Support

Support Infos

Aktuelle Informationen von unserem Support-Team
Support-Anfrage
20.05.2019 - XÖV-Information: Umstellung des OSCI-Betriebsmodus zum 01. 11. 2019
Am 25.06.2018 hat die Koordinierungsstelle für IT-Standards –KoSIT- einen zeitlichen Ablauf für den Umstieg auf AES-GCM bei der Verschlüsselung in der OSCI-Kommunikation veröffentlicht. Dort wurde ein präziser Umstellungstermin ohne Übergangsfristen festgelegt. Das bedeutet, dass bei der Verschlüsselung der Inhaltsdaten im Bereich XÖV:
  • bis zum 31.10.2019 AES ausschließlich mit CBC zu verwenden ist und
  • ab dem 01.11.2019 AES ausschließlich mit GCM zu verwenden ist.
Um einen sicheren Betrieb, insbesondere bei den Prozessen XMeld, XAuslaender und XPersonenstand zu ermöglichen, hat procilon in den OSCI-relevanten Technologiekomponenten die entsprechenden kryptographischen Verfahren eingearbeitet. Die Auslieferung der Komponenten erfolgte bereits mit der Version proGOV 3.7. Vor diesem Hintergrund ergeben sich folgende notwendigen Aktivitäten:

proGOV 3.6 und kleiner

proGOV Nutzern bis Version 3.6 oder kleiner wird dringend empfohlen, zeitnah ein proGOV-Systemupdate auf die aktuelle Version durchzuführen, da ansonsten zum Umstellungstermin keine OSCI-Kommunikation in den genannten Prozessen erfolgen kann!

System-Update auf 3.7

Das proGOV System-Update können Sie wie gewohnt über unser Supportformular anfordern.

hier anfordern

proGOV 3.7 und größer

Zum oben genannten Umstellungszeitpunkt müssen proGOV Nutzer ab Version 3.7 die Änderung der OSCI Konfiguration in den Betriebsmodus GCM entsprechend ändern. Dazu muss vorab der proGOV OSCI Adapter in Version 3.11.x oder höher installiert sein.

screenshot progov aes256-cbc umstellung

Weitere Informationen zum zeitlichen Ablauf des Umstiegs auf AES-GCM in der OSCI-Transport Bibliothek finden sie unter https://www.xoev.de/downloads-2316

Generell empfiehlt procilon, Systeme aus Sicherheitsgründen stets auf dem aktuellen Stand zu halten und Updates zeitnah zu installieren.
01.01.2019 - Änderung Verschlüsselungsalgorithmus gemäß Bundesnetzagentur

proGOV Regelwerk in wenigen Schritten anpassen

Um Ihr proGOV System an den neuen Algorithmus anzupassen, gehen Sie bitte wie folgt vor:

  • Wechseln Sie in der AdminConsole zum funktionalen Regelwerk
  • Öffnen Sie die Aktion "EncryptSMIME"
  • sofern im Feld "Key-Verschlüsselungsalgorithmus" der Wert "RSA/NONE/OAEPWITHSHA1ANDMGF1PADDING" steht, ändern Sie diesen bitte in "RSA/NONE/OAEPWITHSHA256ANDMGF1PADDING"

Hinweis: In der Beschreibung der Aktion ist der Wert als Standard aufgeführt, diesen können Sie einfach per Copy&Paste in das Feld übernehmen.

05.12.2018 - Informationen zum Java-Support ab Februar 2019

Oracle verändert Java-Releasezyklus und Supportmodell

Für das Jahr 2019 stehen maßgebliche Veränderungen im Java-Ökosystem an. Hintergrund ist die vollständige Überarbeitung des Java-Releasezyklus und des dazugehörigen Supportmodells durch Oracle. Der Hersteller folgt damit einem Trend, neue Funktionen in sehr kurzen Zyklen auf den Markt zu bringen. Begründet wird dies mit agilen Entwicklungsprozessen, die für die Anwender wesentliche funktionale Vorteile bringen sollen. Neben diesen technischen Aspekten sind aber auch kommerzielle Auswirkungen zu erkennen, denn spätestens ab Java 11 ist für den Einsatz der Oracle JRE in Produktivsystemen der Abschluss eines kostenpflichtigen Supportvertrags bei Oracle notwendig.

