"Er nenne mir die Parole!" Jahrhunderte lange war das die wichtigste Phrase im Rittertum um Freund und Feind auseinander zuhalten. Zu diesen Zeiten gab es aber auch drakonische Strafen für ausgeplauderte Losungsworte. Die Konsequenzen bei falscher Identifizierung waren damals wie heute dieselbe, aber mit der zunehmenden Technisierung stehen uns entsprechende Methoden zur Verfügung.
James Bond - der Vorreiter bei moderner Technik - braucht sich keine Losungsworte zu merken. Er tritt in das allergeheimste Gemach von M ein, da er biometrisch gescannt wurde. Wobei Mr. Goldfinger zur klassischen Bombe greifen muss, um sich den Zugang zu den Goldkammern von Fort Knox zu verschaffen, da er nicht imstande war, den biometrisch abgesicherten Zugang zu überwinden.
Wie steht es um die modernen Parolen?
Unternehmen müssen ihre Daten vor nicht berechtigtem Zugriff schützen. Das CSI/FBI 2006, Computer Crime and Security Survey, USA 2006. stellt den Stellenwert bzw. den Schaden der durch den unautorisierten Zugriff oder den Diebstahl von Daten entsteht sehr deutlich dar.
Um als Unternehmen Daten vor Missbrauch zu schützen und darüber hinaus noch compliant zu sein, müssen passende Sicherheitslösungen eingesetzt werden, welche sowohl in der Anschaffung als auch im Rollout, sowie im Management kostengünstig und managebar sind. Die Lösung darf den Helpdesk nicht zusätzlich belasten (Passwortkomplexität) und muss darüber hinaus noch benutzerfreundlich sein.
Gibt es Auswege?
Folgende Techniken und Methoden dienen letztlich der Absicht, Personen eindeutig und sicher zu identifizieren und das Vorspielen falscher Identitäten zu verhindern.
Auch die noch so raffiniertesten technischen Authentisierungsmittel können allerdings nicht darüber hinweg täuschen, dass es im Prinzip nur drei Strategien gibt, mit welchen die Teilnehmer über ein System geprüft werden
- Etwas, das ich weiß/wusste (logische Identität):
Teilnehmer werden identifiziert, weil sie ein gemeinsames Geheimnis (shared secret) kennen; darüber kann in der Regel nur ein sehr kleiner und eingeweihter Kreis von Personen etwas wissen. Das klassische Losungswort spielt auch heute noch im Bankwesen eine sehr große Rolle.
- Etwas, das ich habe/hatte (passive Identität):
Der zu identifizierende Teilnehmer besitzt etwas Physisches, welches so selten ist, dass es nur einem erlauchten Kreis von privilegierten Personen zugänglich ist. Daher ist die Wahrscheinlichkeit, dass jene Person, die vorgibt, ein berechtigter Teilnehmer zu sein, auch tatsächlich berechtigt ist, sehr groß. Dies ist das Grundprinzip der Passividentifikation.
- Etwas, das ich bin (aktive Identität):
Diese Strategie setzt auf die Identifizierung verschiedener körperlicher Merkmale, die im Allgemeinen als einzigartig eingeschätzt werden. Daher werden Fingerabdrücke verglichen, die Iris des rechten Auges eingescannt, dass Tippverhalten analysiert und vieles andere mehr.
Allen Strategien haben gemeinsam, dass ein bestimmtes Fehlerpotential nicht ausgeschlossen werden kann. Um dieses Fehlerpotential auszuschließen und die Sicherheit zu erhöhen, können mehrere Verfahren beliebig kombiniert werden. Aus dem Einsatz der Bankkarten ist die Kombination aus der SmardCard (etwas, das ich habe) und einem PIN (etwas, das ich weiß) bekannt.
- Ich bin ich und ich habe was, oder ich weiß was.
Nicht zuletzt in der Unternehmens-IT ist die Authentisierung ein entscheidendes Thema. Mit zunehmender Vernetzung der IT Ressourcen wird es zunehmend wichtiger, dass nur verlässlich identifizierte Personen an den IT Systemen eines Unternehmens teilnehmen. Daher ist es unerlässlich, die Methoden der Authentisierung auf ihre Eignung hin kritisch zu hinterfragen.
Den vier soeben genannten Strategien entsprechen in der IT drei technische Verfahren:
- Die klassische Strategie ist die Wissensmethode; da Kennwörter allerdings sehr einfach ausgespäht werden können (Sniffer, Keylogger), wird die Eignung dieser Authentisierungsform für die Absicherung des Zugangs zu sensiblen Informationen sehr skeptische gesehen. Weiters nimmt die Gefahr der User Workarounds (Postit , Passwortlisten, usw.) zu, desto komplexer "sicherer" ein Passwort beschaffen sein soll.
