[FB-LG] Namensänderung der Fachgruppe BIOSIG
Lieber Herr Federrath, Seit Gründung unserer Fachgruppe vor mehr als 10 Jahren trug sie den Namen "Biometrik und elektronische Signaturen". In mehreren Sitzungen haben wir eine Namensänderung diskutiert, um einerseits den aktuellen Inhalten und andererseits dem Harmonized Biometric Vocabulary (HBV) gerecht zu werden. Siehe auch: www.biosig.de Das LG der Fachgruppe BIOSIG beantragt nun als neuen Namen: Deutsch: "Fachgruppe Biometrie und Identitätsmanagement (BIOSIG)" English: "Biometrics and Identity Management Special Interest Group (BOSIG)" Ich bitte darum, diesen Antrag auf die Tagesordnung der FBSEC-LG-Sitzung am 8. April zu nehmen und im Anschluss an die Sitzung dann die GI-Webseite entsprechend zu aktualisieren. schöne Grüße Christoph Busch ------------------------------------------------ Prof. Dr. Christoph Busch Competence Center for Applied Security Technology CAST e.V. Fraunhoferstr. 5, 64283 Darmstadt Tel:+49-6151-155-536 email: christoph.busch@cast-forum.de http://www.castforum.de http://www.christoph-busch.de ------------------------------------------------
Moin, ich nehme an, dass auch die englische Abkürzung "BIOSIG" sein soll. Gibt es irgendwelche Gründe (auch aus der Verwaltung) dem Änderungswunsch zu widersprechen? Ist es notwendig, dieses (erst) auf der Sitzung zu besprechen? Das können wir doch online machen? Gruß Matthias Am 07.02.2013 17:08, schrieb Christoph Busch:
Lieber Herr Federrath,
Seit Gründung unserer Fachgruppe vor mehr als 10 Jahren trug sie den Namen "Biometrik und elektronische Signaturen". In mehreren Sitzungen haben wir eine Namensänderung diskutiert, um einerseits den aktuellen Inhalten und andererseits dem Harmonized Biometric Vocabulary (HBV) gerecht zu werden. Siehe auch: www.biosig.de
Das LG der Fachgruppe BIOSIG beantragt nun als neuen Namen: Deutsch: "Fachgruppe Biometrie und Identitätsmanagement (BIOSIG)" English: "Biometrics and Identity Management Special Interest Group (BOSIG)"
Ich bitte darum, diesen Antrag auf die Tagesordnung der FBSEC-LG-Sitzung am 8. April zu nehmen und im Anschluss an die Sitzung dann die GI-Webseite entsprechend zu aktualisieren.
schöne Grüße Christoph Busch
------------------------------------------------ Prof. Dr. Christoph Busch Competence Center for Applied Security Technology CAST e.V. Fraunhoferstr. 5, 64283 Darmstadt Tel:+49-6151-155-536 email: christoph.busch@cast-forum.de http://www.castforum.de http://www.christoph-busch.de ------------------------------------------------ _______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
-- Matthias Jänichen
Hallo zusammen, es gibt m.E. keine Notwendigkeit, das vor der Sitzung am 8.4.2013 in Wien zu beschließen. Außerdem sollten alle Fachgruppen Gelegenheit haben, dazu Stellung zu nehmen, soweit sie das wollen. Ich nehme den Punkt auf die Tagesordnung für Wien. Gruß, Hannes Federrath Am 08.02.2013 um 10:21 schrieb Matthias Jänichen <mj@percomp.de>:
Moin,
ich nehme an, dass auch die englische Abkürzung "BIOSIG" sein soll. Gibt es irgendwelche Gründe (auch aus der Verwaltung) dem Änderungswunsch zu widersprechen?
Ist es notwendig, dieses (erst) auf der Sitzung zu besprechen? Das können wir doch online machen?
Gruß Matthias
Am 07.02.2013 17:08, schrieb Christoph Busch:
Lieber Herr Federrath,
Seit Gründung unserer Fachgruppe vor mehr als 10 Jahren trug sie den Namen "Biometrik und elektronische Signaturen". In mehreren Sitzungen haben wir eine Namensänderung diskutiert, um einerseits den aktuellen Inhalten und andererseits dem Harmonized Biometric Vocabulary (HBV) gerecht zu werden. Siehe auch: www.biosig.de
Das LG der Fachgruppe BIOSIG beantragt nun als neuen Namen: Deutsch: "Fachgruppe Biometrie und Identitätsmanagement (BIOSIG)" English: "Biometrics and Identity Management Special Interest Group (BOSIG)"
Ich bitte darum, diesen Antrag auf die Tagesordnung der FBSEC-LG-Sitzung am 8. April zu nehmen und im Anschluss an die Sitzung dann die GI-Webseite entsprechend zu aktualisieren.
schöne Grüße Christoph Busch
------------------------------------------------ Prof. Dr. Christoph Busch Competence Center for Applied Security Technology CAST e.V. Fraunhoferstr. 5, 64283 Darmstadt Tel:+49-6151-155-536 email: christoph.busch@cast-forum.de http://www.castforum.de http://www.christoph-busch.de ------------------------------------------------ _______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
-- Matthias Jänichen
_______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
Hallo zusammen, danke für die Klärung - und ja: es sollte auch die englische Abkürzung "BIOSIG" sein. schöne Grüße Christoph Busch Am 13.02.13 19:24, schrieb Hannes Federrath:
Hallo zusammen,
es gibt m.E. keine Notwendigkeit, das vor der Sitzung am 8.4.2013 in Wien zu beschließen. Außerdem sollten alle Fachgruppen Gelegenheit haben, dazu Stellung zu nehmen, soweit sie das wollen.
Ich nehme den Punkt auf die Tagesordnung für Wien.
Gruß, Hannes Federrath
Am 08.02.2013 um 10:21 schrieb Matthias Jänichen <mj@percomp.de>:
Moin,
ich nehme an, dass auch die englische Abkürzung "BIOSIG" sein soll. Gibt es irgendwelche Gründe (auch aus der Verwaltung) dem Änderungswunsch zu widersprechen?
Ist es notwendig, dieses (erst) auf der Sitzung zu besprechen? Das können wir doch online machen?
Gruß Matthias
Am 07.02.2013 17:08, schrieb Christoph Busch:
Lieber Herr Federrath,
Seit Gründung unserer Fachgruppe vor mehr als 10 Jahren trug sie den Namen "Biometrik und elektronische Signaturen". In mehreren Sitzungen haben wir eine Namensänderung diskutiert, um einerseits den aktuellen Inhalten und andererseits dem Harmonized Biometric Vocabulary (HBV) gerecht zu werden. Siehe auch: www.biosig.de
Das LG der Fachgruppe BIOSIG beantragt nun als neuen Namen: Deutsch: "Fachgruppe Biometrie und Identitätsmanagement (BIOSIG)" English: "Biometrics and Identity Management Special Interest Group (BOSIG)"
Ich bitte darum, diesen Antrag auf die Tagesordnung der FBSEC-LG-Sitzung am 8. April zu nehmen und im Anschluss an die Sitzung dann die GI-Webseite entsprechend zu aktualisieren.