Im Sinne einer verlässlichen Produktpolitik hat sich procilon intensiv mit diesen Marktveränderungen auseinandergesetzt und die Auswirkungen unter zwei maßgeblichen Gesichtspunkten analysiert:

  • Wie lassen sich procilon-Anwendungen auf dem jeweils aktuellen Stand der Java-Technologie realisieren?
  • Wie können Zusatzkosten für Endanwender vermieden werden?

Im Ergebnis dieser Analyse ist festzustellen, dass die procilon-Produkte proGOV und proNEXT hinsichtlich der Server-Funktionalitäten und das Produkt proNEXT Secure Framework hinsichtlich der Client-Funktionen dem aktuellen Stand der Technik entsprechen.

Es ist aktuell kein Fall bekannt, in dem die von den procilon Produkten verwendeten JRE‘s von einer Sicherheitslücke betroffen sind, welche eine Aktualisierung der JAVA-Komponente erfordern. Darüber hinaus laufen die derzeit verwendeten JRE-Versionen stabil. Daher können die zum jetzigen Zeitpunkt verwendeten Java-Versionen auch über den Januar 2019 hinaus weiter genutzt werden.

Sollten für diese Java-Versionen sicherheitskritische Schwachstellen mit Auswirkungen auf procilon Produkte gemeldet werden, wird von procilon kurzfristig eine Alternative zur Verfügung gestellt. Für Anwender soll auch zukünftig der Weiterbetrieb von procilon Systemen ohne einen kostenpflichtigen Supportvertrag bei Oracle möglich sein.

procilon wird für die Produkte proDESK, proGOV und proNEXT die von Oracle bereitgestellte kostenfrei nutzbare Java-Implementierung OpenJDK unterstützen. Dafür notwendige Updates werden Anfang des Jahres 2019 verfügbar sein und im Rahmen des etablierten Wartungszyklus der Maintenance-Packs (MP) ausgerollt.

Darüber hinaus besteht für Anwender mit besonderen terminlichen Anforderungen außerhalb des Wartungszyklus die Möglichkeit einer individuellen Umstellung durch den Professional Service von procilon. Dafür steht ein individueller Infrastrukturworkshop zur Verfügung, der über das Onlineformular angefragt werden kann.

Mit diesen Maßnahmen wird sichergestellt, dass die angestrebte hohe Produktqualität hinsichtlich der Stabilität und des IT-Sicherheitsniveaus erhalten bleibt. Über die jeweiligen funktionalen Neuerungen wird procilon im Freigabeprozess zum jeweils aktuellen MP informieren und veröffentlicht dies auf den Maintenance Pack Webseiten.

procilon ist davon überzeugt, damit ein transparentes und zukunftsorientiertes Vorgehensmodell gewählt zu haben, mit dem procilon-Kunden an technologischen Entwicklungen ohne zusätzlichen kommerziellen Mehraufwand partizipieren.

16.11.2018 - Störung bei Prüfung von Usertrust und Comodoca Zertifikaten - behoben

Aufgrund einer Störung auf Ausstellerseite, kommt es bei der OCSP Prüfung von Usertrust und Comodoca Zertifikaten vereinzelt zu Einschränkungen bei der Signaturanwendung mit proNEXT Secure Framework. Wir arbeiten an einer Lösung.

Störung ist behoben

19.06.2018 - Störung der Microsoft AZURE Cloud Plattform - behoben

Aufgrund einer Störung bei Microsoft, kam es in der Nacht auf den 20.06.18 zu Beeinträchtigungen in der Verfügbarkeit der AZURE Cloud Plattform.
Auch Services der procilon waren deshalb teilweise nur eingeschränkt verfügbar.

Seit den frühen Morgenstunden ist die Störung behoben.
Zur Sicherheit wird Kunden der procilon empfohlen, cloud-basierte Dienste neu zu starten und auf reibungslosen Betrieb zu prüfen.

