- Anzeigen -


Authentisierung mit dem Personalausweis


Einfachere Integration der Online-Ausweisfunktion in Anwendungen
BSI ermöglicht Zertifizierung von eID-Kernels und eIDAS-Middleware

- Anzeigen -





Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Technische Richtlinie BSI TR-03124 (https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03124/index_htm.html) um Test- und Anwendungsprofile erweitert, auf deren Basis eine Zertifizierung von Softwarebibliotheken zur Integration der Online-Authentisierung mit dem Personalausweis in (mobilen) Anwendungen möglich ist. Softwarebibliotheken sind eine Alternative zum vollständigen eID-Client - wie etwa der (mobilen) AusweisApp2 (https://www.ausweisapp.bund.de/download/) - und können von Anbietern genutzt werden, um die Identifizierung mit dem Personalausweis in eigene Apps zu integrieren. Mit einer Zertifizierung wird die korrekte und sichere Funktion der eID-Client-Software sichergestellt.

Die Technische Richtlinie BSI TR-03124 spezifiziert den eID-Client, der den Authentisierungsvorgang mit dem Personalausweis auf Seiten des Nutzers koordiniert. Auch Hersteller entsprechender Softwarebibliotheken (eID-Kernel) können diese nun vom BSI zertifizieren lassen. Darüber hinaus legt das BSI mit der Erweiterung der Technischen Richtlinie BSI TR-03130-4 (https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03130/TR-03130_node.html) den Grundstein für die Zertifizierung der Softwarekomponente für die grenzüberschreitende Identifizierung (eIDAS-Middleware) mit der Online-Ausweisfunktion gemäß eIDAS-Verordnung.

Die eIDAS-Verordnung (https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/eIDAS/eIDAS_node.html) regelt die rechtlichen Rahmenbedingungen für die gegenseitige Anerkennung von elektronischen Identifizierungsmitteln und Vertrauensdiensten für den Europäischen Wirtschaftsraum. Im Bereich der elektronischen Identifizierung wird hierdurch die grenzüberschreitende Abwicklung von Verwaltungsdienstleistungen auf europäischer Ebene erheblich vereinfacht. So können Mitgliedsstaaten ihre nationalen eID-Systeme bei der EU-Kommission notifizieren. Während die Notifizierung auf freiwilliger Basis erfolgt, müssen elektronische Identifizierungssysteme nach der Notifizierung von Verwaltungsdienstleistungen anderer Mitgliedsstaaten ab September 2018 verbindlich anerkannt werden.

Zu diesem Zweck stellt Deutschland den anderen EU-Mitgliedsstaaten sowie der EU-Kommission eine Middleware bereit ("German eIDAS-Middleware"). Diese implementiert einen angepassten eID-Server mit einer eIDAS-Schnittstelle gemäß den Vorgaben in Teil 3 der Technischen Richtlinie BSI TR-03130 und realisiert den serverseitigen Bestandteil des Authentisierungsprozesses mit der Online-Ausweisfunktion. Für den elektronischen Identitätsnachweis
(https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/ElektronischeIdentitaeten/Online-Ausweisfunktion/online-ausweisfunktion_node.html)
können Personalausweise und elektronische Aufenthaltstitel genutzt werden, die ab dem 1. November 2010 bzw. 1. September 2011 ausgestellt wurden.

Beide Karten enthalten die Online-Ausweisfunktion: einen Chip mit den gleichen persönlichen Daten, die auch auf der Karte zu sehen sind. Da die Daten immer verschlüsselt übertragen werden, schützt die Online-Ausweisfunktion vor Datendiebstahl und -missbrauch.

Hierzu nutzt die Online-Ausweisfunktion eine starke Zwei-Faktor-Authentifizierung basierend auf "Besitz" (eID-Karte) und "Wissen" (6-stellige PIN), wodurch die Sicherheit der Anwendung gewährleistet ist. (BSI: ra)

eingetragen: 11.07.17
Home & Newsletterlauf: 10.08.17


- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Unternehmen

  • Vorteile des Coco-Frameworks

    Das neue Coco-Framework von Microsoft wird 2018 als Open-Source-Projekt auf GitHub veröffentlicht. Das Framework vereinfacht den Einsatz von Blockchain-Technologien für Unternehmen. Während aktuelle Blockchain-Protokolle oftmals komplexe Entwicklungstechniken erfordern, um die operativen und sicherheitsrelevanten Anforderungen von Unternehmen umzusetzen, verringert das Coco-Framework die Komplexität beispielsweise durch die Automatisierung von Bereitstellungsprozessen der Infrastruktur sowie die sichere Integration in Bestandssysteme. Zudem erfüllt es - integriert in ein Blockchain-Netzwerk - die Anforderungen nach hohen Transaktionsgeschwindigkeiten, Kontroll- und Steuerungsmöglichkeiten verteilter Prozesse sowie hoher Sicherheit, insbesondere im Hinblick auf die Vertraulichkeit von Daten. Microsoft ermöglicht damit eine effiziente Umsetzung von vielfältigen Szenarien der Blockchain-Technologie in Branchen wie dem Finanz- und Gesundheitssektor oder der Logistik und dem Einzelhandel.

