Aktuelle Authentifizierungslösungen
Sesam, logg mich ein
Smartcards für die Anmeldung im Netzwerk - lange Zeit erschien das für normale Unternehmen übertrieben. Bessere Technik und die Bedrohung durch Phishing-Attacken schicken sich nun an, diese Einschätzung gründlich zu revidieren.
Authentisierungslösungen auf Basis von Smartcards können nicht nur die Sicherheit erhöhen,
sondern in Verbindung mit Single Sign-on, Bezahlfunktionen und Zutrittssystemen signifikante
Kostenersparnisse, Produktivitätssteigerungen und eine verbesserte Benutzerakzeptanz bewirken.
Authentisierung mittels Smartcards basiert in erster Linie auf dedizierten Zertifikaten, die von
einer so genannten PKI (Public Key Infrastructure) ausgestellt und auf einer entsprechenden
Chipkarte gespeichert werden. Nachdem PKI in der IT-Branche lange Zeit als Unwort gehandelt wurde,
beobachtet man seit einiger Zeit eine Renaissance dieser Technologie und des damit verbundenen
Security-Ansatzes. Die Herangehensweise der Unternehmen hat sich allerdings gegenüber der
Vergangenheit grundlegend gewandelt. Mittlerweile steht nicht mehr die Technologie im Mittelpunkt
der Diskussion, sondern die Praktikabilität der Anwendungen, die Kosten, der Nutzen und letztlich
die Wirtschaftlichkeit. Anfragen für Authentifizierungslösungen kommen entsprechend immer häufiger
direkt vom Management.
PKI wird zunehmend als ein Gebilde aus kommerziellen, rechtlichen, organisatorischen, operativen
und technischen Aspekten verstanden. Die Umsetzung, die in der Vergangenheit häufig mit einer
Pilotinstallation startete, beginnt heute mit Machbarkeitsanalysen und Wirtschaftlichkeitsstudien.
Mittlerweile haben auch die zugrunde liegenden Softwarelösungen eine Stabilität erreicht, die
komplexe Projekte unter Integration verschiedenster Authentisierungsmethoden ermöglichen. Der
multifunktionale Firmenausweis ist häufig das eigentliche Ziel, und PKI ist nur eine von mehreren
Technologien, die dabei zum Tragen kommt. Eine Authentisierungslösung trägt daher meist nicht mehr
den Begriff "PKI" im Namen, sondern wird häufig als "Identity Management Solution" bezeichnet.
Ein wesentlicher Aspekt für die Renaissance dieses Security-Ansatzes ist sicher die zunehmende
Integration von PKI-Technik in die Standardbetriebssysteme. Dies betrifft neben Novell und Sun
insbesondere auch Microsoft. Die MS-CAPI, die Standardschnittstelle zum Zugriff auf
kryptographische Schlüssel und Smartcards unter Windows, wird von nahezu allen Sicherheitsprodukten
unterstützt. Auf der Client-Seite verfügen Outlook und Outlook Express schon seit geraumer Zeit
über Fähigkeiten zur digitalen Signatur und Verschlüsselung. Die Unterstützung von SSLv3
beziehungsweise TLS im Internet Explorer ist ebenfalls schon seit der Version 4.0 gegeben. Neu ist
die Unterstützung von digitalen Signaturen in den Office-XP-Produkten. Auf der Serverseite gibt es
bereits seit Windows 2000 eine stabile Certificate Authority (CA) mit Basisfunktionalitäten ohne
Aufpreis. Im Windows Server 2003 ist diese CA zu einer vollwertigen Lösung weiterentwickelt worden
und unterstützt Features, wie sie bisher nur von teuren Spezialprodukten bekannt waren. Damit hat
sich die finanzielle Einstiegsschwelle in diese Technik stark verringert.
Der multifunktionale Firmenausweis
Um einen multifunktionalen Firmenausweis zu entwickeln, werden Smartcards nicht nur als
Zertifikatsspeicher genutzt, sondern mit Zusatzfunktionen versehen. Ziel ist es dabei, den
Mitarbeitern ein einziges Medium zur Verfügung zu stellen, das ihnen neben der Authentisierung an
IT-Systemen auch den gesicherten Zutritt zu Geschäftsräumen und das Bezahlen in der Kantine und an
Automaten ermöglicht. IT-Systeme, die keine zertifikatsbasierte Authentisierung anbieten, werden
darüber hinaus durch Single Sign-on und Mechanismen zur Generierung von Einmalkennwörtern
unterstützt.
