totally integrated smartcard architecture ( tisa ... · totally integrated security architecture...

Totally Integrated SmartCard Architecture (TISA)TISA)TISA)TISA)--

Combining Industry Specific Requirements with Security Solutions

Dr. Willi Kafitz

1. European Identity Conference 2007,

München, 08. Mai 2007

Totally Integrated Security Architecture (TISA)TISA)TISA)TISA) -Totally Integrated Security Architecture (TISA)TISA)TISA)TISA) -Combining Industry Specific Requirements

with Security Solutions

Dr. Willi Kafitz

1. Identity Conference,

München, 08. Mai 2007

Wer bin ich?

Siemens Enterprise Communications GmbH & Co. KGProfessional Services and Solution ManagementCoC Trusted Identity

© 2007. All rights reserved.Siemens Enterprise Communications

CoC Trusted Identity

Postal Address:P.O.Box 11 17 33D-60052 Frankfurt/Main

Office Address:Rödelheimer Landstrasse 5-9D-60487 Frankfurt/Main

Phone: +49 69 797 5202Fax: +49 69 797 4716E-mail:[email protected]

Dr. rer. nat.Willi Kafitz

Lead Consultant

Sicherheit und Geschäft

Es geht darum,

alles so einfach

wie möglich zu machen.


wie möglich zu machen.

Aber nicht einfacher.

ALBERT EINSTEIN

Agenda


� Die „W“-Fragen: Wo stehen wir? Was brauchen wir?� Interne Nutzung – Geld sparen� Externe Nutzung – Geld verdienen � Die Antwort von Siemens: TISA� Fazit

Anforderungen

Helpdeskkosten Digitalisierungsgrad

interner Geschäftsprozesse

MobilitätFlexibilität

Akzeptanz

Convenience


Flexibilität

Beherrschbarkeit

Convenience

Organisationsübergreifende

elektronische ProzesseWachsender

Integrationsgrad

Prinzipiell sind alle Anwendungen gleich

Archi-vierun

g

(Verteilte) Daten-verarbeit

ung

Daten-freigab

e

Daten-prüfun

g

Daten-eingab

e

Authenti-

sierung

Anforderungen an die sichere Abwicklung von Geschäftsprozessen


Authentizität

Vertraulichkeit

Integrität

Beweisbarkeit

Identity Management“Der bin ich”

Willens-erklärung

“Das will ich”

Beweiswert-erhaltung

“So kam es an”

Risikodimensionen

� Digitalisierung der Geschäftsprozesse, auch unternehmensübergreifend

� Eliminierung von Medienbrüchen

Neue Kooperationsformen wie

� Virenschutz

� Schutz vor Hackern

� Schutz vor Spionage

Schutz vor "Denial of Service"-

Schützen Ermöglichen

Beide sind wichtig


� Neue Kooperationsformen wie

� BPN, Extranets, Virtuelle Kooperationen

� Flexibleres Sicherheitsmanagement (Teilnetze in der Gesamttopologie)

� E-Government,

� E-Billing, EBPP

� Total Business Integration

� Schutz vor "Denial of Service"-Attacken

� Schutz vor Datendiebstahl/-verlust

� Schutz vor Irrtümern

� Schutz vor Insidern

State-of-the-Art Identity-Management bietet

Innenverhältnis Außenverhältnis

� Authentizität

� Verbindlichkeit

Vertraulichkeit

� Identity-Management

� Rechtemanagement


� Vertraulichkeit

� Integrität� Provisionierung

� Audit

Integriertes Identity – und Access-Management

Public Key Infrastruktur mit Fallback-Authentisierung

Agenda



Der “Lebenszyklus” eines IT-Anwenders – Identity Life Cycle

Erfassen der IdentitätPersonalsysteme, Kundenportale,Partnerdatenbanken

Definition der Berechtigungen

Freischalten der RessourcenWer darf was, wann und warum ?

Auditing,Monitoring,


Management und AuditsOrganisatorische Änderungen

Wechsel der PositionErweiterungen der Berechtigungen

Systemänderungen

Deaktivierung (Löschen)

der elektronischen IdentitätDeaktivierung der ZugriffsrechteReal-Time-BusinessArchivierung

Monitoring,Controlling

Quick Win: Reduzierung HelpdeskkostenMittelfristig: Administration und Betriebsprosse

� Incident Management fokussierenbis zu 20% Passwort-bezogene Helpdesk-Anfragen

� Helpdesk-Kosten reduzierenKosten von weit über 100 € pro Mitarbeiter und Jahr durch vergessene Passwörter


� Deutliche Senkung durch integrierte LösungenGanzheitliche Sicht auf Identity Management, Access Management und Session Management)

� Deutliche Senkung durch möglichst viel User Self Services bei unverändert starker Authentisierung

� Bringschuld / Holschuld – Prinzip überdenken

Identity-Management beginnt bei einerlangfristig eindeutigen Nummer: Global ID


Nur integrierte Security Lösungen erbringen RoI

InformationenApplikationenMobile Workplace

Sichere Business Prozesse

Governance & ComplianceSecurity Policy


Identity Identity Identity Identity ManagementManagementManagementManagement

Access ControlAccess ControlAccess ControlAccess ControlAuthenticationAuthenticationAuthenticationAuthentication

