Speicher- und Sicherheitslösung kombiniert
Auf dem Weg zum Super-Token
Tragbare Speichermedien hatten im Bereich Datensicherheitslösungen lange Zeit nur eine einzige Aufgabe: starke Authentifizierung. Die ersten Ausführungen, die eine Zwei-Faktor-Authentifizierung ermöglichten, waren One-Time-Password-Geräte (OTP) und Smartcards. Heute vereinen diese Devices immer mehr Funktionen in einem Gehäuse und entwickeln sich zu universellen Security-Geräten.
Smartcards konnten schon früh kleine Mengen an verschlüsselten Daten aufnehmen, etwa um mehrere
Passwörter für einzelne Applikationen zu speichern. Dies war ein kleiner Anfang auf dem Weg zu
Multifunktions-Devices. Inzwischen nehmen die Karten auch RFID-Chips und Barcodes auf, um den
Zutritt zu Gebäuden zu sichern. Fotos und Personalnummern lassen sich darauf drucken, damit die
Karten auch als Firmenausweis dienen können.
Ein weiterer Fortschritt in der Entwicklung von Smartcards war die Möglichkeit, kleinere
Applikationen von diversen Herstellern auf der gleichen Karte zu betreiben. Dies wurde durch
Smartcard-Multi-Application-Betriebssysteme wie etwa Javacard oder MultOS ermöglicht. Damit war der
Weg frei für den Einsatz einer Firmen-PKI, die zusammen mit den Smartcards für den OTP-Zugriff von
außen eingesetzt werden konnte. Zusätzlich gelang es, kleine Datenmengen auf den Karten zu
speichern.
Diesen Fortschritten zum Trotz existierten weiterhin Einschränkungen. Der verfügbare
Speicherplatz war winzig im Vergleich zu den heutigen Standards (etwa 4 kByte bis 32 kByte).
Obendrein war der Speicherplatz meist bestimmten Applikationen vorbehalten. Obwohl die Karte an
sich mobil war, konnten die Geräte für gewöhnlich nur dort benutzt werden, wo man Kartenleser,
Middleware und/oder entsprechende Treiber installiert hatte. Falls ausführliche Verifizierungen
gewünscht oder nötig waren, zum Beispiel biometrische, mussten eigenständige biometrische Sensoren
installiert werden.
Durchbruch dank USB
Vor einigen Jahren erschienen dann Mehrfunktionsgeräte, die an einen Standard-USB-Port
angeschlossen werden. Dasselbe Gerät kann OTPs anzeigen und PKI-Funktionen enthalten oder mit
Flash-Speicher in einem integrierten Smartcard-Baustein ausgestattet sein.
Diese Geräte erweiterten die Reichweite tragbarer Sicherheitslösungen auf neue Umgebungen und
Applikationen, was den Multi-Application-Smartcards zuvor nicht gelang. Mitarbeiter können nun zum
Beispiel auch fremden PCs aus Zugriff auf einen Remote-Server erhalten, ohne einen Treiber oder
auch nur Middleware für eine Smartcard zu haben. Integrierte Zero-Impact-Lösung erlauben es, in
einem derartigen Szenario ein OTP auf dem Gerätedisplay anzuzeigen. Es kann ins Fenster des
aufgerufenen Servers eingetippt werden kann – ohne dass das Gerät elektronisch mit dem Zielsystem
oder dem lokalen Client verbunden werden müsste. Größere Flash-Speicher erlauben es außerdem,
Sicherheitsanwendungen wie etwa Remote-Access-Clients oder mobile Browser auf dem gleichen Gerät
mitzuführen, das auch die PKI-Berechtigungen beherbergt.
Super-Tokens bieten weitere, handfeste Vorteile sowohl für den Endbenutzer wie auch für
Organisationen:
Convergence: Die Verschmelzung mehrere Geräte in eines verringert den Verwaltungsaufwand.
Gleichzeitig ermöglichen Fortschritte bei den Bereitstellungssystemen die zentrale Verwaltung von
Zertifikaten, Schlüsseln, oder anderen digitalen Zugriffsrechten. Hieraus ergeben sich signifikante
Kosteneinsparungen.
Universal Coverage: Unternehmen sollten nicht vor der Entscheidung stehen müssen, welche
Anwendungen in einer Sicherheitsumgebung verwaltet werden sollten und welche nicht. Zum Beispiel
sollte der Zugriff zu einer via PKI zugänglichen Anwendung nicht limitiert werden oder mit
niedrigeren Sicherheitsstufen betreiben werden müssen, nur weil das Gerät nicht jede gewünschte
Funktion unterstützen kann. Super-Tokens sind meist flexibel genug, die unterschiedlichsten
Sicherheitslösungen auf unterschiedliche Weise zu unterstützen.