schöne Grüße Christoph Busch
------------------------------------------------ Prof. Dr. Christoph Busch Competence Center for Applied Security Technology CAST e.V. Fraunhoferstr. 5, 64283 Darmstadt Tel:+49-6151-155-536 email: christoph.busch@cast-forum.de http://www.castforum.de http://www.christoph-busch.de ------------------------------------------------ _______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
-- Matthias Jänichen
_______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
_______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
-- ------------------------------------------------ Prof. Dr. Christoph Busch Competence Center for Applied Security Technology CAST e.V. Fraunhoferstr. 5, 64283 Darmstadt Tel:+49-6151-155-536 email: christoph.busch@cast-forum.de http://www.castforum.de http://www.christoph-busch.de ------------------------------------------------
Liebe Kolleginnen und Kollegen, mit großem Interesse haben wir seitens der GI-FG SECMGT die Pläne der GI-FG BIOSIG hinsichtlich der geplanten Umbenennung zur Kenntnis genommen. Da demnach im neuen Namen ausdrücklich der Begriff "Identitätsmanagement" aufgenommen werden soll, sehen wir jedoch einigen Diskussionsbedarf. Wir nehmen insoweit den Ball von Herrn Federrath auf und möchten hierzu im FB anregen, dass die Diskussion unter Einbeziehung der Rückmeldungen aus den einzelnen FG-LGs auf der nächsten FB-LG-Sitzung am 8. April 2013 in Wien geführt wird, um ggf. eine für die FG BIOSIG zutreffende Begriffspräzisierung finden zu können, die keinen Konflikt zu anderen FGn aufweist. Aus unserer Sicht ist der Begriff "Identitätsmanagement" im Rahmen des FG-Namens irreführend, da es zumindest bisher bei der FG BIOSIG vorrangig um die Technik zur Feststellung von Identitäten geht und nicht um das Management von Identitäten. Letzteres wird derzeit als wesentlicher Bestandteil des Informationssicherheitsmanagements aus Betreibersicht durch die GI-FG SECMGT betreut und hinsichtlich der Sichtweise der einzelnen Nutzer (Betroffene) und der hierzu eingesetzten Technik, die mit möglichst geringem Eingriff in das informationelle Selbstbestimmungsrecht auskommen soll, durch die GI-FG PET. Zudem beschäftigt sich gemäß dem erst kürzlich verabschiedeten FB-Flyers die GI-FG ECOM mit Aspekten des Identitätsmanagements und auch die GI-FG EZQN dürfte sich um Fragen zum Identitätsmanagement im Kontext der zugehörigen Normung/Standardisierung kümmern. Insoweit erscheint uns der Begriff "Identitätsmanagement" derzeit ein Schnittstellenthema im FB zu sein, der nicht unmittelbar einer FG (exklusiv) zugeschlagen werden sollte. Aus unserer Sicht wären typische Aspekte, die völlig zutreffend durch die GI-FG BIOSIG exklusiv abgedeckt sind: Die Beschäftigung mit elektronischen Identitäten (eID) und deren Anwendungen, wobei eIDs auf Basis von biometrischen Verfahren, Hardware-Sicherheitsmodulen oder Zertifikaten beruhen können. Daraus leiten sich insbesondere als spezifische Themen ab die Durchführung einer Gefährdungsanalyse von eIDs und die Entwicklung von Sicherheitsmaßnahmen für Hardware-Sicherheit von Chipkarten, die Verwendung von Biometrie und Sensorik bei der Implementation von eID-Systemen, die Standardisierung von Public Key Infrastrukturen, die Gewährleistung der Integrität und Authentizität dauerhaft gespeicherter Dokumente und Dateien unter Verwendung geeigneter Zeitstempel sowie Analyse und Bewertung der in IT-Architekturen eingesetzten eID-Komponenten, Verfahren und Informationen. In der GI-FG SECMGT befassen wir uns dagegen eher mit dem Lifecycle Management für Identitäten aus Sicherheitssicht in der Praxis, dem Management der Authentifizierung (auf Grund von regulatorischen, standardbezogenen und abhängig von den gewählten Sicherheitszielen durch die Einrichtung selbst vorgegebenen Anforderungen) und der Steuerung von Berechtigungen (insbesondere im Zuge entsprechender Rollenkonzepte, in denen z.B. sowohl das need-to-know-Prinzip als auch das Prinzip zur segregation of duties umgesetzt wird, und einer regelmäßig wiederkehrenden Prüfung vergebener Zutritts-, Zugangs- und Zugriffsrechte). Wir würden uns über eine sachliche und lösungsorientierte Diskussion im FB freuen, um eine einvernehmliche Lösung für ein für die FG BIOSIG ausreichend breites Aufgabenspektrum, das aktuellen Entwicklungen entsprechend Rechnung trägt, zu finden. Als unglücklich empfinden wir allerdings den bereits auf den Web-Seiten der GI-FG BIOSIG vollzogenen Namenswechsel, ohne die Beschlussfassung im FB abzuwarten. Zitat aus http://fg-biosig.gi.de/ (Zugriff vom 04.03.2013): ----- Abdruck des Contents der Startseite der FG BIOSIG ----- Fachgruppe BIOSIG Themen und Positionierung der Fachgruppe Die Fachgruppe Biometrie und Identitätsmanagement (BIOSIG) widmet sich thematisch den Grundlagen, Methoden, Techniken, Abläufen und Realisierungen zur Sicherung der Authentizität und Integrität beteiligter Entitäten beim Einsatz von Informations-, Kommunikations- und Betriebssystemen für Anwendungen mit Sicherheitsbedarf sowie deren organisatorischen und rechtlichen Rahmenbedingungen. Hierbei werden konstruktive Vorgehensweisen und Bedrohungsanalysen behandelt. Zuordnung der Fachgruppe Die FG BIOSIG ist gemäss Beschluss vom 22.03.2002 dem FB Sicherheit der GI e.V. zugeordnet. Darstellung der Fachgruppe Die Fachgruppe versteht sich als fachliches Diskussionsforum für Wissenschaftler, Entwickler, Anwender und Vertreter von Aufsichtsstellen und Regulierungsbehörden im deutschsprachigen Raum für dieses Forschungs- und Anwendungsgebiet. Die Zugehörigkeit der Fachgruppe Biometrik und und Identitätsmanagement um GI-Fachbereich "Sicherheit" ergibt sich aufgrund des Verständnisses von Authentizität und Integrität als grundlegende Sicherheitseigenschaften, die für eine Vielzahl sicherheitserfordernder Anwendungen etwa im Umfeld von e-Commerce, e-Business, e-Government und e-Democracy vorausgesetzt werden und diese erst ermöglichen. Zur Sicherung der Authentizität von Entitäten und der Authentizität/Intergrität von Daten und Prozessen werden unterschiedliche Methoden diskutiert. Die Methoden für die Sicherung der Authentizität von Entitäten basieren hauptsächlich auf Wissen (Passwörter, Passphrasen, PINs, TANs), Besitz (Smart-Cards, Security-Tokens), Eigenschaft (Biometrische Charakteristika), Lokation, Zeit und deren Kombinationen. Rechtliche und organisatorische Rahmenbedingungen umfassen den Datenschutz im engeren und Privacy im weiteren Sinne sowie Zertifizierungsinfrastrukturen, mit denen öffentliche Schlüssel authentisch bereitgestellt werden können, und Biometrischen Infrastrukturen, mit denen biometrische Merkmale von Personen verifiziert bzw. identifiziert werden können. Biometrie Die Biometrie beschäftigt sich mit Erkennung von Inidividuen anhand deren Verhalten und ihrer biologischen Charakteristika für Anwendungen in den Bereichen der Zugriffs- und Zugangskontrolle sowie Personenidentifikation, -analyse und -verfolgung in lokalen und vernetzten Systemen. Die Betrachtungen der Fachgruppe im Umfeld der Biometrie beziehen sich hierbei auf die nachstehenden Aspekte, ohne durch diese begrenzt zu sein: Biometrische Algorithmen, Signaturen und Datenbanken Berechnung biometrischer Merkmale mit adäquaten Algorithmen sowie der Gestaltbarkeit von biometrischen Datenbanken in Systemen. Biometrische Techniken Verfahren zur Erfassung biometrischer Charakterisitiken unter Berücksichtigung von Safety- und Security-Aspekten. Zugriffs- und Zugangskontrolle mittels biometrischer Systeme Biometrische Authentisierung (im weiteren Sinne) sowie Biometrische Verifikation und Identifikation (im engeren Sinne) im Rahmen von mandatorischen, diskretionären und rollenbasierenden Zugriffskonzepten. Test und Bewertung biometrischer Algorithmen und Systeme Testverfahren, -konzepte und -ergebnisse mit und ohne Berücksichtigung der Anwendungsumgebung. Angreifbarkeit biometrischer Algorithmen, Techniken und Systeme Beurteilung der Stärken und Schwächen biometrischer Verfahren durch Diskussion von Bedrohungsanalysen und Täuschbarkeit biometrischer Systeme. Überwachung und Fahndung mit Biometrie Personenidentifikation und -verfolgung, Verhaltensanalyse, Ausweise, biometrische Forensik für die Fahndung Aspekte des Datenschutzes beim Einsatz biometrischer Methoden Biometrische Daten und informationelles Selbstbestimmungsrecht, Gestaltbarkeit biometrischer Systeme unter Berücksichtigung von Datenschutz und Privacy. Identitätsmanagement Im Bereich Identitätsmanagement beschäftigt sich die Fachgruppe mit verschiedenen