Biometrische Daten nur auf Chipkarte speichern

Der Ausweg aus dem Passwort-Wirrwarr in den Unternehmen ist ein automatisiertes Single-Sign-On-System, bei dem der Nutzer sich nur ein einziges Passwort quasi als Generalschlüssel merken muss. Die Genierung der einzelnen Zugangsdaten für die Applikationen übernimmt das SSO-System nach Eingabe des Generalschlüssels automatisch, wobei der Nutzer seine Zugangsdaten zu den einzelnen Anwendungen sich gar nicht mehr merken muss. Über diesen Weg können erheblich komplexere Passwörter und kürzere Wechselzyklen genutzt werden, welches merklich zur Steigerung der Unternehmenssicherheit beiträgt. Ein derartiges SSO-System kann durch die Verwendung einer Chipkarte (2-Faktor-Prinzip) noch einmal sicherer gemacht werden. Der Zugang zu dieser Karte kann über ein Passwort oder ein biologisches Merkmal des Nutzungsberechtigten (oder auch beides in Kombination) gesteuert werden. Bei einer internationalen Großbank, die wir hier leider nicht nennen dürfen, ist seit Ende 2007 ein Biometrie-SSO für 30 Applikationen mit 1500 Nutzern im Einsatz. Als biometrisches Merkmal wird der Fingerabdruck benutzt. Dieses wird aber nicht zentral gespeichert, vielmehr wird der aktuelle Abdruck des Nutzers mit seinem auf der Chipkarte gespeicherten Abdruck verglichen (sogenanntes Match on Card). Durch das SSO-Projekt sollen zum einen Helpdesk-Kosten eingespart werden (Passwort-Rücksetzung im Selbstbedienungsmodus), zum anderen dient das System aber auch einer konsequenten Umsetzung der Sicherheitsrichtlinien der Bank beim Zugang zu den IT-Systemen. »Das Speichern der biometrischen Daten nur auf der Chipkarte des Anwenders ist der beste Schutz gegen ein unkontrolliertes Verbreiten der Daten im Unternehmen«, meint Carsten Muck, SSO-Spezialist beim Düsseldorfer IT-Beratungshaus RDS. Eine Speicherung zentral auf einem Server oder einer Appliance, wie es viele Unternehmen machten, so Muck, sei ein potenzielles Sicherheitsrisiko, vor allem dann, wenn das entsprechende Gerät nicht vollständig verschlüsselt sei.