totally integrated smartcard architecture ( tisa ... · totally integrated security architecture...
TRANSCRIPT
Totally Integrated SmartCard Architecture (TISA)TISA)TISA)TISA)--
Combining Industry Specific Requirements with Security Solutions
Dr. Willi Kafitz
1. European Identity Conference 2007,
München, 08. Mai 2007
Totally Integrated Security Architecture (TISA)TISA)TISA)TISA) -Totally Integrated Security Architecture (TISA)TISA)TISA)TISA) -Combining Industry Specific Requirements
with Security Solutions
Dr. Willi Kafitz
1. Identity Conference,
München, 08. Mai 2007
Wer bin ich?
Siemens Enterprise Communications GmbH & Co. KGProfessional Services and Solution ManagementCoC Trusted Identity
Page 3 © 2007. All rights reserved.Siemens Enterprise Communications
CoC Trusted Identity
Postal Address:P.O.Box 11 17 33D-60052 Frankfurt/Main
Office Address:Rödelheimer Landstrasse 5-9D-60487 Frankfurt/Main
Phone: +49 69 797 5202Fax: +49 69 797 4716E-mail:[email protected]
Dr. rer. nat.Willi Kafitz
Lead Consultant
Sicherheit und Geschäft
Es geht darum,
alles so einfach
wie möglich zu machen.
Page 4 © 2007. All rights reserved.Siemens Enterprise Communications
wie möglich zu machen.
Aber nicht einfacher.
ALBERT EINSTEIN
Agenda
Page 5 © 2007. All rights reserved.Siemens Enterprise Communications
� Die „W“-Fragen: Wo stehen wir? Was brauchen wir?� Interne Nutzung – Geld sparen� Externe Nutzung – Geld verdienen � Die Antwort von Siemens: TISA� Fazit
Agenda
Page 6 © 2007. All rights reserved.Siemens Enterprise Communications
� Die „W“-Fragen: Wo stehen wir? Was brauchen wir?� Interne Nutzung – Geld sparen� Externe Nutzung – Geld verdienen � Die Antwort von Siemens: TISA� Fazit
Anforderungen
Helpdeskkosten Digitalisierungsgrad
interner Geschäftsprozesse
MobilitätFlexibilität
Akzeptanz
Convenience
Page 7 © 2007. All rights reserved.Siemens Enterprise Communications
Flexibilität
Beherrschbarkeit
Convenience
Organisationsübergreifende
elektronische ProzesseWachsender
Integrationsgrad
Prinzipiell sind alle Anwendungen gleich
Archi-vierun
g
(Verteilte) Daten-verarbeit
ung
Daten-freigab
e
Daten-prüfun
g
Daten-eingab
e
Authenti-
sierung
Anforderungen an die sichere Abwicklung von Geschäftsprozessen
Page 8 © 2007. All rights reserved.Siemens Enterprise Communications
Authentizität
Vertraulichkeit
Integrität
Beweisbarkeit
Identity Management“Der bin ich”
Willens-erklärung
“Das will ich”
Beweiswert-erhaltung
“So kam es an”
Risikodimensionen
� Digitalisierung der Geschäftsprozesse, auch unternehmensübergreifend
� Eliminierung von Medienbrüchen
Neue Kooperationsformen wie
� Virenschutz
� Schutz vor Hackern
� Schutz vor Spionage
Schutz vor "Denial of Service"-
Schützen Ermöglichen
Beide sind wichtig
Page 9 © 2007. All rights reserved.Siemens Enterprise Communications
� Neue Kooperationsformen wie
� BPN, Extranets, Virtuelle Kooperationen
� Flexibleres Sicherheitsmanagement (Teilnetze in der Gesamttopologie)
� E-Government,
� E-Billing, EBPP
� Total Business Integration
� Schutz vor "Denial of Service"-Attacken
� Schutz vor Datendiebstahl/-verlust
� Schutz vor Irrtümern
� Schutz vor Insidern
State-of-the-Art Identity-Management bietet
Innenverhältnis Außenverhältnis
� Authentizität
� Verbindlichkeit
Vertraulichkeit
� Identity-Management
� Rechtemanagement
Page 10 © 2007. All rights reserved.Siemens Enterprise Communications
� Vertraulichkeit
� Integrität� Provisionierung
� Audit
Integriertes Identity – und Access-Management
Public Key Infrastruktur mit Fallback-Authentisierung
Agenda
Page 11 © 2007. All rights reserved.Siemens Enterprise Communications
� Die „W“-Fragen: Wo stehen wir? Was brauchen wir?� Interne Nutzung – Geld sparen� Externe Nutzung – Geld verdienen � Die Antwort von Siemens: TISA� Fazit
Der “Lebenszyklus” eines IT-Anwenders – Identity Life Cycle
Erfassen der IdentitätPersonalsysteme, Kundenportale,Partnerdatenbanken
Definition der Berechtigungen
Freischalten der RessourcenWer darf was, wann und warum ?
