key: cord-0052139-pi1xui8d authors: nan title: Report date: 2020-10-30 journal: Datenschutz Datensich DOI: 10.1007/s11623-020-1363-4 sha: f00a498bab65a7ed17e56018ed1a053a35b5ef90 doc_id: 52139 cord_uid: pi1xui8d nan SecuStack, das sicherheitsgehärtete Cloud-Betriebssystem made in Germany, unterstützt bald die Intel® Software Guard Extensions (SGX) Enklaven auf Basis der SCONE Plattform von Scontain. Dadurch lassen sich Cloud-Anwendungen in den Bereichen ma-schinelles Lernen (ML) und verteiltes Rechnen (Multi-Party Computing) zur sicheren Übertragung von Daten realisieren. So können etwa Krankenhäuser ML-Modelle zur Übertragung und Verarbeitung von Patientendaten nutzen, während die Daten selbst vor dem Zugriff des Cloud-Providers geschützt bleiben. Intel SGX ermöglicht den Datenaustausch auch bei fehlendem Vertrauen in den Cloud-Provider. Der Anbieter der SecuStack Plattform, die secustack GmbH, ist ein Joint Venture der secunet Security Networks AG und der Cloud&Heat Technologies GmbH. SecuStack richtet sich an Unternehmen und Behörden mit sicherheitskritischen Anwendungen. SecuStack ist ein Cloud-Betriebssystem, das auf der Basis von "Infrastructure-as-a-Service" (IaaS) einfach und sicher Ressourcen für den Betrieb von Cloud-Anwendungen bereitstellt. Die Plattform ist als Erweiterung von OpenStack konzipiert und damit voll kompatibel. Auf transparente Weise integrierte kryptographische Mechanismen ermöglichen die sichere Übermittlung, Speicherung und Verarbeitung von Daten sowie die Vernetzung von Ressourcen in einer OpenStack Umgebung. Dank SecuStack können verschiedene Branchen erstmals Cloud Computing nutzen, die das aufgrund hoher Sicherheitsanforderungen oder aus mangelndem Vertrauen bisher nicht konnten oder wollten. Ein Beispiel bildet das Gesundheitswesen. Im Rahmen der zunehmenden Digitalisierung bestand für Krankenhäuser durch Sicherheits-und Datenschutzbestimmungen häufig kein Zugang zu Patientendaten. Nun können die anonymisierten Rohdaten von berechtigten Institutionen verwendet, aggregiert und analysiert werden, um wichtige medizinische Erkenntnisse zu gewinnen. Mit Intel SGX ausgestattete CPUs können kritische Infrastrukturdienste wie Identitätsmanagement, Schlüsselmanagement oder VPN-Dienste innerhalb von vertrauenswürdigen, hardwaregeschützten Enklaven ausführen. Intel SGX stellen dabei eine weitere Schutzebene für die Integrität und Vertraulichkeit von Programmcode und Daten außerhalb der CPU zur Verfügung und erhöhen damit die Hürde für Angreifer enorm. Dies sorgt für zusätzliche, zuvor nicht vorhandene Sicherheit in der Infrastrukturschicht. Mit der SCONE Plattform von Scontain können Dienste in Intel SGX-Enklaven einfach integriert, ausgeführt und damit Funktionen wie Laufzeitverschlüsselung, Secrets Management und Autorisierung besonders sicher in SecuStack integriert werden. Die Kombination von Intel SGX-Enklaven mit einer Open-Source-basierten, gehärteten und kryptographisch abgesicherten Infrastrukturschicht bietet den umfassendsten Schutz, der heute verfügbar ist. Sie bietet Sicherheit für Daten und Anwendungen, ohne die Hoheit darüber zu gefährden. Die Integrität der Infrastrukturschicht bleibt gewahrt. Neben der Infrastruktur-Absicherung unterstützt SecuStack künftig auch Confidential Cloud Native Applications. Anwendungsdienste laufen damit beispielsweise innerhalb von Intel SGX-Enklaven eines Kubernetes-Clusters. Eines der Ziele dabei ist es, maschinelles Lernen mit vertraulichen Daten zu ermöglichen. So Die Cybersecurity-Spezialisten von