Im Blog finden sich Beiträge zu Themen, wie Elektronsiche Akten (eAkte), Electronic Government (eGovernment bzw. E-Government), Elektronsiche Signatur und Data Warehouse in der öffentlichen Verwaltung.
Der
Zentrale Kreditausschuss (ZKA) hat Sicherheitsklassen für Chipkarten Lesegeräte festgelegt, nach denen sich die Sicherheit der Datenübertragung zwischen Gerät und Chipkarte einteilen lässt. Eine entsprechende Quelle auf dem Webserver der ZKA ist aber nicht zu finden.
In verschiedenen Quellen (z.B. Glossar der
Firma REINER Kartengeräte GmbH und Co. KG, einem
White Paper der Firma DATEV oder der
Initiative Geldkarte e.V.) finden sich folgende Erläuterungen:
- Geräte der Sicherheitsklasse 1 ermöglichen die Kommunikation mit der Chipkarte und verfügen über keine eigene Tastatur und kein Display. Sie verwenden deshalb die Tastatur und den Bildschim des PC, für die PIN-Eingabe und die Darstellung der zu signierenden Daten. Sie lassen es daher prinzipiell zu, dass die Daten nach der Eingabe durch den Benutzer auf dem Weg vom PC zur Chipkarte ausgespäht werden. Ebenso ist denkbar, dass die angezeigten Daten auf dem Weg zur Chipkarte manipuliert werden. Viele einfache Chipkartenleser fallen in diese Klasse.
- Die Sicherheitsklasse 2-Geräte schützen die Chipkarte vor Angriffen, indem die Daten (z.B. die PIN) direkt über eine Tastatur am Lesegerät oder aus der Verbindung der PC-Tastatur mit dem PC an die Chipkarte übertragen werden. Dadurch gelangen die Daten ohne Umweg über den PC direkt zur Chipkarte. Manipulationen (z.B. durch Viren oder trojanische Pferde) sind nicht möglich.
- Verfügen die Chipkartenleser (in Sicherheitsklasse 3) über eine Tastatur und ein Display, können die Daten nicht nur direkt eingegeben, sondern auch zu signierende Daten zur Überprüfung noch einmal dargestellt werden. Dadurch kann der Benutzer prüfen, dass seine Eingaben nicht verfälscht wurden und die richtigen Daten signiert werden.
- Für Chipkartenleser der Klasse 4 ist darüber hinaus ein personalisiertes Sicherheitsmodul mit RSA-Funktionen vorgesehen. Dadurch wird der Nachweis für den Kommunikationspartner erbracht, dass es sich um einen Kartenleser der Klasse 4 handelt. Dies wird durch eine zusätzliche Signatur realisiert, die das Sicherheitsmodul des Kartenlesers über die jeweiligen Daten berechnet. Die Einbettung der Kartenlesersignatur in die Anwendung erfolgt durch anwendungsspezifische Zusatzfunktionen im Leser.
Das
White Paper der Firma DATEV (
http://www.rak-koeln.de/index.php?index=341&download=1&id=367) enthält eine Liste von Kartenlesegeräten und deren Sicherheitsklassen. Darüber hinaus wird von der
Initiative Geldkarte e.V. auch auf Kartenlesegeräte für Chip-Karten eingegangen.