Ergebnisse der Analyse des proGOV-Systems im Bezug auf die EFAIL-Sicherheitslücken

Die Analyse unseres proGOV-Systems bzgl. der unter EFAIL (efail.de) beschriebenen Sicherheitslücken bei der E-Mail Kommunikation mit Ende-zu-Ende-Verschlüsselung (PGP/SMIME) hat ergeben, dass mit den beschriebenen Angriffsvektoren das proGOV-System selbst nicht abgreifbar ist. Dies betrifft insbesondere das proGOV Modul Konvertierung, das bei der Dateikonvertierung keine externen Quellen abruft.
Dennoch besteht für Anwender, in Abhängigkeit des eingesetzten Mailclients, das Risiko, von den in EFAIL beschriebenen Sicherheitslücken betroffen zu sein.
Daher wird procilon für das proGOV-Regelwerk einen zusätzlichen Matcher zur Verfügung stellen, der verschlüsselte Mails bzgl. der CBC/CFB Gadget Attack (siehe unten) filtern kann und entsprechend den Kundenanforderungen weiterverarbeitet. Über die Verfügbarkeit des Filters wird procilon separat informieren.

Die detaillierten Analyseergebnisse:


1. Direct Exfiltration
Bei der Direct Exfiltration versteckt ein Angreifer den zu entschlüsselnden Text in einer abgefangenen und verschlüsselten E-Mail im HTML-Format, in einem nicht geschlossenen HTML-Tag. Wird dann beim Empfänger im Client eine automatische Entschlüsselung durchgeführt, wird der verschlüsselte Code beim Öffnen der E-Mail entschlüsselt. Zurück zum Absender gelangt dieser Code per HTTP-Request.

Diese Art von Angriff führt zu keinem Problem bei unseren proGOV-Kunden. proGOV identifiziert verschlüsselte Parts einer Mail nicht. Kommt eine wie für den Angriff beschriebene Mail beim proGOV an, wird keine Entschlüsselung durchgeführt und der verschlüsselte Teil wird an den Mail-Client weitergeleitet.

FAZIT: proGOV entschlüsselte solche Mails nicht.


2. The CBC/CFB Gadget Attack
Dieser Angriff zielt auf eine fehlende oder unzureichende Integritätsprüfung der verschlüsselten Nachricht vor der Entschlüsselung ab. So kann ein entsprechender Rückkanal eingebettet werden, ohne dass der Client bei der Entschlüsselung einen Fehler meldet. Dabei werden Schwächen in den Verschlüsselungsstandards und ihren Implementierungen ausgenutzt.
procilon wird für dieses Szenario einen Matcher implementieren, welcher die verschlüsselten Daten auf manipulierte Blöcke untersucht. Findet er solche, dann matched dieser und die Mail kann im Regelwerk entsprechend den Kundenanforderungen behandelt werden.

FAZIT: proGOV entschlüsselt diese Mails, aber die Gefährdung ist abhängig vom eingesetzten Mail-Client.

27.03.2018 - Störung bei De-Mail Kommunikation - behoben

Aufgrund einer Havarie bei einem DMDA, kommt es zur Zeit zu Störungen in der De-Mail Kommunikation.
Deshalb bestehen auch beim Nachrichtenversand Beeinträchtigungen. Unser Gateway ist weiterhin verfügbar und prüft permanent die Erreichbarkeit des DMDA. Angefallene Nachrichten werden sofort bearbeitet sobald dieser wieder online ist.

Störung ist behoben.

Notwendige Einstellungen in proGOV Energy-Systemen für Marktkommunikation

Ab 01.01.2018 gelten folgende kryptografischen Anforderungen an die sichere Übertragung von EDIFACT-Dateien für die Verschlüsselung und Signatur:

Signierung von Zertifikaten:
RSASSA-PSS

Signierung in S/MIME:
RSASSA-PSS

Schlüsselverschlüsselung in S/MIME:
RSAES-OAEP

Ab sofort entsprechen neu ausgegebene procilon Zertifikate diesen Bestimmungen. Ältere Zertifikate, die vor dem 01.01.2018 ausgestellt wurden, können bis zu deren Ablaufdatum weiterverwendet werden.

Anleitung für proGOV Administratoren

Wie diese Algorithmen in proGOV einzustellen sind,
erklärt das folgende Dokument.
Information zur Sperrung ungültiger Gateway-Zertifikate

Wir möchten Sie darauf hinweisen, dass ungültige D-Trust Gateway-Zertifikate direkt bei D-Trust als "gesperrt" gemeldet werden müssen.

Telefonisch:
Die Sperrhotline ist unter der Rufnummer: +49 (0) 30 25 93 - 91 600 rund um die Uhr besetzt. Bitte legitimieren Sie sich durch die Angabe Ihres Sperrpassworts, das Sie bei der Antragstellung gewählt haben.

