Identität für mobile Geräte
Herausforderung mobile Sicherheit
Eine der großen Herausforderungen in der IT ist heute die Sicherheit von mobilen Endgeräten. Letztlich sind diese, hart formuliert, ungefähr auf dem Stand der ersten PCs, die Mitte der 80er-Jahre in Netzwerke eingebunden wurden. Mit einem kleinen Unterschied: Die Geräte sind portabel, und man kann ungleich mehr Informati-onen darauf speichern. Intel hat sich nun in Zusammenarbeit mit Partnern wie BT und HP dieser Herausforderung angenommen und das Konzept der "Identity Capable Platform" (ICP) entwickelt.
Das große Problem bei der mobilen Sicherheit besteht heute darin, dass die Identität primär am
Gerät hängt. Es existiert keine starke Authentifizierung und es gibt keine einfache Möglichkeit,
dass sich unterschiedliche Benutzer an ein und demselben Gerät authentifizieren.
Ein Benutzer authentifiziert sich heute meist mit einer PIN. Diese muss aber jeder Benutzer des
gleichen Geräts verwenden. Gleichzeitig gibt es nur einen Satz von – meist minimalen –
Identitätsinformationen zu diesem Benutzer. Dies wird aber spätestens dann zum Problem, wenn man
einerseits über sein mobiles Gerät auf Dienste eines Telefonie-Providers und andererseits auf
Anwendungen des eigenen Unternehmens zugreift. Man agiert dann mit unterschiedlichen Identitäten.
Nur: Die heutigen Systeme unterstützen dies nicht.
Zielsetzung der ICP
Die Zielsetzung der ICP ist der Zugriff zu jedem Zeitpunkt, an jedem Ort und mit jedem Gerät. Da
dieser aber, vor allem beim Zugang zu kostenpflichtigen Diensten von Providern oder beim Zugriff
auf Business-Anwendungen im Unternehmen, auch sicher sein muss, muss man auch die Identitäten der
Benutzer beherrschen. Dazu wird im Konzept der Plattform auf den Geräten ein Identity Manager
implementiert. Dieser verwaltet eine oder mehrere "manageable Identities". Diese können
provisioniert oder lokal verwaltet werden. Die Administration ist in der Lage, sie bei Bedarf auch
zu deaktivieren, und der Zugriff darauf wird über Richtlinien gesteuert. Dabei wird ein kleiner,
feiner Unterschied zwischen den Benutzern und den Identitäten gemacht. Ein Benutzer kann Zugriff
auf eine oder mehrere Identitäten haben, die sich wiederum für unterschiedliche Einsatzbereiche –
beispielsweise das Zusammenspiel mit dem Provider und mit dem Unternehmen – nutzen lassen.
Ein weiteres wichtiges Element in dem Konzept ist die Unterstützung für starke
Authentifizierungsmechanismen. Dazu zählen beispielsweise Fingerabdrücke. Gerade bei mobilen
Geräten liegt die Herausforderung darin, einen gleichermaßen einfachen wie sicheren und
individuellen Ansatz zu finden, um einzelne Benutzer zuverlässig authentifizieren zu können.
Alles dies kann die Identity Capable Platform – und liefert damit die Basis für neue
Nutzungsmodelle von mobilen Geräten. Denn überall dort, wo Sicherheit heute ein Problem ist, das
die Nutzung von mobilen Systemen erschwert oder sogar verhindert, wird die Integration von Identity
Management auf der Geräteebene dafür sorgen, dass der Administrator in der Lage ist,
Anwendungsszenarien umzusetzen, von denen er bisher lieber die Finger gelassen hat. Dies
verdeutlicht auch, wie wichtig Identity Management für das Business ist. Denn ohne Identity
Management wird es kein sicheres Business geben.
Die Rolle der Identity Federation
Eine der Herausforderungen bei solchen Systemen ist die Bereitstellung der Identitäten. Dazu
werden zwei Dienste benötigt. Einer ist der Identity Provider, der andere ist der Provisioning
Service. Der Identity Provider ist das System, das Identitätsinformationen verwaltet und auch eine
Authentifizierung innerhalb einer Federation-Beziehung übernehmen kann. Der Provisioning Service
wird verwendet, um Identitätsinformationen auf das mobile System zu liefern.
Um eine Identität auf einem mobilen Gerät bereitzustellen, wird vom Identity Provider eine
entsprechende Information an den Provisioning Service gegeben. Außerdem wird eine Referenz an das
System mit der ICP gesendet. Dort kann der lokale Identity Manager vom Provisioning Service die
Identitätsdaten anfordern und als eine der verwalteten Identitäten auf seinem System speichern.
Für diese Bereitstellung von Identitätsinformationen greift Intel auf das ID-WSF-Framework für "
Advanced Client Technologies" der Liberty Alliance zurück, an dem der Chefarchitekt der ICP
wiederum federführend mitgearbeitet hat. Der Provisioning Service ist dabei aus Federation-Sicht
ein Service-Provider, der im Zusammenspiel mit einem Identity Provider Identitätsinformationen
liefert.
Identitäten zentral verwalten
Wichtig bei dem Konzept ist auch, dass man Identitäten zentral verwalten und einfach für
unterschiedliche Geräte bereitstellen respektive Informationen zwischen Geräten austauschen kann.
Damit wird beispielsweise der Austausch eines digitalen Geräts einfacher. Und Benutzer, die
verschiedene Geräte nutzen, haben es ebenfalls sehr viel einfacher. Aktuell steckt die Identity
Capable Platform noch in der frühen Erprobungsphase. Aber die Entwicklung wird hier, schon durch
den Anwendungsdruck, sicherhlich schnell vorangehen. Sie hat in jedem Fall das Potenzial, die
Sicherheit von mobilen Endgeräten und ihre Einsetzbarkeit für Business-Anwendungen wie für
abrechenbare Dienste von Telekommunikationsunternehmen und ihren Partnerunternehmen deutlich zu
verbessern.
Lesen Sie mehr zum Thema