Simplicity: Die Zusammenfassung in einem Gerät erspart es dem Anwender, mehrere Devices mit sich
zu führen. Meist ist der Zugriff auf gesicherte Anwendungen in nur einem Schritt erledigt.
Sicherheitsanwendungen für den Endbenutzter zu vereinfachen, bedeutet, dass diese sich auf ihre
Arbeit konzentrieren können und sich nicht um Sicherheitsprotokolle kümmern müssen. Dadurch werden
auch unnötige Fehler vermieden.
Der Markt verlangt nach einer vollkommen portablen Sicherheitslösung. Manchmal wird dies als "
Zero-Footprint-? oder "Zero-Impact"-Ansatz bezeichnet. Technisch strebt man eine Lösung an, die
ohne Installation von Software (oder mittels "Silent Install" im Hintergrund) und ohne besondere
Privilegien (wie etwa Administratorrechte) auf dem lokalen Rechner läuft. USB-Flash Speicher lassen
sich an jede Plattform anschließen, ob Mac, Linux oder Windows, denn ihr Gebrauch ist
standardisiert. Ein weiterer USB-Class-Treiber für Smartcard Unterstützung, CCID, entwickelt sich
ebenfalls bereits zur Standardkomponente. Dadurch, dass die Plug-and-Play-Treiber auf dem
systemeigenen Betriebssystem grundsätzlich vorhanden sind, wird Universalität der Technik erst
real.
Heute gibt es bereits Speicherlösungen, die folgende Funktionen auf einem einzigen Gerät
anbieten:
Kryptografische Funktionen (sowohl symmetrische als auch asymmetrische) für
PKI, OTP und andere Aufgaben,
starke Anwenderuthentifizierung auf mit einem eingebauten
Fingerabdruck-Scanner, Gerätepasswörtern oder einer Kombination von Biometrie und Passwort
(Zwei-Faktor-Authentifizierung), Hardwareverschlüsselung (AES 256 Bit) und hohe
Speicherkapazität,
Unterstützung für hochseichere Protokolle wie etwa SAML und WS Trust,
Festplattenpartitionen, um mobile Applikationen mitzuführen und
eingebettete RFID-Chips für die physische Sicherheit.
Dies ergibt beispielsweise folgende Liste an gleichzeitig verfügbaren Applikationen und
Anwendungsmöglichkeiten für nur eine Super-Token-Speicherlösung:
Zertifikat-basiertes Windows-Login,
digitale E-Mail-Signatur und Datenverschlüsselung,
Internet-Login per OTP oder Zertifikat,
starke Zwei- oder Drei-Faktor-Verifizierung für Remote Access durch VPN,
starke Verifizierung für Preboot-Verschlüsselung ganzer Festplatten,
starke Authentifizierung für Enterprise Single-Sign-on,
sicherer Transport von Daten,
Mitnahme mobiler Applikationen wie sichere Browser und E-Mail-Clients,
Mitnahme von kompletten Betriebssystemen für eine Ausführung auf virtuellen
Maschinen und
Booten in ein gesichertes Betriebssystem per USB.
Manche Applikationen sind allerdings einfach nicht darauf ausgelegt, mit einem Sicherheitssystem
zu funktionieren, solange die Komponenten nicht registriert und auf dem System installiert sind.
Dies ist zum Beispiel beim Microsoft Crypto-API der Fall. Eine Sicherheitslösung für
Client-Side-Zertifikate im Internet Explorer oder E-Mail-Signaturen in Outlook lässt sich ohne
Installation eines CSPs (Crypto Service Provider) auf dem System nicht umsetzen. Um dennoch
Mobilität zu gewährleisten, verlangt die Umgehungslösung danach, einen anderen Browser und
E-Mail-Client zu benutzen.
Ein weiterer Faktor, der beim Gebrauch von Super-Tokens berücksichtigt werden muss, sind die
Anforderungen an die Verwaltung. Dadurch, dass mehr Funktionalität und digitale Identitäten auf
einem einzigen Gerät vorhanden sind, gibt es auch mehr zu managen – auch wenn die Reduktion der
Gerätezahl erst einmal Entlastung bringt. Um die Arbeit für den Administrator zu vereinfachen,
sollte die Gerätemanagementsoftware in andere Verifizierungssysteme wie zum Beispiel
Zertifikatautoritäten und OTP-Ausgabeserver integriert werden.
Je mehr Sicherheitsapplikationen auf dem Super-Token aufbauen, umso eher könnte das Blockieren
oder der Verlust eines Geräts einen negativen Einfluss auf die Produktivität des Mitarbeiters
haben. Aus diesem Grund müssen eine adäquate Help-Desk-Unterstützung und Vorgehensweisen für
Problemfälle festgelegt werden.
Lesen Sie mehr zum Thema