F-Secure haben am 25. August 2020 einen Report veröffentlicht, in dem sie Details eines gezielten Angriffs auf ein Unternehmen aus der Kryptowährungsbranche mit der Lazarus Group in Verbindung bringen. Die Hackergruppe, die mutmaßlich in enger Verbindung zur Demokratischen Volksrepublik Korea (DVRK) steht, ist bekannt für ihr hochprofessionelles Vorgehen, das rein finanzielle Interessen verfolgt. Im Bericht kommt F-Secure durch die Verknüpfung von aus dem Angriff gewonnenen Hinweisen und Mustern mit bereits vorhandenen Forschungsergebnissen zu dem Schluss, dass der überprüfte Vorfall Teil einer global angelegten Kampagne der Lazarus-Gruppe ist. Diese richtet sich gegen Unternehmen aus der Kryptowährungsbranche aus den Vereinigten Staaten, Großbritannien, den Niederlanden, Deutschland, Singapur, Japan und weiteren Ländern. Der Bericht analysiert die Logs, Protokolle und weitere technische Artefakte, die von F-Secure während der forensischen Untersuchung eines Angriffes auf eine Krypto-Organisation sichergestellt werden konnten. F-Secures Sicherheitsexperten stellten dabei fest, dass die Angriffsmethoden nahezu identisch mit den Praktiken sind, die so zuvor auch von der Lazarus-Gruppe -auch als APT38 bekannt -eingesetzt wurden. Darüber hinaus beinhaltet der Bericht Details zu Taktiken, Techniken und Verfahren (TTP), die während des Angriffs zum Einsatz kamen. So konnten von den Angreifern beispielsweise per "Spearphishing" vertrauenswürdige externe Dienste instrumentalisiert werden. In diesem konkreten Fall wurde ein gefälschtes und speziell auf das Profil des Empfängers zugeschnittenes Stellenangebot über die Plattform LinkedIn versendet. Auf der Grundlage von Phishing-Artefakten, die nach dem Angriff der Lazarus Group sichergestellt wurden, konnten die Forscher von F-Secure den Vorfall mit einer umfangreichen, bereits seit Januar 2018 laufenden Kampagne in Verbindung bringen. Dem Bericht zufolge wurden ähnliche Artefakte bei Angriffen in mindestens 14 Ländern festgestellt: in den Vereinigten Staaten, China, Großbritannien, Kanada, Deutschland, Russland, Südkorea, Argentinien, Singapur, Hongkong, den Niederlanden, Estland, Japan und den Philippinen. Um die Abwehr des betroffenen Unternehmens während des Angriffs zu umgehen, hat die Lazarus-Gruppe einen erheblichen Aufwand betrieben. So konnte sie beispielsweise Antiviren-Software auf den kompromittierten Hosts deaktivieren und hinterlassene Beweise für ihre Aktivitäten entfernen. Und obwohl der Bericht den Angriff als hochprofessionell charakterisiert, weist er doch darauf hin, dass die Bemühungen der Lazarus Group, ihre Spuren im Nachhinein zu verwischen, nicht ausreichend waren. Zahlreiche versteckte und nicht beseitigte Indizien ergaben für F-Secure schlussendlich eindeutige Beweise für die Aktivitäten der Angreifer. " Die massenhafte Einführung bestimmter Technologien wird immer von Bemühungen begleitet, ihre breite Anwendung durch eine Reihe von Sicherheitslücken auszunutzen. Die Verschlüsselungstechnologie SSL bildet keine Ausnahme von dieser Regel und hat eine große Anzahl publizierter Schwachstellen gezeigt, die die Benutzer zwingen, auf neue, sicherere Versionen und letztendlich auf ein Ersatzprotokoll wie Transport Layer Security (TLS) umzusteigen. Die Ausnutzung neu identifizierter Schwachstellen ist jedoch nicht die einzige Art und Weise, in der SSL als Waffe in den Händen böswilliger Angreifer genutzt wird. Nach Erkenntnissen von Radware (mitgeteilt am 09. September 2020) wird SSL immer häufiger eingesetzt, um