Smartcards gewinnen als Allround-Talente an Boden
Alles auf einer Karte
Die Karten sind neu gemischt und verteilt: Das Trio aus Smartcard, Lesegerät und Softwarelizenz ist je nach Abnahmemenge heute ab einen Preis von 30 Euro zu haben. Nicht nur im Business-Bereich, sondern auch in der öffentlichen Verwaltung setzt man deshalb vermehrt auf die smarten Karten mit Mehrwertfunktionen.
Neue Impulse für den Einsatz von Smartcards kommen derzeit aus vielen Richtungen. Der Trend zum
Identitäts- und Access-Management (IAM) puscht die intelligenten Chips. Single Sign-on (SSO), ein
Modul aus dem IAM-Softwarebaukasten, ruft förmlich nach einer stärkeren Absicherung der
Authentisierung, denn mit Kennwortschutz als alleiniger technischer Basis tut sich hier ein echtes
Risiko auf: Allein mit dem Besitz des Authentisierungspassworts für die Netzeingangskontrolle
erlangt ein Angreifer über SSO automatisch Zugriff auf alle Anwendungen des rechtmäßigen Users
(siehe hierzu auch LANline Spezial II/2006, Abschnitt "Identity Management"). "Deshalb denken die
meisten Unternehmen, die bereits in Richtung IAM aufgebrochen sind, über den Einsatz stärkerer
Authentisierungsverfahren wie Token oder eben Smartcards nach", registriert Norbert Drecker, Leiter
des Competence Centers bei Evidian in Köln, vor Ort bei den Kunden. Der Hersteller bietet mit
Access Master eine IAM-Lösung einschließlich SSO, Smartcard- und PKI-Unterstützung an. Die Karten
seien aufgrund mittlerweile lukrativer Preise die ausgemachten Favoriten für einen hoch sicheren
SSO, so Drecker. Unter anderem Anwender wie T-Mobil, T-Com und der Sonnenbank-Produzent Ergoline
setzten Smartcards ein, um darüber ihre kritischen Geschäftsinformationen besser abzuschirmen. "
Zudem", so Drecker, "steuern derzeit vor allem unsere Kunden aus dem Banken- und Sparkassenbereich
schnurstracks auf eine starke Authentisierung per Karte zu." Für die Aufbereitung – Hinterlegung
von Personenfotos, digitalen Identitäten und PIN – und die Bereitstellung der Mitarbeiterkarten
setzt er nochmals den gleichen Betrag wie für den Kauf der Kartenlösung einschließlich Lesegerät
und Softwarelizenz an.
Zusatzfunktionen motivieren
"Integrierte Zusatzfunktionen motivieren die Unternehmen zusätzlich, zu den kleinen Helfern im
Kreditkartenformat zu greifen", registriert Michael Stiegert, bei Siemens Communications im Bereich
Security verantwortlich für Smartcard-Technologie. Auch innerhalb der IAM-Architektur dieses
Herstellers, Hipath Sicurity Dirx Identity, passen sich die smarten Chipkarten nahtlos ein. Er
nennt, neben einer hochsicheren Zugangs- und Zugriffskontrolle, als integrierte Kartenfunktionen
mit Einsparungs- beziehungsweise produktivitätssteigernden Effekten:
Öffnen von Parkschranken,
Gelände- und Gebäudezutrittskontrolle,
automatische Arbeitszeiterfassung,
automatische Verschlüsselung von E-Mails,
elektronische Signatur von Dokumenten,
elektronische Börse für die Kantine und beispielsweise
integrierter Büchereiausweis.
Auch eine Verwaltung von Passworten kann die Smartcard integrieren, einschließlich der
Hinterlegung eines zentralen Backups. "Dann kann der Mitarbeiter, falls er seinen Ausweis verliert,
selbst eine Rekonstruktion seiner neuen Karte durchführen", so Stiegert.
Als besonders wichtig stellt Kerstin Sixt, Business Developer für die Branche Public Sector bei
Siemens Business Services Deutschland, für Unternehmen wie für Verwaltungen die elektronische
Signatur von Dokumenten heraus. "Sie bietet nicht nur mehr Sicherheit beim externen und internen
Schriftverkehr. Sie beschleunigt auch die Bearbeitungsprozesse und reduziert beträchtlich die
Bearbeitungskosten." So müssten in den Unternehmen unter anderem Warenbestellungen,
Auftragserteilungen, zu übermittelnde Handels- und zu archivierende Daten nicht länger oft mehrfach
von Hand unterschrieben werden. Auch beim Arbeiten an der elektronischen Akte mache sich für die
Behörden die digitale Unterschrift schnell bezahlt, ist Sixt überzeugt.
Für die Erteilung digitaler Identitäten, die Erzeugung von Zertifikaten – eine Kombination aus
öffentlichem und privatem Schlüssel – sowie die Hinterlegung privater Schlüssel und der Zertifikate
auf den Karten sieht Sixt PKI (Public Key-Infrastrukturen) und Trust Center stark im Kommen. Das
Zertifikat, repräsentiert durch den öffentlichen Schlüssel, ordnet den digitalen Identitäten
beglaubigte Eigenschaften wie E-Mail-Adresse, Name oder Anschrift zu. Gemeinsam mit Fujitsu Siemens
Computers und Siemens Communications baut Siemens Business Services innerhalb des Berliner
E-Government-Labors unter anderem die Kompetenzen im Bereich PKI und Trust Center aus. "In der
jüngsten Vergangenheit dauerte es mehrere Tage, eine Smartcard mit Zertifikat durch ein Trust
Center auszustellen. Heute ist die neue Signaturkarte in den Dienststellen binnen 15 Minuten
produziert und an den PCs einsatzbereit", rekapituliert Gerd Krüger, Leiter des E-Government-Labors
bei Siemens Business Services Deutschland.
Unter anderem nutzen die Deutsche Rentenversicherung Bund und die Deutsche Rentenversicherung
Rheinland die Trust Center-Leistungen des E-Government-Labors. Rund 60.000 Chipkarten, über die
sich die Mitarbeiter zweifelsfrei identifizieren, E-Mails verschlüsseln und Dokumente signieren
können, sind innerhalb beider Versicherungsanstalten im Umlauf. Zutrittskontrolle und Zeiterfassung
werden über den intelligenten Mitarbeiterausweis gleich mit abgewickelt. Im Hintergrund ebnet die
E-Card-Initiative der Bundesregierung den Weg dafür, die verschiedenen Kartenprojekte des Bundes in
den Bereichen Verwaltung, Steuer, Gesundheit und Arbeit zu synchronisieren und zu harmonisieren,
dadurch hier den qualifizierten signaturgesetzkonformen Karten zum Durchbruch zu verhelfen. Der
Siemens-Konzern selbst führt seine PKI über ein eigenes Tust Center. Diese Strategie hat, neben dem
Zugewinn an Sicherheit und Bearbeitungseffizienz über die kleinen Helfer, einen ganz pragmatischen
Grund: Sich der Dienste eines externen Trust Center zu bedienen, hätte den Einkauf von 440.000
Zertifikaten für sämtliche Mitarbeiter nach sich gezogen.
Zertifikatskosten schrecken noch ab
Die Gebühren für ein qualifiziertes, zum Signaturgesetz konformes Zertifikat liegen derzeit bei
knapp unter 20 Euro im Jahr. Kompetenz-Center-Leiter Drecker hat deshalb Verständnis dafür, dass
zumindest die meisten Unternehmen zu einer PKI und Trust Center-Dienstleistung noch auf Abstand
gehen, statt dessen mit PIN arbeiten und die sensiblen Kartendaten per symmetrischem
Verschlüsselungsverfahren wie DES (Data Encryption Standard) oder 3DES sichern. Er gibt allerdings
den Entscheidern zu bedenken, dass für diese Art des Karteneinsatzes verbindliche Standards wie im
PKI-Umfeld X.509 und PKCS 11 (Public Key Cryptography Standards) fehlten." Dafür sei der
Programmieraufwand, zusätzlich die Geschäftsanwendungen für eine Autorisierung über Zertifikate
PKI-fähig zu machen, beträchtlich. Dieser Aufwand sei aber notwendig, wenn man nicht nur die
Netzeingangskontrolle sondern auch den SSO mit der automatischen Kombination von Authentisierung
und Autorisierung über eine PKI führen wolle, so Drecker weiter.
Michael Stiegert von Siemens Communications qualifiziert Smartcards innerhalb einer PKI,
gegebenenfalls den Abruf externer Trust-Center-Dienste, als "Sicherheitslösung mit Zukunft". Bis es
soweit ist, sei der Einsatz von Smartcards mit hinterlegten Passworten gerade für Unternehmen der "
ideale Einstieg". "Der Schritt in die Public Key-Infrastruktur kann dann später mit der
Hinterlegung des privaten Schlüssels im Hochsicherheitsbereich der Karte und dem Abruf von
Zertifikaten und der dazugehörigen öffentlichen Schlüssel vollzogen werden", ergänzt Stiegert Bis
dahin stünde einer effizienten Eigenverwaltung der Smartcards einschließlich sämtlicher darauf
angesiedelten Funktionen nichts im Wege. "Mit jeder zusätzlichen Funktion, die die Chipkarte in
Form einer Smartcard übernimmt, ist das zentrale Kartenmanagement mehr gefragt", sensibilisiert er
die Entscheider. Er verweist dazu auf die Anforderung, den Lebenszyklus der Karte zu verfolgen. Der
erstrecke sich vom Rohling, über die Initialisierung, Personalisierung, Ausgabe einschließlich
Identitätsprüfung, zwischenzeitlichen Sperrungen bis hin zum Ablaufende. Auch die Überwachung der
Lebenszyklen einzelner Kartenfunktionen sei meist unumgänglich. "Die Funktionen müssen bei Ablauf
der alten Karten gegebenenfalls sofort für die neue bereitstehen", erläutert der Manager. Als
Beispiel nennt er das Gültigkeitsende eines Zertifikats, ohne dass dadurch die Bezahlfunktion in
der Kantine ausgesetzt wird.
Für die eigentliche Verarbeitung sind nicht die Kartenfunktionen, sondern die zugeordneten
Anwendungssysteme auf den Servern zuständig. Sie müssen auf den Smartcard-Einsatz angepasst werden.
"Diese Verarbeitungsdelegation hat für das Unternehmen einen spürbaren Kostenvorteil", so der
Smartcard-Verantwortliche von Siemens Communications: "Der Aufwand für das zentrale
Kartenmanagement hält sich dadurch in Grenzen."
Info: Evidian Tel.: 02203/305-1387 Web: www.evidian.de
Info: Siemens Communications Tel.: 0 89/722-31263 Web: www.siemens.com
Info: Siemens Business Services Tel.: 089/636-52749 Web: www.siemens.com
Info: Unilog Avinci Tel.: 06196/7742-0 Web: www.Unilog.de
Lesen Sie mehr zum Thema