Aspekten der Authentisierung ‑ samt der hierzu verwendeten Technologien auf Basis von Besitz, Wissen und Sein ‑ sowie dem föderierten Identitäts- und Berechtigungsmanagement einschließlich der verschiedenen rechtlichen, wirtschaftlichen, sozialwissenschaftlichen, sicherheitstechnischen und datenschutzspezifischen Aspekten. Dies umfasst beispielsweise folgende Themen: Sicherheit, Interoperabilität sowie rechtliche, wirtschaftliche und datenschutzspezifische Aspekte des Identitätsmanagements und verwandter Credential- und eID-Technologien Sicherheitsanalyse und beweisbare Sicherheit für Authentifizierungsprotokolle sowie für Protokolle für das Föderierte Identitätsmanagement, wie z.B. SAML, OpenID, WS-*, OAuth und andere Konzepte für und praktische Erfahrungen mit Komponenten, Systemen, Dienstleistungen, Prozesse und Anwendungen für das Identitätsmanagement Neuartige Technologien im Umfeld des Identitätsmanagements, Mobile Aspekte des Identitätsmanagement und alternative eID-Token Standards für das Identitätsmanagement, Interoperabilität und internationale Aspekte des Identitätsmanagements Beweisbar sichere Integration in innovative Anwendungen, z.B. im Bereich des Cloud Computing Internationale, globale und langfristige Aspekte des Identitätsmanagements Veranstaltungen Die Fachgruppe Biometrie und Identitätsmanagement führt seit mehr als 10 Jahren jährlich ein bis zwei Veranstaltungen im Verbund mit anderen Fachgruppen durch, um den fachlichen Austausch zu ermöglichen. ----- Ende Abdruck Web-Seiten-Content ----- Mit freundlichen Grüßen Dipl.-Inf. Bernhard C. Witt Senior Consultant für Datenschutz und Informationssicherheit, geprüfter fachkundiger Datenschutzbeauftragter (UDIS), zertifizierter ISO/IEC 27001 Lead Auditor (BSi), Certified in Risk and Information Systems Control (CRISC; ISACA), Lehrbeauftragter für Datenschutz und IT-Sicherheit an der Universität Ulm (seit 2005), Autor der Bücher "IT-Sicherheit kompakt und verständlich" (2006) und "Datenschutz kompakt und verständlich" (2008 & 2010), Mitglied im DIN-Arbeitsausschuss "IT-Sicherheitsverfahren" (AK 1 & 4), Mitglied im Leitungsgremium der GI-Fachgruppe "Datenschutzfördernde Technik" sowie Sprecher der GI-Fachgruppe "Management von Informationssicherheit" (seit 2009) ----------------------------------------- Consulting in Riskmanagement / Information Security Management / Compliance Management / Data Protection / Penetrationtests / IT-Forensics it.sec gehört seit 2012 dem nationalen Expertenkreis Cybersecurity / IT-Forensik des BSI an it.sec GmbH & Co. KG Einsteinstr. 55 D-89077 Ulm Fon: +49 (0)731/20589-11 Fax: +49 (0)731/20589-29 bernhard.witt@it-sec.de www.it-sec.de Amtsgericht Ulm: HRA 3129 haftender Komplementär: it.sec Verwaltungs GmbH Amtsgericht Ulm: HRB 4593 Geschäftsführer: Holger Heimann ----------------------------------------- -----Ursprüngliche Nachricht----- Von: fb-lg-bounces@gi-fb-sicherheit.de [mailto:fb-lg-bounces@gi-fb-sicherheit.de] Im Auftrag von Hannes Federrath Gesendet: Mittwoch, 13. Februar 2013 19:24 An: Leitungsgremium des GI-Fachbereiches Sicherheit Betreff: Re: [FB-LG] Namensänderung der Fachgruppe BIOSIG Hallo zusammen, es gibt m.E. keine Notwendigkeit, das vor der Sitzung am 8.4.2013 in Wien zu beschließen. Außerdem sollten alle Fachgruppen Gelegenheit haben, dazu Stellung zu nehmen, soweit sie das wollen. Ich nehme den Punkt auf die Tagesordnung für Wien. Gruß, Hannes Federrath Am 08.02.2013 um 10:21 schrieb Matthias Jänichen <mj@percomp.de>:
Moin,
ich nehme an, dass auch die englische Abkürzung "BIOSIG" sein soll. Gibt es irgendwelche Gründe (auch aus der Verwaltung) dem Änderungswunsch zu widersprechen?
Ist es notwendig, dieses (erst) auf der Sitzung zu besprechen? Das können wir doch online machen?
Gruß Matthias
Am 07.02.2013 17:08, schrieb Christoph Busch:
Lieber Herr Federrath,
Seit Gründung unserer Fachgruppe vor mehr als 10 Jahren trug sie den Namen "Biometrik und elektronische Signaturen". In mehreren Sitzungen haben wir eine Namensänderung diskutiert, um einerseits den aktuellen Inhalten und andererseits dem Harmonized Biometric Vocabulary (HBV) gerecht zu werden. Siehe auch: www.biosig.de
Das LG der Fachgruppe BIOSIG beantragt nun als neuen Namen: Deutsch: "Fachgruppe Biometrie und Identitätsmanagement (BIOSIG)" English: "Biometrics and Identity Management Special Interest Group (BOSIG)"
Ich bitte darum, diesen Antrag auf die Tagesordnung der FBSEC-LG-Sitzung am 8. April zu nehmen und im Anschluss an die Sitzung dann die GI-Webseite entsprechend zu aktualisieren.
schöne Grüße Christoph Busch
------------------------------------------------ Prof. Dr. Christoph Busch Competence Center for Applied Security Technology CAST e.V. Fraunhoferstr. 5, 64283 Darmstadt Tel:+49-6151-155-536 email: christoph.busch@cast-forum.de http://www.castforum.de http://www.christoph-busch.de ------------------------------------------------ _______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
-- Matthias Jänichen
_______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
_______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
Lieber Herr Witt, herzlichen Dank für Ihre mail. Ich bin mir nicht ganz sicher, ob wir bezüglich der grundsätzlichen Mission einer Fachgruppe in der GI und den daraus möglicherweise resultierenden Rechten und Pflichten das gleiche Verständnis haben. Soweit ich das verstehe, leitet sich aus der Benennung einer Organisationseinheit, oder gar einem Namensbestandteil, aber selbstverständlich KEIN irgendwie gearteter "Alleinvertretungsanspruch" ab. Schließlich erfordern viele heutige Probleme das kooperative Zusammenwirken von interdisziplinären Expertenteams und dass die FG BIOSIG sich stets um eine offene Kooperation mit entsprechenden Partnern bemüht, zeigt sich beispielsweise beim "Open Identity Summit" (siehe http://openidentity.eu/cfp.pdf) . Mir war nicht bewusst, dass spezifische Aspekte des Identitätsmanagements auch in Ihrer FG fokussiert behandelt werden, sonst hätte ich Sie und Ihre Kollegen selbstverständlich eingeladen, aktiv am "Open Identity Summit" mitzuwirken. Sofern Sie möchten, nehmen wir Sie gerne noch mit. Sofern es Ergänzungsvorschläge für die adressierten Themen und/oder das PK gibt, können wir die noch aufnehmen. Der CfP soll in Kürze nochmal verteilt werden, so dass hier noch Ergänzungen vorgenommen werden könnten. Diese Einladung gilt selbstverständlich auch für alle anderen Fachgruppen, die ich vergessen haben könnte und die sich mit den adressierten Themen beschäftigen. Der Begriff "Identitätsmanagement" (vgl. http://www.ecsec.de/pub/2008_DuD_Glossar.pdf ) wurde übrigens deshalb gewählt, weil er das in unserer FG bearbeitete Themenfeld aus unserer Sicht am besten beschreibt. Umgekehrt heißt das selbstverständlich NICHT, dass diese Themen ausschließlich in der FG BIOSIG bearbeitet werden. Denn vielmehr gibt es ja in den FGen PET, KRYPTO, ECOM, EZQN und nicht zuletzt SECMGMT Experten, die sich bestimmten Aspekten des Identitätsmanagements in spezialisierter Weise annehmen. Sofern das nötig ist, können wir die Thematik gern auch im Rahmen einer Telefonkonferenz besprechen. Am geplanten Termin in Wien werde ich leider nicht teilnehmen können. Insofern würde müsste die dortige Diskussion leider ohne mich stattfinden. VG, dh -- Dipl. Inform. (FH) Dr. rer. nat. Detlef Hühnlein ecsec GmbH Sudetenstrasse 16 96247 Michelau Telefon +49 9571 896479 Mobil +49 171 9754980 detlef.huehnlein@ecsec.de ecsec GmbH Sudetenstrasse 16 96247 Michelau Amtsgericht Coburg HRB 4622 USt-ID DE266920858 Steuernummer 212/125/70009 Geschäftsführer: Tina Hühnlein Dr. Detlef Hühnlein Diese E-Mail kann vertrauliche Informationen enthalten. Falls Sie diese E-Mail irrtümlich erhalten haben, informieren Sie bitte unverzüglich den Absender und löschen Sie diese E-Mail von jedem Rechner, auch von den Mailservern. Jede Verbreitung des Inhalts, auch die teilweise Verbreitung, ist in diesem Fall untersagt. Außer bei Vorsatz oder grober Fahrlässigkeit schließen wir jegliche Haftung für Verluste oder Schäden aus, die durch Viren befallene Software oder E-Mails verursacht werden. This e-mail may contain strictly confidential information and is intended for the person to which it is addressed only. Any dissemination, even partly, is prohibited. If you receive this e-mail by mistake, please contact the sender and delete this e-mail from your computer, including your mailserver. Except in case of gross negligence or wilful misconduct we accept no liability for any loss or damage caused by software or e-mail viruses.
