BITKOM Arbeitskreis Signaturen, Dr. Bernd Wild, intarsys

Signieren in der Cloud

Stuttgart, 23.10.2012

Inhaltsverzeichnis

2

1. Trusted Cloud

2. Signaturen in der Cloud

3. Einsatzfelder

4. Zusammenfassung

1. Trusted Cloud

! Es können Speicherkapazitäten, Rechenleistung und Software je nach individuellem Bedarf kosteneffizient über das Internet bezogen werden.

! Beim Auslagern von Software- oder sogar Hardwarefunktionen an spezialisierte IT-Anbieter müssen die Anwender nicht mehr wissen, wo sich die ausgelagerten Daten oder Anwendungen in der Wolke befinden.

Cloud Computing

4

! Infrastructure-as-a-Service (IaaS)Zugriff auf einzelne virtuelle Ressourcen im Netz, z. B. Speicher oder Rechenleistung.

! Platform-as-a-Service (PaaS)Eine Cloud-Plattform stellt cloud-basierte Dienste für die Entwicklung und Bereitstellung neuer Anwendungen über das Internet zur Verfügung.

! Software-as-a-Service (SaaS)Software-Anwendungen werden direkt über das Internet genutzt.

Ebenen des Cloud Computing

5

Service-Modelle im Detail

6

Anwendungen

Daten

Runtime

Middleware

Betriebssystem

Virtualisierung

Server

Storage

Netzwerk

Anwendungen

Daten

Runtime

Middleware

Betriebssystem

Virtualisierung

Server

Storage

Netzwerk

Anwendungen

Daten

Runtime

Middleware

Betriebssystem

Virtualisierung

Server

Storage

Netzwerk

Anwendungen

Daten

Runtime

Middleware

Betriebssystem

Virtualisierung

Server

Storage

Netzwerk

!Traditionelle IT !Infrastructure! as a Service

! Platform!as a Service

! Software!as a Service

! Bei einer Private Cloud ist der Zugriff beschränkt auf Mitarbeiter des Unternehmens sowie beispielsweise auf autorisierte Geschäftspartner, Kunden und Lieferanten.

! Bei einer Public Cloud machen die IT-Anbieter ihre Cloud öffentlich zugänglich, beispielsweise über ein Web-Portal.

! Bei der Hybrid Cloud werden Dienste aus der Private und der Public Cloud zusammen verwendet.

Private, Public und Hybrid Clouds

7

Bedrohungen in der Cloud

! Identitätsmissbrauch

! Erschleichung von Services

! Vortäuschen einer falschen Identität

! Konto-Hijacking

! Mandantentrennung

! Abschottung der gemeinsam genutzten Ressourcen (Memory, Storage, Hypervisor etc.

! Unbekanntes Risikoprofil

! unsichere Basissoftware beim Cloud Service Provider (Patches, Updates, Exploits etc.)

8

! Datenverlust – Datenänderung

! Integrität

! Authentizität

! Fremde Zugriffe / Datendiebstahl

! Authorisierung

! Insider-Diebstahl

! Unsichere Schnittstellen und APIs

! Service-Provisioning

! Service Accounting

2. Signaturen in der Cloud

Wo setzen Signaturen in der Cloud an?

10

AppsDaten

Authentifizierung

Integrität

Authentizität

! Die typische Authentifizierung mit Benutzernamen und Passwort basiert auf reinem Wissen hierüber. In einem solchen Fall spricht man von einer One-Factor Authentication. Benutzername und Passwort als Authentisierung gelten deshalb nachweislich als unsicher. Angriffe durch Ausspähen von Benutzername und Passwörtern mittels Keylogger oder Sniffing sowie Angriffe auf Nutzerdatenbanken, gehören heute zum Handwerkzeug der Diebe von elektronischen Identitäten.

Authentifizierung

11

Benutzername und Passwort sind alleine nicht sicher!

! Die starke Authentifizierung gewährleistet

! Das reine Auslesen des „Wissens“ ist für eine Authentifizierung nicht ausreichend.

! Dass der Sicherheitstoken bei Verlust gesperrt werden kann.

! Dass die elektronische Identität nicht kopiert werden kann.

! Durch das Ausspähen der Nutzerdatenbank kann kein Zugang generiert werden.

Starke Authentifizierung durch 2-Faktor Authentifizierung

12

Bei einer Two-Factor Authentication kommt zu dem Wissen des Anwenders auch der Besitz eines Sicherheitstoken. Eine hierauf basierende starke Authentifizierung gewährleistet, dass nur berechtigte Benutzer Zugang zu einem System erhalten.

