Definition eines XML -basierten Formats zum Datenaustausch bei der Bestellung von hoheitlichen Dokumenten. Erwähnenswert ist, dass zu dieser Technischen Richtlinie keinerlei Vorgaben zur Prüfung existieren. 4.2.3 TR SiSKo hD (TR 03132) In der TR SiSKo hD (TR 03132) finden sich Vorgaben an die Kommunikation zwischen den relevanten Parteien (insbesondere also zwischen Einwohnermeldeämtern und der Bundesdruckerei) sowie Vorgaben zur Sicherung dieser Kommunikation. 4.3 Komponenten Aus der Sicht von Herstellern relevanter Komponenten stellt die Technische Richtlinie 3104 Anforderungen an die im Folgenden dargestellten Komponenten: 4.3.1 Fingerabdrucksensoren Für die Hersteller von Fingerabdrucksensoren enthält die Technische Richtlinie detaillierte Vorgaben an die optischen Eigenschaften. Diese Eigenschaften können von der Prüfstelle mit Hilfe von speziellen Testmustern geprüft werden. Detaillierte Ausführungen zu Prüfungen der optischen Eigenschaften finden sich in der Prüfspezifikation zur TR 03121. 4.3.2 Hersteller von hoheitlichen Dokumenten Hersteller von hoheitlichen Dokumenten finden in der Technischen Richtlinie Vorgaben zu den Kommunikationsschnittstellen, die den bestellenden Behörden angeboten werden müssen sowie Vorgaben zur Absicherung der Kommunikation mit den bestellenden Behörden. Technische Richtlinien des BSI Seite 14 | 24 © TÜV Informationstechnik GmbH
4.3.3 Komponenten zur Qualitätsbewertung oder Kommunikation Die Technische Richtlinie definiert Anforderungen an bestimmte Komponenten, die im Rahmen der Bestellung von hoheitlichen Dokumenten verwendet werden. Hierzu zählen insbesondere die Komponenten zur Qualitätsbewertung biometrischer Daten (zu denen sich Anforderungen in der TR 03121 finden) sowie zur Absicherung der Kommunikation zwischen Meldeämtern und den Produzenten der Dokumente (zu denen sich Anforderungen in der TR 3132 finden). 5 De-Mail 5.1 Einführung Unter dem neuen Projektnamen De-Mail (ehemals Bürgerportale) ent- wickelt das BMI gemeinsam mit Wirtschaft, Verwaltung und Verbänden eine Lösung für eine rechtssichere elektronische Kommunikation. Mit De-Mail können Nachrichten und Dokumente zuverlässig und vor Verän - derungen geschützt in einem sicheren Kommunikationsraum versendet werden. Das Projekt De-Mail zielt auf die Einrichtung einer sicheren Kommunikationsinfrastruktur für Bürger, Unternehmen und Verwal tung. Das Projekt ist ein wesentlicher Bestandteil des Programms E - Government 2.0 des Bundes und gehört zu den vier Handlungs feldern, auf denen der Bund das E-Government vorantreibt, um die Verwaltung und den Standort Deutschland zu modernisieren. Wesentlich für den Erfolg von De-Mail ist, dass die De-Mail-Dienste die Sicherheit, die sie versprechen, auch gewährleisten. Das BSI bringt seine Kernkompetenzen in das Projekt ein, indem es für das Sicherheits - sowie Zertifizierungskonzept verantwortlich ist. Damit leistet es einen wesentlichen Beitrag zur Umsetzung der Vision einer sicheren und verlässlichen Infrastruktur für eine vertrauliche und verbindliche elektronische Kommunikation. Technische Richtlinien des BSI Seite 15 | 24 © TÜV Informationstechnik GmbH
Sinn und Zweck von De-Mail ist es, grundlegende Sicherheitsfunktionen
für den sicheren Austausch elektronischer Nachrichten einfacher
anwendbar zu machen und damit deren rasche Verbreitung zu fördern.
Wer für ein noch höheres Sicherheitsniveau zusätzliche
Sicherheitstechnologien einsetzen möchte, wird hierbei durch De -Mail auf
einfache Weise unterstützt. Selbstverständlich können auch im Rahmen
von De-Mail elektronische Signaturen zum Einsatz kommen.
