Liebe Kolleginnen und Kollegen, mit großem Interesse haben wir seitens der GI-FG SECMGT die Pläne der GI-FG BIOSIG hinsichtlich der geplanten Umbenennung zur Kenntnis genommen. Da demnach im neuen Namen ausdrücklich der Begriff "Identitätsmanagement" aufgenommen werden soll, sehen wir jedoch einigen Diskussionsbedarf. Wir nehmen insoweit den Ball von Herrn Federrath auf und möchten hierzu im FB anregen, dass die Diskussion unter Einbeziehung der Rückmeldungen aus den einzelnen FG-LGs auf der nächsten FB-LG-Sitzung am 8. April 2013 in Wien geführt wird, um ggf. eine für die FG BIOSIG zutreffende Begriffspräzisierung finden zu können, die keinen Konflikt zu anderen FGn aufweist. Aus unserer Sicht ist der Begriff "Identitätsmanagement" im Rahmen des FG-Namens irreführend, da es zumindest bisher bei der FG BIOSIG vorrangig um die Technik zur Feststellung von Identitäten geht und nicht um das Management von Identitäten. Letzteres wird derzeit als wesentlicher Bestandteil des Informationssicherheitsmanagements aus Betreibersicht durch die GI-FG SECMGT betreut und hinsichtlich der Sichtweise der einzelnen Nutzer (Betroffene) und der hierzu eingesetzten Technik, die mit möglichst geringem Eingriff in das informationelle Selbstbestimmungsrecht auskommen soll, durch die GI-FG PET. Zudem beschäftigt sich gemäß dem erst kürzlich verabschiedeten FB-Flyers die GI-FG ECOM mit Aspekten des Identitätsmanagements und auch die GI-FG EZQN dürfte sich um Fragen zum Identitätsmanagement im Kontext der zugehörigen Normung/Standardisierung kümmern. Insoweit erscheint uns der Begriff "Identitätsmanagement" derzeit ein Schnittstellenthema im FB zu sein, der nicht unmittelbar einer FG (exklusiv) zugeschlagen werden sollte. Aus unserer Sicht wären typische Aspekte, die völlig zutreffend durch die GI-FG BIOSIG exklusiv abgedeckt sind: Die Beschäftigung mit elektronischen Identitäten (eID) und deren Anwendungen, wobei eIDs auf Basis von biometrischen Verfahren, Hardware-Sicherheitsmodulen oder Zertifikaten beruhen können. Daraus leiten sich insbesondere als spezifische Themen ab die Durchführung einer Gefährdungsanalyse von eIDs und die Entwicklung von Sicherheitsmaßnahmen für Hardware-Sicherheit von Chipkarten, die Verwendung von Biometrie und Sensorik bei der Implementation von eID-Systemen, die Standardisierung von Public Key Infrastrukturen, die Gewährleistung der Integrität und Authentizität dauerhaft gespeicherter Dokumente und Dateien unter Verwendung geeigneter Zeitstempel sowie Analyse und Bewertung der in IT-Architekturen eingesetzten eID-Komponenten, Verfahren und Informationen. In der GI-FG SECMGT befassen wir uns dagegen eher mit dem Lifecycle Management für Identitäten aus Sicherheitssicht in der Praxis, dem Management der Authentifizierung (auf Grund von regulatorischen, standardbezogenen und abhängig von den gewählten Sicherheitszielen durch die Einrichtung selbst vorgegebenen Anforderungen) und der Steuerung von Berechtigungen (insbesondere im Zuge entsprechender Rollenkonzepte, in denen z.B. sowohl das need-to-know-Prinzip als auch das Prinzip zur segregation of duties umgesetzt wird, und einer regelmäßig wiederkehrenden Prüfung vergebener Zutritts-, Zugangs- und Zugriffsrechte). Wir würden uns über eine sachliche und lösungsorientierte Diskussion im FB freuen, um eine einvernehmliche Lösung für ein für die FG BIOSIG ausreichend breites Aufgabenspektrum, das aktuellen Entwicklungen entsprechend Rechnung trägt, zu finden. Als unglücklich empfinden wir allerdings den bereits auf den Web-Seiten der GI-FG BIOSIG vollzogenen Namenswechsel, ohne die Beschlussfassung im FB abzuwarten. Zitat aus http://fg-biosig.gi.de/ (Zugriff vom 04.03.2013): ----- Abdruck des Contents der Startseite der FG BIOSIG ----- Fachgruppe BIOSIG Themen und Positionierung der Fachgruppe Die Fachgruppe Biometrie und Identitätsmanagement (BIOSIG) widmet sich thematisch den Grundlagen, Methoden, Techniken, Abläufen und Realisierungen zur Sicherung der Authentizität und Integrität beteiligter Entitäten beim Einsatz von Informations-, Kommunikations- und Betriebssystemen für Anwendungen mit Sicherheitsbedarf sowie deren organisatorischen und rechtlichen Rahmenbedingungen. Hierbei werden konstruktive Vorgehensweisen und