die Erkennung des Angriffsverkehrs sowohl bei Bedrohungen auf Netzwerk-als auch auf Anwendungsebene zu verschleiern und weiter zu erschweren. SSL-Angriffe sind bei Angreifern beliebt, da nur eine kleine Anzahl von Paketen erforderlich ist, um einen Denial-of-Service für einen ziemlich großen Dienst zu verursachen. Angreifer starten Angriffe, die SSL verwenden, weil jeder SSL-Sitzungs-Handshake 15 Mal mehr Ressourcen auf dem Server als auf dem Client verbraucht. Infolge dieses Verstärkungseffekts kann selbst ein kleiner Angriff zu lähmendem Schaden führen. Verschlüsselte SYN Floods. Diese Angriffe ähneln in ihrer Art den normalen, nicht verschlüsselten SYN-Flood-Angriffen, indem sie die vorhandenen Ressourcen erschöpfen, um den SYN-ACK-Handshake zu vervollständigen. Der Unterschied besteht darin, dass diese Angriffe die Herausforderung noch komplizierter machen, in-dem sie den Verkehr verschlüsseln und die Verwendung von SSL-Handshake-Ressourcen erzwingen. SSL-Neuverhandlung. Solche Attacken initiieren einen regulären SSL-Handshake und verlangen sofort die Neuverhandlung des Schlüssels. Das Tool wiederholt diese Neuverhandlungsanforderung ständig, bis alle Server-Ressourcen erschöpft sind. HTTPS Floods. Erzeugen Floods von verschlüsseltem HTTP-Verkehr, oft als Teil von Multi-Vektor-Angriffskampagnen. Zu den Auswirkungen "normaler" HTTP Floods kommen bei verschlüsselten HTTP-Angriffen noch einige andere Herausforderungen hinzu, wie z. B. die Belastung durch Ver-und Entschlüsselungsmechanismen. Verschlüsselte Angriffe auf Webanwendungen. Kampagnen für Multi-Vektor-Angriffe nutzen zunehmend auch Angriffe auf Webanwendungslogiken, die nicht auf DoS basieren. Durch die Verschlüsselung des Datenverkehrs passieren diese Angriffe oft unbemerkt von Abwehrmaßnahmen gegen DDoS und Schutzmechanismen für Webanwendungen. Auf die gleiche Weise, wie SSL und Verschlüsselung die Integrität legitimer Kommunikation schützen, verschleiern sie auch viele Attribute des Datenverkehrs, mit denen festgestellt wird, ob es sich um böswilligen oder legitimen Datenverkehr handelt. "Das Identifizieren bösartigen Traffics innerhalb verschlüsselter Verkehrsströme gleicht dem Auffinden einer Nadel im Heuhaufen im Dunkeln", so Michael Tullius, Managing Director DACH von Radware. "Die meisten Sicherheitslösungen haben Mühe, potenziell böswilligen Verkehr aus verschlüsselten Verkehrsquellen zu identifizieren und für weitere Analysen und eine potenzielle Schadensbegrenzung zu isolieren." Viele Lösungen, die ein gewisses Maß an Entschlüsselung leisten können, tendieren dazu, sich auf eine Begrenzung der Anforderungsrate zu verlassen, was dazu führt, dass der Angriff effektiv beendet wird. Allerdings wird dabei auch legitimer Datenverkehr blockiert. Schließlich erfordern viele Lösungen, dass der Kunde Serverzertifikate teilen muss, was die Implementierung und Zertifikatsverwaltung erschwert. Die bedauerliche Realität ist, dass die Mehrheit der DDoS-Angriffsschutzlösungen nur Schutz für bestimmte Arten von Angriffen bietet und in vielen Fällen mit SSL-Angriffen zu kämpfen hat. Um einen wirksamen Schutz zu bieten, müssen die Lösungen unter dem Strich eine vollständige Abdeckung der Angriffsvektoren (einschließlich SSL) und eine hohe Skalierbarkeit bieten, um den wachsenden Anforderungen gerecht zu werden und wirksamen Schutz zu bieten. Insbesondere muss die Abwehr gegen SSL-Attacken alle gängigen Versionen von SSL und TLS unterstützen und einen asymmetrischen Einsatz ermöglichen, bei dem nur der eingehen- Im Gegensatz