Schriftlich:
Einen schriftlichen Sperrauftrag richten Sie bitte an:
Bundesdruckerei GmbH
c/o D-TRUST GmbH
Sperrdienst
Kommandantenstraße 15
10969 Berlin.

Aktuelle Bedrohung durch Kryptotrojaner

procilon empfiehlt noch vorsichtigeren Umgang mit E-Mails

Erhöhte Gefahr durch Tesla, Locky, & Co.
Aktuell treiben zahlreiche (Krypto-)Trojaner ihr Unwesen, weshalb wir dringend empfehlen, die Einstellungen Ihrer Sicherheitsvorkehrungen zu justieren.
So sollten Sie ausführbare Dateien nicht mehr nur markieren sondern direkt löschen. Dies betrifft vor Allem *.bat, *.bin, *.chm, *.cmd, *.com, *.cpl, *.exe, *.hta, *.js, *.lnk, *.pif, *.scr, *.sys, *.vbs. E-Mails mit solchen Anhängen sollten vorsichtshalber komplett davon bereinigt und Anwender sichtbar durch einen Hinweis (Disclaimer) alarmiert werden. Sollten die gelöschten Dateien tatsächlich benötigt werden, können diese dann vom jeweiligen Absender erneut in einem passwortgeschützten ZIP-Archiv angefordert werden.

Schadsoftware kommt auf unterschiedlichsten Wegen
Anfangs versteckt in MS-Office-Makros, später in JavaScript-Dateien (meist in ZIP-Containern) tauchen die Trojaner neuerdings auch über infizierte Webseiten auf. Die ersten beiden Wege kann der jeweils eingesetzte Virenscanner sperren - den "Rest" muss der lokal installierte Client-Scanner abfangen, weshalb es unbedingt notwendig ist, diesen auf dem aktuellen Stand zu halten.

Fehler beim Entschlüsseln mit Signtrust & Trustcenter (TC Trust) Zertifikaten

In letzter Zeit kommt es zunehmend zu Meldungen, dass ausgehende verschlüsselte Mails vom Kommunikationspartner nicht entschlüsselt werden können

Ursache
Bei Analysen haben wir festgestellt, dass es sich dabei um Kommunikationspartner handelt, die Zertifikate der beiden Trustcenter "Trustcenter" (ehemals TC Trust) und "Signtrust" einsetzen. Beide Anbieter haben inzwischen den Betrieb eingestellt und mitgeteilt, dass ihre Zertifikate ungültig sind. Dies wurde technisch allerdings nicht wie üblich so realisiert, dass alle Zertifikate für "zurückgezogen" erklärt wurden. Stattdessen hat Trustcenter die ausstellenden CA-Zertifikate zurückgezogen, Signtrust die OCSP- und CRL-Responder deaktiviert.

Resultat
In beiden Fällen werden die Prüfergebnisse der Zertifikatsprüfung vom proGOV als "nicht ermittelbar" interpretiert.

Empfehlung
Wir empfehlen Ihnen zeitnah eine komplette Deaktivierung aller Schlüssel der beiden oben genannten Trustcenter. Die meisten Marktpartner haben schon neue Zertifikate an ihre Kommunikationspartner versendet. Wenn Sie diese bereits in den proGOV importiert haben, achten Sie bitte darauf, den Index der neuen Zertifikate auf "0" zu stellen.

BSI TR-ESOR Zertifizierung für proNEXT Archive Manager von procilon
NEWS - Jun 04, 2019 09:36 CEST

BSI erteilt TR-ESOR Zertifizierung für proNEXT Archive Manager

Das Bundesamt für Sicherheit in der Informationstechnik - BSI - hat erneut die Konformität der procilon Technologie zur Beweiswerterhaltung bestätigt.
symbolbild bnetza marktkommunikation
NEWS - Jan 16, 2019 11:34 CET

Weitere Anpassungen in der elektronischen Marktkommunikation durch Bundesnetzagentur

procilon-Zertifikate bestens positioniert

HABEN SIE TECHNISCHE FRAGEN?

Kontaktieren Sie unser Experten-Team.

  Support-Anfrage

  034298 4878-41

Hinweis: Durch die Nutzung der Website stimmen Sie der Verwendung von Cookies zu.