Auditing,Monitoring,
Page 12 © 2007. All rights reserved.Siemens Enterprise Communications
Management und AuditsOrganisatorische Änderungen
Wechsel der PositionErweiterungen der Berechtigungen
Systemänderungen
Deaktivierung (Löschen)
der elektronischen IdentitätDeaktivierung der ZugriffsrechteReal-Time-BusinessArchivierung
Monitoring,Controlling
Quick Win: Reduzierung HelpdeskkostenMittelfristig: Administration und Betriebsprosse
� Incident Management fokussierenbis zu 20% Passwort-bezogene Helpdesk-Anfragen
� Helpdesk-Kosten reduzierenKosten von weit über 100 € pro Mitarbeiter und Jahr durch vergessene Passwörter
Page 13 © 2007. All rights reserved.Siemens Enterprise Communications
� Deutliche Senkung durch integrierte LösungenGanzheitliche Sicht auf Identity Management, Access Management und Session Management)
� Deutliche Senkung durch möglichst viel User Self Services bei unverändert starker Authentisierung
� Bringschuld / Holschuld – Prinzip überdenken
Identity-Management beginnt bei einerlangfristig eindeutigen Nummer: Global ID
Page 14 © 2007. All rights reserved.Siemens Enterprise Communications
Nur integrierte Security Lösungen erbringen RoI
InformationenApplikationenMobile Workplace
Sichere Business Prozesse
Governance & ComplianceSecurity Policy
Page 15 © 2007. All rights reserved.Siemens Enterprise Communications
Identity Identity Identity Identity ManagementManagementManagementManagement
Access ControlAccess ControlAccess ControlAccess ControlAuthenticationAuthenticationAuthenticationAuthentication
Roles, Permissions & Provisioning
Enforcement of thesecurity policy Secure Tooken
integriertes Identity-, Access- & Session Management
Enterprise Portal Services - EntitlementPrinzipielle Architektur
Autorisierungs-Quellen
IdentityManagement
RollenManagement
RechteManagement
Zielsystem
Management
E n t i t l e m e n t P r o z e s s e
Identity Management
MasterQuellenSAP
Provisioning
Access Management SessionMgmt
Benutzer, Rollen, Rechte
Access Mgmt
Page 16 © 2007. All rights reserved.Siemens Enterprise Communications
DMS
HR
user
Access Engine
CD
Externe IDs
Externe IDs
Access ManagementStore
Provisioning EngineSSO
Provisioning
Workflows
MS ADRechte
Rechte
Rechte
XYZ
Rechte
AggregierteIdentityStore
Enterprise
Portal
EmployeePortal
Portal
Roles
Gruppen, Rollen Zielsysteme, Access Rights, Profile, etc.
OnlineUserStore
Agenda
Page 17 © 2007. All rights reserved.Siemens Enterprise Communications
� Die „W“-Fragen: Wo stehen wir? Was brauchen wir?� Interne Nutzung – Geld sparen� Externe Nutzung – Geld verdienen � Die Antwort von Siemens: TISA� Fazit
Geschäftsanforderungen
� E-Mail als Telefonie-Ersatz (unverbindlich)wird zunehmend erweitert durch E-Mail im elektronischen Geschäftsverkehr (verbindlich)
� (EDI-)Kommunikation migriert von
� volumenabhängigem Value Added Networks (X.400) über � asynchrones E-Mail (SMTP) zu
Page 18 © 2007. All rights reserved.Siemens Enterprise Communications
� asynchrones E-Mail (SMTP) zu � synchronen Austauschverfahren im WWW (http)
� Zugriff auf Ressourcen ist organisationsübergreifend zu organisieren� Ganze Geschäftsprozesse werden organisationsübergreifend� Es entstehen föderative Unternehmensprozesse (übergeordnete
Geschäftsanforderungen bei dezentraler Organisation)
� Sicherheit als Trusted Identity wird zum Business Enabler
ElectronicData
Interchange
Übermittlung
Migration der Übermittlungsmethoden
Page 19 © 2007. All rights reserved.Siemens Enterprise Communications
Heute
WebportalSynchron
BrowserorientiertEndgeräteunabhängig
Übermorgen
WebserviceSynchron & asynchron
ServiceorientiertWorkflowunabhängig
Gestern
E-MailAsynchron
DienstorientiertDatenunabhängig
VANAsynchron
Eigenes NetzVolumenabhängig
Vorgestern Morgen
AS2Synchron
HTTP-orientiertFormatunabhängig
Can we communicatesecurely?