zum klassischen Phishing geht es beim Echtzeit-Phishing darum, die Daten beider Anmeldungen, also das Passwort wie auch den zweiten Faktor der MFA zu stehlen. Hierzu bedienen sich Cyberkriminelle zuweilen eines Proxys, der zwischen der eigentlichen Website der Cloud-Anwendung und dem Opfer geschalten wird. Die auf dem Proxy befindliche Website sieht dabei der ursprünglichen zum Verwechseln ähnlich. Mittels dieser betrügerischen Website manipuliert der Angreifer das Opfer so, dass es den Authentifizierungscode der MFA im Anschluss an seine Anmeldedaten aushändigt. Solche Angriffe können mit Werkzeugen wie Modlishka automatisiert werden. Allerdings müssen die Angreifer ihre Tools häufig aktualisieren, um nicht entlarvt zu werden und sie benötigen eine komplexe Infrastruktur. Eine weitere Echtzeit-Phishing-Methode, die Angreifer verwenden, ist die "Challenge Reflection", bei der die Benutzer aufgefordert werden, MFA-Zugangsdaten auf einer Phishing-Site auszufüllen. Die Zugangsdaten werden dann unmittelbar danach mit den Hackern ge-teilt. Die erfolgreiche Umsetzung dieser Methode erfordert jedoch eine manuelle Echtzeit-Aktion der Cyberkriminellen im Hintergrund. Beim Channel Hijacking wird das Telefon oder der Computer des Opfers in der Regel mit Malware angegriffen. Die entsprechende Malware kann sodann eine sogenannte Man-in-the-Browser-Technik oder Web-Injects nutzen, um die relevanten Daten zu erbeuten. Natürlich können Daten auch direkt vom Mobiltelefon gestohlen werden, beispielsweise über Textnachrichten oder durch hacken der Sprachbox der zugehörigen Telefonnummer. Eine einfachere und billigere Methode zur Umgehung von MFA stellt die Ausnutzung von Legacy Protokollen für Angriffe auf Cloud-Accounts dar. Viele Organisationen erlauben noch immer die Unterstützung dieser Protokolle für Legacy-Geräte oder -Anwendungen wie Kopierer oder gemeinsam genutzte Konten -z.B. für Konferenzräume. Im Falle älterer E-Mail-Protokolle wie POP und IMAP wird MFA zum Teil nicht unterstützt. Das hat zur Folge, dass nicht zwingend ein zweiter Faktor zur Authentifizierung benötigt wird, um Zugriff auf einen Account zu erhalten. Diese Umgehungsmethode lässt sich leicht automatisieren und mittels Login-Daten nutzen, die aus früheren Angriffen stammen oder via Phishing erbeutet wurden. Analysen von Proofpoint in Sachen Cloud-Bedrohungen haben gezeigt, dass in der ersten Jahreshälfte 2020 97 Prozent der untersuchten Organisationen von Brute-Force-Angriffen betroffen waren. 30 Prozent davon hatten zudem mindestens ein kompromittiertes Cloud-Konto zu beklagen. Bei der Untersuchung-E-Mail-basierter Cloud-Angriffe (Credential Phishing, Malware usw.) konnte das Unternehmen feststellen, dass 73 Prozent aller überwachten Systeme attackiert und 57 Prozent von ihnen kompromittiert wurden. Wenn es um Cloud-Sicherheit geht ist MFA kein Garant für die Vermeidung erfolgreicher Cyberangriffe. Je mehr Organisationen die Technologie implementieren, desto mehr Anwender und Sicherheitslücken gibt es, die von Angreifern missbraucht werden können. MFA kann jedoch dazu beitragen, die generelle Situation in puncto IT-Sicherheit zu verbessern. Dies gilt besonders in Kombination mit auf den Menschen ausgerichteten Sicherheitstrainings und stetigen Zugangskontrollen. Weitere Informationen zu den von Proofpoint entdeckten Sicherheitslücken sowie allgemeine Hintergrundinformationen zum Thema MFA, finden Sie im aktuellen Blog von Proofpoint. Eine Mail, die angeblich vom Bundesgesundheitsministerium stammt, enthält einen