  • Applikations-Traffic überwachen

    Avi Networks, Expertin für automatisierte Application Delivery Services, präsentiert auf der it-sa in Nürnberg (10. bis 12. Oktober 2017) ihr umfassendes Lösungsportfolio für die sichere Anwendungsbereitstellung. Das Unternehmen nimmt erstmals an der IT-Security-Messe teil und stärkt damit weiterhin ihr Engagement in der DACH-Region. Avi Networks adressiert zusammen mit namhaften Großkonzernen und Enterprise-Service-Providern als Kunden unter anderem die Themen Applikationssicherheit, Cloud (Computing) Security, Denial-of-Service-Abwehr oder Netzwerk-Monitoring.

  • Neue "Sophos XG" und "SG Firewall"

    Auf der IT-Security Messe it-sa stellt Sophos vom 10. bis 12. Oktober 2017 in Nürnberg ihre komplette Palette an Next-Gen-Security-Lösungen vor. Im Mittepunkt stehen "Sophos Synchronized Security" für die interaktive Kommunikation von Endpoint- und Netzwerk-Security-Lösungen sowie neue Systeme, darunter die neuen Firewall Modelle der XG- und SG-Serie, die neue Version der Anti-Ransomware-Software "Intercept X" sowie erste Lösungen mit integriertem Machine Learning. Darüber hinaus werden die Ergebnisse der IoT-Studie "Haunted House" präsentiert. Sophos präsentiert auf der it-sa neue Modelle der Rackmount XG und SG Series Firewall Appliances mit erweiterten Konnektivitätsoptionen. Beide Systeme weisen dieselben Hardware-Spezifikationen auf, wodurch IT- und Security-Spezialisten wahlweise die Sophos XG Firewall (SFOS) oder Sophos UTM als Software-Plattform wählen können. Mit der Version 17 der Next-Gen XG Firewall erweitert Sophos zudem seine Synchronized Security-Strategie um eine neuartige Applikationskontrolle. Mit Synchronized App Control können auch bisher völlig unbekannte Applikationen kontrolliert und eingeschränkt werden.

  • IT-Schutz und physikalische Sicherheit

    Im Zuge von Industrie 4.0 und der Digitalisierung nimmt das Datenvolumen rasant zu. Digitale Daten werden bereits als "Erdöl des 21sten Jahrhunderts" bezeichnet. Die Angst vor Datenverlust rückt die IT-Sicherheit stärker in den Fokus der Industrie. Rittal zeigt vom 10. bis 12. Oktober 2017 auf der it-sa in Nürnberg, wie Unternehmen sich vor IT-Ausfällen und Datenverlust schützen können. Zum vorgestellten Leistungsspektrum zählen unter anderem Lösungen zum Schutz vor Feuer, Staub oder Einbruch. Die zunehmende Digitalisierung und Vernetzung im Zusammenhang mit dem Internet der Dinge und Industrie 4.0 bietet Angreifern zahlreiche Möglichkeiten, Informationen auszuspähen oder Geschäfts- und Verwaltungsprozesse zu sabotieren. Das Ergebnis ist eine "neue Qualität der Gefährdung", wie der Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) verdeutlicht. IT-Sicherheit ist demnach eine wesentliche Voraussetzung für eine erfolgreiche Digitalisierung. Zudem stehen in modernen Fabriken immer mehr IT-Systeme für die Automatisierung, die einen entsprechenden Schutz erfordern.

  • Information Security Management System

    Axians, die ICT-Marke von Vinci Energies, stellt auf der it-sa (10. bis 12. Oktober in Nürnberg) einen ganzheitlichen Ansatz vor, mit dem Unternehmen die gestiegenen gesetzlichen Anforderungen an die IT-Sicherheit effizient und passgenau erfüllen können. Als herstellerunabhängiger Systemintegrator vereint Axians Beratungskompetenz mit technischer und operativer Expertise sowie einem umfangreichen Lösungsportfolio. Aus einer Hand bietet das Unternehmensnetzwerk individuelle Sicherheitskonzepte inklusive Planung, Design, Implementierung, Betrieb und Managed Services. Nur mit abgestimmten Lösungen, die sich nahtlos in die Unternehmensprozesse integrieren, lassen sich die Vorgaben von IT-Sicherheitsgesetz und Europäischer Datenschutzgrundverordnung (EU-DSGVO) erfüllen. Auf der it-sa zeigen die Security-Experten alle Elemente eines wirkungsvollen Rundumschutzes (Halle 10, Stand 304).