- Das verbreiteste Verfahren jener Strategie, die auf den Besitz von etwas Außerordentlichem setzt, ist die Kreditkartenbuchung wie bei VISA, AMEX, u.d.g. . Sie gilt eigentlich als sehr unsicher - paradoxerweise wird diese Methode dennoch tagtäglich millionenfach angewandt. Der reine Besitz wird - ähnlich wie das reine Wissen - als zu unsicher eingeschätzt. Daher haben sich in der Unternehms-IT Verfahren durchgesetzt, welche Besitz und Wissen kombinieren. One Time Password Token, mobile TANs und Smartcards sind Ausprägungen dieser Strategie. Ihr Nachteil: sie sind in der Regel teuer, benutzerunfreundlich (One Time Password Token), von spezieller Software und Hardware abhängig (Smartcards) und können Dritten zur Nutzung Überlassen werden.
- Mittlerweile haben biometrische Authentisierungsmethoden Eingang in die Informationstechnologie gefunden und sich bewährt. Sie sind benutzerfreundlicher als Tokens oder Smartcards, da der Anwender keine Hardware mit sich führen und sich kein PIN oder Passwort merken muss. Hardware(Scanner) muss zwar zusätzlich eingesetzt werden, ist aber heute, z.B. in Laptops integriert.
Das Dilemma, in dem sich zurzeit viele IT-Verantwortliche befinden, besteht darin, dass keine der genannten Methoden exklusiv geeignet ist, den gesamten Authentisierungsbedarf eines durchschnittlichen Unternehmens abzudecken. Ein One Time Password Token ist zwar sehr gut geeignet für sichere Authentisierungen aus dem Internet, für das Push Mail allerdings völlig ungeeignet. Smartcard-basierende Authentisierungen sind zwar sehr sicher, allerdings technisch nicht immer einsetzbar.
Daher werden sich die meisten IT-Verantwortlichen in Zukunft damit beschäftigen müssen, unterschiedliche Authentisierungsmethoden einzusetzen. Essentiell für die Strategie einer Methodenmischung bei der Authentisierung ist, dass nicht nur technische Aspekte berücksichtigt werden, sondern dass über allem der Schutzbedarf jener Informationen steht, auf welche die entsprechende Authentisierung Zugang erlaubt. Ein Modell dafür ist schon vielfach im Bereich des Online Banking realisiert: für den "View Only" Zugang zu einem Konto ist im allgemeinen eine statische Benutzeranmeldung ausreichend; sobald allerdings Transaktionen durchgeführt werden, sind zusätzliche Authentiserungen (TANs, mobile TANs, One Time Passwörter) nötig.
Somit sind wir am anderen Ende der Matrix angekommen, bei der es sich um das zu sichernde Gut oder dessen Wert handelt.
- Schutzbedarf
- Benutzerkreis
- Bestimmungen - Compliance
Ein weiterer wichtiger Aspekt sollten IT-Verantwortliche in diesem Zusammenhang nicht aus den Augen verlieren: die Authentisierungssysteme werden zwar komplexer, aber ihre Leistungsfähigkeit nimmt überproportional zur Komplexität zu. So können die meisten Systeme mittlerweile mit Identity Management und Single-Sign-On kombiniert werden. Und dies ist die eigentliche Vision, die eine eingehende Auseinandersetzung so spannend macht; wenn man geschickt vorgeht, dann kann die Einführung einer neuen Authentisierung mit der Erhöhung der Benutzerfreundlichkeit einhergehen, da der Anwender nur mehr eine Authentisierung durchführen muss und nachfolgend unmittelbaren Zugriff auf alle autorisierte Applikationen hat. Vision? Nein - mittlerweile Realität: gut gelungene Authentisierungsprojekte machen dem Anwender zum ersten Mal in der Geschichte der IT-Security die Arbeit leichter.
Infolge einer Schutzprofildefinition wird ein entsprechender Maßnahmenplan erstellt und dies in die Praxis umgesetzt, wie auch ein Referenzprojekt der EV Group (EVG) eines europäischen, international tätigen Anlagenbauers zeigt.
Als Anforderung galt es die Sicherheitsrichtlinien zur nachweislichen Authentifizierung und des Datenschutzes umzusetzen. Die Lösung von DigitalPersona kam hier nach der Evaluierung zur Umsetzung und konnte in kürzester Zeit der Integration dem operativen Betrieb übergeben werden.