Downloader für eine Schadsoftware. Der Dateianhang mit dem Namen "Bund-Arbeitsschutzregel-Corona-September.zip" enthält vorgeblich ein Dokument mit aktualisierten und ab sofort verbindlichen Regeln für den Infektionsschutz am Arbeitsplatz. Der Text der Mail lässt den Schluss zu, dass in erster Linie Unternehmen zur Zielgruppe gehören. Aus diesem Grund ist momentan für Unternehmen besondere Vorsicht geboten, wenn vermeintliche Mails von Behörden im Postfach landen. Uns sind Berichte über derzeit aktive Infektionen bekannt. "Die Corona-Pandemie sorgt noch immer für viel Unsicherheit -und die Mischung aus viel Homeoffice und Hygieneregeln am Arbeitsplatz stellt Arbeitgeber tatsächlich vor große Herausforderungen", sagt Tim Berghoff, Security Evangelist bei G DATA Cyber-Defense. "Gerade deshalb sollten die Verantwortlichen aber sehr genau hinschauen und nur offiziellen Quellen vertrauen. Denn eine Infektion mit Schadsoftware können Unternehmen im Moment noch weniger gebrauchen, als ohnehin schon." Der Text der Mail weist auf ein Treffen zwischen den Gesundheitsministern der EU hin, bei dem die aktualisierten Vorschriften überarbeitet worden seien. Dass es solch ein Treffen gegeben hat, mag vielleicht sogar stimmen -allerdings werden solche Informationen in der Regel nicht per Mail von den Ministerien versendet, sondern auf einem eigenen Portal veröffentlicht. Es findet kein proaktiver Versand per Mail statt. Des Weiteren nimmt der Mailtext Bezug auf ein Treffen, welches "heute" stattgefunden habe. Es befinden sich auch einige Zeichenfehler in der Mail, vor allem den Buchstaben U, W, C und D sowie bei Umlauten. Die Mail enthält auch eine falsche Absendeadresse, die auf "bundesministerium-gesundheit.com" verweist -diese Domain gehört jedoch nicht zum Gesundheitsministerium. Die im Mailtext erwähnte Adresse "poststelle@bmg.bund.de" ist jedoch tatsächlich korrekt. Um sich vor einer Schadsoftwareinfektion aus einer solchen Mail zu schützen, sollten Unternehmen und Privatpersonen alle Informationen rund um die COVID19-Pandemie und entsprechende Schutzmaßnahmen ausschließlich aus offiziellen Quellen beziehen. Alle aktuellen Informationen rund um Corona und COVID19 sind auf der Internetseite des Bundesministeriums für Gesundheit (BmG) gesammelt. Weitere Details sowie Screenshots der Spam-Nachrichten finden Sie in einem aktuellen G DATA-Blog-Beitrag. Seit September 2020 gelten neue verkürzte Laufzeiten für TLS-Zertifikate, mit denen Webseiten abgesichert werden. Diese dürfen nun maximal 13 Monate (397 Tage) gültig sein. Die Browserhersteller versprechen sich davon mehr Sicherheit. Dr. Kim Nguyen, Geschäftsführer von D-TRUST, einem Unternehmen der Bundesdruckerei und Anbieter digitaler Zertifikate, ist jedoch skeptisch: "Kürzere Laufzeiten von Website-Zertifikaten können sogar zu mehr Unsicherheit im Netz führen: Eine reduzierte Gültigkeitsdauer für alle Zertifikatstypen verringert aufgrund des zusätzlichen Aufwands die Attraktivität von TLS-Zertifikaten mit Identitätsprüfung." Wie wichtig deren Beitrag für eine sichere Online-Kommunikation ist, zeigt der Betrug bei den Corona-Soforthilfe-Anträgen im Frühjahr dieses Jahres. Der Einsatz identitätsgeprüfter Zertifikate hätte mit hoher Wahrscheinlichkeit einen Missbrauch verhindert: Die Antragsteller hätten laut Nguyen über die Anzeige der Zertifikatsinformationen feststellen können, ob sie sich auf einer vertrauenswürdigen Behörden-Webseite befinden -oder einer Phishing-Seite von Betrügern. Zudem weist Nguyen auf die politische Dimension