Integritätsschutz und Authentizität

! Elektronische Signatur belegt die Integrität, d.h. Unveränderlichkeit

! ... und Authentizität, d.h. welche Person oder Organisation hat das Dokument signiert

! Kein Schreib-/Veränderungsschutz!

! muss durch Cloud Storage oder DMS/ECM gewährleistet werden

! Qualität des elektronischen Signaturverfahrens bestimmt Rechtssicherheit

! fortgeschrittene elektronische Signatur = freie Beweiswürdigung

! qualifizierte elektronische Signatur = Anscheinsbeweis

13

Integritätsschutz und Authentizität – Einzeldokumentebene

! Cloud Applikation (z.B. Cloud DMS/ECM) verwaltet und speichert die Dokumente

! Große oder sensible Dokumente müssen den geschützten „Cloud Space“ nicht verlassen!

! Preview bzw. „Trusted View“ vor dem Signieren über Applet möglich

! Elektronische Signatur mit beliebigen Tokens

! Smartcard + Qualifiziertes Zertifikat

! Smartcard + Fortgeschrittenes Zertifikat

! Crypto-Token + Fortgeschrittenes Zertifikat

! Softwarezertifikat

! ...

14

DMS/ECMM

Browser

Applet

Token

Integritätsschutz – Massendokumente

! Cloud Applikation (z.B. Cloud DMS/ECM) verwaltet und speichert die Dokumente

! Kein Dokument muss den geschützten „Cloud Space“ verlassen!

! Massensignatur oder Massenzeitstempel auf Einzeldokumentebene

! Integritäts-(Beweis-)sicherung

! Evidence Record Server (z.B. ArchiSoft)

! Hash-Baumbildung aus vielen Einzeldokumenten

! Nur die Hash-Baum-Wurzel muss zeitgestempelt werden

! Skalierbar, mandatenfähig

! Entspricht BSI TR-03125 Vorgaben 15

DMS/ECMM

Signatur-Server

Evidence Record Server

! Herkunft

! Person und oder Organisationen

! Vertrauenswürdigkeit

! Ausgabe von Trustcentern möglich – überall prüfbar

! Integrität

! Verwendung geeigneter Hash-Verfahren

! Einsatzfähigkeit

! International standardisierte Signaturverfahren

! Einzel- Stapel und Massenverarbeitung

Was leisten Zertifikate und Signaturen?

16

3. Einsatzfelder

Beispielhafte Einsatzfelder

! Globale Freigabesignatur sehr großer CAD Zeichnungen

! Kein Download auf Client erforderlich

! Nutzung qualifizierter Zertifikate

! Einbindung in serverseitigen Freigabe-Workflow

! Weltweiter Zugriff 18

Globale Freigabesignatur sehr gro ! Starke Authentifizierung an Portalen

! Fortgeschrittener Zertifikate auf Smartcards

! Einheitliche Infrastruktur für Authentifizierung und qualifizierteSignatur

! Zero Installation

Eine Cloud-fähige Signaturtechnologie

19

!Client (Windows/MacOSX/Linux)

‣ Starke Authentisierung‣ Signatur‣ Validierung‣ Preview‣ Card Management‣ Ver-/Entschlüsselung

Cloud AppCloud

SignatureServer

4. Zusammenfassung

Zusammenfassung

! Sichere Authentifizierung

! Anmeldung an Web-Anwendungen + Portalen

! Benutzersteuerung

! Einsatz verschiedener Tokens

! Signatur und Integritätssicherung

! Freigaben/Signatur von Dokumenten

! Sicherung der Integrität von Dokumenten

! EMail-Signatur

! Digitalisierung von Papier

! Workflow-Monitoring

! Langzeitarchivierung

! Datenschutz

! Ver-/Entschlüsselung

! Audit-Logs

21

Trusted Cloud benötigt

! Authentifizierung, Integritäts- und Authentizitätssicherung

! Grundlage bildet elektronische Signatur

! Cloud-fähige Signaturtechnologien

! Nutzung bestehender PKI

www.ecm-navigator.de www.bitkom.org/ecm

Vielen Dank für Ihre Aufmerksamkeit

• Dr. Bernd Wild

• Geschäftsführer

• intarsys consulting GmbH

http://ecm-navigator.de/termine/signieren-der-cloud

2

Das Video zum Vortrag sowie weitere Informationen gibt es unter:

Vortrag auf dem Forum des BITKOM ECM Solutions Park zur DMS Expo 2012 23. Oktober 2012, 14:00-14:30 Uhr