-----Ursprüngliche Nachricht----- Von: fb-lg-bounces@gi-fb-sicherheit.de [mailto:fb-lg-bounces@gi-fb- sicherheit.de] Im Auftrag von Bernhard C. Witt Gesendet: Freitag, 8. März 2013 11:50 An: Leitungsgremium des GI-Fachbereiches Sicherheit Cc: secmgt-lg@gi-fb-sicherheit.de Betreff: Re: [FB-LG] Namensänderung der Fachgruppe BIOSIG
Liebe Kolleginnen und Kollegen,
mit großem Interesse haben wir seitens der GI-FG SECMGT die Pläne der GI-FG BIOSIG hinsichtlich der geplanten Umbenennung zur Kenntnis genommen. Da demnach im neuen Namen ausdrücklich der Begriff "Identitätsmanagement" aufgenommen werden soll, sehen wir jedoch einigen Diskussionsbedarf.
Wir nehmen insoweit den Ball von Herrn Federrath auf und möchten hierzu im FB anregen, dass die Diskussion unter Einbeziehung der Rückmeldungen aus den einzelnen FG-LGs auf der nächsten FB-LG-Sitzung am 8. April 2013 in Wien geführt wird, um ggf. eine für die FG BIOSIG zutreffende Begriffspräzisierung finden zu können, die keinen Konflikt zu anderen FGn aufweist.
Aus unserer Sicht ist der Begriff "Identitätsmanagement" im Rahmen des FG- Namens irreführend, da es zumindest bisher bei der FG BIOSIG vorrangig um die Technik zur Feststellung von Identitäten geht und nicht um das Management von Identitäten. Letzteres wird derzeit als wesentlicher Bestandteil des Informationssicherheitsmanagements aus Betreibersicht durch die GI-FG SECMGT betreut und hinsichtlich der Sichtweise der einzelnen Nutzer (Betroffene) und der hierzu eingesetzten Technik, die mit möglichst geringem Eingriff in das informationelle Selbstbestimmungsrecht auskommen soll, durch die GI-FG PET. Zudem beschäftigt sich gemäß dem erst kürzlich verabschiedeten FB-Flyers die GI-FG ECOM mit Aspekten des Identitätsmanagements und auch die GI-FG EZQN dürfte sich um Fragen zum Identitätsmanagement im Kontext der zugehörigen Normung/Standardisierung kümmern.
Insoweit erscheint uns der Begriff "Identitätsmanagement" derzeit ein Schnittstellenthema im FB zu sein, der nicht unmittelbar einer FG (exklusiv) zugeschlagen werden sollte.
Aus unserer Sicht wären typische Aspekte, die völlig zutreffend durch die GI- FG BIOSIG exklusiv abgedeckt sind: Die Beschäftigung mit elektronischen Identitäten (eID) und deren Anwendungen, wobei eIDs auf Basis von biometrischen Verfahren, Hardware-Sicherheitsmodulen oder Zertifikaten beruhen können. Daraus leiten sich insbesondere als spezifische Themen ab die Durchführung einer Gefährdungsanalyse von eIDs und die Entwicklung von Sicherheitsmaßnahmen für Hardware-Sicherheit von Chipkarten, die Verwendung von Biometrie und Sensorik bei der Implementation von eID- Systemen, die Standardisierung von Public Key Infrastrukturen, die Gewährleistung der Integrität und Authentizität dauerhaft gespeicherter Dokumente und Dateien unter Verwendung geeigneter Zeitstempel sowie Analyse und Bewertung der in IT-Architekturen eingesetzten eID- Komponenten, Verfahren und Informationen.
In der GI-FG SECMGT befassen wir uns dagegen eher mit dem Lifecycle Management für Identitäten aus Sicherheitssicht in der Praxis, dem Management der Authentifizierung (auf Grund von regulatorischen, standardbezogenen und abhängig von den gewählten Sicherheitszielen durch die Einrichtung selbst vorgegebenen Anforderungen) und der Steuerung von Berechtigungen (insbesondere im Zuge entsprechender Rollenkonzepte, in denen z.B. sowohl das need-to-know-Prinzip als auch das Prinzip zur segregation of duties umgesetzt wird, und einer regelmäßig wiederkehrenden Prüfung vergebener Zutritts-, Zugangs- und Zugriffsrechte).
Wir würden uns über eine sachliche und lösungsorientierte Diskussion im FB freuen, um eine einvernehmliche Lösung für ein für die FG BIOSIG ausreichend breites Aufgabenspektrum, das aktuellen Entwicklungen entsprechend Rechnung trägt, zu finden.
Als unglücklich empfinden wir allerdings den bereits auf den Web-Seiten der GI-FG BIOSIG vollzogenen Namenswechsel, ohne die Beschlussfassung im FB abzuwarten. Zitat aus http://fg-biosig.gi.de/ (Zugriff vom 04.03.2013):
----- Abdruck des Contents der Startseite der FG BIOSIG -----
Fachgruppe BIOSIG
Themen und Positionierung der Fachgruppe
Die Fachgruppe Biometrie und Identitätsmanagement (BIOSIG) widmet sich thematisch den Grundlagen, Methoden, Techniken, Abläufen und Realisierungen zur Sicherung der Authentizität und Integrität beteiligter Entitäten beim Einsatz von Informations-, Kommunikations- und Betriebssystemen für Anwendungen mit Sicherheitsbedarf sowie deren organisatorischen und rechtlichen Rahmenbedingungen. Hierbei werden konstruktive Vorgehensweisen und Bedrohungsanalysen behandelt.
Zuordnung der Fachgruppe
Die FG BIOSIG ist gemäss Beschluss vom 22.03.2002 dem FB Sicherheit der GI e.V. zugeordnet.
Darstellung der Fachgruppe
Die Fachgruppe versteht sich als fachliches Diskussionsforum für Wissenschaftler, Entwickler, Anwender und Vertreter von Aufsichtsstellen und Regulierungsbehörden im deutschsprachigen Raum für dieses Forschungs- und Anwendungsgebiet. Die Zugehörigkeit der Fachgruppe Biometrik und und Identitätsmanagement um GI-Fachbereich "Sicherheit" ergibt sich aufgrund des Verständnisses von Authentizität und Integrität als grundlegende Sicherheitseigenschaften, die für eine Vielzahl sicherheitserfordernder Anwendungen etwa im Umfeld von e-Commerce, e-Business, e-Government und e-Democracy vorausgesetzt werden und diese erst ermöglichen.