der Verkürzung hin: "Europa setzt bei der Internet-Sicherheit auf Zertifikate mit einer gründlichen Identitätsprüfung und hoher Rechtsverbindlichkeit -von der nun vorgegebenen Verkürzung profitieren jedoch vor allem Angebote mit niedrigem Sicherheitsniveau, für den Anwender sinkt der Verbraucherschutz." Die Entscheidung für verkürzte Laufzeiten von TLS-Zertifikaten wurde vom CA/Browser-Forum im Juli 2020 getroffen. Das Forum ist eine Plattform für den Austausch zwischen Zertifikatsanwendern -also beispielsweise den großen Browserherstellern aus den USA -und den sogenannten Certificate Authorities (CA), die Zertifikate ausstellen. Anfangs von einem Browser-Hersteller forciert, ist das gesamte Forum auf starken Druck der anderen Browseranbieter auf diesen Kurs eingeschwenkt. "D-TRUST als europäischer CA ist von der Laufzeitverkürzung betroffen: Wir verstehen uns als Anbieter von Zertifikaten mit den höchsten Sicherheitsniveaus, also ausführlicher Identitätsprüfung -diese werden jetzt für Anwender unattraktiver", erläutert Nguyen. D-TRUST konzentriert sich auf organisationsvalidierte und erweitert validierte Zertifikate mit Identitätsinformationen (OV-, EV-und QWAC-Zertifikate). Hierbei wird die Identität des Webseitenbetreibers gründlich geprüft. Das erfordert einen höheren Aufwand, der jetzt in immer kürzeren Abständen notwendig ist. Der Mehraufwand für Webseitenbetreiber bei Laufzeitverkürzungen lässt sich zwar durch automatisierte Prozesse vermeiden, doch kann dies in der Regel nur von Unternehmen mit spezialisierten IT-Abteilungen oder Dienstleistern umgesetzt werden. Es besteht daher die Gefahr, dass Anwender aufgrund des höheren Aufwands eher zu sogenannten domainvalidierten Zertifikaten (DV-Zertifikate) tendieren. Bei DV-Zertifikaten wird die Identität des Antragstellers im Antragsprozess nicht überprüft. Bei der Internet-Sicherheit konzentrieren sich die Browserhersteller auf die technischen Aspekte. Im Mittelpunkt steht dabei der verschlüsselte Datentransfer zwischen Webseiten und dem Computer des Internet-Nutzers. Kürzere Laufzeiten verringerten laut Browserhersteller allgemein das Zeitfenster, in denen TLS-Zertifikate gefährdet sind oder missbraucht werden können. Langfristig erhoffen sich die Browser davon, dass sie gänzlich auf die Zertifikatvalidierung verzichten können, um die Geschwindigkeit der Browser zu beschleunigen. Dies erhöht jedoch nach Ansicht von Nguyen für Nutzer das Risiko, Opfer von Phishing-Attacken zu werden. Unterstützt wird dieses Argument durch eine aktuelle Studie der RWTH Aachen University. Deren Ergebnisse verdeutlichen, dass für ein Optimum an Internet-Sicherheit nicht nur technische Maßnahmen notwendig sind, sondern auch ein Identitäts-Check bei Zertifikaten. Laut der Studie nutzten 49,4 Prozent der in 2018 entdeckten Phishing-Webseiten das HTTPS-Protokoll. HTTPS-Webseiten übertragen die Daten verschlüsselt und signalisieren dem User damit Sicherheit. Eine Verschlüsselung allein ist also kein Kennzeichen sicherer Webseiten. Dass kürzere Zertifikatslaufzeiten die Sicherheit verbessern, wird durch die Analyse ebenfalls nicht bestätigt. Im Gegenteil: Die Gültigkeitsdauer sicherer Webseiten ist mit durchschnittlich 412 Tagen länger als diejenige gefälschter Webseiten mit 252 Tagen. Auch bei der ausgewählten Methode der Identitätsprüfung gibt es ein eindeutiges Ergebnis: 84,6 Prozent der Phishing-Angriffe werden über Webseiten durchgeführt, die entweder ausschließlich DV-Zertifikate oder gar keine Zertifikate enthalten. Hingegen besaßen nur 0,4 Prozent der gefälschten Webseiten ein EV-Zertifikat mit umfangreicher Identitätsprüfung. Die EU-Kommission hat deshalb bereits 2014 in der Verordnung über elektronische Identifizierung und Vertrauensdienste das qua-lifizierte Webseitenzertifikat (QWAC) definiert. Ziel ist es, in ganz Europa eine sichere und vertrauenswürdige elektronische Kommunikation zu etablieren. Allerdings erkennen die Browserhersteller QWACs bislang nicht an: Diese besonders sicheren Website-Zertifikate werden weder verarbeitet, noch im Browser angezeigt. Jetzt kommen zusätzlich die kürzeren Laufzeiten hinzu, die den Trend hin zu Zertifikaten ohne Identitätsnachweis verstärken. "Das Vorgehen von Google und Co. beim Umgang mit Website-Zertifikaten zeigt, dass eine starke Abhängigkeit der digitalen Sicherheitsinfrastrukturen in Europa von den Browserherstellern besteht", so Nguyen. Es gilt viel mehr, die digitale Souveränität Europas zu stärken. Browserhersteller müssen endlich die Verarbeitung und Anzeige der QWACs unterstützen. Wichtig wäre es zudem, den Sicherheitsstatus der QWACs verlässlich zu visualisieren, zum Beispiel durch das "EU Trust Mark Logo". Diese Lösungsvorschläge werden auch vom Digitalverband Bitkom geteilt, der jüngst ein umfangreiches Positionspapier 1 zum Thema veröffentlichte. SINA Workflow, die Lösung von secunet für eine durchgehend digitale Bearbeitung von Verschlusssachen (VS), hat am 24. August 2020 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Freigabeempfehlung bis einschließlich GEHEIM erhalten (BSI-VSA-10158). Mit der Freigabeempfehlung ist SINA Workflow die aktuell einzige evaluierte und ganzheitliche Lösung für das digitale VS-Dokumentenmanagement inklusive VS-Registratur. SINA Workflow ermöglicht Kunden, VS-Dokumente komplett digital zu erstellen, zu registrieren und zu verwalten sowie gemäß dem Prinzip "Kenntnis nur, wenn nötig" ("need to know") in der eigenen Organisation sicher zu verteilen. Dabei stellt die Lösung sicher, dass für jede Verschlusssache im System belastbare Nachweise darüber enthalten sind, welche Verarbeitungs-und Verwaltungsschritte damit ausgeführt wurden. Die Nutzer werden vom Vorschriftenoverhead entlastet. Digitale Prozesse (Workflows) innerhalb der Lösung ermöglichen zudem die kollaborative Arbeit an Dokumenten sowie die zentrale Modellierung von wiederkehrenden Prozessen wie etwa Mitzeichnungen. Auch organisationsspezifische Abläufe lassen sich abbilden. Auf papiergebundene Schritte bei der VS-Bearbeitung können die Nutzer vollständig verzichten. In der Verwaltung hat SINA Workflow das Potenzial, die gesamte digitale VS-Bearbeitung deutlich zu vereinfachen. Nationale und internationale Behörden können von der Lösung profitieren, da sie den Umgang mit eingestuften Informationen um ein Vielfaches beschleunigen kann. Im Umfeld der Geheimhaltungsstufe GEHEIM setzt SINA Workflow auf die bewährte SINA Workstation H auf. Somit können Bestandskunden die Lösung mit den bereits vorhandenen SINA Krypto-Clients nutzen. secunet strebt an, die allgemeine Zulassung für eine der nächsten Versionen kurzfristig zu erreichen. Durch die erteilte Freigabeempfehlung kann SINA Workflow jedoch bereits jetzt für Verschlusssachen bis GEHEIM eingesetzt werden. Weitere Informationen finden Sie unter www.secunet.com der Informationstechnik | Bonn Prof. Dr. T. Petri | Bayerischer Landesbeauftragter für den Datenschutz | München Prof. Dr. A. Roßnagel | Projektgruppe verfassungsverträgliche Technikgestaltung provet) | Universität Kassel P. Schaar | Vorsitzender