Mit Smartcards auf Nummer Sicher – Die Zeit ist reif für neue Authentisierungsmittel. Kombiniert mit weiteren Sicherheitstechnologien entstehen interessante neue Möglichkeiten.

Eine verteilte Firmenaufstellung, mehr Online- Partnerbeziehungen und ein expandierendes Internet-Geschäft: Der ortsunabhängige Zugriff auf Unternehmensressourcen wird immer wichtiger. Nur wie steht es um die Sicherheit der Daten und Prozesse innerhalb des sich stetig erweiternden Geschäftsradius? Insider sehen angesichts dieser Entwicklung die Zeit für den Einsatz sicherer Smartcards gekommen. Zumal ihnen diese Multifunktionskarten außer einer sicheren Authentisierung und Autorisierung für die Zielsysteme viele weitere Sicherheits- und geldwerte Vorteile eröffnen.

Der Zugangsschutz allein über Passwörter ist nicht mehr zeitgemäß. So warnt der Gartner- Analyst John Girard davor, dass mit im Markt frei zugänglichen Entschlüsselungs-Tools selbst längere Passwörter geknackt werden können.

Auch deshalb, so die Einschätzung des Experten, sei die Zeit reif für stärkere Authentisierungsmittel wie Smartcards, Sicherheits-Token oder Biometrie.Durch ständig sinkende Preise für das Dreigestirn aus Lesegerät, Karte und Softwarelizenz wächst in den Unternehmen zusätzlich die Bereitschaft, zur Sicherheit von Geschäftsdaten und -prozessen auf Chipkarten besser aufMultifunktionskarten umzuschwenken. Die »smarten « Chipkarten sorgen auch bei digitalen Signaturen für Sicherheit, und das bei einer ständig wachsenden Anforderung an die Länge des Schlüssels.Einige Hersteller,wie Siemens mit ihrem Smartcard-Betriebssystem »HiPath Card OS«, erfüllen mit 2048 Bit langen RSA-Schlüsseln bereits heute einen Sicherheitsstandard, den der Gesetzgeber erst für das Jahr 2010 bindend für rechtsverbindliche digitale Signaturen vorsieht.

Multifunktionaler Mehrwert

Das Telemedizin-Portal Bayern, kurz »Tempo- By«, ist nur ein Beispiel für einen sicheren Smartcard- Einsatz. Personen erhalten nur Zugriff auf medizinische Dokumente, wenn sie sich zusätzlich zu ihrer Karte mit ihrer PIN als berechtigt ausweisen. Der Schlüssel für die Kodierung der Kommunikationsverbindung ist ebenfalls auf der Kreditkarten-großen Karte hinterlegt. Die starke Verschlüsselung des sensiblen Dokumententransfers erfolgt dadurch automatisch.

Die Erstellung und Verwaltung der Karten wird bei Tempoby zentral abgewickelt. Das hat den Vorteil, dass sie zum Beispiel bei Verlust schnell gesperrt werden können. Zudem sind Multifunktionskarten dazu in der Lage,weitere, für die Unternehmen wichtige Sicherheits- und geldwerte Vorteile beizusteuern.

Das integrierte Anwendungsspektrum reicht vom Öffnen von Parkschranken, Toren und Türen, Verschlüsselung von E-Mails und Voice-over-IPSprachströmen über die automatische Zeiterfassung und elektronische Signatur von Dokumenten bis hin zur vereinfachten Reisekostenabrechnung, der Verfolgung von Leihgütern und integrierten Geldbörse. Allein das Einsparungsund Beschleunigungspotenzial der elektronischen Dokumentenunterschrift kann beachtlich sein. Der Siemens-Konzern, beispielsweise, hat in manchen Abläufen darüber Kosten- und Zeiteinsparungen von 90 Prozent erreicht.

IAM als Motor

Im Hintergrund motiviert eine weitere Sicherheitstechnologie, Identity- und Access-Management (IAM), zu einem breiteren Smartcard- Einsatz. Das Prinzip von IAM: Alle personenbezogenen Daten der Teilnehmer sowie ihre Zugangs- und Nutzungsrechte werden zentral verwaltet.Von hier aus werden alle Informationen automatisch mit den Directories der angeschlossenen Zielsysteme synchronisiert. Sämtliche Einträge sind unternehmensweit immer auf dem aktuellen Stand und damit konsistent. Das schließt »Eintragsleichen« als gefährliche Sicherheitslücken ebenso aus wie nicht aktuelle Zugriffsrechte.Parallel werden durch diese zentrale Verwaltung in IAM die Administrationsaufwände im Unternehmen drastisch reduziert.

Allein durch eine zentrale Identitäten- und Rechteverwaltung einschließlich einer vereinfachten Rechtebereitstellung über Rollen sei eine Kostenreduzierung von 30 Prozent und mehr möglich, schätzt Ray Wagner,Senior Consultant im Bereich Security Strategies bei Gartner, ein.

Entsprechend der vielen Vorteile von IAMLösungen fällt auch die prognostizierte Marktentwicklung für diese Technik positiv aus.Nach einer Studie aus dem Frühjahr 2005 von Meta Group, mittlerweile Gartner, soll der Markt für Identity- und Access-Management bis 2007 im Jahresdurchschnitt um 16,5 Prozent wachsen. IDC veranschlagt für dieses Segment bis 2009 durchschnittliche Wachstumsraten von rund 12 Prozent.Danach würde der IAM-Markt 2009 eine Größenordnung von 4 Milliarden Dollar erreichen.