Zur Sicherung der Authentizität von Entitäten und der Authentizität/Intergrität von Daten und Prozessen werden unterschiedliche Methoden diskutiert. Die Methoden für die Sicherung der Authentizität von Entitäten basieren hauptsächlich auf Wissen (Passwörter, Passphrasen, PINs, TANs), Besitz (Smart-Cards, Security-Tokens), Eigenschaft (Biometrische Charakteristika), Lokation, Zeit und deren Kombinationen.
Rechtliche und organisatorische Rahmenbedingungen umfassen den Datenschutz im engeren und Privacy im weiteren Sinne sowie Zertifizierungsinfrastrukturen, mit denen öffentliche Schlüssel authentisch bereitgestellt werden können, und Biometrischen Infrastrukturen, mit denen biometrische Merkmale von Personen verifiziert bzw. identifiziert werden können.
Biometrie
Die Biometrie beschäftigt sich mit Erkennung von Inidividuen anhand deren Verhalten und ihrer biologischen Charakteristika für Anwendungen in den Bereichen der Zugriffs- und Zugangskontrolle sowie Personenidentifikation, - analyse und -verfolgung in lokalen und vernetzten Systemen. Die Betrachtungen der Fachgruppe im Umfeld der Biometrie beziehen sich hierbei auf die nachstehenden Aspekte, ohne durch diese begrenzt zu sein:
Biometrische Algorithmen, Signaturen und Datenbanken Berechnung biometrischer Merkmale mit adäquaten Algorithmen sowie der Gestaltbarkeit von biometrischen Datenbanken in Systemen. Biometrische Techniken Verfahren zur Erfassung biometrischer Charakterisitiken unter Berücksichtigung von Safety- und Security-Aspekten. Zugriffs- und Zugangskontrolle mittels biometrischer Systeme Biometrische Authentisierung (im weiteren Sinne) sowie Biometrische Verifikation und Identifikation (im engeren Sinne) im Rahmen von mandatorischen, diskretionären und rollenbasierenden Zugriffskonzepten. Test und Bewertung biometrischer Algorithmen und Systeme Testverfahren, -konzepte und -ergebnisse mit und ohne Berücksichtigung der Anwendungsumgebung. Angreifbarkeit biometrischer Algorithmen, Techniken und Systeme Beurteilung der Stärken und Schwächen biometrischer Verfahren durch Diskussion von Bedrohungsanalysen und Täuschbarkeit biometrischer Systeme. Überwachung und Fahndung mit Biometrie Personenidentifikation und -verfolgung, Verhaltensanalyse, Ausweise, biometrische Forensik für die Fahndung Aspekte des Datenschutzes beim Einsatz biometrischer Methoden Biometrische Daten und informationelles Selbstbestimmungsrecht, Gestaltbarkeit biometrischer Systeme unter Berücksichtigung von Datenschutz und Privacy.
Identitätsmanagement
Im Bereich Identitätsmanagement beschäftigt sich die Fachgruppe mit verschiedenen Aspekten der Authentisierung ‑ samt der hierzu verwendeten Technologien auf Basis von Besitz, Wissen und Sein ‑ sowie dem föderierten Identitäts- und Berechtigungsmanagement einschließlich der verschiedenen rechtlichen, wirtschaftlichen, sozialwissenschaftlichen, sicherheitstechnischen und datenschutzspezifischen Aspekten. Dies umfasst beispielsweise folgende Themen:
Sicherheit, Interoperabilität sowie rechtliche, wirtschaftliche und datenschutzspezifische Aspekte des Identitätsmanagements und verwandter Credential- und eID-Technologien Sicherheitsanalyse und beweisbare Sicherheit für Authentifizierungsprotokolle sowie für Protokolle für das Föderierte Identitätsmanagement, wie z.B. SAML, OpenID, WS-*, OAuth und andere Konzepte für und praktische Erfahrungen mit Komponenten, Systemen, Dienstleistungen, Prozesse und Anwendungen für das Identitätsmanagement Neuartige Technologien im Umfeld des Identitätsmanagements, Mobile Aspekte des Identitätsmanagement und alternative eID-Token Standards für das Identitätsmanagement, Interoperabilität und internationale Aspekte des Identitätsmanagements Beweisbar sichere Integration in innovative Anwendungen, z.B. im Bereich des Cloud Computing Internationale, globale und langfristige Aspekte des Identitätsmanagements
Veranstaltungen
Die Fachgruppe Biometrie und Identitätsmanagement führt seit mehr als 10 Jahren jährlich ein bis zwei Veranstaltungen im Verbund mit anderen Fachgruppen durch, um den fachlichen Austausch zu ermöglichen.
----- Ende Abdruck Web-Seiten-Content -----
Mit freundlichen Grüßen
Dipl.-Inf. Bernhard C. Witt Senior Consultant für Datenschutz und Informationssicherheit, geprüfter fachkundiger Datenschutzbeauftragter (UDIS), zertifizierter ISO/IEC 27001 Lead Auditor (BSi), Certified in Risk and Information Systems Control (CRISC; ISACA), Lehrbeauftragter für Datenschutz und IT-Sicherheit an der Universität Ulm (seit 2005), Autor der Bücher "IT-Sicherheit kompakt und verständlich" (2006) und "Datenschutz kompakt und verständlich" (2008 & 2010), Mitglied im DIN-Arbeitsausschuss "IT-Sicherheitsverfahren" (AK 1 & 4), Mitglied im Leitungsgremium der GI-Fachgruppe "Datenschutzfördernde Technik" sowie Sprecher der GI-Fachgruppe "Management von Informationssicherheit" (seit 2009)
----------------------------------------- Consulting in Riskmanagement / Information Security Management / Compliance Management / Data Protection / Penetrationtests / IT-Forensics
it.sec gehört seit 2012 dem nationalen Expertenkreis Cybersecurity / IT- Forensik des BSI an
it.sec GmbH & Co. KG Einsteinstr. 55 D-89077 Ulm Fon: +49 (0)731/20589-11 Fax: +49 (0)731/20589-29 bernhard.witt@it-sec.de www.it-sec.de
Amtsgericht Ulm: HRA 3129
haftender Komplementär: it.sec Verwaltungs GmbH Amtsgericht Ulm: HRB 4593 Geschäftsführer: Holger Heimann -----------------------------------------
-----Ursprüngliche Nachricht----- Von: fb-lg-bounces@gi-fb-sicherheit.de [mailto:fb-lg-bounces@gi-fb- sicherheit.de] Im Auftrag von Hannes Federrath Gesendet: Mittwoch, 13. Februar 2013 19:24 An: Leitungsgremium des GI-Fachbereiches Sicherheit Betreff: Re: [FB-LG] Namensänderung der Fachgruppe BIOSIG
Hallo zusammen,
es gibt m.E. keine Notwendigkeit, das vor der Sitzung am 8.4.2013 in Wien zu beschließen. Außerdem sollten alle Fachgruppen Gelegenheit haben, dazu Stellung zu nehmen, soweit sie das wollen.
Ich nehme den Punkt auf die Tagesordnung für Wien.
Gruß, Hannes Federrath
Am 08.02.2013 um 10:21 schrieb Matthias Jänichen <mj@percomp.de>:
Moin,
ich nehme an, dass auch die englische Abkürzung "BIOSIG" sein soll. Gibt es irgendwelche Gründe (auch aus der Verwaltung) dem Änderungswunsch zu widersprechen?
Ist es notwendig, dieses (erst) auf der Sitzung zu besprechen? Das können wir doch online machen?