Vertraulichkeit/Integrität
Für transferierte Daten
Identifikation/Authentikation
Mit Geschäftspartnern und
innerhalb des Unternehmens
Who areyou?
Business Trust Requirements
Page 20 © 2007. All rights reserved.Siemens Enterprise Communications
Do I haveproof?
Validierung / Nichtabstreitbarkeit
Transaktionsnachweis/ Authentizität
Rechtliche Aspekte
Sicherheitslevel der Policies, Vergleichbarkeit („policy mapping“)
representationsand warranties?
€-Business
E-Society
Rechtliche Aspekte
� Sicherheit wird im elektronischen Geschäftsverkehr zunehmend rechtlich relevant
� handelsrechtlich (GoBS)� steuerrechtlich (GDPdU, UStG, StDÜV)� vertragsrechtlich (vereinbarte elektronische Form)
� Sicherheitserklärungen müssen vertragsrechtlich belastbar und vergleichbar sein (policy mapping)
Page 21 © 2007. All rights reserved.Siemens Enterprise Communications
sein (policy mapping)
� Elektronischer Geschäftsverkehr muss revisionssicher sein (z.B. nachvollziehbare Archivierung von E-Mails)
� Der Transaktionsbegriff ist zunehmend logisch zu interpretieren (Echtheit der Herkunft, Unversehrtheit des Inhalts ist auf der Informationsebene zu garantieren)
� Zunehmende IT-Sicherheitsaspekte in Compliance-Anforderungen
Technische Aspekte
� Die eigene Organisation ist als „Identitätsinsel“ zu öffnen� Die nötigen topologischen Rahmenbedingungen zu „fremden“ Identitäten
zu schaffen� Der Vertrauensbegriff bekommt technische Aspekte� Manuelle Be-/Verarbeitung migriert über Digitalisierung zu
Automatisierung� Identity- and Access-Management ist über Firmengrenzen hinaus zu
Page 22 © 2007. All rights reserved.Siemens Enterprise Communications
� Identity- and Access-Management ist über Firmengrenzen hinaus zu organisieren (z.B. Federation)
� Personenbezogener Access wird erweitert um Access durch technische Entitäten (z.B. Webservices)
� Die Absicherung im IAM ist nur zertifikatsbasiert auf Dauer wirtschaftlich (Entitlement)
Agenda
Page 23 © 2007. All rights reserved.Siemens Enterprise Communications
� Die „W“-Fragen: Wo stehen wir? Was brauchen wir?� Interne Nutzung – Geld sparen� Externe Nutzung – Geld verdienen � Die Antwort von Siemens: TISA� Fazit
Kundenprobleme
Der Kunde will nicht Technik als Selbstzweck, er will
� Sichere elektronische Identitäten
� Technische Mittel zur Erfüllung gesetzlicher Richtlinien
Page 24 © 2007. All rights reserved.Siemens Enterprise Communications
� Automatisierte Kommunikation zu Geschäftspartnern über öffentliche Netze
� Malipulationssichere Daten in Archivsystemen
� Sich sicher anmelden
� Sichere Authentifikation bei RLA Zugang
� Seine Geschäftsprozesse effizienter gestalten (weg von Papier bei der Bearbeitung und beim Speichern)
TISA TISA TISA TISA –––– Architekturmodell
Business
CustomSolutions
Page 25 © 2007. All rights reserved.Siemens Enterprise Communications
Technology
TISA in denGeschäftsapplikationen
SAP, Oracle, Siebel, HIS,…
Produkte und technische InfrastrukturTechnische Komponenten und ihre Interaktion
Organisation und sicherer BetriebLösungsdesign und Konzepte zur Einbettung
in die Kundenumgebung
TISA TISA TISA TISA ––––
Systemintegration mit Geschäftsverständnis
BusinessConsulting
Herkömmliches Geschäftsverständnis
Business
CustomSolutions
Page 26 © 2007. All rights reserved.Siemens Enterprise Communications
System-lieferanten
System-integratoren
Consulting
Technology
TISA in denGeschäftsapplikationen
SAP, Oracle, Siebel, HIS,…
Produkte und technische InfrastrukturTechnische Komponenten und ihre Interaktion
Organisation und sicherer BetriebLösungsdesign und Konzepte zur Einbettung
in die Kundenumgebung
Siemens Enterprise CommunicationsTrusted Identity als Teil des Security Portfolios
� Surveys� Testing
Technology & Solution
ManagementConsulting
� Strategy� Benchmarking� Audits� Risk analysis� Penetration
Turn-KeySolutions
VoiP ConvergenceSecurity 1)