Von zentraler Bedeutung bei De-Mail ist das Thema Sicherheit. Es
werden Anforderungen zur Umsetzung der Sicherheitsziele definiert und
konkrete Maßnahmen empfohlen. Wesentlich sind dabei Vertraulichkeit,
Integrität und Authentizität der Kommunikation.
5.2 Struktur der Technischen Richtlinie
Die folgende Abbildung verdeutlicht die Architektur von De -Mail und die
Struktur der zugehörigen Technischen Richtlinie.
Abbildung 4: Struktur von De-Mail
Technische Richtlinien des BSI Seite 16 | 24
© TÜV Informationstechnik GmbHDe-Mail basiert auf 6 Modulen: Der Postfach- und Versanddienst bildet den Kern von De-Mail. Er gewährleistet zuverlässige und vertrauliche Kommunikation und unterstützt verschiedene Versandarten (z.B. Vertraulich, Persönlich) Der Identifizierungsdienst Light stellt Teilmengen der zuverlässig erhobenen Identitätsdaten eines Nutzers für einen Service Provider – aber auch anderen Inhabern von Accounts – sicher und daten- schutzkonform zur Verfügung. Der Dienst soll in den Fällen eingesetzt werden, wenn üblicherweise die Vorlage eines Identitätsdokuments in Geschäftsvorfällen zur Identifizierung der handelnden Person notwendig ist. Das Account-Management definiert, unter welchen Bedingungen der Account eines Nutzers vom Bürgerportal-Diensteanbieter (BPDA) neu angelegt, freigeschaltet, gesperrt oder aufgelöst werden darf. Weiterhin definiert das Account Management, unter welchen Rahmenbedingungen ein Nutzer seine im BP-Account hinterlegten Identitätsdaten ergänzen oder ändern darf. Die Bürgerportal-Dienste Postfach- und Versanddienst, Dokumentensafe sowie Identifizierungsdienst und auch die Funktionen des Account Managements rufen ihrerseits IT-Basisinfrastruktur-Dienste auf, um ihre fachspezifischen Aufgaben zu erfüllen. Zu den IT-Basisinfrastruktur-Diensten gehören: der öffentliche Verzeichnisdienst, das persönliche Adressbuch, der Name Service, der Zeitdienst und die Spam- und Malware-Prüfung. Technische Richtlinien des BSI Seite 17 | 24 © TÜV Informationstechnik GmbH
Der Dokumentensafe Light stellt dem Nutzer eine zuverlässige Ablage für elektronische Dokumente und andere Dateien im Netz zur Verfügung. Die Dokumente und Dateien können vom Nutzer über einen Client hochgeladen und wieder abgerufen werden. Weiterhin können Dokumente aus dem Postfach des Nutzers in den Dokumentensafe kopiert werden und umgekehrt Dokumente für den Versand aus dem Dokumentensafe übernommen werden. Ziel des Projektes „De-Mail“ ist u.a. die Konzeption und Entwicklung eines Zertifizierungsverfahrens für die De-Mail-Dienste Postfach- und Versanddienst (PVD), Dokumentensafe und den Identifikationsdienst. Um De-Mail-Diensteanbieter (DMDA) zu werden, muss ein Diensteanbieter definierte Dienstleistungen erbringen und definierte Anforderungen insbesondere hinsichtlich der IT-Sicherheit und des Datenschutzes erfüllen. Das Modul Sicherheit beschreibt die Anforderungen an eine sichere De- Mail-Infrastruktur. Es richtet sich an den Dienstanbieter und zeigt auf, welche Anforderungen an ihn aus der Forderung nach einem ISO -27001 Zertifikat auf der Basis von IT-Grundschutz resultieren. Technische Richtlinien des BSI Seite 18 | 24 © TÜV Informationstechnik GmbH
6 Über TÜViT
Die TÜV Informationstechnik GmbH - kurz TÜViT - mit Sitz in Essen ist
einer der führenden Prüfdienstleister für IT-Sicherheit und IT-Qualität. Wir
unterstützen Hersteller, Betreiber und Anwender von IT-Systemen, IT-
Produkten sowie IT-Infrastrukturen durch Prüfung und Zertifizierung, ihre
Unternehmenswerte zu bewahren.