Josef Alexander Buttinger, EVG Managing Head of IT-Security, bestätigt: "Die getroffene Entscheidung hat sich auch im Rückblick über die letzten vier Jahre als einwandfrei erwiesen. Das System ermöglicht eine unaufwändige Verwaltung und hat eine hohe Akzeptanz bei den AnwenderInnen, wodurch zugleich auch Kosten für den Helpdesk eingespart werden können. Unsere Sicherheitsanforderungen haben wir somit abdecken können und wir sehen noch weitere Anwendungsbereiche bei denen wir auf biometrischer Verfahren setzen werden."
Einfache Nutzung und Implementierung
Die Benutzerfreundlichkeit spielt bei der Einführung und Implementierung neuer IT-Technologien eine wichtige Rolle. Die DigitalPersona Pro Workstation-Software besitzt eine intuitive Benutzeroberfläche mit Menüs und Funktionen, die einen bequemen Zugriff auf Unternehmens- und Internetanwendungen ermöglicht. Außerdem kann DigitalPersona Pro schnell und problemlos implementiert werden. Die Software setzt auf bestehender Windows-Infrastruktur und deren Sicherheits-Konventionen auf.
Die Lösungen von DigitalPersona®
Durch bequeme Nutzung von Fingerabdrücken erhöht DigitalPersona® die Sicherheit bei der Authentifizierung und lässt leidige Passwörter völlig obsolet werden. Die Lösung ersetzt Passwörter, Tokens und Chipkarten. Mit DigitalPersona® loggt sich der Benutzer in Windows, in passwortgeschützte Applikationen und in Web-Anwendungen sowie über Remote-Verbindungen nur noch mit seinem Fingerabdruck ein. Durch das optische 3-D-Scanning sowie der Verschlüsselung der Daten und der vollständigen Integration in Microsoft® Active Directory überzeugt dieses System mit weltweit über 90 Millionen Installationen. DigitalPersona® unterstützt die eigenen Fingerabdruck-Scanner und die integrierten Scanner bekannter Notebook-Hersteller.
Das Portfolio von DigitalPersona® umfasst neben der Enterprise Lösungen, wie PRO und ONLINE, auch Developer und Hardware Optionen. Der optische Fingerprint Reader von DigitalPersona ist als USB Tischmodul und in einer Microsoft Tastatur integriert, verfügbar. Das von DigitalPersona entwickelte Verfahren ist extrem präzise und hierbei auch hoch performant.
James Bond - der Vorreiter bei moderner Technik - braucht sich keine Losungsworte zu merken. Er tritt in das allergeheimste Gemach von M ein, da er biometrisch gescannt wurde. Wobei Mr. Goldfinger zur klassischen Bombe greifen muss, um sich den Zugang zu den Goldkammern von Fort Knox zu verschaffen, da er nicht imstande war, den biometrisch abgesicherten Zugang zu überwinden.
Wie steht es um die modernen Parolen?
Unternehmen müssen ihre Daten vor nicht berechtigtem Zugriff schützen. Das CSI/FBI 2006, Computer Crime and Security Survey, USA 2006. stellt den Stellenwert bzw. den Schaden der durch den unautorisierten Zugriff oder den Diebstahl von Daten entsteht sehr deutlich dar.
Um als Unternehmen Daten vor Missbrauch zu schützen und darüber hinaus noch compliant zu sein, müssen passende Sicherheitslösungen eingesetzt werden, welche sowohl in der Anschaffung als auch im Rollout, sowie im Management kostengünstig und managebar sind. Die Lösung darf den Helpdesk nicht zusätzlich belasten (Passwortkomplexität) und muss darüber hinaus noch benutzerfreundlich sein.
Gibt es Auswege?
Folgende Techniken und Methoden dienen letztlich der Absicht, Personen eindeutig und sicher zu identifizieren und das Vorspielen falscher Identitäten zu verhindern.
Auch die noch so raffiniertesten technischen Authentisierungsmittel können allerdings nicht darüber hinweg täuschen, dass es im Prinzip nur drei Strategien gibt, mit welchen die Teilnehmer über ein System geprüft werden
- Etwas, das ich weiß/wusste (logische Identität):
Teilnehmer werden identifiziert, weil sie ein gemeinsames Geheimnis (shared secret) kennen; darüber kann in der Regel nur ein sehr kleiner und eingeweihter Kreis von Personen etwas wissen. Das klassische Losungswort spielt auch heute noch im Bankwesen eine sehr große Rolle.