Security inAutomation &Production 1)� Identity & Access Management
� Single Sign On
� Information Security Management� Business Continuity Management� Risk Management� Compliance
Appli-
Strategy
Page 27 © 2007. All rights reserved.Siemens Enterprise Communications
� Testing� Design� Customize
� Configuration� Capacity� Performance� Incident� Reporting
� Build� Maintain
Solution Consulting
SystemIntegration &Customizing
Managed Services
Totally IntegratedSecurity
Architecture
… 1)
… 1)
… 1)
� Single Sign On� Trusted Identity� Portal Security
� Network & Systems Security� Secure VoiP Infrastructures� Mobile Security
� Firewalls, IPS, Virus Protection� Smartcards, OTP-Tokens� PKI,Encryption
Appli-cations
Infra-structure
Products
Identity und Access Management Wertschöpfung aus verschiedenen Sichten
Technologiesicht
� Schnelle und sichere Einbindung von externe Geschäftspartnern in Prozesse
� Verbindliches IT-Asset-Management & Controlling
Businesssicht
Self-Service
UserManagement Workflow
Password Management
Page 28 © 2007. All rights reserved.Siemens Enterprise Communications
� Schnelle Produktivierung von Mitarbeitern
� Einhaltung von gesetzlichen Anforderungen
� Zuverlässliches E-Business
� Steuerung von Shared Service Dienstleistern
Audit
Metadirectory Provisioning
Directory
Authentication Federation
Web Single Sign-on
Web Services Security
Web Access Management
Authorization
An wen richtet sich TISATISATISATISA ?
Technologiesicht – IT-Leitung
� Signaturen in Geschäftsprozessen
� Elektronischer Rechtsverkehr
� Elektronische Patientenakte
Geschäftssicht – Fachabteilungsleiter
� Sichere Authentisierung
� Sichere Kommunikation
� Multifunktionaler Mitarbeiterausweis
Page 29 © 2007. All rights reserved.Siemens Enterprise Communications
� e-invoicing, e-billing
� E-Government
� Organisationsübergreifender Geschäftsverkehr
� Single Sign On
� Public Key Infrastructure
� Qualifizierte Signaturen
� Massensignatur von Dokumenten
Nur Zielgruppen-orientiertes Wording erreicht den Adressaten!
TISA TISA TISA TISA Portfoliomodell
Authentication Authentication
TISA4GovernmentVirtuelle Poststellen, Zeitstempeldienste
TISA4UniversitiesHIS Anbindung,
Selbstregistrierung
TISA4EnterprisesDomain Logon,
Massensignaturlösg.
TISA4HealthPatienteninfosysteme,
Bezahlsysteme
Integ
ration
sleistun
gZ
ielg
rup
pen
spez
.P
ort
folio
Page 30 © 2007. All rights reserved.Siemens Enterprise Communications
TISA Basic InfrastructureDienstleistung, CardOS Karte, CardOS API, CardManager
Authentication Services
for Large Enterprise
Nexus, ICMS + DL
Authentication Services
for Medium Enterprise
MS-PKI, Cardmanager, DL
Certificate based IAM
DirX Portfolio, DL
Single Sign On
DirX Access, Evidian,Utimaco
Siemens AG und 3rd Party Produkte
Secure Remote Access
Checkpoint, Cisco, Eracom
Integ
ration
sleistun
gS
ecu
rity
Bas
is P
ort
folio
Agenda
Page 31 © 2007. All rights reserved.Siemens Enterprise Communications
� Die „W“-Fragen: Wo stehen wir? Was brauchen wir?� Interne Nutzung – Geld sparen� Externe Nutzung – Geld verdienen � Die Antwort von Siemens: TISA� Fazit
IT-Sicherheit: Wandel im Grundverständniss eines Begriffs
Absicherung
Kostenfakor
Technisches Problem
Zuständigkeitsbereich IT
Risikomanagement
Wertschöpfungstreiber
80/20 Organisation/Technik
Page 32 © 2007. All rights reserved.Siemens Enterprise Communications
Zuständigkeitsbereich IT
Produkt-Fokus
Handlungsstrategie reaktiv
Keep the Bad Guys out
Disabler
Relevanz für alle Ebenen
Lösungs-Fokus
Handlungsstrategie proaktiv
Let the Good Guys in
Enabler
Faktor Vertrauen
Blindes Vertrauen
schenkt man nur
nach sorgfältigst getroffenen
Page 33 © 2007. All rights reserved.Siemens Enterprise Communications
nach sorgfältigst getroffenen
Vorsichtsmaßregeln.
EMANUEL WERTHEIMER
Fragen ?
Page 34 © 2007. All rights reserved.Siemens Enterprise Communications