Unsere Experten im Bereich der IT-Sicherheit konzentrieren sich auf
Themen wie Common Criteria Evaluationen, Cyber Security, Mobile
Security, Industrial Security, Penetrationstests, Bewert ung von
Informationssicherheits-Managementsystemen nach ISO/IEC 27001 sowie
Datenschutz-Audits. Ein weiterer Aspekt ist die Prüfung und Zertifizierung
von Rechenzentren hinsichtlich ihrer physischen Sicherheit und
Hochverfügbarkeit.
Im Bereich der IT-Qualität koordiniert TÜViT anhand anerkannter
Standards das Projekt-, Qualitäts- und Risikomanagement, um unsere
Kunden beim Erreichen wichtiger Unternehmensziele zu unterstützen.
Unsere Dienstleistungen werden stets nach dem Stand der Technik
ausgeführt und erfüllen höchste Sicherheits- und Qualitätsansprüche.
Zahlreiche Akkreditierungen und Zertifizierungen durch nationale und
internationale Organisationen und Behörden weisen unsere Kompetenzen
auf dem Gebiet der IT-Sicherheit und IT-Qualität nach.
Bundesamt für Sicherheit in der Informationstechnik
Anerkennung nach DIN EN ISO/IEC 17025:2005 für Prüfungen nach
ITSEC/ITSEM/CC/CEM sowie BSI-TR 03121-1, BSI-TR 03121-3,
BSI-TR 03132, BSI TR-03104 und BSI TR-03105 Teil 3 und Teil 5
IT-Sicherheitsdienstleister für den festgelegten Anwendungsbereich
IS-Revision und IS-Beratung und Penetrationstests
Lizenzierte Auditoren für IT-Grundschutz und ISO/IEC 27001
Lizenzierte Auditoren für De-Mail
Technische Richtlinien des BSI Seite 19 | 24
© TÜV Informationstechnik GmbHDeutsche Akkreditierungsstelle
Prüflabor für IT-Qualität: Kompetenz für Prüfungen in den Bereichen
IT-Ergonomie und IT-Sicherheit, akkreditiert nach DIN EN ISO/IEC
17025:2005
Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach
ITSEC/ITSEM/CC/ISO 15408/CEM
Prüfstelle IT-Ergonomie: Akkreditierung für Evaluationen nach
DIN EN ISO 9241-110, DIN EN ISO 9241-11, DIN ISO/IEC 25051,
DIN EN ISO 13407 und ISO 9241-210
Zertifizierungsstelle: Kompetenz für Zertifizierungen von Produkten in
dem Bereich IT-Sicherheit, akkreditiert nach DIN EN 45011
Bundesnetzagentur
Bestätigungsstelle nach SigG/SigV für die Bestätigung von Produkten
für qualifizierte elektronische Signaturen
Bestätigungsstelle nach SigG/SigV für die Bestätigung der Umsetzung
von Sicherheitskonzepten für Zertifizierungsdiensteanbieter
Die Deutsche Kreditwirtschaft
Gelistete Prüfstelle für elektronischen Zahlungsverkehr
Unabhängiges Landeszentrum für Datenschutz Schleswig -Holstein
Sachverständige Prüfstelle für IT-Produkte (rechtlich/technisch)
EuroPriSe Gutachter (rechtlich/technisch)
Information-technology Promotion Agency, Japan
Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach CC/CEM
National Institute of Technology and Evaluation, Japan
Prüfstelle IT-Sicherheit: Akkreditierung nach DIN EN ISO/IEC 17025 in
dem Bereich der IT / Common Criteria Evaluationen (Lab Code:
ASNITE0019T)
Technische Richtlinien des BSI Seite 20 | 24
© TÜV Informationstechnik GmbHNational Institute of Standards and Technology
National Voluntary Laboratory Accreditation Program, USA
Prüfstelle IT-Sicherheit (NVLAP Lab Code: 200636-0) für
Cryptographic Module Testing (Scopes 17BCS, 17CAV/01,
17CMH1/01, 17CMH1/02, 17CMH2/01, 17CMH2/02, 17CMS1/01,
17CMS1/02, 17CMS2/01, 17CMS2/02) und Biometrics Testing
Europay, MasterCard and Visa, USA/Großbritannien/Japan
Full Service Laboratory für Prüfungen von ICs und Chipkarten nach
EMVCo Sicherheitsrichtlinien
Modular Label Auditor
Visa, USA
Test House zur Durchführung von Visa Chip Product
Sicherheitsevaluationen
MasterCard, Großbritannien
Akkreditiert zur Durchführung von CAST (Compliance Assessment and
Security Testing) Evaluationen
Betaalvereniging Nederland, Niederlande
Evaluation Laboratory
In nationalen und internationalen Forschungsprojekten und Gremien
gestaltet TÜViT den Stand der Technik aktiv mit.
