Schutzmaßnahmen
Informationen zum Schutz des IP-basierten Übergabepunktes für Überwachungsmaßnahmen und Auskunftersuchen
Informationsdienst der Zertifizierungsstelle TKÜV-CA
Allgemeines
Zum Schutz des IP-basierten Übergabepunktes gemäß ETSI-Standard werden dedizierte Kryptosysteme auf der Basis der IPSec-Protokollfamilie eingesetzt, um die Teilnetze der berechtigten Stellen (bSn) und der Verpflichteten zu einem Virtual Private Network (VPN) zu verbinden. Zur Verwaltung wird eine Public Key Infrastructure (PKI) eingerichtet, die von der Bundesnetzagentur als zentrale Registrierungs- und Zertifizierungsinstanz betrieben wird. Darüber hinaus verwaltet die Bundesnetzagentur die innerhalb des VPN zugelassenen Sicherheitsbeziehungen in einer Access Control List (ACL), die mittels eines LDAP-Verzeichnisdienstes bereitgestellt wird.
IP-Kryptosysteme
Um die in IP-Netzen hoch einzustufenden Schutzanforderungen an eine gesicherte Übertragung zu gewährleisten, können nur solche IP-Kryptosysteme eingesetzt werden, die bestimmte Anforderungen erfüllen, die von der Bundesnetzagentur in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert wurden. Im Rahmen einer Herstellerbefragung wurde ein IP-Kryptosystem bestimmt. Für ein auf der Grundlage einer zweiten Befragung definiertes weiteres IP-Kryptosystem konnte die notwendige vollständige Interoperabilität nicht nachgewiesen werden.
Lediglich das in der Tabelle aufgeführte IP-Kryptosystem kann auf der Grundlage der TKÜV eingesetzt werden:
| Nr. | Hersteller | Produktname | Ansprechpartner |
|---|---|---|---|
1 | secunet Security Networks AG Ammonstraße 72 01067 Dresden zur Internetseite secunet | SINA Box | Herr Neef matthias.neef@secunet.com |
Die jeweiligen Kryptosysteme sind grundsätzlich Bestandteile der technischen Einrichtungen der bSn bzw. der Verpflichteten; insofern fällt der Betrieb sowie die Wartung und Entstörung (Betrieb eines eigenen SYSLOG-Servers) in die Zuständigkeit des jeweiligen Betreibers des Teilnetzes.
Die TR TKÜV enthält im Teil A, Anlage A.2 die hierzu notwendigen technischen Regelungen.
Zusätzlich werden hier die Regelungen für die Registrierungs- und Zertifizierungsinstanz TKÜV-CA (Policy) veröffentlicht, auf die im o.g. Abschnitt der TR TKÜV verwiesen wird.
Policy
Eine detaillierte Beschreibung des Gesamtprozesses sowie die Auflistung der für die Teilnahme am VPN benötigten Angaben enthält die hier bereitgestellte Policy der TKÜV-CA.
Schwerpunkte der Policy:
- Identität und Leistungen der Instanz TKÜV-CA
- Regeln zur Registrierung der Teilnehmer / Verfahrensablauf
- Angaben zur Erstellung des Zertifikates (einschließlich IP-Konfiguration)
- Widerruf von Zertifikaten / Sperren
- Optionsauswahl zum Managementsystem
- Test der Kryptosysteme
- Verschiedenes