- Etwas, das ich habe/hatte (passive Identität):
Der zu identifizierende Teilnehmer besitzt etwas Physisches, welches so selten ist, dass es nur einem erlauchten Kreis von privilegierten Personen zugänglich ist. Daher ist die Wahrscheinlichkeit, dass jene Person, die vorgibt, ein berechtigter Teilnehmer zu sein, auch tatsächlich berechtigt ist, sehr groß. Dies ist das Grundprinzip der Passividentifikation.
- Etwas, das ich bin (aktive Identität):
Diese Strategie setzt auf die Identifizierung verschiedener körperlicher Merkmale, die im Allgemeinen als einzigartig eingeschätzt werden. Daher werden Fingerabdrücke verglichen, die Iris des rechten Auges eingescannt, dass Tippverhalten analysiert und vieles andere mehr.
Allen Strategien haben gemeinsam, dass ein bestimmtes Fehlerpotential nicht ausgeschlossen werden kann. Um dieses Fehlerpotential auszuschließen und die Sicherheit zu erhöhen, können mehrere Verfahren beliebig kombiniert werden. Aus dem Einsatz der Bankkarten ist die Kombination aus der SmardCard (etwas, das ich habe) und einem PIN (etwas, das ich weiß) bekannt.
- Ich bin ich und ich habe was, oder ich weiß was.
Nicht zuletzt in der Unternehmens-IT ist die Authentisierung ein entscheidendes Thema. Mit zunehmender Vernetzung der IT Ressourcen wird es zunehmend wichtiger, dass nur verlässlich identifizierte Personen an den IT Systemen eines Unternehmens teilnehmen. Daher ist es unerlässlich, die Methoden der Authentisierung auf ihre Eignung hin kritisch zu hinterfragen.
Den vier soeben genannten Strategien entsprechen in der IT drei technische Verfahren:
- Die klassische Strategie ist die Wissensmethode; da Kennwörter allerdings sehr einfach ausgespäht werden können (Sniffer, Keylogger), wird die Eignung dieser Authentisierungsform für die Absicherung des Zugangs zu sensiblen Informationen sehr skeptische gesehen. Weiters nimmt die Gefahr der User Workarounds (Postit , Passwortlisten, usw.) zu, desto komplexer "sicherer" ein Passwort beschaffen sein soll.
- Das verbreiteste Verfahren jener Strategie, die auf den Besitz von etwas Außerordentlichem setzt, ist die Kreditkartenbuchung wie bei VISA, AMEX, u.d.g. . Sie gilt eigentlich als sehr unsicher - paradoxerweise wird diese Methode dennoch tagtäglich millionenfach angewandt. Der reine Besitz wird - ähnlich wie das reine Wissen - als zu unsicher eingeschätzt. Daher haben sich in der Unternehms-IT Verfahren durchgesetzt, welche Besitz und Wissen kombinieren. One Time Password Token, mobile TANs und Smartcards sind Ausprägungen dieser Strategie. Ihr Nachteil: sie sind in der Regel teuer, benutzerunfreundlich (One Time Password Token), von spezieller Software und Hardware abhängig (Smartcards) und können Dritten zur Nutzung Überlassen werden.
- Mittlerweile haben biometrische Authentisierungsmethoden Eingang in die Informationstechnologie gefunden und sich bewährt. Sie sind benutzerfreundlicher als Tokens oder Smartcards, da der Anwender keine Hardware mit sich führen und sich kein PIN oder Passwort merken muss. Hardware(Scanner) muss zwar zusätzlich eingesetzt werden, ist aber heute, z.B. in Laptops integriert.
Das Dilemma, in dem sich zurzeit viele IT-Verantwortliche befinden, besteht darin, dass keine der genannten Methoden exklusiv geeignet ist, den gesamten Authentisierungsbedarf eines durchschnittlichen Unternehmens abzudecken. Ein One Time Password Token ist zwar sehr gut geeignet für sichere Authentisierungen aus dem Internet, für das Push Mail allerdings völlig ungeeignet. Smartcard-basierende Authentisierungen sind zwar sehr sicher, allerdings technisch nicht immer einsetzbar.
Daher werden sich die meisten IT-Verantwortlichen in Zukunft damit beschäftigen müssen, unterschiedliche Authentisierungsmethoden einzusetzen. Essentiell für die Strategie einer Methodenmischung bei der Authentisierung ist, dass nicht nur technische Aspekte berücksichtigt werden, sondern dass über allem der Schutzbedarf jener Informationen steht, auf welche die entsprechende Authentisierung Zugang erlaubt. Ein Modell dafür ist schon vielfach im Bereich des Online Banking realisiert: für den "View Only" Zugang zu einem Konto ist im allgemeinen eine statische Benutzeranmeldung ausreichend; sobald allerdings Transaktionen durchgeführt werden, sind zusätzliche Authentiserungen (TANs, mobile TANs, One Time Passwörter) nötig.