Bei der zertifikatsbasierten Authentisierung wird auf der Smartcard ein Schlüsselpaar generiert
und gespeichert. Der von einer Certificate Authority (zum Beispiel Windows 2003 Certificate
Services) signierte öffentliche Schlüssel wird in einem Verzeichnisdienst, etwa Active Directory,
hinterlegt und auf die Smartcard übertragen. Es können verschiedene Zertifikate für
Authentisierung, Verschlüsselung und digitale Signatur erstellt und auf einer Smartcard gespeichert
werden. Eines der größten Probleme von früheren PKI-Projekten war die Definition von
Zertifikatsprofilen, die den verschiedenen Anwendungen gerecht werden, da der X.509v3-Standard für
Zertifikatsprofile eine Vielzahl von Zertifikatserweiterungen erlaubt und Raum für
herstellerspezifische Attribute bietet. Um eine verbesserte Interoperabilität von
PK-Infrastrukturen und Zertifikatsprofilen zu erreichen, hat die PKIX- Arbeitsgruppe der IETF mit
RFC 3280 (Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List
(CRL) Profile eine weit gehende Standardisierung erwirkt. In Deutschland wurde von Teletrust e.V.
und der T7 e.V. die ISIS-MTT Spezifikation verabschiedet, zu der sich mittlerweile alle führenden
Hersteller im PKI-Umfeld bekennen.
Interoperable Hardware, Software und Zertifikatsprofile allein sind jedoch keine Garanten für
Erfolg und Akzeptanz einer Smartcard-Lösung. Smartcards können verloren, beschädigt, gestohlen oder
schlichtweg vergessen werden. Zertifikate und Schlüssel müssen regelmäßig erneuert und die Benutzer
beim Rücksetzen einer vergessenen PIN unterstützt werden. Erst die Verbindung mit einem
leistungsfähigen und flexiblen Kartenmanagementsystem ermöglicht einen auf die Bedürfnisse von
Unternehmen abgestimmten Produktivbetrieb. Activard CMS zum Beispiel unterstützt Administratoren
und Benutzer mit weit reichenden Self-Service-Funktionalitäten. Temporäre oder permanente
Ersatzkarten können von Benutzern selbst ausgestellt und vergessene PINs ohne Anruf beim Helpdesk
zurückgesetzt werden. Dabei übernimmt der Activcard-CMS-Server die Kommunikation mit der CA, dem
Directory, den Benutzern und deren Client- Komponenten.
Mobile Clients, die über keine Smartcard-Lesegeräte verfügen, können über Einmalkennwörter
sicher authentifiziert werden. Dies kann auch dann sinnvoll sein, wenn Benutzer über öffentliche
Terminals einen Zugriff auf Unternehmensressourcen benötigen. Einmalkennwörter werden über so
genannte Tokens erzeugt und sind im Bereich RAS- und VPN-Authentisierung weit verbreitet. Ein
spezialisierter Hersteller in diesem Bereich ist RSA mit den Secureid-Tokens und dem zugehörigen
Authentication Manager. Activcard bietet Smartcard-Applets an, die eine Erzeugung von
Einmalkennwörtern durch die Smartcard selbst ermöglichen. Die Anzeige erfolgt entweder über ein
mobiles Lesegerät, in das die Karte eingesteckt wird oder über den "Activclient". Serverseitig
kommt hier der Activcard AAA Server zum Einsatz.
Single Sign-on
Single-Sign-on-Server helfen, die Anzahl der Logins für Systeme und Applikationen zu minimieren,
die auch weiterhin mit Passworten betrieben werden müssen. Dazu werden die Anmeldedialoge der
Applikationen definiert und im Single-Sign-on-System hinterlegt. Dies kann durch Scripting, zum
Beispiel bei CA Admin, oder durch Screen-Scraping geschehen, wie es bei Activcards SSO der Fall
ist. Die Anmeldeinformationen der Benutzer werden auf einem SSO-Server hinterlegt, für den sich die
Benutzer mit einem einzigen Passwort oder einem Zertifikat authentisieren. Zur Beschleunigung der
Authentisierungsvorgänge können Informationen auf dem Client zwischengespeichert werden.
Der Übergang von Smartcards zu multifunktionalen Firmenausweisen erfolgt durch die Integration
weiterer Chips oder durch einen zusätzlichen Magnetstreifen. Kontaktlose Chips, zum Beispiel "
Legic-Chips", können sowohl für Zutrittssysteme als auch für Bezahlsysteme in Kantinen oder an
Automaten verwendet werden. Gleiches gilt für Magnetstreifen. Das Management dieser
Zusatzfunktionen erfolgt meist getrennt vom Smartcard-Management. Dies liegt unter anderem daran,
dass es noch keine ausgereiften integrierten Lösungen gibt und dass in der Praxis die personellen
Zuständigkeiten aufgeteilt sind.
Kritische Erfolgsfaktoren
Bei aller Euphorie angesichts der Möglichkeiten von Authentisierungslösungen sollten Unternehmen
nicht darauf verfallen, alle erdenklichen Anwendungen gleich zu Beginn integrieren zu wollen. Das
Ziel sollte immer der größtmögliche Nutzen mit dem geringstmöglichen Aufwand sein. Neben dem
technischen Ansatz entscheidet vor allem die zugrunde liegende Management- und Betriebskonzeption
über Erfolg, Akzeptanz und Wirtschaftlichkeit einer solchen Security-Infrastruktur.
Lesen Sie mehr zum Thema
