Die französische IT-Sicherheitsfirma Mobilegov hat mit »Secured Access Web Services« (SAWS) eine Technik entwickelt, die Hacking, Phishing und dem Datendiebstahl bei Online-Transaktionen einen Riegel vorschiebt. SAWS nutzt zur Authentifizierung handelsübliche Hardware, etwa einen USB-Stick, ein Mobiltelefon oder den Rechner des Anwenders.

Die Secured-Access-Web-Services (SAWS) von Mobilegov ergänzen herkömmliche Login-Mechanismen, die sich nur auf ein Passwort stützen. Die Lösung setzt zur Authentifizierung Hardware-Komponenten ein, die der Anwender eh verwendet: etwa einen USB-Stick, ein Mobilgerät oder einfach den Rechner, an dem er arbeitet.

Das ist nach Angaben der Firma einfacher als Mechanismen, die auf Tokens oder einer PKI (Private-Key-Infrastructure) beruhen, und flexibler als Smartcards. Ein weiteres Argument sind die Kosten: »Sie sind bei SAWS deutlich niedriger als bei Tokens oder Smartcard«, so Philippe Mazurier, Vice President Sales von Mobilegov.

Die Technik von Mobilegov erlaubt die vollständige Identifikation aller Geräte. Auf der Server-Seite sind dazu keine aufwändigen Veränderungen notwendig.

Das Funktionsprinzip von SAWS

Zur Funktionsweise: Der Anwender und der Service-Provider, der die Authentifizierung durchführt, legen fest, welches Gerät der User als Token verwendet. Das kann ein Rechner, etwa ein Notebook, sein, aber auch ein Stick, ein iPod, Videoplayer oder ein Smartphone.

SAWS erstellt auf Basis der Hardware-Informationen, etwa Seriennummer, Betriebssystem et cetera, ein unverwechselbares Profil des Gegenstandes – eine »Digitale DNA«. Das Einrichten eines solchen »Tokens« kann auch online erfolgen.

Hardware-Information und Passwort erforderlich

Um auf einen Service, etwa ein Bankkonto, oder Daten in einem Unternehmensnetz zuzugreifen, muss sich der User dann durch zwei Dinge ausweisen: ein Passwort und die Hardware-Komponente. Der Server, der für die Authentifizierung zuständig ist, prüft, ob beide vorhanden sind. Nur dann gibt er sein »O.K.«.

Ein Vorteil von SAWS ist, dass es praktisch mit allen Betriebssystemen zusammenarbeitet. Die zur Authentifizierung verwendete Hardware kann unter Windows, Mac-OS, Symbian oder Linux laufen. Auch andere Betriebssysteme lassen sich einbinden.

Die Kommunikation zwischen Server und dem Digital-DNA-Endgerät läuft über eine mit AES verschlüsselte Verbindung (256-Bit-Key). Verwalten lässt sich die aktuelle Version der Lösung über ein Web-Interface. Neu ist zudem die Unterstützung von LDAP (Lightweight Directory Access Protocol).

Mit SAWS spricht Mobilegov laut Thomas Fink, Geschäftsführer von Mobilegovs Vertriebspartner Digital Hands, vor allem Betreiber von Online-Diensten und Großunternehmen an. »Auch Mitarbeiter von Firmen können sich mithilfe der Digital-DNA authentifizieren«, so Fink, »etwa dann, wenn sie via Web-Mail auf ihren Firmen-E-Mail-Account zugreifen.«

Weitere Anwendungsbeispiele sind das Online-Banking, der Schutz von Transaktionen über elektronische Verkaufsterminals (Points of Sales) oder Online-Versteigerungen. »Anbieter solcher Dienste können die Hardware-Identifikation von Mobilegov beispielsweise auf einem preiswerten USB-Stick gleich mit verschenken. Der Vertrauensgewinn steht in keinem Verhältnis zu dem geringen Aufwand«, sagt Fink.

Ein Alleinstellungsmerkmal von SAWS ist, dass die Technik auch serielle Verbindungen unterstützt, ein weiteres der Support von Festplatten.

Applikationen authentifizieren

In einem nächsten Schritt will Mobilegov die Authentifizierung auf Anwendungen ausdehnen. Nur dazu berechtigte Anwendungen erhalten dann Zugang zu Systemen und Services.

Zu den Kunden, die SAWS bereits einsetzen, gehört die Bank Barclays. Auch andere Banken und große Mobilfunk-Service-Provider greifen auf die Sicherheitslösung der Firma aus Sophia Antipolis (Südfrankreich) zurück.