2-Faktor-Authentisierung
Smartphone statt Smartcard
Zum wahren Flaggschiff der Authentisierung in Unternehmen hat sich die Smartcard etabliert. Allerdings verfügen immer weniger Businessgeräte der PC-Hersteller über fest verbaute Kartenleser und machen unbequeme, externe Kartenleser notwendig.
Wachsende Sicherheitsanforderungen
Im Rahmen der digitalen Transformation von Unternehmensprozessen, haben heutzutage immer mehr Benutzer – ob nun Mitarbeiter, Partner, Dienstleister oder Kunden – Zugriff auf die Systeme und Anwendungen des Unternehmens. Die Zugänge und die Zugriffsmechanismen nehmen rasant zu, da immer mehr Systeme und Anwendungen in der Cloud betrieben werden, oder von dort zugänglich sein müssen. Die Angriffsvektoren verschieben sich dabei deutlich. Die Identität der Benutzer ist daher ein neuer, wesentlicher Sicherheits-Perimeter und eine starke Benutzer-Authentisierung ist folglich unverzichtbar für die Sicherheit jeder Organisation. Standard für die Authentisierung eines Benutzers gegenüber eines Systems oder einer Anwendung ist noch immer die Benutzung von Benutzername und Passwort. Dass dies ineffektiv und längst nicht mehr ausreichend ist, ist dabei allgemein bekannt. Schon vor 14 Jahren riet Bill Gates nicht mehr auf simple Passwörter zu vertrauen, da sie damals schon nicht mehr den Sicherheitsanforderungen standhielten. Heute lassen sich die meisten Passwörter durch Angreifer innerhalb weniger Sekunden knacken. Der Bitkom hat beispielsweise eine Studie veröffentlicht, die besagt, dass 2016 bereits jeder zweite Deutsche Opfer eines Cyberangriffs wurde.
Die Smartcard gerät zunehmend unter Druck
Zur Verbesserung der Benutzer-Authentisierung gilt heute eine 2-Faktor-Authentisierung als probates Mittel, um das Risiko eines Identitätsdiebstahls zu minimieren. Das Ziel dieser Authentisierungs-Methode ist es, das Vertrauen in die Identität eines Anwenders dadurch zu stärken, dass zwei unterschiedliche und voneinander unabhängige Faktoren zur Überprüfung der Identität herangezogen werden. Diese Faktoren resultieren in der Regel aus mehreren Komponenten: Aus etwas, was der Benutzer besitzt (Besitz) und etwas, was er kennt (Wissen) oder einer charakteristischen Eigenschaft (biometrische Merkmale). Viele Unternehmen setzen dabei auf eine Smartcard-basierte Authentisierung. Die Kombination der dedizierten Hardware einer Smartcard mit Benutzer-Zertifikaten und einer PIN, stellt eine der sichersten Methoden für die Authentisierung dar. Smartcards sind daher mittlerweile weit verbreitet und gelten als de-facto-Standard bei entsprechend hohen Sicherheitsanforderungen. Sie gelten als sehr sicher. Ideal sind sie darum noch lange nicht – schon allein, da die Kosten für die Beschaffung, Personalisierung, Verteilung und Verwaltung recht hoch sind. Und nicht nur das, Smartcards überzeugen auch mit Blick auf die Usability nicht abschließend, denn: Ein immer geringerer Anteil der Businessmodelle der PC-Hersteller besitzen fest verbaute Kartenleser und machen unbequeme externe Kartenleser notwendig. Bei Tablets und Smartphones ist dies aufgrund fehlender USB-Ports sogar meist gar nicht möglich. Die Anwendung ist also nicht sehr komfortabel und daher bei Usern nicht sonderlich beliebt.
Schutz vor Identitätsdiebstahl
Unternehmen suchen folglich nach einer Authentifizierungs-Lösung, die Sicherheit auf dem Niveau einer Smartcard bietet, aber keinen zusätzlichen physischen Authentikator erfordert. Die Lösung soll zudem Unabhängigkeit von komplexen Passwörtern ermöglichen und möglichst bequem für den Anwender sein. Die richtige Balance zwischen Benutzerfreundlichkeit, hohem Sicherheitsniveau und geringen Kosten zu finden, ist nicht leicht. Um den Komfort für den Benutzer zu verbessern, gibt es mittlerweile eine Reihe von Produkten, welche das allgegenwärtige Smartphone als Faktor für die Authentisierung nutzen. Allerdings bewegen sich diese Lösungen meist nicht auf dem Sicherheitsniveau einer Smartcard, da keine Benutzer-Zertifikate zur Anmeldung benutzt werden. Die Einführung der sogenannten eSIM bzw. eines Secure Element (siehe Infokasten) in modernen Smartphones, stellt jetzt neuerdings jedoch eine dedizierte Hardware (ähnlich wie bei der Smartcard) im Smartphone zur Verfügung. Erste Lösungen, wie das Produkt APIIDA Mobile Authentication des Anbieters APIIDA AG, nutzen daher das Secure Element eines Smartphones für den Ablageprozess eines Benutzer-Zertifikats. Das Smartphone wird damit zur Alternative für die Smartcard und kann transparent in eine bestehende Zertifikats-/PKI-Infrastruktur eingebunden werden. Die Lösung ist dabei gleichzeitig kostengünstiger und bietet eine hohe Benutzerfreundlichkeit und -akzeptanz.
Fazit
Mit Blick auf die zunehmenden Sicherheitsanforderungen, suchen Unternehmen dringend nach Lösungen, die gleichzeitig kostengünstig, praktikabel und nutzerfreundlich sind. Die Smartcard wird diesen Anforderungen dauerhaft nicht standhalten können. In den Fokus rücken nun vielmehr Alternativen, die ein der Smartcard ähnliches Sicherheitsniveau schaffen und gleichzeitig in punkto Usability und Kosteneffizienz überzeugen.
Sebastian Rohr ist CTO bei APIIDA
- Smartphone statt Smartcard
- Hintergrund: So funktioniert die eSIM
Lesen Sie mehr zum Thema