Gut kombiniert

Kombiniert mit Identity- und Access-Management spielen Smartcards voll ihre Vorteile aus. Die staatliche Universität von Delaware in den USA, beispielsweise, wird mit Unterstützung von Siemens ihre 1800 Studenten, 650 Fakultätsmitglieder, alle anderen Angestellten sowie Hunderte von externen Studenten mit Smartcards ausstatten. Die individualisierten Karten steuern sowohl den Zugang zu Einrichtungen als auch zu IT-Systemen. Dadurch werden traditionelle Mittel zur Identifizierung wie Lichtbild-Ausweise, ID-Aufkleber für Autos, Bewegungsmelder, einfache Schlüssel oder Besucherpässe sowie umfassende Sammlungen von Passwörtern ersetzt werden können. Die Hipath-Metadirectory-Lösung erlaubt die zentrale Verwaltung der Daten und unterstützt die zentrale Administration, so dass jede Änderung eines Datensatzes in andere Verzeichnisse und IT-Anwendungen der gesamten Universität übernommen wird.

Anschub durch SSL-VPN

Und noch eine Technik wird den Einsatz von Smartcards weiter interessant machen. Das SSLVPN kann – anders als ein IPSec-VPN – nahtlos mit dem Identity- und Access-Management zusammen spielen. Es erlaubt, verschlüsselte Ende-zu-Ende-Tunnel bis in die Zielsysteme hinein – mit direkter Übergabe an die Zugriffskontrolle. Die Voraussetzung dafür: die Zielsysteme müssen Web-fähig sein. Bevor Unternehmen die kombinierte Lösung von SSL-VPN und IAM-Lösung nutzen können, müssen sie allerdings dafür sorgen, dass die Authentisierung der Geschäftsteilnehmer besonders stark ist und nicht allein auf ein Passwort vertraut.Andernfalls hätte ein Angreifer über das Single-Sign-on-Modul der IAM-Lösung schnell Zugriff auf alle Zielsysteme, für die der reguläre Teilnehmer eine Berechtigung hat. Smartcards bieten diese starke Authentisierung. Zumal der elektronische Schlüssel auf der Karte bei Bedarf mit biometrischen Merkmalen kombiniert werden kann.

Mit welcher Macht sich SSL-VPNs im Markt verbreiten,macht eine Prognose von IDC deutlich. IDC sieht für diese Technik bis 2009 durchschnittliche Jahreszuwächse beim Umsatz von 35 Prozent voraus. Zum Vergleich: Der VPN-Gesamtmarkt soll nach Meta Group/Gartner in den nächsten Jahren im Schnitt lediglich um rund 5 Prozent zulegen.

Abgerundet über Managed-Security-Services

Eine Gesamtlösung für IT-Sicherheit muss auch Werkzeuge wie VPN, Firewall, Intrusion-Detection, Virenschutz, E-Mail-, Spam- und Content-Filter integrieren. Da diese Sicherheitswerkzeuge nicht über eine IAM-Lösung mit verwaltet werden können, lohnt für die Unternehmen der Zugriff auf externe Managed- Security-Services. In diesem Fall überwachen die Experten des Dienstleisters rund um die Uhr das Firmennetz. Sie stellen den laufenden Betrieb sicher und steuern Eindringversuchen entgegen. Zudem schließen Managed- Security-Services die notwendigen Updates und Patches für die Sicherheitswerkzeuge ein, um alle Systeme auf dem aktuellen Stand zu halten.Dienstleister wie Siemens erledigen diese Anforderungen im Hintergrund.

Sämtliche Dienste werden Controllingfreundlich über eine fixe monatliche Gebühr abgerechnet. Sie fällt in der Regel deutlich niedriger aus als der Kostenaufwand verbunden mit dem Eigenbetrieb – Anschaffung, Installation, Konfiguration,Administration,Updates, Remote-Control,Wartung, Schulung, Erweiterung, Weiterentwicklung – der Sicherheitswerkzeuge. Einsparungen von bis zu 30 Prozent sind für die Unternehmen über Managed- Security-Services möglich.

Solche Argumente haben auch die Bayern Express & P. Kühn Berlin (BEX) zur Einführung von Managed-Security-Services bewogen. 25 Standorte unterhält das Touristikunternehmen, das gerade wegen der zunehmenden Nutzung von E-Mail und dem Anstieg von Internet-Buchungen keine unnötigen Risiken eingehen wollte. Ohne eigene IT-Abteilung führte der Königsweg für das Unternehmen über Managed-Security-Services direkt zu Siemens. Alle Standorte wurden per VPN mit der Zentrale verbunden und die Zentrale über eine Checkpoint-Firewall-1 ans Internet anschlossen. Auf dieser Basis wurde eine Managed-Security-Service-Lösung mit allen zusätzlichen Sicherheitswerkzeugen aufgesetzt.

Elmar Rothenwöhrer,
Leiter des Geschäftszweigs Sicherheitslösungen für Unternehmenskunden,
Siemens Communications
elmar.rothenwoehrer@siemens.com