20071112m Starke Authentifizierung RSA FSC
|
|
|
»manage
it«
als
|
Zwei-Faktor-Authentifizierung: Patentschloss gegen Datendiebe Der Einsatz von IPSec- und SSL-VPNs gehört inzwischen in den meisten Unternehmen zum Standard. Dieser Fortschritt ist zwar begrüßenswert, vollständige Sicherheit beim Datenaustausch zwischen entfernten Standorten ist damit aber noch nicht hergestellt: Denn nach wie vor können Angreifer eine Verbindung »hijacken« und vertrauliche Informationen abfangen, die sie dann zu Geld machen. Verhindern lässt sich dies mit Hilfe starker Authentifizierungsverfahren, die das Kapern einer Remote-Verbindung praktisch unmöglich machen.
n den vergangenen 15 Jahren haben weltweit nahezu alle Unternehmen ihre Kommunikationsinfrastruktur radikal umgestellt: Wo einst Telefon und Briefpost herrschten, regiert heute weitgehend das Internet und damit der elektronische Datenaustausch. Das spart zwar einerseits Zeit und Geld; andererseits aber sahen sich Firmen und ihre Verantwortlichen neuen Risiken ausgesetzt, da das Netz von Beginn an ein Betätigungsfeld professioneller Datendiebe war – und bis heute geblieben ist. Entsprechend groß war bald die Nachfrage nach Lösungen, die eine gesicherte Datenübertragung über den prinzipiell unsicheren Kanal ermöglichten. Hier setzten die Virtual Private Networks (VPNs) an, die – grob vereinfacht gesagt – eine Art Tunnel oder geschützter Direktverbindung zwischen zwei Rechnern im Netz herstellen, über die Daten verschlüsselt übertragen werden. Als Übertragungsprotokolle haben sich dabei IPSec (für »stationäre« Verbindungen, etwa zwischen einer Firmenzentrale und ihren Niederlassungen) und SSL (für den Zugriff auf Daten und Applikationen via Mobilrechner) durchgesetzt. Beide nutzen bewährte Verschlüsselungsalgorithmen, etwa Triple DES und AES, ebenso wie erprobte Authentifizierungsverfahren, hauptsächlich den Austausch von x.509-Zertifikaten. Mann in der Mitte Nicht geschützt sind Anwender damit jedoch vor sogenannten Man-in-the-Middle-Attacken, bei denen sich der Angreifer zwischen die beiden Endpunkte der Verbindung einklinkt und sich gegenüber dem Firmenserver als legitimer Benutzer und gegenüber dem Benutzer als Rechner im Unternehmensnetz ausweist. Diese Möglichkeit ergibt sich beispielsweise dann, wenn er physikalischen Zugriff auf die Datenleitung hat oder erfolgreich einen Router hackt, über den der Datenverkehr abgewickelt wird. So greift der Datendieb die Login-Passwörter und Sitzungsschlüssel ab, auf denen die anschließende verschlüsselte Übertragung aufbaut. In der Folge kann er sämtliche über die VPN-Verbindung gesendeten Nachrichten im Klartext mitlesen. »Schwächen bestehen bei VPNs daher in der Regel nicht auf der Übertragungs-, sondern auf der dieser vorgeschalteten Authentifizierungsebene«, erklärt dazu Frank Müller, Marketing Manager für Deutschland, Österreich und die Schweiz bei RSA, der für IT-Security zuständigen Konzerntochter des Storage-Marktführers EMC, deren Produkte wie die des Mutterhauses in Deutschland u. a. über Partner wie Fujitsu Siemens Computers vertrieben werden. RSA zählt seit seiner Gründung 1986 zu den wichtigsten Anbietern von Sicherheitslösungen für Rechnernetze und beherrschte einer Analyse des Marktforschungsunternehmens Frost & Sullivan zufolge 2005 den Markt für hardwarebasierte Authentifizierungslösungen – mit einem Anteil von 50 Prozent. Starke Authentifizierung Seine marktbeherrschende Stellung verdankt das Unternehmen vor allem RSA SecurID, einem Produkt, das seit über zwanzig Jahren bei Anwendern aus den verschiedensten sicherheitskritischen Bereichen im Einsatz ist, insbesondere bei Finanzdienstleistern, im Gesundheitswesen und bei den für die öffentliche Sicherheit zuständigen Behörden. Wesentliches Kennzeichen von RSA SecurID ist, dass es im Gegensatz zu weniger anspruchsvollen Lösungen strikt auf die so genannte »starke« oder »Zwei-Faktor-Authentifizierung« setzt. »Die Besonderheit bei diesem Verfahren besteht darin, dass der User sich gegenüber einem Netzwerk oder einer Anwendung sozusagen doppelt ausweist«, erläutert Müller. Dazu benötigt er zum einen einen Token (Besitz) und zum anderen eine persönliche Geheimzahl (PIN, Personal Identification Number) die das »Wissen« repräsentiert. »Die Methode ist ebenso lange erprobt wie weit verbreitet und liegt in ihrer einfachsten Variante zum Beispiel bereits dann vor, wenn wir mit unserer EC-Karte und Geheimnummer am Automaten Geld abheben«, so Müller. RSA SecurID stellt im Prinzip eine besonders fortgeschrittene Implementierung dieses Verfahrens dar. Bei der Zwei-Faktor-Authentifizierung von RSA muss der Benutzer nicht nur einen einzigen Identifikationsfaktor, wie beispielsweise ein schwaches, statisches Kennwort, angeben, sondern hat zusätzlich einen weiteren Faktor in Form eines RSA SecurID Authentifizierungssystems. Dieser RSA SecurID Token kann außer einer SmartCard auch ein USB-Stick, ein Schlüsselanhänger oder, bei der reinen Softwarevariante für PDAs oder Smartphones, ein Bildschirm-Prompt sein. Durch diese auch als One-Time Password (OTP) bezeichnete Methode ist es Datendieben selbst dann unmöglich, eine VPN-Verbindung zu hacken, wenn sie zuvor an den Benutzernamen und die PIN gelangt sein sollten, da diese Kombination von User-PIN und aktuellem Tokencode für den jeweiligen Benutzer nur zu einem ganz bestimmten Zeitpunkt einmalig gültig ist. Fallbeispiele Wie bereits erwähnt kommt RSA SecurID vor allem in extrem sicherheitskritischen Bereichen zum Einsatz. Zu den Vorreitern unter den Anwendern gehört u. a. die international renommierte Bank Credit Suisse, die zum ersten Mal 1993 nach der Fusion mit einem anderen Geldhaus auf die dort bereits länger gebräuchliche RSA-Lösung zurückgriff und diese inzwischen rund 600.000 internen und externen Benutzern zugänglich gemacht hat. Das schließt neben dem kompletten Investmentbanking-Bereich Credit Suisse auch Tausende ganz normaler Kunden ein, die online auf ihre Konten zugreifen. Die Lufthansa stellte ihrerseits das Fluginformationssystem für ihre seinerzeit 15.000 Besatzungsmitglieder um: Statt über Aushänge in geschützten Flughafenbereichen oder spezielle Terminals können diese nun über ein abgesichertes Portal mit Namen Lufthansa Crew Remote Access darauf zugreifen. Und auch beim heimischen RSA-Vertriebspartner Fujitsu Siemens nutzen unterdessen 7.500 Mitarbeiter ein RSA SecurID-Token, um per VPN interne Informationen abzurufen oder vertrauliche Daten zu übertragen. Resümee Auch wenn der Übergang zum E-Business und damit die Digitalisierung aller Geschäftsprozesse inzwischen die gesamte Wirtschaft erfasst hat, nutzt längst noch nicht jedes Unternehmen die damit verbundenen Möglichkeiten der Zeit- und Kostenersparnis aus. Das liegt hauptsächlich daran, dass IT-Verantwortliche und Geschäftsführungen das Internet, zum Teil durchaus zu Recht, als prinzipiell gefährlichen Raum betrachten, in dem professionelle Kriminelle darauf lauern, vertrauliche Informationen zu stehlen und zum eigenen finanziellen Vorteil zu verwenden. »Trotz dieser Befürchtungen sollte man allerdings nicht übersehen, dass bereits heute eine Vielzahl von technischen Lösungen existiert, die den elektronischen Geschäftsverkehr ebenso sicher machen wie die traditionellen Wege«, resümiert Frank Müller. Der Einsatz sicherer Remote-Access-Lösungen (wie VPNs) im Zusammenspiel mit starken Authentifizierungsverfahren ist dabei nur eine Methode, Datendiebe gar nicht erst zum Zug kommen zu lassen. Thomas Jungbluth
|
