Laufende Projekte
IT Sicherheit ist im Trend und das Internet geizt nicht an Informationen. Für Interessierte, die sich vertieft mit IT Sicherheit auseinandersetzen wollen, empfehlen wir folgende Websites
Eine «Public Key Infrastructure» (PKI) ist eine Plattform zur zentralen Verwaltung digitaler Zertifikate.
Personenbezogene digitale Zertifikate sollen in der ETH Zürich voraussichtlich für folgende Zwecke eingesetzt werden:
- Digitales Signieren von E-Mails
- Verschlüsselung von E-Mails
- 2-Faktor-Authentisierung
Weitere Einsatzmöglichkeiten, wie beispielsweise das digitale Signieren von Dokumenten oder Transaktionen sind denkbar.
Diese Initiative wird nach einer Bedürfnisanalyse zum Einsatz digitaler Zertifikate an der ETH Zürich, eine geeignete Verwaltungslösung evaluieren und einführen.
Die ID verwalten Digitale Identitäten und Zugriffsrechte heute mittels einer selbstentwickelten und über die Jahre gewachsenen Lösung. Diese Lösung erfüllt heute nicht mehr alle rechtlichen Rahmenbedingungen und betrieblichen Anforderungen.
Die ID sind 2014 mit der Einführung eines IAM-Systems beauftragt worden. Das Projekt ist in Umsetzung und wird die Maturität der Verwaltung von Digitalen Identitäten und Zugriffsrechten deutlich erhöhen.
Eine Anmeldung ausschliesslich mit Benutzerkennung und Passwort ist für den Zugriff auf sensitive Informationen oder für die Durchführung sensitiver Transaktionen nicht ausreichend sicher.
Good Practice für solche Fälle ist die Nutzung einer sogenannten «2-Faktor-Authentisierung», bei der Benutzende zusätzlich zu Benutzerkennung und Passwort noch ein weiteres Attribut, wie etwa eine Zufallszahl, die durch eine App auf dem Smartphone generiert wurde, eingeben müssen.
Die ID bieten aktuell keine flächendeckende Lösung für eine 2-Faktor-Authentisierung an. Ziel dieser Initiative ist, eine Plattform für 2-Faktor-Authentisierung zu schaffen, die allen Applikationen, Services und Systemen zur Verfügung steht.
Im Netz der ETH Zürich wird mit Systemen aller Art gearbeitet. Dabei handelt es sich u.a. um Desktops, Laptop oder Tablets, Smartphones, IoT-Komponenten und Server.
Sie werden teils durch die ID oder andere IT Support-Gruppen verwaltet oder sie sind direkt in der Obhut des Benutzenden; teils handelt es sich um Geräte in Privatbesitz.
Viele dieser Systeme werden professionell verwaltet und sind bezüglich Sicherheit in gutem Zustand. Andere sind nicht auf aktuellem Stand bezüglich Sicherheitsaktualisierungen (Security Patches) oder Virenschutz oder sind technisch nicht ausreichend abgesichert.
Nicht hinreichend abgesicherte Systeme stellen ein Risiko dar, da Angreifer über sie ins Netz der ETH Zürich gelangen könnten und sich mit unterschiedlichen Angriffstechniken die für ihre Attacke notwendigen Informationen und Zugriffe beschaffen könnten.
Mit dieser Initiative soll eine Lösung evaluiert und eingeführt werden, die Systeme auf ihren Sicherheitszustand überprüfen kann und Schutzmechanismen zur Verfügung stellt, die Risiken aufgrund eines mangelhaften Sicherheitszustands mitigieren.
Öffentliche Links
Blog von Bruce Schneier
Bruce Schneier ist einer der angesehensten Sicherheitsexperten, der in seinem Blog Sicherheitsthemen auf hohem Niveau diskutiert.
externe Seite Schneier on Security
Cybercrime
Die Abteilung Cybercrime der Kantonspolizei Zürich sorgt mit Prävention und Repression für mehr Sicherheit im virtuellen Raum.
externe Seite Cybercrime der Kantonspolizei Zürich
European Union Agency for Network and Information Security
Die externe Seite European Union Agency for Network and Information Security (ENISA) ist ein Kompetenzzentrum für Cybersicherheit in Europa.
Melde- und Analysestelle Informationssicherung (MELANI)
Die externe Seite Website von MELANI richtet sich an private Computer- und Internetbenutzer, sowie an kleinere und mittlere Unternehmen (KMU) der Schweiz.
«Security, Moore's law, and the anomaly of cheap complexity»
externe Seite Thomas Dullien zu den Ursachen von IT Sicherheitsproblemen