Somit sind wir am anderen Ende der Matrix angekommen, bei der es sich um das zu sichernde Gut oder dessen Wert handelt.
- Schutzbedarf
- Benutzerkreis
- Bestimmungen - Compliance
Ein weiterer wichtiger Aspekt sollten IT-Verantwortliche in diesem Zusammenhang nicht aus den Augen verlieren: die Authentisierungssysteme werden zwar komplexer, aber ihre Leistungsfähigkeit nimmt überproportional zur Komplexität zu. So können die meisten Systeme mittlerweile mit Identity Management und Single-Sign-On kombiniert werden. Und dies ist die eigentliche Vision, die eine eingehende Auseinandersetzung so spannend macht; wenn man geschickt vorgeht, dann kann die Einführung einer neuen Authentisierung mit der Erhöhung der Benutzerfreundlichkeit einhergehen, da der Anwender nur mehr eine Authentisierung durchführen muss und nachfolgend unmittelbaren Zugriff auf alle autorisierte Applikationen hat. Vision? Nein - mittlerweile Realität: gut gelungene Authentisierungsprojekte machen dem Anwender zum ersten Mal in der Geschichte der IT-Security die Arbeit leichter.
Infolge einer Schutzprofildefinition wird ein entsprechender Maßnahmenplan erstellt und dies in die Praxis umgesetzt, wie auch ein Referenzprojekt der EV Group (EVG) eines europäischen, international tätigen Anlagenbauers zeigt.
Als Anforderung galt es die Sicherheitsrichtlinien zur nachweislichen Authentifizierung und des Datenschutzes umzusetzen. Die Lösung von DigitalPersona kam hier nach der Evaluierung zur Umsetzung und konnte in kürzester Zeit der Integration dem operativen Betrieb übergeben werden.
Josef Alexander Buttinger, EVG Managing Head of IT-Security, bestätigt: "Die getroffene Entscheidung hat sich auch im Rückblick über die letzten vier Jahre als einwandfrei erwiesen. Das System ermöglicht eine unaufwändige Verwaltung und hat eine hohe Akzeptanz bei den AnwenderInnen, wodurch zugleich auch Kosten für den Helpdesk eingespart werden können. Unsere Sicherheitsanforderungen haben wir somit abdecken können und wir sehen noch weitere Anwendungsbereiche bei denen wir auf biometrischer Verfahren setzen werden."
Einfache Nutzung und Implementierung
Die Benutzerfreundlichkeit spielt bei der Einführung und Implementierung neuer IT-Technologien eine wichtige Rolle. Die DigitalPersona Pro Workstation-Software besitzt eine intuitive Benutzeroberfläche mit Menüs und Funktionen, die einen bequemen Zugriff auf Unternehmens- und Internetanwendungen ermöglicht. Außerdem kann DigitalPersona Pro schnell und problemlos implementiert werden. Die Software setzt auf bestehender Windows-Infrastruktur und deren Sicherheits-Konventionen auf.
Die Lösungen von DigitalPersona®
Durch bequeme Nutzung von Fingerabdrücken erhöht DigitalPersona® die Sicherheit bei der Authentifizierung und lässt leidige Passwörter völlig obsolet werden. Die Lösung ersetzt Passwörter, Tokens und Chipkarten. Mit DigitalPersona® loggt sich der Benutzer in Windows, in passwortgeschützte Applikationen und in Web-Anwendungen sowie über Remote-Verbindungen nur noch mit seinem Fingerabdruck ein. Durch das optische 3-D-Scanning sowie der Verschlüsselung der Daten und der vollständigen Integration in Microsoft® Active Directory überzeugt dieses System mit weltweit über 90 Millionen Installationen. DigitalPersona® unterstützt die eigenen Fingerabdruck-Scanner und die integrierten Scanner bekannter Notebook-Hersteller.
Das Portfolio von DigitalPersona® umfasst neben der Enterprise Lösungen, wie PRO und ONLINE, auch Developer und Hardware Optionen. Der optische Fingerprint Reader von DigitalPersona ist als USB Tischmodul und in einer Microsoft Tastatur integriert, verfügbar. Das von DigitalPersona entwickelte Verfahren ist extrem präzise und hierbei auch hoch performant.