Bedrohungsanalysen behandelt. Zuordnung der Fachgruppe Die FG BIOSIG ist gemäss Beschluss vom 22.03.2002 dem FB Sicherheit der GI e.V. zugeordnet. Darstellung der Fachgruppe Die Fachgruppe versteht sich als fachliches Diskussionsforum für Wissenschaftler, Entwickler, Anwender und Vertreter von Aufsichtsstellen und Regulierungsbehörden im deutschsprachigen Raum für dieses Forschungs- und Anwendungsgebiet. Die Zugehörigkeit der Fachgruppe Biometrik und und Identitätsmanagement um GI-Fachbereich "Sicherheit" ergibt sich aufgrund des Verständnisses von Authentizität und Integrität als grundlegende Sicherheitseigenschaften, die für eine Vielzahl sicherheitserfordernder Anwendungen etwa im Umfeld von e-Commerce, e-Business, e-Government und e-Democracy vorausgesetzt werden und diese erst ermöglichen. Zur Sicherung der Authentizität von Entitäten und der Authentizität/Intergrität von Daten und Prozessen werden unterschiedliche Methoden diskutiert. Die Methoden für die Sicherung der Authentizität von Entitäten basieren hauptsächlich auf Wissen (Passwörter, Passphrasen, PINs, TANs), Besitz (Smart-Cards, Security-Tokens), Eigenschaft (Biometrische Charakteristika), Lokation, Zeit und deren Kombinationen. Rechtliche und organisatorische Rahmenbedingungen umfassen den Datenschutz im engeren und Privacy im weiteren Sinne sowie Zertifizierungsinfrastrukturen, mit denen öffentliche Schlüssel authentisch bereitgestellt werden können, und Biometrischen Infrastrukturen, mit denen biometrische Merkmale von Personen verifiziert bzw. identifiziert werden können. Biometrie Die Biometrie beschäftigt sich mit Erkennung von Inidividuen anhand deren Verhalten und ihrer biologischen Charakteristika für Anwendungen in den Bereichen der Zugriffs- und Zugangskontrolle sowie Personenidentifikation, -analyse und -verfolgung in lokalen und vernetzten Systemen. Die Betrachtungen der Fachgruppe im Umfeld der Biometrie beziehen sich hierbei auf die nachstehenden Aspekte, ohne durch diese begrenzt zu sein: Biometrische Algorithmen, Signaturen und Datenbanken Berechnung biometrischer Merkmale mit adäquaten Algorithmen sowie der Gestaltbarkeit von biometrischen Datenbanken in Systemen. Biometrische Techniken Verfahren zur Erfassung biometrischer Charakterisitiken unter Berücksichtigung von Safety- und Security-Aspekten. Zugriffs- und Zugangskontrolle mittels biometrischer Systeme Biometrische Authentisierung (im weiteren Sinne) sowie Biometrische Verifikation und Identifikation (im engeren Sinne) im Rahmen von mandatorischen, diskretionären und rollenbasierenden Zugriffskonzepten. Test und Bewertung biometrischer Algorithmen und Systeme Testverfahren, -konzepte und -ergebnisse mit und ohne Berücksichtigung der Anwendungsumgebung. Angreifbarkeit biometrischer Algorithmen, Techniken und Systeme Beurteilung der Stärken und Schwächen biometrischer Verfahren durch Diskussion von Bedrohungsanalysen und Täuschbarkeit biometrischer Systeme. Überwachung und Fahndung mit Biometrie Personenidentifikation und -verfolgung, Verhaltensanalyse, Ausweise, biometrische Forensik für die Fahndung Aspekte des Datenschutzes beim Einsatz biometrischer Methoden Biometrische Daten und informationelles Selbstbestimmungsrecht, Gestaltbarkeit biometrischer Systeme unter Berücksichtigung von Datenschutz und Privacy. Identitätsmanagement Im Bereich Identitätsmanagement beschäftigt sich die Fachgruppe mit verschiedenen Aspekten der Authentisierung ‑ samt der hierzu verwendeten Technologien auf Basis von Besitz, Wissen und Sein ‑ sowie dem föderierten Identitäts- und Berechtigungsmanagement einschließlich der verschiedenen rechtlichen, wirtschaftlichen, sozialwissenschaftlichen, sicherheitstechnischen und datenschutzspezifischen Aspekten. Dies umfasst beispielsweise folgende Themen: Sicherheit, Interoperabilität sowie rechtliche, wirtschaftliche und datenschutzspezifische Aspekte des Identitätsmanagements und verwandter Credential- und eID-Technologien Sicherheitsanalyse und beweisbare Sicherheit für Authentifizierungsprotokolle sowie für Protokolle für das Föderierte Identitätsmanagement, wie z.B. SAML, OpenID, WS-*, OAuth und andere Konzepte für und praktische Erfahrungen mit Komponenten, Systemen, Dienstleistungen, Prozesse und Anwendungen für das