Gruß Matthias
Am 07.02.2013 17:08, schrieb Christoph Busch:
Lieber Herr Federrath,
Seit Gründung unserer Fachgruppe vor mehr als 10 Jahren trug sie den Namen "Biometrik und elektronische Signaturen". In mehreren Sitzungen haben wir eine Namensänderung diskutiert, um einerseits den aktuellen Inhalten und andererseits dem Harmonized Biometric Vocabulary (HBV) gerecht zu werden. Siehe auch: www.biosig.de
Das LG der Fachgruppe BIOSIG beantragt nun als neuen Namen: Deutsch: "Fachgruppe Biometrie und Identitätsmanagement (BIOSIG)" English: "Biometrics and Identity Management Special Interest Group (BOSIG)"
Ich bitte darum, diesen Antrag auf die Tagesordnung der FBSEC-LG-Sitzung am 8. April zu nehmen und im Anschluss an die Sitzung dann die GI-Webseite entsprechend zu aktualisieren.
schöne Grüße Christoph Busch
------------------------------------------------ Prof. Dr. Christoph Busch Competence Center for Applied Security Technology CAST e.V. Fraunhoferstr. 5, 64283 Darmstadt Tel:+49-6151-155-536 email: christoph.busch@cast-forum.de http://www.castforum.de http://www.christoph-busch.de ------------------------------------------------ _______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
-- Matthias Jänichen
_______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
_______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg _______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
Lieber Herr Witt, liebe Kollegen im FBSEC-LG, auf Ihre email vom 8. März hatte ja bereits Detlef Hühnlein geantwortet und Ihnen einen inhaltlichen Dialog angeboten. Ich möchte seine Antwort noch ergänzen. 1.) Wir wünschen uns Kooperation Ich würde mich feuen, wenn Sie inhaltlich mit Detlef Hühnlein kooperieren und am "Open Identity Summit" mitwirken. 2.) Ich kann keinen inhaltlichen Konflikt erkennen. Auf der SECMGT-Seite finde ich eine Beschreibung der SEGMGT-Themen unter: http://fg-secmgt.gi.de/fileadmin/gliederungen/fb-sec/Workshops_neu/SECMGT-In... Dort lese ich: "Die GI-Fachgruppe SECMGT ... beschäftigt sich mit der Verzahnung von informationstechnischen sowie organisatorischen Schutzmaßnahmen und dem Risikomanagement in Behörden oder Unternehmen" Schutzmaßnahmen und Risikomanagement sind sicher nicht Themen, die im Konflikt mit BIOSIG-Themen stehen. 3.) Es wird keine Exklusivität beansprucht Die Fachgruppe BIOSIG kümmert sich um einige Themen. Wir haben aber keinen Alleinvertretungsanspruch für diese Themen, die uns interessieren - im Gegenteil wir arbeiten mit vielen Organisationen zusammen. Das ist auf unserer Webseite dokumentiert. 4.) Es gibt keinen Alleinvertretungsanspruch. Mir ist nicht bekannt, dass es innerhalb der GI einen Alleinvertretungsanspruch von Organisationen für Themen gibt. Seit meiner Mitwirkung im FBSEC-LG gab es mehrmals Sachthemen, die im FBSEC und im PAK diskutiert wurden. Und wie Sie ausgeführt haben gibt es im FBSEC eben mehrere Gruppen, die sich mit Identitätsmanagement beschäftigen. Das ist m.E. kein Problem. 5.) Auch andere Themen sind in vielen Fachgruppen verankert. Es gibt neben dem Thema Identitätsmanagement viele andere Themen im Fachbereich, die von mehreren Fachgruppen behandelt werden. Beispiel: Kryptographische Hashfunktionen in KRYPTO, PET, NETS, SIDAR etc. Das wurde bisher auch nicht als Problem gesehen. Warum gibt es also nun bei "Identitätsmanagement" oder bei "Management" ein Problem? 6.) Eine Organisationseinheit ist für die Webseite verantwortlich Ich finde, eine Fachgruppe sollte selbst ihre Webseite gestalten und verantworten und sehe dies nicht im Widerspruch zur GI-Geschäftsordnung der GI-Gliederungen (GOGL). http://www.gi.de/wir-ueber-uns/leitung/wahlen-und-ordnungen/geschaeftsordnun... Wir hatten auf Bitten von Hannes Federath in einem Schwung unsere Webseite auf die aktuellen Themen angepasst. 7.) Eine Organisationseinheit akutalisiert ihren Namen Aus der GI-Geschäftsordnung der GI-Gliederungen (GOGL) kann ich in §3 einige Pflichten einer Fachgruppe entnehmen. Eine Pflicht, die Namensänderung der Fachgruppe vom übergeordneten Leitungsgremium bestätigen zu lassen kann ich da nicht erkennen. Ich möchte daran erinnern, dass wir auch im FBSEC lange um den Namen des Fachbereichs gerungen haben. Letztlich haben wir den Namen im FBSEC selbst bestimmt und nicht das übergeordnete Gremium entscheiden lassen. Warum sollte es nun anders sein? Das Leitungsgremium der Fachgruppe BIOSIG hat am 7. Februar die Namensänderung beschlossen. Das wäre m.E. schon ausreichend. Ich bitte Frau Winter um Klärung, in welchem Dokument die korrekte Prozedur definiert ist. Ich möchte abschliessend darum bitten, dass das FBSE-LG am 8. April der Namensänderung zustimmt. Aus Resourcengründen werde ich leider nicht persönlich an der Sitzung in Wien teilnehmen können - stehe aber für Fragen gerne vorab zur Verfügung. mit freundlichen Grüßen Christoph Busch Am 09.03.13 20:19, schrieb Dr. Detlef Hühnlein:
Lieber Herr Witt,
herzlichen Dank für Ihre mail.
Ich bin mir nicht ganz sicher, ob wir bezüglich der grundsätzlichen Mission einer Fachgruppe in der GI und den daraus möglicherweise resultierenden Rechten und Pflichten das gleiche Verständnis haben.
Soweit ich das verstehe, leitet sich aus der Benennung einer Organisationseinheit, oder gar einem Namensbestandteil, aber selbstverständlich KEIN irgendwie gearteter "Alleinvertretungsanspruch" ab. Schließlich erfordern viele heutige Probleme das kooperative Zusammenwirken von interdisziplinären Expertenteams und dass die FG BIOSIG sich stets um eine offene Kooperation mit entsprechenden Partnern bemüht, zeigt sich beispielsweise beim "Open Identity Summit" (siehe http://openidentity.eu/cfp.pdf) .
Mir war nicht bewusst, dass spezifische Aspekte des Identitätsmanagements auch in Ihrer FG fokussiert behandelt werden, sonst hätte ich Sie und Ihre Kollegen selbstverständlich eingeladen, aktiv am "Open Identity Summit" mitzuwirken. Sofern Sie möchten, nehmen wir Sie gerne noch mit. Sofern es Ergänzungsvorschläge für die adressierten Themen und/oder das PK gibt, können wir die noch aufnehmen. Der CfP soll in Kürze nochmal verteilt werden, so dass hier noch Ergänzungen vorgenommen werden könnten.
Diese Einladung gilt selbstverständlich auch für alle anderen Fachgruppen, die ich vergessen haben könnte und die sich mit den adressierten Themen beschäftigen.
Der Begriff "Identitätsmanagement" (vgl. http://www.ecsec.de/pub/2008_DuD_Glossar.pdf ) wurde übrigens deshalb gewählt, weil er das in unserer FG bearbeitete Themenfeld aus unserer Sicht am besten beschreibt. Umgekehrt heißt das selbstverständlich NICHT, dass diese Themen ausschließlich in der FG BIOSIG bearbeitet werden. Denn vielmehr gibt es ja in den FGen PET, KRYPTO, ECOM, EZQN und nicht zuletzt SECMGMT Experten, die sich bestimmten Aspekten des Identitätsmanagements in spezialisierter Weise annehmen.
Sofern das nötig ist, können wir die Thematik gern auch im Rahmen einer Telefonkonferenz besprechen. Am geplanten Termin in Wien werde ich leider nicht teilnehmen können. Insofern würde müsste die dortige Diskussion leider ohne mich stattfinden.