TÜViT betreibt selbst ein wirksames Qualitätsmanagementsystem und
Umweltmanagement, welche nach ISO 9001:2008 bzw.
ISO 14001:2004 zertifiziert sind und erfüllt somit die hohen Ansprüche
und Erwartungen ihrer Kunden.
TÜViT gehört zur TÜV NORD GROUP mit Hauptsitz in Hannover. TÜV
NORD beschäftigt über 10.000 Mitarbeiter weltweit und ist neben dem
nationalen Markt in 70 Staaten Europas, Asiens und Amerikas vertreten.
Während der 140-jährigen TÜV-Tradition hat TÜV NORD technische
Tests und Prüfungen in zahlreichen Bereichen durchgeführt und
entwickelt. Die TÜV NORD GROUP ist nach ihren Grundsätzen
verpflichtet, ihre Dienstleistungen unabhängig sowie neutral anzubieten
und durchzuführen.
Technische Richtlinien des BSI Seite 21 | 24
© TÜV Informationstechnik GmbH7 Referenzen
Im Folgenden sind ausgewählte Referenzen zu Prüfungen und
Beratungsprojekten im Bereich der Technischen Richtlinien zu finden.
Elektronischer Reisepass und neuer Personalausweis
Die nachführend aufgezählten Länder haben für ihren
Reisepass/Personalausweis und adäquate Lesegeräte die
Dienstleistungen der TÜViT in Anspruch genommen:
Deutschland
Österreich
Spanien
Niederlande
Großbritannien
Hong-Kong
Japan
Süd-Korea
Tschechische Republik
Lettland
Produktionsdatenerfassung (BSI-TR 03104)
Im Folgenden werden einige ausgewählte Referenzen zur Prüfung von
Komponenten im Umfeld der Produktionsdatenerfassung aufgelistet:
Prüfung der optischen Eigenschaften eines
Fingerabdrucksensors auf Konformität zur BSI-
TR 03104
Prüfung von Komponenten zur Qualitäts-
bewertung auf Konformität zur BSI-TR 03104
Prüfung von verschiedenen Komponenten zur
Aufnahme von Daten in Einwohnermeldeämtern.
Die Komponenten wurden von verschiedenen
Herstellern entwickelt.
Technische Richtlinien des BSI Seite 22 | 24
© TÜV Informationstechnik GmbH8 Abkürzungen BAC Basic Access Control BSI Bundesamt für Sicherheit in der Informationstechnik EAC Extended Access Control eID elektronische Identität ePassport elektronischer Reisepass EU Europäische Union ICAO International Civil Aviation Organization IS Inspection System MRTD Machine Readable Travel Document MRZ Machine Readable Zone nPA neuer Personalausweis PACE Password Authenticated Connection Establishment RFID Radio-Frequency Identification TR Technische Richtlinie Technische Richtlinien des BSI Seite 23 | 24 © TÜV Informationstechnik GmbH
9 Ansprechpartner Zur BSI TR-03105 Dipl.-Inform. Jürgen Atrott IT Security Produktmanager TÜV Informationstechnik GmbH TÜV NORD GROUP Leimbachstraße 227 57074 Siegen Tel.: +49 271 3378-192 Fax: +49 271 3378-197 j.atrott@tuvit.de www.tuvit.de Zur BSI TR-03104, TR-03121, TR-03132 sowie De-Mail Nils Tekampe M.Sc. IT Security Produktmanager TÜV Informationstechnik GmbH TÜV NORD GROUP Langemarckstraße 20 45141 Essen Tel.: +49 201 8999-622 Fax: +49 201 8999-666 n.tekampe@tuvit.de www.tuvit.de Version: 1.5 Technische Richtlinien des BSI Seite 24 | 24 © TÜV Informationstechnik GmbH
Sie können auch lesen