Roles, Permissions & Provisioning

Enforcement of thesecurity policy Secure Tooken

integriertes Identity-, Access- & Session Management

Enterprise Portal Services - EntitlementPrinzipielle Architektur

Autorisierungs-Quellen

IdentityManagement

RollenManagement

RechteManagement

Zielsystem

Management

E n t i t l e m e n t P r o z e s s e

Identity Management

MasterQuellenSAP

Provisioning

Access Management SessionMgmt

Benutzer, Rollen, Rechte

Access Mgmt


DMS

HR

user

Access Engine

CD

Externe IDs

Externe IDs

Access ManagementStore

Provisioning EngineSSO

Provisioning

Workflows

MS ADRechte

Rechte

Rechte

XYZ

Rechte

AggregierteIdentityStore

Enterprise

Portal

EmployeePortal

Portal

Roles

Gruppen, Rollen Zielsysteme, Access Rights, Profile, etc.

OnlineUserStore

Agenda



Geschäftsanforderungen

� E-Mail als Telefonie-Ersatz (unverbindlich)wird zunehmend erweitert durch E-Mail im elektronischen Geschäftsverkehr (verbindlich)

� (EDI-)Kommunikation migriert von

� volumenabhängigem Value Added Networks (X.400) über � asynchrones E-Mail (SMTP) zu


� asynchrones E-Mail (SMTP) zu � synchronen Austauschverfahren im WWW (http)

� Zugriff auf Ressourcen ist organisationsübergreifend zu organisieren� Ganze Geschäftsprozesse werden organisationsübergreifend� Es entstehen föderative Unternehmensprozesse (übergeordnete

Geschäftsanforderungen bei dezentraler Organisation)

� Sicherheit als Trusted Identity wird zum Business Enabler

ElectronicData

Interchange

Übermittlung

Migration der Übermittlungsmethoden


Heute

WebportalSynchron

BrowserorientiertEndgeräteunabhängig

Übermorgen

WebserviceSynchron & asynchron

ServiceorientiertWorkflowunabhängig

Gestern

E-MailAsynchron

DienstorientiertDatenunabhängig

VANAsynchron

Eigenes NetzVolumenabhängig

Vorgestern Morgen

AS2Synchron

HTTP-orientiertFormatunabhängig

Can we communicatesecurely?

Vertraulichkeit/Integrität

Für transferierte Daten

Identifikation/Authentikation

Mit Geschäftspartnern und

innerhalb des Unternehmens

Who areyou?

Business Trust Requirements


Do I haveproof?

Validierung / Nichtabstreitbarkeit

Transaktionsnachweis/ Authentizität

Rechtliche Aspekte

Sicherheitslevel der Policies, Vergleichbarkeit („policy mapping“)

representationsand warranties?

€-Business

E-Society

Rechtliche Aspekte

� Sicherheit wird im elektronischen Geschäftsverkehr zunehmend rechtlich relevant

� handelsrechtlich (GoBS)� steuerrechtlich (GDPdU, UStG, StDÜV)� vertragsrechtlich (vereinbarte elektronische Form)

� Sicherheitserklärungen müssen vertragsrechtlich belastbar und vergleichbar sein (policy mapping)


sein (policy mapping)

� Elektronischer Geschäftsverkehr muss revisionssicher sein (z.B. nachvollziehbare Archivierung von E-Mails)

� Der Transaktionsbegriff ist zunehmend logisch zu interpretieren (Echtheit der Herkunft, Unversehrtheit des Inhalts ist auf der Informationsebene zu garantieren)

� Zunehmende IT-Sicherheitsaspekte in Compliance-Anforderungen

Technische Aspekte

� Die eigene Organisation ist als „Identitätsinsel“ zu öffnen� Die nötigen topologischen Rahmenbedingungen zu „fremden“ Identitäten

zu schaffen� Der Vertrauensbegriff bekommt technische Aspekte� Manuelle Be-/Verarbeitung migriert über Digitalisierung zu

Automatisierung� Identity- and Access-Management ist über Firmengrenzen hinaus zu


� Identity- and Access-Management ist über Firmengrenzen hinaus zu organisieren (z.B. Federation)

� Personenbezogener Access wird erweitert um Access durch technische Entitäten (z.B. Webservices)

� Die Absicherung im IAM ist nur zertifikatsbasiert auf Dauer wirtschaftlich (Entitlement)

Agenda



Kundenprobleme

Der Kunde will nicht Technik als Selbstzweck, er will

� Sichere elektronische Identitäten

� Technische Mittel zur Erfüllung gesetzlicher Richtlinien


� Automatisierte Kommunikation zu Geschäftspartnern über öffentliche Netze

� Malipulationssichere Daten in Archivsystemen

� Sich sicher anmelden

� Sichere Authentifikation bei RLA Zugang

� Seine Geschäftsprozesse effizienter gestalten (weg von Papier bei der Bearbeitung und beim Speichern)