VG, dh
-- ------------------------------------------------ Prof. Dr. Christoph Busch Competence Center for Applied Security Technology CAST e.V. Fraunhoferstr. 5, 64283 Darmstadt Tel:+49-6151-155-536 email: christoph.busch@cast-forum.de http://www.castforum.de http://www.christoph-busch.de ------------------------------------------------
Lieber Herr Busch, lieber Herr Hühnlein, liebe Kolleginnen und Kollegen, vielen Dank für Ihre Ausführungen zur geplanten Umbenennung der FG BIOSIG und zu unserer Stellungnahme vom 8. März. Uns ist es in diesem Zusammenhang wichtig, dass eine Namensänderung einer Fachgruppe im Fachbereich nicht "im Vorbeigehen" erfolgt, sondern bewusst vorgenommen wird. Reale Änderungen in dem Themenumfeld der Sicherheit ziehen naturgemäß Änderungen beim Zuschnitt des Fachbereichs nach sich, wie er sich alleine schon durch die Bezeichnung seiner Fachgruppen anschaulich zeigt. Wir begrüßen daher stets und ohne jeglichen Vorbehalt Bestrebungen organisatorischer Untergliederungen des Fachbereichs, bereits durch geeignete Bezeichnung einer Fachgruppe der Community zu zeigen, dass es sich um einen vitalen Fachbereich handelt, in dem sich aktuelle Entwicklungen sichtbar wiederspiegeln! Zuletzt wurde eine derartige Umbenennung (allerdings über einige FB-Sitzungen hinweg) hinsichtlich der Fachgruppe STEWA vollzogen, die nunmehr MEDIA heißt. Zudem stellte sich die Frage der Bezeichnung auch im Rahmen durchgeführter Fusionen, wie dies bei der FG NETSEC (2004 mit Auflösung der FG M-SEC) und der FG SECMGT (2011 mit Auflösung der FG KRITIS) der Fall war. Dies waren stets begründete, sorgfältig abgewogene und bewusst einvernehmlich beschlossene Entscheidungen seitens des Fachbereichs. Bei einer solchen Entscheidung dürfen durchaus auch strategische Gründe eine maßgebliche Richtung spielen, etwa, ob einem Themengebiet mehr Sichtbarkeit eingeräumt werden soll. Unseres Erachtens ist aber die maßgebliche Beteiligung des Fachbereichs notwendig aufgrund von § 2.1 der GOGL, wonach eine Fachgruppe "unter Festlegung ihrer Aufgaben" durch den Fachbereich gebildet wird. Dies gilt u.E. auch für die Frage einer Umbenennung, die damit nicht in Eigenregie durch die FG selbst vollzogen werden kann. Ganz anders verhält es sich freilich, ob von dieser FG Themen behandelt werden, die sich nicht unmittelbar aus dem Namen ableiten. Das ist natürlich jederzeit möglich. Damit hat auch niemand ein Problem! In den Reihen des Leitungsgremiums der GI-FG SECMGT finden sich aktuell noch fünf Mitglieder des ersten Leitungsgremiums des Fachbereichs Sicherheit. Wir kennen daher die Diskussion über die Struktur und Aufgabenabgrenzung innerhalb des Fachbereichs noch sehr genau. Was viele der aktuellen FB-LG-Mitglieder nicht wissen können, ist, dass es damals beim Namen der FG SECMGT im FB lebhafte Debatten gab, die dann kurzerhand durch die Auswahl des Namens, wie er sich heute darstellt, gelöst werden konnten. Selbstverständlich sind Management-Themen Gegenstand aller anderen FGs. Ebenso sind technische Themen, die in anderen FGs vorrangig behandelt werden, natürlich auch Gegenstand von Management-Fragen und finden sich daher wenig überraschend auch in unseren Aktivitäten wieder. Es ist unbestreitbar eines der großen Vorteile dieses FBs, dass es diese gegenseitige Durchdringung und die zahlreichen Schnittstellen zueinander gibt. Daran will nun wirklich niemand was ändern! Wir bitten aber um Verständnis: Für uns kam die beantragte Umbenennung überraschend und kurzfristig, ohne erkennbare Begründung (warum im Besonderen der Bezug zur Technik bewusst aufgegeben wurde, der bis dahin vorrangig in der FG BIOSIG behandelt wurde) und ohne Thematisierung möglicher Auswirkungen, sowohl hinsichtlich des Zuschnitts des FBs im Allgemeinen und den Aufgabenzuweisungen zu den bestehenden FGs im Besonderen. Das war daher der Grund, warum wir uns in dieser Frage zu Wort gemeldet haben und im Fachbereich eine entsprechende Diskussion anregen wollten. Und dazu stehen wir nach wie vor! Uns ging und geht es dabei in keinster Weise um "Content Claiming" oder um "Exklusivitätsrechte" zugunsten der FG SECMGT. Wenn dieser Eindruck entstanden ist, tut uns das leid. Wir stellen hiermit ausdrücklich klar, dass das nicht unser Bestreben ist! Ganz im Gegenteil: In schöner Regelmäßigkeit unterstützen wir sogar ausdrücklich Aktivitäten anderer FGen im thematischen Umfeld, sobald wir davon Kenntnis erhalten. Uns liegt sehr viel an entsprechender Zusammenarbeit. Abgrenzung ist jetzt wahrlich nicht unser Motiv. Wir wollten lediglich darauf hinweisen, dass im Besonderen Identitätsmanagement innerhalb des Managements von Informationssicherheit eine Kerndisziplin ist. Doch auch diese Disziplin steht unter der Maxime des risikobasierten Ansatzes, der damit das Leitmotiv unserer Fachgruppe bildet. Der zitierte Satz ist daher in der Tat das identitätsstiftende Merkmal unserer FG und insofern auch bewusst ausgewählt worden, im FB-Flyer ausdrücklich genannt zu werden. Wir begrüßen ausdrücklich die Aktivitäten der FG BIOSIG im Kontext des "Open Identity Summit". Wie Sie wissen, kooperieren wir immer gerne mit anderen Gruppen und Verbänden, wenn es sich inhaltlich anbietet. Aus diesem Grund haben wir uns z.B. am letzten perspeGKtive-Workshop aktiv beteiligt, PC-Mitglieder gestellt und dazu über unsere Kanäle aufgerufen. Der September 2013 ist auf unserem Veranstaltungskalender bereits sehr voll: Wir führen einen eigenen Workshop im Rahmen der D-A-CH Security 2013 durch, sind mit einem gemeinsamen Workshop mit der FG PET auf der GI-Jahrestagung vertreten und unterstützen einen weiteren Workshop auf der GI-Jahrestagung, der sich mit Risikokommunikation beschäftigt. Das "Open Identity Summit" findet nun genau eine Woche vorher statt. Wir haben zwar viele Kapazitäten, aber leider auch nicht unerschöpfliche. Wir klären gerne intern ab, ob wir doch noch einige PC-Mitglieder stellen können. Das haben wir bisher noch nicht entscheiden können. Falls dem nicht so sein sollte, bitten wir das nicht als Ablehnung zu interpretieren. Sollte auch aus dieser Veranstaltung eine regelmäßige werden, beteiligen wir uns gerne in den Folgejahren sichtbarer an dieser interessanten Veranstaltung. Gerne leiten wir unabhängig von unserer Beteiligung Ihren CfP an unsere Mitglieder weiter. Mit freundlichen Grüßen Dipl.-Inf. Bernhard C. Witt Senior Consultant für Datenschutz und Informationssicherheit, geprüfter fachkundiger Datenschutzbeauftragter (UDIS), zertifizierter ISO/IEC 27001 Lead Auditor (BSi), Certified in Risk and Information Systems Control (CRISC; ISACA), Lehrbeauftragter für Datenschutz und IT-Sicherheit an der Universität Ulm (seit 2005), Autor der Bücher "IT-Sicherheit kompakt und verständlich" (2006) und "Datenschutz kompakt und verständlich" (2008 & 2010), Mitglied im DIN-Arbeitsausschuss "IT-Sicherheitsverfahren" (AK 1 & 4), Mitglied im Leitungsgremium der GI-Fachgruppe "Datenschutzfördernde Technik" sowie Sprecher der GI-Fachgruppe "Management von Informationssicherheit" (seit 2009) ----------------------------------------- Consulting in Riskmanagement / Information Security Management / Compliance Management / Data Protection / Penetrationtests / IT-Forensics it.sec gehört seit 2012 dem nationalen Expertenkreis Cybersecurity / IT-Forensik des BSI an it.sec GmbH & Co. KG Einsteinstr. 55 D-89077 Ulm Fon: +49 (0)731/20589-11 Fax: +49 (0)731/20589-29 bernhard.witt@it-sec.de www.it-sec.de Amtsgericht Ulm: HRA 3129 haftender Komplementär: it.sec Verwaltungs GmbH Amtsgericht Ulm: HRB 4593 Geschäftsführer: Holger Heimann ----------------------------------------- -----Ursprüngliche Nachricht----- Von: fb-lg-bounces@gi-fb-sicherheit.de [mailto:fb-lg-bounces@gi-fb-sicherheit.de] Im Auftrag von Christoph Busch Gesendet: Samstag, 16. März 2013 08:53 An: Leitungsgremium des GI-Fachbereiches Sicherheit Cc: biosig-lg@gi-fb-sicherheit.de Betreff: Re: [FB-LG] [BIOSIG-LG] Namensänderung der Fachgruppe BIOSIG Lieber Herr Witt, liebe Kollegen im FBSEC-LG, auf Ihre email vom 8. März hatte ja bereits Detlef Hühnlein geantwortet und Ihnen einen inhaltlichen Dialog angeboten. Ich möchte seine Antwort noch ergänzen. 1.) Wir wünschen uns Kooperation Ich würde mich feuen, wenn Sie inhaltlich mit Detlef Hühnlein kooperieren und am "Open Identity Summit" mitwirken. 2.) Ich kann keinen inhaltlichen Konflikt erkennen. Auf der SECMGT-Seite finde ich eine Beschreibung der SEGMGT-Themen unter: http://fg-secmgt.gi.de/fileadmin/gliederungen/fb-sec/Workshops_neu/SECMGT-In... Dort lese ich: "Die GI-Fachgruppe SECMGT ... beschäftigt sich mit der Verzahnung von informationstechnischen sowie organisatorischen Schutzmaßnahmen und dem Risikomanagement in Behörden oder Unternehmen" Schutzmaßnahmen und Risikomanagement sind sicher nicht Themen, die im Konflikt mit BIOSIG-Themen stehen. 3.) Es wird keine Exklusivität beansprucht Die Fachgruppe BIOSIG kümmert sich um einige Themen. Wir haben aber keinen Alleinvertretungsanspruch für diese Themen, die uns interessieren - im Gegenteil wir arbeiten mit vielen Organisationen zusammen. Das ist auf unserer Webseite dokumentiert. 4.) Es gibt keinen Alleinvertretungsanspruch. Mir ist nicht bekannt, dass es innerhalb der GI einen Alleinvertretungsanspruch von Organisationen für Themen gibt. Seit meiner Mitwirkung im FBSEC-LG gab es mehrmals Sachthemen, die im FBSEC und im PAK diskutiert wurden. Und wie Sie ausgeführt haben gibt es im FBSEC eben mehrere Gruppen, die sich mit Identitätsmanagement beschäftigen. Das ist m.E. kein Problem. 5.) Auch andere Themen sind in vielen Fachgruppen verankert. Es gibt neben dem Thema Identitätsmanagement viele andere Themen im Fachbereich, die von mehreren Fachgruppen behandelt werden. Beispiel: Kryptographische Hashfunktionen in KRYPTO, PET, NETS, SIDAR etc. Das wurde bisher auch nicht als Problem gesehen. Warum gibt es also nun bei "Identitätsmanagement" oder bei "Management" ein Problem? 6.) Eine Organisationseinheit ist für die Webseite verantwortlich Ich finde, eine Fachgruppe sollte selbst ihre Webseite gestalten und verantworten und sehe dies nicht im Widerspruch zur GI-Geschäftsordnung der GI-Gliederungen (GOGL). http://www.gi.de/wir-ueber-uns/leitung/wahlen-und-ordnungen/geschaeftsordnun... Wir hatten auf Bitten von Hannes Federath in einem Schwung unsere Webseite auf die aktuellen Themen angepasst. 7.) Eine Organisationseinheit akutalisiert ihren Namen Aus der GI-Geschäftsordnung der GI-Gliederungen (GOGL) kann ich in §3 einige Pflichten einer Fachgruppe entnehmen. Eine Pflicht, die Namensänderung der Fachgruppe vom übergeordneten Leitungsgremium bestätigen zu lassen kann ich da nicht erkennen. Ich möchte daran erinnern, dass wir auch im FBSEC lange um den Namen des Fachbereichs gerungen haben. Letztlich haben wir den Namen im FBSEC selbst bestimmt und nicht das übergeordnete Gremium entscheiden lassen. Warum sollte es nun anders sein? Das Leitungsgremium der Fachgruppe BIOSIG hat am 7. Februar die Namensänderung beschlossen. Das wäre m.E. schon ausreichend. Ich bitte Frau Winter um Klärung, in welchem Dokument die korrekte Prozedur definiert ist. Ich möchte abschliessend darum bitten, dass das FBSE-LG am 8. April der Namensänderung zustimmt. Aus Resourcengründen werde ich leider nicht persönlich an der Sitzung in Wien teilnehmen können - stehe aber für Fragen gerne vorab zur Verfügung. mit freundlichen Grüßen Christoph Busch Am 09.03.13 20:19, schrieb Dr. Detlef Hühnlein:
Lieber Herr Witt,
herzlichen Dank für Ihre mail.
Ich bin mir nicht ganz sicher, ob wir bezüglich der grundsätzlichen Mission einer Fachgruppe in der GI und den daraus möglicherweise resultierenden Rechten und Pflichten das gleiche Verständnis haben.
Soweit ich das verstehe, leitet sich aus der Benennung einer Organisationseinheit, oder gar einem Namensbestandteil, aber selbstverständlich KEIN irgendwie gearteter "Alleinvertretungsanspruch" ab. Schließlich erfordern viele heutige Probleme das kooperative Zusammenwirken von interdisziplinären Expertenteams und dass die FG BIOSIG sich stets um eine offene Kooperation mit entsprechenden Partnern bemüht, zeigt sich beispielsweise beim "Open Identity Summit" (siehe http://openidentity.eu/cfp.pdf) .
Mir war nicht bewusst, dass spezifische Aspekte des Identitätsmanagements auch in Ihrer FG fokussiert behandelt werden, sonst hätte ich Sie und Ihre Kollegen selbstverständlich eingeladen, aktiv am "Open Identity Summit" mitzuwirken. Sofern Sie möchten, nehmen wir Sie gerne noch mit. Sofern es Ergänzungsvorschläge für die adressierten Themen und/oder das PK gibt, können wir die noch aufnehmen. Der CfP soll in Kürze nochmal verteilt werden, so dass hier noch Ergänzungen vorgenommen werden könnten.
Diese Einladung gilt selbstverständlich auch für alle anderen Fachgruppen, die ich vergessen haben könnte und die sich mit den adressierten Themen beschäftigen.
Der Begriff "Identitätsmanagement" (vgl. http://www.ecsec.de/pub/2008_DuD_Glossar.pdf ) wurde übrigens deshalb gewählt, weil er das in unserer FG bearbeitete Themenfeld aus unserer Sicht am besten beschreibt. Umgekehrt heißt das selbstverständlich NICHT, dass diese Themen ausschließlich in der FG BIOSIG bearbeitet werden. Denn vielmehr gibt es ja in den FGen PET, KRYPTO, ECOM, EZQN und nicht zuletzt SECMGMT Experten, die sich bestimmten Aspekten des Identitätsmanagements in spezialisierter Weise annehmen.
Sofern das nötig ist, können wir die Thematik gern auch im Rahmen einer Telefonkonferenz besprechen. Am geplanten Termin in Wien werde ich leider nicht teilnehmen können. Insofern würde müsste die dortige Diskussion leider ohne mich stattfinden.
VG, dh
-- ------------------------------------------------ Prof. Dr. Christoph Busch Competence Center for Applied Security Technology CAST e.V. Fraunhoferstr. 5, 64283 Darmstadt Tel:+49-6151-155-536 email: christoph.busch@cast-forum.de http://www.castforum.de http://www.christoph-busch.de ------------------------------------------------ _______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
participants (5)
-
Bernhard C. Witt -
Christoph Busch -
Dr. Detlef Hühnlein -
Hannes Federrath -
Matthias Jänichen