https://www.teletrust.de/podcasts/

Im jetzt veröffentlichten TeleTrusT-Podcast "E-Mail-Verschlüsselung" behandeln Moderator Carsten Vossel (CCVOSSEL) und Interviewgast Stefan Cink (Net at Work GmbH) u.a. diese Inhalte:

– Wie funktioniert E-Mail-Verschlüsselung?
– Welche Arten der E-Mail-Verschlüsselung gibt es?
– Welches Problem ergibt sich mit mehreren Zertifikaten?
– Was ist der Unterschied zwischen einer Verschlüsselung und einer Signatur?
– Wie kann Spam entgegengewirkt werden, ohne dass relevante Mails im Postfach untergehen?
– Welchen Einfluss hat KI bzw. inwiefern wird KI auf Seiten der Angreifer und auf Seiten der Authentifizierung genutzt?

Stefan Cink, Director Business and Professional Services bei der Net at Work GmbH: "Die E-Mail ist nicht nur das primäre Kommunikationsmedium in der digitalen Arbeitswelt, sondern mit mehr als 90% auch das größte Einfallstor für Angriffe auf digitale Infrastrukturen. Ohne entsprechende Schutzmaßnahmen ist es mehr als fahrlässig E-Mails zu versenden und zu empfangen. In diesem Podcast erfahren Sie mehr über die Grundlagen zur E-Mail-Verschlüsselung und Signatur. Desweiteren erklären wir die E-Mail-Authentifizierung anhand der Technologien SPF, DKIM und DMARC und gehen auf moderne Prüfverfahren bei der Abwehr von Spam, Phishing und Malware ein."

Supply-Chain-Attacken haben in letzter Zeit deutlich zugenommen und betreffen auch bekannte Unternehmen. Die Attacken erfolgen über vertrauenswürdig eingestufte Komponenten und IT Services Dritter und sind daher von Anwendern schwer zu verhindern. Der jetzt veröffentlichte TeleTrusT-Leitfaden beschreibt neben Software Bill of Materials (SBOM) weitere Schutzmaßnahmen, die von Anwenderunternehmen zur Verbesserung der Cloud Supply Chain Security getroffen werden können.

In der IT ist die Supply Chain die Lieferkette aller Teilprodukte und Lieferungen, aus denen sich ein IT Service oder eine Anwendung zusammensetzt. Für jede Art von Software, aber insbesondere für Cloud-Dienste, besteht eine solche Lieferkette aus unzähligen Lieferanten und Produkten, die entweder direkt oder indirekt genutzt werden oder zur Erstellung oder Ausführung der Teile beitragen. Im besten Fall wird der Produzent oder Anbieter der Teile die direkt genutzten Komponenten selbst auf Sicherheitseigenschaften überprüfen. Der Anwender hat aber normalerweise weder die Möglichkeit, die Nutzung einer betroffenen Komponente festzustellen, noch auf eine Behebung von Schwachstellen hinzuwirken – ein inakzeptabler Zustand.

Um das Problem der mangelnden Transparenz zu lösen, führt der Weg über die Software Bill of Materials (SBOM). Eine SBOM ist eine Aufstellung aller Komponenten, die in einer Software-Anwendung enthalten sind. Wenn neue Erkenntnisse zu Fehlern und Schwachstellen in diesen Komponenten auftauchen, können Anwender schnell ermitteln, ob sie möglicherweise betroffen sind und die von ihnen genutzten Anwendungen gefährdet sind. Es wird erwartet, dass sich die Bereitstellung von SBOMs durch Lieferanten und Betreiber von Software und Services zum Marktstandard entwickelt.

Oliver Dehning, Leiter der TeleTrusT-AG "Cloud Security": "Aktuelle Software Bill of Materials (Software-Stücklisten, SBOM) sind die Basis für mehr Transparenz in der Cloud Supply Chain und damit für mehr Sicherheit bei der Nutzung von Cloud Services. Anwender können einen erheblichen Beitrag zur Verbesserung der Sicherheit in ihrer Cloud Supply Chain leisten, wenn sie die Bereitstellung von SBOMs durch Provider in ihren Anforderungskatalog aufnehmen. Provider sollten ihrerseits ihren Anwendern diese Informationen zur Verfügung stellen und damit aktives Management von Cybersicherheit auch in der Cloud ermöglichen."

Wesentliche Neuerung der Novellierung: Jeder EU-Bürgerin und jedem EU-Bürger wird eine "EUDI Wallet" zur Verfügung gestellt, mit der sich die Person EU-weit auf dem Niveau ‚Hoch‘ authentifizieren und Attribute ebenso wie Führerschein, Zeugnisse und Weiteres selbstbestimmt verwalten und grenzüberschreitend nutzen kann.

Besonders erfreulich ist aus Sicht von TeleTrusT, dass die EUDI Wallet auch für eine qualifizierte Signatur und Siegelung Verwendung finden soll. Um ein hohes Maß an Sicherheit zu gewährleisten, sollte die Kernidentität der EUDI Wallet aus der nationalen hoheitlichen Identität abgeleitet werden. Ein erster Entwurf der technischen Architektur wurde als "European Digital Identity Architecture and Reference Framework" bereits veröffentlicht.

TeleTrusT begrüßt, dass Qualifizierte Webseiten-Zertifikate (QWACs) in Zukunft von Browsern anerkannt und benutzerfreundlich angezeigt werden sollen, um die Identifikation der für die Webseiten verantwortlichen Entitäten zu ermöglichen. Das sorgt für mehr Transparenz, Daten- und Verbraucherschutz in der digitalen Welt. Wichtig ist, dass diese Pflicht nicht verwässert wird. Nicht die Webbrowser sollten darüber entscheiden können, ob sie aus Sicherheitsbedenken ein Zertifikat nicht anzeigen, sondern dies sollte – im Sinne der europäischen digitalen Souveränität – europäischen Institutionen vorbehalten bleiben.

Nach den Trilogverhandlungen und der Verabschiedung der Novellierung durch das Parlament werden die nötigen Durchführungsrechtsakte durch die EU-Kommission erlassen.

Dr. Kim Nguyen, Mitglied des TeleTrusT-Vorstands, erklärt: "Wir hoffen, dass die Beteiligten von dieser Möglichkeit schnell und umfassend Gebrauch machen werden, denn hier entscheidet sich wesentlich das europäische Ziel einer Marktharmonisierung".

TeleTrusT begleitet die Entwicklungen im "Forum elektronische Vertrauensdienste".

https://www.teletrust.de/…

Alter und neuer TeleTrusT-Vorsitzender ist Prof. Dr. Norbert Pohlmann (Institut für Internet-Sicherheit an der Westfälischen Hochschule). Wiedergewählt und als stellvertretender Vorsitzender bestätigt wurde RA Karsten U. Bartels LL.M. (HK2 Rechtsanwälte). Ebenfalls als Vorstände bestätigt wurden Dr. Kim Nguyen, Bundesdruckerei GmbH und Dr. André Kudra, esatus AG.

Schwerpunkte der weiteren TeleTrusT-Verbandsarbeit sind unter anderem:

– technologische Souveränität in Deutschland und Europa als Grundlage vertrauenswürdiger Digitalisierung;
– weitere politisch-fachliche Vernetzung auf nationaler und internationaler Ebene;
– "IT Security made in Germany" bzw. "IT Security made in EU";
– fortlaufende Bestimmung des "Standes der Technik" in der IT-Sicherheit;
– frühzeitige Identifizierung relevanter IT-Sicherheitsthemen;
– Markterkundungsaktivitäten in potentiellen Zielmärkten.

Zur weiteren Ausrichtung des Verbandes sagt Vorsitzender Prof. Dr. Norbert Pohlmann: "Die Arbeit des Bundesverbandes IT-Sicherheit – TeleTrusT – ist so wichtig wie noch nie. Die hohen Schäden, verursacht von Ransomware und DDoS, verdeutlichen, dass der Nachholbedarf in Bezug auf IT-Sicherheit sehr groß ist. Aber auch vertrauenswürdige und von digitaler Souveränität gekennzeichnete IT-Sicherheitslösungen aus Deutschland bzw. Europa sind für eine selbstbestimmte Digitalisierung unserer Gesellschaft ein relevanter Erfolgsfaktor. Vor diesem Hintergrund werden wir uns mit aller Kraft für mehr IT-Sicherheit und Vertrauenswürdigkeit einsetzen."

Der stellvertretende TeleTrusT-Vorsitzende RA Karsten U. Bartels, LL.M. erklärt programmatisch: "Die aktuelle Zeitenwende bedeutet auch eine IT-Sicherheitswende. Wenn wir die Digitalisierung in Deutschland wirklich voranbringen und wenn wir Abhängigkeiten spürbar senken wollen, ist die IT-Sicherheit der Schlüssel – Schlüssel zum Schutz unserer Werte und Rechte, unserer Wirtschaft, unseres Vertrauens in den Staat und unserer Zukunftschancen. Sensibilisiert sind wir. Nun muss nachhaltig umgesetzt werden, in Unternehmen, Behörden und öffentlichen Stellen – und zwar technisch, organisatorisch und rechtlich. Der Bundesverband IT-Sicherheit ist und bleibt Treiber, Vermittler und Förderer der IT-Sicherheit."