|
| |
Allgemeine Hinweise
Verschiedene Modelle zur Erhöhung der Sicherheit mit Diskussion der Vor- und
Nachteile. Zu berücksichtigen ist, dass im Angebot bereits verschiedene Modelle dargelegt
wurden, aber aus Kostengründen für das einfachste System votiert wurde. Es wird das
ursprüngliche Modell dargelegt und verschiedenen Alternativen aufgezeigt. Diese
Alternativen erfordern mehr Aufwand und wesentlich höhere Kosten.
Nach Diskussion im Koordinierungsausschuss am 24.03 1999 wurde ein modifiziertes PIN-Modell, Stand 02.05.1999
entwickelt, das nach eingehenden Diskussionen im KOA und den Fachgruppen so verabschiedet
wurde.
 | Die RS generiert mittels eines einfachen Zufallsgenerators eine PIN für jeden
Meldepflichtigen . |
| Diese Erst-PIN wird an alle Landwirte mit der Verteilung der Bestandserfassungsbögen
oder 1.Bestellung von Ohrmarken versandt. |
| Eine Datei mit den erzeugten PINs wird an die ZDB mittels Meldung BETRH übermittelt und
dort gespeichert. |
| Nach Übermittlung und Bestätigung durch die ZDB muss die PIN-Datei bei den RS
gelöscht werden. |
| Kein HIT-Benutzer, weder RS noch Verwaltungsstellen noch Meldepflichtiger kann die
Entität BETRH und damit die PIN lesen. |
| RS, Verwaltungsstellen und Meldepflichtige können aber BETRH schreiben, d.h. die PIN in
seiem Kompetenzbereich ändern. |
| Jeder Besitzer einer PIN kann diese Online im Internet, ggf. auch im IVR ändern. |
| Wenn jemand die PIN vergisst, muss er sich schriftlich an die zuständige RS wenden,
diese generiert eine neue PIN, teilt sie dem Ansuchenden schriftlich mit und übermittelt
sie an die ZDB. |
| Bei der elektronischen Meldung wird die PIN unverschlüsselt an die ZDB übermittelt. |
| Es wird geprüft, ob mit der PIN des Unternehmens für abhängige Betriebsstätten, die
eine eigene PIN haben, gemeldet werden kann. |
| Um auszuschließen, dass die RS Kenntnis über die PIN staatlicher Stellen erlangen kann,
besteht die Möglichkeit, für die Betriebstypen RS, VVW und LWV die PIN durch die ZDB
generieren und übermitteln zu lassen. |
Verlauf der Diskussion
Zu betrachtende Gesichtspunkte
| Verfahren (einfache PIN als Passwort, echte PIN mit Gegen-PIN, Public/Private-Key) |
| Generierung (RS, ZDB, Trust-Center) |
| Speicherung (Original, Gegen-Schlüssel) |
| Kenntnis (RS, ZDB, nur Kunde) |
| Übermittlung (offen, verschlüsselt, Challange-Response) |
| Verwaltungsaufwand und Kosten |
| Missbrauchs-Szenarien |
Ursprüngliches Modell
| PIN wird auf Anforderung der RS von der ZDB generiert und dort gespeichert. |
| Die RS hat Kenntnis von der Original-PIN und übermittelt diese dem Kunden. |
| Bei der elektronischen Meldung wird die PIN unverschlüsselt an die ZDB übermittelt. |
| Es wird geprüft, ob mit der PIN des Unternehmens für abhängige Betriebsstätten, die
eine eigene PIN haben, gemeldet werden kann. |
Mögliche Alternativen
| Statt "unverschlüsselter Übertragung" - ein Challange-Response-Verfahren zur
Authentisierung. |
| Statt "offener Mitteilung" an die RS - verschlüsselte Übermittlung an die
RS. |
| Statt "Kenntnis der PIN bei der RS" - direkter Versand von ZDB an Kunden in
schwarzem Umschlag. |
| Statt "Speicherung der Original-PIN bei der ZDB" - generieren von PIN und
Gegen-PIN mit Übermittlung der PIN zum Kunden und Speicherung der Gegen-PIN in der ZDB. |
| Statt "Generieren der PIN/Gegen-PIN" bei ZDB - beauftragen eines
Trust-Centers. |
| Statt "PIN-Verfahren" - Public/Private-Key-Verfahren (zumindest bei
Massentransfer im Batch-Verfahren). |
| Statt "PIN-Verfahren" - Secure-ID-Card (aus Kostengründen bereits eindeutig
abgelehnt) |
Möglichkeiten des Missbrauchs
| Stellen die Kenntnis von der PIN haben, können Meldungen im Namen des Betriebs
erstellen oder verändern und betriebsspezifische Abfragen durchführen. |
| Bewusste Falschmeldungen unbekannter Dritter scheitern i.d.R. an
Plausibilitätsprüfungen. |
| Aber bei "gutgemeinten Korrekturen" könnte der Autor verschleiert werden. |
Erweiterungen zum PIN-Modell, Stand 20.11.2004
| Im Rahmen der Umstellung der Adressdaten wurde die Datenstruktur BETRH
ersetzt durch BTR_H. |
| Je nach gewähltem elektronischen Meldeverfahren wird die PIN bei der Authentifizerung
 | gar nicht übertragen sondern in einem sogenannten „Challange-Response“ Verfahren mit
asymmetrischer Verschlüsselung benutzt, |
| oder in HTTPS verschlüsselt, |
| oder aber bei geringerem Schutzbedarf auch weiterhin unverschlüsselt an die ZDB übermittelt. |
|
| Mit der PIN des Unternehmens kann auch für abhängige Betriebsstätten, die eine eigene PIN haben, gemeldet werden. Dies stellt eine vereinfachte Form der Mandantenanmeldung durch das Unternehmen für die Betriebsstätte dar. Entsprechend wird auch die
Unternehmensnummer als angemeldet betrachtet und als Meldebenutzer gespeichert. |
Erhöhte PIN-Komplexität, Stand Mitte 2021
| Die PIN muss eine ausreichende Länge und Komplexität haben (mindest
Anzahl an Stellen, alphanumerisch mit Groß-, Kleinbuchstaben, Ziffern und
Sonderzeichen). |
| Die genauen Anforderungen dürfen aus Sicherheitsgründen hier nicht
veröffentlicht werden. Für die PIN-Ausgabe zuständige Adressdatenstellen
können auf Anfrage entsprechende Informationen erhalten. |
| Die PIN muss standardmäßig nach einem Jahr geändert werden (mit Kulanz:
400 Tage) |
| Von der Adressdatenstelle oder der lokalen Administration ausgegebene
PIN ("Transport-PIN") müssen unmittelbar geändert werden. |
| Es werden zusätzliche technische Möglichkeiten zur Anforderung von PINs
eingerichtet. |
| Bei zu vielen Fehleingaben erfolgt zunächst eine Sperre für 24 Stunden,
bei weiteren Fehleingaben erfolgt eine Komplett-Sperre, die nu durch Ausgabe
einer neuen PIN aufgehoben werden kann. |
|