TISA TISA TISA TISA –––– Architekturmodell

Business

CustomSolutions


Technology

TISA in denGeschäftsapplikationen

SAP, Oracle, Siebel, HIS,…

Produkte und technische InfrastrukturTechnische Komponenten und ihre Interaktion

Organisation und sicherer BetriebLösungsdesign und Konzepte zur Einbettung

in die Kundenumgebung

TISA TISA TISA TISA ––––

Systemintegration mit Geschäftsverständnis

BusinessConsulting

Herkömmliches Geschäftsverständnis

Business

CustomSolutions


System-lieferanten

System-integratoren

Consulting

Technology

TISA in denGeschäftsapplikationen

SAP, Oracle, Siebel, HIS,…

Produkte und technische InfrastrukturTechnische Komponenten und ihre Interaktion

Organisation und sicherer BetriebLösungsdesign und Konzepte zur Einbettung

in die Kundenumgebung

Siemens Enterprise CommunicationsTrusted Identity als Teil des Security Portfolios

� Surveys� Testing

Technology & Solution

ManagementConsulting

� Strategy� Benchmarking� Audits� Risk analysis� Penetration

Turn-KeySolutions

VoiP ConvergenceSecurity 1)

Security inAutomation &Production 1)� Identity & Access Management

� Single Sign On

� Information Security Management� Business Continuity Management� Risk Management� Compliance

Appli-

Strategy


� Testing� Design� Customize

� Configuration� Capacity� Performance� Incident� Reporting

� Build� Maintain

Solution Consulting

SystemIntegration &Customizing

Managed Services

Totally IntegratedSecurity

Architecture

… 1)

… 1)

… 1)

� Single Sign On� Trusted Identity� Portal Security

� Network & Systems Security� Secure VoiP Infrastructures� Mobile Security

� Firewalls, IPS, Virus Protection� Smartcards, OTP-Tokens� PKI,Encryption

Appli-cations

Infra-structure

Products

Identity und Access Management Wertschöpfung aus verschiedenen Sichten

Technologiesicht

� Schnelle und sichere Einbindung von externe Geschäftspartnern in Prozesse

� Verbindliches IT-Asset-Management & Controlling

Businesssicht

Self-Service

UserManagement Workflow

Password Management


� Schnelle Produktivierung von Mitarbeitern

� Einhaltung von gesetzlichen Anforderungen

� Zuverlässliches E-Business

� Steuerung von Shared Service Dienstleistern

Audit

Metadirectory Provisioning

Directory

Authentication Federation

Web Single Sign-on

Web Services Security

Web Access Management

Authorization

An wen richtet sich TISATISATISATISA ?

Technologiesicht – IT-Leitung

� Signaturen in Geschäftsprozessen

� Elektronischer Rechtsverkehr

� Elektronische Patientenakte

Geschäftssicht – Fachabteilungsleiter

� Sichere Authentisierung

� Sichere Kommunikation

� Multifunktionaler Mitarbeiterausweis


� e-invoicing, e-billing

� E-Government

� Organisationsübergreifender Geschäftsverkehr

� Single Sign On

� Public Key Infrastructure

� Qualifizierte Signaturen

� Massensignatur von Dokumenten

Nur Zielgruppen-orientiertes Wording erreicht den Adressaten!

TISA TISA TISA TISA Portfoliomodell

Authentication Authentication

TISA4GovernmentVirtuelle Poststellen, Zeitstempeldienste

TISA4UniversitiesHIS Anbindung,

Selbstregistrierung

TISA4EnterprisesDomain Logon,

Massensignaturlösg.

TISA4HealthPatienteninfosysteme,

Bezahlsysteme

Integ

ration

sleistun

gZ

ielg

rup

pen

spez

.P

ort

folio


TISA Basic InfrastructureDienstleistung, CardOS Karte, CardOS API, CardManager

Authentication Services

for Large Enterprise

Nexus, ICMS + DL

Authentication Services

for Medium Enterprise

MS-PKI, Cardmanager, DL

Certificate based IAM

DirX Portfolio, DL

Single Sign On

DirX Access, Evidian,Utimaco

Siemens AG und 3rd Party Produkte

Secure Remote Access

Checkpoint, Cisco, Eracom

Integ

ration

sleistun

gS

ecu

rity

Bas

is P

ort

folio

Agenda



IT-Sicherheit: Wandel im Grundverständniss eines Begriffs

Absicherung

Kostenfakor

Technisches Problem

Zuständigkeitsbereich IT

Risikomanagement

Wertschöpfungstreiber

80/20 Organisation/Technik


Zuständigkeitsbereich IT

Produkt-Fokus

Handlungsstrategie reaktiv

Keep the Bad Guys out

Disabler

Relevanz für alle Ebenen

Lösungs-Fokus

Handlungsstrategie proaktiv

Let the Good Guys in

Enabler

Faktor Vertrauen

Blindes Vertrauen

schenkt man nur

nach sorgfältigst getroffenen


nach sorgfältigst getroffenen

Vorsichtsmaßregeln.

EMANUEL WERTHEIMER

Fragen ?


totally integrated smartcard architecture ( tisa ... · totally integrated security architecture...

Documents