Identitätsmanagement Neuartige Technologien im Umfeld des Identitätsmanagements, Mobile Aspekte des Identitätsmanagement und alternative eID-Token Standards für das Identitätsmanagement, Interoperabilität und internationale Aspekte des Identitätsmanagements Beweisbar sichere Integration in innovative Anwendungen, z.B. im Bereich des Cloud Computing Internationale, globale und langfristige Aspekte des Identitätsmanagements Veranstaltungen Die Fachgruppe Biometrie und Identitätsmanagement führt seit mehr als 10 Jahren jährlich ein bis zwei Veranstaltungen im Verbund mit anderen Fachgruppen durch, um den fachlichen Austausch zu ermöglichen. ----- Ende Abdruck Web-Seiten-Content ----- Mit freundlichen Grüßen Dipl.-Inf. Bernhard C. Witt Senior Consultant für Datenschutz und Informationssicherheit, geprüfter fachkundiger Datenschutzbeauftragter (UDIS), zertifizierter ISO/IEC 27001 Lead Auditor (BSi), Certified in Risk and Information Systems Control (CRISC; ISACA), Lehrbeauftragter für Datenschutz und IT-Sicherheit an der Universität Ulm (seit 2005), Autor der Bücher "IT-Sicherheit kompakt und verständlich" (2006) und "Datenschutz kompakt und verständlich" (2008 & 2010), Mitglied im DIN-Arbeitsausschuss "IT-Sicherheitsverfahren" (AK 1 & 4), Mitglied im Leitungsgremium der GI-Fachgruppe "Datenschutzfördernde Technik" sowie Sprecher der GI-Fachgruppe "Management von Informationssicherheit" (seit 2009) ----------------------------------------- Consulting in Riskmanagement / Information Security Management / Compliance Management / Data Protection / Penetrationtests / IT-Forensics it.sec gehört seit 2012 dem nationalen Expertenkreis Cybersecurity / IT-Forensik des BSI an it.sec GmbH & Co. KG Einsteinstr. 55 D-89077 Ulm Fon: +49 (0)731/20589-11 Fax: +49 (0)731/20589-29 bernhard.witt@it-sec.de www.it-sec.de Amtsgericht Ulm: HRA 3129 haftender Komplementär: it.sec Verwaltungs GmbH Amtsgericht Ulm: HRB 4593 Geschäftsführer: Holger Heimann ----------------------------------------- -----Ursprüngliche Nachricht----- Von: fb-lg-bounces@gi-fb-sicherheit.de [mailto:fb-lg-bounces@gi-fb-sicherheit.de] Im Auftrag von Hannes Federrath Gesendet: Mittwoch, 13. Februar 2013 19:24 An: Leitungsgremium des GI-Fachbereiches Sicherheit Betreff: Re: [FB-LG] Namensänderung der Fachgruppe BIOSIG Hallo zusammen, es gibt m.E. keine Notwendigkeit, das vor der Sitzung am 8.4.2013 in Wien zu beschließen. Außerdem sollten alle Fachgruppen Gelegenheit haben, dazu Stellung zu nehmen, soweit sie das wollen. Ich nehme den Punkt auf die Tagesordnung für Wien. Gruß, Hannes Federrath Am 08.02.2013 um 10:21 schrieb Matthias Jänichen <mj@percomp.de>:
Moin,
ich nehme an, dass auch die englische Abkürzung "BIOSIG" sein soll. Gibt es irgendwelche Gründe (auch aus der Verwaltung) dem Änderungswunsch zu widersprechen?
Ist es notwendig, dieses (erst) auf der Sitzung zu besprechen? Das können wir doch online machen?
Gruß Matthias
Am 07.02.2013 17:08, schrieb Christoph Busch:
Lieber Herr Federrath,
Seit Gründung unserer Fachgruppe vor mehr als 10 Jahren trug sie den Namen "Biometrik und elektronische Signaturen". In mehreren Sitzungen haben wir eine Namensänderung diskutiert, um einerseits den aktuellen Inhalten und andererseits dem Harmonized Biometric Vocabulary (HBV) gerecht zu werden. Siehe auch: www.biosig.de
Das LG der Fachgruppe BIOSIG beantragt nun als neuen Namen: Deutsch: "Fachgruppe Biometrie und Identitätsmanagement (BIOSIG)" English: "Biometrics and Identity Management Special Interest Group (BOSIG)"
Ich bitte darum, diesen Antrag auf die Tagesordnung der FBSEC-LG-Sitzung am 8. April zu nehmen und im Anschluss an die Sitzung dann die GI-Webseite entsprechend zu aktualisieren.
schöne Grüße Christoph Busch
------------------------------------------------ Prof. Dr. Christoph Busch Competence Center for Applied Security Technology CAST e.V. Fraunhoferstr. 5, 64283 Darmstadt Tel:+49-6151-155-536 email: christoph.busch@cast-forum.de http://www.castforum.de http://www.christoph-busch.de ------------------------------------------------ _______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
-- Matthias Jänichen
_______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
_______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg