Lieber Herr Witt, herzlichen Dank für Ihre mail. Ich bin mir nicht ganz sicher, ob wir bezüglich der grundsätzlichen Mission einer Fachgruppe in der GI und den daraus möglicherweise resultierenden Rechten und Pflichten das gleiche Verständnis haben. Soweit ich das verstehe, leitet sich aus der Benennung einer Organisationseinheit, oder gar einem Namensbestandteil, aber selbstverständlich KEIN irgendwie gearteter "Alleinvertretungsanspruch" ab. Schließlich erfordern viele heutige Probleme das kooperative Zusammenwirken von interdisziplinären Expertenteams und dass die FG BIOSIG sich stets um eine offene Kooperation mit entsprechenden Partnern bemüht, zeigt sich beispielsweise beim "Open Identity Summit" (siehe http://openidentity.eu/cfp.pdf) . Mir war nicht bewusst, dass spezifische Aspekte des Identitätsmanagements auch in Ihrer FG fokussiert behandelt werden, sonst hätte ich Sie und Ihre Kollegen selbstverständlich eingeladen, aktiv am "Open Identity Summit" mitzuwirken. Sofern Sie möchten, nehmen wir Sie gerne noch mit. Sofern es Ergänzungsvorschläge für die adressierten Themen und/oder das PK gibt, können wir die noch aufnehmen. Der CfP soll in Kürze nochmal verteilt werden, so dass hier noch Ergänzungen vorgenommen werden könnten. Diese Einladung gilt selbstverständlich auch für alle anderen Fachgruppen, die ich vergessen haben könnte und die sich mit den adressierten Themen beschäftigen. Der Begriff "Identitätsmanagement" (vgl. http://www.ecsec.de/pub/2008_DuD_Glossar.pdf ) wurde übrigens deshalb gewählt, weil er das in unserer FG bearbeitete Themenfeld aus unserer Sicht am besten beschreibt. Umgekehrt heißt das selbstverständlich NICHT, dass diese Themen ausschließlich in der FG BIOSIG bearbeitet werden. Denn vielmehr gibt es ja in den FGen PET, KRYPTO, ECOM, EZQN und nicht zuletzt SECMGMT Experten, die sich bestimmten Aspekten des Identitätsmanagements in spezialisierter Weise annehmen. Sofern das nötig ist, können wir die Thematik gern auch im Rahmen einer Telefonkonferenz besprechen. Am geplanten Termin in Wien werde ich leider nicht teilnehmen können. Insofern würde müsste die dortige Diskussion leider ohne mich stattfinden. VG, dh -- Dipl. Inform. (FH) Dr. rer. nat. Detlef Hühnlein ecsec GmbH Sudetenstrasse 16 96247 Michelau Telefon +49 9571 896479 Mobil +49 171 9754980 detlef.huehnlein@ecsec.de ecsec GmbH Sudetenstrasse 16 96247 Michelau Amtsgericht Coburg HRB 4622 USt-ID DE266920858 Steuernummer 212/125/70009 Geschäftsführer: Tina Hühnlein Dr. Detlef Hühnlein Diese E-Mail kann vertrauliche Informationen enthalten. Falls Sie diese E-Mail irrtümlich erhalten haben, informieren Sie bitte unverzüglich den Absender und löschen Sie diese E-Mail von jedem Rechner, auch von den Mailservern. Jede Verbreitung des Inhalts, auch die teilweise Verbreitung, ist in diesem Fall untersagt. Außer bei Vorsatz oder grober Fahrlässigkeit schließen wir jegliche Haftung für Verluste oder Schäden aus, die durch Viren befallene Software oder E-Mails verursacht werden. This e-mail may contain strictly confidential information and is intended for the person to which it is addressed only. Any dissemination, even partly, is prohibited. If you receive this e-mail by mistake, please contact the sender and delete this e-mail from your computer, including your mailserver. Except in case of gross negligence or wilful misconduct we accept no liability for any loss or damage caused by software or e-mail viruses.
-----Ursprüngliche Nachricht----- Von: fb-lg-bounces@gi-fb-sicherheit.de [mailto:fb-lg-bounces@gi-fb- sicherheit.de] Im Auftrag von Bernhard C. Witt Gesendet: Freitag, 8. März 2013 11:50 An: Leitungsgremium des GI-Fachbereiches Sicherheit Cc: secmgt-lg@gi-fb-sicherheit.de Betreff: Re: [FB-LG] Namensänderung der Fachgruppe BIOSIG
Liebe Kolleginnen und Kollegen,
mit großem Interesse haben wir seitens der GI-FG SECMGT die Pläne der GI-FG BIOSIG hinsichtlich der geplanten Umbenennung zur Kenntnis genommen. Da demnach im neuen Namen ausdrücklich der Begriff "Identitätsmanagement" aufgenommen werden soll, sehen wir jedoch einigen Diskussionsbedarf.
Wir nehmen insoweit den Ball von Herrn Federrath auf und möchten hierzu im FB anregen, dass die Diskussion unter Einbeziehung der Rückmeldungen aus den einzelnen FG-LGs auf der nächsten FB-LG-Sitzung am 8. April 2013 in Wien geführt wird, um ggf. eine für die FG BIOSIG zutreffende Begriffspräzisierung finden zu können, die keinen Konflikt zu anderen FGn aufweist.
Aus unserer Sicht ist der Begriff "Identitätsmanagement" im Rahmen des FG- Namens irreführend, da es zumindest bisher bei der FG BIOSIG vorrangig um die Technik zur Feststellung von Identitäten geht und nicht um das Management von Identitäten. Letzteres wird derzeit als wesentlicher Bestandteil des Informationssicherheitsmanagements aus Betreibersicht durch die GI-FG SECMGT betreut und hinsichtlich der Sichtweise der einzelnen Nutzer (Betroffene) und der hierzu eingesetzten Technik, die mit möglichst geringem Eingriff in das informationelle Selbstbestimmungsrecht auskommen soll, durch die GI-FG PET. Zudem beschäftigt sich gemäß dem erst kürzlich verabschiedeten FB-Flyers die GI-FG ECOM mit Aspekten des Identitätsmanagements und auch die GI-FG EZQN dürfte sich um Fragen zum Identitätsmanagement im Kontext der zugehörigen Normung/Standardisierung kümmern.
Insoweit erscheint uns der Begriff "Identitätsmanagement" derzeit ein Schnittstellenthema im FB zu sein, der nicht unmittelbar einer FG (exklusiv) zugeschlagen werden sollte.
Aus unserer Sicht wären typische Aspekte, die völlig zutreffend durch die GI- FG BIOSIG exklusiv abgedeckt sind: Die Beschäftigung mit elektronischen Identitäten (eID) und deren Anwendungen, wobei eIDs auf Basis von biometrischen Verfahren, Hardware-Sicherheitsmodulen oder Zertifikaten beruhen können. Daraus leiten sich insbesondere als spezifische Themen ab die Durchführung einer Gefährdungsanalyse von eIDs und die Entwicklung von Sicherheitsmaßnahmen für Hardware-Sicherheit von Chipkarten, die Verwendung von Biometrie und Sensorik bei der Implementation von eID- Systemen, die Standardisierung von Public Key Infrastrukturen, die Gewährleistung der Integrität und Authentizität dauerhaft gespeicherter Dokumente und Dateien unter Verwendung geeigneter Zeitstempel sowie Analyse und Bewertung der in IT-Architekturen eingesetzten eID- Komponenten, Verfahren und Informationen.
In der GI-FG SECMGT befassen wir uns dagegen eher mit dem Lifecycle Management für Identitäten aus Sicherheitssicht in der Praxis, dem Management der Authentifizierung (auf Grund von regulatorischen, standardbezogenen und abhängig von den gewählten Sicherheitszielen durch die Einrichtung selbst vorgegebenen Anforderungen) und der Steuerung von Berechtigungen (insbesondere im Zuge entsprechender Rollenkonzepte, in denen z.B. sowohl das need-to-know-Prinzip als auch das Prinzip zur segregation of duties umgesetzt wird, und einer regelmäßig wiederkehrenden Prüfung vergebener Zutritts-, Zugangs- und Zugriffsrechte).
Wir würden uns über eine sachliche und lösungsorientierte Diskussion im FB freuen, um eine einvernehmliche Lösung für ein für die FG BIOSIG ausreichend breites Aufgabenspektrum, das aktuellen Entwicklungen entsprechend Rechnung trägt, zu finden.
Als unglücklich empfinden wir allerdings den bereits auf den Web-Seiten der GI-FG BIOSIG vollzogenen Namenswechsel, ohne die Beschlussfassung im FB abzuwarten. Zitat aus http://fg-biosig.gi.de/ (Zugriff vom 04.03.2013):
----- Abdruck des Contents der Startseite der FG BIOSIG -----
Fachgruppe BIOSIG
Themen und Positionierung der Fachgruppe
Die Fachgruppe Biometrie und Identitätsmanagement (BIOSIG) widmet sich thematisch den Grundlagen, Methoden, Techniken, Abläufen und Realisierungen zur Sicherung der Authentizität und Integrität beteiligter Entitäten beim Einsatz von Informations-, Kommunikations- und Betriebssystemen für Anwendungen mit Sicherheitsbedarf sowie deren organisatorischen und rechtlichen Rahmenbedingungen. Hierbei werden konstruktive Vorgehensweisen und Bedrohungsanalysen behandelt.
Zuordnung der Fachgruppe
Die FG BIOSIG ist gemäss Beschluss vom 22.03.2002 dem FB Sicherheit der GI e.V. zugeordnet.
Darstellung der Fachgruppe
Die Fachgruppe versteht sich als fachliches Diskussionsforum für Wissenschaftler, Entwickler, Anwender und Vertreter von Aufsichtsstellen und Regulierungsbehörden im deutschsprachigen Raum für dieses Forschungs- und Anwendungsgebiet. Die Zugehörigkeit der Fachgruppe Biometrik und und Identitätsmanagement um GI-Fachbereich "Sicherheit" ergibt sich aufgrund des Verständnisses von Authentizität und Integrität als grundlegende Sicherheitseigenschaften, die für eine Vielzahl sicherheitserfordernder Anwendungen etwa im Umfeld von e-Commerce, e-Business, e-Government und e-Democracy vorausgesetzt werden und diese erst ermöglichen.
Zur Sicherung der Authentizität von Entitäten und der Authentizität/Intergrität von Daten und Prozessen werden unterschiedliche Methoden diskutiert. Die Methoden für die Sicherung der Authentizität von Entitäten basieren hauptsächlich auf Wissen (Passwörter, Passphrasen, PINs, TANs), Besitz (Smart-Cards, Security-Tokens), Eigenschaft (Biometrische Charakteristika), Lokation, Zeit und deren Kombinationen.
Rechtliche und organisatorische Rahmenbedingungen umfassen den Datenschutz im engeren und Privacy im weiteren Sinne sowie Zertifizierungsinfrastrukturen, mit denen öffentliche Schlüssel authentisch bereitgestellt werden können, und Biometrischen Infrastrukturen, mit denen biometrische Merkmale von Personen verifiziert bzw. identifiziert werden können.
Biometrie
Die Biometrie beschäftigt sich mit Erkennung von Inidividuen anhand deren Verhalten und ihrer biologischen Charakteristika für Anwendungen in den Bereichen der Zugriffs- und Zugangskontrolle sowie Personenidentifikation, - analyse und -verfolgung in lokalen und vernetzten Systemen. Die Betrachtungen der Fachgruppe im Umfeld der Biometrie beziehen sich hierbei auf die nachstehenden Aspekte, ohne durch diese begrenzt zu sein:
Biometrische Algorithmen, Signaturen und Datenbanken Berechnung biometrischer Merkmale mit adäquaten Algorithmen sowie der Gestaltbarkeit von biometrischen Datenbanken in Systemen. Biometrische Techniken Verfahren zur Erfassung biometrischer Charakterisitiken unter Berücksichtigung von Safety- und Security-Aspekten. Zugriffs- und Zugangskontrolle mittels biometrischer Systeme Biometrische Authentisierung (im weiteren Sinne) sowie Biometrische Verifikation und Identifikation (im engeren Sinne) im Rahmen von mandatorischen, diskretionären und rollenbasierenden Zugriffskonzepten. Test und Bewertung biometrischer Algorithmen und Systeme Testverfahren, -konzepte und -ergebnisse mit und ohne Berücksichtigung der Anwendungsumgebung. Angreifbarkeit biometrischer Algorithmen, Techniken und Systeme Beurteilung der Stärken und Schwächen biometrischer Verfahren durch Diskussion von Bedrohungsanalysen und Täuschbarkeit biometrischer Systeme. Überwachung und Fahndung mit Biometrie Personenidentifikation und -verfolgung, Verhaltensanalyse, Ausweise, biometrische Forensik für die Fahndung Aspekte des Datenschutzes beim Einsatz biometrischer Methoden Biometrische Daten und informationelles Selbstbestimmungsrecht, Gestaltbarkeit biometrischer Systeme unter Berücksichtigung von Datenschutz und Privacy.
Identitätsmanagement
Im Bereich Identitätsmanagement beschäftigt sich die Fachgruppe mit verschiedenen Aspekten der Authentisierung ‑ samt der hierzu verwendeten Technologien auf Basis von Besitz, Wissen und Sein ‑ sowie dem föderierten Identitäts- und Berechtigungsmanagement einschließlich der verschiedenen rechtlichen, wirtschaftlichen, sozialwissenschaftlichen, sicherheitstechnischen und datenschutzspezifischen Aspekten. Dies umfasst beispielsweise folgende Themen:
Sicherheit, Interoperabilität sowie rechtliche, wirtschaftliche und datenschutzspezifische Aspekte des Identitätsmanagements und verwandter Credential- und eID-Technologien Sicherheitsanalyse und beweisbare Sicherheit für Authentifizierungsprotokolle sowie für Protokolle für das Föderierte Identitätsmanagement, wie z.B. SAML, OpenID, WS-*, OAuth und andere Konzepte für und praktische Erfahrungen mit Komponenten, Systemen, Dienstleistungen, Prozesse und Anwendungen für das Identitätsmanagement Neuartige Technologien im Umfeld des Identitätsmanagements, Mobile Aspekte des Identitätsmanagement und alternative eID-Token Standards für das Identitätsmanagement, Interoperabilität und internationale Aspekte des Identitätsmanagements Beweisbar sichere Integration in innovative Anwendungen, z.B. im Bereich des Cloud Computing Internationale, globale und langfristige Aspekte des Identitätsmanagements
Veranstaltungen
Die Fachgruppe Biometrie und Identitätsmanagement führt seit mehr als 10 Jahren jährlich ein bis zwei Veranstaltungen im Verbund mit anderen Fachgruppen durch, um den fachlichen Austausch zu ermöglichen.
----- Ende Abdruck Web-Seiten-Content -----
Mit freundlichen Grüßen
Dipl.-Inf. Bernhard C. Witt Senior Consultant für Datenschutz und Informationssicherheit, geprüfter fachkundiger Datenschutzbeauftragter (UDIS), zertifizierter ISO/IEC 27001 Lead Auditor (BSi), Certified in Risk and Information Systems Control (CRISC; ISACA), Lehrbeauftragter für Datenschutz und IT-Sicherheit an der Universität Ulm (seit 2005), Autor der Bücher "IT-Sicherheit kompakt und verständlich" (2006) und "Datenschutz kompakt und verständlich" (2008 & 2010), Mitglied im DIN-Arbeitsausschuss "IT-Sicherheitsverfahren" (AK 1 & 4), Mitglied im Leitungsgremium der GI-Fachgruppe "Datenschutzfördernde Technik" sowie Sprecher der GI-Fachgruppe "Management von Informationssicherheit" (seit 2009)
----------------------------------------- Consulting in Riskmanagement / Information Security Management / Compliance Management / Data Protection / Penetrationtests / IT-Forensics
it.sec gehört seit 2012 dem nationalen Expertenkreis Cybersecurity / IT- Forensik des BSI an
it.sec GmbH & Co. KG Einsteinstr. 55 D-89077 Ulm Fon: +49 (0)731/20589-11 Fax: +49 (0)731/20589-29 bernhard.witt@it-sec.de www.it-sec.de
Amtsgericht Ulm: HRA 3129
haftender Komplementär: it.sec Verwaltungs GmbH Amtsgericht Ulm: HRB 4593 Geschäftsführer: Holger Heimann -----------------------------------------
-----Ursprüngliche Nachricht----- Von: fb-lg-bounces@gi-fb-sicherheit.de [mailto:fb-lg-bounces@gi-fb- sicherheit.de] Im Auftrag von Hannes Federrath Gesendet: Mittwoch, 13. Februar 2013 19:24 An: Leitungsgremium des GI-Fachbereiches Sicherheit Betreff: Re: [FB-LG] Namensänderung der Fachgruppe BIOSIG
Hallo zusammen,
es gibt m.E. keine Notwendigkeit, das vor der Sitzung am 8.4.2013 in Wien zu beschließen. Außerdem sollten alle Fachgruppen Gelegenheit haben, dazu Stellung zu nehmen, soweit sie das wollen.
Ich nehme den Punkt auf die Tagesordnung für Wien.
Gruß, Hannes Federrath
Am 08.02.2013 um 10:21 schrieb Matthias Jänichen <mj@percomp.de>:
Moin,
ich nehme an, dass auch die englische Abkürzung "BIOSIG" sein soll. Gibt es irgendwelche Gründe (auch aus der Verwaltung) dem Änderungswunsch zu widersprechen?
Ist es notwendig, dieses (erst) auf der Sitzung zu besprechen? Das können wir doch online machen?
Gruß Matthias
Am 07.02.2013 17:08, schrieb Christoph Busch:
Lieber Herr Federrath,
Seit Gründung unserer Fachgruppe vor mehr als 10 Jahren trug sie den Namen "Biometrik und elektronische Signaturen". In mehreren Sitzungen haben wir eine Namensänderung diskutiert, um einerseits den aktuellen Inhalten und andererseits dem Harmonized Biometric Vocabulary (HBV) gerecht zu werden. Siehe auch: www.biosig.de
Das LG der Fachgruppe BIOSIG beantragt nun als neuen Namen: Deutsch: "Fachgruppe Biometrie und Identitätsmanagement (BIOSIG)" English: "Biometrics and Identity Management Special Interest Group (BOSIG)"
Ich bitte darum, diesen Antrag auf die Tagesordnung der FBSEC-LG-Sitzung am 8. April zu nehmen und im Anschluss an die Sitzung dann die GI-Webseite entsprechend zu aktualisieren.
schöne Grüße Christoph Busch
------------------------------------------------ Prof. Dr. Christoph Busch Competence Center for Applied Security Technology CAST e.V. Fraunhoferstr. 5, 64283 Darmstadt Tel:+49-6151-155-536 email: christoph.busch@cast-forum.de http://www.castforum.de http://www.christoph-busch.de ------------------------------------------------ _______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
-- Matthias Jänichen
_______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
_______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg _______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg